Humboldt-Universität Berlin - Rechenzentrum
Humboldt-Universität Berlin - Rechenzentrum
Humboldt-Universität Berlin - Rechenzentrum
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Einführung von DCE<br />
im Netz der <strong>Humboldt</strong>-Universität<br />
Winfried Naumann<br />
<strong>Humboldt</strong>-Universität zu <strong>Berlin</strong>/<strong>Rechenzentrum</strong><br />
5. DCE-Workshop, Augsburg 11./12.11.99
Die folgenden Ausführungen gelten nur für<br />
den Hochschulbereich<br />
- die Charité (Medizinische Fakultät) betreibt<br />
ein relativ eigenständiges Netz.
Der Zeitplan<br />
vor 2 Jahren:<br />
Entscheidung für die Einführung von<br />
DCE/DFS<br />
vor 1 Jahr:<br />
Beginn der Einführung in die Produktion<br />
(Einrichtung der DCE-Zelle,<br />
Übernahme der NIS-Passwörter, ...)
in der Zwischenzeit:<br />
– Test aller (Betriebs-) Systeme innerhalb von<br />
Testzellen auf Lauffähigkeit, Stabilität<br />
– Testen aller bisher angebotenen Dienste,<br />
ob Sie in DCE/DFS integrierbar sind<br />
(Mail-, Web-, Radius-, FTP- , Computeu.a.<br />
Server, Einwahlmöglichkeiten,<br />
Abrechnungssystem)
– Testen der Integrationsmöglichkeiten für<br />
PC-Clients/Server<br />
– Test, ob alles mit unserem Namenskonzept<br />
funktioniert<br />
(Accounts der Form dept/user, z.B rz/awn,<br />
siehe später)
1.4.99<br />
Wunsch-Termin für die Umstellung auf<br />
DCE/DFS,<br />
nicht gescheitert an DFS,<br />
sondern am Programmierungsaufwand<br />
für das Abrechnungssystem<br />
4./5.12.99 = Tag X (in 3 Wochen)<br />
endgültiger Umstellungstermin :-)
siehe auch:<br />
Frank Sittel,<br />
Einführung von DCE am <strong>Rechenzentrum</strong><br />
http://www.hu-berlin.de/rz/rzmit/rzm16/6.html<br />
(Artikel in den RZ-Mitteilungen Nr. 16,<br />
Juni 1998)
Das HU-Netz<br />
– ca. 25.200 Benutzer im NIS (vor einem Jahr<br />
noch 16.000),<br />
pro Semester ca. 4000 Accounts<br />
– ca. 600 Workstations (Solaris, AIX, Digital<br />
UNIX, Irix, HP-UX, Linux)<br />
– 12 dezentrale Fileserver (Solaris, AIX)
– UniTree auf CONVEX C3820 ES mit<br />
Metrum VHS-Robotersystem RSS-600<br />
(HSM),<br />
SM-arch (Software Moguls)<br />
Ablösung wegen Jahr 2000-Problem<br />
– ca. 3500 PCs<br />
– PC-Netz unter Banyan VINES:<br />
90 Server, ca. 5000 Benutzer
Konzept der DCE-Zelle<br />
Entwurf, Projektleiter:<br />
Frank Sittel<br />
sittel@rz.hu-berlin.de
1.Einplanung der Möglichkeit einer<br />
dezentralen Verwaltung innerhalb der Zelle.<br />
(nach einem Konzept von Dr. Dieter Mack,<br />
Uni Hohenheim, siehe<br />
http://www.uni-hohenheim/rz/mack/mack.html)
Möglichkeiten:<br />
– für die einzelnen Struktureinheiten hierarchische<br />
Zellen ausgründen;<br />
– innerhalb einer Zelle eine Struktur erzeugen, die<br />
gegeneinander abgeschirmte, administrative<br />
Bereiche im CDS-, DFS- und Security-Bereich<br />
enthält;<br />
Wir haben uns für die zweite Variante entschieden.
– Einschieben einer zusätzlichen Directory-Ebene<br />
für die einzelnen Struktureinheiten (/dept), an<br />
der die entsprechenden Rechte für lokale<br />
Administratoren befestigt werden;<br />
– Nutzung der Eigenschaft, auch im Security-<br />
Bereich Directories anlegen zu können;<br />
– ähnl. Verfahren im CDS-Raum für die host-<br />
Einträge und im DFS-Raum für die<br />
Dateiverzeichnisse;
– Nachteil:<br />
es entstehen Accounts, die das Directory (für<br />
die Strukturebene) im Namen enthalten,<br />
was zu Schwierigkeiten mit diverser Software<br />
führt (dazu später);<br />
Beispiele:<br />
alt<br />
neu<br />
Accounts: h0043xyz rz/pwn<br />
Gruppen: p0043 rz/sys
– zusätzlich wird zum Directory<br />
der Struktureinheit (z.B. bio) ein User-Objekt<br />
(bio) erzeugt,<br />
damit z.B. Dinge wie cd ~bio/xbn<br />
funktionieren;<br />
Pfade im DFS:<br />
/.../dce.hu-berlin.de/fs/home/org/group/ident<br />
Bsp.<br />
/.../dce.hu-berlin.de/fs/home/med/stud/awn
2.Jeder Benutzer erhält ein eigenes Fileset<br />
(sonst funktionieren Quotas nicht).<br />
3.“Einsammeln” der NIS-Passwörter und<br />
Eintragung in die DCE-Registry seit dem<br />
Start der DCE-Zelle mit entspr.<br />
angepaßtem Perl-Skript ANLpasswd<br />
(überwacht bei uns die Eingabe besserer<br />
Passwörter).<br />
ftp://info.mcs.anl.gov/pub/systems/anlpasswd.tar.Z
Jeder Passwort-Wechsel wird seitdem in<br />
beiden Systemen vollzogen (NIS, DCE),<br />
ohne daß sich für die Benutzer etwas ändert.<br />
4.Der alte Account (Form h0zzzaaa) wird in<br />
der DCE-Registry als Alias zum neuen<br />
Account (Form dept/aaaa) weiter<br />
mitgeführt.<br />
– die Registry hat z.Z. ca. 50.400 Einträge;
– in der Phase bis zur endgültigen Abschaltung<br />
von NIS (Tag X) können die Clients bereits auf<br />
DCE umgestellt werden;<br />
Nutzer, denen bereits ein DCE-Login gelingt,<br />
werden im NFS Home Directory abgesetzt.<br />
– auch am Tage X+y gelingt Benutzern, die die<br />
Umstellung verschlafen haben weiterhin das<br />
Login mit altem Account,<br />
besser:<br />
wir brauchen den Benutzern erst nach dem<br />
Abklingen der Umstellungsprobleme zu<br />
erklären, daß ihr Account anders lautet.
aktuelle Konfiguration<br />
– DCE 1.2.2 auf allen Maschinen<br />
(außer Solaris: Fileservice und Clients<br />
1.2.2, Security Service und CDS 1.1)<br />
– z.Z. Security-Server und CDS auf einer<br />
extra Maschine (SPARC Ultra1, 256 MB,<br />
Fast Ethernet), später auf DFS-Server
– 2 DFS-Server (später Einbeziehung der<br />
vorhandenen dezentralen Fileserver):<br />
SPARC Ultra2, 2x300 MHz, 512 MB bzw.<br />
1GB RAM, Fast Ethernet, Solaris 2.6,<br />
jeweils mit Storage Array IBM T40 (z.Z.<br />
nur 72 GB für Aggregate)<br />
Ausfallsicherheit:<br />
jede Maschine nutzt nur eine Hälfte ihres<br />
T40 und spiegelt jeweils auf die zweite<br />
Hälfte des anderen T40 (noch Test).
– Mail-Server (sendmail):<br />
läuft auf den DFS-Servern (Ausfallsicherheit<br />
durch Redundanz),<br />
schreibt in die Inboxen per epimount<br />
(zur Performance-Steigerung, müßte sonst<br />
die eigene Maschine erst über CDS<br />
kontaktieren)<br />
deshalb Solaris (epimount z.Z. nur dort<br />
implementiert);<br />
Nachfragen an:<br />
Burckhard Schmidt (bschmidt@rz.hu-berlin.de)
– POP3- und IMAP-Server:<br />
IBM RS6000/43P-260 (2 CPU, 512 MB<br />
RAM, Fast Ethernet), AIX 4.3.2<br />
zweite Maschine zur Zeit nur für den<br />
Havariefall,<br />
Verteilung auf weitere Maschinen wegen zu<br />
erwartender hoher Last ist geplant;<br />
IMAP-Server der U Washington<br />
ftp://ftp.cac.washington.edu/mail/imap-4.5.tar.Z
DCE-Patch von Paul B. Henson<br />
http://www.intranet.csupomona.edu/~henson/www/<br />
projects/dce_patches/imap<br />
getestet auch unter Solaris<br />
Nachfragen an:<br />
Burckhard Schmidt (bschmidt@rz.hu-berlin.de)
– Web-Server:<br />
– Solaris 2.6<br />
– z.Z. noch Apache 2.3.3 mit Modul<br />
mod_auth_dce von Paul B. Henson<br />
(verfügbar auch für 2.3.9)<br />
– ! Problem mit Namenskonzept (siehe dort)<br />
http://www.intranet.csupomona.edu/~henson/<br />
www/projects/mod_auth_dce/dist/<br />
http://www.csupomona.edu/~intranet/implementation/http.html<br />
Nachfragen:<br />
Winfried Naumann (w.naumann@rz.hu-berlin.de)
– Radius-Server:<br />
(Authentifizierung bei Zugang über Wählverbindungen,<br />
Türöffnung bei einigen PC-Pools)<br />
– Server von MERIT,<br />
Version 3.5.6 bzw. 3.6.0.b<br />
– DCE-Unterstützung als Option beim<br />
Kompilieren<br />
– bei uns unter Digital Unix (3 Maschinen)<br />
Nachfragen:<br />
Jens-Uwe Winks (winks@rz.hu-berlin.de)
– Compute-Service:<br />
CODINE (Resource-Managment-System)<br />
GENIAS Software GmbH<br />
http://www.genias.de/products/codine/<br />
http://www.hu-berlin.de/rz/compsv/codine.html<br />
DCE-Unterstützung ab Version 5.0,<br />
von Genias in DCE-Zelle der HU unter<br />
Digital Unix entwickelt;<br />
Nachfragen:<br />
Daniela-Maria Pusinelli (pusinelli@rz.hu-berlin.de)
– Backup:<br />
– ADSM (z.Z. Version 3, Release1, Level 2.40)<br />
–auf IBM H70,<br />
Library: IBM 3590 (Magstar)<br />
– Ablösung für CONVEX/UniTree/SM-arch<br />
– entspr. Clients mit DFS-Unterstützung<br />
Nachfragen:<br />
Christoph Weickmann (weickmann@rz.hu-berlin.de)
– Windows-Clients:<br />
– kommerzielle Software (Gradient) getestet<br />
– Anschaffungskosten zu hoch<br />
– Ausweichen auf Lösungen mit Samba:<br />
z.Z. Samba 2.0.4b unter Solaris 2.6<br />
mit DCE-Patch von Paul B. Henson<br />
http://www.intranet.csupomona.edu/~henson/www/<br />
projects/dce_patches/samba/<br />
(auch für Samba 2.0.5a verfügbar)<br />
http://www.csupomona.edu/~intranet/implementation/<br />
smb.html
– noch ohne sec_auth von Paul B. Henson<br />
(verschlüsselte Paßwort-Übertragung,<br />
nicht getestet,<br />
erfordert Kerberos5-Bibliotheken,<br />
erwarten noch Domestic Version von Transarc)<br />
– damit auch Ablösung des Banyan VINES-<br />
Zugangs für Studenten:<br />
erstmals Bereitstellung von persönlichem<br />
Plattenplatz in PC-Pools möglich (Zugriff mit<br />
Samba auf Home-Directories im DFS),<br />
unter VINES für Studenten nur begrenzt<br />
ermöglicht (keine Quotas);
– Authentifizierung in PC-Pools (Windows NT):<br />
lokale Anmeldung als Dummy-User mit<br />
Autologon und minimalem Angebot an<br />
Programmen (keine Kommunikation),<br />
Browser, Mailtools erst nach DCE-Login<br />
verfügbar (z.Z. über Samba);<br />
– ! Problem mit dem Namenskonzept (siehe dort)<br />
Nachfragen:<br />
Winfried Naumann (w.naumann@rz.hu-berlin.de)
– Abrechnungssystem:<br />
– Datenbank unter Sybase 11.x<br />
– programmiert in SQL und das GUI in Java<br />
(PowerJ)
Probleme mit dem<br />
Namenskonzept<br />
– Web-Server:<br />
URLs der Form http://server/~user<br />
Lösung durch Links:<br />
ln -s rz/awn/public_html rz/public_html/awn<br />
standardmäßig für alle Benutzer
– fts lsquota<br />
funktioniert nicht unter Solaris, AIX<br />
Lösung:<br />
Ausführung über sudo (als root)<br />
– elm, ssh1 u.a. (freie) Programme (deren<br />
Quelltext verfügbar ist),<br />
wollen temporäre Dateien anlegen, die den<br />
Benutzernamen enthalten:<br />
Änderung im Quelltext: ‘/’ im Namen wird<br />
durch ‘_’ (Unterstrich) ersetzt.
– Kommerzielle Programme (z.B. Sun<br />
mailtool) funktionieren nicht mehr.<br />
– Windows-Clients (Anmeldung über<br />
“Netzlaufwerk verbinden” u.ä):<br />
der Schrägstrich im Benutzernamen ist ein<br />
verbotenes Zeichen.<br />
Lösung:<br />
Samba gepatcht (Umwandlung ‘_’ in ‘/’),
Benutzer melden sich mit Unterstrich im<br />
Namen an (rz_awn statt rz/awn) oder<br />
benutzen von die von uns programmierte<br />
Eingabemaske.<br />
Möglichkeiten mit GINA verworfen:<br />
• keine Windows-Programmierer;<br />
• GINAs anderer Unis (U NotreDame<br />
u.a.) nicht bekommen;<br />
• nur für Windows NT
unsere Fragen:<br />
– was machen Sie mit alten,verfallenen<br />
Tickets, die sich ansammeln ?<br />
– Stand von Linux und DCE ?
Ihre Fragen ?
Kontakt:<br />
Frank Sittel (Projektleiter)<br />
sittel@rz.hu-berlin.de<br />
Winfried Naumann<br />
w.naumann@rz.hu-berlin.de