Open AFS mit Network Identity Manager

____________________________________________________________

Diese Seite steht derzeit nur in deutscher Sprache zur Verfügung

This page is currently only available in German language



Installations- und Konfigurationshinweise für
Open AFS mit Network Identity Manager



Grund für die Umstellung des neuen Open AFS mit Network Identity Manager ist der Wechsel von Kerberos v4 auf Kerberos v5. Über den „Network Identity Manager“ ist es möglich, Kerberos 5 Tickets z.B. für OpenAFS zu erhalten. Kerberos unterstützt Single-Sign-On, d.h. dass ein Nutzer sich, nach der Anmeldung am Computer, nur einmal anmelden muss und während dieser Sitzung übernimmt der Kerberos-Dienst alle weiteren Identitätsprüfungen.

Anmeldebildschirm

Installation

Die Installation erfolgt über NetInstall (NI) Die NI- Installationspakete OpenAFS mit Network ID Manager(NIM) sind unter der Rubrik “Communication” zu finden.
Wenn Sie schon eine Version des OpenAFS installiert haben, deinstallieren Sie diese zuerst. Führen Sie einen Reboot durch und installieren Sie anschließend OpenAFS mit Network ID Manager.


Konfiguration

Das NI Installationspaket ist vorkonfiguriert, zusätzliche Einstellungen (z.B. weitere Identitäten) können über die Oberfläche des NIM vorgenommen werden. Die vorzunehmenden Einstellungen werden in den folgenden Bildern dargestellt.


Installation und Konfiguration ohne NetInstall

Wenn Ihnen kein NetInstall zur Verfügung steht finden Sie die benötigten Pakete zur Installation unter:

https://linux.desy.de/distributions/scientific_linux_at_desy/software/downloads/windows/

oder unter:

\\afs\desy.de\products\source\windows

Installieren Sie die Pakete in folgender Reihenfolge:

  • Deinstallieren Sie den alten AFS client
    Ein Reboot muss gemacht werden
  • Installieren Sie openafs-en_US-64bit-1-7-2600.msi
    Ein Reboot muss gemacht werden
  • Danach installieren sie openafs-32bit-tools-en_US-1.7.2600.msi
  • Als nächstes installieren Sie Heimdal-AMD64-full-1-5-100-930.msi
  • Jetzt erst installieren Sie netidmgr-AMD64-rel-2_0_102_907.msi

Als letzten Schritt müssen Sie nun noch die krb5.conf kopieren und die bestehende krb5.conf unter:
C:\ProgramData\Kerberos
hiermit ersetzen.

Anlegen einer weiteren Identität

In den "General Options" können Sie verschiedene Einstellungen vornehmen. Zuerst wird Ihnen erklärt wie Sie eine weitere Identität anlegen.
Im Anschluss werden Ihnen alle weiteren Einstellungen/Funktionen erklärt.

Öffnen Sie den NIM

Klicken Sie auf "Options" und wählen Sie im Dropdownfeld "General".

Wählen Sie im Auswahlmenue "Identities" und klicken Sie im rechten Fenster auf "Add new identity...".

Geben Sie in dem neuen Fenster bei "Realm" die neue Kerberos Domäne ein und bei "Username" den Benutzernamen für diese Domäne.
Achten SIe darauf, den Domänen-Namen immer in Großbuchstaben zu schreiben. z.B. Ihr CERN-Benutzername für Domäne CERN.CH
Klicken Sie anschliessend "Finish".

Wenn SIe mehrere Identitäten besitzen, klicken Sie auf die zu bearbeitende Identität und setzen Sie in dem Tab "General" den Haken bei "Always show in the credentials list (Pinned)".
Dies hat den Effekt, dass diese Identität immer im Startfenster angezeigt wird.

In den Optionen der betreffenden Identitäten finden Sie in dem Tab "Kerberos v5" ist die Lifetime und die automatisch erneuerbare Zeit des Kerberostickets angegeben.
Hier brauchen Sie nichts änders. Lassen Sie die Haken bei "Can be forwarded to other machines" und Adressless" gesetzt. Der Haken bei "Adressless" dient gerade bei drahtlosverbindungen (Laptop etc.) dazu, dass nach einem Ortswechsel oder Zuklappen des Laptops das Kennwort nicht erneut eingegeben werden muss.

Im Feld "Cell" bitte AFS-Zellenname (desy.de, ifh.de, cern.ch....) in Kleinbuchstaben eintragen.
Der Rest auf AUTO,  ", dann Add/Update" klicken, danach "Apply"

Kerberos v5 Konfiguration



In dem Punkt "Kerberos v5" sind die Standardeinstellungen für Kerberos zu sehen. Hier ist auch die Standard Realm zu finden (Hier DESY.DE).
Weiter unten sehen Sie den Rechnernamen und die Domäne des Rechners. Ändern Sie keinesfalls die Domäne!

Wenn Sie mehrere Identitäten haben, erkennen Sie die aktive Identität an der Grünen Anzeige. Die Anzeige gibt auch grafisch Aufschluss darüber, wie lange ein Ticket noch gültig ist..

Wenn Ihre credentials abgelaufen oder ungültig sind erhalten Sie diese Fehlermeldung.