An dieser Stelle werden Empfehlungen zur Nutzung von SSH-Keys angegeben.

SSH-Keys generieren

Mittlerweile gelten viele Algorithmen zur Schlüsselerstellung so z.B. RSA mit geringer Schlüssellänge oder DSA als unsicher. Der sicherste Algorithmus der heutzutage zur Genernierung von SSH-Keys verfügbar ist, ist ED25519. Das RRZE emfphielt die Nutzung dieses Algorithmus zur SSH-Key Generierung:

bash$ ssh-keygen -t ed25519 
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/username/.ssh/id_ed25519): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/username/.ssh/id_ed25519.
Your public key has been saved in /home/username/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:S7/10UOXix32PxaQq2PcH7o2lPzgtbdmnZ7UgWHrpY4 user@host
The key's randomart image is:
+--[ED25519 256]--+
|                 |
|                 |
|             o.  |
|            .o+ .|
|        S   .o+B.|
|       . o  .*B+B|
|        . o *+*=O|
|           Bo*.%*|
|          oEo+X+*|
+----[SHA256]-----+

Standardmäßig wird das Schlüsselpaar im .ssh Verzeichnis des Homes angelegt. Es sollte immer ein sicheres Passphrase (Kennwort) für einen Schlüssel angegeben werden. So kann sichergestellt werden, dass ein Angreifer den privaten Schlüssel nicht ohne das Kennwort nutzen kann. Der öffentliche Schlüssel wird an gleicher Stelle mit der Endung .pub angelegt.

SSH-Keys nutzen

Damit die Authentifizierung mittels SSH-Keys genutzt werden kann, muss der öffentliche Schlüssel auf dem gewünschten Host mittels ssh-copy-id kopiert werden.

bash$ ssh-copy-id user@host
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
Password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@host'"
and check to make sure that only the key(s) you wanted were added.

Für RRZE-Betreute Systeme können RRZE-Mitarbeiter SSH-Keys mittels einer SSH-Key Verwaltung im IdM Portal einpflegen. Diese Keys können dann auf Servern die am RRZE-Saltstack angebunden sind genutzt werden. Vorraussetzung hierfür ist allerdings dass keine NFS-Homes auf den jeweiligen Server benötigt werden.

Diese Anleitung beschreibt wie auf Linux-Server am RRZE zugegriffen werden kann, welche Möglichkeiten der Authentifizierung genutzt werden können und wie root Rechte erlangt werden können.

Zugriff per SSH

Auf jeden Server der durch das RRZE gewartet wird läuft ein SSH-Daemon, hiermit ist SSH der vorgezogene Weg um eine Konsole auf einem Server zu öffnen. Prinzipiell ist der Zugriff mittels berechtigter IdM-Hauptkennung aus allen Uni-Netzen / VPN möglich.
Ausnahme sind Dialog-Server die Weltweit erreichbar sind. Bei Kunden-Servern können noch einzelne externe IPs freigeschaltet werden.

Welche Möglichkeiten zur Authentifizierung gibt es?

Neben der Authentifizierung mit Passwort/OTP ist in einigen Konstellationen auch eine SSH-Key basierte Authentifizierung möglich.
Was hierzu beachtet werden muss und wie OTP-Devices/SSH-Keys verwaltet werden können wird im folgenden Abschnitt erläutert.

LDAP mit NFSv4 Homes (Netapp)

In dieser Konstellation kann nur eine Passwort-basierte Authentifizierung mit optionalen 2-Faktor genutzt werden, da für das Mounten der Homes ein Kerberos-Ticket notwendig ist und hierfür eine Passwort-Eingabe gebraucht wird.
Root Rechte können mit sudo mittels der IdM-Hauptkennung erlangt werden, hierzu ist noch ein 2-Faktor notwendig.
OTP Tokens für einen 2 Faktor können an dieser Stelle verwaltet werden.

Zusammenfassung – LDAP mit NFSv4 Homes

LDAP mit lokalen Homes

Hier kann neben der Passwort-basierten Authentifizierung auch eine Authentifizierung mit SSH-Keys erfolgen.
Root Rechte können wie im vorherigen Fall erlangt werden.
SSH-Keys können an dieser Stelle im IdM-Portal verwaltet werden.

Zusammenfassung – LDAP mit lokalen Homes

Lokale Authentifizierung mit lokalen Homes

Falls aus triftigen Gründen keine Abhängigkeit zu KDC oder LDAP gewünscht wird, kann auch eine lokale Authentifizierung eingerichtet werden.

Aktuell

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Aktuell

Zukünftig

Aus Sicherheitsgründen gibt es zukünftig in diesem Fall nur die Möglichkeit eine SSH-Key basierte Authentifizierung durchzuführen.

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Zukünftig

Welche Methoden kann ich für meinen Server nutzen?

Um eine Antwort auf diese Frage zu erhalten ist das Anmelden am Server notwendig. Danach kann ein Skript ausgeführt werden, welches die Möglichkeiten auflistet.

bash$ check_rrze_auth

Das RRZE bietet für alle Mitglieder der FAU ein kostenloses Home als Netzlaufwerk an.

Voraussetzung zur Nutzung des RRZE Linux Homes ist eine gültige IdM-Kennung.
Außerdem kann das Home nur per NFS und mit krb5p verschlüsselt eingebunden werden.
Aktuell gelten folgende Standard-Quotas:

Informationen bezüglich einer Quotaerweiterung erhalten Sie auf unserer Homepage unter Preise & Kosten.

Hinweise zur Fehlerbehebung bei überschrittenem Quota finden Sie am Ende der Seite.

Im Folgenden wird beschrieben, wie Sie dieses Home zur Nutzung auf Ihren Systemen einrichten können.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Kerberos

Voraussetzung zur Nutzung des RRZE Linux Home-Laufwerks ist eine funktionierende Anbindung an die Kerberos Infrastruktur des RRZE.
Siehe Anbindung an die Kerberos-Infrastruktur des RRZE

Pakete

Folgende Pakete für Ubuntu 18.04 müssen installiert werden:

bash$ sudo apt-get install nfs-common

Konfiguration

Ab Ubuntu 18.04 ist keine weitere Konfiguration erforderlich.
Stellen Sie jedoch sicher, dass die Datei /etc/krb5.keytab vorhanden und der rpc-gssd gestartet ist:

# Keytab prüfen
bash$ ls -alh /etc/krb5.keytab 
-rw------- 1 root root 1,1K Mai 21 2019 /etc/krb5.keytab

# rpc-gssd Status abfragen
bash$ sudo systemctl status rpc-gssd
● rpc-gssd.service - RPC security service for NFS client and server
Loaded: loaded (/lib/systemd/system/rpc-gssd.service; static; vendor preset: enabled)
Active: active (running) since Fri 2020-11-20 08:08:35 CET; 1 months 28 days ago
Main PID: 739 (rpc.gssd)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/rpc-gssd.service
└─739 /usr/sbin/rpc.gssd

Nov 20 08:08:35 systemd[1]: Starting RPC security service for NFS client and server...
Nov 20 08:08:35 systemd[1]: Started RPC security service for NFS client and server.

# ggf den rpc-gssd starten, falls er nicht schon läuft oder oder neu starten, falls es 
# zu Problemen kommen sollte 
bash$ sudo systemctl restart rpc-gssd

Einbinden und Nutzen

Das eigentliche Einbinden des RRZE Linux Homes erfolgt dann mit folgendem Befehl (hier nur auf einem Test-Mount):

bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test

Bedenken Sie, dass für den eigentlichen Zugriff ein gültiges Kerberos Ticket benötigt wird.
Falls Sie also bisher als root angemeldet waren sollten Sie sich jetzt als normaler Benutzer anmelden. Stellen Sie dann sicher, dass Sie über ein gültiges Kerberos Ticket verfügen (kinit/klist) und testen Sie den Mount indem Sie in ihr RRZE Linux Home wechseln:

bash$ cd /mnt/test/$USERNAME

Nach erfolgreichem Test kann der Unmount dann wieder als root erfolgen.

Für den Produktivbetrieb empfiehlt sich der Einsatz von AutoFS, zum automatischen Einhängen des RRZE Linux Home Laufwerks bei Bedarf bzw. automatischem Wiederherstellen des Laufwerks bei Verbindungsabbrüchen.

Bitte beachten Sie dazu die entsprechende Dokumentation des RRZE bezüglich AutoFS.

Fehlersuche und -behebung

Sollte das Einbinden des RRZE Linux Homes nicht funktionieren können Sie zunächst folgende Liste zur Fehlersuche durchgehen, um zu versuchen, das Problem zu beheben oder zumindest einzugrenzen.

1. Erreichbarkeit testen

Stellen Sie sicher, dass Sie unseren Fileserver unter rrzenfs4.rrze.uni-erlangen.de erreichen können und keine Firewall den Zugriff blockiert:

bash$ ping -w3 rrzenfs4.rrze.uni-erlangen.de
PING rrzenfs4.rrze.uni-erlangen.de (131.188.12.87) 56(84) bytes of data.
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=1 ttl=61 time=0.239 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=2 ttl=61 time=0.606 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=3 ttl=61 time=0.613 ms

--- rrzenfs4.rrze.uni-erlangen.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2034ms
rtt min/avg/max/mdev = 0.239/0.486/0.613/0.174 ms

2. Kerberos Konfiguration prüfen

Stellen Sie sicher, dass Sie mit kinit ein gültiges Kerberos Ticket erhalten können und der NFS-Principal für Ihren Client installiert ist.
Dafür können Sie die folgenden zwei Tests durchführen und prüfen, ob die Ausgabe – jeweils für Ihren Benutzernamen/Hostnamen – korrekt ist:

# Test des Ticketabrufs
bash$ kinit
Password for [USERNAME]@LINUX.FAU.DE: 
bash$ klist
Ticket cache: FILE:/tmp/krb5cc_XXXXX
Default principal: [USERNAME]@LINUX.FAU.DE

Valid starting Expires Service principal
18.01.2021 11:45:41 18.01.2021 21:45:41 krbtgt/LINUX.FAU.DE@LINUX.FAU.DE

# Test für NFS-Principal
bash$ sudo klist -kte
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac)

3. GSSD prüfen

Es kam hin und wieder vor, dass ein fehlerhafter oder nicht-gestarteter rpc.gssd Dienst einen erfolgreichen Mount verhinderte.
Prüfen Sie, ob der Dienst läuft und starten Sie Ihn im Zweifel noch einmal neu:

bash$ ps -C rpc.gssd
PID TTY TIME CMD
739 ? 00:00:00 rpc.gssd


bash$ sudo systemctl restart rpc-gssd

4. Testmount durchführen

Versuchen Sie, einen manuellen Mount durchzuführen und achten Sie auf ggf. auftretende Fehlermeldungen

bash$ sudo mkdir -p /mnt/test
bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test
mount.nfs4: timeout set for Mon Jan 18 15:29:33 2021
mount.nfs4: trying text-based options 'minorversion=1,sec=krb5p,vers=4,addr=131.188.12.87,clientaddr=10.188.78.67'

5. Logdateien prüfen

Sollten die bisherigen Schritte keinen Hinweis auf die Fehlerursache geben und trotzdem immer noch kein Mount möglich sein, prüfen Sie das Syslog auf Fehlermeldungen:

bash$ sudo less -Rinf /var/log/syslog

Fehlerbehebung

Hier sind einige Lösungsansätze für bekannte Probleme dokumentiert.
Bitte versuchen Sie erst das Problem mit Hilfe der vorgeschlagenen Wege zu lösen bevor Sie uns kontaktieren.

Mount reagiert nicht mehr

Sollte ein bestehender Mount aus irgendeinem Grund nicht mehr reagieren, kann man versuchen mittels „lazy“ unmount und remount wieder ein funktionsfähiges System zu erhalten ohne das ein Neustart nötig ist.

Die folgende Befehlsfolge geht davon aus, dass Sie das Home mittels AutoFS unter dem Pfad /home/rzlin eingebunden haben.

bash$ sudo umount -l /home/rzlin
bash$ sudo systemctl restart rpc-gssd
bash$ sudo systemctl restart autofs

Danach sollte ihr System bzw. der Einhängepunkt für das Linux Home wieder funktionieren.

Quota überschritten

Um evtl belegten Speicher freizugeben versuchen Sie bitte zunächst die folgenden Ansätze zur Fehlerbehebung.

Hinweis: Sollte kein grafischer Login mehr möglich sein, können Sie mit Ctrl+Alt+F3 auf die Textkonsole wechseln und die unten angegebenen Schritte durchführen. Nach Abschluss der Arbeiten beenden Sie die Textkonsole mittels exit und wechseln Sie mit Alt+F2 zurück zum grafischen Login.

1. Mülleimer/Trash leeren
   Leeren Sie den Mülleimer per Rechtsklick auf das entsprechende Desktop Icon oder durch Eingabe von
   rm -rI ~/.local/share/Trash
   Erklärung:
   Gelöschte Dateien werden in den sogenannten Papierkorb verschoben, damit eine einfache Wiederherstellung möglich ist. Der Speicherplatz wird erst freigegeben, wenn der Papierkorb geleert wird.
2. Cache-Verzeichnis löschen
   Löschen Sie das Verzeichnis .cache in Ihrem Home, zB durch Eingabe von
   rm -rI ~/.cache
   Erklärung:
   Verschiedene Programme legen hier temporär Dateien ab, um wiederkehrende Zugriffe zu beschleunigen (z.B. Webbrowser).
3. Speicherbelegung analysieren und ggf. weitere Dateien löschen
   Erstellen Sie eine Übersicht der Speicherbelegung und finden Sie so die größten Speicherfresser durch Eingabe von
   du -sh ~/{.[!.]*,*} | sort -h
   Erklärung:
   Das Kommando erstellt eine Auflistung aller Dateien und Verzeichnisse in Ihrem Home und sortiert diese aufsteigend nach der Speicherbelegung. So können Sie herausfinden was am meisten Speicher verbraucht und es evtl lohnt aufzuräumen.
   Hinweis:
   Unter Linux sind versteckte Dateien mit einem Punkt am Anfang gekennzeichnet. Um diese in Ihrem Dateimanager sichtbar zu machen können Sie den Shortcut STRG+H benutzen.

Sollten Ihnen diese Schritte nicht weiterhelfen, melden Sie sich gerne unter rrze-linux@fau.de für eine genauerer Analyse des Problems.

Hier sammeln sich Dinge, die sonst nirgends reinpassen.

• Empfehlungen für SSH-Keys – in Entstehung
  An dieser Stelle gibt es Empfehlungen und Anleitungen wie man SSH-Keys generiert und handhabt.

• IPv6 Leitfaden – in Entstehung
  Hier sollen Informationen zur Nutzung von IPv6 an der FAU gesammelt werden

• Ubuntu Release Upgrade
  Durchführen eines Release Upgrades auf die nächsthöhere Ubuntu LTS Version

• PPA spiegeln mit apt-mirror
  Spiegeln von Ubuntu Personal Package Archives (PPAs) mittels apt-mirror

• RRZE-Chat (XMPP)
  Einrichtung und Hinweise zur Benutzung

In der folgenden Liste von Softwarepaketen finden Sie wichtige Hinweise und Hilfe zum Betrieb der jeweiligen Software an der FAU.
Falls Sie eines der hier aufgelisteten Pakete einsetzen beachten Sie bitte die ggf. vorhandenen Hinweise auch dann, wenn vermeintlich „alles läuft“.
So kann ein reibungsloser und sicherer Betrieb sichergestellt werden.

• Docker
  Betrieb von Docker-Containern an der FAU
  Bitte Hinweise zur Netzwerkkonfiguration beachten!

• Verwendung von Adressbereichen
  Übersicht über die Verwendung verschiedener Adressbereiche zur Vergabe von IDs (z.B. uidNumber, gidNumber, …)
  Bitte unbedingt beachten bei der Anlage lokaler Benutzer/Gruppen auf RRZE-verwalteten Rechnern!

• Präfixe
  Ein kurzer Überblick über „Präfixe“ und warum wir Sie bitten dieses bei Betreuungsvereinbarungen im Linux-Umfeld künftig mit anzugeben.

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Das RRZE bietet diverse Druck-  und Dateidienste an, die teilweise sogar kostenlos allen Mitgliedern der FAU zur Verfügung stehen.
Die folgenden Anleitungen sollen Ihnen helfen, diese Dienste zu nutzen.

• CUPS Druckereinrichtung mit lpadmin
  Diese Anleitung beschreibt allgemein die Einrichtung von Druckern mit den CUPS Kommandozeilentools unter Ubuntu

• Drucken über FAUPRINT
  Diese Anleitung beschreibt die Einrichtung von Druckern, die über den FAU-weiten Druckserver des RRZE (FAUPRINT) verwaltet werden

• Windows Shares unter Linux einbinden
  Hinweise und Beispiele zur Verwendung von Windows Shares unter Linux mit speziellen Hinweisen zu DFS-Mounts der FAUAD

• NFSv4-Server
  Kurzanleitung mit benötigten Paketen und Konfigurationsbeispielen zum Betrieb eines NFSv4 Dateiservers (inkl. Kerberos)

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Das RRZE setzt – wo immer möglich – auf die Authentifizierung mit Kerberos. Manche Dienste sind sogar ausschließlich per Kerberos nutzbar (z.B. das Linux-Homelaufwerk).
Die folgenden Anleitungen sollen Ihnen helfen Ihre selbstverwalteten Systeme an die Kerberos Infrastruktur des RRZE anzubinden.

• Kerberos Grundkonfiguration
  Anleitung zur Einrichtung inkl. SSH-Logins, NFSv4/CIFS-Mounts via Kerberos

• Kerberos und langlaufende Prozesse
  Hinweise zur Ausführung langlaufender Prozesse (>10 Stunden) und Kerberos
  Bitte beachten, um Probleme mit abgebrochenen Jobs zu vermeiden!

• Kerberos und WebSSO
  Anleitungen für gängige Browser, für automatische Kerberos Authentifizierung am WebSSO-Dienst der FAU