Springe zum Hauptinhalt
Universitätsrechenzentrum
Zugriff
Universitätsrechenzentrum 

AFS-Zugriff

Für den Zugriff auf Daten im AFS aus dem Internet mittels AFS-Clientensoftware ist grundsätzlich der Aufbau einer VPN-Verbindung erforderlich.

OpenAFS-Software für Windows-Systeme

Auf Rechnern in Windows-Administrationsdiensten des URZ (W10SELFADM, Windows VPS) wird OpenAFS bereits passend konfiguriert durch das URZ installiert und gewartet. Auf diesen Rechnern dürfen die folgenden Schritte nicht angewendet werden. Wenden Sie sich bei Problemen bitte stattdessen an (Rechnername angeben).

Die folgende Anleitung wurde für folgende Windows-Versionen verifiziert:

  • Windows 7
  • Windows 8.1
  • Windows 10 Enterprise 2016 LTSB
  • Windows 10 Enterprise LTSC 2019
  • Windows 11 Education, Version 21H2 (prinzipielle Funktionsfähigkeit)
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

1. Kontrolle der Zeiteinstellung

Bitte kontrollieren Sie, dass Datum, Uhrzeit und Zeitzone des Rechners korrekt eingestellt sind.
Kontrolle_Zeiteinstellung

Die Kerberos-Authentifizierung schlägt fehl, wenn die Zeitabweichung mehr als fünf Minuten beträgt.

2. Deinstallation alter Software

Altinstallationen müssen entfernt werden. Deinstallieren Sie folgende Software (falls vorhanden):

  • MIT Kerberos for Windows
  • Network Identity Manager
  • OpenAFS for Windows

Danach starten Sie bitte unbedingt den Rechner neu.

3. Download des Installationspaketes

Laden Sie sich das Installationspaket herunter und entpacken Sie den Inhalt nach C:\tmp
Inhalt_Ordner

Das Installationspaket enthält neben der benötigten Software Kerberos for Windows 3.2.2, Network Identity Manager 2.0 und OpenAFS 1.7.33 Anpassungen an die AFS-Zelle der TU Chemnitz.

4. Installation

Starten Sie eine Eingabeaufforderung mit Administratorrechten [*]
bzw. einfach über die Suche in der Taskleiste nach "cmd" suchen und "Als Administrator ausführen":

Eingabeaufforderung_Admin

[*] Eine Eingabeaufforderung mit Administratorrechten können Sie auch wie folgt starten:

  • Windows 7: Startmenü → Alle Programme → Accessories/Zubehör → Eingabeaufforderung → Rechtsklick → „Als Administrator ausführen”
  • Windows 8.1: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
  • Windows 10 Enterprise 2016 LTSB: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
  • Windows 10 Enterprise LTSC 2019: Startmenü → Windows-System → Eingabeaufforderung → Rechtsklick → „Mehr“ → „Als Administrator ausführen“

und geben Sie ein:

  1. cd /D C:\tmp
  2. install.cmd

Installation_Eingabe

Nach Abschluss der Installation wird der Rechner automatisch neu gestartet bzw. wird zum Neustart aufgefordert.


Installation_Neustart

5. Start der Software

Die Software startet automatisch. Bei der Verwendung auf Rechnern außerhalb des Campusnetzes ist allerdings der Aufbau einer VPN-Verbindung in das Campusnetz erforderlich. Bitte installieren und starten Sie dafür den Anyconnect-Client von Cisco.

6. Authentifizierung (Beschaffung eines AFS-Tokens)

Für den Zugriff auf die meisten Daten im AFS ist ein sogenanntes „AFS-Token“ zur Prüfung der Berechtigung erforderlich. Klicken Sie dazu auf das würfelähnliche Symbol des bereits gestarteten Network Identity Managers im Tray-Bereich der Taskleiste (üblicherweise rechts unten, meist muss dort dazu erst der kleine nach oben zeigende Pfeil „aufgeklappt“ werden):

Start_NIM

  • Wählen Sie aus der Menüzeile des Network Identity Managers „Credential“ → „New credentials“ → „Obtain new credentials …“.

    Credential

  • Klicken Sie ggf. auf den Kasten „Kerberos Principal“ und wählen Sie „New identity …“.
  • Bei „Username“ tragen Sie bitte ihr URZ-Nutzerkennzeichen in Kleinbuchstaben ein. Den „Realm“ belassen Sie bitte unverändert auf „TU-CHEMNITZ.DE“.

    Authentifizierung

  • Klicken Sie alle folgenden Seiten unverändert mit „Next“ bis zur Abfrage „Password for …:“ ab und geben Sie dort ihr URZ-Kennwort ein. Bestätigen Sie abschließend mit „Finish“.

    Finish

  • Somit ist die Beschaffung des AFS-Tokens erfolgreich abgeschlossen und der Network Identity Manager läuft:

    Kerberos Ticket vorhanden

    NIM running

Das automatische Beschaffen eines AFS-Tokens während des Login-Vorgangs gelingt nur, wenn

  • lokales Nutzerkennzeichen und Kennwort identisch zum URZ-Nutzerkennzeichen und -Kennwort sind und
  • der Rechner ohne Erfordernis einer VPN-Verbindung direkt im Campusnetz betrieben wird (für Notebooks trifft das oftmals nicht zu).

Andernfalls müssen Sie das Token über den Network Identity Manager im Tray-Bereich der Taskleiste nach dem Einloggen (und ggf. dem Aufbau einer VPN-Verbindung) manuell beschaffen, wie zuvor beschrieben.

7. Zugriff auf Dateien im AFS

Im Explorer können Sie in der Adressleiste den sogenannten UNC-Namen \\afs\tu-chemnitz.de eingeben, um auf Daten im AFS zuzugreifen. Falls es nicht gleich klappt, sollten Sie zunächst einige Minuten warten und es danach noch einmal probieren.

Die Dateien in ihrem AFS-Homeverzeichnis erreichen Sie über den Pfad

  • \\afs\tu-chemnitz.de\home\urz\o\otto

(wobei Sie o durch den ersten Buchstaben Ihres Nutzerkennzeichens und otto durch Ihr eigenes Nutzerkennzeichen ersetzen.)

  • Homeverzeichnis

Für den Zugriff auf AFS-Projektverzeichnisse verwenden Sie bitte den Pfad

  • \\afs\.tu-chemnitz.de\project
Die Datensicherung der AFS-Projektverzeichnisse erreichen Sie über folgende Pfade
  • \\afs\tu-chemnitz.de\project\YESTERDAY
  • \\afs\tu-chemnitz.de\project\LAST_WEEK
  • Projektverzeichnis

Das Verzeichnis

  • \\afs\tu-chemnitz.de
ist auch ohne AFS-Token auflistbar. Über diesen Weg kann geprüft werden, ob der Zugriff auf das AFS prinzipiell funktioniert.

AFS-Software für Linux/Unix-Systeme

OpenAFS ist für nahezu alle gängigen Unix-Systeme verfügbar. Die aktuelle Versionierung liegt derzeit für produktive Systeme bei 1.6.x. Für die meisten Linux-Distributionen sind openafs-Installationspakete im Rahmen der Distribution bzw. über Drittanbieter verfügbar.

Installation am Beispiel Scientific Linux

Scientific Linux enthält openafs-Pakete in der Distribution. Die Paketinstallation erfolgt mit dem Paketmanager yum.

sudo yum install openafs-1.6-sl-client openafs-1.6-sl-krb5 \
                 openafs-1.6-sl-module-tools kmod-openafs-1.6-sl net-tools

Konfigurationshinweise

  • Tragen Sie den Namen unserer Zelle (tu-chemnitz.de) in das File /usr/vice/etc/ThisCell.
  • Prüfen Sie die Konfiguration des AFS-Cache in /usr/vice/etc/cacheinfo.
  • Konfigurieren Sie Ihre Maschine als Kerberos-Client in der Realm TU-CHEMNITZ.DE

Nutzungshinweise

Beachten Sie Hinweise zur Authentifizierung (Beschaffung eines AFS-Tokens).
Sofern das AFS-Token nicht im Rahmen der Anmeldung (PAM-Moduln) beschafft wurde nutzen Sie dafür das Kommando: klog.krb5 -t.

AFS-Software für MacOS-X-Systeme

Für den Zugriff auf das AFS-Netzwerk-Dateisystem wird der AuriStor Client verwendet. Die Installation und Konfiguration ist nachfolgend erklärt.

1. Download

Laden Sie sich den AuriStor-Client für Ihre Betriebssystemversion hier herunter.

Wenn Ihr Betriebssystem nicht erkannt wurde, klicken Sie bitte auf der Seite auf den Link available installers und wählen Sie Ihr Betriebssystem manuell aus.

2. Installation

  1. Öffnen Sie das heruntergeladene Image und führen Sie den Installer durch Klick auf Auristor-Lite.pkg bzw. Auristor.pkg aus:
    Bildschirmfoto: Heruntergeladenes Image
  2. Folgen Sie dem Installationsassistenten. Sobald Sie im Schritt AuriStor Cell sind, geben Sie bitte als Zellennamen tu-chemnitz.de an:

    Bildschirmfoto: Schritt zur Konfiguration der AuriStor-Zelle im Installationsassistenten

Je nach Betriebssystem-Einstellungen müssen Sie ggf. noch die Ausführung der AuriStor-Software erlauben.
Für Geräte mit Apple M1-Chip (ARM-Architektur) muss zuvor die Ausführung von Drittanbieter Systems-Extensions erlaubt werden. Die Einstellungen dieser Security Policy erfolgt im "Startup Security Utility". Detaillierte Hinweise entnehmen Sie dem Artikel Installing AuriStorFS clients for macOS 11.0 Big Sur (Schritte 12 bis 22).

Bildschirmfoto: Erlaube die Ausführung des AuriStor-Installers in den MacOS-Systemeinstellungen

3. Einstellungen

AuriStor installiert ein Plug-In in den Systemeinstellungen für Konfiguration und Statusanzeige. Bitte öffnen Sie dieses und treffen Sie folgende Einstellungen:

  • AppleSystemeinstellungenAuriStor
    • [x] AuriStor Menu
    • [x] Backgrounder
    • [x] Use aklog

Bildschirmfoto: Setzen der Optionen AuriStor-Menu, Backgrounder und Use Aklog in den Einstellungen

Wir empfehlen Ihnen, nach Änderung dieser Einstellungen Ihren Mac neu zu starten.

4. Betrieb und Benutzung

Am oberen Bildschirmrand haben Sie nun ein Symbol für die Steuerung des AuriStor-Clients. Vor dem Zugriff auf das AFS müssen Sie sich über dieses Symbol ein sogenanntes Token beschaffen:

Bildschirmfoto: AuriStor-Menü am oberen Bildschirmrand

Geben Sie im folgenden Dialog Ihr URZ-Nutzerkennzeichen einschließlich der Endung @TU-CHEMNITZ.DE und Ihr URZ-Passwort ein:

Eingabe von URZ-Nutzerkennzeichen inklusive @TU-CHEMNITZ.DE und Passwort

Bitte achten Sie hier bitte auf die Groß- und Kleinschreibung. Ihr URZ-Nutzerkennzeichen geben Sie bitte in Kleinbuchstaben und die Endung @TU-CHEMNITZ.DE in Großbuchstaben an.

Wenn AuriStor korrekt läuft und Sie sich angemeldet haben, wird das anschließend über ein kleines Häkchen im AuriStor-Symbol signalisiert:

Bildschirmfoto: AuriStor-Symbol zeigt ein Häkchen, wenn die Anmeldung korrekt war

Sie können nun im Finder über das Laufwerk AFS auf das AFS-Dateisystem zugreifen.


5. optionale Einstellungen

Anzeige des AFS-Verzeichnisbaum auf dem Desktop

  • Klick auf den Desktop
  • FinderEinstellungenAllgemein
  • Diese Objekte auf dem Schreibtisch anzeigen:
    • [x] Verbundene Server

Einrichtung von Kerberos

Um beim Login die Angabe des Kerberos-Realms (@TU-CHEMNITZ.DE) hinter Ihrem Nutzerkennzeichen weglassen zu können, können Sie noch unsere Kerberos-Konfiguration installieren:

  • Download der Kerberos-Konfiguration edu.mit.Kerberos für den Realm TU-CHEMNITZ.DE.
  • Kopieren der Kerberos-Konfiguration nach /Library/Preferences/ im Finder.
    (Dabei wird ggf. nach einem Administrator-Konto gefragt.)

Problembehandlung

  • Stellen Sie sicher, dass die Uhrzeit Ihres Rechners richtig eingestellt ist. Bei Abweichungen kommt es zu Problemen.
  • Achten Sie bei der Eingabe Ihrer Login-Daten darauf, Ihr URZ-Nutzerkennzeichen in Kleinbuchstaben und die Endung @TU-CHEMNITZ.DE in Großbuchstaben einzugeben.
  • Sollte die Anmeldung im AuriStor-Client nicht funktionieren, öffnen Sie bitte ein Terminal-Fenster und versuchen Sie die Anmeldung mit folgenden beiden Befehlen:

    kinit nutzerkennzeichen@TU-CHEMNITZ.DE
    aklog

    (Wenn keine Fehlermeldung kommt, hat die Anmeldung funktioniert)
  • Wenn der Zugang über den AuriStor-Client gar nicht funktioniert, können Sie sich auch im Bereich Alternativer Zugang über weitere Zugangsmöglichkeiten informieren.

Andere Zugriffswege

Neben der Installation des OpenAFS-Clients gibt es eine Reihe weiterer Möglichkeiten, auf die Daten in unserer AFS-Zelle zuzugreifen.

Dabei nutzen Sie den Loginserver login.tu-chemnitz.de oder einen der Referenz-Server für den Zugriff auf das AFS-Dateisystem.
Für den Nutzung des Loginserver login.tu-chemnitz.de ist es erforderlich, das SSH-Login am öffentlichen Loginserver zu aktiviert. Weitere Informationen finden sie im entsprechenden Blogeintrag des URZ.
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket, dass die Option GSSAPIDelegateCredentials für den Zugriff auf das AFS-Dateisystem aktiviert wird.

Web File Manager

Direkter Zugang zu Ihrem HOME-Verzeichnis und anderen Daten über einen Web-Browser. Benutzen Sie diesen Zugang, wenn Sie

  • nur gelegentlich Zugriff benötigen
  • keine Software auf dem benutzten PC installieren können (z. B. in Internet-Cafés)
  • auf Grund von Firewall-Einstellungen nur Web-Zugriffe möglich sind

Secure Copy / Secure FTP (SCP/SFTP)

Gnome-Filemanager nautilus

Der Filemanager nautilus der Desktopoberfläche Gnome enthält eine Unterstützung für das SFTP-Protokoll. Starten Sie den dazu den Filemanager mit folgender Option, ersetzen Sie otto durch ihr eigenes Nutzerkennzeichen:

nautilus sftp://otto@login.tu-chemnitz.de/afs/tu-chemnitz.de

WinSCP

Für Windows-Systeme ist die Installation von WinSCP zu empfehlen. In einer komfortablen Oberfläche können Sie damit

  • einzelne Dateien übertragen
  • Verzeichnis-Synchronisation durchführen
  • allgemeine Operationen mit Dateien ausführen (umbenennen, löschen, Verzeichnisse anlegen, …).

Als entfernte Maschine benutzen Sie bitte login.tu-chemnitz.de oder einen der Referenz-Server
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket (GSSAPI-Authentifizierung), dass die Option GSSAPI-Berechtigungsübergabe in den Erweiterten Einstellungen der SitzungSSHAuthentifizierung aktiviert wird.

SSHFS für Windows

SSHFS kann als Alternative zum OpenAFS-Client eingesetzt werden. Dabei werden AFS-Verzeichnisse von einem System mit installiertem AFS-Clienten (z. B. login.tu-chemnitz.de) importiert und unter einem Laufwerk im Explorer zugänglich gemacht.

  • winfsp- msi installieren
  • sshfs-win- msi installieren
  •  net use L: \\sshfs\USER@login.tu-chemnitz.de\VERZEICHNIS
    Beispiel Einbindung des Homeverzeichnisses von Nutzer "otto" unter Laufwerk "L" (so "L" noch unbenutzt ist)
    C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\.
    Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\. ist ungültig.
    
    Geben Sie den Benutzernamen für "sshfs" ein: user
    Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe)
    Der Befehl wurde erfolgreich ausgeführt.
    
    C:\user\xy> dir L:
    
  • Beispiel Einbindung des Projektverzeichnisses per Nutzer "otto" unter Laufwerk "L" (so "L" noch unbenutzt ist)
    C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project
    Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project ist ungültig.
    
    Geben Sie den Benutzernamen für "sshfs" ein: user
    Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe)
    Der Befehl wurde erfolgreich ausgeführt.
    
    C:\user\xy> dir L:
    
  • Trennen der Verbindung: Im Filemenager "Rechtsklick" auf das Laufwerk + "trennen"

SSHFS für MacOS

SSHFS kann als Alternative zum OpenAFS-Client eingesetzt werden. Dabei werden AFS-Verzeichnisse von einem System mit installiertem AFS-Clienten (z. B. login.tu-chemnitz.de) importiert. Downloads und Installationshinweise finden Sie unter: https://github.com/osxfuse/osxfuse/wiki/SSHFS (Die Option defer_permissions ignoriert evtl. einschränkende Unix-Berechtigungen, welche für Filesysteme im AFS keine Bedeutung haben.)

  • Zum Verbinden Ihres AFS-Homeverzeichnisses führen Sie bitte die folgenden Kommandos in einem Terminal aus.
    (Ersetzen Sie otto durch Ihr Nutzerkennzeichen)
    mkdir -p /tmp/afshome
    sshfs otto@login.tu-chemnitz.de: /tmp/afshome -o volname=AFS-HOME -o defer_permissions
    
  • Zum Verbinden der AFS-Wurzel für den Zugriff auf z.B. auf Projektverzeichnisse oder Dokumente im Webbereich führen Sie bitte die folgenden Kommandos in einem Terminal aus.
    (Ersetzen Sie wieder otto durch Ihr Nutzerkennzeichen)
    mkdir -p /tmp/afs
    sshfs otto@login.tu-chemnitz.de:/afs/tu-chemnitz.de/ /tmp/afs -o volname=AFS -o defer_permissions
    
Die Anzeige der verbundenen Verzeichnisse auf dem Desktop können Sie wie folgt aktivieren:
  • Finder starten
  • Menüleiste FinderEinstellungen …
  • Tab: Allgemein
    • Diese Objekte auf dem Desktop anzeigen:
    • [x] Verbundene Server

Für die Authentifizierung mittels Kerberos-Ticket (GSSAPI) sind folgenden Anpassungen erforderlich.

  • Beschaffen Sie zuerst ein Kerberos-Ticket mit folgendem Kommando in einem Terminal.
    (Ersetzen Sie otto durch Ihr Nutzerkennzeichen)
    kinit otto@TU-CHEMNITZ.DE
    
    Den Erfolg und die Dauer der Gültigkeit des Tickets können Sie mit dem Kommando klist prüfen.
  • Ergänzen Sie das sshfs-Kommando für die Unterstützung der GSSAPI-Authentifizierung wie im Beispiel:
    (Nutzen Sie den Login-Server login.tu-chemnitz.de oder einen Referenz-Server für die Verbindung,
    ersetzen Sie wieder otto durch Ihr Nutzerkennzeichen)
    mkdir -p /tmp/afshome
    sshfs otto@login.tu-chemnitz.de: /tmp/afshome -o volname=AFS -o defer_permissions -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes
    

Mountain Duck für MacOS und Windows

Mountain Duck ist ein kostenpflichtiges Werkzeug für die Einbindung von Dateisystemen (AFS-Deiteisystem über SFTP/SSH-Verbindung) in die Dateiexplorer von Windows und MacOS. Die Software steht auch als Evaluierungsversion unter mountainduck.io zum Download bereit.

iYFS für iOS

iYFS ist ein kostenpflichtiger AFS-Dateibrowser (Daten im Netzwerkdateisystem AFS) für Geräte mit iOS-Betriebssystem (iPad, iPhone). Die App wird von AuriStor, Inc. entwickelt und kann über iTunes bezogen werden.