EDV:OpenAFS/FAQ

From KIP Wiki
Revision as of 14:09, 12 December 2007 by Sesselm (talk | contribs) (→‎BeschrĂ€nkungen/Limits: Rekursives Ändern von Rechten)
⧌kip-jumptonavigation⧜⧌kip-jumptosearch⧜

Dies ist eine w:de:FAQ fĂŒr das KIP-AFS. Die Installationsanleitungen und allgemeine Informationen befinden sich auf der OpenAFS-Seite!

Wo kann ich auf AFS zugreifen ohne selbst einen Client zu installieren?

Auf den LoginServern (kip1/kip2/kipfire/kipwin.kip.uni-heidelberg.de) ist OpenAFS installiert (auf den Linux-Maschienen auch Heimdal-Kerberos). Demnach kann von dort auf das AFS zugegriffen werden.

FĂŒr Anonymen Zugriff (z.B. fĂŒr Software, ...) kann man ĂŒber kip1 auch das Samba-Share verwenden:

\\kip1.kip.uni-heidelberg.de\kip-afs
file://kip1.kip.uni-heidelberg.de/kip-afs
smb://kip1.kip.uni-heidelberg.de/kip-afs

kinit lehnt mein Passwort ab!

Es kann sein das noch kein Kerberos-Eintrag erzeugt wurde. Dies ist der Fall, wenn kinit sagt unknown statt Password incorrect

userX@kip1:~$ kinit userX
userX3@KIP.UNI-HEIDELBERG.DE's Password:
kinit: krb5_get_init_creds: Client (userX@KIP.UNI-HEIDELBERG.DE) unknown

Um dann seinen Eintrag zu erzeugen, muss man sich einmal auf Portal anmelden:

https://portal.kip.uni-heidelberg.de/account/
Nun wird versucht, das Kerberos-Passwort zu setzten.

Falls eine Fehlermeldung erscheint, mĂŒssen Sie sich and die EDV-Abteilung wenden.

Wie komme ich an ein Backup meines Homeverzeichnisses?

Jeden Tag um 0:00Uhr wird der Stand aller volumes eingefroren und in ~/.backup verfĂŒgbar gemacht. Somit kann jeder auf diesen Stand seines Homeverzeichnisses zugreifen.

ls -l ~/
ls -l ~/.backup

Kann man die Lebensdauer der AFS-Tokens erhöhen?

Damit Simulationen oder ... auch ohne KlimmzĂŒge ĂŒber das Wochenende laufen können, ist es möglich die Lebensdauer seines AFS-Tokens erhöhen zu lassen.

Dies ist eine Einstellungsmöglichkeit fĂŒr Nutzer, die von der EDV-Abteilung gesetzt werden muss. Wir wollen das nur nicht fĂŒr alle Nutzer standardmĂ€ĂŸig einstellen, da dies mit gewissen Sicherheitsrisiken verbunden ist. Teilen Sie uns also mit, wenn das fĂŒr Ihren KIP-Account so eingestellt werden soll.

Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen.

Nach dieser Zeit ist das AFS-Token abgelaufen (siehe OpenAFS ).

Das Token muss wieder erneuert werden. Auf den Linux-Maschinen kann man zum Beispiel mit kinit das Kerberos-Ticket erneuern. dabei wird auch das AFS-Token verlÀngert. Oder man kann mit klog nur das AFS-Token erneuern (Auf den Solaris-Maschinen bleibt nur das).

Also: wenn noch ein Terminal offen ist: kinit oder klog eingeben.

Am einfachsten ist es aber, wenn man den Screensaver so konfiguriert, dass er nach einer gewissen Zeit der UntÀtigkeit den Bildschirm sperrt. Bei der anschliessenden Authentifikation wird nÀmlich auch das AFS-Token erneuert.

FĂŒr IceWM kann man den Screensaver (und auch anderes) automatisch beim Login so starten lassen:

Man legt eine Datei ~/.icewm/startup an, mit dem Inhalt:

#!/bin/bash
xterm &
xscreensaver &

Anschliessend macht man die Datei ausfĂŒhrbar:

chmod 755 ~/.icewm/startup

Was ist ein Ticket und/oder Token

(Ein AFS-Token ist technisch ein besonderes Kerberos4-Ticket.) FĂŒr die Arbeit mit AFS wird normalerweise nur das Token benötigt, allerdings ist es meistens einfacher vorher ein Ticket zu haben.

Befehl Funktion
tokens Auflisten des AFS-Tokens
klist Auflisten des Kerberos-Tickets
klist -T Auflisten des Kerberos-Tickets und des AFS-Tokens
klog Holen eines AFS-Tokens
kinit Holen eines Kerberos-Tickets und AFS-Tokens
kinit -R VerlÀngern eines vorhandenen Kerberos-Tickets (renew)
aklog Holen eines AFS-Tokens aus einem vorhandenen Kerberos-Ticket
unlog Zerstören des AFS-Tokens
kdestroy Zerstören des Kerberos-Tickets und des AFS-Tokens
pagsh Schaffen einer neuen Umgebung fĂŒr ein AFS-Token.
kpagsh Schaffen einer neuen Umgebung fĂŒr ein Kerberos-Ticket und AFS-Token.

Wo finde ich Was (Struktur im AFS)

Die Hauptverzeichnisse im AFS beherbergen bestimmte Sachen:

Pfad Beschreibung
/afs/kip.uni-heidelberg.de/ Hauptpfad (lesend wenn möglich)
/afs/.kip.uni-heidelberg.de/ Hauptpfad immer auf Schreibenden Volumes
/afs/kip/user Verzeichnis zu den Homeverzeichnissen der Nutzer im AFS
/afs/kip/doc Dokumentationen (HowTow's, Manuals, HandbĂŒcher, ...)
/afs/kip/doc/afs AFS Dokumentation
/afs/kip/openafs Lokale Binaries/Quellen von OpenAFS
/afs/kip/common Allgemeine Konfigurationsdateien (z.B. die CellServDB und die ThisCell)
/afs/kip/@sys Binaries fĂŒr die jeweilige Systemarchitektur (z.B. i386_linux26, sun4x_510)
/afs/kip/software Verschiedene Software
/afs/kip/software/Linux Software fĂŒr Linux und verschiedene (CD/DVD-Images) von Linux (z.B. SuSe, Debian, Knoppix, Ubuntu)
/afs/kip/software/Windows Software fĂŒr Windows
/afs/kip/projects Hier sind die Projektverzeichnisse angegliedert (computing, pictures, s7technik, ti, ...)
/afs/kip/backup Lagerplatz fĂŒr Backups (User/Hosts)
/afs/kip/temp Allgemeines TemporÀres Verzeichnis im AFS (viel Platz, aber kein Backup!)
/afs/kip/computing Daten der EDV-Abteilung
/afs/kip/cad
/afs/kip/web Hier liegen die Daten der von uns gehostetet WWW-Domains (*.uni-heidelberg.de).
/afs/kip/webprojects Hier sind die Daten einzelner Webprojekte unterhalb der KIP-Domain (ehemals /webuser).

BeschrÀnkungen/Limits

  • Die maximale Anzahl an Dateien in einem Verzeichnis ist abhĂ€ngig von der LĂ€nge der Dateinamen. FĂŒr je 16 Zeichen wird ein Eintrag erzeugt, und es sind maximal 64000 EintrĂ€ge pro Verzeichnis möglich. Folglich können maximal 64000 Dateien (deren Dateinamen kleiner-gleich 16 Zeichen ist) in einem Verzeichnis sein. (Siehe: https://lists.openafs.org/pipermail/openafs-info/2002-September/005812.html)

Rekursives Ändern von Rechten

Der AFS-Befehlt fs kann nicht rekursiv angewendet werden, aber find hilft.

Um zum Beispiel allen Authentisierten Nutzern im KIP in allen Unterverzeichnisen von 'pub' Leserechte zu geben:

sesselm@kip1:~$ find pub -type d -noleaf -exec fs setacl -dir {} -acl system:authuser read \;

Bei AFS ist es ratsam immer die -noleaf Option zu verwenden, ansonsten man find und man fs_setacl.