EDV:OpenAFS/Verwendung: Difference between revisions
mNo edit summary |
 |
||
(2 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
== Verwendung |
== Verwendung des AFS == |
||
Siehe auch: |
|||
Bitte auch die [[EDV:OpenAFS/FAQ|FAQ]] beachten, besonders [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token]]. |
|||
* [[EDV:OpenAFS/FAQ|KIP-AFS FAQ]] |
|||
* [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] |
|||
Um mit [[EDV:AFS|AFS]] arbeiten zu können, muss man sich erst authentisieren ([[w:de:Authentisierung]]), |
|||
da man sonst nur die Reche der Gruppe '''system:anyuser''' (also Anonymous) hat. |
|||
* [http://www.urz.uni-heidelberg.de/datenhaltung/afs/kommando.html AFS-Kommando-Ăbersicht des URZ] |
|||
[[EDV:AFS|AFS]] arbeitet dabei mit Kerberos4-Token ([[w:de:Kerberos (Informatik)]]). |
|||
* [http://docs.openafs.org/Reference/index.html OpenAFS Reference Manual] |
|||
Siehe: [[EDV:OpenAFS/Verwendung/Authentisieren]] |
|||
=== [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] === |
|||
=== AFS-Kommandos === |
|||
{{Achtung|Die Unix/Linux-Rechte sind fast bedeutungslos! Es werden nur noch die Protection-Bits fĂŒr den User verwendet, |
|||
und zwar nachdem die ACL ausgewertet wurde.}} |
|||
Die Hilfeseiten der Kommandos sind meist schon sehr selbsterklÀrend und sollten deshalb auch verwendet werden: |
|||
Siehe: [[EDV:OpenAFS/Verwendung/ACLs]] |
|||
fs help |
|||
fs help listquota |
|||
fs help listacl |
|||
pts help |
|||
pts help listentries |
|||
Auflisten der ACLs: |
|||
fs listacl /afs/kip/temp |
|||
Ăndern der ACL: |
|||
fs setacl /afs/kip/temp system:administrator all |
|||
Auflisten der Quota: |
|||
fs quota /afs/kip/temp |
|||
fs listquota /afs/kip/temp |
|||
Herausfinden des Volumes zum Mountpoint: |
|||
fs lsmount /afs/kip/temp |
|||
Löschen des Eintrags im Cache des AFS-Clients: |
|||
fs flush /afs/kip/temp |
|||
Auflisten aller Nutzer im AFS: |
|||
pts listentries |
|||
Auflisten aller Gruppen im AFS: |
|||
pts listentries -groups |
|||
Auflisten der Nutzer in einer AFS-Gruppe: |
|||
pts members users |
|||
Die folgenden Kommondos sind alle bei (Open)AFS dabei und können |
|||
ohne zusÀtzliches Kerberos verwendet werden. |
|||
Mit dem '''tokens'''-Kommando kann ĂŒberprĂŒft werden, ob ein solches Token existiert und wie lange es gĂŒltig ist: |
|||
<pre> |
|||
userX@pcY:~$ tokens |
|||
Tokens held by the Cache Manager: |
|||
User's (AFS ID 1000) tokens for afs@kip.uni-heidelberg.de [Expires Feb 27 18:15] |
|||
--End of list-- |
|||
</pre> |
|||
Zum Erhalten oder Erneuern eines Tokens, wird '''klog''' verwendet: |
|||
userX@pcY:~$ klog userX |
|||
Die GĂŒltigkeit eines solchen Tokens bezieht sich standardmĂ€Ăig auf einen Nutzer auf einem Rechner, |
|||
in allen Shells ([[w:de:Betriebssystem-Shell]], [[w:de:Unix-Shell]]). |
|||
Um diese GĂŒltikeit nur auf '''eine''' Shell zu beziehen, |
|||
muss man diese mit '''kpagsh''' kapseln und danach erst das Token holen: |
|||
userX@pcY:~$ pagsh |
|||
userX@pcY:~$ klog userX |
|||
Zum Zerstören des Tokens vor dem Ende seiner Laufzeit gibt es '''unlog''': |
|||
<pre>userX@pcY:~$ unlog |
|||
userX@pcY:~$ tokens |
|||
Tokens held by the Cache Manager: |
|||
--End of list-- |
|||
</pre> |
|||
=== Kerberos-Kommandos === |
|||
Wenn OpenAFS gestartet ist, wird dann neben dem Kerberos-Ticket |
|||
auch automatisch ein AFS-Token geholt. |
|||
Zur Abfrage der Tickets wird '''klist''' verwendet. |
|||
Mit der Option ''''-T'''' wird auch gleich das AFS-Token angezeigt, falls vorhanden: |
|||
<pre>userX@pcY:~$ klist -T |
|||
Credentials cache: FILE:/tmp/krb5cc_1000 |
|||
Principal: userX@KIP.UNI-HEIDELBERG.DE |
|||
Issued Expires Principal |
|||
Feb 27 16:25:00 Feb 28 02:24:59 krbtgt/KIP.UNI-HEIDELBERG.DE@KIP.UNI-HEIDELBERG.DE |
|||
Feb 27 16:25:00 Feb 28 02:24:59 afs@KIP.UNI-HEIDELBERG.DE |
|||
Feb 27 16:25:00 Feb 28 02:24:59 User's (AFS ID 1000) tokens for kip.uni-heidelberg.de |
|||
</pre> |
|||
Um ein Ticket zu erhalten, gibt es '''kinit'''. |
|||
Das Token wird automatisch mit erzeugt: |
|||
userX@pcY:~$ kinit userX |
|||
Innerhalb der GĂŒligkeit kann das Kerberos-Ticket auch verlĂ€ngert werden, |
|||
ohne das Passwort nochmal neu eingeben zu mĂŒssen: |
|||
userX@pcY:~$ kinit -R |
|||
Um die eigene Shell zu kapseln, gibt es dann '''kpagsh''': |
|||
userX@pcY:~$ kpagsh |
|||
Zum Zerstören aller Tickets (und des Tokens) dient '''kdestroy''': |
|||
<pre>userX@pcY:~$ kdestroy |
|||
userX@pcY:~$ klist -T |
|||
klist: No ticket file: /tmp/krb5cc_1000 |
|||
</pre> |
Latest revision as of 11:45, 30 January 2012
Verwendung des AFS
Siehe auch:
AFS-Kommandos
Die Hilfeseiten der Kommandos sind meist schon sehr selbsterklÀrend und sollten deshalb auch verwendet werden:
fs help fs help listquota fs help listacl pts help pts help listentries
Auflisten der ACLs:
fs listacl /afs/kip/temp
Ăndern der ACL:
fs setacl /afs/kip/temp system:administrator all
Auflisten der Quota:
fs quota /afs/kip/temp fs listquota /afs/kip/temp
Herausfinden des Volumes zum Mountpoint:
fs lsmount /afs/kip/temp
Löschen des Eintrags im Cache des AFS-Clients:
fs flush /afs/kip/temp
Auflisten aller Nutzer im AFS:
pts listentries
Auflisten aller Gruppen im AFS:
pts listentries -groups
Auflisten der Nutzer in einer AFS-Gruppe:
pts members users
Die folgenden Kommondos sind alle bei (Open)AFS dabei und können
ohne zusÀtzliches Kerberos verwendet werden.
Mit dem tokens-Kommando kann ĂŒberprĂŒft werden, ob ein solches Token existiert und wie lange es gĂŒltig ist:
userX@pcY:~$ tokens Tokens held by the Cache Manager: User's (AFS ID 1000) tokens for afs@kip.uni-heidelberg.de [Expires Feb 27 18:15] --End of list--
Zum Erhalten oder Erneuern eines Tokens, wird klog verwendet:
userX@pcY:~$ klog userX
Die GĂŒltigkeit eines solchen Tokens bezieht sich standardmĂ€Ăig auf einen Nutzer auf einem Rechner, in allen Shells (w:de:Betriebssystem-Shell, w:de:Unix-Shell). Um diese GĂŒltikeit nur auf eine Shell zu beziehen, muss man diese mit kpagsh kapseln und danach erst das Token holen:
userX@pcY:~$ pagsh userX@pcY:~$ klog userX
Zum Zerstören des Tokens vor dem Ende seiner Laufzeit gibt es unlog:
userX@pcY:~$ unlog userX@pcY:~$ tokens Tokens held by the Cache Manager: --End of list--
Kerberos-Kommandos
Wenn OpenAFS gestartet ist, wird dann neben dem Kerberos-Ticket auch automatisch ein AFS-Token geholt.
Zur Abfrage der Tickets wird klist verwendet. Mit der Option '-T' wird auch gleich das AFS-Token angezeigt, falls vorhanden:
userX@pcY:~$ klist -T Credentials cache: FILE:/tmp/krb5cc_1000 Principal: userX@KIP.UNI-HEIDELBERG.DE Issued Expires Principal Feb 27 16:25:00 Feb 28 02:24:59 krbtgt/KIP.UNI-HEIDELBERG.DE@KIP.UNI-HEIDELBERG.DE Feb 27 16:25:00 Feb 28 02:24:59 afs@KIP.UNI-HEIDELBERG.DE Feb 27 16:25:00 Feb 28 02:24:59 User's (AFS ID 1000) tokens for kip.uni-heidelberg.de
Um ein Ticket zu erhalten, gibt es kinit. Das Token wird automatisch mit erzeugt:
userX@pcY:~$ kinit userX
Innerhalb der GĂŒligkeit kann das Kerberos-Ticket auch verlĂ€ngert werden, ohne das Passwort nochmal neu eingeben zu mĂŒssen:
userX@pcY:~$ kinit -R
Um die eigene Shell zu kapseln, gibt es dann kpagsh:
userX@pcY:~$ kpagsh
Zum Zerstören aller Tickets (und des Tokens) dient kdestroy:
userX@pcY:~$ kdestroy userX@pcY:~$ klist -T klist: No ticket file: /tmp/krb5cc_1000