Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

Internal

Rechtliches

public:nfs_mit_kerberos

Dies ist eine alte Version des Dokuments!


NFS mit Kerberos

Solaris und Linux Rechner verwenden das NFS-Protokoll, um auf die Dateien auf Datei-Servern zuzugreifen. Das Kerberos wird bei Servern und Clients verwendet, um die Identität der Rechner und der Benutzer zu validieren. Dadurch kann sichergestellt werden, dass nur autorisierte Benutzer und Rechner Homeverzeichnisse über NFS mounten können. Damit sichert die IVV5 die Solaris und Linux Clients bei dem NFS-Zugriff auf Dateiservices zusätzlich ab.
Der Einsatz von Kerberos führt zu einigen Besonderheiten, die nachfolgend beschrieben werden.

Crontab(wip)

Cronjobs, die mit Daten aus dem Homeverzeichnis arbeiten, benötigen, wie alle andere Dienste, die auf das Homeverzeichnis zugreifen, ein gültiges Kerberos-Ticket (siehe unten für Erläuterung). Das bedeutet, dass ein Cronjob auf einem normalen Arbeitsplatzrechner auf das Homeverzeichnis zugreifen kann, nachdem Sie sich eingeloggt haben. Dies gilt allerdings nur für den Zeitraum, in dem das beim Einloggen erzeugte Ticket gültig ist.

Ticket und Ticketlaufzeit

Grundlagen

In einem Kerberos-System werden die Zugriffsrechte in Form von Tickets gewährt. Solche Tickets erlauben die Nutzung der Ressourcen (insbesondere Zugriff auf das Home) und laufen nach einer bestimmten Zeit aus. Ein Ticket kann erneuert werden, bevor es ausläuft. Die Erneuerung ist aber zeitlich limitiert. Die Ablaufszeit eines Tickets beträgt 10 Stunden(ein Arbeitstag). Ein gültiges Ticket lässt sich innerhalb einer Woche erneuern. Die IVV5 erneuert dieses Ticket automatisch für eine Woche, solange Sie eingeloggt sind. Das bedeutet, dass alle Dienste maximal nur 7 Tage Zugriff auf Ihr Homeverzeichnis haben, wenn Sie das Ticket in der Zeit nicht selber aktualisiert haben. D.h. Sie werden nach einer Woche automatisch ausgeloggt, falls Sie kein neues Ticket anfordern. Mit dem Befehl “klist” lassen sich die Ablaufzeiten der Tickets anzeigen.

Anfordern eines Tickets

Es gibt verschiedene Methoden um ein Ticket anzufordern. Es wird jedes Mal aktualisiert, wenn Sie:

  1. Ihr Passwort im Login-Bildschirm eingeben.
  2. Ihr Passwort in den meisten Bildschirmschoner eingeben.
  3. “kinit” eingeben(hierfür müssen Sie Ihr Passwort eingeben.).

Erneuern des Tickets

Für sieben Tage wird Ihr Ticket automatisch erneuert. Sollte dies nicht von Ihnen gewünscht werden, können die nachfolgenden Hinweise helfen, eine angepasste Lösung zu realisieren.
Mit dem Befehl “kinit” lassen sich die Tickets auch erneuern. Sie müssen dazu noch als Option “-R” eingeben. Falls das Ticket gültig ist, brauchen Sie das Passwort nicht einzugeben. Das Ticket wird danach wieder für 10 Stunden gültig bleiben.
Wenn Sie ein zeitlich begrenztes Ticket haben möchten, können Sie die automatische Erneuerung der Tickets natürlich stoppen, in dem Sie ihren “krenew”-Prozess beenden. Danach können Sie den “kinit”-Befehl mit der entsprechenden Option “-l” anfordern ”kinit -l 90m”.
Nochmals zur Erinnerung: Sie werden ausgeloggt, wenn das Ticket ausläuft.

Principals

Die Identität der Objekte (User, Server, Dienste) in einem Kerberos-System wird durch die sogenannte “Principals” repräsentiert. Diese haben die Form <name>@IVV5NET.WWU.DE, wobei der <name> für Ihre Kennung steht. Falls Sie Schwierigkeiten beim Einloggen oder beim Zugriff auf Ihr Homeverzeichnis haben, ändern Sie bitte Ihr Passwort auf MeinZIV.

public/nfs_mit_kerberos.1308917321.txt.gz · Zuletzt geändert: 2011/06/24 14:08 von t_turu01