Open AFS mit Network Identity Manager


Ein AFS Client ist notwendig, um Zugriff auf das verteilte Dateisystem AFS zu erhalten. Unter Windows wird das AFS mit Pfaden wie zum Beispiel \\afs\desy.de\user\ angesprochen. Haben Sie den Client via NetInstall installiert, erhalten Sie folgende Windows Netzwerklaufwerke zusätzlich zu H:, N: und S:

  • P:\
  • Q:\
     

Bei P:\ handelt es sich um Ihr persönliches AFS-Verzeichnis, bei Q:\ um das AFS-Gruppenverzeichnis Ihrer Gruppe.

Um diese Verzeichnisse unter Windows verfügbar zu machen bzw. generell Zugang zum AFS zu erhalten ist ein sogenannter AFS Client erforderlich. Diese Seite gibt einen kurzen Überblick darüber, wie Sie den AFS Client installieren und nutzen.

Hinweis: Access Denied Meldung

Sollten Sie eine Meldung erhalten, die besagt, dass Sie auf einen bestimmten AFS Pfad nicht zugreifen dürfen, heißt dies nicht zwingend, dass Sie zu dem gewünschten AFS Pfad keinen Zugang haben.

Dies kann auch bedeuten, dass Sie nicht im Besitz eines gültigen AFS Tokens sind. Bitte prüfen Sie daher, ob Sie ein gültiges AFS Token haben. Wiederholen Sie im Zweifel einfach den im Abschnitt "AFS Token beschaffen" erläuterten Schritt um sich ein AFS Token zu holen beziehungsweise dies zu erneuern. Bitte beachten Sie, dass ein AFS Token maximal 24 Stunden gültig ist und danach erneuert werden muss.

Installation und Konfiguration

Installation via NetInstall

Die Installation erfolgt über NetInstall (NI) Die NI- Installationspakete OpenAFS mit Network ID Manager(NIM) sind unter der Rubrik “Communications” zu finden.

Wenn Sie schon eine Version des OpenAFS installiert haben, deinstallieren Sie diese zuerst. Führen Sie einen Neustart des Rechners durch und installieren Sie anschließend das NetInstall Paket OpenAFS mit Network ID Manager.

Eine Konfiguration des Paketes ist nicht notwendig, da das NetInstall Installationspaket bereits vorkonfiguriert ist. Evtl. erweiterte Optionen (z.B. weitere Identitäten) können über die Oberfläche des Network Identity Managers eingerichtet werden. Siehe ggf. Abschnitte weiter unten auf dieser Seite.

Installation ohne NetInstall

Wenn Ihnen kein NetInstall zur Verfügung steht finden Sie die benötigten Pakete zur Installation unter:

https://linux.desy.de/distributions/scientific_linux_at_desy/software/downloads/windows/

Installieren Sie die Pakete in folgender Reihenfolge:

  1. Deinstallieren Sie den alten AFS client und starten Sie den Rechner neu
  2. Installieren Sie openafs-en_US-64bit-1-7-2600.msi und starten Sie den Rechner nocheinmal neu
  3. Installieren Sie openafs-32bit-tools-en_US-1.7.2600.msi
  4. Installieren Sie Heimdal-AMD64-full-1-5-100-930.msi
  5. Installieren Sie netidmgr-AMD64-rel-2_0_102_907.msi

Als letzten Schritt kopieren Sie die krb5.conf und ersetzen Sie damit die bestehende krb5.conf unter:

C:\ProgramData\Kerberos

AFS Token beschaffen

Anmeldebildschirm

Wenn der AFS Client mit dem Network Identity Manager via NetInstall installiert wurde, öffnet sich bei jeder Anmeldung eines Benutzers an einem DESY Windows Computer ein Fenster mit dem Titel "Obtain new credentials" (siehe Abbildung oben).

In diesem Fenster geben Sie im erforderlichen Feld Ihr Passwort ein, um ein AFS Token zu erhalten und bestätigen mit "Finish". Anschließend sollte ein gültiges AFS Token vorliegen und jeder Pfad des Q: und P: Laufwerkes für das Sie entsprechende Rechte haben, für Sie erreichbar sein.

Öffnen des Network Identity Managers

Sollte das Fenster nicht direkt nach der Anmeldung eines Benutzers erscheinen oder bereits weggeklickt worden sein, gibt es die Möglichkeit via Windows Start Menü -> Alle Programme -> "OpenAfs - NetIDMgr (DESY)" -> "Network Identity Manager" den Network Identity Manager manuell zu öffnen.

Wenn dieser geöffnet ist, kann mit der Tastenkombination Strg+N das Erscheinen des Fensters zur Abfrage des Passwortes forciert werden. Anschließend ist wie oben beschrieben das Passwort einzugeben und das Fenster zu bestätigen.

Ablauf eines AFS Tokens

Ein AFS Token wird ungültig, wenn einer der unten genannten Fälle eintritt:

  • Sie melden sich vom Windows Rechner ab bzw. fahren diesen herunter
  • Sie sind seit mehr als 24 Stunden am Windows Rechner angemeldet
     

Ist eines dieser Fälle eingetreten, muss das AFS Token erneuert werden, um wieder auf alle Pfade im Rahmen Ihrer Berechtigungen Zugriff auf das AFS zu erhalten. Folgen Sie dann falls notwendig erneut den oben genannten Schritten, um Ihr Passwort für eine Erneuerung des Tokens nochmals einzugeben.

Anlegen weiterer Identitäten

Anlegen einer weiteren Identität

In den "General Options" können Sie verschiedene Einstellungen vornehmen. Zuerst wird Ihnen erklärt wie Sie eine weitere Identität anlegen.
Im Anschluss werden Ihnen alle weiteren Einstellungen/Funktionen erklärt.

Öffnen Sie den NIM

Klicken Sie auf "Options" und wählen Sie im Dropdownfeld "General".

Wählen Sie im Auswahlmenue "Identities" und klicken Sie im rechten Fenster auf "Add new identity...".

Geben Sie in dem neuen Fenster bei "Realm" die neue Kerberos Domäne ein und bei "Username" den Benutzernamen für diese Domäne.
Achten SIe darauf, den Domänen-Namen immer in Großbuchstaben zu schreiben. z.B. Ihr CERN-Benutzername für Domäne CERN.CH
Klicken Sie anschliessend "Finish".

Wenn SIe mehrere Identitäten besitzen, klicken Sie auf die zu bearbeitende Identität und setzen Sie in dem Tab "General" den Haken bei "Always show in the credentials list (Pinned)".
Dies hat den Effekt, dass diese Identität immer im Startfenster angezeigt wird.

In den Optionen der betreffenden Identitäten finden Sie in dem Tab "Kerberos v5" ist die Lifetime und die automatisch erneuerbare Zeit des Kerberostickets angegeben.
Hier brauchen Sie nichts änders. Lassen Sie die Haken bei "Can be forwarded to other machines" und Adressless" gesetzt. Der Haken bei "Adressless" dient gerade bei drahtlosverbindungen (Laptop etc.) dazu, dass nach einem Ortswechsel oder Zuklappen des Laptops das Kennwort nicht erneut eingegeben werden muss.

Im Feld "Cell" bitte AFS-Zellenname (desy.de, ifh.de, cern.ch....) in Kleinbuchstaben eintragen.
Der Rest auf AUTO,  ", dann Add/Update" klicken, danach "Apply"

Kerberos v5 manuell konfigurieren

Kerberos v5 Konfiguration



In dem Punkt "Kerberos v5" sind die Standardeinstellungen für Kerberos zu sehen. Hier ist auch die Standard Realm zu finden (Hier DESY.DE).
Weiter unten sehen Sie den Rechnernamen und die Domäne des Rechners. Ändern Sie keinesfalls die Domäne!

Wenn Sie mehrere Identitäten haben, erkennen Sie die aktive Identität an der Grünen Anzeige. Die Anzeige gibt auch grafisch Aufschluss darüber, wie lange ein Ticket noch gültig ist..

Wenn Ihre credentials abgelaufen oder ungültig sind erhalten Sie diese Fehlermeldung.