EDV:OpenAFS/FAQ: Difference between revisions
(→Beschränkungen/Limits: Rekursives Ändern von Rechten) |
|
(One intermediate revision by the same user not shown) | |
(No difference)
|
Latest revision as of 16:21, 13 January 2014
Dies ist eine w:de:FAQ für das KIP-AFS. Die Installationsanleitungen und allgemeine Informationen befinden sich auf der OpenAFS-Seite!
Wo kann ich auf AFS zugreifen ohne selbst einen Client zu installieren?
Auf den LoginServern (kip1/kip2/kipfire/kipwin.kip.uni-heidelberg.de) ist OpenAFS installiert (auf den Linux-Maschienen auch Heimdal-Kerberos). Demnach kann von dort auf das AFS zugegriffen werden.
Für Anonymen Zugriff (z.B. für Software, ...) kann man über kip1 auch das Samba-Share verwenden:
\\kip1.kip.uni-heidelberg.de\kip-afs file://kip1.kip.uni-heidelberg.de/kip-afs smb://kip1.kip.uni-heidelberg.de/kip-afs
kinit lehnt mein Passwort ab!
Es kann sein das noch kein Kerberos-Eintrag erzeugt wurde. Dies ist der Fall, wenn kinit sagt unknown statt Password incorrect
userX@kip1:~$ kinit userX userX3@KIP.UNI-HEIDELBERG.DE's Password: kinit: krb5_get_init_creds: Client (userX@KIP.UNI-HEIDELBERG.DE) unknown
Um dann seinen Eintrag zu erzeugen, muss man sich einmal auf Portal anmelden:
https://portal.kip.uni-heidelberg.de/account/
Nun wird versucht, das Kerberos-Passwort zu setzten.
Falls eine Fehlermeldung erscheint, müssen Sie sich and die EDV-Abteilung wenden. |
Wie komme ich an ein Backup meines Homeverzeichnisses?
Jeden Tag um 0:00Uhr wird der Stand aller volumes eingefroren und in ~/.backup verfügbar gemacht. Somit kann jeder auf diesen Stand seines Homeverzeichnisses zugreifen.
ls -l ~/ ls -l ~/.backup
Kann man die Lebensdauer der AFS-Tokens erhöhen?
Damit Simulationen oder ... auch ohne Klimmzüge über das Wochenende laufen können, ist es möglich die Lebensdauer seines AFS-Tokens erhöhen zu lassen.
Dies ist eine Einstellungsmöglichkeit für Nutzer, die von der EDV-Abteilung gesetzt werden muss. Wir wollen das nur nicht für alle Nutzer standardmäßig einstellen, da dies mit gewissen Sicherheitsrisiken verbunden ist. Teilen Sie uns also mit, wenn das für Ihren KIP-Account so eingestellt werden soll.
Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen.
Nach dieser Zeit ist das AFS-Token abgelaufen (siehe OpenAFS ).
Das Token muss wieder erneuert werden. Auf den Linux-Maschinen kann man zum Beispiel mit kinit das Kerberos-Ticket erneuern. dabei wird auch das AFS-Token verlängert. Oder man kann mit klog nur das AFS-Token erneuern (Auf den Solaris-Maschinen bleibt nur das).
Also: wenn noch ein Terminal offen ist: kinit oder klog eingeben.
Am einfachsten ist es aber, wenn man den Screensaver so konfiguriert, dass er nach einer gewissen Zeit der Untätigkeit den Bildschirm sperrt. Bei der anschliessenden Authentifikation wird nämlich auch das AFS-Token erneuert.
Für IceWM kann man den Screensaver (und auch anderes) automatisch beim Login so starten lassen:
Man legt eine Datei ~/.icewm/startup an, mit dem Inhalt:
#!/bin/bash xterm & xscreensaver &
Anschliessend macht man die Datei ausführbar:
chmod 755 ~/.icewm/startup
Was ist ein Ticket und/oder Token
- Mit Ticket wird das Kerberos5-Ticket bezeichnet. (w:de:Kerberos (Informatik))
- Mit Token wird das AFS-Token bezeichnet. (w:de:Andrew File System)
(Ein AFS-Token ist technisch ein besonderes Kerberos4-Ticket.) Für die Arbeit mit AFS wird normalerweise nur das Token benötigt, allerdings ist es meistens einfacher vorher ein Ticket zu haben.
Befehl | Funktion |
---|---|
tokens | Auflisten des AFS-Tokens |
klist | Auflisten des Kerberos-Tickets |
klist -T | Auflisten des Kerberos-Tickets und des AFS-Tokens |
klog | Holen eines AFS-Tokens |
kinit | Holen eines Kerberos-Tickets und AFS-Tokens |
kinit -R | Verlängern eines vorhandenen Kerberos-Tickets (renew) |
aklog | Holen eines AFS-Tokens aus einem vorhandenen Kerberos-Ticket |
unlog | Zerstören des AFS-Tokens |
kdestroy | Zerstören des Kerberos-Tickets und des AFS-Tokens |
pagsh | Schaffen einer neuen Umgebung für ein AFS-Token. |
kpagsh | Schaffen einer neuen Umgebung für ein Kerberos-Ticket und AFS-Token. |
Wo finde ich Was (Struktur im AFS)
Die Hauptverzeichnisse im AFS beherbergen bestimmte Sachen:
Pfad | Beschreibung |
---|---|
/afs/kip.uni-heidelberg.de/ | Hauptpfad (lesend wenn möglich) |
/afs/.kip.uni-heidelberg.de/ | Hauptpfad immer auf Schreibenden Volumes |
/afs/kip/user | Verzeichnis zu den Homeverzeichnissen der Nutzer im AFS |
/afs/kip/doc | Dokumentationen (HowTow's, Manuals, Handbücher, ...) |
/afs/kip/doc/afs | AFS Dokumentation |
/afs/kip/openafs | Lokale Binaries/Quellen von OpenAFS |
/afs/kip/common | Allgemeine Konfigurationsdateien (z.B. die CellServDB und die ThisCell) |
/afs/kip/@sys | Binaries für die jeweilige Systemarchitektur (z.B. i386_linux26, sun4x_510) |
/afs/kip/software | Verschiedene Software |
/afs/kip/software/Linux | Software für Linux und verschiedene (CD/DVD-Images) von Linux (z.B. SuSe, Debian, Knoppix, Ubuntu) |
/afs/kip/software/Windows | Software für Windows |
/afs/kip/projects | Hier sind die Projektverzeichnisse angegliedert (computing, pictures, s7technik, ti, ...) |
/afs/kip/backup | Lagerplatz für Backups (User/Hosts) |
/afs/kip/temp | Allgemeines Temporäres Verzeichnis im AFS (viel Platz, aber kein Backup!) |
/afs/kip/computing | Daten der EDV-Abteilung |
/afs/kip/cad | |
/afs/kip/web | Hier liegen die Daten der von uns gehostetet WWW-Domains (*.uni-heidelberg.de). |
/afs/kip/webprojects | Hier sind die Daten einzelner Webprojekte unterhalb der KIP-Domain (ehemals /webuser). |
Beschränkungen/Limits
- Die maximale Anzahl an Dateien in einem Verzeichnis ist abhängig von der Länge der Dateinamen. Für je 16 Zeichen wird ein Eintrag erzeugt, und es sind maximal 64000 Einträge pro Verzeichnis möglich. Folglich können maximal 64000 Dateien (deren Dateinamen kleiner-gleich 16 Zeichen ist) in einem Verzeichnis sein. (Siehe: https://lists.openafs.org/pipermail/openafs-info/2002-September/005812.html)
Rekursives Ändern von Rechten
Der AFS-Befehlt fs kann nicht rekursiv angewendet werden, aber find hilft.
Um zum Beispiel allen Authentisierten Nutzern im KIP in allen Unterverzeichnisen von 'pub' Leserechte zu geben:
sesselm@kip1:~$ find pub -type d -noleaf -exec fs setacl -dir {} -acl system:authuser read \;
Bei AFS ist es ratsam immer die -noleaf Option zu verwenden, ansonsten man find und man fs_setacl.