AFS-Zugriff
Für den Zugriff auf Daten im AFS aus dem Internet mittels AFS-Clientensoftware ist grundsätzlich der Aufbau einer VPN-Verbindung erforderlich.
OpenAFS-Software für Windows-Systeme
Auf Rechnern in Windows-Administrationsdiensten des URZ (W10SELFADM, Windows VPS) wird OpenAFS bereits passend konfiguriert durch das URZ installiert und gewartet. Auf diesen Rechnern dürfen die folgenden Schritte nicht angewendet werden. Wenden Sie sich bei Problemen bitte stattdessen an support@… (Rechnername angeben).
Die folgende Anleitung wurde für folgende Windows-Versionen verifiziert:
- Windows 7
- Windows 8.1
- Windows 10 Enterprise 2016 LTSB
- Windows 10 Enterprise LTSC 2019
- Windows 11 Education, Version 21H2 (prinzipielle Funktionsfähigkeit)
- Windows Server 2008 R2
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
1. Kontrolle der Zeiteinstellung
Bitte kontrollieren Sie, dass Datum, Uhrzeit und Zeitzone des Rechners korrekt eingestellt sind.
Die Kerberos-Authentifizierung schlägt fehl, wenn die Zeitabweichung mehr als fünf Minuten beträgt.
2. Deinstallation alter Software
Altinstallationen müssen entfernt werden. Deinstallieren Sie folgende Software (falls vorhanden):
- MIT Kerberos for Windows
- Network Identity Manager
- OpenAFS for Windows
Danach starten Sie bitte unbedingt den Rechner neu.
3. Download des Installationspaketes
Laden Sie sich das Installationspaket herunter und entpacken Sie den Inhalt nach C:\tmp
Das Installationspaket enthält neben der benötigten Software Kerberos for Windows 3.2.2, Network Identity Manager 2.0 und OpenAFS 1.7.33 Anpassungen an die AFS-Zelle der TU Chemnitz.
4. Installation
Starten Sie eine Eingabeaufforderung mit Administratorrechten
[*]
bzw. einfach über die Suche in der Taskleiste nach "cmd" suchen und
"Als Administrator ausführen":
[*] Eine Eingabeaufforderung mit Administratorrechten können Sie auch wie folgt starten:
- Windows 7: Startmenü → Alle Programme → Accessories/Zubehör → Eingabeaufforderung → Rechtsklick → „Als Administrator ausführen”
- Windows 8.1: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
- Windows 10 Enterprise 2016 LTSB: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
- Windows 10 Enterprise LTSC 2019: Startmenü → Windows-System → Eingabeaufforderung → Rechtsklick → „Mehr“ → „Als Administrator ausführen“
und geben Sie ein:
cd /D C:\tmp
install.cmd
Nach Abschluss der Installation wird der Rechner automatisch neu gestartet bzw. wird zum Neustart aufgefordert.
5. Start der Software
Die Software startet automatisch. Bei der Verwendung auf Rechnern außerhalb des Campusnetzes ist allerdings der Aufbau einer VPN-Verbindung in das Campusnetz erforderlich. Bitte installieren und starten Sie dafür den Anyconnect-Client von Cisco.
6. Authentifizierung (Beschaffung eines AFS-Tokens)
Für den Zugriff auf die meisten Daten im AFS ist ein sogenanntes „AFS-Token“ zur Prüfung der Berechtigung erforderlich. Klicken Sie dazu auf das würfelähnliche Symbol des bereits gestarteten Network Identity Managers im Tray-Bereich der Taskleiste (üblicherweise rechts unten, meist muss dort dazu erst der kleine nach oben zeigende Pfeil „aufgeklappt“ werden):
Wählen Sie aus der Menüzeile des Network Identity Managers „Credential“ → „New credentials“ → „Obtain new credentials …“.
- Klicken Sie ggf. auf den Kasten „Kerberos Principal“ und wählen Sie „New identity …“.
Bei „Username“ tragen Sie bitte ihr URZ-Nutzerkennzeichen in Kleinbuchstaben ein. Den „Realm“ belassen Sie bitte unverändert auf „TU-CHEMNITZ.DE“.
Klicken Sie alle folgenden Seiten unverändert mit „Next“ bis zur Abfrage „Password for …:“ ab und geben Sie dort ihr URZ-Kennwort ein. Bestätigen Sie abschließend mit „Finish“.
Somit ist die Beschaffung des AFS-Tokens erfolgreich abgeschlossen und der Network Identity Manager läuft:
Das automatische Beschaffen eines AFS-Tokens während des Login-Vorgangs gelingt nur, wenn
- lokales Nutzerkennzeichen und Kennwort identisch zum URZ-Nutzerkennzeichen und -Kennwort sind und
- der Rechner ohne Erfordernis einer VPN-Verbindung direkt im Campusnetz betrieben wird (für Notebooks trifft das oftmals nicht zu).
Andernfalls müssen Sie das Token über den Network Identity Manager im Tray-Bereich der Taskleiste nach dem Einloggen (und ggf. dem Aufbau einer VPN-Verbindung) manuell beschaffen, wie zuvor beschrieben.
7. Zugriff auf Dateien im AFS
Im Explorer können Sie in der Adressleiste den sogenannten UNC-Namen \\afs\tu-chemnitz.de
eingeben, um auf Daten im AFS zuzugreifen. Falls es nicht gleich klappt, sollten Sie zunächst einige Minuten warten und es danach noch einmal probieren.
Die Dateien in ihrem AFS-Homeverzeichnis erreichen Sie über den Pfad
\\afs\tu-chemnitz.de\home\urz\o\otto
(wobei Sie o
durch den ersten Buchstaben Ihres Nutzerkennzeichens und otto
durch Ihr eigenes Nutzerkennzeichen ersetzen.)
Für den Zugriff auf AFS-Projektverzeichnisse verwenden Sie bitte den Pfad
\\afs\.tu-chemnitz.de\project
\\afs\tu-chemnitz.de\project\YESTERDAY
\\afs\tu-chemnitz.de\project\LAST_WEEK
Das Verzeichnis
\\afs\tu-chemnitz.de
AFS-Software für Linux/Unix-Systeme
OpenAFS ist für nahezu alle gängigen Unix-Systeme verfügbar.
Die aktuelle Versionierung liegt derzeit für produktive Systeme bei 1.6.x
.
Für die meisten Linux-Distributionen sind openafs
-Installationspakete im Rahmen der Distribution bzw. über Drittanbieter verfügbar.
Installation am Beispiel Scientific Linux
Scientific Linux enthält openafs
-Pakete in der Distribution. Die Paketinstallation erfolgt mit dem Paketmanager yum
.
sudo yum install openafs-1.6-sl-client openafs-1.6-sl-krb5 \ openafs-1.6-sl-module-tools kmod-openafs-1.6-sl net-tools
Konfigurationshinweise
- Tragen Sie den Namen unserer Zelle (
tu-chemnitz.de
) in das File/usr/vice/etc/ThisCell
. - Prüfen Sie die Konfiguration des AFS-Cache in
/usr/vice/etc/cacheinfo
. - Konfigurieren Sie Ihre Maschine als Kerberos-Client in der Realm TU-CHEMNITZ.DE
Nutzungshinweise
Beachten Sie Hinweise zur Authentifizierung (Beschaffung eines AFS-Tokens).
Sofern das AFS-Token nicht im Rahmen der Anmeldung (PAM-Moduln) beschafft wurde
nutzen Sie dafür das Kommando: klog.krb5 -t
.
AFS-Software für MacOS-X-Systeme
Für den Zugriff auf das AFS-Netzwerk-Dateisystem wird der AuriStor Client verwendet. Die Installation und Konfiguration ist nachfolgend erklärt.
- 1. Download
- 2. Installation
- 3. Einstellungen
- 4. Betrieb
- 5. optionale Einstellungen
- Problembehandlung
1. Download
Laden Sie sich den AuriStor-Client für Ihre Betriebssystemversion hier herunter.
Wenn Ihr Betriebssystem nicht erkannt wurde, klicken Sie bitte auf der Seite auf den Link available installers und wählen Sie Ihr Betriebssystem manuell aus.
2. Installation
- Öffnen Sie das heruntergeladene Image und führen Sie den Installer durch Klick auf Auristor-Lite.pkg bzw. Auristor.pkg aus:
-
Folgen Sie dem Installationsassistenten. Sobald Sie im Schritt AuriStor Cell sind, geben Sie bitte als Zellennamen tu-chemnitz.de an:
Je nach Betriebssystem-Einstellungen müssen Sie ggf. noch die Ausführung der AuriStor-Software erlauben.
Für Geräte mit Apple M1-Chip (ARM-Architektur) muss zuvor die Ausführung von Drittanbieter Systems-Extensions
erlaubt werden. Die Einstellungen dieser Security Policy erfolgt im "Startup Security Utility".
Detaillierte Hinweise entnehmen Sie dem Artikel Installing AuriStorFS clients for macOS 11.0 Big Sur (Schritte 12 bis 22).
3. Einstellungen
AuriStor installiert ein Plug-In in den Systemeinstellungen für Konfiguration und Statusanzeige. Bitte öffnen Sie dieses und treffen Sie folgende Einstellungen:
- Apple → Systemeinstellungen → AuriStor
- [x] AuriStor Menu
- [x] Backgrounder
- [x] Use aklog
Wir empfehlen Ihnen, nach Änderung dieser Einstellungen Ihren Mac neu zu starten.
4. Betrieb und Benutzung
Am oberen Bildschirmrand haben Sie nun ein Symbol für die Steuerung des AuriStor-Clients. Vor dem Zugriff auf das AFS müssen Sie sich über dieses Symbol ein sogenanntes Token beschaffen:
Geben Sie im folgenden Dialog Ihr URZ-Nutzerkennzeichen einschließlich der Endung @TU-CHEMNITZ.DE
und Ihr URZ-Passwort ein:
@TU-CHEMNITZ.DE
in Großbuchstaben an.Wenn AuriStor korrekt läuft und Sie sich angemeldet haben, wird das anschließend über ein kleines Häkchen im AuriStor-Symbol signalisiert:
Sie können nun im Finder über das Laufwerk AFS auf das AFS-Dateisystem zugreifen.
5. optionale Einstellungen
Anzeige des AFS-Verzeichnisbaum auf dem Desktop
- Klick auf den Desktop
- Finder → Einstellungen → Allgemein
- Diese Objekte auf dem Schreibtisch anzeigen:
- [x]
Verbundene Server
- [x]
Einrichtung von Kerberos
Um beim Login die Angabe des Kerberos-Realms (@TU-CHEMNITZ.DE
) hinter Ihrem Nutzerkennzeichen weglassen zu können, können Sie noch unsere Kerberos-Konfiguration installieren:
- Download der Kerberos-Konfiguration edu.mit.Kerberos für den Realm
TU-CHEMNITZ.DE
. - Kopieren der Kerberos-Konfiguration nach
/Library/Preferences/
im Finder.
(Dabei wird ggf. nach einem Administrator-Konto gefragt.)
Problembehandlung
- Stellen Sie sicher, dass die Uhrzeit Ihres Rechners richtig eingestellt ist. Bei Abweichungen kommt es zu Problemen.
- Achten Sie bei der Eingabe Ihrer Login-Daten darauf, Ihr URZ-Nutzerkennzeichen in Kleinbuchstaben und die Endung
@TU-CHEMNITZ.DE
in Großbuchstaben einzugeben. - Sollte die Anmeldung im AuriStor-Client nicht funktionieren, öffnen Sie bitte ein Terminal-Fenster und versuchen Sie die Anmeldung mit folgenden beiden Befehlen:
kinit nutzerkennzeichen@TU-CHEMNITZ.DE
(Wenn keine Fehlermeldung kommt, hat die Anmeldung funktioniert)
aklog - Wenn der Zugang über den AuriStor-Client gar nicht funktioniert, können Sie sich auch im Bereich Alternativer Zugang über weitere Zugangsmöglichkeiten informieren.
Andere Zugriffswege
Neben der Installation des OpenAFS-Clients gibt es eine Reihe weiterer Möglichkeiten, auf die Daten in unserer AFS-Zelle zuzugreifen.
Dabei nutzen Sie den Loginserver login.tu-chemnitz.de
oder einen der
Referenz-Server für den Zugriff auf das AFS-Dateisystem.
Für den Nutzung des Loginserver login.tu-chemnitz.de
ist es erforderlich, das SSH-Login am öffentlichen Loginserver zu aktiviert.
Weitere Informationen finden sie im entsprechenden Blogeintrag des URZ.
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket, dass die Option GSSAPIDelegateCredentials
für den Zugriff
auf das AFS-Dateisystem aktiviert wird.
Web File Manager
Direkter Zugang zu Ihrem HOME-Verzeichnis und anderen Daten über einen Web-Browser. Benutzen Sie diesen Zugang, wenn Sie
- nur gelegentlich Zugriff benötigen
- keine Software auf dem benutzten PC installieren können (z. B. in Internet-Cafés)
- auf Grund von Firewall-Einstellungen nur Web-Zugriffe möglich sind
Secure Copy / Secure FTP (SCP/SFTP)
Gnome-Filemanager nautilus
Der Filemanager nautilus
der Desktopoberfläche Gnome enthält eine Unterstützung für das SFTP-Protokoll.
Starten Sie den dazu den Filemanager mit folgender Option, ersetzen Sie otto
durch ihr eigenes Nutzerkennzeichen:
nautilus sftp://otto@login.tu-chemnitz.de/afs/tu-chemnitz.de
WinSCP
Für Windows-Systeme ist die Installation von WinSCP zu empfehlen. In einer komfortablen Oberfläche können Sie damit
- einzelne Dateien übertragen
- Verzeichnis-Synchronisation durchführen
- allgemeine Operationen mit Dateien ausführen (umbenennen, löschen, Verzeichnisse anlegen, …).
Als entfernte Maschine benutzen Sie bitte login.tu-chemnitz.de
oder einen der Referenz-Server
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket (GSSAPI-Authentifizierung
), dass die Option GSSAPI-Berechtigungsübergabe
in den Erweiterten Einstellungen der Sitzung
→ SSH
→ Authentifizierung
aktiviert wird.
SSHFS für Windows
SSHFS kann als Alternative zum OpenAFS-Client eingesetzt werden. Dabei werden AFS-Verzeichnisse von einem System mit installiertem AFS-Clienten (z. B. login.tu-chemnitz.de
) importiert und unter einem Laufwerk im Explorer zugänglich gemacht.
- winfsp- msi installieren
- sshfs-win- msi installieren
-
net use L: \\sshfs\USER@login.tu-chemnitz.de\VERZEICHNIS
Beispiel Einbindung des Homeverzeichnisses von Nutzer "otto" unter Laufwerk "L" (so "L" noch unbenutzt ist)C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\. Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\. ist ungültig. Geben Sie den Benutzernamen für "sshfs" ein: user Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe) Der Befehl wurde erfolgreich ausgeführt. C:\user\xy> dir L:
Beispiel Einbindung des Projektverzeichnisses per Nutzer "otto" unter Laufwerk "L" (so "L" noch unbenutzt ist)
C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project ist ungültig. Geben Sie den Benutzernamen für "sshfs" ein: user Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe) Der Befehl wurde erfolgreich ausgeführt. C:\user\xy> dir L:
SSHFS für MacOS
SSHFS kann als Alternative zum OpenAFS-Client eingesetzt werden. Dabei werden AFS-Verzeichnisse von einem System mit installiertem AFS-Clienten (z. B. login.tu-chemnitz.de
) importiert.
Downloads und Installationshinweise finden Sie unter: https://github.com/osxfuse/osxfuse/wiki/SSHFS
(Die Option defer_permissions
ignoriert evtl. einschränkende Unix-Berechtigungen, welche für Filesysteme im AFS keine Bedeutung haben.)
- Zum Verbinden Ihres AFS-Homeverzeichnisses führen Sie bitte die folgenden Kommandos in einem
Terminal
aus.
(Ersetzen Sieotto
durch Ihr Nutzerkennzeichen)mkdir -p /tmp/afshome sshfs otto@login.tu-chemnitz.de: /tmp/afshome -o volname=AFS-HOME -o defer_permissions
- Zum Verbinden der AFS-Wurzel für den Zugriff auf z.B. auf Projektverzeichnisse oder Dokumente im Webbereich
führen Sie bitte die folgenden Kommandos in einem
Terminal
aus.
(Ersetzen Sie wiederotto
durch Ihr Nutzerkennzeichen)mkdir -p /tmp/afs sshfs otto@login.tu-chemnitz.de:/afs/tu-chemnitz.de/ /tmp/afs -o volname=AFS -o defer_permissions
Finder
starten- Menüleiste
Finder
→Einstellungen …
- Tab:
Allgemein
- Diese Objekte auf dem Desktop anzeigen:
[x] Verbundene Server
Für die Authentifizierung mittels Kerberos-Ticket (GSSAPI) sind folgenden Anpassungen erforderlich.
- Beschaffen Sie zuerst ein Kerberos-Ticket mit folgendem Kommando in einem
Terminal
.
(Ersetzen Sieotto
durch Ihr Nutzerkennzeichen)kinit otto@TU-CHEMNITZ.DE
Den Erfolg und die Dauer der Gültigkeit des Tickets können Sie mit dem Kommandoklist
prüfen. - Ergänzen Sie das
sshfs
-Kommando für die Unterstützung der GSSAPI-Authentifizierung wie im Beispiel:
(Nutzen Sie den Login-Serverlogin.tu-chemnitz.de
oder einen Referenz-Server für die Verbindung,
ersetzen Sie wiederotto
durch Ihr Nutzerkennzeichen)mkdir -p /tmp/afshome sshfs otto@login.tu-chemnitz.de: /tmp/afshome -o volname=AFS -o defer_permissions -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes
Mountain Duck für MacOS und Windows
Mountain Duck ist ein kostenpflichtiges Werkzeug für die Einbindung von Dateisystemen (AFS-Deiteisystem über SFTP/SSH-Verbindung) in die Dateiexplorer von Windows und MacOS. Die Software steht auch als Evaluierungsversion unter mountainduck.io zum Download bereit.
iYFS für iOS
iYFS ist ein kostenpflichtiger AFS-Dateibrowser (Daten im Netzwerkdateisystem AFS) für Geräte mit iOS-Betriebssystem (iPad, iPhone). Die App wird von AuriStor, Inc. entwickelt und kann über iTunes bezogen werden.