abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 25
včera 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 6
včera 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
14.12. 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 6
14.12. 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
14.12. 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
14.12. 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
14.12. 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
14.12. 16:11 | Zajímavý software

Společnost Avast uvolnila zdrojové kódy svého dekompilátoru RetDec (Retargetable Decompiler) založeného na LLVM. Vyzkoušet lze RetDec jako webovou službu nebo plugin pro interaktivní disassembler IDA. Zdrojové kódy RetDec jsou k dispozici na GitHubu pod open source licencí MIT.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 997 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    OpenAFS – instalace

    3. 5. 2011 | Michal Švamberg | Návody | 6443×

    Instalace OpenAFS je sice jednoduchá, protože v distribucích jsou předpřipravené balíčky, ale potíž je rozchodit celou infrastrukturu včetně dalších potřebných programů.

    Zde uvedený komentovaný postup je sice otestován na Debianu, ale měl by být dostatečně obecný, abyste dokázali rozchodit OpenAFS i v ostatních distribucích.

    Obsah

    Některé distribuce mají pomocné skripty, které mají za úkol provést inicializaci vazeb mezi Kerberem a AFS. V tomto návodu se jim vyhneme, což neznamená, že je nemůžete použít. Návod je hodně dlouhý a je v něm uvedeno několik „magických“ operací bez vysvětlení, v následujících dílech se k jejich vysvětlení postupně dostaneme. Uváděné balíky pro instalaci vychází z pojmenování pro distribuci Debian, pokud používáte jinou distribuci, prosím dohledejte si patřičné názvy balíků.

    V předchozím článku jsme řekli, že je důležité mít synchronizovaný čas protokolem NTP. Protože předpokládám instalaci všech komponent na stejný stroj, mohu instalaci a konfiguraci NTP vynechat. Pokud se ale rozhodnete používat AFS spolu s Kerberem na více strojích, je použití NTP podmínkou.

    Lokální DNS server

    link

    První službu, kterou budeme potřebovat, je DNS. S obyčejným /etc/hosts si AFS nevystačí. Naše ukázková doména se bude jmenovat foo.bar a stroj afssrv.foo.bar bude mít několik jmen (aliasů), podle služeb, které na něj dáme. Pokud již DNS ve své infrastruktuře máte a používáte jej, pak můžete přeskočit na konfiguraci Kerbera. Jenom si pamatujte, že všechny řetězce foo.bar byste měli nahradit svojí doménou, v příkazech stále dodržujte case-sensitive zápis.

    Abychom se úplně osamostatnili, bude naše doména hostována v rozsahu 10.10.10.0/24. Za tímto účelem si vytvoříme alias k síťovému rozhraní eth0.

    ~# ifconfig eth0:10 10.10.10.1 netmask 255.255.255.0 broadcast 10.10.10.255 up
    

    Samozřejmě doporučuji uložit do konfigurace vaší distribuce, v Debianu může soubor /etc/network/interfaces vypadat následovně:

    auto lo
    auto eth0
    auto eth0:10
    
    iface lo inet loopback
    
    iface eth0 inet dhcp
    
    iface eth0:10 inet static
            address 10.10.10.1
            netmask 255.255.255.0
            network 10.10.10.0
            broadcast 10.10.10.255
            dns-search foo.bar
    

    Na notebooku se mi nakonec osvědčilo navázání aliasu na loopback místo na fyzické rohraní. Je pak možné používat pro fyzické rozhraní volbu allow-hotplug s kterou spolupracuje například network manager.

    Uvádím zde dva návody pro DNS, protože BIND je obecně známý a často používaný. Bohužel se příliš nehodí jako lokální DNS server na notebooku, kde potřebujete forwardovat požadavky na různé servery podle lokality v které se nacházíte. Proto je zde také uveden jednoduchý DNS server dnsmasq. Záleží jen na vás, co si vyberete.

    dnsmasq

    link

    Balík nainstalujte a prakticky stačí nastavit dvě položky (ostatní ponechte zakomentované) v souboru /etc/dnsmasq.conf:

    local=/foo.bar/
    address=/foo.bar/10.10.10.1
    

    V /etc/resolv.conf se budete odkazovat na rezoluci přes dnsmasq tímto minimálním nastavením:

    nameserver 127.0.0.1
    search foo.bar
    

    Je možné, že vám to nastavil už nějaký nástroj ze systému, např. v Debianu balík resolvconf. Pokud na stroji nepoužíváte DHCP, ale statické nastavení sítě, pak přidejte do /etc/dnsmasq.conf řádek s vaším DNS serverem, například:

    server=192.168.0.1
    

    Na cokoliv se zeptáte z domény foo.bar, dostanete vždy odpověď 10.10.10.1, což nám na notebooku naprosto vyhovuje. Přitom by dnsmasq měl forwardovat dotazy dál podle toho, co získal z DHCP. Toto nastavení je vhodné, pokud si AFS chcete odzkoušet, jestli s ním máte ale vážnější úmysly, je vhodné přejít k plnohodnotnému DNS serveru. Důvodem může být také využití speciálních záznamů v DNS (místo souboru CellServDB) pro klienty, což dnsmasq nepodporuje.

    Nyní ověříme funkčnost nastavení:

    ~$ host afssrv.foo.bar
    afssrv.foo.bar has address 10.10.10.1
    
    ~$ host www.abclinuxu.cz
    www.abclinuxu.cz is an alias for abicko.abclinuxu.cz.
    abicko.abclinuxu.cz has address 94.138.111.82
    abicko.abclinuxu.cz has IPv6 address 2a01:430:10:ab::3
    
    ~$ host 10.10.10.1
    Host 1.10.10.10.in-addr.arpa. not found: 3(NXDOMAIN)
    

    Pro získání reverzního záznamu, stačí přidat do /etc/hosts následující řádek a provést restart DNS daemona:

    10.10.10.1      afssrv.foo.bar          afssrv
    

    Nyní již dostaneme očekávaný výsledek:

    ~$ host 10.10.10.1
    1.10.10.10.in-addr.arpa domain name pointer afssrv.foo.bar.
    

    Občas se mi stává, že dnsmasq přestane překládat doménu foo.bar. Dělá to zvláště při přenášení notebooku mezi sítěmi s uspáním. Stačí jej restartovat a vše začne opět hezky fungovat.

    bind9

    link

    Napřed upravíme soubor /etc/bind/named.conf.local, kam zaneseme definici zón s odkazy na konfigurační soubory.

    zone "foo.bar" {
        type master;
        file "/var/lib/bind/foo.bar";
    };
    
    zone "10.10.10.in-addr.arpa" {
        type master;
        file "/var/lib/bind/foo.bar-rev";
    };
    

    Dále vytvoříme doménové záznamy, které jsme definovali výše, napřed soubor /var/lib/bind/foo.bar

    $ORIGIN foo.bar.
    $TTL 86400
    @               IN      SOA     ns.foo.bar. hostmaster.foo.bar. (
                                    2002102101      
                                    10800           
                                    1800            
                                    1209600         
                                    604800          
    )
    
    @               IN      NS      ns
    
    ns              IN      A       10.10.10.1
    afssrv          IN      A       10.10.10.1
    krbadmin        IN      CNAME   afssrv
    krbkdc          IN      CNAME   afssrv
    afsfs           IN      CNAME   afssrv
    afsdb           IN      CNAME   afssrv
    

    Aliasy (CNAME) jsou zde z výukových důvodů, abyste viděli, co na který server patří a jak je možné AFS škálovat. Pokud nechcete aliasy používat, stačí, když budete jako jméno serveru používat afssrv.foo.bar.

    Nyní ještě záznamy pro reverzní doménu v souboru /var/lib/bind/foo.bar-rev

    $ORIGIN 10.10.10.in-addr.arpa.
    $TTL 86400
    @       IN      SOA     ns.foo.bar. hostmaster.foo.bar. (
                            2002102101
                            10800
                            1800
                            1209600
                            604800
    )
    
    @       IN      NS      ns.foo.bar.
    
    1       IN      PTR     ns.foo.bar.
    1       IN      PTR     afssrv.foo.bar.
    

    Nyní zkontrolujeme, jestli jsme neudělali chybu v konfiguraci:

    ~# named-checkconf /etc/bind/named.conf.local
    
    ~# named-checkzone foo.bar /var/lib/bind/foo.bar
    zone foo.bar/IN: loaded serial 2002102101
    OK
    
    ~# named-checkzone 10.10.10.in-addr.arpa /var/lib/bind/foo.bar-rev 
    zone 10.10.10.in-addr.arpa/IN: loaded serial 2002102101
    OK
    

    Provedeme restart DNS serveru a ověříme funkčnost:

    ~$ dig @10.10.10.1 afssrv.foo.bar
    

    Pokud jsme dostali odpověď můžeme zkontrolovat, že v /etc/resolv.conf máme nameserver 127.0.0.1. Je možné, že systém za vás konfiguraci provedl, záleží jestli jste pro konfiguraci použili systémové nástroje. Automatické doplňování domény se provádí volbou search foo.bar/etc/resolv.conf.

    Většina distribucí má k dispozici nějaké nástroje pro konfiguraci sítě, proto doporučuji, abyste se řídili zvyklostmi svého systému.

    Instalace MIT Kerberos

    link

    Tento návod je určen pro MIT implementaci Kerbera, při použití implementace Heimdal berte tento návod pouze jako vzor nutných úkonů. Napřed nainstalujeme Kerberos V5 Authentication Service and Key Distribution Center (AS/KDC), zkráceně jen KDC. Dále budeme potřebovat administrátorský server a nástroje pro uživatelské rozhraní, v Debianu jde o balíky krb5-kdc krb5-admin-server krb5-user.

    Upravíme soubor /etc/krb5kdc/kdc.conf do následující podoby:

    [kdcdefaults]
        kdc_ports = 750,88
    
    [realms]
        FOO.BAR = {
            database_name = /var/lib/krb5kdc/principal
            admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
            acl_file = /etc/krb5kdc/kadm5.acl
            key_stash_file = /etc/krb5kdc/stash
            kdc_ports = 750,88
            max_life = 10h 0m 0s
            max_renewable_life = 7d 0h 0m 0s
            master_key_type = des3-hmac-sha1
            supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
    
            default_principal_flags = +preauth
        }
    

    A dále upravíme (nebo doplníme jednotlivé sekce) v souboru /etc/krb5.conf, tak aby obsahoval:

    [libdefaults]
        default_realm = FOO.BAR
        allow_weak_crypto = yes
    
    [realms]
        FOO.BAR = {
            kdc = krbkdc.foo.bar
            admin_server = krbadmin.foo.bar
        }
    
    [domain_realm]
        .foo.bar = FOO.BAR
        foo.bar = FOO.BAR
    

    V současné chvíli nelze servery pro Kerberos ještě spustit, napřed si nastavíme administrátorské oprávnění pro uživatele v souboru /etc/kadm5.acl, kde pro principal spravce/admin v realmu FOO.BAR povolím všechny operace touto magickou řádkou:

    spravce/admin@FOO.BAR *
    

    Dále připravíme databázi pro náš realm a ochráníme ji heslem, které nezapomeneme:

    ~# cd /var/lib/krb5kdc/
    /var/lib/krb5kdc# kdb5_util create -r FOO.BAR -s
    

    Nyní přikročíme k vytvoření principalů pro AFS, budete dotázáni na jejich hesla, ty jsou také důležité, takže nezapomenout. Tentokrát jména uživatelů neměnit.

    ~# kadmin.local -p spravce/admin
    kadmin.local:  addprinc afsadmin@FOO.BAR
    Principal "afsadmin@FOO.BAR" created.
    
    kadmin.local:  addprinc afsadmin/admin@FOO.BAR
    Principal "afsadmin/admin@FOO.BAR" created.
    
    kadmin.local:  addprinc -randkey afs/foo.bar@FOO.BAR
    Principal "afs/foo.bar@FOO.BAR" created.
    
    kadmin.local:  ktadd -e des-cbc-crc:normal -k /var/lib/krb5kdc/keytab.afs afs/foo.bar
    Entry for principal afs/foo.bar with kvno 2, encryption type DES cbc mode with CRC-32 added to keytab WRFILE:/var/lib/krb5kdc/keytab.afs.
    
    kadmin.local:  quit
    

    Z posledního příkazu ktadd si zapamatujte hodnotu čísla verze (kvno), zde je to číslo 2, budeme ji potřebovat později u konfigurace AFS.

    V této chvíli by se mělo podařit restartovat Kerberos servery:

    ~# /etc/init.d/krb5-admin-server restart
    ~# /etc/init.d/krb5-kdc restart
    

    Ve výpisu procesů byste měli vidět kadmind a krb5kdc.

    Pokud se chcete dozvědět o protokolu Kerberos více a rádi byste jej použili i na něco dalšího, doporučil bych vám na úvod seriál Centrální správa účtů a Single Sign-On. Pro porozumění celého mechanismu protokolu je vhodný druhý díl. V našem seriálu Kerbera už více konfigurovat nebudeme, ale budeme využívat jeho ověřovacích služeb.

    OpenAFS server

    link

    Pro minimální funkcionalitu AFS serveru potřebujeme databázové servery openafs-dbserver a servery pro práci se soubory z balíku openafs-fileserver. Pro vazbu na Kerberos ještě přihodit balík openafs-krb5. Napřed provedeme několik konfiguračních operací, které budou vysvětleny průběžně v dalších dílech seriálu. Předpřipravíme si seznam databázových serverů pro OpenAFS server i pro OpenAFS klienta.

    ~# killall bosserver
    ~# bosserver -noauth
    ~# bos listhosts afssrv.foo.bar -localauth
    bos: can't open cell database (/etc/openafs/server)
    
    ~# echo "foo.bar" > /etc/openafs/ThisCell 
    ~# echo "foo.bar" > /etc/openafs/server/ThisCell
    
    ~# echo ">foo.bar                #testovaci bunka"         >> /etc/openafs/CellServDB 
    ~# echo "10.10.10.1                      #afsdb.foo.bar"   >> /etc/openafs/CellServDB 
    
    ~# echo ">foo.bar                #testovaci bunka"          > /etc/openafs/server/CellServDB
    ~# echo "10.10.10.1                      #afsdb.foo.bar"   >> /etc/openafs/server/CellServDB
    
    ~# echo "FOO.BAR" >> /etc/openafs/krb.conf 
    ~# echo "FOO.BAR" >> /etc/openafs/server/krb.conf
    
    ~# bos listhosts afssrv.foo.bar -localauth
    bos: could not find entry (getting key from local KeyFile)
    bos: running unauthenticated
    Cell name is foo.bar
        Host 1 is afsdb.foo.bar
    

    Výsledkem by měl být právě poslední řádek, kde nás bosserver informuje, že pro buňku foo.bar zná jeden databázový server, zde afsdb.foo.bar.

    Vytvoříme klíč na základě informace z Kerbera, teď budete potřebovat magické číslo „kvno“ (v příkazu nahraďte číslem, pro mě je to číslo 2) z přípravy Kerberos serveru:

    ~# asetkey add <kvno> /var/lib/krb5kdc/keytab.afs afs/foo.bar
    

    Dále vytvoříme jednotlivé instance AFS serveru:

    ~# bos create afsdb.foo.bar ptserver simple /usr/lib/openafs/ptserver -cell foo.bar -localauth
    ~# bos create afsdb.foo.bar vlserver simple /usr/lib/openafs/vlserver -cell foo.bar -localauth
    ~# bos create afsfs.foo.bar fs fs /usr/lib/openafs/fileserver /usr/lib/openafs/volserver /usr/lib/openafs/salvager -cell foo.bar -localauth
    

    Vytvoříme nejdůležitějšího uživatele v AFS databázi (heslo je uložena v Kerberu), přidáme jej do skupiny správců a vložíme jej na všechny naše servery jako administrátora BosServeru. Na závěr ukončíme všechny instance i samotný BosServer, protože běžel bez autentizace a to není dobré.

    ~# pts createuser -name afsadmin -cell foo.bar -localauth 
    User afsadmin has id 1
    ~# pts adduser afsadmin system:administrators -cell foo.bar -localauth
    ~# bos adduser afssrv.foo.bar afsadmin -localauth
    ~# bos shutdown afssrv.foo.bar -wait -noauth
    ~# killall bosserver
    

    Pro souborový server budeme potřebovat alespoň jedno úložiště. Své úložiště naformátujte svým oblíbeným souborovým systémem a připojte do adresáře /vicepa. Pokud nemáte samostatnou partition, pak vytvořte adresář (může být i symbolický link) a v něm soubor AlwaysAttach:

    ~# mkdir /vicepa
    ~# touch /vicepa/AlwaysAttach
    

    Nyní stačí server nastartovat a zkontrolovat:

    ~# /etc/init.d/openafs-fileserver start
    ~# bos status afssrv -localauth
    Instance ptserver, currently running normally.
    Instance vlserver, currently running normally.
    Instance fs, currently running normally.
        Auxiliary status is: file server running.
    

    Pro AFS jsou velmi důležité dva volumy, které musíme vytvořit dříve, než pustíme klienta:

    ~# vos partinfo localhost -localauth
    Free space on partition /vicepa: 18157120 K blocks out of total 19593852
    
    ~# vos create afsfs.foo.bar /vicepa root.afs -cell foo.bar -localauth
    Volume 536870912 created on partition /vicepa of afsfs.foo.bar
    
    ~# vos create afsfs.foo.bar /vicepa root.cell -cell foo.bar -localauth 
    Volume 536870915 created on partition /vicepa of afsfs.foo.bar
    

    Z bezpečnostních důvodů odstraníme soubor /etc/kadm5.acl. Pokud jej budeme potřebovat, tak jej znova vytvoříme.

    ~# rm -f /etc/kadm5.acl
    

    OpenAFS klient

    link

    Poslední, co nám zbývá je AFS klient, ten buď máte předkompilovaný k jádru nebo si jej budete muset zkompilovat. V Debianu doporučuji pro kompilaci použít balík openafs-modules-dkms nebo z balíku module-assistant příkaz m-a a-i -t openafs. Před startem klienta je vhodné nastavit v  /etc/openafs/afs.conf.client hodnoty následovně:

    AFS_CLIENT=false
    AFS_AFSDB=true
    AFS_CRYPT=true
    AFS_DYNROOT=false
    AFS_FAKESTAT=true
    

    Po kompilaci a instalaci doprovodných balíků openafs-client můžeme celou infrastrukturu vyzkoušet. Pro všechny tyto příkazy můžeme být kdokoliv, kdo zná heslo k uživateli afsadmin z Kerbera.

    ~# mkdir /afs
    ~# /etc/init.d/openafs-client force-start
    
    ~$ kinit afsadmin
    Password for afsadmin@FOO.BAR:
    
    ~$ klist
    Ticket cache: FILE:/tmp/krb5cc_1000
    Default principal: afsadmin@FOO.BAR
    
    Valid starting     Expires            Service principal
    02/22/11 22:59:28  02/23/11 08:59:28  krbtgt/FOO.BAR@FOO.BAR
            renew until 02/23/11 22:59:26
    
    ~$ aklog
    
    ~$ tokens
    Tokens held by the Cache Manager:
    
    User's (AFS ID 1) tokens for afs@foo.bar [Expires Feb 23 08:59]
       --End of list--
    
    ~$ mount | grep AFS
    AFS on /afs type afs (rw)
    
    ~$ fs examine /afs
    File /afs (536870912.1.1) contained in volume 536870912
    Volume status for vid = 536870912 named root.afs
    Current disk quota is 5000
    Current blocks used are 2
    The partition has 18156992 blocks available out of 19593852
    

    Souborem /etc/openafs/afs.conf.client se ovládá základní chování OpenAFS klienta. Nejzajímavější je položka AFS_CLIENT, kterou se ovládá start klienta při bootu. Pokud je nastavena na  false, lze klienta nastartovat ručně rc skriptem /etc/init.d/openafs-client force-start. Položka AFS_DYNROOT umožňuje automaticky generovat kořen AFS. Pokud ji zapnete a provedete restart klienta, uvidíte celý AFS svět. Potíž s touto volbou je, že start klienta a připojení svazku je náročnější, jak na konektivitu, tak na potřebný čas a není doporučována. Časem si ukážeme, jak tuto nevýhodu snadno obejít.

    Pokud rádi používáte nejnovější jádro, tak se s OpenAFS klientem budete muset začít krotit. Většinou je vývoj modulu trochu pozadu a do distribucí se dostává ještě později. Přesto odskok není nijak velký, čtěte changelog, ve kterém je uváděna poslední podporovaná verze jádra.

    Klient vám nemusí startovat, pokud používáte jiný než jeho oblíbený souborový systém. Nejvhodnější je pro /var/cache/openafs použít ext2 nebo ext3. Pokud tomu tak není, můžete cache klienta přepnout do paměti nastavením volby OPTIONS=-memcache v /etc/openafs/afs.conf.

    Závěr

    link

    Přestože teď v /afs nic nevidíte, jste v cíli a AFS vám funguje. Mnoho věcí zde nebylo vysvětleno a ani být nemohlo, protože by z toho byl další seriál. Pokud jste narazili na nějaké problémy, postupujte klasicky: prohlídkou logů, manuálů, internetových vyhledávačů a případně se můžete zkusit zeptat v diskusi.

    Poděkování

    link

    Poděkování patří Petru Hříbalovi, který poskytl podklady pro tento díl.

    Centrum informatizace a výpočetní techniky pro Západočeskou univerzitu v Plzni buduje a provozuje od roku 1996 prostředí Orion založené na  autentizačním systému Kerberos a distribuovaném síťovém souborovém systému AFS s více než 22 tisíci aktivních uživatelů.
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    3.5.2011 08:12 xurfa
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    A co je to to OpenAFS? :-)

    (Aneb, nebylo by dobry na zacatku clanku alespon pul vetou odkazat na predchozi dil[y] serialu?)
    3.5.2011 10:43 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Abychom se úplně osamostatnili, bude naše doména hostována v rozsahu 10.10.10.0/24. Za tímto účelem si vytvoříme alias k síťovému rozhraní eth0.
    ~# ifconfig eth0:10 10.10.10.1 netmask 255.255.255.0 broadcast 10.10.10.255 up
    V článku o systému, který dnes neumí IPv6, by mě to možná nemuselo překvapovat, ale... ifconfig a alias k síťovému rozhraní?
    Quando omni flunkus moritati
    Heron avatar 3.5.2011 11:53 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    +1

    :-(

    Jinak pěkný článek, ale tohle mě též udeřilo do očí.
    3.5.2011 13:24 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Autor je narozdíl od vás zřejmě ze staré školy. Buďte prosím tak hodný a poučte čtenáře, jak to udělat lépe.
    Heron avatar 3.5.2011 13:30 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: OpenAFS – instalace

    Myslím, že o příkazu ip tu toho bylo napsáno mnoho.

    Příkaz ifconfig fungoval naposledy ve verzi jádra 2.2 (rok 1999). Od té doby je to jen nedokonalá simulace.

    Jiri 3.5.2011 14:53 Jiri "eR0" Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Také jsem ze staré školy a také stále používám 'ifconfig'.

    Občas jsem se po přečtení některých komentářů kvůli tomu i cítil blbě.

    Ale teď dočítám knihu Pavla Satrapy o IPv6 (2008) a on také používá 'ifconfig'. Píše i o existenci 'ip', ale že to není nic pro něj.

    Vzhledem z velikosti jména Pavla Satrapy budu nadále klidně používat 'ifconfig' a nebudu z toho mít těžkou hlavu...
    3.5.2011 23:13 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Tak k tomuhle není co dodat :-( Snad jenom to, že člověk, který píše naučnou publikaci, si mohl dát tu práci a nenavádět lidi k pí*ovinám.
    Quando omni flunkus moritati
    Jiri 4.5.2011 12:27 Jiri "eR0" Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Pro upřesnění, aby si někdo něco ošklivého o Pavlu Satrapovi nepomyslel, přesná citace z knihy je:

    Pro nastavování síťových parametrů lze použít dvě alternativní cesty: tradiční dvojici ifconfig & route nebo novější a všeobalující ip. Osobně dávám přednost prvním dvěma, bohužel však u tunelů otvírají některá bezpečnostní rizika a je doporučeno se jim vyhýbat. Proto se budu držet spíše příkazu ip.

    Jsou tam pak ukázky obou, ale více se opravdu drží ip. Ale ta věta "Osobně dávám přednost prvním dvěma..." mě, staromilce, potěšila. :-)
    4.5.2011 09:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Profík si může dovolit leccos, co by začátečník zkoušet neměl.
    4.5.2011 08:47 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Jak nahradit řádek iface eth0:10 inet static v Debianím /etc/network/interfaces jsem nikde nenašel. Asi špatně hledám. Můžete mě prosím odkázat na jeden z mnoha článků (nejlépe v češtině), který to popisuje?
    4.5.2011 09:13 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Jak nahradit řádek iface eth0:10 inet static v Debianím /etc/network/interfaces jsem nikde nenašel.
    Nijak, prostě do definice eth0 přidáš post-up a pre-down. man interfaces
    Quando omni flunkus moritati
    4.5.2011 10:59 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    No, to původní řešení je o dost přehlednější a umožní mi psát "ifdown eth0:10".
    4.5.2011 21:40 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Přehlednější možná, akorát vyrábí nesmyslná rozhraní, o kterých se tváří, že jsou plnohodnotná; že to není úplně dobrej nápad zjistíš třeba ve chvíli, kdy se to rozhraní pokusíš shodit. Viz např. http://www.abclinuxu.cz/poradna/linux/show/81618#8
    Quando omni flunkus moritati
    3.5.2011 13:32 j
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    ip ad ad 10.10.10.1/24 dev eth0

    zeby ?
    4.5.2011 08:27 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Děkuji za konkrétní odpověď místo hloupých pindů.
    3.5.2011 15:10 xurfa
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    IPv6? K čemu takovou sračku?
    3.5.2011 16:44 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Aby takoví nevzdělanci jako ty mohli zaplavovat diskuze svými exkrementy i za deset let :)
    4.5.2011 10:27 List | skóre: 27
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Ano přiznám se, jsem dinosaurus ;-). ifconfig byl zkrátka první nástroj, který jsem se naučil a dokud mi jej nezruší, tak jej budu používat, protože nemám zatím důvod se učit něco nového. Mám rád linuxu i z důvodu, že jedna věc jde udělat mnoha způsoby a hlavně si je mohu vybrat.

    Nad řešením s aliasem jsem dlouho přemýšlel a přišlo mi to jako jednoduché řešení pro případ notebooku, kdy se rozhraní může měnit nebo být navázané na "vyší inteligenci" (network manager/wicd). Pro konfiguraci AFS potřebuji IP adresy a řešil jsem jak to udělat pro všechny stejně. Zároveň jsem lidem nechtěl šahat do jejich existujících nastavení. Jestli je nějaké lepší a snadné řešení, tak se s ním podělte, budu za něj rád.
    4.5.2011 17:15 wtfjakovocode
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    nj, v linuxu se nikdy nic neudela poradne, a misto oprav se to "zalepuje" novyma nastrojema. naprosto na hovno
    3.5.2011 15:05 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Uvozovky
    Horlivý korektor opravil uvozovky i v elementech pre.
    Luboš Doležel (Doli) avatar 3.5.2011 16:21 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Uvozovky
    Skript to udělal, opravím to.
    3.5.2011 17:31 fun.k.
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Díky za článek, přišel právě včas... ;)
    4.5.2011 10:14 List | skóre: 27
    Rozbalit Rozbalit vše OpenAFS – instalační obrazy
    Nevím, kolik z vás si našlo (nebo najde) čas na instalaci OpenAFS, proto se pokusím doplnit příští díl o obrazy pro virtuální stroje, kde bude OpenAFS předinstalované. Věřím, že si to tak více lidí vyzkouší.
    4.5.2011 11:05 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Bude i nějaký návod pro Windows klienta?
    5.5.2011 01:17 List | skóre: 27
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Pokusím se přemluvit kolegu, jestli by nesepsal nějaké doplňující pojednání o AFS klientovi do Windows. Bohužel osobně s ním mám minimum zkušeností, ale poslední verze jsou velmi pěkně integrovány a už to není tak velký problém dostat dovnitř.
    4.5.2011 12:25 radun
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Asi před pěti lety jsem AFS zkoušel prosadit (vše jsem nainstaloval a zprovoznil) v jedné menší firmě, žel neúspěšně. Nakonec samba všem vyhovovala mnohem víc. Byl jsem si vědom, že jdu tenkrát s kanónem na vrabce, ale chtěl jsem se také sám něco nového naučit a hlavně jsem byl sám zvědavej. Od té doby jsem o AFS moc neslyšel a byl jsem už přesvědčen, že AFS už prostě není in. Tak mi tenhle článek potěšil: tenkrát jsem s nastavením dost zápasil, něco podobného by se mi bývalo hodilo. Ale spíš by mě zajímalo jestli někdo afs opravdu úspěšně dlouhodobě provozuje třeba v nějakém podniku?
    4.5.2011 13:01 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Na ZČU. Viz poznámka pod čarou v článku.
    4.5.2011 13:55 radun
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    ZČU znám. Dokonce jsem to tenkrát s pomocí jejich stránek rozcházel ... a koukám, že mám v záložkách ještě funkční odkaz odkaz. Takže to na CIVu stále nějak běží. Já bych stejně ale raději slyšel o nějakém případu od jinud než z akademické půdy. Prostě podnik jak jsem psal nebo organizace, ale vlastně by mi stačila i nějaká jiná fakulta (o ZČU jsem věděl), kde to neslouží převážně ke studijním účelům. Třeba se někdo takový najde, to by mi opravdu potěšilo.
    4.5.2011 15:50 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Jsem nevědel, že souborý systém se jinak chová akademikům a jinak kapitalistům :)
    Ondrej avatar 4.5.2011 15:53 Ondrej | skóre: 20 | blog: darkblair_server | Praha
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Nasazeny je AFS napr. v CERNu (v kombinaci s OSD) nebo v Intelu. Jinak tedka na openAFS koukam taky (v kombinaci s OSD) a vypada zajimave. Jde mi hlavne o reseni pripadu, kdy mam nejakej projekt, kterej obsahuje data (a to jak velky mnozstvi malejch souboru (desitky tisic) tak i velky soubory (i desitky GB/soubor)) a potrebuje k nemu pristupovat jak klient co cte ten velkej soubor tak i nekolik dalsich klientu co zapisujou a ctou ty maly. NFS nam to dokonale zabiji. Jo, vim ze idealni reseni je jedno pole pro velky soubory a druhy pro maly soubory, ale to je nepruchodny, protoze uzivatele musej mit projekt na jednom miste.
    Nikdo neni nikdy lepsi nez ty! Pouze ty jsi obcas horsi nez ostatni.
    5.5.2011 01:20 List | skóre: 27
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Odpovím šalamounsky: kdo si AFS nainstaluje podle seriálu, dostane se do celého světa, protože AFS je globální souborový systém. Může se pak sám podívat, co za organizace používá AFS a dává jej k dispozici do světa. Další známou organizací je třeba NASA.
    5.5.2011 01:32 List | skóre: 27
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Já ještě doplním nějaké základní info o ZČU. Máme celkem 11 file serverů s celkovou kapacitou cca 15TB + 3 DB servery s kerberem. Na AFS mají uživatelé (studenti i zaměstnanci) své domovské adresáře, takže prakticky každý se dostal do kontaktu s AFS aniž by o tom věděl. Dále je na AFS hostován veškerý software a podklady pro instalace, ale také webové stránky navázané na apache servery. Rozhodně to nemáme jako studentský nebo akademický projekt, ale používá se v provozu. Problémy s AFS dokáží ochromit celou univerzitu, zdrojem obtíží jsou téměř vždy disková pole. Pro studijní účely má KIV (katedra informatiky) vlastní buňku, která je s univerzitní propojena.
    5.5.2011 12:21 radun
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Domnívám se, že devadesát procent uživatelů na ZČU se přihlašuje ze systému windows. Alesponň tak nějak mi to vychází podle toho jak ZČU znám. Samozřejmě na FELu a FAVu bude dost linuxových nadšenců, ale v celku to víc jak deset procent nejspíš neudělá. Pak jsou tu učitelé, kteří co vím, používají (dokonce i na FAVu) většinou os windows. Pokud to tedy funguje tak dobře jak popisujete, určitě by to chtělo uvést v dalších dílech řešení a nastavení na straně klienta pod windows. Myslím, že by to bylo užitečné, protože právě tam byl největší kámen úrazu (a zdá se, že pořád je). Jinak samozřejmě afs fandím.
    5.5.2011 16:48 krawx
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Jak jsem psal v prispevku niz, na stavarne se primarne vsichni hlasime do windows a pracujeme s roaming profilama ulozenymi na AFS a funguje to dobre.
    4.5.2011 20:19 krawx
    Rozbalit Rozbalit vše Re: OpenAFS – instalace
    Sice to bude opet priklad z akademicke pudy, ale u nas na Fakulte stavebni CVUT se jiz nekolik let hlasim pres pGinu do windows uceben, kde se mi stahuje roaming profile z OpenAFS a funguje to bezvadne. Stejne tak funguje i na bezdiskovych linuxech, kde se mi po prihlaseni namapuje muj domovsky adresar z OpenAFS. Sitovy home mam tedy stejny jak pod windows tak pod linux a jeste k tomu pokud se nepletu to bezi cely sifrovane.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.