Wenn ein Gast im Gaestehaus der Uni mit Laptop ankommt, muss er wohl manchmal
ein Formular vom RRZE unterzeichnet anbringen, damit das Laptop ins Netz darf.
Im Formular versichert der Admin des einladenden Instituts, dass "der Rechner
des Gastes auf dem neuesten Sicherheitsstand ist".
Nach laengerer Recheche stellt sich heraus, dass niemand im RRZE mehr weiss,
wie genau das festzustellen ist, und welchen sinn das haben soll, wenn der
Admin am 17.4 unterschreibt, dass es auf neuesten Stand ist, wenn der Laptop
am 18.4 dann im Gaestehaus laeuft.
In Richtung NFSv4 mit Kerberos folgende Dokus gefunden
http://blather.michaelwlucas.com/archives/796
http://www-theorie.physik.unizh.ch/~dpotter/howto/kerberos
Der Daemon, der auf Nexneta UIDs nach Kerberos "Principals" uebersetzt, heisst
(latuernich) /usr/lib/nfs/nfsmapid und nicht idmapd (der macht das
fuer Windows SIDs). Erste Tests mit NFSv4 auf Linux ohne Authentsierung zeigen,
dass man den rpc.idmapd (auf linux) und svc:/network/nfs/mapid:default (nexenta)
laufen haben muss. Auf der nexenta Seite muss der LDAP client kongfiguriert
sein. Achtung, die Config wandert nicht auf nextwo, d.h. man muss das dort nochmal
anlegen. Auf Linux kann der rpc.idmapd nur laufen, wenn er
ein /var/lib/nfs/rpc_pipefs/nfs findet, das man kriegt wenn man
rpc_pipefs /var/lib/nfs/rpc_pipefs rpc_pipefs defaults 0 0
(was sonst??? Na klar!) in /etc/fstab reinschmiert und
mount rpc_pipefs
aufruft. Danach werden die UIDs umgesetzt. Getestet mit einem eigenen ZFS auf
nexenta und linuxseitig nur auf neubau-195.
Was man auf Nexenta gar nicht machen darf, auch wenns in der Doku drinsteht,
ist in /etc/nfssec.conf eine der krb-authentisierungs Einstellungen einschalten,
das toetet den server.