EDV:OpenAFS: Difference between revisions
m (ââVerwendung) |
 |
||
(31 intermediate revisions by 3 users not shown) | |||
Line 3: | Line 3: | ||
== Allgemeines == |
== Allgemeines == |
||
Hier im [[KIP]] wird [ |
Hier im [[KIP]] wird [http://www.openafs.org OpenAFS] als zentrales Netzwerk-Dateisystem verwendet. |
||
AFS (Andrew File System) ist ein Dateisystem, das die plattformĂŒbergreifende gleichzeitige Nutzung von Dateien zwischen mehreren Rechnern ermöglicht. |
|||
* [[w:de:FAQ]] fĂŒr das [[KIP-AFS]]: [[EDV:OpenAFS/FAQ]] |
|||
Es beinhaltet Funktionen zur Zugriffskontrolle (ACLs), Authentifizierung (Kerberos), verschlĂŒsselte DatenĂŒbertragung (fcrypt) und einiges [[w:de:Andrew File System | mehr...]] |
|||
* [[EDV_Privat:OpenAFS|EDV-interne Seite]] (AFS-Server-Administration) |
|||
* Wikipedia Artikel: [[w:de:Andrew File System]] |
|||
* Homepage von [[EDV:OpenAFS|OpenAFS]]: http://www.openafs.org |
|||
* Das Rechenzentrum hat auch ein [[EDV:OpenAFS|AFS]]: http://www.urz.uni-heidelberg.de/Software/AFS/ |
|||
* Hier ist eine schöne FAQ: http://www.angelfire.com/hi/plutonic/afs-faq.html |
|||
UrsprĂŒnglich wurde es an der Carnegie Mellon UniversitĂ€t entwickelt, und danach von der Transarc Corporation, die 1994 von IBM ĂŒbernommen wurde, vermarktet.<br /> |
|||
Seit 2000 existiert eine parallele [[w:de:Open Source | Open Source]] Weiterentwicklung. |
|||
== Client Installation == |
|||
Um sich mit dem AFS-Dateiserver zu verbinden, benötigt man (wer hĂ€tte das gedacht) eine entsprechende Client-Software. Diese ist fĂŒr |
|||
AFS ist ein sicheres, verteiltes Dateisystem, welches an der Carnegie Mellon UniversitÀt entwickelt wurde. |
|||
fast alle Betriebssysteme kostenlos verfĂŒgbar. |
|||
Danach wurde es von der Transarc Corporation, die mittlerweile von IBM ĂŒbernommen wurde, vermarktet. |
|||
* ''' [[EDV:OpenAFS/Windows | Installation Windows ]]''' |
|||
IBM ermöglichte dann eine parallele Weiterentwicklung als [[w:de:Open Source]] (http://www.openafs.org). |
|||
* ''' [[EDV:NewSystem/Debian_6#OpenAFS-Client | Installation Linux]] ''' |
|||
* ''' [[EDV:OpenAFS/Install_mac_osx | Installation Mac OS X]] ''' |
|||
=== Vorteile von AFS === |
|||
Quelle fĂŒr die meisten Punkte (demnach auch genauer): http://www.angelfire.com/hi/plutonic/afs-faq.html |
|||
Weitere Informationen zum Thema: |
|||
* Es erfolgt ein '''Caching der Daten''' auf dem Client. |
|||
* [[w:de:FAQ | FAQ]] fĂŒr das AFS im KIP: [[EDV:OpenAFS/FAQ | OpenAFS/FAQ ]] |
|||
* Anders als bei NFS sind die Daten '''lokaltionsunabhÀnig''' (und nicht fest). |
|||
* Das Orginal [http://docs.openafs.org/UserGuide/index.html OpenAFS User Guide] |
|||
* AFS ist daher '''sehr skalierbar''' und deshalb fĂŒr groĂe Umgebungen geeignet. |
|||
* Das Rechenzentrum hat auch ein [[EDV:OpenAFS|AFS]]: http://www.urz.uni-heidelberg.de/datenhaltung/afs/ |
|||
* AFS unterstĂŒtzt einige '''Sicherheits-Funktionen''' wie Kerberos Authentisierung und feinere Rechtevergabe (ACLs). |
|||
* Die Sicht auf das AFS ist von jedem Client aus gleich ('''Single System Image (SSI)'''). |
|||
* Die Daten können '''transparent ĂŒber mehrerer Server verteilt''' werden. |
|||
* Demnach ist auch der Ausfall eines Servers leichter zu verkraften, bzw. u.U. sogar 'egal'. |
|||
* Der '''Zugriff''' ist mit einem Client '''von ĂŒberall''' aus möglich. |
|||
* Es gibt eine breite UnterstĂŒtzung an Client Systemen (z.B. Windows, Linux, HP-UX, AIX, Solaris, ...). |
|||
* [[w:de:Disk Quota]]s sind elementare Bestandteile von [[EDV:AFS|AFS]]. |
|||
== Verwendung == |
|||
=== Vergleich von AFS und NFS === |
|||
Um mit dem AFS-Server arbeiten zu können, muss man sich zuerst [[EDV:OpenAFS/Verwendung/Authentisieren|authentifizieren]] (siehe auch [[w:de:Authentifizierung | Authentifizierung ]]), da man sonst nur die Reche der Gruppe ''system:anyuser'' (also Anonymous / Gast) erhÀlt. Mit diesen ist nur der Zugriff auf allgemeine (öffentliche) Dateien möglich. OpenAFS arbeitet dabei mittlerweile mit Kerberos Verion 5 ([http://www.kerberos.org/software/tutorial.html Kerberos]). |
|||
Ganz kurze Version: [http://people.ccmr.cornell.edu/~mitch/afsvsnfs.html AFS vs. NFS] {{IconSmiley06}} |
|||
Man kann dazu auch die [[EDV:OpenAFS/FAQ| FAQ]] durchlesen, insbesondere: [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token | "Was ist ein Ticket und/oder Token"]]. |
|||
Wegen der [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] werden von den Unix/Linux-Protection-Bits |
|||
{|{{Prettytable}} |
|||
fĂŒr User, Group und Others werden nur die von User verwendet - dies erfolgt, nachdem die ACL ausgewertet wurde. |
|||
! || AFS || NFS |
|||
Weitere Informationen zur [[EDV:OpenAFS/Verwendung|Benutzung von AFS]]. |
|||
|- |
|||
! File Access |
|||
| Common name space from all workstations |
|||
| Different file names from differnt workstations |
|||
|- |
|||
! File Location |
|||
| Automatic tracking by |
|||
| Mountpoints to files set by |
|||
|- |
|||
! Tracking |
|||
| file system processes and databases |
|||
| administrators and users |
|||
|- |
|||
! Performance |
|||
| Client caching to reduce network load; callbacks to maintain cache consistency |
|||
| No local disk caching; limited cache consistency |
|||
|- |
|||
! Andrew Benchmark |
|||
| Average time of 210 (5 phases, 8 clients) seconds/client |
|||
| Average time of 280 seconds/client |
|||
|- |
|||
! Scaling capabilities |
|||
| Maintains performance in small and very large installations |
|||
Excellent performance on wide-area configuration |
|||
| Best in small to mid-size installations |
|||
Best in local-area configurations |
|||
|- |
|||
! Security |
|||
| Kerberos mutual authentication |
|||
Access control lists on directories for user and group access |
|||
| Security based on unecrypted user ID's |
|||
No access control lists |
|||
|- |
|||
! Availability |
|||
| Replicates read-mostly data and AFS system information |
|||
| No replication |
|||
|- |
|||
! Backup Operation |
|||
| No system downtime with specially developed AFS Backup System |
|||
| Standard UNIX backup system |
|||
|- |
|||
! Reconfiguration |
|||
| By volumes (groups of files) |
|||
No user impact; files remain accessible during moves, and file names do not change |
|||
| Per-file movement |
|||
Users lose access to files and filenames change (mountpoints need to be reset) |
|||
|- |
|||
! System Management |
|||
| Most tasks performed from any workstation |
|||
| Frequently involves telnet to other workstations |
|||
|- |
|||
! Autonomous |
|||
| Autonomous administrative |
|||
| File servers and clients |
|||
|- |
|||
! Architecture |
|||
| units called cells, in addition to file servers and clients |
|||
No trust required between cells |
|||
| |
|||
No security distinctions between sites |
|||
|- |
|||
|} |
|||
{{Achtung|{{IconAchtung}} Wichtig fĂŒr AFS sind '''synchrone Zeiten''' der Systemuhren! Deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe [[EDV:NTP|NTP]]), sonst kann es passieren, dass die Authentifikation fehlschlĂ€gt.}} |
|||
Other points: |
|||
* Some vendors offer more secure versions of NFS but implementations vary. Many NFS ports have no extra security features (such as Kerberos). |
|||
* The AFS Cache Manager can be configured to work with a RAM (memory) based cache. This offers signifigant performance benefits over a disk based cache. |
|||
*: NFS has no such feature. Imagine how much faster it is to access files cached into RAM! |
|||
* The Andrew benchmark demonstrates that AFS has better performance than over NFS as the number of clients increases. A graph of this (taken from Andrew benchmark report) is available in: [http://www.angelfire.com/hi/plutonic/images/andrew1.jpg http://www.angelfire.com/hi/plutonic/images/andrew1.jpg ] |
|||
== Wichtige Konfigurationsdateien == |
|||
Quelle: http://www.angelfire.com/hi/plutonic/afs-faq.html |
|||
Falls es mal zu Problemen mit dem OpenAFS-Client kommt, ist es gut zu wissen, wo welche Einstellung steht ;) |
|||
Quelle: ftp://ftp.transarc.com/pub/afsps/doc/afs-nfs.comparison |
|||
Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien. |
|||
=== Unterschied von AFS zu Unix-Dateisystem === |
|||
=== CellServDB === |
|||
Vom Nutzerstandpunkt gibt es wenige Unterschiede zu einem 'normalen' Unix-Dateisystem. |
|||
In der ''CellServDB'' sollte fĂŒr die KIP-Zelle folgender Eintrag stehen: |
|||
* '''Authentisierung''': |
|||
: Bevor ein Nutzer auf AFS-Dateien zugreifen kann, muss er sich mit einem Kerberos-Login authentisieren (kinit, aklog). (Dies sollte beim Login schon geschehen.) Ein unauthorisierter Nutzer und hat im AFS nur die Rechte von ''system:anyuser''. |
|||
<pre> |
|||
* '''Datei-(Zugriffs)-Rechte''': |
|||
>kip.uni-heidelberg.de |
|||
: Die Unix-mode-bits fĂŒr 'group' und 'other' werden ignoriert und die von 'owner' werden anders ausgewertet. Die Nutzer sollten ihre Dateien mit den ACLs (des Verzeichnisses) schĂŒtzen. |
|||
129.206.176.40 # ldap.kip.uni-heidelberg.de |
|||
129.206.176.149 # ldap2.kip.uni-heidelberg.de |
|||
</pre> |
|||
{{Achtung|Achtung der 2. Teil ist nicht nur ein Kommentar, dort '''muss''' der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)!}} |
|||
* '''Protection groups''': |
|||
: Nutzer können ihre eigenen Gruppen in AFS erzeugen und verwalten. |
|||
Diese Datei befindet sich auch |
|||
* '''Hard links''': |
|||
: Im AFS sind 'hard links' nur bei Verzeichnissen möglich. Symbolische Links arbeiten wie gewohnt. |
|||
* '''VerÀndern der Zugriffsrechte beim verschieben''': |
|||
: Ein verschieben einer Datei in ein anderes Verzeichnis, Àndert die Zugriffsrechte, da eine Datei die ACLs des Verzeichnisses annimmt. |
|||
* im AFS unter: '''/afs/kip/common/etc/CellServDB''' |
|||
* '''chown''' und '''chgrp''': |
|||
: Nur Mitglieder der AFS-Gruppe 'system:administrators' kann diese Kommandos auf Dateien im /afs verwenden. |
|||
* im Web unter: '''http://kip1.kip.uni-heidelberg.de/afs/common/etc/CellServDB''' |
|||
* '''Save on close''': (''fĂŒr Programmierer'') |
|||
: Der AFS Cache Manager sendet die DateiÀnderungen nicht zu dem Server, bis ein 'close()' oder 'fsync()' system call aufgerufen wird. Ein 'write()' system call Àndert nur die lokale Kopie des Clients. |
|||
: Der Unterschiedbeim schreiben einer Datei: |
|||
:: local unix file: 'sofortiges' schreiben der Datei |
|||
:: AFS file: 'sofortiges' schreiben der Datei im lokalem Cache, aber der Server erhÀlt die Kopie nur bei einem 'close()' oder 'fsync()' |
|||
: Es ist wichtig zu verstehen, dass die meisten Anwendungen (z.B.: vi, emacs, frame, interleaf, wingz, dogz, ...) den 'close()' system call senden, wenn der Nutzer die Datei speichert. Nutzer mĂŒssen daher nicht die Anwendung verlassen, um die Ănderungen an den Server zu senden! |
|||
* byte-range file locking: (''fĂŒr Programmierer'') |
|||
: AFS erlaubt kein 'byte-range locking' in einer Datei. Der Aufruf von 'lockf()' und 'fcntl()' ergibt (success) obwohl er keinen Einfluss hat (wird ignoriert)! |
|||
und kann fĂŒr die Einstellungen genutzt, bzw. einfach ins Konfigurationsverzeichnis kopiert werden. |
|||
* whole file locking: (''fĂŒr Programmierer'') |
|||
: AFS erlaubt das locken einer gesammten Datei mit 'flock(). Die Prozesse auf dem gleichen Client, die diese Datei locken wollen, folgend dann den 'korrekten' locking-Semantiken. Prozesses auf anderen Clients erhalten bei einem lock-Request ein 'EWOULDBLOCK'. |
|||
* unter Linux meist in: '''/etc/openafs/CellServDB ''' |
|||
* '''character and block special files''': (''fĂŒr SysAdmins'') |
|||
: AFS unterstĂŒtzt keine ''character'' oder ''block'' spezial Dateien. Das ''mknod''-Kommando kann keine solche speziellen Dateien im /afs erzeugen. |
|||
* unter Windows vermutlich in: '''C:\Programme\OpenAFS\Client\CellServDB''' |
|||
* AFS version of fsck: (''fĂŒr Sysadmins'') |
|||
: AUf einem AFS-File-Server sind die Partitionen (fĂŒr AFS '/vicepXX') kein Unix Dateisystem und das standard 'fsck'-Kommando darf dort nicht verwendet werden, sondern das von AFS selbst. |
|||
=== ThisCell === |
|||
Quelle: http://www.angelfire.com/hi/plutonic/afs-faq.html |
|||
Unsere Zelle (Cell) im [[KIP]] ist natĂŒrlich '''kip.uni-heidelberg.de''',somit enthĂ€lt die '''ThisCell'''-Datei entsprechend nur den Eintrag: |
|||
== [[EDV:OpenAFS/Verwendung|Verwendung]] == |
|||
Zur [[EDV:OpenAFS/Verwendung|Verwendung]] von [[AFS]] bitte auch |
|||
die [[EDV:OpenAFS/FAQ|FAQ]] beachten, besonders [[EDV:OpenAFS/FAQ#Was ist ein Ticket und/oder Token]]. |
|||
Siehe: [[EDV:OpenAFS/Verwendung]] |
|||
=== [[EDV:OpenAFS/Verwendung/Authentisieren|Authentisieren]] === |
|||
Um mit [[EDV:AFS|AFS]] arbeiten zu können, muss man sich erst authentisieren ([[w:de:Authentisierung]]), |
|||
da man sonst nur die Reche der Gruppe '''system:anyuser''' (also Anonymous) hat. |
|||
[[EDV:AFS|AFS]] arbeitet dabei mit Kerberos4-Token ([[w:de:Kerberos (Informatik)]]). |
|||
=== [[EDV:OpenAFS/Verwendung/ACLs|Rechte im AFS (Access Control Lists)]] === |
|||
Achtung: Von den Unix/Linux-Protection-Bits fĂŒr User, Group und Others werden nur die von User verwendet. |
|||
Dies erfolgt, nachdem die ACL ausgewertet wurde. |
|||
== Client-Installation (Zugang zum AFS) == |
|||
=== General === |
|||
{{Achtung|{{IconAchtung}} Wichtig fĂŒr AFS sind '''synchrone Zeiten''' der Systemuhren, deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe [[EDV:NTP|NTP]]).}} |
|||
==== Allgemeine OpenAFS Dokumentation ==== |
|||
Die Dokumentation von Openafs ist hier zu finden: |
|||
file:///afs/kip/afsdoc/html/QuickStartUnix/auqbg007.htm#HDRWQ133 |
|||
http://www.openafs.org/pages/doc/QuickStartUnix/auqbg007.htm#HDRWQ133 |
|||
==== CellServDB und ThisCell ==== |
|||
Unsere Zelle (Cell) im [[KIP]] ist natĂŒrlich '''kip.uni-heidelberg.de''', daher sieht die '''ThisCell'''-Datei so aus: |
|||
kip.uni-heidelberg.de |
kip.uni-heidelberg.de |
||
=== CellAlias (nur fĂŒr -dynroot) === |
|||
In der '''CellServDB''' sollte fĂŒr die KIP-Zelle folgender Eintrag stehen: |
|||
>kip.uni-heidelberg.de |
|||
129.206.176.40 # ldap.kip.uni-heidelberg.de |
|||
129.206.176.149 # ldap2.kip.uni-heidelberg.de |
|||
{{Achtung|Achtung der 2. Teil ist nicht nur ein Kommentar, dort '''muss''' der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)!}} |
|||
Diese Dateien ist auch unter '''/afs/kip/common/etc/''' zu finden. |
|||
http://kip1.kip.uni-heidelberg.de/CellServDB |
|||
==== CellAlias (nur fĂŒr -dynroot) ==== |
|||
Wenn '''/afs dynamisch''' generiert wird, sollte die '''CellAlias'''-Datei folgendes beinhalten: |
Wenn '''/afs dynamisch''' generiert wird, sollte die '''CellAlias'''-Datei folgendes beinhalten: |
||
Line 213: | Line 82: | ||
Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden |
Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden |
||
('/etc/openafs/CellAlias' oder '/usr/vice/etc'). |
|||
* unter Unix / Linux ist das meist: '''/etc/openafs/CellAlias''' oder '''/usr/vice/etc''' |
|||
NatĂŒrlich ist dieses Beispiel auch im AFS: |
|||
* unter Windows: '''C:\Programme\OpenAFS\Client\CellServDB''' |
|||
Dieses Beispiel auch im AFS und kann von dort aus kopiert werden: |
|||
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs |
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs |
||
Damit diese Datei neu eingelesen wird muss der AFS-Client neugestartet werden. |
Damit diese Datei neu eingelesen wird, muss der AFS-Client neugestartet werden. |
||
Wenn das nicht geht können diese Aliase auch |
Wenn das nicht geht, können diese Aliase auch temporÀr manuell erzeugt werden: |
||
fs newalias kip kip.uni-heidelberg.de |
fs newalias kip kip.uni-heidelberg.de |
||
fs newalias alihlt alihlt.cern.ch |
fs newalias alihlt alihlt.cern.ch |
||
Line 225: | Line 97: | ||
fs listalias |
fs listalias |
||
=== krb5.conf === |
|||
=== [[EDV:OpenAFS/Install_i386_linux26|Linux-Client]] === |
|||
Die Datei krb5.conf (oder auch krb5.ini) beinhaltet Informationen ĂŒber den Kerberos-Realm, in dem sich der Client befindet. |
|||
[[EDV:OpenAFS/Install_i386_linux24]] |
|||
Kerberos wird ĂŒber diese Text-Datei konfiguriert. |
|||
* im AFS unter: '''/afs/kip/common/etc/krb5.conf''' |
|||
[[EDV:OpenAFS/Install_i386_linux26]] |
|||
* im Web unter: '''http://kip1.kip.uni-heidelberg.de/afs/common/etc/krb5.conf''' |
|||
Auf dem lokalen Client-System befindet sie sich: |
|||
=== [[EDV:OpenAFS/Install_sun4x_510|Solaris]] === |
|||
* unter Linux in: '''/etc/krb5.conf ''' |
|||
[[EDV:OpenAFS/Install_sun4x_59]] |
|||
* unter Windows in: '''C:\ProgramData\Kerberos\krb5.conf''' |
|||
[[EDV:OpenAFS/Install_sun4x_510]] |
|||
* oder auch in: '''C:\Windows\krb5.ini''' |
|||
=== [[EDV:OpenAFS/Install_hp_ux110|HP-UX]] === |
|||
und ihr Inhalt sieht in etwa so aus: |
|||
[[EDV:OpenAFS/Install_hp_ux110]] |
|||
<pre> |
|||
### KIP krb5.conf - date: 21.11.2012 ### |
|||
[libdefaults] |
|||
allow_weak_crypto = true |
|||
default_realm = KIP.UNI-HEIDELBERG.DE |
|||
ticket_lifetime = 2d |
|||
renew_lifetime = 8d |
|||
# The following krb5.conf variables are only for MIT Kerberos. |
|||
=== [[EDV:OpenAFS/Install_winxp|Windows]] === |
|||
kdc_timesync = 1 |
|||
ccache_type = 4 |
|||
forwardable = true |
|||
proxiable = true |
|||
renewable = true |
|||
# The following libdefaults parameters are only for Heimdal Kerberos. |
|||
Installation des Clients im KIP: [[EDV:OpenAFS/Install_winxp]] |
|||
v4_instance_resolve = false |
|||
[realms] |
|||
KIP.UNI-HEIDELBERG.DE = { |
|||
kdc = ldap2.kip.uni-heidelberg.de |
|||
kdc = afsback.kip.uni-heidelberg.de |
|||
kdc = ldap.kip.uni-heidelberg.de |
|||
admin_server = ldap.kip.uni-heidelberg.de |
|||
} |
|||
[domain_realm] |
|||
.kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE |
|||
kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE |
|||
[login] |
|||
krb4_convert = false |
|||
krb4_get_tickets = false |
|||
</pre> |
|||
Dokumentation von OpenAFS.org: http://www.openafs.org/pages/doc/QuickStartWindows/awqbg002.htm#ToC |
|||
Ein etwas Àlteres Beispiel: |
|||
== [[EDV:OpenAFS/FAQ|FAQ]] == |
|||
Installation des Clients im KIP: [[EDV:OpenAFS/Install_winxp]] |
|||
Hier gibts die [[EDV:OpenAFS/FAQ|OpenAFS-FAQ]]. |
|||
Latest revision as of 13:51, 7 March 2013
Allgemeines
Hier im KIP wird OpenAFS als zentrales Netzwerk-Dateisystem verwendet.
AFS (Andrew File System) ist ein Dateisystem, das die plattformĂŒbergreifende gleichzeitige Nutzung von Dateien zwischen mehreren Rechnern ermöglicht. Es beinhaltet Funktionen zur Zugriffskontrolle (ACLs), Authentifizierung (Kerberos), verschlĂŒsselte DatenĂŒbertragung (fcrypt) und einiges mehr...
UrsprĂŒnglich wurde es an der Carnegie Mellon UniversitĂ€t entwickelt, und danach von der Transarc Corporation, die 1994 von IBM ĂŒbernommen wurde, vermarktet.
Seit 2000 existiert eine parallele Open Source Weiterentwicklung.
Client Installation
Um sich mit dem AFS-Dateiserver zu verbinden, benötigt man (wer hĂ€tte das gedacht) eine entsprechende Client-Software. Diese ist fĂŒr fast alle Betriebssysteme kostenlos verfĂŒgbar.
Weitere Informationen zum Thema:
- FAQ fĂŒr das AFS im KIP: OpenAFS/FAQ
- Das Orginal OpenAFS User Guide
- Das Rechenzentrum hat auch ein AFS: http://www.urz.uni-heidelberg.de/datenhaltung/afs/
Verwendung
Um mit dem AFS-Server arbeiten zu können, muss man sich zuerst authentifizieren (siehe auch Authentifizierung ), da man sonst nur die Reche der Gruppe system:anyuser (also Anonymous / Gast) erhÀlt. Mit diesen ist nur der Zugriff auf allgemeine (öffentliche) Dateien möglich. OpenAFS arbeitet dabei mittlerweile mit Kerberos Verion 5 (Kerberos). Man kann dazu auch die FAQ durchlesen, insbesondere: "Was ist ein Ticket und/oder Token".
Wegen der Rechte im AFS (Access Control Lists) werden von den Unix/Linux-Protection-Bits fĂŒr User, Group und Others werden nur die von User verwendet - dies erfolgt, nachdem die ACL ausgewertet wurde. Weitere Informationen zur Benutzung von AFS.
Wichtig fĂŒr AFS sind synchrone Zeiten der Systemuhren! Deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe NTP), sonst kann es passieren, dass die Authentifikation fehlschlĂ€gt. |
Wichtige Konfigurationsdateien
Falls es mal zu Problemen mit dem OpenAFS-Client kommt, ist es gut zu wissen, wo welche Einstellung steht ;)
Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien.
CellServDB
In der CellServDB sollte fĂŒr die KIP-Zelle folgender Eintrag stehen:
>kip.uni-heidelberg.de 129.206.176.40 # ldap.kip.uni-heidelberg.de 129.206.176.149 # ldap2.kip.uni-heidelberg.de
Achtung der 2. Teil ist nicht nur ein Kommentar, dort muss der vollstĂ€ndige Name des Servers stehen (fĂŒr aklog)! |
Diese Datei befindet sich auch
- im AFS unter: /afs/kip/common/etc/CellServDB
und kann fĂŒr die Einstellungen genutzt, bzw. einfach ins Konfigurationsverzeichnis kopiert werden.
- unter Linux meist in: /etc/openafs/CellServDB
- unter Windows vermutlich in: C:\Programme\OpenAFS\Client\CellServDB
ThisCell
Unsere Zelle (Cell) im KIP ist natĂŒrlich kip.uni-heidelberg.de,somit enthĂ€lt die ThisCell-Datei entsprechend nur den Eintrag:
kip.uni-heidelberg.de
CellAlias (nur fĂŒr -dynroot)
Wenn /afs dynamisch generiert wird, sollte die CellAlias-Datei folgendes beinhalten:
kip.uni-heidelberg.de kip alihlt.cern.ch alihlt urz.uni-heidelberg.de urz
Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden
- unter Unix / Linux ist das meist: /etc/openafs/CellAlias oder /usr/vice/etc
- unter Windows: C:\Programme\OpenAFS\Client\CellServDB
Dieses Beispiel auch im AFS und kann von dort aus kopiert werden:
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs
Damit diese Datei neu eingelesen wird, muss der AFS-Client neugestartet werden. Wenn das nicht geht, können diese Aliase auch temporÀr manuell erzeugt werden:
fs newalias kip kip.uni-heidelberg.de fs newalias alihlt alihlt.cern.ch fs newalias urz urz.uni-heidelberg.de fs listalias
krb5.conf
Die Datei krb5.conf (oder auch krb5.ini) beinhaltet Informationen ĂŒber den Kerberos-Realm, in dem sich der Client befindet. Kerberos wird ĂŒber diese Text-Datei konfiguriert.
- im AFS unter: /afs/kip/common/etc/krb5.conf
- im Web unter: http://kip1.kip.uni-heidelberg.de/afs/common/etc/krb5.conf
Auf dem lokalen Client-System befindet sie sich:
- unter Linux in: /etc/krb5.conf
- unter Windows in: C:\ProgramData\Kerberos\krb5.conf
- oder auch in: C:\Windows\krb5.ini
und ihr Inhalt sieht in etwa so aus:
### KIP krb5.conf - date: 21.11.2012 ### [libdefaults] allow_weak_crypto = true default_realm = KIP.UNI-HEIDELBERG.DE ticket_lifetime = 2d renew_lifetime = 8d # The following krb5.conf variables are only for MIT Kerberos. kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true renewable = true # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false [realms] KIP.UNI-HEIDELBERG.DE = { kdc = ldap2.kip.uni-heidelberg.de kdc = afsback.kip.uni-heidelberg.de kdc = ldap.kip.uni-heidelberg.de admin_server = ldap.kip.uni-heidelberg.de } [domain_realm] .kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE [login] krb4_convert = false krb4_get_tickets = false
Ein etwas Àlteres Beispiel:
Installation des Clients im KIP: EDV:OpenAFS/Install_winxp