| Zeile 4: | Zeile 4: | ||
|Anleitung=1 | |Anleitung=1 | ||
|}} | |}} | ||
| + | |||
| + | Diese Anleitung beschreibt, wie sie als Administrator eines Bereiches den Netzwerkspeicher auf Linux/Unix-Clientsystemen (z.B. Poolarbeitsplätze) per NFS4 einbinden können, sodass er für alle Benutzer des System zur Verfügung steht. | ||
| + | |||
| + | == Anforderungen == | ||
| + | |||
| + | Um diese Zugriffsmethode auf den Netzwerkspeicher nutzen zu können, müssen einige Voraussetzungen erfüllt sein: | ||
| + | |||
| + | * Der Host muss zur Authentifikation der Benutzer die SigleSignOn Dienste des IMT (LDAP + Kerberos) nutzen. (bereits für AFS erforderlich) | ||
| + | * Der Host muss über eine Kerberos-Keytab verfügen. Diese muss entweder vom IMT ausgestellt sein, oder vom Administrator eines vom IMT vertrauten Kerberos-REALMs bereitgestellt werden. | ||
| + | * Auf dem Host müssen entsprechende Dienste für NFS4-Client-Support installiert sein (gssd, idmapd). | ||
| + | |||
| + | |||
| + | == Was ist zu konfigurieren? == | ||
| + | |||
| + | * Es soll '''fs-nfs.uni-paderborn.de:/ifs/upb''' nach '''/upb''' mit Sicherheitstyp '''krb5*''' gemountet werden, damit ein einheitlicher Pfad sichergestellt werden kann. | ||
| + | * Die NFS4-Domain ist '''uni-paderborn.de''' | ||
| + | * Ggf. muss der gssd gezwungen werden, DES für Sessionkeys zu benutzen (Option "-l"). | ||
| + | * Ggf. muss der gssd für die Nutzung eines bestimmten lokalen REALMS konfiguriert werden (Option "-R REALM"), s. gssd. | ||
| + | |||
| + | |||
| + | === Notwendige Dienste === | ||
| + | |||
| + | Für den Zugriff auf NFS4-Dateisysteme ist es notwendig, dass auf dem System ein ''gssd'' soweit ein ''idmapd'' installiert sind und laufen. | ||
| + | |||
| + | Unter Debian und Ubuntu werden sie durch das Paket ''nfs-common'' bereitgestellt. | ||
| + | |||
| + | |||
| + | ==== idmapd / NFS4-Domain ==== | ||
| + | |||
| + | Die Konfiguration der NFS4-Domain erfolgt in der Datei ''/etc/idmapd.conf''. Dort muss der Eintrag ''Domain'' im Abschnitt ''General'' angepasst werden: | ||
| + | |||
| + | [General] | ||
| + | Domain = uni-paderborn.de | ||
| + | |||
| + | ==== gssd ==== | ||
| + | |||
| + | Für den ''gssd'' ist nur eine Konfiguration erforderlich, falls standardmässig versucht wird Kerberos-Sessionkeys mit AES-Verschlüsselung zu benutzen oder das Host-Principal des Rechners nicht vom IMT ausgestellt wurde (d.h. nicht aus dem REALM ''UNI-PADERBORN.DE'' stammt), oder . | ||
| + | |||
| + | Im ersten Fall kann der Daemon mit dem Parameter ''-l'' gestartet werden, der erzwingt, dass für die Kerberos-Sessionkeys DES-Verschlüsselung verwendet wird. | ||
| + | |||
| + | Im zweiten Fall ist es notwendig den ''gssd'' mit dem Parameter ''-R REALM_es_Host-Principals'' zu starten. | ||
| + | Aufgrund zweier erst vor kurzen behobener Bugs im ''gssd'' ist es in diesem Fall wahrscheinlich leider auch notwendig, eine gepatchte Version des Daemons selbst zu bauen. | ||
| + | Möglicherweise wird [http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=0ce973a59ab3393481ba7c434a7353b5007cba71 dieser] Patch benötigt, sehr wahrscheinlich [http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=a402f768db1dc6497cf7f592b33e142936897de2 dieser]. | ||
| + | |||
| + | In Debian Squeeze und Wheezy ist der erste Fehler bereits behoben, der zweite [http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=709632 leider noch nicht]. | ||
| + | |||
| + | |||
| + | Unter Debian-Systeme erfolgt die Konfiguration der ''gssd''-Parameter in der Datei ''/etc/default/nfs-common''. Sie könnte z.B. so aussehen: | ||
| + | |||
| + | [...] | ||
| + | # Do you want to start the idmapd daemon? It is only needed for NFSv4. | ||
| + | NEED_IDMAPD=yes | ||
| + | # | ||
| + | # Do you want to start the gssd daemon? It is required for Kerberos mounts. | ||
| + | NEED_GSSD=yes | ||
| + | # | ||
| + | # Parameters for gssd | ||
| + | RPCGSSDOPTS="-l" | ||
| + | |||
| + | |||
| + | Unter Ubuntu (z.B. Quantal) erfolgt die Konfiguration in der Datei ''/etc/init/gssd.override'': | ||
| + | |||
| + | # override exec stanza to limit the session key to single DES | ||
| + | exec rpc.gssd -l | ||
| + | |||
| + | |||
| + | === Mount === | ||
| + | |||
| + | Der einfachste Weg um sicherzustellen, dass das Dateisystem bei jedem Systemstart gemountet wird, ist es folgenden Eintrag in die ''/etc/fstab'' hinzuzufügen: | ||
| + | |||
| + | fs-nfs.uni-paderborn.de:/ifs/upb /upb nfs sec=krb5i 0 0 | ||
| + | |||
| + | Alternativ kann z.B. der Automounter (autofs) verwendet werden, mit dem das Dateisystem erst beim ersten Zugriff darauf verbunden wird. | ||
Version vom 8. August 2013, 17:52 Uhr
Diese Anleitung beschreibt, wie sie als Administrator eines Bereiches den Netzwerkspeicher auf Linux/Unix-Clientsystemen (z.B. Poolarbeitsplätze) per NFS4 einbinden können, sodass er für alle Benutzer des System zur Verfügung steht.
Anforderungen[Bearbeiten | Quelltext bearbeiten]
Um diese Zugriffsmethode auf den Netzwerkspeicher nutzen zu können, müssen einige Voraussetzungen erfüllt sein:
- Der Host muss zur Authentifikation der Benutzer die SigleSignOn Dienste des IMT (LDAP + Kerberos) nutzen. (bereits für AFS erforderlich)
- Der Host muss über eine Kerberos-Keytab verfügen. Diese muss entweder vom IMT ausgestellt sein, oder vom Administrator eines vom IMT vertrauten Kerberos-REALMs bereitgestellt werden.
- Auf dem Host müssen entsprechende Dienste für NFS4-Client-Support installiert sein (gssd, idmapd).
Was ist zu konfigurieren?[Bearbeiten | Quelltext bearbeiten]
- Es soll fs-nfs.uni-paderborn.de:/ifs/upb nach /upb mit Sicherheitstyp krb5* gemountet werden, damit ein einheitlicher Pfad sichergestellt werden kann.
- Die NFS4-Domain ist uni-paderborn.de
- Ggf. muss der gssd gezwungen werden, DES für Sessionkeys zu benutzen (Option "-l").
- Ggf. muss der gssd für die Nutzung eines bestimmten lokalen REALMS konfiguriert werden (Option "-R REALM"), s. gssd.
Notwendige Dienste[Bearbeiten | Quelltext bearbeiten]
Für den Zugriff auf NFS4-Dateisysteme ist es notwendig, dass auf dem System ein gssd soweit ein idmapd installiert sind und laufen.
Unter Debian und Ubuntu werden sie durch das Paket nfs-common bereitgestellt.
idmapd / NFS4-Domain[Bearbeiten | Quelltext bearbeiten]
Die Konfiguration der NFS4-Domain erfolgt in der Datei /etc/idmapd.conf. Dort muss der Eintrag Domain im Abschnitt General angepasst werden:
[General] Domain = uni-paderborn.de
gssd[Bearbeiten | Quelltext bearbeiten]
Für den gssd ist nur eine Konfiguration erforderlich, falls standardmässig versucht wird Kerberos-Sessionkeys mit AES-Verschlüsselung zu benutzen oder das Host-Principal des Rechners nicht vom IMT ausgestellt wurde (d.h. nicht aus dem REALM UNI-PADERBORN.DE stammt), oder .
Im ersten Fall kann der Daemon mit dem Parameter -l gestartet werden, der erzwingt, dass für die Kerberos-Sessionkeys DES-Verschlüsselung verwendet wird.
Im zweiten Fall ist es notwendig den gssd mit dem Parameter -R REALM_es_Host-Principals zu starten. Aufgrund zweier erst vor kurzen behobener Bugs im gssd ist es in diesem Fall wahrscheinlich leider auch notwendig, eine gepatchte Version des Daemons selbst zu bauen. Möglicherweise wird dieser Patch benötigt, sehr wahrscheinlich dieser.
In Debian Squeeze und Wheezy ist der erste Fehler bereits behoben, der zweite leider noch nicht.
Unter Debian-Systeme erfolgt die Konfiguration der gssd-Parameter in der Datei /etc/default/nfs-common. Sie könnte z.B. so aussehen:
[...] # Do you want to start the idmapd daemon? It is only needed for NFSv4. NEED_IDMAPD=yes # # Do you want to start the gssd daemon? It is required for Kerberos mounts. NEED_GSSD=yes # # Parameters for gssd RPCGSSDOPTS="-l"
Unter Ubuntu (z.B. Quantal) erfolgt die Konfiguration in der Datei /etc/init/gssd.override:
# override exec stanza to limit the session key to single DES exec rpc.gssd -l
Mount[Bearbeiten | Quelltext bearbeiten]
Der einfachste Weg um sicherzustellen, dass das Dateisystem bei jedem Systemstart gemountet wird, ist es folgenden Eintrag in die /etc/fstab hinzuzufügen:
fs-nfs.uni-paderborn.de:/ifs/upb /upb nfs sec=krb5i 0 0
Alternativ kann z.B. der Automounter (autofs) verwendet werden, mit dem das Dateisystem erst beim ersten Zugriff darauf verbunden wird.