RRZE Linux Homelaufwerk

Das RRZE bietet für alle Mitglieder der FAU ein kostenloses Home als Netzlaufwerk an.

Vorraussetzung zur Nutzung des RRZE Linux Homes ist eine gültige IdM Kennung.
Außerdem kann das Home nur per NFS und mit krb5p verschlüsselt eingebunden werden.
Aktuell gelten folgende Standard-Quotas:

Mitarbeiter 10 GB
Studierende 2 GB

Informationen bezüglich einer Quotaerweiterung  erhalten Sie auf unserer Hompage unter Preise & Kosten.

Im Folgenden wird beschrieben wie Sie dieses Home zur Nutzung auf Ihren Systemen einrichten können.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Vorraussetzungen für ein sinnvolles Umsetzen Anleitung der erfüllt sein.

Kerberos

Vorraussetzung zur Nutzung des RRZE Linux Homelaufwerks ist eine funktionierende Anbindung an die Kerberos Infrastruktur des RRZE.
Siehe Anbindung an die Kerberos-Infrastruktur des RRZE

Pakete

Folgende Pakete für Ubuntu 18.04 müssen installiert werden:

bash$ sudo apt-get install nfs-common

Konfiguration

Ab Ubuntu 18.04 ist keine weitere Konfiguration erforderlich.
Stellen Sie jedoch sicher, dass die Datei /etc/krb5.keytab vorhanden und der rpc-gssd gestartet ist:

# Keytab prüfen
bash$ ls -alh /etc/krb5.keytab 
-rw------- 1 root root 1,1K Mai 21 2019 /etc/krb5.keytab

# rpc-gssd Status abfragen
bash$ sudo systemctl status rpc-gssd
● rpc-gssd.service - RPC security service for NFS client and server
Loaded: loaded (/lib/systemd/system/rpc-gssd.service; static; vendor preset: enabled)
Active: active (running) since Fri 2020-11-20 08:08:35 CET; 1 months 28 days ago
Main PID: 739 (rpc.gssd)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/rpc-gssd.service
└─739 /usr/sbin/rpc.gssd

Nov 20 08:08:35 systemd[1]: Starting RPC security service for NFS client and server...
Nov 20 08:08:35 systemd[1]: Started RPC security service for NFS client and server.

# ggf den rpc-gssd starten, falls er nicht schon läuft oder oder neu starten, falls es 
# zu Problemen kommen sollte 
bash$ sudo systemctl restart rpc-gssd

Einbinden und Nutzen

Das eigentliche Einbinden des RRZE Linux Homes erfolgt dann mit folgendem Befehl (hier nur auf einem Test-Mount):

bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test

Bedenken Sie, dass für den eigentlichen Zugriff ein gültiges Kerberos Ticket benötigt wird.
Falls Sie also bisher als root angemeldet waren sollten Sie sich jetzt als normaler Benutzer anmelden. Stellen Sie dann sicher, dass Sie über ein gültiges Kerberos Ticket verfügen (kinit/klist) und testen Sie den Mount indem Sie in ihr RRZE Linux Home wechseln:

bash$ cd /mnt/test/$USERNAME

Nach erfolgreichem Test kann der Unmount dann wieder als root erfolgen.

Für den Produktivbetrieb empfiehlt sich der Einsatz von AutoFS, zum automatischen Einhängen des RRZE Linux Home Laufwerks bei Bedarf bzw. automatischem Wiederherstellen des Laufwerks bei Verbindungsabbrüchen.

Bitte beachten Sie dazu die entsprechende Dokumentation des RRZE bezüglich AutoFS.

Fehlersuche und -behebung

Sollte das Einbinden des RRZE Linux Homes nicht funktionieren können Sie zunächst folgende Liste zur Fehlersuche durchgehen, um zu versuchen das Problem zu beheben oder zumindest einzugrenzen.

1. Erreichbarkeit testen

Stellen Sie sicher, dass Sie unseren Fileserver unter rrzenfs4.rrze.uni-erlangen.de erreichen können und keine Firewall den Zugriff blockiert:

bash$ ping -w3 rrzenfs4.rrze.uni-erlangen.de
PING rrzenfs4.rrze.uni-erlangen.de (131.188.12.87) 56(84) bytes of data.
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=1 ttl=61 time=0.239 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=2 ttl=61 time=0.606 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=3 ttl=61 time=0.613 ms

--- rrzenfs4.rrze.uni-erlangen.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2034ms
rtt min/avg/max/mdev = 0.239/0.486/0.613/0.174 ms

2. Kerberos Konfiguration prüfen

Stellen Sie sicher, dass Sie mit kinit ein gültiges Kerberos Ticket erhalten können und der NFS-Principal für Ihren Client installiert ist.
Dafür können Sie die folgenden zwei Tests durchführen und prüfen, ob die Ausgabe – jeweils für Ihren Benutzernamen/Hostnamen – korrekt ist:

# Test des Ticketabrufs
bash$ kinit
Password for [USERNAME]@LINUX.FAU.DE: 
bash$ klist
Ticket cache: FILE:/tmp/krb5cc_XXXXX
Default principal: [USERNAME]@LINUX.FAU.DE

Valid starting Expires Service principal
18.01.2021 11:45:41 18.01.2021 21:45:41 krbtgt/LINUX.FAU.DE@LINUX.FAU.DE

# Test für NFS-Principal
bash$ sudo klist -kte
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac)

3. GSSD prüfen

Es kam hin und wieder vor, das ein fehlerhafter oder nicht-gestarteter rpc.gssd  Dienst einen erfolgreichen Mount verhinderte.
Prüfen Sie ob der Dienst läuft und starten Sie Ihn im Zweifel nocheinmal neu:

bash$ ps -C rpc.gssd
PID TTY TIME CMD
739 ? 00:00:00 rpc.gssd


bash$ sudo systemctl restart rpc-gssd

4. Testmount durchführen

Versuchen Sie einen manuellen Mount durchzuführen und achten Sie auf ggf. auftretende Fehlermeldungen

bash$ sudo mkdir -p /mnt/test
bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test
mount.nfs4: timeout set for Mon Jan 18 15:29:33 2021
mount.nfs4: trying text-based options 'minorversion=1,sec=krb5p,vers=4,addr=131.188.12.87,clientaddr=10.188.78.67'

5. Logdateien prüfen

Sollten die bisherigen Schritte keinen Hinweis auf die Fehlerursache geben und trotzdem immernoch kein Mount möglich sein prüfen Sie das Syslog auf Fehlermeldungen:

bash$ sudo less -Rinf /var/log/syslog
SHIFT+G ans Ende der Datei springen
:?<SUCHBEGRIFF> nach oben suchen
:/<SUCHBEGRIFF> nach unten suchen

Fehlerbehebung

Sollte ein bestehender Mount aus irgendeinem Grund nicht mehr reagieren, kann man versuchen mittles „lazy“ unmount und remount wieder ein funktionsfähiges System zu erhalten ohne das ein Neustart nötig ist.

Dies ist nur als Notlösung zu verstehen. Es ist nicht garantiert, dass dieses Vorgehen zum Erfolg führt.

Die folgende Befehlsfolge geht davon aus, dass Sie das Home mittels AutoFS unter dem Pafd /home/rzlin eingebunden haben.

bash$ sudo umount -l /home/rzlin
bash$ sudo systemctl restart rpc-gssd
bash$ sudo systemctl restart autofs

Danach sollte ihr System bzw der Einhängepunkt für das Linux Home wieder funktionieren.

Sonstige Dokumentation

Hier sammeln sich Dinge, die sonst nirgends reinpassen.

Diese Liste von Anleitungen ist nicht als grundsätzliche Empfehlung des RRZE zu verstehen, die entsprechende Software selbst zu betreiben bzw. die beschriebenen Schritte durchzuführen!
Die Inhalte sind nur als Ideensammluing oder allgemeine Dokumentation zu verstehen.

  • IPv6 Leitfadenin Entstehung
    Hier sollen Informationen zur Nutzung von IPv6 an der FAU gesammelt werden

Informationen zum Linux-Betrieb an der FAU

In der folgenden Liste von Softwarepaketen finden Sie wichtige Hinweise und Hilfe zum Betrieb der jeweiligen Software an der FAU.
Falls Sie eines der hier aufgelisteten Pakete einsetzen beachten Sie bitte die ggf. vorhandenen Hinweise auch dann, wenn vermeintlich „alles läuft“.
So kann ein reibungsloser und sicherer Betrieb sichergestellt werden.

  • Docker
    Betrieb von Docker-Containern an der FAU
    Bitte Hinweise zur Netzwerkkonfiguration beachten!
  • Verwendung von Adressbereichen
    Übersicht über die Verwendung verschiedener Adressbereiche zur Vergabe von IDs (z.B. uidNumber, gidNumber, …)
    Bitte unbedingt beachten bei der Anlage lokaler Benutzer/Gruppen auf RRZE-verwalteten Rechnern!

Druck- und Dateiserver

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detailierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Das RRZE bietet diverse Druck-  und Dateidienste an, die teilweise sogar kostenlos allen Mitgliedern der FAU zur Verfügung stehen.
Die folgenden Anleitungen sollen Ihnen helfen diese Dienste zu nutzen.

  • Drucken über FAUPRINT
    Diese Anleitung beschreibt die Einrichtung von Druckern, die über den FAU-weiten Druckserver des RRZE (FAUPRINT) verwaltet werden
  • NFSv4-Server
    Kurzanleitung mit benötigten Paketen und Konfigurationsbeispielen zum Betrieb eines NFSv4 Dateiservers (inkl. Kerberos)

Anbindung an die Kerberos-Infrastruktur des RRZE

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detailierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Das RRZE setzt – wo immer möglich – auf die Authentifizierung mit Kerberos. Manche Dienste sind sogar ausschließlich per Kerberos nutzbar (z.B. das Linux-Homelaufwerk).
Die folgenden Anleitungen sollen Ihnen helfen Ihre selbstverwalteten Systeme an die Kerberos Infrastruktur des RRZE anzubinden.

  • Kerberos und langlaufende Prozesse
    Hinweise zur Ausführung langlaufender Prozesse (>10 Stunden) und Kerberos
    Bitte beachten, um Probleme mit abgebrochenen Jobs zu vermeiden!
  • Kerberos und WebSSO
    Anleitungen für gängige Browser, für automatische Kerberos Authentifizierung am WebSSO-Dienst der FAU

Anbindung an die LDAP-Infrastruktur des RRZE

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detailierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die LDAP-Infrastruktur des RRZE.

  • LDAP-Anbindung für Rechner mit SSSD
    Diese Anleitung beschreibt das Anlegen eines Hosteintrags zum Zugriff auf die RRZE LDAP-Server für einen selbstverwalteteten Rechner und die Installation und Konfiguration des SSSD zur Benutzerauthentifizierung unter Ubuntu.
  • LDAP-Anbindung generischer Systeme
    Diese Anleitung beschreibt allgemein die Infrastruktur der RRZE LDAP-Server, um ggf eine Anbindung von eigenen Softwarepaketen realisieren zu können
  • LDAP-Gruppen
    Diese Anleitung beschreibt wie Sie automatisch befüllte oder manuell gepflegte Gruppen für Ihre Zwecke in den LDAP-Servern des RRZE bereitstellen lassen können

Dokumentation für selbstverwaltete Systeme

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detailierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die RRZE-Infrastruktur.

  • rrzelinux Kommandozeileninterface (CLI) (nur für IT-Betreuer) – derzeit Überführung in Produktivbetrieb
    Diese Anleitung beschreibt die Installation des rrzelinux Kommdozeileninterfaces für Administratoren nicht vom RRZE verwalteter Rechner. Dies ermöglicht es Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (zB LDAP/Kerberos) anzubinden.
  • FAU-CA Zertifikat einbinden
    Diese Anleitung beschreibt die Installation der FAU-CA Zertifkatskette in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der FAU-CA ausgestellt wurden vertraut.
  • AutoFS
    Kurze Einführung und empfohlene Standardkonfiguration mit Beispielen
  • Paketverwaltung mit apt
    Pakete installieren, aktualisieren, von der Aktualisierung ausschließen, deinstallieren und das System sauber halten

Dokumentation für vom RRZE betreute Systeme

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Betreiber und Nutzer von Systemen bestimmt, die vom RRZE betreut werden.
Für detailierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Linux Build Service (OBS)

Die Linux-Gruppe betreibt für interessierte Nutzer eine lokale (im RRZE gehostete) Instanz des OpenSUSE Build Service (OBS).
OBS kann dazu genutzt werden automatisiert Pakete für verschiedene Architekturen und Distribution zu bauen und als Paketquelle bereitzustellen.

Der Linux Build Service ist erreichbar unter https://www.linux.rrze.fau.de/obs/

Diese Anleitung beschreibt einige Aspekte der Nutzung der RRZE-Instanz dieses Dienstes.
Es besteht kein Versorgungsanspruch.

 

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Vorraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Vorraussetzungen

Es werden grundlegende Kenntnisse im Umgang mit Ubuntu und der Kommandozeile vorrausgesetzt.

Es werden sehr gute Kenntnisse im Paketbau und Umgang mit OBS vorrausgesetzt.
Bei Problemen können wir hier wenig oder keine Beratung liefern, da dies oft mit hohem Aufwand verbunden ist.

Zugang/Login

Der Zugang zum Linux Build Service ist derzeit per Apache Konfiguration auf die folgenden Netze beschränkt:

Require ip 131.188.19.0/27
Require ip 131.188.18.0/26
Require ip 10.84.2.0/24

Um einen Login zum Linux Build Service zu erhalten wenden Sie sich mit Ihrem Anliegen (inkl. kurzer Beschreibung was Sie vorhaben) bitte an rrze-linux@fau.de
Bitte beachten Sie, dass wir den Dienst aktuell nur intern nutzen.

Pakete

Zum Einbinden von Paketquellen müssen folgende Pakete ür Ubuntu 16.04/18.04/20.04 installiert werden:

bash$ sudo apt-get install apt

Zur Verwaltung und Bau eigener Pakete müssen folgende Pakete für Ubuntu 16.04/18.04/20.04 installiert werden:

bash$ sudo apt-get install osc

Einbinden von Paketquellen

Für das Einbinden von Linux OBS Repositories werden Zugangsdaten benötigt. Diese haben nichts mit dem Login für die Online Oberfläche zu tun und können bei Bedarf unter rrze-linux@fau.de erfragt werden.

Das Folgende Beispiel zeigt exemplarisch das Vorgehen zum Einbinden des System:Net:Apache Projektes:

# 1. Create file with reference to the repo
bash$ cat /etc/apt/sources.list.d/rrze-obs.list
deb https://www.linux.rrze.fau.de/obsrepo/System%3A/Net%3A/Apache/xUbuntu_18.04/ ./

# 2. Add file containing the authentication credentials
bash$ cat /etc/apt/auth.conf.d/rrze-obs.list
machine www.linux.rrze.fau.de login {USERNAME} password {PASSWORD}

# 3. Download and add the repository to the trusted APT keys
bash$ curl -L https://{USERNAME}:{PASSWORD}@www.linux.rrze.fau.de/obsrepo/System%3A/Net%3A/Apache/xUbuntu_18.04/Release.key | apt-key add -
 % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1428 100 1428 0 0 95200 0 --:--:-- --:--:-- --:--:-- 95200
OK

Bau eigener Pakete

Der Linux Build Service ist erreichbar unter https://www.linux.rrze.fau.de/obs/

TODO

Command Line Interface über OSC

Der BuildService stellt mit OSC auch ein Kommandozeileninterface bereit.
Als Server-URL ist hier ebenfalls https://www.linux.rrze.fau.de/obs/ einzutragen.

CIP-Pool Remote Zugriff über VNC

Im RRZE-Betreuten CIP-Pool EEIWW kann mittels VNC die CIP-Pool Maschinen zugegriffen werden.
Hierzu wird folgende Software benötigt:

  • VPN Client – Empfohlen wird der CISO VPN Client im Splittunnel Betrieb
  • SSH Client – für Windows wird PuTTY empfohlen
  • TurboVNC Client – Clients für alle gängigen Betriebssysteme (Windows, Linux, MacOS) vorhanden

Nach der Installation der Programme sind folgende Schritte zum Starten des VNC Servers und Aufbau der Verbindung notwendig.

  1. Verbindung zum FAU-VPN (VPN Client im Splittunnel)
  2. Anmeldung per SSH und starten des VNC-Servers
  3. Starten des TurboVNC Clients und Aufbau der VNC Verbindung

Es muss zunächst eine Verbindung zum FAU-VPN bestehen, da die CIP-Pool Maschinen ohne VPN nicht von außerhalb des UNI-Netzes erreichbar sind. Mit vorhandener VPN-Verbindung kann nun mittels des SSH-Clients eine Verbindung zu einer CIP-Pool Maschine hergestellt werden. Die Anmeldung erfolgt den CIP-Anmeldedaten. Nach erfolgreichen Login kann mit „start_vnc“ der VPN Server gestartet werden. Zunächst muss einmalig ein Passwort für den Zugriff gesetzt werden (bitte nicht das IdM-Passwort). Nachdem der VNC Server erfolgreich gestartet wurde ist eine Ausgabe wie folgt zu sehen:

Desktop 'TurboVNC: cip114-23:1 (<kennung>)' started on display cip114-23:1

Starting applications specified in /home/eeiww/<kennung>/.vnc/xstartup.turbovnc
(Enabling VirtualGL)
Log file is /home/eeiww/<kennung>/.vnc/cip114-23:1.log

 

Jetzt kann mit dem TurboVNC Client die Verbindung zum Server aufgebaut werden. Hier sind Hostname und Display (siehe VNC-Server Log) notwendig. Z. B. cip114-23.ww.uni-erlangen.de:1. Daraufhin erfolgt die Authentifizierung mit dem vorher gesetzten Passwort.

Falls bereits eine VNC Session durch einen anderen Benutzer gestartet wurde, wird der nächste verfügbare Display z.B. :2 genutzt. Es wird emfohlen auf einer Maschine maximal 3 VNC Sessions zu nutzen. Falls ein Display größer :3 zugewiesen wird, sollte eine andere CIP-Pool Maschine genutzt werden.

Zum Schließen der Verbindung sollte ein Terminal geöffnet werden und der Befehl „stop_vnc“ abgesetzt werden.