Multifaktor-Authentifizierung (MFA)

Das RRZE bietet für die Absicherung verschiedener Dienste eine Multifaktor-Authentifizierung mittels eines Zeitbasierten One-Time-Passwords (TOTP). Über das IdM-Selfservice Portal können Tokens für den MFA Dienst verwaltet werden.

Tokenverwaltung mittels IdM-Selfservice

Im Bereich Multi-Faktor-Athentifizierung des IdM-Selfservice Portals können MFA-Tokens generiert und gelöscht werden. Eine weitere Funktion ist das Zurücksetzen des Fehlerzählers eines Tokens. Um die Multi-Faktor-Athentifizierung für das IdM-Portal zu aktivieren muss im Rechten Bereich die entsprechende Auswahlbox angeklickt sein.

Generierung:

      1. Bei der Erstellung eines neuen Tokens wird zunächst eine Beschreibung für diesen Token abgefragt. Diese ist später zur Identifikation der Tokens sinnvoll. Im nächsten Schritt wird im Browserfenster ein QR-Code angezeigt. Dieser Code kann in der bevorzugten Authentifizierungs Anwendung (siehe Anwendungs-Empfehlungen) eingescannt werden. Falls eine Desktop Anwendung genutzt wird, in der kein Scannen möglich ist kann der Secret/Key (durch klicken auf Show Secret/Key) angezeigt werden und per Copy&Paste in der Anwendung eingefügt werden. Zur Validierung des Tokens muss ein OTP der von der Authentifizierungs Anwendung generiert wird eingegeben werden.

 

Löschen:

      1. Tokens können in diesem Bereich des IdM-Selfservice gelöscht werden. Das Löschen wird mit einem One-Time-Password bestätigt. Der letzte Token kann nur gelöscht werden, wenn die Multifaktor-Authentifizierung für den IdM-Zugang deaktiviert ist.

 

Fehlerzähler zurücksetzen:

    1. Eine weitere Funktion im Bereicht Multifaktor-Authentifizierung ist das zurücksetzen des Fehlerzählers eines Tokens. Bei einer Fehlgeschlagenen OTP-Validierung wird der Fehlerzähler hochgesetzt. Es erfolgt eine E-Mail-Benachrichtigung über einen fehlgeschlagenen Versuch. Wenn der Fehlerzähler den Wert 50 erreicht wird der Token gesperrt. In diesem Fall erfolgt das entsperren über unseren Service-Theken.

Tokens sollten mit Vorsicht gehandhabt werden. Das QR-Code bzw. der Secret/Key sollten nur einmalig in die Authentifizierungs Anwendung eingepflegt werden, und nicht in Bild- bzw. Textform gespeichert werden. Falls ein Token verloren geht, wird immer empfohlen einen neuen zu generieren.

Empfehlung für Authentifizierungs Anwendungen

In diesem Abschnitt werden Authentifizierungs Anwendungen für die gängigen Mobilen und Desktop Betriebssysteme empfohlen.

Android – FreeOTP+

Für die Nutzung des MFA-Dienstes auf ein Mobiles Android Gerät empfiehlt das RRZE die Anwendung FreeOTP+. Es ist ein Open-Source Fork der App FreeOTP und ist für Android Versionen ab 5.0 im Google Play Store verfügbar. Die App kann zusätzlich z.B. mit einer Fingerabdruck Prüfung abgesichert werden. Das Hinzufügen von Tokens erfolgt durch das Scannen des generierten QR-Codes. Falls ein neues Gerät angeschafft wird, können die Tokens im JSON Format exportiert und auf das neue Gerät wieder importiert werden.

Linux – OTPClient

Die Anwendung OTPClient wird für die Nutzung unter dem Linux Betriebssystem empfohlen. Es ist ein leichtgewichtiges OpenSource Projekt und ist für Ubuntu Installationen (die vom RRZE supportete Linux Distribution) als Paket verfügbar. Ab Ubuntu 21.10 ist die Anwendung direkt über den Paketmanager installierbar. Für ältere Ubuntu Versionen gibt es eine Launchpad PPA welche die passenden Pakete bereitstellt. Hier finden sich auch Installationshinweise.

Beim ersten Starten der Anwendung wird eine Verschlüsselte Datenbank, die mit einem Passwort abgesichert werden sollte angelegt in der die Tokens gespeichert werden. Daraufhin hat man verschiedene Möglichkeiten Tokens hinzuzufügen: Webcam (QR-Code scannen), QR-Code über Clipboard, QR-Code aus einem Image File, QR-Code über ein Screenshot und zuletzt das manuelle Eingeben des Secrets/Keys. Es können Tokens aus anderen Anwendungen oder in andere Anwendungen z.B. FreeOTP+ importiert werden.

macOS, iOS, iPadOS und watchOS – Step Two

Die Anwendung Step Two ist über Apples App Store verfügbar. Sie kann kostenlos geladen werden und ist für die Nutzung von bis zu 10 MFA Accounts frei nutzbar. Das Hinzufügen eines neuen Accounts kann entweder über das Einscannens des QR-Codes über die Kamera (hierzu muss die Zustimmung zur Nutzung der Kamera gegeben werden) oder manuell über den angezeigten Code erfolgen. Zur besseren Übersicht lassen sich einzelnen Accounts unterschiedliche Farben zuweisen. Durch Klicken auf den angezeigten Code (iOS/iPadOS) wird dieser in die Zwischenablage kopiert.

Apple bietet seit iOS 15 die Möglichkeit MFA Codes systemseitig in der verschlüsselten Keychain zu speichern. Die Einrichtung ist nicht ganz so einfach und deshalb empfiehlt das RRZE die Nutzung einer App wie Step Two.

SATA-Datenträger sicher löschen mit hdparm

Löschen von Flash-Speichern mit SATA-Schnittstelle mittels Linux (hdparm)

  1. Linux (z. B. Ubuntu) kann direkt von einem USB-Stick gestartet werden. Eine Installation des Betriebssystems
    ist nicht zwingend notwendig. Wichtig ist, dass der zu löschende Datenträger an einem SATA-Kabel des Rechners
    angeschlossen wurde. Es empfiehlt sich nur den zu löschenden Datenträger am System anzuschließen.
  2. Öffnen Sie ein Terminal-Fenster und geben sie folgenden Befehl ein: sudo hdparm -I /dev/sda
    • Die Ausgabe sollte in etwa so aussehen:
      Security:
      Master password revision code = 65534
      supported
      not enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
      Der Datenträger sollte auf „not enabled, not locked, not frozen und not expired“ stehen.
  3. Der Datenträger darf nicht im Status „frozen“ sein, da der Vorgang sonst nicht ausgeführt werden kann.
    a. Um den „frozen“-Status aufzuheben, wird folgender Befehl verwendet: sudo systemctl suspend
    b. Überprüfen, ob der Befehl erfolgreich war: sudo hdparm -I /dev/sda
  4. Die Festplatte muss anschließend mit einem Passwort versehen werden:
    sudo hdparm –user-master u –security-set-pass [geheim] /dev/sda
  5. Erneut mit sudo hdparm -I /dev/sda prüfen, ob die Aktion erfolgreich war.
    • Die Ausgabe sollte so aussehen:
      Security:
      Master password revision code = 65534
      supported
      enabled
      not locked
      not frozen
      not expired: security count
      supported: enhanced erase
      Security level high
      2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
  6. Nun kann der Datenträger mit folgendem Befehl sicher gelöscht werden:
    sudo time hdparm –user-master u –security-erase [geheim] /dev/sda
    Folgende Ausgabe sollte angezeigt werden:
    security _ password: „geheim“
    /dev/sda:
    Issuing SECURITY _ ERASE command, password= „geheim“, user=user
    0.00user 0.00system 0:22.43elapsed 0%CPU (0avgtext+0avgdata 1868maxresident)k
    0inputs+0outputs (0major+79minor)pagefaults 0swaps
  7. Ein letztes Mal den Status des Datenträgers überprüfen:
    sudo hdparm -I /dev/sda

Wenn alles geklappt hat, erhalten Sie folgende Ausgabe:
Security:
Master password revision code = 65534
supported
not enabled
not locked
not frozen
not expired: security count
supported: enhanced erase
2min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY ERASE UNIT.
Damit ist die Festplatte gelöscht und der Vorgang abgeschlossen

Empfehlungen für SSH-Keys

An dieser Stelle werden Empfehlungen zur Nutzung von SSH-Keys angegeben.

SSH-Keys generieren

Mittlerweile gelten viele Algorithmen zur Schlüsselerstellung so z.B. RSA mit geringer Schlüssellänge oder DSA als unsicher. Der sicherste Algorithmus der heutzutage zur Genernierung von SSH-Keys verfügbar ist, ist ED25519. Das RRZE emfphielt die Nutzung dieses Algorithmus zur SSH-Key Generierung:

bash$ ssh-keygen -t ed25519 
Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/username/.ssh/id_ed25519): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/username/.ssh/id_ed25519.
Your public key has been saved in /home/username/.ssh/id_ed25519.pub.
The key fingerprint is:
SHA256:S7/10UOXix32PxaQq2PcH7o2lPzgtbdmnZ7UgWHrpY4 user@host
The key's randomart image is:
+--[ED25519 256]--+
|                 |
|                 |
|             o.  |
|            .o+ .|
|        S   .o+B.|
|       . o  .*B+B|
|        . o *+*=O|
|           Bo*.%*|
|          oEo+X+*|
+----[SHA256]-----+

Standardmäßig wird das Schlüsselpaar im .ssh Verzeichnis des Homes angelegt. Es sollte immer ein sicheres Passphrase (Kennwort) für einen Schlüssel angegeben werden. So kann sichergestellt werden, dass ein Angreifer den privaten Schlüssel nicht ohne das Kennwort nutzen kann. Der öffentliche Schlüssel wird an gleicher Stelle mit der Endung .pub angelegt.

SSH-Keys nutzen

Damit die Authentifizierung mittels SSH-Keys genutzt werden kann, muss der öffentliche Schlüssel auf dem gewünschten Host mittels ssh-copy-id kopiert werden.

bash$ ssh-copy-id user@host
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
Password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@host'"
and check to make sure that only the key(s) you wanted were added.

Für RRZE-Betreute Systeme können RRZE-Mitarbeiter SSH-Keys mittels einer SSH-Key Verwaltung im IdM Portal einpflegen. Diese Keys können dann auf Servern die am RRZE-Saltstack angebunden sind genutzt werden. Vorraussetzung hierfür ist allerdings dass keine NFS-Homes auf den jeweiligen Server benötigt werden.

Zugriff auf Linux Server am RRZE

Diese Anleitung beschreibt wie auf Linux-Server am RRZE zugegriffen werden kann, welche Möglichkeiten der Authentifizierung genutzt werden können und wie root Rechte erlangt werden können.

Zugriff per SSH

Auf jeden Server der durch das RRZE gewartet wird läuft ein SSH-Daemon, hiermit ist SSH der vorgezogene Weg um eine Konsole auf einem Server zu öffnen. Prinzipiell ist der Zugriff mittels berechtigter IdM-Hauptkennung aus allen Uni-Netzen / VPN möglich.
Ausnahme sind Dialog-Server die Weltweit erreichbar sind. Bei Kunden-Servern können noch einzelne externe IPs freigeschaltet werden.

Welche Möglichkeiten zur Authentifizierung gibt es?

Neben der Authentifizierung mit Passwort/OTP ist in einigen Konstellationen auch eine SSH-Key basierte Authentifizierung möglich.
Was hierzu beachtet werden muss und wie OTP-Devices/SSH-Keys verwaltet werden können wird im folgenden Abschnitt erläutert.

LDAP mit NFSv4 Homes (Netapp)

In dieser Konstellation kann nur eine Passwort-basierte Authentifizierung mit optionalen 2-Faktor genutzt werden, da für das Mounten der Homes ein Kerberos-Ticket notwendig ist und hierfür eine Passwort-Eingabe gebraucht wird.
Root Rechte können mit sudo mittels der IdM-Hauptkennung erlangt werden, hierzu ist noch ein 2-Faktor notwendig.
OTP Tokens für einen 2 Faktor können an dieser Stelle verwaltet werden.

Zusammenfassung – LDAP mit NFSv4 Homes

Authentifizierung/Login Passwort
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

LDAP mit lokalen Homes

Hier kann neben der Passwort-basierten Authentifizierung auch eine Authentifizierung mit SSH-Keys erfolgen.
Root Rechte können wie im vorherigen Fall erlangt werden.
SSH-Keys können an dieser Stelle im IdM-Portal verwaltet werden.

Zusammenfassung – LDAP mit lokalen Homes

Authentifizierung/Login Passwort oder SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

Lokale Authentifizierung mit lokalen Homes

Falls aus triftigen Gründen keine Abhängigkeit zu KDC oder LDAP gewünscht wird, kann auch eine lokale Authentifizierung eingerichtet werden.

Aktuell

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Aktuell

Authentifizierung/Login Passwort oder SSH-Key
Kennung Login IdM-Hauptkennung oder administrative Kennung (ro- oder mu-Kennungen)
Root-Rechte/Sudo Password
Kennung Sudo Administrative Kennung (ro- oder mu-Kennungen)

Zukünftig

Aus Sicherheitsgründen gibt es zukünftig in diesem Fall nur die Möglichkeit eine SSH-Key basierte Authentifizierung durchzuführen.

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Zukünftig

Authentifizierung/Login SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Password

Welche Methoden kann ich für meinen Server nutzen?

Um eine Antwort auf diese Frage zu erhalten ist das Anmelden am Server notwendig. Danach kann ein Skript ausgeführt werden, welches die Möglichkeiten auflistet.

bash$ check_rrze_auth

 

Ab dem 01.10.2021 wird für die Authentifizierung an Linux-Servern und zur Erlangung von Root-Rechten nur noch die IdM-Hauptkennung benötigt. Administrative Kennungen (ro / mu) werden nicht mehr benötigt.
Ausnahme sind Server mit lokaler Authentifizierung: Hier muss bis zur Umstellung auf SSH-Keys noch eine administrative Kennung genutzt werden.

Präfixe

Ein kurzer Überblick über „Präfixe“ und warum wir Sie bitten dieses bei Betreuungsvereinbarungen im Linux-Umfeld künftig mit anzugeben.

Was sind „Präfixe“?

Gemeint sind hier die Präfixe, welche auch zur Bildung von Mailadressen schon seit einiger zum Einsatz kommen.
Aufgrund des Wegfalls von DNS-Subdomains im Mail-Umfeld musste eine Lösung für die Bildung von nicht-persönlichen Mailadressen gefunden werden, welche Kollisionen im nun eng begrenzten „@fau.de“-Namensraum vermeidet.
Als Lösung wurde ein voranzustellendes Kürzel erdacht, welches einen eigenen Namensraum aufspannt, der dann vom Inhaber der Kürzels frei genutzt werden kann.

Das Präfix war geboren und ermöglichte nun das kollisionsfreie Umsetzen von nicht-persönlichen Mailadressen, wie etwa der eines Sekretariats:
sekretariat@rrze.fau.de wurde mit Hilfe des „RRZE“-Präfix beispielsweise zu rrze-sekretariat@fau.de

Der Ursprung liegt also eigentlich im Mail-Umfeld und geht auf die Postmaster des RRZE zurück.
Weitere Informationen zu Mail-Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.

Was kann man damit sonst noch anstellen?

Da diese eigentlich für „Mail“ geschaffenen Präfixe einige sehr praktische Eigenschaften aufweisen wurden sie schnell auch für andere Zwecke „missbraucht“.

Eigenschaften von Präfixen

  • kurz
  • nur alphanumerische Zeichen ([A-Z0-9])
  • eindeutige Zuordnung zu FAU.org Organisationsnummern, wobei eine OU in begründeten Fällen auch mehrere Präfixe besitzen kann
  • in Ausnahmefällen auch uniweite Präfixe möglich
  • (relativ) unkomplizierter Prozess zur Beantragung

Schnell kamen Präfixe auch in der Verwaltung von Systemgruppen für Linux- und Windows-Systeme zum Einsatz und haben sich als geeignetes Mittel erwiesen, um auf flexible Art und Weise Namensräume und Rechte-/Ordnerstrukturen aufzubauen.

Verschiedene Entitäten wie Lehrstühle, Arbeitsgruppen, Projekte, usw. können durch ein eigenes Präfix die „Hoheit“ über einen eigenen Namensraum erhalten (auch lehrstuhlübergreifend/uniweit).
Über dieses Präfix können wiederum Ressourcen wie Mailadressen, Systemgruppen oder auch Rechner/Server den Entitäten zugeordnet werden.

Eine Rechteverwaltung basierend auf Präfixen ist deshalb in der Lage die oft komplizierten Strukturen von Kooperationen und Partnerschaften und deren verknüpfte Ressourcen flexibel abzubilden.

Rechnerverwaltung mit Präfixen

Neben den bereits erwähnten Einsatzszenarien, werden Präfixe im Active Directory der FAU (FAUAD) bereits als Container für Rechnerobjekte (u.a.) eingesetzt.
Diesem Konzept folgend befindet sich am RRZE seit einiger Zeit eine Rechnerverwaltung im Aufbau, die ebenfalls jedem Rechner ein Präfix zuordnet.

Ziel dieser Rechnerverwaltung ist es allen den IT-Betreuern der FAU eine einfache Möglichkeit zu geben

  1. Ihre Systeme mit der Infrastruktur des RRZE (in Eigenregie) zu verbinden
    (Vorbote ist die Verwaltung mittels des rrzelinux CLI-Tools)
  2. den Überblick über selbstverwaltete und vom RRZE-betreute Rechner zu behalten

IT-Betreuer sind Teil des (ebenfalls noch im Aufbau befindlichen) Konzepts der IT-Beauftragen.

Obwohl noch vieles im Aufbau ist beginnen wir trotzdem schon jetzt – wo immer möglich – die Zuordnung zu Präfixen vorzunehmen.

Linux System Monitoring

Als Kunde des RRZE mit einem System im Server-Hosting haben Sie die Möglichkeit auf Anfrage kostenfrei Zugriff auf Überwachungs- und Benachrichtigungsfunktionen für Ihren Server zu erhalten bzw. diese zu nutzen – falls Sie dies wünschen.

Im Folgenden wird beschrieben, welche Systeme zur Verfügung stehen und unter welchen Bedingungen Sie diese Nutzen können.

Monitoring – Performance

Als Performance-Monitoring bezeichnet man das Sammeln und Auswerten von Daten aus verschiedenen Metriken die Systemparameter betreffen. Solche Metriken sind z.B. CPU-Auslastung, Speicherbelegung usw.

Wir nutzen dafür ein Setup aus Telegraph/InfluxDB zum Sammeln und Speichern der Daten und Grafana um die gespeicherten Metriken visuell darzustellen.
Link: https://www.linux.rrze.fau.de/grafana

Für Server, die bei uns im Hosting sind nehmen wir eine entsprechende Anbindung in jedem Fall standardmäßig und automatisch vor.
Diese Daten werden von uns häufig genutzt, um Sie bei Problemen mit Ihrem Server besser unterstützen zu können.

Zugriff auf Grafana erhalten

Wenn Sie selber Zugriff auf unsere Grafana Instanz haben wollen ist folgendes zu tun:

  • Eine einmalige Anmeldung an der Grafana Website ist für jede Kennung die Zugriff erhalten soll notwendig, damit die Daten aus unseren LDAP-Server importiert werden. Die Anmeldedaten entsprechen der IdM-Hauptkennung.
  • Danach bitte eine E-Mail mit folgenden Inhalt an rrze-linux@fau.de senden:
    • Liste der Server die überwacht werden sollen.
    • Liste Kennungen die auf die visuelle Darstellung der Metriken Zugriff erhalten sollen.

Monitoring – Alerting & Notifications

Als Alerting & Notifications bezeichnet man die Reaktion auf Änderungen von Metriken.
Es können beispielsweise Benachrichtigungen versendet werden sobald bestimmte Grenzwerte über- oder unterschritten werden oder sobald Dienste/Ports nicht mehr erreichbar sind.

Das RRZE betreibt eigens zu diesem Zweck eine Icinga2 Instanz (Nachfolger von Nagios).
Link: https://icinga2.rrze.uni-erlangen.de

Für mehr Informationen zur Überwachung von Diensten und der Einrichtung von Benachrichtigungen lesen Sie bitte weiter unter Benachrichtigungs-Monitoring für verwaltete Server.

Zugriff auf Icinga2 erhalten

Im Folgenden wird kurz erklärt wie die Vergabe von Zugriffsberechtigungen funktioniert und wie Sie vorgehen müssen, um Zugriff auf die Daten Ihres Servers zu erhalten.

Kennungen

Der Zugriff erfolgt (nach Freischaltung) mit Ihrer IdM-Hauptkennung.

Präfixe

Die verwendete Rechtestruktur ordnet jedem Rechner ein Präfix zu.
Ein oder mehrere Präfixe werden wiederum einer Organisationseinheit der FAU zugeordnet.

Es handelt sich dabei, um dieselben Präfixe, die auch zur Bildung von Mailadressen, Systemgruppen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.

Sollten Sie noch kein Präfix besitzen, dass zur Verwaltung Ihrer Rechner verwendet werden kann, so müssen Sie dieses ggf. noch beantragen.

Die Vergabe von Rechten erfolgt grundsätzlich nur auf alle Rechner/Server eines Präfixes.
Es ist derzeit nicht möglich Rechte nur auf einzelne Rechner zu vergeben.

Gruppen

Der Bereitstellung des eigentlichen Zugriffs erfolgt über eine Systemgruppe deren Namen immer nach dem Schema ${PRÄFIX}_monitoring gebildet wird.
Alle Mitglieder dieser Gruppe erhalten Zugriff auf die Weboberfläche für Icinga2 und erhalten dort die entsprechenden Rechte auf alle Rechner die ${PREFIX} zugeordnet sind.

Welche IdM-Kennungen dieser Gruppe hinzugefügt werden können Sie definieren.
Die Definition der Gruppenmitglieder folgt den Regeln zur Beantragung von LDAP-Gruppen.

Kontakt

Sollten Sie Fragen bezüglich Benachrichtigungen/Icinga2 haben wenden Sie sich bitte direkt an rrze-monitoring@fau.de.

Sollten Sie Zugriff auf die Daten Ihres Servers/Ihrer Server wünschen, kontaktieren Sie uns bitte unter rrze-linux@fau.de mit Ihrem Anliegen und wir beraten Sie dann entsprechend.

 

 

RRZE Linux Homelaufwerk

Das RRZE bietet für alle Mitglieder der FAU ein kostenloses Home als Netzlaufwerk an.

Voraussetzung zur Nutzung des RRZE Linux Homes ist eine gültige IdM-Kennung.
Außerdem kann das Home nur per NFS und mit krb5p verschlüsselt eingebunden werden.
Aktuell gelten folgende Standard-Quotas:

Mitarbeiter 10 GB
Studierende 2 GB

Informationen bezüglich einer Quotaerweiterung erhalten Sie auf unserer Homepage unter Preise & Kosten.

Im Folgenden wird beschrieben, wie Sie dieses Home zur Nutzung auf Ihren Systemen einrichten können.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Kerberos

Voraussetzung zur Nutzung des RRZE Linux Home-Laufwerks ist eine funktionierende Anbindung an die Kerberos Infrastruktur des RRZE.
Siehe Anbindung an die Kerberos-Infrastruktur des RRZE

Pakete

Folgende Pakete für Ubuntu 18.04 müssen installiert werden:

bash$ sudo apt-get install nfs-common

Konfiguration

Ab Ubuntu 18.04 ist keine weitere Konfiguration erforderlich.
Stellen Sie jedoch sicher, dass die Datei /etc/krb5.keytab vorhanden und der rpc-gssd gestartet ist:

# Keytab prüfen
bash$ ls -alh /etc/krb5.keytab 
-rw------- 1 root root 1,1K Mai 21 2019 /etc/krb5.keytab

# rpc-gssd Status abfragen
bash$ sudo systemctl status rpc-gssd
● rpc-gssd.service - RPC security service for NFS client and server
Loaded: loaded (/lib/systemd/system/rpc-gssd.service; static; vendor preset: enabled)
Active: active (running) since Fri 2020-11-20 08:08:35 CET; 1 months 28 days ago
Main PID: 739 (rpc.gssd)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/rpc-gssd.service
└─739 /usr/sbin/rpc.gssd

Nov 20 08:08:35 systemd[1]: Starting RPC security service for NFS client and server...
Nov 20 08:08:35 systemd[1]: Started RPC security service for NFS client and server.

# ggf den rpc-gssd starten, falls er nicht schon läuft oder oder neu starten, falls es 
# zu Problemen kommen sollte 
bash$ sudo systemctl restart rpc-gssd

Einbinden und Nutzen

Das eigentliche Einbinden des RRZE Linux Homes erfolgt dann mit folgendem Befehl (hier nur auf einem Test-Mount):

bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test

Bedenken Sie, dass für den eigentlichen Zugriff ein gültiges Kerberos Ticket benötigt wird.
Falls Sie also bisher als root angemeldet waren sollten Sie sich jetzt als normaler Benutzer anmelden. Stellen Sie dann sicher, dass Sie über ein gültiges Kerberos Ticket verfügen (kinit/klist) und testen Sie den Mount indem Sie in ihr RRZE Linux Home wechseln:

bash$ cd /mnt/test/$USERNAME

Nach erfolgreichem Test kann der Unmount dann wieder als root erfolgen.

Für den Produktivbetrieb empfiehlt sich der Einsatz von AutoFS, zum automatischen Einhängen des RRZE Linux Home Laufwerks bei Bedarf bzw. automatischem Wiederherstellen des Laufwerks bei Verbindungsabbrüchen.

Bitte beachten Sie dazu die entsprechende Dokumentation des RRZE bezüglich AutoFS.

Fehlersuche und -behebung

Sollte das Einbinden des RRZE Linux Homes nicht funktionieren können Sie zunächst folgende Liste zur Fehlersuche durchgehen, um zu versuchen, das Problem zu beheben oder zumindest einzugrenzen.

1. Erreichbarkeit testen

Stellen Sie sicher, dass Sie unseren Fileserver unter rrzenfs4.rrze.uni-erlangen.de erreichen können und keine Firewall den Zugriff blockiert:

bash$ ping -w3 rrzenfs4.rrze.uni-erlangen.de
PING rrzenfs4.rrze.uni-erlangen.de (131.188.12.87) 56(84) bytes of data.
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=1 ttl=61 time=0.239 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=2 ttl=61 time=0.606 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=3 ttl=61 time=0.613 ms

--- rrzenfs4.rrze.uni-erlangen.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2034ms
rtt min/avg/max/mdev = 0.239/0.486/0.613/0.174 ms

2. Kerberos Konfiguration prüfen

Stellen Sie sicher, dass Sie mit kinit ein gültiges Kerberos Ticket erhalten können und der NFS-Principal für Ihren Client installiert ist.
Dafür können Sie die folgenden zwei Tests durchführen und prüfen, ob die Ausgabe – jeweils für Ihren Benutzernamen/Hostnamen – korrekt ist:

# Test des Ticketabrufs
bash$ kinit
Password for [USERNAME]@LINUX.FAU.DE: 
bash$ klist
Ticket cache: FILE:/tmp/krb5cc_XXXXX
Default principal: [USERNAME]@LINUX.FAU.DE

Valid starting Expires Service principal
18.01.2021 11:45:41 18.01.2021 21:45:41 krbtgt/LINUX.FAU.DE@LINUX.FAU.DE

# Test für NFS-Principal
bash$ sudo klist -kte
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac)

3. GSSD prüfen

Es kam hin und wieder vor, dass ein fehlerhafter oder nicht-gestarteter rpc.gssd Dienst einen erfolgreichen Mount verhinderte.
Prüfen Sie, ob der Dienst läuft und starten Sie Ihn im Zweifel noch einmal neu:

bash$ ps -C rpc.gssd
PID TTY TIME CMD
739 ? 00:00:00 rpc.gssd


bash$ sudo systemctl restart rpc-gssd

4. Testmount durchführen

Versuchen Sie, einen manuellen Mount durchzuführen und achten Sie auf ggf. auftretende Fehlermeldungen

bash$ sudo mkdir -p /mnt/test
bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test
mount.nfs4: timeout set for Mon Jan 18 15:29:33 2021
mount.nfs4: trying text-based options 'minorversion=1,sec=krb5p,vers=4,addr=131.188.12.87,clientaddr=10.188.78.67'

5. Logdateien prüfen

Sollten die bisherigen Schritte keinen Hinweis auf die Fehlerursache geben und trotzdem immer noch kein Mount möglich sein, prüfen Sie das Syslog auf Fehlermeldungen:

bash$ sudo less -Rinf /var/log/syslog
SHIFT+G ans Ende der Datei springen
:?<SUCHBEGRIFF> nach oben suchen
:/<SUCHBEGRIFF> nach unten suchen

Fehlerbehebung

Sollte ein bestehender Mount aus irgendeinem Grund nicht mehr reagieren, kann man versuchen mittels „lazy“ unmount und remount wieder ein funktionsfähiges System zu erhalten ohne das ein Neustart nötig ist.

Dies ist nur als Notlösung zu verstehen. Es ist nicht garantiert, dass dieses Vorgehen zum Erfolg führt.

Die folgende Befehlsfolge geht davon aus, dass Sie das Home mittels AutoFS unter dem Pfad /home/rzlin eingebunden haben.

bash$ sudo umount -l /home/rzlin
bash$ sudo systemctl restart rpc-gssd
bash$ sudo systemctl restart autofs

Danach sollte ihr System bzw. der Einhängepunkt für das Linux Home wieder funktionieren.

Sonstige Dokumentation

Hier sammeln sich Dinge, die sonst nirgends reinpassen.

Diese Liste von Anleitungen ist nicht als grundsätzliche Empfehlung des RRZE zu verstehen, die entsprechende Software selbst zu betreiben bzw. die beschriebenen Schritte durchzuführen!
Die Inhalte sind nur als Ideensammlung oder allgemeine Dokumentation zu verstehen.

  • Empfehlungen für SSH-Keysin Entstehung
    An dieser Stelle gibt es Empfehlungen und Anleitungen wie man SSH-Keys generiert und handhabt.
  • IPv6 Leitfadenin Entstehung
    Hier sollen Informationen zur Nutzung von IPv6 an der FAU gesammelt werden

Informationen zum Linux-Betrieb an der FAU

In der folgenden Liste von Softwarepaketen finden Sie wichtige Hinweise und Hilfe zum Betrieb der jeweiligen Software an der FAU.
Falls Sie eines der hier aufgelisteten Pakete einsetzen beachten Sie bitte die ggf. vorhandenen Hinweise auch dann, wenn vermeintlich „alles läuft“.
So kann ein reibungsloser und sicherer Betrieb sichergestellt werden.

  • Docker
    Betrieb von Docker-Containern an der FAU
    Bitte Hinweise zur Netzwerkkonfiguration beachten!
  • Verwendung von Adressbereichen
    Übersicht über die Verwendung verschiedener Adressbereiche zur Vergabe von IDs (z.B. uidNumber, gidNumber, …)
    Bitte unbedingt beachten bei der Anlage lokaler Benutzer/Gruppen auf RRZE-verwalteten Rechnern!
  • Präfixe
    Ein kurzer Überblick über „Präfixe“ und warum wir Sie bitten dieses bei Betreuungsvereinbarungen im Linux-Umfeld künftig mit anzugeben.

Druck- und Dateiserver

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Das RRZE bietet diverse Druck-  und Dateidienste an, die teilweise sogar kostenlos allen Mitgliedern der FAU zur Verfügung stehen.
Die folgenden Anleitungen sollen Ihnen helfen, diese Dienste zu nutzen.

  • Drucken über FAUPRINT
    Diese Anleitung beschreibt die Einrichtung von Druckern, die über den FAU-weiten Druckserver des RRZE (FAUPRINT) verwaltet werden
  • NFSv4-Server
    Kurzanleitung mit benötigten Paketen und Konfigurationsbeispielen zum Betrieb eines NFSv4 Dateiservers (inkl. Kerberos)