K (Hob den Schutz von „Netzwerkspeicher auf Unix Workstations einbinden“ auf) |
Jnk (Diskussion | Beiträge) K (Textersetzung - „IMT“ durch „ZIM“) |
||
(14 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | {{ | + | {{article |
− | | os = Linux | + | |type=Anleitung |
− | | service = Netzwerkspeicher | + | |os=Linux |
− | | targetgroup = Bereiche | + | |service=Meta:Netzwerkspeicher |
− | | | + | |targetgroup=Bereiche |
− | + | |hasdisambig=Nein | |
}} | }} | ||
− | + | {{ambox | |
− | Diese Anleitung beschreibt, wie Sie als Administrator eines Bereichs den Netzwerkspeicher auf Linux/Unix-Clientsystemen (z.B. Poolarbeitsplätzen) per NFS4 einbinden können, sodass er für alle Benutzer des Systems zur Verfügung steht. | + | |type=notice |
+ | |text=Linux wird nur rudimentär vom ZIM unterstützt. Infos sind an "Profis" gerichtet, | ||
+ | Benutzung auf eigene Gefahr. | ||
+ | }} | ||
+ | Diese Anleitung beschreibt, wie Sie als Administrator eines Bereichs den Netzwerkspeicher auf Linux/Unix-Clientsystemen (z. B. Poolarbeitsplätzen) per NFS4 einbinden können, sodass er für alle Benutzer des Systems zur Verfügung steht. | ||
== Anforderungen == | == Anforderungen == | ||
Zeile 13: | Zeile 17: | ||
Um diese Zugriffsmethode auf den Netzwerkspeicher nutzen zu können, müssen einige Voraussetzungen erfüllt sein: | Um diese Zugriffsmethode auf den Netzwerkspeicher nutzen zu können, müssen einige Voraussetzungen erfüllt sein: | ||
− | * Der Host muss zur Authentifikation der Benutzer die | + | * Der Host muss zur Authentifikation der Benutzer die Single-Sign-On-Dienste des ZIM (LDAP + Kerberos) nutzen. |
− | * Der Host muss über eine Kerberos-Keytab verfügen. Diese muss entweder vom | + | * Der Host muss über eine Kerberos-Keytab verfügen. Diese muss entweder vom ZIM ausgestellt sein oder vom Administrator eines vom ZIM vertrauten Kerberos-REALMs bereitgestellt werden. Sie muss unter ''/etc/krb5.keytab'' auf dem Clientsystem gespeichert sein. |
* Auf dem Host müssen entsprechende Dienste für NFS4-Client-Support installiert sein. | * Auf dem Host müssen entsprechende Dienste für NFS4-Client-Support installiert sein. | ||
Zeile 21: | Zeile 25: | ||
* Es soll '''fs-nfs.uni-paderborn.de:/ifs/upb''' nach '''/upb''' mit Sicherheitstyp '''krb5*''' gemountet werden, damit ein einheitlicher Pfad sichergestellt werden kann. | * Es soll '''fs-nfs.uni-paderborn.de:/ifs/upb''' nach '''/upb''' mit Sicherheitstyp '''krb5*''' gemountet werden, damit ein einheitlicher Pfad sichergestellt werden kann. | ||
− | * Die NFS4-Domain ist '''uni-paderborn.de''' | + | * Die NFS4-Domain ist '''uni-paderborn.de'''. |
− | |||
* Ggf. muss der gssd für die Nutzung eines bestimmten lokalen REALMS konfiguriert werden. | * Ggf. muss der gssd für die Nutzung eines bestimmten lokalen REALMS konfiguriert werden. | ||
Zeile 42: | Zeile 45: | ||
==== gssd ==== | ==== gssd ==== | ||
− | Für den ''gssd'' ist nur eine Konfiguration erforderlich, falls | + | Für den ''gssd'' ist nur eine Konfiguration erforderlich, falls das Host-Principal des Rechners nicht vom ZIM ausgestellt wurde (d. h. nicht aus dem REALM ''UNI-PADERBORN.DE'' stammt). |
− | + | In diesem Fall ist es notwendig, den ''gssd'' mit dem Parameter ''-R REALM_des_Host-Principals'' zu starten. | |
− | + | Aufgrund eines mittlerweile vor einer Weile upstream behobener Bugs im ''gssd'' ist es in diesem Fall wahrscheinlich leider auch notwendig, eine gepatchte Version des Daemons selbst zu bauen. | |
− | + | [http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=0ce973a59ab3393481ba7c434a7353b5007cba71 Dieser] Patch ist wahrscheinlich nicht mehr benötigt, sehr wahrscheinlich aber [http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=a402f768db1dc6497cf7f592b33e142936897de2 dieser]. | |
− | Aufgrund | ||
− | |||
In Debian Squeeze und Wheezy ist der erste Fehler bereits behoben, der zweite [http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=709632 leider noch nicht]. | In Debian Squeeze und Wheezy ist der erste Fehler bereits behoben, der zweite [http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=709632 leider noch nicht]. | ||
− | + | Unter Debian-Systemen erfolgt die Konfiguration der ''gssd''-Parameter in der Datei ''/etc/default/nfs-common''. Sie könnte z. B. so aussehen: | |
− | Unter Debian-Systemen erfolgt die Konfiguration der ''gssd''-Parameter in der Datei ''/etc/default/nfs-common''. Sie könnte z.B. so aussehen: | ||
[...] | [...] | ||
Zeile 63: | Zeile 63: | ||
# | # | ||
# Parameters for gssd | # Parameters for gssd | ||
− | RPCGSSDOPTS="- | + | RPCGSSDOPTS="-R CS.UNI-PADERBORN.DE" |
+ | |||
+ | |||
+ | Unter Ubuntu (z. B. Quantal) erfolgt die Konfiguration in der Datei ''/etc/init/gssd.override'': | ||
+ | # override exec stanza to use a different Realm | ||
+ | exec rpc.gssd -R CS.UNI-PADERBORN.DE | ||
− | + | Ab '''Debian Jessie''' ist systemd Default. Leider nutzt Systemd andere Umgebungsvariablen beim Starten. Dies wird in Debian durch ein Hilfsscript erledigt, welches aber leider einen Bug (#846950) hat. Als Workaround funktioniert folgendes: | |
− | + | Eine neue Datei '/etc/systemd/system/rpc-gssd.service.d/override.conf' anlegen: | |
− | + | ||
+ | [Service] | ||
+ | EnvironmentFile= | ||
+ | EnvironmentFile=/etc/default/nfs-common | ||
+ | ExecStart= | ||
+ | ExecStart=/usr/sbin/rpc.gssd $RPCGSSDOPTS | ||
+ | |||
+ | Dadurch wird der gssd direkt mit den Werten aus /etc/default/nfs-common gestartet. | ||
+ | |||
+ | '''WICHTIG: Der Parameter '-l' darf nicht mehr verwendet werden, da Single-DES-Keys nicht mehr akzeptiert werden!''' | ||
=== Mount === | === Mount === | ||
− | Der einfachste Weg um sicherzustellen, dass das Dateisystem bei jedem Systemstart gemountet wird, ist das Hinzufügen des folgenden Eintrags in die ''/etc/fstab'' : | + | Der einfachste Weg, um sicherzustellen, dass das Dateisystem bei jedem Systemstart gemountet wird, ist das Hinzufügen des folgenden Eintrags in die ''/etc/fstab'': |
fs-nfs.uni-paderborn.de:/ifs/upb /upb nfs sec=krb5i 0 0 | fs-nfs.uni-paderborn.de:/ifs/upb /upb nfs sec=krb5i 0 0 | ||
− | Alternativ kann z.B. der Automounter (autofs) verwendet werden, mit dem das Dateisystem erst beim ersten Zugriff darauf verbunden wird. | + | Alternativ kann z. B. der Automounter (autofs) verwendet werden, mit dem das Dateisystem erst beim ersten Zugriff darauf verbunden wird. |
+ | |||
+ | '''Hinweis für Debian Stretch''': Debian Stretch nutzt standardmäßig NFS Version 4.2 zum Mounten des Dateisystems. Da dieses vom Server noch nicht unterstützt wird, muss neben ''sec=krb5i'' noch die Option ''vers=4.0'' angegeben werden. |
Aktuelle Version vom 17. Mai 2024, 13:38 Uhr
Anleitung | |
---|---|
Linux | |
Informationen | |
Betriebssystem | Linux |
Service | Netzwerkspeicher |
Interessant für | Bereiche |
Linux Portalseite |
Linux wird nur rudimentär vom ZIM unterstützt. Infos sind an "Profis" gerichtet,
Benutzung auf eigene Gefahr. |
Diese Anleitung beschreibt, wie Sie als Administrator eines Bereichs den Netzwerkspeicher auf Linux/Unix-Clientsystemen (z. B. Poolarbeitsplätzen) per NFS4 einbinden können, sodass er für alle Benutzer des Systems zur Verfügung steht.
Anforderungen[Bearbeiten | Quelltext bearbeiten]
Um diese Zugriffsmethode auf den Netzwerkspeicher nutzen zu können, müssen einige Voraussetzungen erfüllt sein:
- Der Host muss zur Authentifikation der Benutzer die Single-Sign-On-Dienste des ZIM (LDAP + Kerberos) nutzen.
- Der Host muss über eine Kerberos-Keytab verfügen. Diese muss entweder vom ZIM ausgestellt sein oder vom Administrator eines vom ZIM vertrauten Kerberos-REALMs bereitgestellt werden. Sie muss unter /etc/krb5.keytab auf dem Clientsystem gespeichert sein.
- Auf dem Host müssen entsprechende Dienste für NFS4-Client-Support installiert sein.
Was ist zu konfigurieren?[Bearbeiten | Quelltext bearbeiten]
- Es soll fs-nfs.uni-paderborn.de:/ifs/upb nach /upb mit Sicherheitstyp krb5* gemountet werden, damit ein einheitlicher Pfad sichergestellt werden kann.
- Die NFS4-Domain ist uni-paderborn.de.
- Ggf. muss der gssd für die Nutzung eines bestimmten lokalen REALMS konfiguriert werden.
Notwendige Dienste[Bearbeiten | Quelltext bearbeiten]
Für den Zugriff auf NFS4-Dateisysteme ist es notwendig, dass auf dem System gssd sowie idmapd installiert sind und laufen.
Unter Debian und Ubuntu werden sie durch das Paket nfs-common bereitgestellt.
idmapd / NFS4-Domain[Bearbeiten | Quelltext bearbeiten]
Die Konfiguration der NFS4-Domain erfolgt in der Datei /etc/idmapd.conf. Dort muss der Eintrag Domain im Abschnitt General angepasst werden:
[General] Domain = uni-paderborn.de
gssd[Bearbeiten | Quelltext bearbeiten]
Für den gssd ist nur eine Konfiguration erforderlich, falls das Host-Principal des Rechners nicht vom ZIM ausgestellt wurde (d. h. nicht aus dem REALM UNI-PADERBORN.DE stammt).
In diesem Fall ist es notwendig, den gssd mit dem Parameter -R REALM_des_Host-Principals zu starten. Aufgrund eines mittlerweile vor einer Weile upstream behobener Bugs im gssd ist es in diesem Fall wahrscheinlich leider auch notwendig, eine gepatchte Version des Daemons selbst zu bauen. Dieser Patch ist wahrscheinlich nicht mehr benötigt, sehr wahrscheinlich aber dieser.
In Debian Squeeze und Wheezy ist der erste Fehler bereits behoben, der zweite leider noch nicht.
Unter Debian-Systemen erfolgt die Konfiguration der gssd-Parameter in der Datei /etc/default/nfs-common. Sie könnte z. B. so aussehen:
[...] # Do you want to start the idmapd daemon? It is only needed for NFSv4. NEED_IDMAPD=yes # # Do you want to start the gssd daemon? It is required for Kerberos mounts. NEED_GSSD=yes # # Parameters for gssd RPCGSSDOPTS="-R CS.UNI-PADERBORN.DE"
Unter Ubuntu (z. B. Quantal) erfolgt die Konfiguration in der Datei /etc/init/gssd.override:
# override exec stanza to use a different Realm exec rpc.gssd -R CS.UNI-PADERBORN.DE
Ab Debian Jessie ist systemd Default. Leider nutzt Systemd andere Umgebungsvariablen beim Starten. Dies wird in Debian durch ein Hilfsscript erledigt, welches aber leider einen Bug (#846950) hat. Als Workaround funktioniert folgendes:
Eine neue Datei '/etc/systemd/system/rpc-gssd.service.d/override.conf' anlegen:
[Service] EnvironmentFile= EnvironmentFile=/etc/default/nfs-common ExecStart= ExecStart=/usr/sbin/rpc.gssd $RPCGSSDOPTS
Dadurch wird der gssd direkt mit den Werten aus /etc/default/nfs-common gestartet.
WICHTIG: Der Parameter '-l' darf nicht mehr verwendet werden, da Single-DES-Keys nicht mehr akzeptiert werden!
Mount[Bearbeiten | Quelltext bearbeiten]
Der einfachste Weg, um sicherzustellen, dass das Dateisystem bei jedem Systemstart gemountet wird, ist das Hinzufügen des folgenden Eintrags in die /etc/fstab:
fs-nfs.uni-paderborn.de:/ifs/upb /upb nfs sec=krb5i 0 0
Alternativ kann z. B. der Automounter (autofs) verwendet werden, mit dem das Dateisystem erst beim ersten Zugriff darauf verbunden wird.
Hinweis für Debian Stretch: Debian Stretch nutzt standardmäßig NFS Version 4.2 zum Mounten des Dateisystems. Da dieses vom Server noch nicht unterstützt wird, muss neben sec=krb5i noch die Option vers=4.0 angegeben werden.