Überstunden
Noch bei der Arbeit? Keine Angst, es ist noch viel Zeit…
Das passiert also wenn die Uhr in der Menü-Bar von MacOS X ausfällt. 
AFS-Commander für MacOS X
Der Client für OpenAFS auf MacOS X verhält sich nicht wie man es von einem Mac-Programm erwartet. Er funktioniert zwar wunderbar, dennoch ist er für Apple-Verhältnisse “ungewohnt” zu konfigurieren.
Abhilfe schafft hier der AFS-Commander der sich mit aller nötigen Funktionalität in die System Preferences einhängt und den Client sehr angenehm konfigurieren läßt.
AFS-Commander is the development version Apple OSX AFS Preference Pane, made for simplify the AFS client administration and usability.
Auf meinem 10.5.4 läuft AFS-Commander wunderbar und konfiguriert den Client 1.4.7 wunderbar.
Ein besonders angenehmes Feature ist das automatische Anmelden am AFS. Kein “Gedängel” bis es geht, einfach die Funktion einschalten und AFS-Commander übernimmt den Rest.
Der AFS-Commander steht zum Download bereit:
lnf.infn.it/~bisegni/Main/AFS-Commander
OpenAFS für Windows 1.5.51
1.5.51 is the recommended production-ready release of OpenAFS for
Microsoft Windows users. It supports all Microsoft Windows operating
systems from Windows 2000 through Windows Vista SP1 and Windows Server
2008 including both 32-bit and 64-bit architectures. The 1.5.51
release continues the recent efforts at optimizing the performance of
the Windows client and improving its scalability.
[Quelle: Jeff via openafs-annouce]
Kurz-Tip: Solaris und /etc/nsswitch.conf
Wenn sich ein frisch installiertes Solaris (oder auch OpenSolaris) weigert den in der /etc/resolv.conf eingetragenen Resolver zu nutzen kann ein beherztes cp /etc/nsswitch.dns /etc/nsswitch.conf helfen.
Holzhammer-Methode, aber funktioniert.
Common Build Environment auf OpenSolaris
Few steps to install Sun Studio and Common Build Environment on OpenSolaris box.
Praktisch für jeden, der auf OpenSolaris entwickeln oder fremde Software bauen möchte.
Happy SysAdmin Day!
Da ich mich selbst zu dieser Spezies zähle: Happy SysAdmin Day!
So when you think of a sysadmin, think of the people who run the servers that help you clean it off, the people who run your backups to make sure your data is safe, the people who bring you the network, the people who monitor it for security — and yes, the person who cleans the virus off your computer and replaces your monitor.
Anmeldung am AFS mit PAM
Anmelden am AFS kann man sich auch wunderbar per PAM. Das erspart dem User sowohl kinit als auch aklog.
Auf Debian werden hierfür zwei Pakete benötigt:
/etc/pam.d/common-auth:
auth optional pam_krb5.so forwardable debug
auth sufficient pam_unix.so use_first_pass nullok_secure
auth required pam_deny.so
/etc/pam.d/common-session:
session optional pam_krb5.so debug
session optional pam_openafs_session.so
session required pam_unix.so
Damit das auch über SSH funktioniert, noch eine kleine Änderung an der SSHd-Config.
/etc/ssh/sshd_config:
ChallengeResponseAuthentication yes
UsePAM yes
Im Falle dieser Beispiel-Config ist es wichtig, daß Kerberos-Passwörter und lokale Unix-Passwörter überein stimmen. Ändern läßt sich das z.B. per LDAP. root kann sich immer anmelden, selbst wenn das KDC nicht erreichbar ist.
Das Keyword “debug” kann entfernt werden, sobald per /var/log/authlog geklärt ist, daß der Login funktioniert.
Kleiner Hinweis
Ich bitte kurz um die Aufmerksamkeit meiner geschätzten Leserschaft.
Alle hier veröffentlichten Anleitungen, Scripte und Howtos haben bei mir funktioniert. Das bedeutet nicht, daß zwingend alles davon auch in einem anderen Setup funktionieren wird. Nichts was hier steht entbindet vom Lesen der man-Pages und der Nutzung einer Suchmaschine.
SSH und Kerberos (auf Debian)
Das Nachfolgende funktioniert auf Debian-Systemen. Es läßt sich aber recht leicht auf andere Betriebssysteme “portieren”, da es keine Debian-Spezifische Funktionalität ist.
SSH Public-Keys sind toll. Kerberos ist besser!
Kerberos-Tickets kann man für SSH-Verbindungen nutzen, in etwa bildet man damit das Verhalten von SSH Public-Keys nach. Es kann allerdings mehr.
Was braucht man?
Einen Kerberos-Principal für den Benutzer und einen Principal für den Host. Den Key für den Host legt man mit einem random-Passwort an und exportiert ihn anschließend noch.
kadmin: ank user
kadmin: ank -randkey host/maschine
kadmin: ktadd -k /tmp/maschine.keytab host/maschine
Auf einem sicheren Weg nun die exportierte Datei auf den SSH-Server in /etc/krb5.keytab kopieren oder besser gleich verschieben.
Änderung am SSHd
Endweder man verwendet direkt das Paket ssh-krb5 oder man passt en existierenden SSHd etwas an.
/etc/ssh/sshd_config:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Kerberos Client auf dem Server
Das Paket krb5-user muß installiert sein.
/etc/krb5.conf:
[libdefaults]
default_realm = REALM
[realms]
REALM = {
kdc = kdc-master:88
kdc = kdc-slave:88
admin_server = kdc-master:749
default_domain = domain
}
[domain_realm]
.domain = REALM
domain = REALM
Das war’s fast schon.
Der User
Im Home-Verzeichnis des Users die .k5login erzeugen und mit den Principals die sich anmelden dürfen füllen.
user@REALM
nocheinuser@REALM
Pro Zeile einen Principal.
That’s it.