Diskussion:OpenAFS mit MIT-Kerberos5

Aus Gentoo Linux Wiki

Wechseln zu: Navigation, Suche
  • (15:16:01) [GNU]: heimdal wuerde ich noch als alternative nennen
  • (15:16:37) [GNU]: und ob die gentoo befehle stimmen weisst du besser als ich :)
  • (15:20:15) [GNU]: du gehst auch nicht drauf ein was ist wenn krb realm und afs cell untersciedlich sind
  • (15:20:26) [GNU]: und warum die richtige knvo so wichtig ist auch nicht
  • (15:27:18) [GNU]: unter debian kann man die root cell und das root fs mit afs-newcell und afs-root oder so anlegen
  • (15:27:34) [GNU]: ist einfacher als die ganzen befehle und hat ein rollback implementiert falls ein teilbefehlt failured
  • (15:31:45) [GNU]: du menutzt "Verzeichnis" als deutsche uebersetzung fuer mountpoint
  • (15:31:57) [GNU]: generell kommt die volumen/mountpoint thematik recht kurz
  • (15:39:00) [GNU]: http://michigan.central.org/twiki noch als quelle
  • (15:43:14) [GNU]: backups kann man alternativ noch mittels vos dump/backup machen und dann die files in ein backup system schreiben


und das DNS wuerde ich direkt hinter den krb server machen, da man es braucht wenn man nicht immer die .local befehle verwenden wuerde.



Gehe grad dein tutorial durch, folgende Punkte haben bei mir nicht geklappt: asetkey - dazu muss wohl erst das openafs-k3b-migration kit installiert werden. ich habs einfach so gemacht, dass ich mir vom debian-unstable tree openafs-krb5_1.4.1-2_i386.deb gezogen hab, dieses mit deb2targz umgewandelt und entpackt hab. die asetkey-binary dann einfach in /usr/sbin rueberkopieren, und jetzt klappts auch mit der authentifizierung nach dem starten des openafs-servers/clients. - asetkey ist verfuegbar, wenn man openafs 1.4.1 ~x86 unmasked

da naechste problem gabs beim erstellen der mountpoints, da kam die fehlermeldung: fs: cell dynroot not in /etc/openafs/CellServDB dies bringt man in ordnung, indem man in /etc/conf.d/openafs-client

ENABLE_DYNROOT="no"

setzt. -- 2006-05-22 14:06 Chrisbee



  • fs sa /afs system:anyuser l

fs: You can not change a backup or readonly volume

ist nicht moeglich, da readonly


  • fs sa /afs/example.com system:anyuser l

fs: You can not change a backup or readonly volume

dito nicht moeglich, da ro lt. https://www.openafs.org/pipermail/openafs-info/2005-March/017150.html


  • fs sa /afs/.example.com system:anyuser l

kann gesetzt werden, da rw


*vor dem hinzufuegen des users muss erst die gruppe erstellt werden:

pts creategroup authuser

hab ungenau gelesen, die gruppe heisst system:authuser, wie es ja eh korrekt beschrieben ist("pts listentries -group" zeigt die gruppen an).

-- 2006-05-22 15:37 Chrisbee



hilfreich waere auch eine getrennte dokumentation was auf clientseite zu machen ist. Dzt. quaele ich mich grad mit der authentifizierung vom client aus. mir ist soweit klar dass ich die files CellServDB und ThisCell ebenfalls auf der Client-Maschine brauche, ebenfalls hab ich die kerberos config-files auf dem client uebernommen und die principals afs/admin afs/example.com sowie meinen user hinzugefuegt, diese muessen ja auf jedem host in der realm vorhanden sein?! Hier liegt wohl irgendwo der Fehler. Mir ist nicht ganz klar wie die Authentifizierung ablaeuft, kann das client-kinit sich direkt am kerberos-server authentifizieren oder muss dazu auch auch dem client ein kerberos-dienst laufen? ich bekomm jedenfalls immer

kinit(v5): Cannot contact any KDC for requested realm while getting initial credential

vielleicht hast du zeit das noch detaillierter zu beschreiben, ich werd mal versuchen mich anderweitig schlau zu machen

manchmal sollte man einfach doppelt ueberpruefen, ob iptables abgedreht sind(iptables -L), thx kooky fuer die realtime-hilfe ;-)

-- 2006-05-22 15:37 Chrisbee

[Bearbeiten] Änderungswünsche

Sehr gutes Howto, allerdings sind mir einige Dinge aufgefallen, die fehlen oder nicht (mehr) korrekt sind, z.B.:

1) USE="krb4" ist nicht (mehr) nötig (damit entfallen dann auch die entsprechenden Enctypes).

2) Dementsprechend kann auch der Schlüssel für "afs" des-cbc-crc:normal sein.

3) Es wird mal afs, mal afs/example.com (bei addprinc, asetkey) als Prinzipal benutzt. Beide funktioneren, letzteres ist jedoch zwingend erforderlich, wenn im selben Kerberos Realm mehrere AFS Zellen erstellt werden sollen (afs/cell1.de@EXAMPLE.COM, afs/cell2.com@EXAMPLE.COM).

4) Bei den möglichen Dateisystemen für /vicepX Partitionen gibt es unter Linux keine Einschränkungen (die hier aufgeführten Einschränkungen gelten für die Cache Manger Partition). Ich benutze reiserfs, Alf Wachsman empfiehlt in seiner Präsentation vom AFS Workshop 2006 xfs.

5) Auf den Client Cache (Cache Manager) wird mit keinem Wort eingegangen, dabei werden IMHO hier die meisten Fehler gemacht. 

- Für die Cache Partition darf nur ext[23] benutzt werden.
- /etc/openafs/cacheinfo muß korrekte Werte für die Größe des
  Caches haben (ca. 80-85% der von df angezeigten Partitionsgröße).

6) Der erste Start des Clients schlug bei mir ständig fehl (1.4.1): "Can't mount AFS on /afs(22)". Der Grund war, das root.afs und root.cell noch nicht existierten. In dem Fall muß temporär "dynroot" eingeschaltet werden.

7) Erstellen der Backup Volumes geht auch ohne Script: 

vos backupsys -prefix user.

Bzw. automatisiert: 

bos create <server> <instancename> cron -cmd "/usr/bin/vos \
backupsys -prefix user. -localauth" "03:00"

8) Es wird beschrieben, wie Homeverzeichnisse in AFS angelegt werden. Daß der Benutzer aber ohne entsprechende PAM Konfiguration weder Kerberos Tickets noch AFS Token bekommt (und damit auch nicht an sein $HOME kommt), wird nicht erwähnt. Für das aktuelle pam_krb5.so von Fedora gibt es jetzt endlich ein Ebuild (sys-auth/pam_krb5-2.2.6, ist zwar noch maskiert, funktioniert aber bestens.)

9) In der kdc.conf, kann ich als acl_file eintragen was ich will, es wird immer /var/lib/krb5kdc/kadm5.acl erwartet.

--06.01.2007 Dirk Heinrichs

[Bearbeiten] Todoliste

Der Artikel benötigt eine generelle Überarbeitung, da vieles nicht mehr aktuell ist, fehlt oder sogar falsch ist. Siehe auch "Änderungswünsche"

1) Entfernen aller Hinweise auf krb4, da vollkommen überflüssig.

2) Korrektur der enctypes Konfiguration.

3) Konsistente Benutzung von afs/example.com als Prinzipal, statt nur afs.

4) Korrektur bzgl. der für /vicepxx Partitionen benutzbaren Dateisysteme.

5) Konfiguration des Cache managers fehlt komplett.

6) Das Script zum erstellen der Backup-Volumes ist überflüssig.

7) OpenAFS bringt einen eigenen cron-Dienst mit, dieser sollte zum zeitgesteuerten erstellen der Backup-Volumes benutzt werden.

8) PAM Konfiguration fehlt vollständig, ebenso Anpassung der sshd_config, damit ein benutzer, der sich von Remote anmeldet auch Ticket/Token bekommt und somit Zugriff auf sein $HOME hat.

9) Entfernen der Debian Befehle, das hier ist ein Gentoo Howto.

--06.05.2008 Dirk Heinrichs

Von „http://de.gentoo-wiki.com/Diskussion:OpenAFS_mit_MIT-Kerberos5
'Persönliche Werkzeuge