AFS-Client unter Linux - Fedora

Bei der Installation und Konfiguration eines OpenAFS-Clients unter Fedora Linux wird davon ausgegangen, dass Sie bei der Nutzung bereits mit Ihrem Hochschulaccount an seinem PC angemeldet sind und über eine bestehende Verbindung zum Internet verfügen.

Installation und Konfiguration von OpenAFS

Zugang zum Repository RPM Fusion
(nur bis einschließlich Fedora 20)

• TCP-Ports 88 und 750 für die Authentifizierung

• UDP-Ports 7000-7019 für den Betrieb

  insbesondere 7001 incoming (Callback)

Bis einschließlich Fedora Version 20 werden die benötigten Programmpakete (RPMs) über das Repository von RPM Fusion bezogen. Der Vorteil, OpenAFS über ein Repository zu beziehen, und nicht einzelne RPM-Pakete über den Web-Browser herunterzuladen, besteht darin, dass bei einem Kernel-Update via YUM auch die OpenAFS-Pakete aktualisiert werden, sofern vorhanden.

Zunächst muss der Zugang zu diesem Repository, wie unter rpmfusion.org/Configuration beschrieben, eingerichtet werden: Entweder folgen Sie im Web-Browser dem dort erwähnten Link für RPM Fusion free for Fedora xy  und sichern/installieren das Paket mit Administrationsrechten (etwa als Person mit der Rolle root) auf dem Zielrechner, oder Sie führen die im Abschnitt Command Line Setup using rpm aufgeführte Zeile

 su -c 'yum localinstall --nogpgcheck \
 "http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm"'

aus (Eingabe Ihres Kennwortes als root erforderlich). Danach steht das Repository rpmfusion.org zur Verfügung.

Zugang zum Repository COPR (erst ab Fedora 21)

• TCP-Ports 88 und 750 für die Authentifizierung

• UDP-Ports 7000-7019 für den Betrieb

  insbesondere 7001 incoming (Callback)

Ab Fedora Version 21 wird OpenAFS nicht mehr vom Repository RPM Fusion bereitgestellt. Stattdessen wird auf freiwilliger Basis von engagierten Nutzerinnen und Nutzer ohne Gewähr in unregelmäßigen Abständen OpenAFS auf der COPR Plattform von Fedora angeboten. Ähnlich wie bei RPM Fusion müssen auch für dieses Repository auf dem eigenen Arbeitsplatzrechner Konfigurationsfiles für YUM beziehungsweise DNF (ab Fedora 22) angelegt werden. Die zur eigenen Betriebssystemversion gehörenden Konfigurationsfiles für den OpenAFS-Client und das OpenAFS-Kernel-Modul kann man von der COPR OpenAFS Webseite herunterladen und im Verzeichnis /etc/yum.repos.d ablegen. Beispiel (Eingabe Ihres Kennwortes als root erforderlich):

 su -c 'wget \
 https://copr.fedoraproject.org/coprs/jsbillings/openafs/repo/fedora-21/jsbillings-openafs-fedora-21.repo \
 -O /etc/yum.repos.d/jsbillings-openafs.repo'

 su -c 'wget \
 https://copr.fedoraproject.org/coprs/jsbillings/openafs-kmod/repo/fedora-21/jsbillings-openafs-kmod-fedora-21.repo \
 -O /etc/yum.repos.d/jsbillings-openafs-kmod.repo'

Danach steht das Repository zur Verfügung, bei einem Kernel-Update via YUM (Fedora 21) beziehungsweise DNF (Fedora 22 folgende) werden auch die OpenAFS-Pakete aktualisiert, sofern vorhanden.

Anmerkung: Die Konfigurationsfiles sind zurzeit versionsunabhängig, so dass diese auch bei einem Betriebssystem-Upgrade weiter verwendet werden können.

Installation des OpenAFS-Clients 

Der OpenAFS-Client kann von einer Person mit Administrationsrechten direkt mit der Paketverwaltung YUM aus dem Repository RPM Fusion heruntergeladen und installiert werden. Dazu sind folgende Pakete notwendig:

• openafs-client
• openafs
• kmod-openafs (bei Linux-Kernels mit PAE: kmod-openafs-PAE)

Beispiel:

 yum install openafs-client openafs kmod-openafs(-PAE)

Konfiguration des OpenAFS-Clients

Bei der Installation der Pakete werden alle benötigten Konfigurationsdateien im Verzeichnis /etc/openafs abgelegt, das OpenAFS-Cache-Verzeichnis befindet sich unter /var/cache/openafs. Einige wenige Dateien im Konfigurationsverzeichnis müssen angepasst werden.

Die Datei /etc/openafs/ThisCell sollte nur die Zeile

 rrz.uni-koeln.de

enthalten.

Falls erforderlich, finden Sie eine aktuelle Liste von Servern mit AFS Zellen (CellServDB) etwa auf dem Rechner dialog.rrz.uni-koeln.de unter

 /afs/rrz/common/etc/CellServDB

Diese Datei können Sie dann per SCP oder SFTP herunterladen und in /etc/openafs/CellServDB speichern. Alternativ besteht die Möglichkeit, die Datei per Web-Browser herunterzuladen.

In der Datei /etc/openafs/cacheinfo ist die Lage und die Größe des AFS Caches festgelegt, für eine Größe von 100 MB beinhaltet die Datei die Zeile

 /afs:/var/cache/openafs:100000

Die Startoptionen des OpenAFS-Clienten schließlich befinden sich unter /etc/sysconfig/openafs. Die Angaben brauchen nur bei Bedarf angepasst werden.

Starten des OpenAFS-Clients

Auf der Kommandozeile (als Benutzer root) können Sie den OpenAFS-Client manuell starten:

 systemctl start openafs-client.service

Soll der OpenAFS-Client künftig beim Booten automatisch gestartet werden, schalten Sie OpenAFS in den entsprechenden Runleveln ein. Achtung: Das sollten Sie nur tun, wenn Sie bei jedem Neustart eine Netzverbindung garantieren können! Prüfen Sie zunächst die Einstellungen wie folgt:

 systemctl status openafs-client.service

Unter der Rubrik Loaded: sollte hier enabled stehen. Wenn nicht, geben Sie zum Aktivieren des Autostarts (als Person mit der Rolle root) ein:

 systemctl enable openafs-client.service

Möchten Sie hingegen beim Booten den Autostart des OpenAFS-Clients verhindern, geben Sie ein:

 systemctl disable openafs-client.service

Portüberwachung & Firewall mit IPTables

Fedora wird standardmäßig mit einer aktivierten Portüberwachung (Dienst IPTables) installiert, die unzulässige Portnutzung unterbindet. Ob IPTables beim Booten automatisch aktiviert wird, kann man mit

 systemctl status iptables.service

feststellen. Da OpenAFS die Ports

• TCP-Ports 88 und 750 für die Authentifizierung
• UDP-Ports 7000-7019 für den Betrieb

benötigt, müssen diese Ports geöffnet werden, falls IPTables bei Booten aktiviert wird. Am einfachsten geschieht das (mit der Rolle root) durch Aufruf des Programms system-config-firewall. Unter der Rubrik Andere Ports werden die oben genannten benutzungsdefinierten Ports hinzugefügt und die Einstellung gesichert. Im Anschluss ist ein Neustart des Dienstes IPTables erforderlich:

 systemctl restart iptables.service

Überprüfung der Freigaben mit

 /sbin/iptables -L

Anmerkung: Natürlich könnte bei reduzierten Sicherheitsanforderungen der Dienst IPTables auch deaktiviert werden. Damit findet dann keine Portüberwachung mehr statt, der OpenAFS-Client wird also nicht mehr blockiert.

Portüberwachung & Firewall mit dem Dynamic Firewall Manager

Neuere Fedora-Systeme werden zwecks Portüberwachung mit dem Dynamic Firewall Manager ausgestattet, der ebenfalls wie IPTables unzulässige Portnutzung unterbindet. Ob der Dynamic Firewall Manager beim Booten automatisch aktiviert wird, kann man mit

 systemctl status firewalld.service

feststellen. Da OpenAFS die Ports

• TCP-Ports 88 und 750 für die Authentifizierung
• UDP-Ports 7000-7019 für den Betrieb

benötigt, müssen diese Ports geöffnet werden, falls der Dynamic Firewall Manager bei Booten aktiviert wird. Am einfachsten geschieht das (mit der Rolle root) durch Aufruf des Programms firewall-config. In der Konfiguration Permanent und der Zone public werden unter der Rubrik Ports die oben genannten benutzungsdefinierten Ports hinzugefügt und die Einstellung gesichert. Im Anschluss ist ein Neustart des Dynamic Firewall Manager sinnvoll:

 systemctl restart firewalld.service

Überprüfung der Freigaben (als root) mit

 firewall-cmd --zone=public --list-ports

Anmerkung: Natürlich könnte bei reduzierten Sicherheitsanforderungen der Dynamic Firewall Manager auch deaktiviert werden. Damit findet dann keine Portüberwachung mehr statt, der OpenAFS-Client wird also nicht mehr blockiert.