Aus der Tiefe
   


About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11

Matthias Bauer und Martin Bayer problems@math.fau.de

Subscribe
Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS.

Flavours
There's more than one way to view this weblog; try these flavours on for size.

  • index
  • circa 1993
  • RSS
  • Links

  • Shoestring FoundationMiscellaneous byproducts

  •        
    Tue, 17 Apr 2012


    	Wenn ein Gast im Gaestehaus der Uni mit Laptop ankommt, muss er wohl manchmal
    	  ein Formular vom RRZE unterzeichnet anbringen, damit das Laptop ins Netz darf.
    	  Im Formular versichert der Admin des einladenden Instituts, dass "der Rechner
    	  des Gastes auf dem neuesten Sicherheitsstand ist".
    	  Nach laengerer Recheche stellt sich heraus, dass niemand im RRZE mehr weiss,
    	  wie genau das festzustellen ist, und welchen sinn das haben soll, wenn der
    	  Admin am 17.4 unterschreibt, dass es auf neuesten Stand ist, wenn der Laptop
    	  am 18.4 dann im Gaestehaus laeuft.
    	In Richtung NFSv4 mit Kerberos folgende Dokus gefunden
    		http://blather.michaelwlucas.com/archives/796
    		http://www-theorie.physik.unizh.ch/~dpotter/howto/kerberos
    	  Der Daemon, der auf Nexneta UIDs nach Kerberos "Principals" uebersetzt, heisst
    	  (latuernich) /usr/lib/nfs/nfsmapid und nicht idmapd (der macht das
    	  fuer Windows SIDs). Erste Tests mit NFSv4 auf Linux ohne Authentsierung zeigen,
    	  dass man den rpc.idmapd (auf linux) und svc:/network/nfs/mapid:default (nexenta)
    	  laufen haben muss. Auf der nexenta Seite muss der LDAP client kongfiguriert
    	  sein. Achtung, die Config wandert nicht auf nextwo, d.h. man muss das dort nochmal
    	  anlegen.  Auf Linux kann der rpc.idmapd nur laufen, wenn er
    	  ein /var/lib/nfs/rpc_pipefs/nfs findet, das man kriegt wenn man
    		rpc_pipefs /var/lib/nfs/rpc_pipefs rpc_pipefs defaults 0 0
    	  (was sonst??? Na klar!) in /etc/fstab reinschmiert und 
    		mount rpc_pipefs
    	  aufruft. Danach werden die UIDs umgesetzt. Getestet mit einem eigenen ZFS auf
    	  nexenta und linuxseitig nur auf neubau-195.
    	Was man auf Nexenta gar nicht machen darf, auch wenns in der Doku drinsteht,
    	  ist in /etc/nfssec.conf eine der krb-authentisierungs Einstellungen einschalten,
    	  das toetet den server.
    
    

    [/bauerm] permanent link