| 1 |
Hallo, |
| 2 |
|
| 3 |
Am 24. Juni 2006 schrieb Fabian Steiner: |
| 4 |
> Nun suchen wir jedoch einen "sicheren" Ersatz für NFS und dies ist |
| 5 |
> der Punkt, wo ihr ins Spiel kommt ;-) |
| 6 |
|
| 7 |
Da fällt mir auch nur OpenAFS ein. |
| 8 |
|
| 9 |
> Dabei sollen vor allem folgende Punkte sichergestellt werden: |
| 10 |
> -> es soll eine Authentifizierung der Maschine stattfinden, d.h. darf |
| 11 |
> der jeweilige Rechner sich überhaupt in das Schulnetz einhängen |
| 12 |
|
| 13 |
Auf welcher Basis? MAC-Adresse? IP-Adresse? Irgendein secret token auf |
| 14 |
dem Rechner? Das erscheint mir bisschen unscharf spezifiziert. |
| 15 |
|
| 16 |
> -> wenn möglich, sollte nur bei Bedarf etwas gemountet werden, d.h. |
| 17 |
> meldet sich Schüler XYZ an, soll das Homeverzeichnis von XYZ |
| 18 |
> gemountet werden |
| 19 |
|
| 20 |
Hmm, das bietet Dir wohl openafs nicht - liese sich aber vielleicht mit |
| 21 |
Automount auch realisieren. |
| 22 |
|
| 23 |
> -> lokaler root sollte keinen Zugriff bzw. kaum Rechte auf den Export |
| 24 |
> haben (ähnlich wie bei NFS: root_squash/no_root_squash) |
| 25 |
|
| 26 |
AFS AFS AFS AFS AFS AFS AFS AFS AFS. ;) |
| 27 |
|
| 28 |
Dort brauchst Du ein Administrator-Token, um vollen Zugriff auf |
| 29 |
AFS-Baum zu haben. Ohne Token hast Du nur Zugriff auf Verzeichnisse, |
| 30 |
die mind. mit Rechten system:anyuser rl versehen sind. Und root bekommt |
| 31 |
in der Regel beim Einloggen gar kein Token, das muss man sich wirklich |
| 32 |
per Hand hinterherholen. |
| 33 |
|
| 34 |
> Wir haben uns natürlich schon etwas informiert, sind jedoch nur auf |
| 35 |
> OpenAFS gestoßen, was ansich zwar nett aussieht, aber auch viele |
| 36 |
> zusätzliche Baustellen mit ins Boot zieht (Kerberos, etc.), was wir |
| 37 |
> eigentlich vermeiden möchten. |
| 38 |
|
| 39 |
Baustellen? Naja, die Konfiguration ist schon deutlich aufwändiger als |
| 40 |
eine NFS-OpenLDAP-Lösung. |
| 41 |
|
| 42 |
> Zudem scheint es, als ob man in diesem Fall um eine zweifach |
| 43 |
> vorhandene Benutzerverwaltung nicht herumkommt, was wir unter allen |
| 44 |
> Umständen vermeiden möchte, da dies den Administrationsaufwand |
| 45 |
> erheblich steigert. |
| 46 |
|
| 47 |
Falsch. Es reicht eine Benutzerverwaltung. Und aus dem LDAP-Baum kann |
| 48 |
man noch ein Adressbuch für die Mailclients generieren. |
| 49 |
|
| 50 |
An einer Schule, wo ich mal Aushilfsadmin war, und auch bei uns an der |
| 51 |
Uni (TU Chemnitz) läuft solch eine Konstellation. Und das im deutlich |
| 52 |
größeren Maße. Die Authentifizierung besteht aus einer |
| 53 |
OpenLDAP-Kerberos-Kombination, beim Einloggen bekommt der Nutzer in der |
| 54 |
Regel gleich sein Token, so dass er auf seine Verzeichnisse Zugriff |
| 55 |
hat. Für Webserver gibts Spezial-Token, die nicht verfallen und auch |
| 56 |
nicht mit Passwort geholt werden müssen, so kann nach Freigabe der |
| 57 |
Webserver auch die Dateien aus dem public_html-Verzeichnis lesen. Jeder |
| 58 |
Nutzer kann private Gruppen aus bestehenden Nutzern anlegen, denen er |
| 59 |
dann auf Projektverzeichnisse Rechte gibt. |
| 60 |
|
| 61 |
Mit einer gepatchten Bibliothek bekommt man sogar ein Win2k/XP an den |
| 62 |
Kerberos angebunden und kann das System auch da zur Authentifizierung |
| 63 |
nutzen. Den AFS-Baum kann man dann dort im Exploder auch einbinden. |
| 64 |
|
| 65 |
Das ganze funktioniert prima. Aber detaillierte Hilfestellungen kann |
| 66 |
ich Dir wahrscheinlich auch nicht geben, da steck ich schon ne Weile |
| 67 |
nicht mehr drin. |
| 68 |
|
| 69 |
Ciao |
| 70 |
Sebastian |
| 71 |
|
| 72 |
-- |
| 73 |
Sebastian Damm |
| 74 |
Blog: http://blog.sdamm.de |
| 75 |
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de |
| 76 |
Fingerprint: CB7F F23F D950 644D 838B 215A 550F 75EC 64D9 6827 |
Archives