Dynamisches Einbinden von tubFS mittels automount

Hinweis:

Die ZECM hat prototypische Implementierungen für Debian und Ubuntu-Systeme umgesetzt. Erfahrung mit anderen Unix-Distributionen oder anderen Betriebssystemen liegen bisher nicht vor. In dieser Anleitung wird auf die Ubuntu-Distribution (in Version 20) eingegangen.

Beantragen Sie per E-Mail bei noc@zecm.tu-berlin.de eine Netzfreischaltung für den Zugriff auf tubFS und die AD Domäne SVC.

Bitte benennen Sie Ihre Subnetze, in denen Sie Ihre Arbeitsplätze mit Zugriff auf tubFS betreiben wollen.

Übernehmen Sie die aktuell gültige Kerberos-Konfiguration von

https://www.tubit.tu-berlin.de/fileadmin/a40000000/tubIT/afs/ubuntu_krb5.conf und speichern Sie sie als /etc/krb5.conf ab.

Das Verfahren mittels automount kommt ohne eine Änderung am pam-Stack aus.

Wie das pam_mount-Verfahren nutzt automount zur Authorisierung Kerberos-Tickets und verwendet die Systempakete keyutils und cifs-utils.

Der automount-Dienst bindet das Heimatverzeichnis des/r Nutzer*in automatisch in das lokale Dateisystem bei der ersten Referenzierung ein.
Automount-Dateisysteme werden nach längerer Nichtbenutzung wieder aus dem lokalen Dateisystem entfernt.

Installieren Sie zusätzlich die folgenden Pakete: 

  # apt install keyutils cifs-utils autofs

Übernehmen Sie die automount-Konfiguration der ZECM, indem Sie die Konfigurationsdateien

• extra-tubfs.autofs als /etc/auto.master.d/extra-tubfs.autofs und
• auto.tubfs-home als /etc/auto.tubfs-home speichern.

  # chmod 644 /etc/auto.master.d/extra-tubfs.autofs /etc/auto.tubfs-home

Die Automount-Konfiguration legt automatisch beim Start des Dienstes die Verzeichnisstruktur /tubfs/home an. In /tubfs/home werden automatisch die Heimatverzeichnisse bei der ersten Referenzierung (z. B. bei der Anmeldung) dynamisch eingebunden und bei längerer Nichtnutzung ausgehängt.

Legen Sie einmalig folgende symbolischen Links in /home an:

  # ln -s /tubfs/home /home/tu-berlin.de

  # ln -s /afs/tu-berlin.de/home /home/users

Führen Sie einen Neustart des Automount-Dienstes durch:

  # systemctl restart autofs

 Testen Sie die Änderungen, indem Sie eine Anmeldung mit Ihrem TUB-Account durchführen (z.B. mit kinit(1)).

 # kinit && cd /tubfs/home/[TUB-Account]

Sollte Ihr Heimatverzeichnis nicht automatisch in /tubfs/home/ eingebunden werden, prüfen Sie bitte, ob/dass:

• bei der Anmeldung ein Kerberos-Ticket erzeugt wurde
• die tubFS-Server erreichbar sind
• die Freischaltung für die AD-Domöne SVC von NOC durchgeführt wurde
• default_ccache_name in /etc/krb5.conf nicht gesetzt ist oder die Einstellung "FILE:/tmp/krb5cc_%{uid}" verwendet. Der automount-Prozess prüft und findet nur Kerberos-Caches (in /tmp), die dieser Syntax folgen (siehe: man cifs.upcall).
• Fehlermeldungen im systemd-journal vorliegen (journalctl(1))

Um eine Datenkonsistenz für die Nutzer*innen zu schaffen, sollten an allen Systemen die gleichen Pfade verwendet werden. Es folgt die Liste der von der ZECM empfohlenen Pfade:

• das AD-Attribut unixHomeDirectory ($HOME) ist mit /home/users/a-z/[TUB-Account] vorbelegt
• das zukünftige AD-Attribut unixHomeDirectory ($HOME) wird mit /home/tu-berlin.de/[TUB-Account] vorbelegt sein
• das AFS-Heimatverzeichnis ist verfügbar als /afs/tu-berlin.de/home/a-z/[TUB-Account] und wird vom installieren AFS-Dienst bereitgestellt
• das tubFS-Heimatverzeichnis ist verfügbar als /home/tu-berlin.de/[TUB-Account] und wird entweder mittels pam_mount- oder automount-Methode bereitgestellt
• /home/users ist ein symbolischer Link nach /afs/tu-berlin.de/home

Wenn die Synchronisierung eines Heimatverzeichnisses abgeschlossen ist, wird das AFS-Heimatverzeichnis durch einen symbolischen Link nach /home/tu-berlin.de/[TUB-Account] ersetzt.

D.h. /home/users/a-z/[TUB-Account] zeigt während der Migrationsphase immer auf ein Heimatverzeichnis entweder das im AFS oder nach Abschluss der Synchronisierung auf das aktualisierte Verzeichnis im tubFS.

Nach Abschluss der Migrationsphase wird das AD-Attribut unixHomeDirectory auf /home/tu-berlin/[TUB-Account] umgesetzt.

Nach Rückbau des AFS-Dateisystems entfällt der symbolische Link /home/users.