Kompakte Notebooks Kompakte Notebooks - Wuala

Weitere Magazine

Empfehlungen

Info

Know-how | NFSv4 Yast richtet unter OpenSuse Freigaben für NFSv3 und NFSv4 ein, doch gibt sich das GUI dabei recht kryptisch. sichere Netze wie das Internet in Frage kommt. Dort nutzen beispielsweise viele Universitäten das Andrew File System, das sichere Authentifizierung, verschlüsselten Datentransport, Benutzerverwaltung und kryptografische Funktionen an Bord hat. In lokalen Netzen muss NFS sich mit dem aus der Windows- Welt stammenden Netzwerkdateisystem SMB/CIFS messen, das unter Unixen und Linux in Form des SMB/CIFS-Servers Samba bereitsteht. Es lässt sich vergleichsweise einfach und schnell einrichten, authentifiziert sicher Benutzer und Arbeitsstationen, lässt sich an Verzeichnisdienste wie Active Directory anbinden und besteht nur aus wenigen Programmen. Ab der Version 3.2 verschlüsselt Samba die Verbindungen zwischen Unix-Systemen und verbindet mehrere Einzelserver zu Clustern. Im Vergleich zu NFS bleibt SMB/CIFS jedoch bei der Geschwindigkeit zurück. Samba steht mittlerweile für viele Betriebssysteme (Mac OS X, Solaris, BSD und Linux) bereit. Microsoft hatte den Samba-Entwicklern Ende 2007 Zugang zu seinen Serverprotokollen gewährt und Anfang 2008 rund 45ˇ000 Seiten Dokumentation zu SMB/CIFS veröffentlicht. NFSv4 unter Linux Die erste Referenzimplementierung für Linux stammt von der CITI-Gruppe an der University of Michigan und ist mittlerweile Bestandteil des Linux-Kernels. Seit 2004 versteht der Linux- Kernel (2.6.4) die grundlegenden NFSv4-Operationen sowie die Authentifizierung per Kerberos (krb5/krb5i). Ab Version 2.6.18 verschlüsselt Linux die NFSv4- Anfragen (krb5p) [4]. Der NFS- Kernelserver unter Linux liefert Daten sowohl per NFSv3 als auch über die neue Version aus. Welches Protokoll er für Freigaben wählt, bestimmen die Optionen der Einrichtungsdatei (siehe Folgeartikel). Windows Für die alte NFS-Version (NFSv3) stellt das Microsoft-Betriebssystem einen eigenen Client bereit, der sich unter XP im Paket „Microsoft Windows Services for UNIX“ versteckt. Unter Vista (Ultimate/Enterprise) nennt er sich „Subsystem for UNIX-based Applications“ (siehe Soft-Link). Mit NFSv4 versteht er sich unterdessen nicht. Der einzige NFSv4- Client für Windows kommt von Hummingbird, die auch einen NFSv4-Server für Windows anbieten. Der NFS Maestro Client/Solo kostet zwar Lizenzgebühren, kann aber nach einer Anmeldung 60 Tage lang kostenlos getestet werden (siehe Soft-Link). Die Software klemmt sich an die aktive Netzwerkverbindung, stellt verschiedene Hilfen für die Verbindungseinrichtung bereit und besitzt einen NFS-Browser, der im LAN aktive Server zeigt. Per Vorgabe deaktiviert die Client-Software NFSv4, was sich über die Eigenschaften der aktiven LAN-Verbindung ändern lässt. Der Client authentifiziert sich per Kerberos und LIPKEY. BSD/Mac OS X Die University of Michigan hat bereits 2004 einen Kombi-Client für FreeBSD und Mac OS X veröffentlicht, der sich im Repository der BSD-Distribution findet (siehe Soft-Link). Auch für OpenBSD und NetBSD stehen Clients und Server bereit. Für Mac OS X (PPC und Intel) finden sich unter http://snowhite.cis. uoguelph.ca/nfsv4 ein NFSv4- Client und dessen Quelltexte. Apple selbst baut bislang nur Clients und Server für NFSv3 in sein Betriebssystem ein. OpenSolaris Suns Betriebssystem besitzt dank der Entwicklungsarbeit des Herstellers aktuelle Clients und Server für das Netzwerkdateisystem. Auf OpenSolaris und dem kommerziellen Solaris 10 stehen bereits Programme für die NFS-Version 4.1 bereit, die NFS-Sitzungen, Verzeichnisdelegation und paralleles NFS (pNFS) beherrschen (siehe Soft- Link). Wirrwarr der bisherigen Teilprotokolle ab. Sämtliche Funktionen für den Datenzugriff laufen über einen einzigen TCP-Port, was sich leicht mit Firewalls überwachen lässt. Im Unterschied zu NFSv3 ist es nicht zustandslos: Server und Client informieren sich gegenseitig über ihre Aktionen. Hängende Prozesse oder kaputte Daten, wie sie noch unter NFSv3 auftreten konnten, gehören damit der Vergangenheit an. Für einen Wechsel sprechen zusätzlich die flexiblere Einrichtung und die vereinfachte Wartung. Die neuen NFSv4-Sicherheitsfunktionen verlangen hingegen eine zusätzliche Kerberos-Infrastruktur und teilweise noch weitere Dienste. Den aktuellen Linux-Distributionen fehlen für deren oft komplizierte Einrichtung jedoch geeignete Hilfsmittel oder fertige Pakete, die passende Vorgaben setzen oder bei der Fehlersuche helfen. Eine vollständige NFSv4-Einrichtung samt sicherer Authentifizierung und Verschlüsselung über Kerberos benötigt daher reichlich Handarbeit, die unter Linux schnell in einer Sackgasse enden kann. Mehr Erfolg im Produktionseinsatz versprechen Solaris 10 oder OpenSolaris, die eine ausgereifte NFSv4-Implementierung samt Kerberos-Unterstützung mitbringen. Ein weiteres Problem stellen die NFSv4-Clients dar, die unter Windows und Mac OS X entweder kostenpflichtig oder nur als Quelltext vorliegen. Wer sicher und unkompliziert Daten zwischen Windows, Mac OS X und Linux tauschen will, dem stellt der NFS-Konkurrent Samba momentan weniger Stolperfallen in den Weg. SMB/CIFS läuft auf unterschiedlichen Betriebssystemen und beherrscht selbst in der Minimaleinrichtung die sichere Benutzeranmeldung. (rek) Literatur [1]ˇIETF-Standard zu NFSv4 (RFC 3530): www.heise.de/netze/rfc/ rfcs/rfc3530.shtml [2]ˇNFSv4 Minor 1: http://tools. ietf.org/html/draft-ietf-nfsv4-min orversion1-28 [3]ˇKerberos 5 (RFC4120): www.heise. de/netze/rfc/rfcs/rfc4120.shtml [4]ˇNFSv4 Linux Features: www.citi. umich.edu/projects/nfsv4/linux/ features.html Fazit Den Netzwerkpfad Wer im LAN Verzeichnisse ohnehin per NFSv3 an andere Rech- des NFS-Servers bildet der Maestro- ner exportiert und dabei auf Kerberos verzichtet, kann gleich aus Client unter Windows auf einen Laufwerksbuchstaben ab. umsteigen: NFSv4 schafft das Soft-Link 0902180 mehreren Gründen auf NFSv4 c 182 c’t 2009, Heft 2 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
Praxis | NFSv4 unter Linux Reiko Kaps Daten-Sprinter NFSv4 unter Linux Die aktuellen Linux-Distributionen haben das Network File System Version 4 an Bord und verteilen damit flott ganze Dateisysteme. Die Neuerungen von NFSv4 machen Lust auf einen ersten Blick, zumal die meisten Linuxe alle nötigen Pakete für das verteilte Dateisystem schon mitbringen. Das eigene Netz benötigt für die Experimente einige Voraussetzungen. In der einfachsten Einrichtung authentifiziert NFSv4 Clients über ihre IP-Adresse, die der Server gegen das Domain Name System (DNS) überprüft. Die meisten Netze besitzen dank des Heim-Routers zwar einen lokalen DNS-Server. Doch verwaltet dieser meist nicht die Rechner des lokale Netzes, sodass man entweder einen zweiten Server aufsetzen oder die Adress-Namens-Zuordnung in der Datei /etc/hosts (auf allen LAN-Rechnern) eintragen muss. Bei nur einem NFS-Server und einem Client reichen dort die beiden Zeilen 192.0.2.10 nfs-server.example.net 192.0.2.11 nfs-client.example.net Alle Adressangaben entstammen dem Bereich 192.0.2.0/24, der für die Dokumentation reserviert ist. Auch die Domainnamen folgen den Empfehlungen aus RFC 2606 und müssen für eigene Experimente angepasst werden. Netzwerkfreigaben, klassisch Der NFSv4-Server steckt in den meisten Linux-Distributionen im Paket nfs-kernel-server, das der Paketmanager nachlädt und installiert. OpenSuse benötigt zusätzlich den Wert NFS4_SUPPORT= "yes" in der Datei /etc/sysconfig/ nfs, der NFSv4 nach einem Neustart des NFS-Servers einschaltet. Anschließend überprüft man, ob alle nötigen Dienste laufen. Der Aufruf ps ax | egrep ’rpc|nfs’ sollte eine Ausgabe liefern, die dem folgenden Beispiel ähnelt: 2036 ? S< 0:00 [nfsiod] 2521 ? S< 0:00 [nfsd4] 2522 ? S 0:00 [nfsd] ... 1663 ? S< 0:00 [rpciod/0] 2029 ? Ss 0:00 /sbin/rpc.statd 2045 ? Ss 0:00 — /usr/sbin/rpc.idmapd 2533 ? Ss 0:00 — /usr/sbin/rpc.mountd Die Prozesse nfsd, rpc.statd und rpc.mountd gehören zu NFSv3, nfsd4 und rpc.idmapd zu NFSv4. Anders als seine Vorgänger hängt NFSv4 die Freigaben in ein Basisverzeichnis ein. Der Befehl mkdir /srv/nfsv4 legt es an und die Zeile /srv/nfsv4 192.0.2.0/24(rw,fsid=0, — insecure,no_subtree_check,async) in der Datei /etc/exports teilt es dem NFS-Server mit. Das NFSv4- Basisverzeichnis benötigt zwingend die Option fsid=0, die es als Wurzelverzeichnis markiert und über das ein Client alle Freigaben des Servers in einem Rutsch einhängen kann. Diese Freigabe authentifiziert Clients wie die Vorgängerversion über die IP-Adresse oder den Hostnamen – mit der Angabe 192.168.1.0/24 können alle Rechner aus einem privaten Netz zugreifen. Die weiteren Optionen zwischen den Klammern sind optional, sie erlauben NFS- Zugriffe von Ports überhalb 1024 (insecure) und Schreibzugriffe (rw). Der Parameter async schaltet asynchrones Schreiben ein und no_subtree_check eine Sicherheitsfunktion ab, die überprüft, ob sich eine vom Client angesprochene Datei im freigegebenen Verzeichnisbaum befindet. Das Basisverzeichnis nimmt weitere Freigaben als normale Verzeichnisse auf. Der Befehl mount –bind Quellverzeichnis Freigabeverzeichnis verbindet anschließend ein Datenverzeichnis mit der Freigabe unterhalb von /srv/nfsv4: mkdir /srv/nfsv4/daten mount -ˇ-bind /home /srv/nfsv4/daten Für eine dauerhafte Freigabe benötigt die Datei /etc/exports den Eintrag /srv/nfsv4/daten 192.0.2.0/24(rw,nohide, — insecure,async,no_subtree_check) Der zusätzliche Parameter nohide weist den Server an, die Freigabe nicht zu verstecken. Mit der Zeile /home /srv/nfsv4/daten none bind 0 0 in /etc/fstab verknüpft Linux die Freigabe mit dem Datenverzeichnis gleich beim Start. Änderungen an den Freigaben in /etc/exports teilt der Befehl exportfs -ra dem NFS-Server mit. Temporäre NFS-Freigaben benötigen keinen Eintrag in /etc/exports, sie lassen sich mittels exportfs anlegen: exportfs -o rw,nohide,insecure — 192.0.2.0/24:/srv/nfsv4/daten Unter OpenSuse 11 steht für die Grundeinrichtung des NFSv4- Servers ein Yast-Frontend bereit. Will man allerdings Freigaben in das Basisverzeichnis einbinden, erleichtert das GUI die Arbeit nicht: Die Hilfe gibt sich kryptisch und schlägt vor, die Option bind=/target/path einzufügen. Wo diese hingehört, offenbart Yast hingegen nicht. Die oben beschriebene Methode per Kommandozeile führt aber auch dort zum Ziel. Für das Auflösen von Benutzernamen benötigt NFSv4 sowohl auf dem Client als auch auf dem Server den Dienst idmapd, der per Vorgabe Benutzer- und Gruppennamen via /etc/passwd respektive /etc/group in ihre Kennungen umsetzt. Idmapd liest seine Einstellungen aus der Datei /etc/idmapd.conf. Dort setzt man den Wert hinter Domain = auf den Wert der eigenen, lokalen Domain und startet Client- und Server-Software neu. Kann idmapd die Benutzerund Gruppenkennung nicht zuordnen, bildet es sie auf einen Benutzer mit minimalen Rechten ab (nobody, nogroup). Die Zuordnung lässt sich unter [Mapping] anpassen. In dieser Einrichtung kümmert sich idmapd nicht um die korrekte Übersetzung zwischen gleichen Benutzernamen, die aber unterschiedliche User-IDs besitzen: Ein Client-Benutzer namens gast mit der User-ID 5001 kann auf dem Server nicht schreiben, wenn der dortige Gast-Account eine abweichende ID besitzt. Der Befehl mount -t nfs4 nfs-server:/ /Einhängepunkt verknüpft die Server-Freigaben mit dem Dateisystem des Clients. NFS getunnelt In der Kombination mit SSH lässt sich NFSv4 recht leicht verschlüsseln und über Netzwerkgrenzen tunneln. Auf dem Server benötigt dies eine Freigabe für localhost respektive für die IP-Adresse 127.0.0.1. Der Client verbindet sich mittels des Kommandos ssh -L 8888:localhost:2049 nfs-server.example. net zum NFS-Server. Der Parameter -L tunnelt über die SSH-Verbindung den NFS-Port 2049 auf dem Server zum Port 8888 auf dem Client-Rechner, der die Freigaben durch mount -t nfs4 -o port=8888,proto=tcp localhost:/remote /mnt/remote in sein eigenes Dateisystem einhängt. (rek) NFS-Freigaben bindet OpenSuse über ein Yast- Interface ein, das mittels eines Browsers die Server im Netz finden kann. Soft-Link 0902183 c c’t 2009, Heft 2 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 183
Seite 1 und 2:
Mit Stellenmarkt magazin für compu
Seite 3 und 4:
Im Wald allein Manchmal liegt es au
Seite 5 und 6:
© Copyright by Heise Zeitschriften
Seite 7 und 8:
Schöner hören Tausende Musiktitel
Seite 9 und 10:
Seite 11 und 12:
Leserforum | Briefe, E-Mail, Hotlin
Seite 13 und 14:
Seite 15 und 16:
c’t | Schlagseite c’t 2009, Hef
Seite 17 und 18:
aktuell | Hardware ∫ Hardware-Not
Seite 19 und 20:
aktuell | Notebooks Netbooks mit UM
Seite 21 und 22:
Seite 23 und 24:
aktuell | Peripherie Blickwinkelsta
Seite 25 und 26:
aktuell | Audio/Video Multimedia-Pl
Seite 27 und 28:
aktuell | Anwendungen Diashows für
Seite 29 und 30:
Seite 31 und 32:
aktuell | Linux Andrea Müller Fris
Seite 33 und 34:
Seite 35 und 36:
aktuell | Online-Durchsuchungen men
Seite 37 und 38:
aktuell | Ausbildung, Netzwerke Ast
Seite 39 und 40:
Seite 41 und 42:
kurz vorgestellt | A3-Tintendrucker
Seite 43 und 44:
kurz vorgestellt | DVD-Player mit U
Seite 45 und 46:
kurz vorgestellt | Gitarrenverstär
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Report | Microsoft Auto mit Eco:Dri
Seite 55 und 56:
Prüfstand | 4-TByte-Platte Vorsich
Seite 57 und 58:
Prüfstand | Zeichen-Software Fläc
Seite 59 und 60:
Report | Service & Support ihm 1&1.
Seite 61 und 62:
Report | Ortung kennen und feststel
Seite 63 und 64:
Report | Ortung Firmen wie der GPSa
Seite 65 und 66:
Report | Ortung Schnüffeln ist str
Seite 67 und 68:
Report | Quantenkryptografie nenpaa
Seite 69 und 70:
Report | Quantenkryptografie Positi
Seite 71 und 72:
Report | Quantenkryptografie gelten
Seite 73 und 74:
Seite 75 und 76:
Prüfstand | Sicherheit: Antiviren-
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Praxis | Sicherheit: Windows abscho
Seite 85 und 86:
Seite 87 und 88:
Praxis | Sicherheit: Passwörter wi
Seite 89 und 90:
Prüfstand | ADSL-WLAN-Router hand
Seite 91 und 92:
Prüfstand | ADSL-WLAN-Router Mit d
Seite 93 und 94:
Prüfstand | ADSL-WLAN-Router Belki
Seite 95 und 96:
Prüfstand | ADSL-WLAN-Router T-Hom
Seite 97 und 98:
Prüfstand | ADSL-WLAN-Router ADSL-
Seite 99 und 100:
Prüfstand | ADSL2+-Router Die QoS-
Seite 101 und 102:
Seite 103 und 104:
Prüfstand | Displays tionelle Back
Seite 105 und 106:
Prüfstand | Displays Einblickwinke
Seite 107 und 108:
Prüfstand | Displays AL2216WL bd V
Seite 109 und 110:
Seite 111 und 112:
Prüfstand | 13,3-Zoll-Notebooks Vi
Seite 113 und 114:
Prüfstand | 13,3-Zoll-Notebooks Fu
Seite 115 und 116:
Prüfstand | 13,3-Zoll-Notebooks Sc
Seite 117 und 118:
Prüfstand | 13,3-Zoll-Notebooks ne
Seite 119 und 120:
Prüfstand | 13,3-Zoll-Notebooks Fa
Seite 121 und 122:
Prüfstand | Satelliten-Internet Vo
Seite 123 und 124:
Seite 125 und 126:
Prüfstand | Grafikkarten Nvidias Q
Seite 127 und 128:
c’t 2009, Heft 2 © Copyright by
Seite 129 und 130:
Prüfstand | Grafikkarten Der Test
Seite 131 und 132: Prüfstand | Grafikkarten chen. AMD
Seite 133 und 134: Report | DSL-Sharing beispielsweise
Seite 135 und 136: © Copyright by Heise Zeitschriften
Seite 137 und 138: Recht | Privacy lichen Einsatzzweck
Seite 143 und 144: Report | Musiksammlung de luxe ten.
Seite 145 und 146: Praxis | Musiksammlung de luxe: Kom
Seite 147 und 148: Praxis | Musiksammlung de luxe: MP3
Seite 153 und 154: Report | CD-Digitalisierungsdienst
Seite 157 und 158: Praxis | Hotline det sich der exter
Seite 159 und 160: Praxis | Hotline Manchmal verhinder
Seite 163 und 164: Praxis | Windows Vista gruppiert we
Seite 165 und 166: Praxis | Gimp-Skripte Solche Blumen
Seite 167 und 168: Praxis | Gimp-Skripte Ein mit der F
Seite 169 und 170: Praxis | Software-RAIDs unter Linux
Seite 173 und 174: Know-how | Zufallszahlen Aber Vorsi
Seite 175 und 176: c’t 2009, Heft 2 © Copyright by
Seite 177 und 178: Know-how | Zufallszahlen Statistisc
Seite 179 und 180: Know-how | Zufallszahlen gewinnen G
Seite 181: Know-how | NFSv4 NFSv3 mangelt es b
Seite 189 und 190: Buchkritik | Mac-Programmierung Aar
Seite 191 und 192: Spiele | Wirtschaftssimulation Zwis
Seite 197 und 198: Illustrationen: Michael Thiele, Dor
Seite 199 und 200: „Woher hatten die Boten die Chips
Alle anzeigen

Kompakte Notebooks Kompakte Notebooks - Wuala

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?