Häufig gestellte Fragen

Authentisierung gegenüber dem Filesystem

• Was ist ein Token?
• Wie lange ist ein Token gültig?
• Wie werden die Token vom System verwaltet?
• Was ist eine PAG?
• Wie kann ich ermitteln, ob meine Token durch eine PAG geschützt werden?

Was ist ein Token?

Ein Token ist einem zeitlich befristetem Ausweis vergleichbar. Es bestätigt einem AFS-Server ihre Identität. Ein Token wird z. B. ausgestellt, wenn Sie sich mit ihrem Nutzerkennzeichen und dem dazugehörigen Passwort an einem URZ-Rechner anmelden.

Wie lange ist ein Token gültig?

Ob Sie im Besitz eines Tokens sind und wie lange es noch gültig ist, können Sie feststellen:

Im Standardfall beträgt die Gültigkeitsdauer etwa 25 Stunden. Danach verfällt das Token und Sie müssen, um weiterhin mit Ihren Daten im AFS arbeiten zu können, ein neues Token beschaffen. I. d. R. erfolgt das Erneuern des Tokens automatisch – zumindest sollten Sie erinnert werden, dass die Gültigkeit des Tokens in Kürze abläuft.

Sie können ein Token auch explizit beschaffen:

Für die meisten Anwendungsfälle ist die Tokenlaufzeit von etwa 25 Stunden völlig ausreichend, insbesondere dann, wenn Sie sie nie länger als diese Zeit angemeldet sind. Natürlich gibt es auch Nutzer, die mit dieser Laufzeit nicht oder nur eingeschränkt arbeiten können. Das System erlaubt eine maximale Tokenlaufzeit von 720 Stunden, also vier Wochen. Wenn Sie begründet an einer längeren Tokenlaufzeit interessiert sind, so wenden Sie sich bitte an unseren Helpdesk: support@… .

Wie werden die Token vom System verwaltet?

Die Token aller an einer Maschine angemeldeten Nutzer werden vom AFS Cache Manager (afsd) verwaltet. Der AFS Cache Manager führt die Kommunikation mit den AFS-Servern und verwaltet den lokalen AFS Cache. Der AFS Cache Manager ordnet die Token den auf der Maschine laufenden Prozessen zu, also z. B. den von Ihnen gestarteten Kommandos und Programmen.

Im Unix/Linux werden für diese Zuordnung zwei verschiedene Verfahren verwendet. Gehört der anfordernde Prozess zu einer Process Authentication Group (PAG) so werden die Token dieser PAG benutzt, andernfalls benutzt der Cache Manager die effektive UNIX-UID des Prozesses, um diesem Prozess seine Token zuzuordnen.

Was ist eine PAG?

Die Abkürzung PAG steht für Process Authentication Group. Eine PAG ist eine Gruppe von Prozessen, die einen gemeinsamen Authentication Context verwenden. Die Verwendung einer PAG erhöht die Sicherheit Ihrer Daten im AFS erheblich. Eine PAG wird während des Login-Vorgangs oder durch das Kommando pagsh erzeugt und immer beim Erzeugen eines neuen Prozesses vererbt. Damit gehören also alle Ihre Prozesse zu dieser PAG und bekommen aufgrund dieser PAG das zugeordnete Token vermittelt. Insbesondere bleiben damit Ihre AFS-Rechte erhalten, selbst wenn Sie mit dem Kommando su Ihre UNIX-Identität verändern. Dasselbe trifft für den Superuser (root) zu. Er kann zwar Ihre UNIX-Identität annehmen, ohne Ihr UNIX-Passwort zu wissen, jedoch kann er, wenn sie gar nicht angemeldet sind, kein Token erlangen, das zu Ihrem AFS-Passwort gehört und er kann, falls Sie angemeldet sind und Ihr Token durch eine PAG schützen, nicht an das Token heran, da er nicht in der Lage ist, Prozesse zu erzeugen, die Kindprozesse Ihrer Login-Shell sind.

Wenn Sie ohne PAG arbeiten, wird das vom Cache Manager verwaltete Token Ihren Prozessen aufgrund der mitgeführten UNIX-UID vermittelt. Diese Methode ist daher nicht viel sicherer als die herkömmlichen UNIX-Rechte, da es dem Superuser immer gelingt, Prozesse zu erzeugen, die Ihre UNIX-UID tragen, am einfachsten durch Verwendung des Kommandos su. Lediglich die Tokenlaufzeit schützt in diesen Fall Ihre Daten. Wenn diese abgelaufen und das Token damit verfallen ist, nützt es auch dem Superuser nichts mehr, dass er Ihre UNIX-Identität annehmen kann, da es kein gültiges Token mehr zum Zugriff auf Ihre Daten im AFS gibt.

Wie kann ich ermitteln, ob meine Token durch eine PAG geschützt werden?

Eine PAG wird benannt durch eine Nummer. Diese wird auf eine oder zwei Group-IDs (GIDs) abgebildet. Zu welcher PAG ein Prozess gehört, erkennt man an der Zugehörigkeit zu einer oder zwei nicht benannten Gruppen. Auskunft darüber gibt das Kommando id.

% id
uid=1234(otto) gid=1000(user) Gruppen=1000(user),1103989370

% id
uid=1234(otto) gid=1000(user) Gruppen=33846,36693,1000(user)
%

Seit dem Linux-Kernel 2.6 werden PAGs über den Session Keyring realisiert. Sie erkennen die PAG dann beim Kommando keyctl show.

% keyctl show
Session Keyring
       -3 --alswrv      0  1000  keyring: _ses.29115
    12564 ----s--v      0     0   \_ afs_pag: _pag

Benutzung von AFS

• In dieser FAQ sind eine Reihe von AFS-Kommandos angegeben. Woher weiß ich, welche Kommandos es überhaupt gibt und wie erfahre ich, wie sie zu benutzen sind?
• Gibt es außer den Kommandos auch andere Werkzeuge, um die hier beschriebenen Aktionen auszuführen?
• Können beliebige Zeichen (also auch Umlaute, Sonderzeichen oder ähnliche) in Datei- oder Verzeichnisnamen verwendet werden?
• Was sind AFS-Gruppen?
• Wie lege ich eine AFS-Gruppe an?
• Wer ist Mitglied meiner Gruppen und ich welchen Gruppen bin ich selbst Mitglied?
• Welche AFS-Gruppen gibt es standardmäßig?
• Was ist eine ACL?
• Welche AFS-Zugriffsrechte gibt es?
• Wer darf die ACL eines Verzeichnisses ändern?
• Welche Bedeutung haben die UNIX-Zugriffsrechte?
• Welche Rechte erhalten neu eingerichtete Verzeichnisse?
• Haben die im UNIX üblichen setuid/setgid-Bits im AFS noch eine Bedeutung und macht ihre Vergabe Sinn?
• Ich bin als root an meiner Unix-/Linux-Maschine angemeldet, kann aber trotzdem das Kommando chown für Files im AFS nicht ausführen. Woran liegt das?
• Wie ändere ich die AFS-Zugriffsrechte in einem gesamten Verzeichnisbaum?
• Wie setze ich die Zugriffsrechte für ein einzelnes File?
• Wie viele ACLs kann ich je Verzeichnis vergeben?
• Wie viele Dateien können in einem Verzeichnis gespeichert werden?

In dieser FAQ sind eine Reihe von AFS-Kommandos angegeben. Woher weiß ich, welche Kommandos es überhaupt gibt und wie erfahre ich, wie sie zu benutzen sind? △

Eine vollständige Liste aller Kommandos ist im Reference Manual zu finden.

Die meisten AFS-Kommandos „verstehen“ das Subkommando help. Damit erhalten Sie eine Liste der Subkommandos und einen Überblick über die jeweilige Funktionalität.

$ pts help
pts help
pts: Commands are:
adduser         add a user to a group
apropos         search by help text
chown           change ownership of a group
creategroup     create a new group
createuser      create a new user
delete          delete a user or group from database
examine         examine an entry
help            get help on commands
listentries     list users/groups in the protection database
listmax         list max id
listowned       list groups owned by an entry or zero id gets orphaned groups
membership      list membership of a user or group
removeuser      remove a user from a group
rename          rename user or group
setfields       set fields for an entry
setmax          set max id

Zu jedem Subkommando kann man dann wiederum die Option -help angeben, um die genaue Syntax zu erfahren.

$ pts creategroup -help
Usage: pts creategroup -name <group name>+ [-owner <owner of the group>] [-id <id (negated) for the group>+] [-cell <cell name>] [-noauth] [-force] [-help]

Gibt es außer den Kommandos auch andere Werkzeuge, um die hier beschriebenen Aktionen auszuführen? △

Der Web File Manager enthält die meisten der hier beschriebenen Funktionen. Darüber hinaus können Sie AFS-Gruppen mit einer speziellen Web-Schnittstelle Verwaltung von AFS-Gruppen verwalten.

OpenAFS für Windows führt ein Kontext-Menü in den Explorer ein (rechte Maustaste -> AFS), damit lassen sich ebenfalls zahlreiche Aktionen für Files im AFS ausführen.

Können beliebige Zeichen (also auch Umlaute, Sonderzeichen oder ähnliche) in Datei- oder Verzeichnisnamen verwendet werden? △

Die Zeichen eines Dateinamens werden nach einer bestimmten Vorschrift kodiert. Dabei haben das Betriebssystem, das File-System und ggf. sogar das Anwendungsprogramm, mit dem die Datei erzeugt wird, Einfluss auf die Art der Kodierung.

Für die Zeichen des ASCII-Zeichensatzes (dazu gehören die 26 Buchstaben des lateinischen Alphabets – jeweils als Groß- und Kleinbuchstabe – die Ziffern, sowie einige Sonderzeichen z. B. der Unterstrich, das Minus, das Leerzeichen u. a.) ist die Kodierung in allen üblichen Kodierungsvorschriften gleich.

Wenn Sie also nur ASCII-Zeichen für Dateinamen benutzen, werden Sie in allen Umgebungen problemlos auf Ihre Dateien zugreifen können.

Seit OpenAFS for Windows 1.5.50 wird auch dort der Standard UTF-8 für die Kodierung von Dateinamen benutzt, sodass Dateinamen mit Umlauten o. ä. Zeichen keine Probleme mehr darstellen.

Trotzdem sollten Sie beachten: Sonderzeichen (z. B. das Leerzeichen, der Punkt usw.) besitzen oftmals eine Sonderbedeutung und sollten deshalb – obwohl sie zum ASCII-Zeichensatz gehören – nicht in Dateinamen verwendet werden.

Was sind AFS-Gruppen? △

Eine AFS-Gruppe ist eine Liste von AFS-Nutzern. AFS-Gruppen haben Namen, die gewöhnlich so aussehen:

owner:group

wobei owner das Nutzerkennzeichen des Eigentümers der Gruppe und group ein frei wählbarer Name ist. Standardmäßig ist nur der Eigentümer der Gruppe berechtigt, die Mitglieder der Gruppe zu definieren. AFS-Gruppen werden für die Vergabe von Zugriffsberechtigungen verwendet. Jeder AFS-Nutzer kann standardmäßig bis zu 20 eigene AFS-Gruppen verwalten.

Wie lege ich eine AFS-Gruppe an? △

Zum Erzeugen einer Gruppe dient das Kommando pts creategroup. Nachdem die Gruppe erzeugt wurde, können Sie mit pts adduser Nutzer in die Gruppe aufnehmen und später ggf. mit pts removeuser wieder aus der Gruppe streichen.

$ pts creategroup otto:friends
group otto:friends has id -283
$ pts adduser -user otilie max -group otto:friends

Wer ist Mitglied meiner Gruppen und ich welchen Gruppen bin ich selbst Mitglied? △

Mit dem Kommando pts membership können Sie ermitteln, wer zu einer Gruppe gehört bzw. zu welchen Gruppen Sie selbst gehören:

$ pts membership otto:friends
Members of otto:friends (id: -283) are:
  otilie
  max
$ pts membership otto
Groups otto (id: 1234) is a member of:
  max:friends
  otilie:freunde

Welche AFS-Gruppen gibt es standardmäßig? △

In jeder AFS-Zelle gibt es die folgenden Gruppen

system:anyuser

Jeder Nutzer, der Zugang zu einem AFS-Klient hat in jeder Zelle. Mit dem Platzieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff zu den betreffenden Files, einzige Voraussetzung ist der Zugang zu einem AFS-Klient.

system:authuser

Jeder Nutzer, der Zugang zu einem AFS-Klient hat und sich ein Token für die eigene Zelle verschafft hat. Mit dem Platzieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff, der jedoch eingeschränkt auf die Nutzer in der eigenen Zelle ist.

system:administrators

Nutzer mit speziellen Privilegien für das Ausführen bestimmter (aber nicht aller) administrativen Kommandos.

system:ptsviewers

Nutzer mit dem Privileg, alle Einträge in der AFS-Gruppen-Datenbasis (Protection Database) einzusehen.

Neben diesen Standard-Gruppen gibt es in unserer Zelle einige weitere Gruppen, die eine bestimmte Bedeutung besitzen:

chemnitz

Jeder Nutzer, der Zugang zu einem AFS-Klient hat an einer Maschine mit einer IP-Adresse aus unserem Campusnetz. Mit dem Platzieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff zu den betreffenden Files, einzige Voraussetzung ist der Zugang zu einem AFS-Klient auf einer Maschine in unserem Campusnetz.

ip:www-user

Jeder Nutzer, der Programme auf den WWW-User-Servern der Universität ausführen kann. Siehe auch Zugriffsschutz auf WWW-Dokumente im AFS-Dateisystem.

Was ist eine ACL? △

ACL steht für Access Control List. Im AFS gibt es für jedes Verzeichnis eine ACL. Darin sind die Zugriffsberechtigungen zu den Files des Verzeichnisses beschrieben. ACLs beschreiben also immer die Zugriffsberechtigungen auf Verzeichnisebene und nicht auf Fileebene. Eine ACL besteht aus maximal 20 Einträgen, wobei ein Eintrag die Rechte eines Nutzers oder einer Gruppe angibt. Eine ACL wird angezeigt mit dem Kommando fs listacl.

$ fs listacl ~/PUBLIC
fs listacl ~/PUBLIC
Access list for /afs/tu-chemnitz.de/home/urz/o/otto/PUBLIC is
Normal rights:
  system:anyuser rl
  otto rlidwka

Diese ACL gibt an, dass der Nutzer otto alle Zugriffsrechte (rlidwka) für das Verzeichnis ~/PUBLIC besitzt, während alle anderen Nutzer (system:anyuser), Files in diesem Verzeichnis nur lesen (rl) können.

Welche AFS-Zugriffsrechte gibt es? △

Im AFS gibt es sieben verschiedene Zugriffsrechte. Wenn eines der Rechte in einem Eintrag der ACL angegeben ist, bedeutet das, dass dem im Eintrag angegebenen Nutzer bzw. der angegebenen Gruppe dieses Recht gewährt wird.

Die ACL's werden mit dem Kommando fs setacl verändert. Dieses Kommando kennt folgende Kürzel für häufig verwendete Kombinationen von Zugriffsrechten.

$ fs setacl -dir ~/aufgaben -acl max:friends none otto:friends write

Wer darf die ACL eines Verzeichnisses ändern? △

Es gibt mehrere Bedingungen unter denen die Änderung der ACL eines Verzeichnisses möglich ist:

1. Ein Nutzer selbst oder eine Gruppe, deren Mitglied er ist, hat laut ACL des Verzeichnisses das Recht a.
2. Der Nutzer ist UNIX-Eigentümer des Verzeichnisses (wie beim Kommando ls -ld angezeigt).
3. Der Nutzer oder eine Gruppe, deren Mitglied er ist, ist als Eigentümer des AFS-Volumes eingetragen (UNIX-Eigentümer des Wurzelverzeichnisses eines Volumes).

Welche Bedeutung haben die UNIX-Zugriffsrechte? △

Die UNIX-Zugriffsrechte für group und others werden von AFS ignoriert, sie haben keine Bedeutung. Die Rechte des Eigentümers (owner) werden wie folgt interpretiert:

Welche Rechte erhalten neu eingerichtete Verzeichnisse? △

Wenn Sie ein neues Verzeichnis einrichten, Archive auspacken oder ähnliche Aktionen durchführen, bei denen Verzeichnisse entstehen, werden automatisch die ACL-Einträge des übergeordneten Verzeichnisses übernommen.

Sie müssen also beachten, wenn Sie die ACL Ihres HOME-Verzeichnisses verändern, dass die so geänderte ACL dann auf jedes anschließend erzeugte Verzeichnis in Ihrem HOME-Verzeichnis übernommen wird.

Haben die im UNIX üblichen setuid/setgid-Bits im AFS noch eine Bedeutung und macht ihre Vergabe Sinn? △

Die Bedeutung dieser Bits wurde nicht geändert, ob sie eine Wirkung haben, kann man mit dem Kommando fs setcell festlegen, standardmäßig werden diese Bits bei Files aus der eigenen Zelle ausgewertet und bei fremden Zellen ignoriert.

Die Zugriffsschutzmechanismen des AFS machen die Verwendung dieser Bits für die meisten Fälle obsolet. Im UNIX werden die Bits benutzt, um bestimmte Zugriffsprivilegien an den Aufrufer des Programms zu vermitteln. Im AFS ist das in den allermeisten Fällen nicht nötig, weil die ACL's ohnehin sehr fein eingestellte Zugriffsrechte ermöglichen.

Ich bin als root an meiner Unix-/Linux-Maschine angemeldet, kann aber trotzdem das Kommando chown für Files im AFS nicht ausführen. Woran liegt das? △

Der Nutzer root hat im AFS keinerlei Privilegien. Zwar erfordern die meisten Unix-Systeme die Privilegien von root für das Ausführen von chown, im AFS reicht das aber nicht aus.

Diese Einschränkung ist notwendig, weil sonst das Erlangen von root Privilegien auf einer AFS-Klient-Maschine in einer Zelle ausreichen würde, um auf allen AFS-Klient-Maschinen der Zelle root Privilegien zu erlangen. Dazu müsste man nur ein Programm ins AFS kopieren und anschließend mit chown und chmod für dieses File root als Eigentümer eintragen und das Setuid-Bit setzen. Anschließend könnte man dieses Programm auf allen Maschinen der AFS-Zelle mit root Privilegien ausführen.

Damit so etwas nicht möglich ist, ist die Operation chown im AFS nur den Mitgliedern der Gruppe system:administrators erlaubt.

Wie ändere ich die AFS-Zugriffsrechte in einem gesamten Verzeichnisbaum? △

Mit dem Kommando fs setacl lassen sich nur die Rechte der Verzeichnisse ändern, die mit der Option -dir angegeben wurden. Möchte man die Rechte in einem gesamten Verzeichnisbaum ändern, so reicht das nicht aus. Das Kommando fsr sa ist ein Script, welches das Kommando fs setacl rekursiv für einen (oder mehrere) Verzeichnisbäume aufrufen kann. Die Optionen des Kommandos fsr sa entsprechen denen des Kommandos fs setacl.

$ fsr sa -dir ~/aufgaben -acl max:friends read system:anyuser none

Wie setze ich die Zugriffsrechte für ein einzelnes File? △

Prinzipiell gestattet AFS das Definieren von ACL's nur für Verzeichnisse. Möchte man für ein einzelnes File jedoch andere Zugriffsrechte festlegen, so muss man dieses File in einem anderen Verzeichnis unterbringen (für das man dann die Rechte entsprechend setzen kann) und anschließend einen symbolischen Link auf dieses File im neuen Verzeichnis setzen.

Wie viele ACLs kann ich je Verzeichnis vergeben? △

Die maximale Anzahl von Zugriffsberechtigungen ist auf 20 ACLs je Verzeichnis beschränkt. Tipp: Verwenden Sie für die Vergabe von Berechtigungen AFS-Gruppen.

Wie viele Dateien können in einem Verzeichnis gespeichert werden? △

AFS unterstützt bis zu 64000 Dateien in einem Verzeichnis, wenn die Dateinamen 15 Byte nicht überschreiten. Die tatsächliche Anzahl von Dateien je Verzeichnis ist von der Länge der Dateinamen abhängig. Unter normalen Bedingungen liegt die Anzahl bei 16000 bis 25000 Dateien je Verzeichnis.

Lokale Besonderheiten unserer AFS-Zelle

• Welche CellServDB-Server sind aktuell?
• Worin unterscheiden sich /afs/tu-chemnitz.de und /afs/.tu-chemnitz.de?
• Wann kann ich /afs/tucz und wann sollte ich /afs/tu-chemnitz.de verwenden?
• Wozu dienen die verschiedenen Verzeichnisse in meinem HOME-Verzeichnis?
• Beim Speichern in ein Projektverzeichnis erhalte ich die Fehlermeldung Datenträger voll.
• Warum kann ich mit ftp keine Files in meinem HOME-Verzeichnis ablegen bzw. an welchen Rechnern kann ich das tun?
• Wie wirken die AFS-Zugriffsrechte mit der Zugriffskontrolle unseres WWW-Servers zusammen?
• Wie arbeitet ssh mit AFS zusammen?

Welche CellServDB-Server sind aktuell? △

Im Mai 2010 wurde ein neuer CellServDB-Server eingeführt, um die Ablösung eines alten Systems vorzubereiten. Dessen endgültige Abschaltung erfolgt am 01.10.2012. Spätestens zu diesem Zeitpunkt müssen Sie kontrolliert haben, dass die Installation auf Ihrem System exakt die folgenden Einträge für unsere Zelle enthält:

>tu-chemnitz.de       # Technische Universitaet Chemnitz, Germany
134.109.2.1                #zuse.hrz.tu-chemnitz.de
134.109.2.2                #andrew.hrz.tu-chemnitz.de
134.109.2.15               #phoenix.hrz.tu-chemnitz.de

Diese Einstellungen sind enthalten in einer Datei mit dem Namen CellServDB. Wenn der AFS-Client in Ihrem System installiert ist, dann muss es diese Datei geben. Die folgende Tabelle gibt an, wo Sie diese Datei in Ihrem System finden:

Korrigieren Sie ggf. diese Einträge und starten Sie anschließend den AFS-Client neu - insbesondere müssen Sie diese Zeile entfernen, falls Sie existiert:

134.109.200.7              #aetius.hrz.tu-chemnitz.de

Worin unterscheiden sich /afs/tu-chemnitz.de und /afs/.tu-chemnitz.de? △

Im AFS wird zwischen read/write und read-only Filekopien unterschieden. Wenn es von Files sowohl read/write als auch read-only Versionen gibt, dann werden über den Pfad /afs/tu-chemnitz.de i.d.R. die read-only Versionen erreicht, während über den Pfad /afs/.tu-chemnitz.de das Benutzen der read/write Kopien erzwungen wird. Gibt es von Verzeichnisshierarchien nur read/write Kopien, dann werden diese auch über den Pfad /afs/tu-chemnitz.de erreicht. Daher ist es sinnvoll, immer über den Pfad /afs/tu-chemnitz.de zuzugreifen. Damit sichert man, dass solange es möglich ist, über read-only Kopien gearbeitet wird. Solche read-only Kopien existieren gleichzeitig auf mehreren Platten verschiedener Fileserver, sodass der AFS Cache Manager beim Ausfall einer der Kopien auf eine andere umschalten kann. Der Zugriff über den read/write Pfad sollte nur benutzt werden, wenn Files modifiziert werden sollen, für die es eine read-only Kopie gibt.

Unter Windows sollte zur Vermeidung von Problemen beim Zugriff auf Projektverzeichnisse allerdings der explizite RW-Pfad \\afs\.tu-chemnitz.de\project bzw. auf Rechnern in den Diensten W7SELFADM und W10SELFADM der Laufwerksbuchstaben S: genutzt werden. Die Datensicherung der Projektverzeichnisse erreichen Sie unter Windows dagegen über die "normalen" Pfade \\afs\tu-chemnitz.de\project\YESTERDAY und \\afs\tu-chemnitz.de\project\LAST_WEEK.

Wann kann ich /afs/tucz und wann sollte ich /afs/tu-chemnitz.de verwenden? △

Der Name /afs/tucz ist ein symbolischer Link auf /afs/tu-chemnitz.de, also ein Alias-Name. Man kann diesen Namen bei der interaktiven Arbeit verwenden, weil das Verfolgen eines symbolischen Links schneller geht als das Eintippen des vollen Namens. In Programmen und Skripten sollte dagegen immer der volle Name /afs/tu-chemnitz.de angegeben werden. Das gilt insbesondere dann, wenn die Programme auch auf Maschinen in anderen Zellen benutzt werden sollen, dort gibt es nämlich den Namen /afs/tucz mit großer Sicherheit nicht.

Wozu dienen die verschiedenen Verzeichnisse in meinem HOME-Verzeichnis?

Bitte lesen Sie auf der Seite HOME-Verzeichnisse nach.

Beim Speichern in ein Projektverzeichnis erhalte ich die Fehlermeldung Datenträger voll. △

Der Windows Explorer sowie verschiedene Dateidialoge von Anwendungen erkennen den freien Speicherplatz einzelner Volumes (z. B. Projektverzeichnisse) nicht korrekt und liefern eine Fehlermeldungen.

Als Workaround können Sie einen weiteren Laufwerksbuchstaben (z. B. S:) direkt mit dem Projektverzeichnis verbinden.
Führen Sie dazu folgendes Kommando in einer Eingabeaufforderung aus:

net use s: \\afs\.tu-chemnitz.de\project

Wenn Sie über diesen Laufwerksbuchstaben (im Beispiel S:) auf Ihr Projekt zugreifen, sollte dieser Fehler nicht mehr auftreten.

Warum kann ich mit ftp keine Files in meinem HOME-Verzeichnis ablegen bzw. an welchen Rechnern kann ich das tun? △

Der einzige Vorteil von FTP ist dessen Verbreitung. Ein FTP-Client gehört zum Standardumfang aller gängigen Betriebssysteme. Jedoch sollte er nur benutzt werden, um auf freie FTP-Archive zuzugreifen, bei denen kein Login erforderlich ist, bei dem ein Passwort übertragen werden muss. Bei FTP erfolgt die Datenübertragung im Klartext!

Benutzen Sie anstelle von FTP das einfach zu handhabende Tool WinSCP (Download: http://winscp.net/ ). Es lohnt sich, die geringe Mühe für die Installation in Kauf zu nehmen (die Software ist frei verfügbar).

Linux-Nutzer verwenden anstelle von ftp besser sftp oder scp.

Wie wirken die AFS-Zugriffsrechte mit der Zugriffskontrolle unseres WWW-Servers zusammen? △

Eine Darstellung der Zusammenhänge finden Sie unter Zugriffsschutz auf Webdokumente im AFS-Dateisystem.

Wie arbeitet ssh mit AFS zusammen?

Dazu finden Sie Hinweise auf der Seite SSH im URZ der TU Chemnitz.

Fehlernachrichten und deren Bedeutung

Was bedeutet eigentlich …?

• ... afs: clocks are badly skewed ... ?
• ... afs: setting clock ... ?
• ... afs: Lost contact with ... ?
• ... AFS is still starting! Retry?
• ... Unable to ... because a pioctl failed. ?
• Nicht genügend Speicherplatz vorhanden - trotz ausreichender Quota

… afs: clocks are badly skewed …?

Die korrekte Funktionsweise von AFS ist in starkem Maße davon abhängig, dass die Systemuhren der beteiligten Maschinen möglichst synchron laufen. Sie müssen dafür sorgen, dass Zeiteinstellung Ihres System korrekt ist, dabei kommt es nicht nur auf Datum und Uhrzeit sondern auch auch die eingestellte Zeitzone an.

… afs: setting clock …?

Die korrekte Funktionsweise von AFS ist in starkem Maße davon abhängig, dass die Systemuhren der beteiligten Maschinen möglichst synchron laufen. Diese Meldung erscheint nur, wenn der AFS Cache Manager (afsd) mit der Option -settime gestartet wurde. Dann wählt der AFS Cache Manager einen der bereits kontaktierten Fileserver aus, und beginnt die Systemuhr entsprechend der Zeit des Fileservers zu korrigieren. Werden dabei Abweichungen festgestellt, schreibt der Cache Manager Meldungen der Art

afs: setting clock ahead 2 seconds (via 134.109.228.97 in cell tu-chemnitz.de).

nach /dev/console.

Wenn auf der Maschine bereits eine andere Art der Zeitsynchronisation (z. B. das Protokoll NTP) benutzt, dann kann der Administrator beim Start des AFS Cache Managers afsd auf die Angabe der Option -settime verzichten, und so verhindern, dass sich der Cache Manager um die Zeitsyncronisation kümmert.

… afs: Lost contact with …?

Meldungen der Art

afs: Lost contact with file server 134.109.228.97 in cell tu-chemnitz.de
(multi-homed address; other same-host interfaces maybe up)

oder

afs: Lost contact with file server 134.109.228.98 in cell tu-chemnitz.de
(all multi-homed ip addresses down for the server)

stammen vom AFS Cache Manager. Damit wird angezeigt, dass der Cache Manager den Fileserver an der angegebenen IP-Adresse nicht mehr erreichen kann. Die Ursachen für solche Probleme können sehr vielfältig sein. Oft liegt die Ursache gar nicht im AFS begründet, sondern ist auf ein Problem zurückzuführen, das die Funktionsweise des Cache Managers beeinträchtigt und von diesem berichtet wird. In Frage kommen z.B.

• Ausfall einer Netzkomponente (z. B. Router) oder sonstige Störungen im Netz
• Stromausfall
• ein Fehler am Fileserver ist aufgetreten

Sollten Sie solche Meldungen bemerken, können Sie häufig selbst durch einige Überprüfungen feststellen, ob es sich tatsächlich um ein Problem der AFS-Server handelt:

• können Sie andere Netzdienste ihrer Maschine benutzen?
• erreichen Sie andere Maschinen im gleichen Subnetz? in anderen Subnetzen des Campusnetzes?
• tritt an anderen Maschinen das Problem auch auf?

… AFS is still starting! Retry?

Diese Meldung erscheint an Windows-Systemen, wenn man unmittelbar nach dem Booten versucht sich anzumelden. Sie können entweder mehrfach versuchen, das Wiederholen des Anmelde-Vorgangs zu veranlassen, indem Sie den Knopf "Retry" drücken. Oder Sie warten nach dem Booten einige Zeit (ca. 1-2 Minuten), bevor Sie den Anmeldeprozess durch Drücken der Tasten Strg+Alt+Entf beginnen. Wir empfehlen die letztere Variante.

… Unable to … because a pioctl failed?

Diese Meldung erscheint an Linux/Unix-Systemen, wenn man ein AFS-Kommando aufruft, aber der AFS-Kernelmodul nicht geladen ist. Laden Sie den Kernel-Modul (i.d.R. durch Starten des Dienstes afs) und achten Sie dabei auf Fehlermeldungen. Eine Ursache für den Misserfolg beim Laden des Kernelmoduls könnte sein, dass Sie nach einem Kernel-Update das Update des Pakets mit dem OpenAFS-Kernelmodul versäumt haben.

Nicht genügend Speicherplatz vorhanden – trotz ausreichender Quota

Der Windows Explorer erkennt den freien Speicherplatz nicht korrekt und liefert beim Kopieren von Daten die Fehlermeldungen "nicht genügend Speicherplatz vorhanden".

Als Workaround könne Sie eine weiteren Laufwerksbuchstaben (z. B. S:) direkt mit dem Projektverzeichnis verbinden. Führen Sie dazu folgendes Kommando in einer Eingabeaufforderung aus:

net use s: \\afs\.tu-chemnitz.de\project

Wenn Sie über diesen Laufwerksbuchstaben (im Beispiel S:) auf Ihr Projektverzeichnis zugreifen, sollte dieser Fehler nicht mehr auftreten.