Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

public:nfs_mit_kerberos

NFS mit Kerberos

Zur Zeit verwenden wir unter Linux-Rechnern das NFS-Protokoll, um auf die Dateien auf Datei-Servern zuzugreifen. Dies kann mit Kerberos sicherer gemacht werden. Kerberos wird bei Servern und Clients verwendet, um die Identität der Rechner und der Benutzer zu validieren. Dadurch kann sichergestellt werden, dass nur autorisierte Benutzer und Rechner Homeverzeichnisse über NFS einbinden können. Damit sichert die IVV5 die Linux Clients bei dem NFS-Zugriff auf Dateiservices zusätzlich ab.
Der Einsatz von Kerberos führt zu einigen Besonderheiten, die nachfolgend beschrieben werden.

Ticket und Ticketlaufzeit

Grundlagen

In einem Kerberos-System werden die Zugriffsrechte in Form von Tickets gewährt. Solche Tickets erlauben die Nutzung der Ressourcen (insbesondere Zugriff auf das Home) und laufen nach einer bestimmten Zeit aus. Kombiniert mit dem Zugriff auf NFS-Homeverzeichnisse bedeutet das, dass die Sitzungen, bei denen die Kerberos-Tickets ausgelaufen sind, aus Sicherheitsgründen automatisch beendet werden. Ein Ticket kann aber erneuert werden, bevor es ausläuft. Die Erneuerung ist aber zeitlich limitiert.

Die Ablaufszeit eines Tickets beträgt 10 Stunden (also etwa ein Arbeitstag). Ein gültiges Ticket lässt sich maximal eine Woche lang erneuern, die IVV5 erneuert deswegen ein Ticket automatisch für eine Woche, solange Sie eingeloggt sind. Das bedeutet, dass, solange Sie sich nicht neu einloggen oder auf andererm Wege das Ticket aktualisieren (s.u.), alle Dienste maximal 7 Tage Zugriff auf Ihr Homeverzeichnis haben. D.h. Sie werden nach einer Woche automatisch ausgeloggt, falls Sie kein neues Ticket anfordern. Mit dem Befehl klist lassen sich die Ablaufzeiten der Tickets anzeigen.

Anfordern eines Tickets

Es gibt verschiedene Methoden um ein Ticket anzufordern. Dies geschieht jedes Mal, wenn Sie:

  1. Ihr Passwort im Login-Bildschirm eingeben.
  2. Ihr Passwort in den meisten Bildschirmschoner eingeben.
  3. kinit eingeben(hierfür müssen Sie Ihr Passwort eingeben.).

Erneuern des Tickets

Ihr Ticket wird für sieben Tage automatisch erneuert. Sollte dies nicht von Ihnen gewünscht werden, so sprechen Sie bitte uns an (ivv5hotline@uni-muenster.de).
Sie können mit dem kinit-Befehl auch ein zeitlich limitiertes Ticket anfordern, wenn Sie ihn mit der Option „-l“ ausführen:

kinit -l 90m

Nochmals zur Erinnerung: Sie werden ausgeloggt, wenn Ihr Ticket ausläuft.

Principals

Die Identität der Objekte (Benutzer, Server, Dienste) in einem Kerberos-System wird durch die sogenannten “Principals” repräsentiert. Diese haben die Form <name>@IVV5NET.WWU.DE, wobei der <name> für Ihre Kennung steht, bzw <dienst>/<servername>@IVV5NET.WWU.DE, wobei der <dienst> für die kerberisierten Dienste (nfs, ssh, cifs, usw.) steht. Sie können sich die Liste der Principals, für die Sie schon ein Ticket haben, mit „klist“ ansehen.

Crontab

Cronjobs, die mit Daten aus dem Homeverzeichnis arbeiten, benötigen, wie alle andere Dienste, die auf das Homeverzeichnis zugreifen, ein gültiges Kerberos-Ticket (siehe Erläuterung). Ein Ticket kann für eine bestimmte Zeit angefordert werden, kann aber aus Sicherheitsgründen nicht länger als 7 Tage (siehe oben) verlängert werden. Das bedeutet, dass ein Cronjob auf einem normalen Arbeitsplatzrechner auf das Homeverzeichnis nur zugreifen kann, wenn Sie sich eingeloggt haben. Dies gilt allerdings nur für den Zeitraum, in dem das beim Einloggen erzeugte Ticket gültig ist.

SSH-Verbindung

Mit einem SSH-Key können Sie sich nicht mehr auf Ihrem Arbeitsplatzrechner einloggen, falls der SSH-Key in Ihrem Homeverzeichnis gespeichert ist und Ihr Homeverzeichnis noch nicht eingebunden ist, da Sie sich dadurch mit Ihrem Passwort nicht authentifizieren und somit kein Kerberos-Ticket anfordern. Dafür haben wir die sogenannte Ticket-Weiterleitung aktiviert. D.h. sobald Sie ein gültiges Kerberos-Ticket haben, können Sie sich ohne weitere Passworteingabe auf andere Rechner in unserem Netz einloggen. Dies gilt auch für NX-Verbindungen.

SSH-Verbindung mit Putty

Mit dem in der IVV5NET-Domäne installierten Putty lässt sich das Kerberos-Ticket nur für die Authentifizierung nutzen und nicht weiterleiten. Daher ist ein Einloggen ohne Passwort möglich, jedoch hat man keinen Zugriff auf das Home-Verzeichnis.
Sie könnten entweder ein Ticket anfordern, in dem Sie „kinit“ eingeben, oder im Putty die Authentifizierung mit GSSAPI deaktivieren, so dass Sie sich beim Einloggen ein Kerberos-Ticket anfordern können.
Dies tun Sie folgendermaßen:

In der Einstellung vom Putty:

Connection -> SSH -> Auth -> GSSAPI

Häckchen wegmachen:

Attempt GSSAPI authentication

screen - lange Berechnungen durchführen

Wie Sie mit einem kerberisierten Home-Verzeichnis längere Berechnungen durchführen können, entnehmen Sie bitte der folgenden Seite: screen mit Kerberos-Ticket

Tunc Taylan Turunc 2012/03/16 09:49

public/nfs_mit_kerberos.txt · Zuletzt geändert: 2017/09/05 12:59 von a_broe10