EDV:OpenAFS/FAQ
Dies ist eine w:de:FAQ fĂŒr das KIP-AFS. Die Installationsanleitungen und allgemeine Informationen befinden sich auf der OpenAFS-Seite!
Wo kann ich auf AFS zugreifen ohne selbst einen Client zu installieren?
Auf den LoginServern (kip1/kip2/kipfire/kipwin.kip.uni-heidelberg.de) ist OpenAFS installiert (auf den Linux-Maschienen auch Heimdal-Kerberos). Demnach kann von dort auf das AFS zugegriffen werden.
FĂŒr Anonymen Zugriff (z.B. fĂŒr Software, ...) kann man ĂŒber kip1 auch das Samba-Share verwenden:
\\kip1.kip.uni-heidelberg.de\kip-afs file://kip1.kip.uni-heidelberg.de/kip-afs smb://kip1.kip.uni-heidelberg.de/kip-afs
kinit lehnt mein Passwort ab!
Es kann sein das noch kein Kerberos-Eintrag erzeugt wurde. Dies ist der Fall, wenn kinit sagt unknown statt Password incorrect
userX@kip1:~$ kinit userX userX3@KIP.UNI-HEIDELBERG.DE's Password: kinit: krb5_get_init_creds: Client (userX@KIP.UNI-HEIDELBERG.DE) unknown
Um dann seinen Eintrag zu erzeugen, muss man sich einmal auf Portal anmelden:
https://portal.kip.uni-heidelberg.de/account/
| Nun wird versucht, das Kerberos-Passwort zu setzten.
Falls eine Fehlermeldung erscheint, mĂŒssen Sie sich and die EDV-Abteilung wenden. |
Wie komme ich an ein Backup meines Homeverzeichnisses?
Jeden Tag um 0:00Uhr wird der Stand aller volumes eingefroren und in ~/.backup verfĂŒgbar gemacht. Somit kann jeder auf diesen Stand seines Homeverzeichnisses zugreifen.
ls -l ~/ ls -l ~/.backup
Kann man die Lebensdauer der AFS-Tokens erhöhen?
Damit Simulationen oder ... auch ohne KlimmzĂŒge ĂŒber das Wochenende laufen können, ist es möglich die Lebensdauer seines AFS-Tokens erhöhen zu lassen.
Dies ist eine Einstellungsmöglichkeit fĂŒr Nutzer, die von der EDV-Abteilung gesetzt werden muss. Wir wollen das nur nicht fĂŒr alle Nutzer standardmĂ€Ăig einstellen, da dies mit gewissen Sicherheitsrisiken verbunden ist. Teilen Sie uns also mit, wenn das fĂŒr Ihren KIP-Account so eingestellt werden soll.
Wenn man mehr als 24h eingeloggt ist, kann man keine neuen Fenster mehr öffnen.
Nach dieser Zeit ist das AFS-Token abgelaufen (siehe OpenAFS ).
Das Token muss wieder erneuert werden. Auf den Linux-Maschinen kann man zum Beispiel mit kinit das Kerberos-Ticket erneuern. dabei wird auch das AFS-Token verlÀngert. Oder man kann mit klog nur das AFS-Token erneuern (Auf den Solaris-Maschinen bleibt nur das).
Also: wenn noch ein Terminal offen ist: kinit oder klog eingeben.
Am einfachsten ist es aber, wenn man den Screensaver so konfiguriert, dass er nach einer gewissen Zeit der UntÀtigkeit den Bildschirm sperrt. Bei der anschliessenden Authentifikation wird nÀmlich auch das AFS-Token erneuert.
FĂŒr IceWM kann man den Screensaver (und auch anderes) automatisch beim Login so starten lassen:
Man legt eine Datei ~/.icewm/startup an, mit dem Inhalt:
#!/bin/bash xterm & xscreensaver &
Anschliessend macht man die Datei ausfĂŒhrbar:
chmod 755 ~/.icewm/startup
Was ist ein Ticket und/oder Token
- Mit Ticket wird das Kerberos5-Ticket bezeichnet. (w:de:Kerberos (Informatik))
- Mit Token wird das AFS-Token bezeichnet. (w:de:Andrew File System)
(Ein AFS-Token ist technisch ein besonderes Kerberos4-Ticket.) FĂŒr die Arbeit mit AFS wird normalerweise nur das Token benötigt, allerdings ist es meistens einfacher vorher ein Ticket zu haben.
| Befehl | Funktion |
|---|---|
| tokens | Auflisten des AFS-Tokens |
| klist | Auflisten des Kerberos-Tickets |
| klist -T | Auflisten des Kerberos-Tickets und des AFS-Tokens |
| klog | Holen eines AFS-Tokens |
| klog -R | VerlÀngern eines vorhandenen AFS-Tokens (renew) |
| kinit | Holen eines Kerberos-Tickets und AFS-Tokens |
| kinit -R | VerlÀngern eines vorhandenen Kerberos-Tickets (renew) |
| aklog | Holen eines AFS-Tokens aus einem vorhandenen Kerberos-Ticket |
| unlog | Zerstören des AFS-Tokens |
| kdestroy | Zerstören des Kerberos-Tickets und des AFS-Tokens |
| pagsh | Schaffen einer neuen Umgebung fĂŒr ein AFS-Token. |
| kpagsh | Schaffen einer neuen Umgebung fĂŒr ein Kerberos-Ticket und AFS-Token. |
Wo finde ich Was (Struktur im AFS)
Die Hauptverzeichnisse im AFS beherbergen bestimmte Sachen:
| Pfad | Beschreibung |
|---|---|
| /afs/kip.uni-heidelberg.de/ | Hauptpfad (lesend wenn möglich) |
| /afs/.kip.uni-heidelberg.de/ | Hauptpfad immer auf Schreibenden Volumes |
| /afs/kip/user | Verzeichnis zu den Homeverzeichnissen der Nutzer im AFS |
| /afs/kip/doc | Dokumentationen (HowTow's, Manuals, HandbĂŒcher, ...) |
| /afs/kip/doc/afs | AFS Dokumentation |
| /afs/kip/openafs | Lokale Binaries/Quellen von OpenAFS |
| /afs/kip/common | Allgemeine Konfigurationsdateien (z.B. die CellServDB und die ThisCell) |
| /afs/kip/@sys | Binaries fĂŒr die jeweilige Systemarchitektur (z.B. i386_linux26, sun4x_510) |
| /afs/kip/software | Verschiedene Software |
| /afs/kip/software/Linux | Software fĂŒr Linux und verschiedene (CD/DVD-Images) von Linux (z.B. SuSe, Debian, Knoppix, Ubuntu) |
| /afs/kip/software/Windows | Software fĂŒr Windows |
| /afs/kip/projects | Hier sind die Projektverzeichnisse angegliedert (computing, pictures, s7technik, ti, ...) |
| /afs/kip/backup | Lagerplatz fĂŒr Backups (User/Hosts) |
| /afs/kip/temp | Allgemeines TemporÀres Verzeichnis im AFS (viel Platz, aber kein Backup!) |
| /afs/kip/computing | Daten der EDV-Abteilung |
| /afs/kip/cad | |
| /afs/kip/web | Hier liegen die Daten der von uns gehostetet WWW-Domains (*.uni-heidelberg.de). |
| /afs/kip/webprojects | Hier sind die Daten einzelner Webprojekte unterhalb der KIP-Domain (ehemals /webuser). |
BeschrÀnkungen/Limits
- Die maximale Anzahl an Dateien in einem Verzeichnis ist abhĂ€ngig von der LĂ€nge der Dateinamen. FĂŒr je 16 Zeichen wird ein Eintrag erzeugt, und es sind maximal 64000 EintrĂ€ge pro Verzeichnis möglich. Folglich können maximal 64000 Dateien (deren Dateinamen kleiner-gleich 16 Zeichen ist) in einem Verzeichnis sein. (Siehe: https://lists.openafs.org/pipermail/openafs-info/2002-September/005812.html)
Rekursives Ăndern von Rechten
Der AFS-Befehlt fs kann nicht rekursiv angewendet werden, aber find hilft.
Um zum Beispiel allen Authentisierten Nutzern im KIP in allen Unterverzeichnisen von 'pub' Leserechte zu geben:
sesselm@kip1:~$ find pub -type d -noleaf -exec fs setacl -dir {} -acl system:authuser read \;
Bei AFS ist es ratsam immer die -noleaf Option zu verwenden, ansonsten man find und man fs_setacl.
