PS: link to joost homepage intentionally left out

So I will check back in half a year, anyway: thanks for the service and for investments made!

An old mail gave me a clue that this is related to the afs cache manager: This error is KTC_NOCM..

afsd is responsible for providing the cache manager, at least under Debian GNU/Linux. A closer look at /etc/openafs/afs.conf.client revealed that AFS_CLIENT was set to false, which means: dont start afsd on startup.
Setting that to true and restart openafs-client solved the problem.

Also erstmal Mail lesen und die heutigen Termine ausdrucken und dann das Update nochmal starten, bis gleich vielleicht…

Jedenfalls sollte die Antwort nicht sein "I couldn’t care less"! Und es kann doch auch nicht sein, dass selbst der Mainstream das so schnell (fast) gut findet…

Eine der Erfahrunge: man sollte seinen Benutzern nicht einen riesigen Datenbereich zur Verfügung stellen, da dies einige Nachteile hat:

• lock times – sollte das eine grosse Volumen in den Status locked kommen, so sind im Wesentlichen alle Daten locked. Sind die Daten in mehrere kleinere Volumes unterteil, so sind weniger grosse Bereiche betroffen.
• availability – Die schreibende Verfügbarkeit der Datenbereiche verringert sich, siehe oben.
• storage management – Es ist einfacher kleine Datenbereiche auf andere Server oder andere Partitionen zu migrieren.

Verbindet man diese Argumente mit der Tatsache, dass ein AFS Verzeichnis nicht durch MacOSX Spotlight indizierbar und durchsuchbar ist, so wird eine wohldurchdachte Verzeichnisstruktur immer wichtiger. Man sollte nicht alle Daten in ein Verzeichniss "abkippen"

Abweichend werden jetzt die Authentisierungs Mechanismen von MacOSX angepasst, sodass der Benutzer direkt beim Anmelden mittels LoginWindow seine Kerberos tickets und AFS tokens bekommt.

Voraussetzung

Es darf kein automatisches Anmelden erfolgen, im Idealfall meldet sich der Benutzer durch die Eingabe seines Benutzernames und Kennworts an, es ist also in den Systemeinstellungen, Benutzer, Anmelde-Opt.[ionen]: “Anmeldefenster zeigt an” auf “Name und Kennwort” zu setzen.

Kerberos Konfiguration

In der Datein /etc/authorization ist die Kerberos5 Authentisierung anzuschalten, dies wird mittels des Mechanismus krb5authnoverify gemacht. In den einzelnen Sektionen muss jeweils ein <string>authinternal</string> durch ein <string>builtin:krb5authnoverify,privileged</string> ersetzt werden. Diese Ersetzung muss an mehreren Stellen geschehen. Nachdem diese Änderungen durchgeführt sind, wird beim nächsten Anmelden auch ein gültiges Kerberos ticket geholt.

aklog Kerberos Plugin

Es ist Nicholas Riley’s aklog Kerberos Plugin zu installieren. Dieses ist dafür verantwortlich, dass nach der erfolgreichen Kerberos Authentisierung auch ein AFS token geholt wird.

Quellen

• How to Enable Mac OS X Kerberos Authentication at Login
• MacOSX with reliable AFS homedirs?
• Nicholas Riley’s aklog plugin

Als erstes wird für den Arbeitsplatzrechner ein neuer principal angelegt, mittels kadmin kann man als Kerberos Administrator durch addprinc -randkey host/workstation.example.com@EXAMPLE.COM den neuen principal anlegen und auch gleich in die /etc/krb5.keytab des Arbeitsplatz exportieren: ktadd -k /etc/krb5.keytab host/workstation.example.com@EXAMPLE.COM. Damit wäre die Kommunikation zwischen Kerberos client und server ermöglicht.

Damit der Benutzer bei der Anmeldung automatisch ein ticket (Kerberos) und ein token (AFS) erhält, ist libpam-krb5 und libpam-openafs-session zu installieren. Die Konfiguration der beiden PAM Module wird in /etc/pam.d/common-{auth|accounts|session} durchgeführt. In den entspr. Dateien sind folgende Zeilen anzuhängen:

auth      sufficient      pam_krb5.so try_first_pass forwardable ignore_root
account   sufficient      pam_krb5.so ignore_root
session   optional        pam_krb5.so ignore_root
session   optional        pam_openafs_session.so ignore_root

Jetzt sollte nach dem Anmelden z.B. via ssh sowohl ein Kerberos ticket (welches durch das beim ssh login angegebene Passwort oder durch ein einzugebendes Password authorisiert wird) und daran folgend für die Sitzung ein AFS ticket ausgestellt.

Diese Anleitung beschreibt kurz die Installation und Konfiguration eines Kerberos Servers und eines OpenAFS Server unter Debian GNU/Linux. In der ganzen Anleitung werden als Beispiele die Domain example.com und das IP-Netz 10.0.0.0/24 verwendet.

Voraussetzungen

Es werden neue Pakete auf dem Debian GNU/Linux System installiert, diese müssen bereitgestellt werden. Desweiteren muss das Netzwerk zu einem Client funktionsfähig sein.

Der Kerberos und OpenAFS Server wird im Beispiel auf dem gleichen System installiert: 10.0.0.11.

DNS

Damit Kerberos und OpenAFS optimal funktionieren sind einige DNS Einträge in der Zone example.com zu machen:

kerberos                IN      A       10.0.0.11
afs                     IN      A       10.0.0.11
_kerberos               IN      TXT     "EXAMPLE.COM"
_kerberos-master._udp   IN      SRV     0 0 88 kerberos
_kerberos-adm._tcp      IN      SRV     0 0 749 kerberos
_kpasswd._udp           IN      SRV     0 0 464 Kerberos
_kerberos._udp          IN      SRV     0 0 88 kerberos
EXAMPLE.COM.            IN      AFSDB   1 afs.example.com.

In allen Dokumentationen wird immer wieder darauf hingewiesen, dass es wichtig ist auf die Gross-/Kleinschreibung zu achten: das Kerberos realm wird immer komplett gross geschrieben und die AFS cell immer komplett klein. Zur vereinfachung geht diese Anleitung davon aus, dass die realm und die cell den gleichen Namen tragen.

Kerberos Installation

Die Installation der Kerberos Software geht recht schnell, apt-get install krb5-kdc krb5-admin-server krb5-clients ; krb5_newrealm. Die Fragen die apt-get muss man beantworten. Die Konfiguration von Kerberos findet vor allem in /etc/krb5.conf statt. Hier ist wichtig, dass default_realm und EXAMPLE.COM in der Sektion <realms> richtig konfiguriert ist.
Als nächstes wird ein principal (also ein Account) für einen Benutzer angelegt, dieser wird administrative Rechte erhalten und später den OpenAFS server verwalten.

kadmin.local -q "addprinc user@EXAMPLE.COM"
kadmin.local -q "addprinc user/admin@EXAMPLE.COM"

user/admin@EXAMPLE.COM muss jetzt in /etc/krb5kdc/kadm5.acl der Eintrag user/admin@EXAMPLE.COM * sorgt dafür das dieser principal vollen Zugriff auf die Kerberos Datenbank erhält.

Mittels kinit user/admin und dem richtigen Passwort sollte man die entsprechenden Ticket vom Kerberos Server bekommen (verifizierbar mittels klist).

OpenAFS Installation

apt-get install openafs-dbserver openafs-krb5 openafs-client installiert die OpenAFS Basis, hierbei ist darauf zu achten, dass openafs-client nicht nacht der Installation des Paketes oder nach dem booten gestartet wird. Die Antworten auf die Fragen von apt-get sollten klar sein. Zur Verifikation der Installation sollte in /etc/openafs/CellServDB der Zellenname mit der IP-Adress 10.0.0.11 enthalten sein. /etc/openafs/ThisCall sollte den Zellennamen enthalten.

OpenAFS Kernel Modules

Die Kernel Module für OpenAFS müssen wahrscheinlich auf dem Server kompiliert werden, am schnellsten geht es mit:

apt-get install module-assistant
module-assistant prepare openafs-modules
module-assistant auto-build openafs-modules

Kerberos: AFS principal anlegen

Für die Administration von OpenAFS wird ein separater principal angelegt. Hierzu wird kadmin.local genutzt und folgende Befehle

addprinc -randkey -e des-cbc-crc:v4 afs
ktadd -k /tmp/afs.keytab -e des-cbc-crc:v4 afs

Dieser principal wird mit asetkey add <kvno> /tmp/afs.keytab afs in die OpenAFS Konfiguration übernommen und im Keyfile abgelegt. kvno ist die kvno die von kadmin.local ausgegeben wurde.

Anlegen der root.cell

Als nächstes muss eine root.cell angelegt werden, hierzu nutzt OpenAFS initial die Partition /vicepa, dies muss eine Partition sein. Der Schnellstart wäre eine mittels loop gemountete Datei:

dd if=/dev/zero of=/var/lib/openafs/vicepa bs=1024k count=64
mke2fs /var/lib/openafs/vicepa
mkdir /vicepa
mount -oloop /var/lib/openafs/vicepa /vicepa

Den Eintrag in /etc/fstab zum automatischen mounten während des booten sollte man nicht vergessen!

Das Skript afs-newcell führt die entsprechende Konfiguration zum anlegen einer neuen Zell durch. kinit user/admin; aklog holt vom Kerberos mit adminitrativen Rechten ausgestattete Tickets und überträgt sie in ein entsprechendes OpenAFS Token. Dies muss mittels tokens sichtbar sein. afs-rootcell legt die root.cell auf dem Server an. Idealerweise bootet man den server jetzt neu – Muss aber nicht.

Einen Benutzer anlegen

Nachdem der Server läuft wird in diesem Abschnitt beschrieben wie ein neuer Benutzer und ein Datenbereich für diesen angelegt.

Benutzer anlegen

Mit kadmin.local fügt man einen neuen principal in die Kerberos Datenbank an: add benutzer, danach wird dieser Benutzer auch im OpenAFS angelegt:
pts createuser benutzer -id 501

Datenbereich

Auf dem OpenAFS Server wird jetzt ein volume für den Benutzer angelegt, ihm werden alle Rechte auf diesen Datenbereich zugesichert und die quota auf 0 (unbegrenzt) gesetzt:

vos create afs /vicepa user.benutzer -maxquota 0
cd /afs/.example.com/user 
fs mkm benutzer user.benutzer 
chown benutzer benutzer 
fs sa benutzer benutzer all  
fs sa benutzer system:authuser l 
vos release user 
fs checkvolumes 

MacOSX Client

Nach der Installation des OpenAFS for MacOS 10 Client ist für diesen die CellServDB und ThisCell in /var/db/openafs/etc anzupassen. In der CellServDB muss mindestens

example.com  # example
10.0.0.11      # afs.example.com

enthalten sein. Nach den # folgt kein Kommentar, sondern genutzte Daten!

zusätzliche Authentisierung

Zusätzlich zur Authentisierung unter MacOS muss man auf dem Client mittels des Terminals auch ein Kerberos Ticket und ein OpenAFS Token vom Server erfragen:

kinit benutzer
aklog
tokens

tokens listet dabei nur die AFS tokens auf.

Jetzt sollte man vollen schreib/lese-Zugriff auf /afs/example.com/daten/benutzer auf dem MacOS client haben.

Quellen

• DFN Cert OpenAFS
• Bayour LDAPv3 Howto
• OpenAFS for MacOS 10
• Mac OS X Kerberos Extras

1. Konzept der leicht migrierbaren Volumes
2. client für MacOSX verfügbar wie auch für GNU/Linux
3. Einsatz in grossen Installationen
4. client side caching

Diesen Punkten steht allerdings ein gewisser administrativer Aufwand entgegen: es ist eine Kerberos5 Umgebung notwendig. Weiterer Schwachpunkt ist momentan auch, dass weder AFS noch NFS oder CIFS Volumen vom MacOSX client in der Spotlight Datenbank indiziert werden können. Weiterhin kommt dazu, dass auf OpenAFS 1.4 volumes keine Dateine grösser als 2GB gespeichert werden können.

weitere Info: Kerberos5 und OpenAFS on GNU/Debian howto

TODO: Backup Konzept für den fileserver.

Irving Wladawsky-Berger: IBM’s Linux Initiative:

By the summer of 1999 Linux was picking up steam in the marketplace.

Hmm, would be nice the head how our top tech heads errrm… Vice President of Technical Strategy and Innovation sees the distribution of the success of Linux within IBM is. IBM Global Services is not leading the Linux business, from my point of view Linux and Open-Source is a key service enabler. IBM managed the make it a Hardware play and is putting all it’s Software ontop Linux. Most of the time the hardware brand is in the lead in projects I do, may be a Germany-only observation.

PS: I am really unsure where the information that the keys need to be updated is announced. Maybe there is a feed or mailing list out there??

References:

• debian-user-german mailing list
• The GNU Privacy Handbook
• del.icio.us cloud