EDV:OpenAFS/Verwendung: Difference between revisions

From KIP Wiki
⧌kip-jumptonavigation⧜⧌kip-jumptosearch⧜
mNo edit summary
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
== Verwendung vom [[KIP-AFS]] ==
== Verwendung des AFS ==


Siehe auch:
Bitte auch die [[EDV:OpenAFS/FAQ|FAQ]] beachten, besonders [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token]].


=== [[EDV:OpenAFS/Verwendung/Authentisieren|Authentisieren]] ===
* [[EDV:OpenAFS/FAQ|KIP-AFS FAQ]]


* [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]]
Um mit [[EDV:AFS|AFS]] arbeiten zu können, muss man sich erst authentisieren ([[w:de:Authentisierung]]),
da man sonst nur die Reche der Gruppe '''system:anyuser''' (also Anonymous) hat.


* [http://www.urz.uni-heidelberg.de/datenhaltung/afs/kommando.html AFS-Kommando-Übersicht des URZ]
[[EDV:AFS|AFS]] arbeitet dabei mit Kerberos4-Token ([[w:de:Kerberos (Informatik)]]).


* [http://docs.openafs.org/Reference/index.html OpenAFS Reference Manual]
Siehe: [[EDV:OpenAFS/Verwendung/Authentisieren]]


=== [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] ===


=== AFS-Kommandos ===
{{Achtung|Die Unix/Linux-Rechte sind fast bedeutungslos! Es werden nur noch die Protection-Bits fĂŒr den User verwendet,
und zwar nachdem die ACL ausgewertet wurde.}}

Siehe: [[EDV:OpenAFS/Verwendung/ACLs]]

=== NĂŒtzliche Kommandos ===


Die Hilfeseiten der Kommandos sind meist schon sehr selbsterklÀrend und sollten deshalb auch verwendet werden:
Die Hilfeseiten der Kommandos sind meist schon sehr selbsterklÀrend und sollten deshalb auch verwendet werden:
Line 52: Line 45:
Auflisten der Nutzer in einer AFS-Gruppe:
Auflisten der Nutzer in einer AFS-Gruppe:
pts members users
pts members users


Die folgenden Kommondos sind alle bei (Open)AFS dabei und können
ohne zusÀtzliches Kerberos verwendet werden.

Mit dem '''tokens'''-Kommando kann ĂŒberprĂŒft werden, ob ein solches Token existiert und wie lange es gĂŒltig ist:
<pre>
userX@pcY:~$ tokens

Tokens held by the Cache Manager:

User's (AFS ID 1000) tokens for afs@kip.uni-heidelberg.de [Expires Feb 27 18:15]
--End of list--
</pre>

Zum Erhalten oder Erneuern eines Tokens, wird '''klog''' verwendet:
userX@pcY:~$ klog userX

Die GĂŒltigkeit eines solchen Tokens bezieht sich standardmĂ€ĂŸig auf einen Nutzer auf einem Rechner,
in allen Shells ([[w:de:Betriebssystem-Shell]], [[w:de:Unix-Shell]]).
Um diese GĂŒltikeit nur auf '''eine''' Shell zu beziehen,
muss man diese mit '''kpagsh''' kapseln und danach erst das Token holen:
userX@pcY:~$ pagsh
userX@pcY:~$ klog userX

Zum Zerstören des Tokens vor dem Ende seiner Laufzeit gibt es '''unlog''':
<pre>userX@pcY:~$ unlog
userX@pcY:~$ tokens

Tokens held by the Cache Manager:

--End of list--
</pre>

=== Kerberos-Kommandos ===

Wenn OpenAFS gestartet ist, wird dann neben dem Kerberos-Ticket
auch automatisch ein AFS-Token geholt.

Zur Abfrage der Tickets wird '''klist''' verwendet.
Mit der Option ''''-T'''' wird auch gleich das AFS-Token angezeigt, falls vorhanden:
<pre>userX@pcY:~$ klist -T
Credentials cache: FILE:/tmp/krb5cc_1000
Principal: userX@KIP.UNI-HEIDELBERG.DE

Issued Expires Principal
Feb 27 16:25:00 Feb 28 02:24:59 krbtgt/KIP.UNI-HEIDELBERG.DE@KIP.UNI-HEIDELBERG.DE
Feb 27 16:25:00 Feb 28 02:24:59 afs@KIP.UNI-HEIDELBERG.DE

Feb 27 16:25:00 Feb 28 02:24:59 User's (AFS ID 1000) tokens for kip.uni-heidelberg.de
</pre>

Um ein Ticket zu erhalten, gibt es '''kinit'''.
Das Token wird automatisch mit erzeugt:
userX@pcY:~$ kinit userX

Innerhalb der GĂŒligkeit kann das Kerberos-Ticket auch verlĂ€ngert werden,
ohne das Passwort nochmal neu eingeben zu mĂŒssen:
userX@pcY:~$ kinit -R

Um die eigene Shell zu kapseln, gibt es dann '''kpagsh''':
userX@pcY:~$ kpagsh

Zum Zerstören aller Tickets (und des Tokens) dient '''kdestroy''':
<pre>userX@pcY:~$ kdestroy
userX@pcY:~$ klist -T
klist: No ticket file: /tmp/krb5cc_1000
</pre>

Latest revision as of 11:45, 30 January 2012

Verwendung des AFS

Siehe auch:


AFS-Kommandos

Die Hilfeseiten der Kommandos sind meist schon sehr selbsterklÀrend und sollten deshalb auch verwendet werden:

fs help
fs help listquota
fs help listacl
pts help
pts help listentries

Auflisten der ACLs:

fs listacl /afs/kip/temp

Ändern der ACL:

fs setacl /afs/kip/temp system:administrator all

Auflisten der Quota:

fs quota /afs/kip/temp
fs listquota /afs/kip/temp

Herausfinden des Volumes zum Mountpoint:

fs lsmount /afs/kip/temp

Löschen des Eintrags im Cache des AFS-Clients:

fs flush /afs/kip/temp

Auflisten aller Nutzer im AFS:

pts listentries

Auflisten aller Gruppen im AFS:

pts listentries -groups

Auflisten der Nutzer in einer AFS-Gruppe:

pts members users


Die folgenden Kommondos sind alle bei (Open)AFS dabei und können ohne zusÀtzliches Kerberos verwendet werden.

Mit dem tokens-Kommando kann ĂŒberprĂŒft werden, ob ein solches Token existiert und wie lange es gĂŒltig ist:

userX@pcY:~$ tokens

Tokens held by the Cache Manager:

User's (AFS ID 1000) tokens for afs@kip.uni-heidelberg.de [Expires Feb 27 18:15]
   --End of list--

Zum Erhalten oder Erneuern eines Tokens, wird klog verwendet:

userX@pcY:~$ klog userX

Die GĂŒltigkeit eines solchen Tokens bezieht sich standardmĂ€ĂŸig auf einen Nutzer auf einem Rechner, in allen Shells (w:de:Betriebssystem-Shell, w:de:Unix-Shell). Um diese GĂŒltikeit nur auf eine Shell zu beziehen, muss man diese mit kpagsh kapseln und danach erst das Token holen:

userX@pcY:~$ pagsh
userX@pcY:~$ klog userX

Zum Zerstören des Tokens vor dem Ende seiner Laufzeit gibt es unlog:

userX@pcY:~$ unlog
userX@pcY:~$ tokens

Tokens held by the Cache Manager:

   --End of list--

Kerberos-Kommandos

Wenn OpenAFS gestartet ist, wird dann neben dem Kerberos-Ticket auch automatisch ein AFS-Token geholt.

Zur Abfrage der Tickets wird klist verwendet. Mit der Option '-T' wird auch gleich das AFS-Token angezeigt, falls vorhanden:

userX@pcY:~$ klist -T
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: userX@KIP.UNI-HEIDELBERG.DE

  Issued           Expires          Principal
Feb 27 16:25:00  Feb 28 02:24:59  krbtgt/KIP.UNI-HEIDELBERG.DE@KIP.UNI-HEIDELBERG.DE
Feb 27 16:25:00  Feb 28 02:24:59  afs@KIP.UNI-HEIDELBERG.DE

Feb 27 16:25:00  Feb 28 02:24:59  User's (AFS ID 1000) tokens for kip.uni-heidelberg.de

Um ein Ticket zu erhalten, gibt es kinit. Das Token wird automatisch mit erzeugt:

userX@pcY:~$ kinit userX

Innerhalb der GĂŒligkeit kann das Kerberos-Ticket auch verlĂ€ngert werden, ohne das Passwort nochmal neu eingeben zu mĂŒssen:

userX@pcY:~$ kinit -R

Um die eigene Shell zu kapseln, gibt es dann kpagsh:

userX@pcY:~$ kpagsh

Zum Zerstören aller Tickets (und des Tokens) dient kdestroy:

userX@pcY:~$ kdestroy
userX@pcY:~$ klist -T
klist: No ticket file: /tmp/krb5cc_1000