RRZE Linux Homelaufwerk

Das RRZE bietet für alle Mitglieder der FAU ein kostenloses Home als Netzlaufwerk an.

Vorraussetzung zur Nutzung des RRZE Linux Homes ist eine gültige IdM Kennung.
Außerdem kann das Home nur per NFS und mit krb5p verschlüsselt eingebunden werden.
Aktuell gelten folgende Standard-Quotas:

Mitarbeiter 10 GB
Studierende 2 GB

Informationen bezüglich einer Quotaerweiterung  erhalten Sie auf unserer Hompage unter Preise & Kosten.

Im Folgenden wird beschrieben wie Sie dieses Home zur Nutzung auf Ihren Systemen einrichten können.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Vorraussetzungen für ein sinnvolles Umsetzen Anleitung der erfüllt sein.

Kerberos

Vorraussetzung zur Nutzung des RRZE Linux Homelaufwerks ist eine funktionierende Anbindung an die Kerberos Infrastruktur des RRZE.
Siehe Anbindung an die Kerberos-Infrastruktur des RRZE

Pakete

Folgende Pakete für Ubuntu 18.04 müssen installiert werden:

bash$ sudo apt-get install nfs-common

Konfiguration

Ab Ubuntu 18.04 ist keine weitere Konfiguration erforderlich.
Stellen Sie jedoch sicher, dass die Datei /etc/krb5.keytab vorhanden und der rpc-gssd gestartet ist:

# Keytab prüfen
bash$ ls -alh /etc/krb5.keytab 
-rw------- 1 root root 1,1K Mai 21 2019 /etc/krb5.keytab

# rpc-gssd Status abfragen
bash$ sudo systemctl status rpc-gssd
● rpc-gssd.service - RPC security service for NFS client and server
Loaded: loaded (/lib/systemd/system/rpc-gssd.service; static; vendor preset: enabled)
Active: active (running) since Fri 2020-11-20 08:08:35 CET; 1 months 28 days ago
Main PID: 739 (rpc.gssd)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/rpc-gssd.service
└─739 /usr/sbin/rpc.gssd

Nov 20 08:08:35 systemd[1]: Starting RPC security service for NFS client and server...
Nov 20 08:08:35 systemd[1]: Started RPC security service for NFS client and server.

# ggf den rpc-gssd starten, falls er nicht schon läuft oder oder neu starten, falls es 
# zu Problemen kommen sollte 
bash$ sudo systemctl restart rpc-gssd

Einbinden und Nutzen

Das eigentliche Einbinden des RRZE Linux Homes erfolgt dann mit folgendem Befehl (hier nur auf einem Test-Mount):

bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test

Bedenken Sie, dass für den eigentlichen Zugriff ein gültiges Kerberos Ticket benötigt wird.
Falls Sie also bisher als root angemeldet waren sollten Sie sich jetzt als normaler Benutzer anmelden. Stellen Sie dann sicher, dass Sie über ein gültiges Kerberos Ticket verfügen (kinit/klist) und testen Sie den Mount indem Sie in ihr RRZE Linux Home wechseln:

bash$ cd /mnt/test/$USERNAME

Nach erfolgreichem Test kann der Unmount dann wieder als root erfolgen.

Für den Produktivbetrieb empfiehlt sich der Einsatz von AutoFS, zum automatischen Einhängen des RRZE Linux Home Laufwerks bei Bedarf bzw. automatischem Wiederherstellen des Laufwerks bei Verbindungsabbrüchen.

Bitte beachten Sie dazu die entsprechende Dokumentation des RRZE bezüglich AutoFS.

Fehlersuche und -behebung

Sollte das Einbinden des RRZE Linux Homes nicht funktionieren können Sie zunächst folgende Liste zur Fehlersuche durchgehen, um zu versuchen das Problem zu beheben oder zumindest einzugrenzen.

1. Erreichbarkeit testen

Stellen Sie sicher, dass Sie unseren Fileserver unter rrzenfs4.rrze.uni-erlangen.de erreichen können und keine Firewall den Zugriff blockiert:

bash$ ping -w3 rrzenfs4.rrze.uni-erlangen.de
PING rrzenfs4.rrze.uni-erlangen.de (131.188.12.87) 56(84) bytes of data.
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=1 ttl=61 time=0.239 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=2 ttl=61 time=0.606 ms
64 bytes from rrzenfs4.rrze.uni-erlangen.de (131.188.12.87): icmp_seq=3 ttl=61 time=0.613 ms

--- rrzenfs4.rrze.uni-erlangen.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2034ms
rtt min/avg/max/mdev = 0.239/0.486/0.613/0.174 ms

2. Kerberos Konfiguration prüfen

Stellen Sie sicher, dass Sie mit kinit ein gültiges Kerberos Ticket erhalten können und der NFS-Principal für Ihren Client installiert ist.
Dafür können Sie die folgenden zwei Tests durchführen und prüfen, ob die Ausgabe – jeweils für Ihren Benutzernamen/Hostnamen – korrekt ist:

# Test des Ticketabrufs
bash$ kinit
Password for [USERNAME]@LINUX.FAU.DE: 
bash$ klist
Ticket cache: FILE:/tmp/krb5cc_XXXXX
Default principal: [USERNAME]@LINUX.FAU.DE

Valid starting Expires Service principal
18.01.2021 11:45:41 18.01.2021 21:45:41 krbtgt/LINUX.FAU.DE@LINUX.FAU.DE

# Test für NFS-Principal
bash$ sudo klist -kte
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 29.01.2017 08:57:04 host/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes256-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (aes128-cts-hmac-sha1-96) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (des3-cbc-sha1) 
2 20.03.2017 17:37:53 nfs/[YOUR-HOST]@LINUX.FAU.DE (arcfour-hmac)

3. GSSD prüfen

Es kam hin und wieder vor, das ein fehlerhafter oder nicht-gestarteter rpc.gssd  Dienst einen erfolgreichen Mount verhinderte.
Prüfen Sie ob der Dienst läuft und starten Sie Ihn im Zweifel nocheinmal neu:

bash$ ps -C rpc.gssd
PID TTY TIME CMD
739 ? 00:00:00 rpc.gssd


bash$ sudo systemctl restart rpc-gssd

4. Testmount durchführen

Versuchen Sie einen manuellen Mount durchzuführen und achten Sie auf ggf. auftretende Fehlermeldungen

bash$ sudo mkdir -p /mnt/test
bash$ sudo mount -v -t nfs4 -o minorversion=1,sec=krb5p rrzenfs4.rrze.uni-erlangen.de:/export/linuxhome /mnt/test
mount.nfs4: timeout set for Mon Jan 18 15:29:33 2021
mount.nfs4: trying text-based options 'minorversion=1,sec=krb5p,vers=4,addr=131.188.12.87,clientaddr=10.188.78.67'

5. Logdateien prüfen

Sollten die bisherigen Schritte keinen Hinweis auf die Fehlerursache geben und trotzdem immernoch kein Mount möglich sein prüfen Sie das Syslog auf Fehlermeldungen:

bash$ sudo less -Rinf /var/log/syslog
SHIFT+G ans Ende der Datei springen
:?<SUCHBEGRIFF> nach oben suchen
:/<SUCHBEGRIFF> nach unten suchen

Fehlerbehebung

Sollte ein bestehender Mount aus irgendeinem Grund nicht mehr reagieren, kann man versuchen mittles „lazy“ unmount und remount wieder ein funktionsfähiges System zu erhalten ohne das ein Neustart nötig ist.

Dies ist nur als Notlösung zu verstehen. Es ist nicht garantiert, dass dieses Vorgehen zum Erfolg führt.

Die folgende Befehlsfolge geht davon aus, dass Sie das Home mittels AutoFS unter dem Pafd /home/rzlin eingebunden haben.

bash$ sudo umount -l /home/rzlin
bash$ sudo systemctl restart rpc-gssd
bash$ sudo systemctl restart autofs

Danach sollte ihr System bzw der Einhängepunkt für das Linux Home wieder funktionieren.