Table of Contents

Lokale Dokumentation steht in AndrewFileSystem und HomeDirectory.

Offene (und geklärte) Fragen

Wieviel Dokumentation ist für Benutzer notwendig?

Für das Verständnis von Kerberos gut geeignet ist der Morons Guide to Kerberos, für wirklich ernste Probleme kann vielleicht die Kerberos FAQ oder der Kerberos User Guide hilfreich sein.

Wieviel Dokumentation ist für Administratoren notwendig?

Jeder Admin sollte mindestens die Kapitel 1-8 aus dem AFS Administrator Guide gelesen (und verstanden) haben, damit er Basisaufgaben (Volumes anlegen und verschieben, backup, …) erledigen kann.

Zum grundsätzlichen Verständnis hilfreich ist AFS Programmer’s Reference: Architectural Overview.

Accountverwaltung

Wie wird ein neuer Benutzer angelegt? /etc/passwd und Kerberos

Skript —> /root/bin/createuser.pl

Wie migrieren wir die vorhandenen Accounts von NFS auf AFS/Kerberos?

Shellskript —> /root/bin/usercopy

Electronic Mail

Mail wird nach /var/spool/mail/<accountname> zugestellt - ~/Mailbox wird nicht mehr verwendet.

Mailzustellung nach “~/Mailbox” bzw. ausführen von “vacation” und “procmail”

Mailbox: Man erzeugt ein keytab file für den Benutzer mail mit lease time 2 Tage und holt sich im Startskript von qmail ein Token mit /usr/kerberos/bin/kinit -k mail; /usr/bin/aklog -setpag. Der Daemon wird einmal pro Nacht neu gestartet; alternativ könnte die Gültigkeit des Tokens auch mit reauth verlängert werden.

Maildir: Teilweise geklärt in der AFS-FAQ. qmail-local muß am Mailserver ein Token kriegen; dieses muß regelmäßig erneuert werden. Das Prinzip ist klar, aber wie implementiert man das? Die Diskussion beginnend in https://lists.openafs.org/pipermail/openafs-devel/2001-July/001556.html läßt zumindest vermuten, daß es für das Maildir-Format nicht leicht ist;

Kooperation mit anderen NetzwerkServices

SSH auf anderen PC im Cluster (RSA/DAS Ident. ohne neue Passworteinagbe)

Funktioniert mit GSSAPI.

  • Welche Patches zum originalen openSSH sind notwendig?
  • Konfiguration?

CONDOR: wie greifen Batch-Jobs auf $HOME zu? Was passiert, wenn das Token die Gültigkeit verliert?

Zugriff auf ~ ist derzeit nicht möglich; zur Abhilfe werden alle notwendigen Daten für Batch-Verarbeitung auf das über NFS systemweit verteilte temporäre Dateisystem /temp/ kopiert.

In /afs/itp.tugraz.at/common/scratch/ haben wir einen Ansatz für ein auch ohne Token verwendbares AFS-Volume durch den Einsatz von NetzwerkACL’s.

SAMBA?

Samba kooperiert offensichtlich nicht mit AFS (PAM: keine Session, sondern nur Authentizierung). Man kann aber einen Kerberos und AFS-Client auf den Winblows-Computern installieren.

Apple Macintosh und NET-A-TALK?

Geht über PAM, funktioniert anscheinend problemlos. Fraglich ist, ob man nicht überhaupt AFS-Clients auf den Macs installieren möchte und NET-A-TALK nur mehr fürs Drucken nimmt? Eventuell kann die ganze Druckerei ab Mac-OS X 10.2 mit CUPS erledigt werden und wir können auf NET-A-TALK komplett verzichten.

Soll der FTP-Server aus dem AFS bedient werden?

Ja, und er wird es schon. Die Wartung des Archives (mirror, APT-Repositories, Setzen von ACLs) geschieht zum größten Teil über das Skript /usr/local/sbin/stuff_ftp.

Content des WWW-Servers im AFS?

Der statische Inhalt liegt in /afs/itp.tugraz.at/common/www/ und wird über Links von /var/www/ aus referenziert - dort werden auch dynamische Daten (linbot, …) abgelegt.

Technische Details

Alle Zugriffszeiten (ctime, atime, mtime) sind im AFS gleich, weil es bei gecachten Dateien bremsend ist, wenn jeder Lesezugriff auf den Server weitergeleitet wird. Dabei gibt es manchmal Probleme mit Programmen, die Beziehungen zwischen ctime und atime auswerten (zB coolmail).

Ist es sinnvoll, für opt ein eigenes Volume zu machen oder liegen die Mountpoints für die Pakete in opt direkt in der root-cell

Backup der “administrative datebase”?

siehe AFS Administrator Guide, S89f

Backup-Schema für Benutzerdaten

siehe BackupRestore

Author: Andreas Hirczy

Created: 2017-11-08 Mit 18:19

Validate XHTML 1.0