AFS-Client unter Linux - RedHat & CentOS

Bei der Installation und Konfiguration eines OpenAFS-Clients unter RedHat & CentOS Linux wird hier davon ausgegangen, dass der Nutzer sich bereits mit einem lokalen Useraccount an seinem PC angemeldet hat und über eine bestehende Verbindung zum Internet verfügt.

Installation und Konfiguration von OpenAFS

Zugang zum OpenAFS-Repository 

Die benötigten Programmpakete (RPMs) werden direkt von OpenAFS.org über das OpenAFS-eigene Repository bezogen. Der Vorteil, OpenAFS über ein Repository zu beziehen, und nicht einzelne RPM-Pakete über den Web-Browser herunterzuladen, besteht darin, dass bei einem Kernel-Update via YUM auch die OpenAFS-Pakete aktualisiert werden, sofern vorhanden.

Zunächst muss der Zugang zu diesem Repository eingerichtet werden: Dazu ist die Versionsnummer des aktuellen OpenAFS stable Release über die OpenAFS Home Page zu ermitteln, zurzeit beispielsweise. 1.6.5.2.

Unter der URL

lässt sich prüfen, ob dies wirklich die aktuelle Versionsnummer ist, oder ob gegebenenfalls aktuellere Versionen existieren, in unserem Beispiel ist dies nicht der Fall.

Legen Sie nun als Administrator (Benutzer root) die Datei

/etc/yum.repos.d/openafs.repo

an mit folgendem Inhalt

[openafs]
name=OpenAFS <version> for RHEL $releasever - $basearch
baseurl=http://dl.openafs.org/dl/openafs/<version>/rhel$releasever/$basearch/
enabled=1
gpgcheck=0

wobei <version> die zuvor ermittelte Versionsnummer von OpenAFS ist, also etwa 1..6.5.2 . Eine derzeit gültige Version der Datei zur Adressierung des OpenAFS-Repository sähe also so aus:

[openafs]
name=OpenAFS 1.6.5.2 for RHEL $releasever - $basearch
baseurl=http://dl.openafs.org/dl/openafs/1.6.5.2/rhel$releasever/$basearch/
enabled=1
gpgcheck=0

Anmerkung: Sollte später in dieser OpenAFS-Version bei Updates kein passendes Kernel-Modul (kmod-openafs...rpm) mehr zum Download angeboten werden, muss, wie oben beschrieben, erneut die aktuelle OpenAFS-Version gesucht werden, die die passenden Kernel-Module enthält. Die OpenAFS-Versionsnummer ist dann in der Datei /etc/yum.repos.d/openafs.repo entsprechend zu ändern.

Installation des OpenAFS-Clients

Der OpenAFS-Client kann vom Administrator direkt mit der Paketverwaltung YUM aus dem Repository RPM Fusion heruntergeladen und installiert werden. Dazu sind folgende Pakete notwendig:

• openafs-client
• openafs
• openafs-compat
• kmod-openafs (früher bei Linux-Kernels mit PAE: kmod-openafs-PAE)

Beispiel:

yum install openafs-client openafs openafs-compat kmod-openafs(-PAE)

Konfiguration des OpenAFS-Clients

Bei der Installation der Pakete werden alle benötigten Konfigurationsdateien im Verzeichnis /usr/vice/etc abgelegt, das Cache-Verzeichnis ist /usr/vice/cache. Einige wenige Dateien im Konfigurationsverzeichnis müssen angepasst werden:

Die Dateien /usr/vice/etc/ThisCell und, falls überhaupt vorhanden, /usr/vice/etc/SuidCells,  sollten nur die Zeile rrz.uni-koeln.de enthalten.

Falls erforderlich, findet man eine aktuelle CellServDB (diese enthält eine Liste von Servern der AFS Zellen) zum Beispiel auf dialog.rrz.uni-koeln.de unter /afs/rrz/common/etc/CellServDB. Diese Datei kann man dann per SCP oder SFTP herunterladen und in /usr/vice/etc kopieren.

Alternativ besteht die Möglichkeit, die Datei per Webbrowser herunterzuladen:

• HTTP-Download der CellServDB

In der Datei /usr/vice/etc/cacheinfo ist die Lage und die Größe des AFS Caches festgelegt, für eine Größe von 100 MB beinhaltet die Datei die Zeile /afs:/usr/vice/cache:100000. Die Startoptionen des OpenAFS-Clienten schließlich finden sich unter /etc/sysconfig/openafs . Die Angaben sollten nur bei Bedarf angepasst werden.

Starten des OpenAFS-Clients

Auf der Kommandozeile (als Benutzer root) können Sie den OpenAFS-Client manuell starten:

 service openafs-client start

Soll der OpenAFS-Client künftig automatisch gestartet werden, schalten Sie OpenAFS in den entsprechenden Runleveln ein. Achtung: Das sollten Sie nur tun, wenn Sie bei jedem Neustart eine Netzverbindung garantieren können! Prüfen Sie zunächst die Einstellungen wie folgt:

/sbin/chkconfig --list | grep openafs-client

In den Runleveln 2,3,4 und 5 sollte hier "on" stehen. Wenn nicht, geben Sie zum Aktivieren des Autostarts (als Benutzer root) ein:

chkconfig openafs-client on

Möchten Sie hingegen beim Booten den Autostart des OpenAFS-Clients verhindern, geben Sie (als Benutzer root) ein:

chkconfig openafs-client off

Portüberwachung & Firewall mit IPTables

Unter RedHat beziehungsweise CentOS ist gegebenenfalls eine Portüberwachung (Dienst IPTables) aktiviert, die unzulässige Portnutzung unterbindet. Ob IPTables beim Booten automatisch aktiviert wird, kann man mit

/sbin/chkconfig --list iptables

feststellen. Da OpenAFS die Ports

• TCP-Ports 88 und 750 für die Authentifizierung
• UDP-Ports 7000-7019 für den Betrieb

benötigt, müssen diese Ports geöffnet werden, falls IPTables beim Booten aktiviert wird. Am einfachsten geschieht das (als Benutzer root) durch Aufruf des Programms system-config-firewall, sofern vorhanden (nicht bei älteren RedHat- und CentOS-Versionen). Unter der Rubrik Andere Ports werden die oben genannten benutzerdefinierten Ports hinzugefügt und die Einstellung gesichert.

Wenn das Programm system-config-firewall nicht installiert ist, andererseits die Portüberwachung durch IPTables aber aktiviert sein muss, können die Portfreigaben für OpenAFS direkt in die IPTables-Konfigurationsdatei /etc/sysconfig/iptables eingetragen werden. Dazu muss die Datei um folgende Zeilen ergänzt werden:

-A INPUT -m state --state NEW -m udp -p udp --dport 7000:7019 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 750 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -j ACCEPT

Im Anschluss ist ein Neustart des Dienstes IPTables erforderlich:

service iptables restart

Überprüfung der Freigaben (als Benutzer root) mit

/sbin/iptables -L

Anmerkung: Natürlich könnte bei reduzierten Sicherheitsanforderungen der Dienst IPTables auch deaktiviert werden. Damit findet dann keine Portüberwachung mehr statt, der OpenAFS-Client wird also nicht mehr blockiert.