EDV:OpenAFS: Difference between revisions
No edit summary |
No edit summary |
||
Line 17: | Line 17: | ||
fast alle Betriebssysteme kostenlos verfĂźgbar. |
fast alle Betriebssysteme kostenlos verfĂźgbar. |
||
* ''' [[EDV:OpenAFS/Windows | |
* ''' [[EDV:OpenAFS/Windows | Installation Windows ]]''' |
||
* ''' [[EDV:NewSystem/Debian_6#OpenAFS-Client | |
* ''' [[EDV:NewSystem/Debian_6#OpenAFS-Client | Installation Linux]] ''' |
||
* ''' [[EDV:OpenAFS/Install_mac_osx | |
* ''' [[EDV:OpenAFS/Install_mac_osx | Installation Mac OS X]] ''' |
||
Line 48: | Line 48: | ||
Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien. |
Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien. |
||
=== CellServDB === |
=== CellServDB === |
||
Line 70: | Line 69: | ||
* unter Windows vermutlich in: '''C:\Programme\OpenAFS\Client\CellServDB''' |
* unter Windows vermutlich in: '''C:\Programme\OpenAFS\Client\CellServDB''' |
||
=== ThisCell === |
=== ThisCell === |
||
Unsere Zelle (Cell) im [[KIP]] ist natßrlich '''kip.uni-heidelberg.de''', enthält die '''ThisCell'''-Datei entsprechend nur den Eintrag: |
Unsere Zelle (Cell) im [[KIP]] ist natßrlich '''kip.uni-heidelberg.de''',somit enthält die '''ThisCell'''-Datei entsprechend nur den Eintrag: |
||
kip.uni-heidelberg.de |
kip.uni-heidelberg.de |
||
=== CellAlias (nur fĂźr -dynroot) === |
=== CellAlias (nur fĂźr -dynroot) === |
||
Line 100: | Line 97: | ||
fs newalias urz urz.uni-heidelberg.de |
fs newalias urz urz.uni-heidelberg.de |
||
fs listalias |
fs listalias |
||
=== krb5.conf === |
=== krb5.conf === |
||
Line 130: | Line 126: | ||
proxiable = true |
proxiable = true |
||
renewable = true |
renewable = true |
||
# The following encryption type specification will be used by MIT Kerberos |
|||
# if uncommented. In general, the defaults in the MIT Kerberos code |
|||
# are correct and overriding these specifications only serves to disable |
|||
# new encryption types as they are added, creating interoperability problems. |
|||
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 |
|||
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 |
|||
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 |
|||
# The following libdefaults parameters are only for Heimdal Kerberos. |
# The following libdefaults parameters are only for Heimdal Kerberos. |
||
Line 168: | Line 156: | ||
</pre> |
</pre> |
||
Revision as of 13:41, 7 March 2012
Allgemeines
Hier im KIP wird OpenAFS als zentrales Netzwerk-Dateisystem verwendet.
AFS (Andrew File System) ist ein Dateisystem, das die plattformĂźbergreifende gleichzeitige Nutzung von Dateien zwischen mehreren Rechnern ermĂśglicht. Es beinhaltet Funktionen zur Zugriffskontrolle (ACLs), Authentifizierung (Kerberos), verschlĂźsselte DatenĂźbertragung (fcrypt) und einiges mehr...
Ursprßnglich wurde es an der Carnegie Mellon Universität entwickelt, und danach von der Transarc Corporation, die 1994 von IBM ßbernommen wurde, vermarktet.
Seit 2000 existiert eine eine parallele Open Source Weiterentwicklung.
Client Installation
Um sich mit dem AFS-Dateiserver zu verbinden, benÜtigt man (wer hätte das gedacht) eine entsprechende Client-Software. Diese ist fßr fast alle Betriebssysteme kostenlos verfßgbar.
Weitere informative Resourcen zum Thema:
- FAQ fĂźr das AFS im KIP: OpenAFS/FAQ
- EDV-interne Seite (AFS-Server-Administration)
- Das Rechenzentrum hat auch ein AFS: http://www.urz.uni-heidelberg.de/datenhaltung/afs/
- Hier ist eine schĂśne FAQ: http://www.angelfire.com/hi/plutonic/afs-faq.html
Verwendung
Um mit dem AFS-Server arbeiten zu kÜnnen, muss man sich zuerst authentifizieren (siehe auch Authentifizierung ), da man sonst nur die Reche der Gruppe system:anyuser (also Anonymous / Gast) erhält. Mit diesen ist nur der Zugriff auf allgemeine (Üffentliche) Dateien Dateien mÜglich. OpenAFS arbeitet dabei mittlerweile mit Kerberos Verion 5 ( Kerberos). Man kann dazu auch die FAQ durchlesen, insbesondere: "Was ist ein Ticket und/oder Token".
Wegen der Rechte im AFS (Access Control Lists) werden von den Unix/Linux-Protection-Bits fĂźr User, Group und Others werden nur die von User verwendet - dies erfolgt, nachdem die ACL ausgewertet wurde. Weitere Informationen zur Benutzung von AFS.
Wichtig fßr AFS sind synchrone Zeiten der Systemuhren! Deshalb sollte auf jedem Client die Uhrzeit auch stimmen (siehe NTP), sonst kann es passieren, dass der Verbindungsaufbau fehl schlägt. |
Wichtige Konfigurationsdateien
Falls es mal zu Problemen mit dem OpenAFS-Client kommt, ist es gut zu wissen wo welche Einstellung steht ;)
Nachfolgend die wichtigsten KIP-AFS spezifischen Konfigurationsdateien.
CellServDB
In der CellServDB sollte fĂźr die KIP-Zelle folgender Eintrag stehen:
>kip.uni-heidelberg.de 129.206.176.40 # ldap.kip.uni-heidelberg.de 129.206.176.149 # ldap2.kip.uni-heidelberg.de
Achtung der 2. Teil ist nicht nur ein Kommentar, dort muss der vollständige Name des Servers stehen (fßr aklog)! |
Diese Datei befindet sich auch
- im AFS unter: /afs/kip/common/etc/CellServDB
- im Web unter: http://kip1.kip.uni-heidelberg.de/CellServDB
und kann fĂźr die Einstellungen genutzt, bzw. einfach ins Konfigurationsverzeichnis kopiert werden.
- unter Linux meist in: /etc/openafs/CellServDB
- unter Windows vermutlich in: C:\Programme\OpenAFS\Client\CellServDB
ThisCell
Unsere Zelle (Cell) im KIP ist natßrlich kip.uni-heidelberg.de,somit enthält die ThisCell-Datei entsprechend nur den Eintrag:
kip.uni-heidelberg.de
CellAlias (nur fĂźr -dynroot)
Wenn /afs dynamisch generiert wird, sollte die CellAlias-Datei folgendes beinhalten:
kip.uni-heidelberg.de kip alihlt.cern.ch alihlt urz.uni-heidelberg.de urz
Diese Datei muss gegebenenfalls im Konfigurationsverzeichnis des Clients erzeugt werden
- unter Unix / Linux ist das meist: /etc/openafs/CellAlias oder /usr/vice/etc
- unter Windows: C:\Programme\OpenAFS\Client\CellServDB
Dieses Beispiel auch im AFS und kann von dort aus kopiert werden:
cp /afs/kip.uni-heidelberg.de/common/etc/CellAlias /etc/openafs
Damit diese Datei neu eingelesen wird, muss der AFS-Client neugestartet werden. Wenn das nicht geht, kÜnnen diese Aliase auch temporär manuell erzeugt werden:
fs newalias kip kip.uni-heidelberg.de fs newalias alihlt alihlt.cern.ch fs newalias urz urz.uni-heidelberg.de fs listalias
krb5.conf
Die Datei krb5.conf beinhaltet Informationen Ăźber den Kerberos-Realm, in dem sich der Client befindet. Kerberos wird Ăźber diese Datei Konfiguriert.
- im AFS abgelegt unter: /afs/kip/common/etc/krb5.conf
Auf dem lokalen Client-System befindet sie sich:
- unter Linux in: /etc/krb5.conf
- unter Windows in: C:\ProgramData\Kerberos\krb5.conf
und sieht in etwa so aus:
[libdefaults] default_realm = KIP.UNI-HEIDELBERG.DE ticket_lifetime = 2d renew_lifetime = 8d # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true renewable = true # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } [realms] KIP.UNI-HEIDELBERG.DE = { kdc = ldap2.kip.uni-heidelberg.de kdc = afsback.kip.uni-heidelberg.de kdc = ldap.kip.uni-heidelberg.de admin_server = ldap.kip.uni-heidelberg.de } [domain_realm] .kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE kip.uni-heidelberg.de = KIP.UNI-HEIDELBERG.DE [login] krb4_convert = false krb4_get_tickets = false
Ein etwas älteres Beispiel:
Installation des Clients im KIP: EDV:OpenAFS/Install_winxp