1 |
Hallo, |
2 |
|
3 |
Am 24. Juni 2006 schrieb Fabian Steiner: |
4 |
> Nun suchen wir jedoch einen "sicheren" Ersatz für NFS und dies ist |
5 |
> der Punkt, wo ihr ins Spiel kommt ;-) |
6 |
|
7 |
Da fällt mir auch nur OpenAFS ein. |
8 |
|
9 |
> Dabei sollen vor allem folgende Punkte sichergestellt werden: |
10 |
> -> es soll eine Authentifizierung der Maschine stattfinden, d.h. darf |
11 |
> der jeweilige Rechner sich überhaupt in das Schulnetz einhängen |
12 |
|
13 |
Auf welcher Basis? MAC-Adresse? IP-Adresse? Irgendein secret token auf |
14 |
dem Rechner? Das erscheint mir bisschen unscharf spezifiziert. |
15 |
|
16 |
> -> wenn möglich, sollte nur bei Bedarf etwas gemountet werden, d.h. |
17 |
> meldet sich Schüler XYZ an, soll das Homeverzeichnis von XYZ |
18 |
> gemountet werden |
19 |
|
20 |
Hmm, das bietet Dir wohl openafs nicht - liese sich aber vielleicht mit |
21 |
Automount auch realisieren. |
22 |
|
23 |
> -> lokaler root sollte keinen Zugriff bzw. kaum Rechte auf den Export |
24 |
> haben (ähnlich wie bei NFS: root_squash/no_root_squash) |
25 |
|
26 |
AFS AFS AFS AFS AFS AFS AFS AFS AFS. ;) |
27 |
|
28 |
Dort brauchst Du ein Administrator-Token, um vollen Zugriff auf |
29 |
AFS-Baum zu haben. Ohne Token hast Du nur Zugriff auf Verzeichnisse, |
30 |
die mind. mit Rechten system:anyuser rl versehen sind. Und root bekommt |
31 |
in der Regel beim Einloggen gar kein Token, das muss man sich wirklich |
32 |
per Hand hinterherholen. |
33 |
|
34 |
> Wir haben uns natürlich schon etwas informiert, sind jedoch nur auf |
35 |
> OpenAFS gestoßen, was ansich zwar nett aussieht, aber auch viele |
36 |
> zusätzliche Baustellen mit ins Boot zieht (Kerberos, etc.), was wir |
37 |
> eigentlich vermeiden möchten. |
38 |
|
39 |
Baustellen? Naja, die Konfiguration ist schon deutlich aufwändiger als |
40 |
eine NFS-OpenLDAP-Lösung. |
41 |
|
42 |
> Zudem scheint es, als ob man in diesem Fall um eine zweifach |
43 |
> vorhandene Benutzerverwaltung nicht herumkommt, was wir unter allen |
44 |
> Umständen vermeiden möchte, da dies den Administrationsaufwand |
45 |
> erheblich steigert. |
46 |
|
47 |
Falsch. Es reicht eine Benutzerverwaltung. Und aus dem LDAP-Baum kann |
48 |
man noch ein Adressbuch für die Mailclients generieren. |
49 |
|
50 |
An einer Schule, wo ich mal Aushilfsadmin war, und auch bei uns an der |
51 |
Uni (TU Chemnitz) läuft solch eine Konstellation. Und das im deutlich |
52 |
größeren Maße. Die Authentifizierung besteht aus einer |
53 |
OpenLDAP-Kerberos-Kombination, beim Einloggen bekommt der Nutzer in der |
54 |
Regel gleich sein Token, so dass er auf seine Verzeichnisse Zugriff |
55 |
hat. Für Webserver gibts Spezial-Token, die nicht verfallen und auch |
56 |
nicht mit Passwort geholt werden müssen, so kann nach Freigabe der |
57 |
Webserver auch die Dateien aus dem public_html-Verzeichnis lesen. Jeder |
58 |
Nutzer kann private Gruppen aus bestehenden Nutzern anlegen, denen er |
59 |
dann auf Projektverzeichnisse Rechte gibt. |
60 |
|
61 |
Mit einer gepatchten Bibliothek bekommt man sogar ein Win2k/XP an den |
62 |
Kerberos angebunden und kann das System auch da zur Authentifizierung |
63 |
nutzen. Den AFS-Baum kann man dann dort im Exploder auch einbinden. |
64 |
|
65 |
Das ganze funktioniert prima. Aber detaillierte Hilfestellungen kann |
66 |
ich Dir wahrscheinlich auch nicht geben, da steck ich schon ne Weile |
67 |
nicht mehr drin. |
68 |
|
69 |
Ciao |
70 |
Sebastian |
71 |
|
72 |
-- |
73 |
Sebastian Damm |
74 |
Blog: http://blog.sdamm.de |
75 |
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de |
76 |
Fingerprint: CB7F F23F D950 644D 838B 215A 550F 75EC 64D9 6827 |