EDV:OpenAFS/Verwendung/Authentisieren

From KIP Wiki
Revision as of 10:45, 18 October 2007 by Sesselm (talk | contribs)
(diff) ↠Older revision | Latest revision (diff) | Newer revision → (diff)
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽

Authentisieren für das KIP-AFS

Um mit AFS arbeiten zu können, muss man sich erst authentisieren (w:de:Authentisierung), da man sonst nur die Reche der Gruppe system:anyuser (also Anonymous) hat.

AFS arbeitet dabei mit Kerberos4-Token (w:de:Kerberos (Informatik)).

Arbeiten mit AFS-Kommandos

Die folgenden Kommondos sind alle bei (Open)AFS dabei und können ohne zusätzliches Kerberos verwendet werden.

Mit dem tokens-Kommando kann überprüft werden, ob ein solches Token existiert und wie lange es gültig ist:

userX@pcY:~$ tokens

Tokens held by the Cache Manager:

User's (AFS ID 1000) tokens for afs@kip.uni-heidelberg.de [Expires Feb 27 18:15]
   --End of list--

Zum Erhalten oder Erneuern eines Tokens, wird klog verwendet:

userX@pcY:~$ klog userX

Die Gültigkeit eines solchen Tokens bezieht sich standardmäßig auf einen Nutzer auf einem Rechner, in allen Shells (w:de:Betriebssystem-Shell, w:de:Unix-Shell). Um diese Gültikeit nur auf eine Shell zu beziehen, muss man diese mit kpagsh kapseln und danach erst das Token holen:

userX@pcY:~$ pagsh
userX@pcY:~$ klog userX

Zum Zerstören des Tokens vor dem Ende seiner Laufzeit gibt es unlog:

userX@pcY:~$ unlog
userX@pcY:~$ tokens

Tokens held by the Cache Manager:

   --End of list--

Arbeiten mit Kerberos-Kommandos

Da wir Heimdal-Kerberos für die Authentisierung von AFS verwenden, können auch die Heimdal-Clients zur Authentisierung verwendet werden. Wenn OpenAFS gestartet ist, wird dann neben dem Kerberos-Ticket auch automatisch ein AFS-Token geholt.

Zur Abfrage der Tickets wird klist verwendet. Mit der Option '-T' wird auch gleich das AFS-Token angezeigt, falls vorhanden:

userX@pcY:~$ klist -T
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: userX@KIP.UNI-HEIDELBERG.DE

  Issued           Expires          Principal
Feb 27 16:25:00  Feb 28 02:24:59  krbtgt/KIP.UNI-HEIDELBERG.DE@KIP.UNI-HEIDELBERG.DE
Feb 27 16:25:00  Feb 28 02:24:59  afs@KIP.UNI-HEIDELBERG.DE

Feb 27 16:25:00  Feb 28 02:24:59  User's (AFS ID 1000) tokens for kip.uni-heidelberg.de

Um ein Ticket zu erhalten, gibt es kinit. Das Token wird automatisch mit erzeugt:

userX@pcY:~$ kinit userX

Innerhalb der Güligkeit kann das Kerberos-Ticket auch verlängert werden, ohne das Passwort nochmal neu eingeben zu müssen:

userX@pcY:~$ kinit -R

Um die eigene Shell zu kapseln, gibt es dann kpagsh:

userX@pcY:~$ kpagsh

Zum Zerstören aller Tickets (und des Tokens) dient kdestroy:

userX@pcY:~$ kdestroy
userX@pcY:~$ klist -T
klist: No ticket file: /tmp/krb5cc_1000