AFS-Client unter Linux - RedHat & CentOS
Bei der Installation und Konfiguration eines OpenAFS-Clients unter RedHat & CentOS Linux wird hier davon ausgegangen, dass der Nutzer sich bereits mit einem lokalen Useraccount an seinem PC angemeldet hat und über eine bestehende Verbindung zum Internet verfügt.
Installation und Konfiguration von OpenAFS
Zugang zum OpenAFS-Repository
Die benötigten Programmpakete (RPMs) werden direkt von OpenAFS.org über das OpenAFS-eigene Repository bezogen. Der Vorteil, OpenAFS über ein Repository zu beziehen, und nicht einzelne RPM-Pakete über den Web-Browser herunterzuladen, besteht darin, dass bei einem Kernel-Update via YUM auch die OpenAFS-Pakete aktualisiert werden, sofern vorhanden.
Zunächst muss der Zugang zu diesem Repository eingerichtet werden: Dazu ist die Versionsnummer des aktuellen OpenAFS stable Release über die OpenAFS Home Page zu ermitteln, zurzeit beispielsweise. 1.6.5.2.
Unter der URL
lässt sich prüfen, ob dies wirklich die aktuelle Versionsnummer ist, oder ob gegebenenfalls aktuellere Versionen existieren, in unserem Beispiel ist dies nicht der Fall.
Legen Sie nun als Administrator (Benutzer root) die Datei
/etc/yum.repos.d/openafs.repo
an mit folgendem Inhalt
[openafs]
name=OpenAFS <version> for RHEL $releasever - $basearch
baseurl=http://dl.openafs.org/dl/openafs/<version>/rhel$releasever/$basearch/
enabled=1
gpgcheck=0
wobei <version> die zuvor ermittelte Versionsnummer von OpenAFS ist, also etwa 1..6.5.2 . Eine derzeit gültige Version der Datei zur Adressierung des OpenAFS-Repository sähe also so aus:
[openafs]
name=OpenAFS 1.6.5.2 for RHEL $releasever - $basearch
baseurl=http://dl.openafs.org/dl/openafs/1.6.5.2/rhel$releasever/$basearch/
enabled=1
gpgcheck=0
Anmerkung: Sollte später in dieser OpenAFS-Version bei Updates kein passendes Kernel-Modul (kmod-openafs...rpm) mehr zum Download angeboten werden, muss, wie oben beschrieben, erneut die aktuelle OpenAFS-Version gesucht werden, die die passenden Kernel-Module enthält. Die OpenAFS-Versionsnummer ist dann in der Datei /etc/yum.repos.d/openafs.repo entsprechend zu ändern.
Installation des OpenAFS-Clients
Der OpenAFS-Client kann vom Administrator direkt mit der Paketverwaltung YUM aus dem Repository RPM Fusion heruntergeladen und installiert werden. Dazu sind folgende Pakete notwendig:
- openafs-client
- openafs
- openafs-compat
- kmod-openafs (früher bei Linux-Kernels mit PAE: kmod-openafs-PAE)
Beispiel:
yum install openafs-client openafs openafs-compat kmod-openafs(-PAE)
Konfiguration des OpenAFS-Clients
Bei der Installation der Pakete werden alle benötigten Konfigurationsdateien im Verzeichnis /usr/vice/etc abgelegt, das Cache-Verzeichnis ist /usr/vice/cache. Einige wenige Dateien im Konfigurationsverzeichnis müssen angepasst werden:
Die Dateien /usr/vice/etc/ThisCell und, falls überhaupt vorhanden, /usr/vice/etc/SuidCells, sollten nur die Zeile rrz.uni-koeln.de enthalten.
Falls erforderlich, findet man eine aktuelle CellServDB (diese enthält eine Liste von Servern der AFS Zellen) zum Beispiel auf dialog.rrz.uni-koeln.de unter /afs/rrz/common/etc/CellServDB. Diese Datei kann man dann per SCP oder SFTP herunterladen und in /usr/vice/etc kopieren.
Alternativ besteht die Möglichkeit, die Datei per Webbrowser herunterzuladen:
In der Datei /usr/vice/etc/cacheinfo ist die Lage und die Größe des AFS Caches festgelegt, für eine Größe von 100 MB beinhaltet die Datei die Zeile /afs:/usr/vice/cache:100000. Die Startoptionen des OpenAFS-Clienten schließlich finden sich unter /etc/sysconfig/openafs . Die Angaben sollten nur bei Bedarf angepasst werden.
Starten des OpenAFS-Clients
Auf der Kommandozeile (als Benutzer root) können Sie den OpenAFS-Client manuell starten:
service openafs-client start
Soll der OpenAFS-Client künftig automatisch gestartet werden, schalten Sie OpenAFS in den entsprechenden Runleveln ein. Achtung: Das sollten Sie nur tun, wenn Sie bei jedem Neustart eine Netzverbindung garantieren können! Prüfen Sie zunächst die Einstellungen wie folgt:
/sbin/chkconfig --list | grep openafs-client
In den Runleveln 2,3,4 und 5 sollte hier "on" stehen. Wenn nicht, geben Sie zum Aktivieren des Autostarts (als Benutzer root) ein:
chkconfig openafs-client on
Möchten Sie hingegen beim Booten den Autostart des OpenAFS-Clients verhindern, geben Sie (als Benutzer root) ein:
chkconfig openafs-client off
Portüberwachung & Firewall mit IPTables
Unter RedHat beziehungsweise CentOS ist gegebenenfalls eine Portüberwachung (Dienst IPTables) aktiviert, die unzulässige Portnutzung unterbindet. Ob IPTables beim Booten automatisch aktiviert wird, kann man mit
/sbin/chkconfig --list iptables
feststellen. Da OpenAFS die Ports
- TCP-Ports 88 und 750 für die Authentifizierung
- UDP-Ports 7000-7019 für den Betrieb
benötigt, müssen diese Ports geöffnet werden, falls IPTables beim Booten aktiviert wird. Am einfachsten geschieht das (als Benutzer root) durch Aufruf des Programms system-config-firewall, sofern vorhanden (nicht bei älteren RedHat- und CentOS-Versionen). Unter der Rubrik Andere Ports werden die oben genannten benutzerdefinierten Ports hinzugefügt und die Einstellung gesichert.
Wenn das Programm system-config-firewall nicht installiert ist, andererseits die Portüberwachung durch IPTables aber aktiviert sein muss, können die Portfreigaben für OpenAFS direkt in die IPTables-Konfigurationsdatei /etc/sysconfig/iptables eingetragen werden. Dazu muss die Datei um folgende Zeilen ergänzt werden:
-A INPUT -m state --state NEW -m udp -p udp --dport 7000:7019 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 750 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -j ACCEPT
Im Anschluss ist ein Neustart des Dienstes IPTables erforderlich:
service iptables restart
Überprüfung der Freigaben (als Benutzer root) mit
/sbin/iptables -L
Anmerkung: Natürlich könnte bei reduzierten Sicherheitsanforderungen der Dienst IPTables auch deaktiviert werden. Damit findet dann keine Portüberwachung mehr statt, der OpenAFS-Client wird also nicht mehr blockiert.
Contact
If you have any questions or problems, please contact the RRZK-Helpdesk