Studieren in Chemnitz. Wissen, was gut ist.






  • Anmelden

Vollständige Liste alle Themengebiete der AFS-FAQ der TU Chemnitz

Authentisierung gegenüber dem Filesystem

Was ist ein Token?

Ein Token ist einem zeitlich befristetem Ausweis vergleichbar. Es bestätigt einem AFS-Server ihre Identität. Ein Token wird z.B. ausgestellt, wenn Sie sich mit ihrem Login-Kennzeichen und dem dazugehörigen Passwort an einem URZ-Rechner anmelden.

Wie lange ist ein Token gültig?

Ob Sie im Besitz eines Tokens sind und wie lange es noch gültig ist, können Sie feststellen:

Beispiel: 

% tokens

Tokens held by the Cache Manager:

User's (AFS ID 1234) tokens for afs@tu-chemnitz.de [Expires Nov 11 11:11]
   --End of list--
%

Benutzen SIe den Network Identity Manager.

Im Standardfall beträgt die Gültigkeitsdauer etwa 25 Stunden. Danach verfällt das Token und Sie müssen, um weiterhin mit Ihren Daten im AFS arbeiten zu können, ein neues Token beschaffen. I.d.R. erfolgt das Erneuern des Tokens automatisch - zumindest sollten Sie erinnert werden, dass die Gültigkeit des Tokens in Kürze abläuft.

Sie können ein Token auch explizit beschaffen:

Benutzen Sie das Kommando kinit
  • Es kann sein, dass ihre Implementation von kinit nur ein Kerberos-Ticket aber kein AFS-Token beschafft - dann müssen sie anschließend das Kommando aklog, afslog oder afs5log aufrufen (je nachdem, welches Sie auf ihrem Rechner vorfinden).

Benutzen Sie den Network Identity Manager.

Für die meisten Anwendungsfälle ist die Tokenlaufzeit von etwa 25 Stunden völlig ausreichend, insbesondere dann, wenn Sie sie nie länger als diese Zeit angemeldet sind. Natürlich gibt es auch Nutzer, die mit dieser Laufzeit nicht oder nur eingeschränkt arbeiten können. Das System erlaubt eine maximale Tokenlaufzeit von 720 Stunden, also vier Wochen. Wenn Sie begründet an einer längeren Tokenlaufzeit interessiert sind, so wenden Sie sich bitte an unser Helpdesk-System.

Wie werden die Token vom System verwaltet?

Die Token aller an einer Maschine angemeldeten Nutzer werden vom AFS Cache Manager (afsd) verwaltet. Der AFS Cache Manager führt die Kommunikation mit den AFS-Servern und verwaltet den lokalen AFS Cache. Der AFS Cache Manager ordnet die Token den auf der Maschine laufenden Prozessen zu, also z.B. den von Ihnen gestarteten Kommandos und Programmen.

Im Unix/Linux werden für diese Zuordnung zwei verschiedene Verfahren verwendet. Gehört der anfordernde Prozess zu einer Process Authentication Group (PAG) so werden die Token dieser PAG benutzt, andernfalls benutzt der Cache Manager die effektive UNIX-UID des Prozesses, um diesem Prozess seine Token zuzuordnen.

Was ist eine PAG?

Die Abkürzung PAG steht für Process Authentication Group. Eine PAG ist eine Gruppe von Prozessen, die einen gemeinsamen Authentication Context verwenden. Die Verwendung einer PAG erhöht die Sicherheit Ihrer Daten im AFS erheblich. Eine PAG wird während des Login-Vorgangs oder durch das Kommando pagsh erzeugt und immer beim Erzeugen eines neuen Prozesses vererbt. Damit gehören also alle Ihre Prozesse zu dieser PAG und bekommen aufgrund dieser PAG das zugeordnete Token vermittelt. Insbesondere bleiben damit Ihre AFS-Rechte erhalten, selbst wenn Sie mit dem Kommando su Ihre UNIX-Identität verändern. Dasselbe trifft für den Superuser (root) zu. Er kann zwar Ihre UNIX-Identität annehmen, ohne Ihr UNIX-Paßwort zu wissen, jedoch kann er, wenn sie gar nicht angemeldet sind, kein Token erlangen, das zu Ihrem AFS-Paßwort gehört und er kann, falls Sie angemeldet sind und Ihr Token durch eine PAG schützen, nicht an das Token heran, da er nicht in der Lage ist, Prozesse zu erzeugen, die Kindprozesse Ihrer Login-Shell sind. Wenn Sie ohne PAG arbeiten wird das vom Cache Manager verwaltete Token Ihren Prozessen aufgrund der mitgeführten UNIX-UID vermittelt. Diese Methode ist daher nicht viel sicherer als die herkömmlichen UNIX-Rechte, da es dem Superuser immer gelingt, Prozesse zu erzeugen, die Ihre UNIX-UID tragen, am einfachsten durch Verwendung des Kommandos su. Lediglich die Tokenlaufzeit schützt in diesen Fall Ihre Daten. Wenn diese abgelaufen und das Token damit verfallen ist, nützt es auch dem Superuser nichts mehr, daß er Ihre UNIX-Identität annehmen kann, da es kein gültiges Token mehr zum Zugriff auf Ihre Daten im AFS gibt.

Wie kann ich ermitteln, ob meine Token durch eine PAG geschützt werden?

Eine PAG wird benannt durch eine Nummer. Diese wird auf eine oder zwei Group-IDs (GIDs) abgebildet. Zu welcher PAG ein Prozess gehört, erkennt man an der Zugehörigkeit zu einer oder zwei nicht benannten Gruppen. Auskunft darüber gibt das Kommando id.

Beispiel: 

% id
uid=1234(otto) gid=1000(user) Gruppen=1000(user),1103989370
oder 
% id
uid=1234(otto) gid=1000(user) Gruppen=33846,36693,1000(user)
%

Seit dem Linux-Kernel 2.6 werden PAGs über den Session Keyring realisiert. Sie erkennen die PAG dann beim Kommando keyctl show.

Beispiel: 

% keyctl show
Session Keyring
       -3 --alswrv      0  1000  keyring: _ses.29115
    12564 ----s--v      0     0   \_ afs_pag: _pag

Benutzung von AFS

In dieser FAQ sind eine Reihe von AFS-Kommandos angegeben. Woher weiß ich, welche Kommandos es überhaupt gibt und wie erfahre ich, wie sie zu benutzen sind?

Eine vollständige Liste aller Kommandos ist im Reference Manual zu finden.

Die meisten AFS-Kommandos "verstehen" das Subkommando help. Damit erhalten Sie eine Liste der Subkommandos und einen Überblick über die jeweilige Funktionalität.

Beispiel: 

% pts help
pts help
pts: Commands are:
adduser         add a user to a group
apropos         search by help text
chown           change ownership of a group
creategroup     create a new group
createuser      create a new user
delete          delete a user or group from database
examine         examine an entry
help            get help on commands
listentries     list users/groups in the protection database
listmax         list max id
listowned       list groups owned by an entry or zero id gets orphaned groups
membership      list membership of a user or group
removeuser      remove a user from a group
rename          rename user or group
setfields       set fields for an entry
setmax          set max id
%
Zu jedem Subkommando kann man dann wiederum die Option -help angeben, um die genaue Syntax zu erfahren.

Beipsiel: 

% pts creategroup -help
Usage: pts creategroup -name + [-owner ] [-id +] [-cell ] [-noauth] [-force] [-help]
%

Gibt es außer den Kommandos auch andere Werkzeuge, um die die hier beschriebenen Aktionen auszuführen?

Der Web File Managers enthält die meisten der hier beschriebenen Funktionen. Darüber hinaus können Sie AFS-Gruppen mit einer speziellen Web-Schnittelle Verwaltung von AFS-Gruppen verwalten.

OpenAFS für Windows führt ein Kontext-Menü in den Explorer ein (rechte Maustaste -> AFS), damit lassen sich ebenfalls zahlreiche Aktionen für Files im AFS ausführen.

Können beliebige Zeichen (also auch Umlaute, Sonderzeichen oder ähnliche) in Datei- oder Verzeichnisnamen verwendet werden?

Die Zeichen eines Dateinamens werden nach einer bestimmten Vorschrift kodiert. Dabei haben das Betriebssystem, das Filesystem und ggf. sogar das Anwendungsprogramm, mit dem die Datei erzeugt wird, Einfluss auf die Art der Kodierung.

Für die Zeichen des ASCII-Zeichensatzes (dazu gehören die 26 Buchstaben des lateinischen Alphabets - jeweils als Groß- und Kleinbuchstabe - die Ziffern, sowie einige Sonderzeichen z.B. der Unterstrich, das Minus, das Leerzeichen u.a.) ist die Kodierung in allen üblichen Kodierungsvorschriften gleich.

Wenn Sie also nur ASCII-Zeichen für Dateinamen benutzen, werden Sie in allen Umgebungen problemlos auf Ihre Dateien zugreifen können.

Seit OpenAFS for Windows 1.5.50 wird auch dort der Standard UTF-8 für die Kodierung von Dateinamen benutzt, so dass Dateinamen mit Umlauten o.ä. Zeichen keine Probleme mehr darstellen.

Trotzdem sollten Sie beachten: Sonderzeichen (z.B. das Leerzeichen, der Punkt usw.) besitzen oftmals eine Sonderbedeutung und sollten deshalb - obwohl sie zum ASCII-Zeichensatz gehören - nicht in Dateinnamen verwendet werden.

Was sind AFS-Gruppen?

Eine AFS-Gruppe ist eine Liste von AFS-Nutzern. AFS-Gruppen haben Namen, die gewöhnlich so aussehen: 

owner:group

wobei owner das Login-Kennzeichen des Eigentümers der Gruppe und group ein frei wählbarer Name ist. Standardmäßig ist nur der Eigentümer der Gruppe berechtigt, die Mitglieder der Gruppe zu definieren. AFS-Gruppen werden für die Vergabe von Zugriffsberechtigungen verwendet. Jeder AFS-Nutzer kann standardmäßig bis zu 20 eigene AFS-Gruppen verwalten.

Wie lege ich eine AFS-Gruppe an?

Zum Erzeugen einer Gruppe dient das Kommando pts creategroup. Nachdem die Gruppe erzeugt wurde, können Sie mit pts adduser Nutzer in die Gruppe aufnehmen und später ggf. mit pts removeuser wieder aus der Gruppe streichen.

Beispiel: 

% pts creategroup otto:friends
group otto:friends has id -283
% pts adduser -user otilie max -group otto:friends

Wer ist Mitglied meiner Gruppen und ich welchen Gruppen bin ich selbst Mitglied?

Mit dem Kommando pts membership können Sie ermittlen, wer zu einer Gruppe gehört bzw. zu welchen Gruppen Sie selbst gehören:

Beispiel: 

% pts membership otto:friends
Members of otto:friends (id: -283) are:
  otilie
  max
% pts membership otto
Groups otto (id: 1234) is a member of:
  max:friends
  otilie:freunde
%

Welche AFS-Gruppen gibt es standardmäßig?

In jeder AFS-Zelle gibt es die folgenden Gruppen

system:anyuser
Jeder Nutzer, der Zugang zu einem AFS-Klient hat in jeder Zelle. Mit dem Plazieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff zu den betreffenden Files, einzige Voraussetzung ist der Zugang zu einem AFS-Klient.
system:authuser
Jeder Nutzer, der Zugang zu einem AFS-Klient hat und sich ein Token für die eigene Zelle verschafft hat. Mit dem Plazieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff, der jedoch eingeschränkt auf die Nutzer in der eigenen Zelle ist.
system:administrators
Nutzer mit speziellen Privilegien für das Ausführen bestimmter (aber nicht aller) administrativen Kommandos.
system:ptsviewers
Nutzer mit dem Privileg, alle Einträge in der AFS-Gruppen-Datenbasis (Protection Database) einzusehen.

Neben diesen Standard-Gruppen gibt es in unserer Zelle einige weitere Gruppen, die eine bestimmte Bedeutung besitzen:

chemnitz
Jeder Nutzer, der Zugang zu einem AFS-Klient hat an einer Maschine mit einer IP-Adresse aus unserem Campusnetz. Mit dem Plazieren dieser Gruppe in einer ACL erreichen Sie quasi anonymen Zugriff zu den betreffenden Files, einzige Voraussetzung ist der Zugang zu einem AFS-Klient auf einer Maschine in unserem Campusnetz.
urz:www-user
Jeder Nutzer, der Programme auf den WWW-User-Servern der Universität ausführen kann. Siehe auch Zugriffsschutz auf WWW-Dokumente im AFS-Dateisystem.

Was ist eine ACL?

ACL steht für Access Control List. Im AFS gibt es für jedes Verzeichnis eine ACL. Darin sind die Zugriffsberechtigungen zu den Files des Verzeichnisses beschrieben. ACLs beschreiben also immer die Zugriffsberechtigungen auf Verzeichnisebene und nicht auf Fileebene. Eine ACL besteht aus maximal 20 Einträgen, wobei ein Eintrag die Rechte eines Nutzers oder einer Gruppe angibt. Eine ACL wird angezeigt mit dem Kommando fs listacl.

Beispiel: 

% fs listacl ~/PUBLIC
fs listacl ~/PUBLIC
Access list for /afs/tu-chemnitz.de/home/urz/o/otto/PUBLIC is
Normal rights:
  system:anyuser rl
  otto rlidwka
%
Diese ACL gibt an, dass der Nutzer otto alle Zugriffsrechte (rlidwka) für das Verzeichnis ~/PUBLIC besitzt, während alle anderen Nutzer (system:anyuser), Files in diesem Verzeichnis nur lesen (rl) können.

Welche AFS-Zugriffsrechte gibt es?

Im AFS gibt es sieben verschiedene Zugriffsrechte. Wenn eines der Rechte in einem Eintrag der ACL angegeben ist, bedeutet das, daß dem im Eintrag angegebenen Nutzer bzw. der angegebenen Gruppe dieses Recht gewährt wird.

lookup l anzeigen der ACL, absteigen in das Verzeichnis, anzeigen von Filenamen im Verzeichnis
read r lesen der Files im Verzeichnis (anzeigen der Fileinhalte)
insert i erzeugen neuer Files oder Unterverzeichnisse im Verzeichnis
write w modifizieren von Files (schreiben im Sinne von fortschreiben/überschreiben von Fileinhalten)
delete d löschen von Files oder Unterverzeichnissen im Verzeichnis
lock k erlauben von Filelocking-Operationen mit flock(2)
administer a ändern der ACL

Die ACL's werden mit dem Kommando fs setacl verändert. Dieses Kommando kennt folgende Kürzel für häufig verwendete Kombinationen von Zugriffsrechten.

read read und lookup
write alle Rechte außer administer
all alle Rechte
none entfernt den Eintrag aus der ACL

Beispiel: 

% fs setacl -dir ~/aufgaben -acl max:friends none otto:friends write
%

Wer darf die ACL eines Verzeichnisses ändern?

Es gibt mehrere Bedingungen unter denen die Änderung der ACL eines Verzeichnisses möglich ist:

  1. Ein Nutzer selbst oder eine Gruppe, deren Mitglied er ist, hat laut ACL des Verzeichnisses das Recht a.
  2. Der Nutzer ist UNIX-Eigentümer des Verzeichnisses (wie beim Kommando ls -ld angezeigt).
  3. Der Nutzer oder eine Gruppe, deren Mitglied er ist, ist als Eigentümer des AFS-Volumes eingetragen (UNIX-Eigentümer des Wurzelverzeichnisses eines Volumes).

Welche Bedeutung haben die UNIX-Zugriffsrechte?

Die UNIX-Zugriffsrechte für group und others werden von AFS ignoriert, sie haben keine Bedeutung. Die Rechte des Eigentümers (owner) werden wie folgt interpretiert:

r das File/Verzeichnis ist lesbar für jeden Nutzer, der laut ACL die entsprechenden Rechte hat
w das File/Verzeichnis ist modifizierbar für jeden, der laut ACL die entsprechenden Rechte hat
x das File ist ausführbar/das Verzeichnis ist durchsuchbar, für jeden Nutzer, der laut ACL die entsprechenden Rechte hat

Welche Rechte erhalten neu eingerichtete Verzeichnisse?

Wenn Sie ein neues Verzeichnis einrichten, Archive auspacken oder ähnliche Aktionen durchführen, bei denen Verzeichnisse entstehen, werden automatisch die ACL-Einträge des übergeordneten Verzeichnisses übernommen.

Sie müssen also beachten, wenn Sie die ACL Ihres HOME-Verzeichnisses verändern, daß die so geänderte ACL dann auf jedes anschließend erzeugte Verzeichnis in Ihrem HOME-Verzeichnis übernommen wird.

Haben die im UNIX üblichen setuid/setgid-Bits im AFS noch eine Bedeutung und macht ihre Vergabe Sinn?

Die Bedeutung dieser Bits wurde nicht geändert, ob sie eine Wirkung haben, kann man mit dem Kommando fs setcell festlegen, standardmäßig werden diese Bits bei Files aus der eigenen Zelle ausgewertet und bei fremden Zellen ignoriert.

Die Zugriffsschutzmechanismen des AFS machen die Verwendung dieser Bits für die meisten Fälle obsolet. Im UNIX werden die Bits benutzt, um bestimmte Zugriffsprivilegien an den Aufrufer des Programms zu vermitteln. Im AFS ist das in den allermeisten Fällen nicht nötig, weil die ACL's ohnehin sehr fein eingestellte Zugriffsrechte ermöglichen.

Ich bin als root an meiner Unix-/Linux-Maschine angemeldet, kann aber trotzdem das Kommando chown für Files im AFS nicht ausführen. Woran liegt das?

Der Nutzer root hat im AFS keinerlei Privilegien. Zwar erfordern die meisten Unix-Systeme die Privilegien von root für das Ausführen von chown, im AFS reicht das aber nicht aus.

Diese Einschränkung ist notwendig, weil sonst das Erlangen von root Privilegien auf einer AFS-Klient-Maschine in einer Zelle ausreichen würde, um auf allen AFS-Klient-Maschinen der Zelle root Privilegien zu erlangen. Dazu müsste man nur ein Programm ins AFS kopieren und anschließend mit chown und chmod für dieses Fiile root als Eigentümer eintragen und das Setuid-Bit setzen. Anschließend könnte man dieses Programm auf allen Maschinen der AFS-Zelle mit root Privilegien ausführen.

Damit so etwas nicht möglich ist, ist die Operation chown im AFS nur den Mitgliedern der Gruppe system:administrators erlaubt.

Wie ändere ich die AFS-Zugriffsrechte in einem gesamten Verzeichnisbaum?

Mit dem Kommando fs setacl lassen sich nur die Rechte der Verzeichnisse ändern, die mit der Option -dir angegeben wurden. Möchte man die Rechte in einem gesamten Verzeichnisbaum ändern, so reicht das nicht aus. Das Kommando chacl ist ein Script, welches das Kommando fs setacl rekursiv für einen (oder mehrere) Verzeichnisbäume aufrufen kann. Dazu muß beim Aufruf von chacl die Option -R angegeben werden. Die anderen Optionen entsprechen denen des Kommandos fs setacl.

Beispiel: 

% chacl -R -dir ~/aufgaben -acl max:friends read system:anyuser none
%
Hinweis: Unter dem Namen chacl gibt es in einigen Umgebungen auch ein anderes Kommando - mit einer anderen Syntax und Semantik. Auf Maschinen im URZ ist das hier beschriebene Kommando zu finden als /usr/local/bin/chacl.

Wie setze ich die Zugriffsrechte für ein einzelnes File?

Prinzipiell gestattet AFS das Definieren von ACL's nur für Verzeichnisse. Möchte man für ein einzelnes File jedoch andere Zugriffsrechte festlegen, so muß man dieses File in einem anderen Verzeichnis unterbringen (für das man dann die Rechte entsprechend setzen kann) und anschließend einen symbolischen Link auf dieses File im neuen Verzeichnis setzen.

Lokale Besonderheiten unserer AFS-Zelle

Worin unterscheiden sich /afs/tu-chemnitz.de und /afs/.tu-chemnitz.de?

Im AFS wird zwischen read/write und read-only Filekopien unterschieden. Wenn es von Files sowohl read/write als auch read-only Versionen gibt, dann werden über den Pfad /afs/tu-chemnitz.de i.d.R. die read-only Versionen erreicht, während über den Pfad /afs/.tu-chemnitz.de das Benutzen der read/write Kopien erzwungen wird. Gibt es von Verzeichnisshierarchien nur read/write Kopien, dann werden diese auch über den Pfad /afs/tu-chemnitz.de erreicht. Daher ist es sinnvoll, immer über den Pfad /afs/tu-chemnitz.de zuzugreifen. Damit sichert man, dass solange es möglich ist, über read-only Kopien gearbeitet wird. Solche read-only Kopien existieren gleichzeitig auf mehreren Platten verschiedener Fileserver, so daß der AFS Cache Manager beim Ausfall einer der Kopien auf eine andere umschalten kann. Der Zugriff über den read/write Pfad sollte nur benutzt werden, wenn Files modifiziert werden sollen, für die es eine read-only Kopie gibt.

Wann kann ich /afs/tucz und wann sollte ich /afs/tu-chemnitz.de verwenden?

Der Name /afs/tucz ist ein symbolischer Link auf /afs/tu-chemnitz.de, also ein Alias-Name. Man kann diesen Namen bei der interaktiven Arbeit verwenden, weil das Verfolgen eines symbolischen Links schneller geht als das Eintippen des vollen Namens. In Programmen und Scripten sollte dagegen immer der volle Name /afs/tu-chemnitz.de angegeben werden. Das gilt insbesondere dann, wenn die Programme auch auf Maschinen in anderen Zellen benutzt werden sollen, dort gibt es nämlich den Namen /afs/tucz mit großer Sicherheit nicht.

Wozu dienen die verschiedenen Verzeichnisse in meinem HOME-Verzeichnis?

Bitte lesen Sie auf der Seite HOME-Verzeichnisse nach.

Warum kann ich mit ftp keine Files in meinem HOME-Verzeichnis ablegen bzw. an welchen Rechnern kann ich das tun?

Der einzige Vorteil von FTP ist dessen Verbreitung. Ein FTP-Client gehört zum Standardumfang aller gängigen Betriebssysteme. Jedoch sollte er nur benutzt werden, um auf freie FTP-Archive zuzugreifen, bei denen kein Login erforderlich ist, bei dem ein Passwort übertragen werden muss. Bei FTP erfolgt die Datenübertragung im Klartext!

Benutzen Sie anstelle von FTP das einfach zu handhabende Tool WinSCP (Download: http://winscp.net/ ). Es lohnt sich, die geringe Mühe für die Installation in Kauf zu nehmen (die Software ist frei verfügbar).

Linux-Nutzer verwenden anstelle von ftp besser sftp oder scp.

Sollten Sie trotz allem auf die Verwendung von ftp angewiesen sein, können Sie innerhalb des Campusnetzes die Maschine login.tu-chemnitz.de benutzen. Aus dem Internet ist der Zugang zu Ihren Daten im AFS per ftp nicht möglich.

Wie wirken die AFS-Zugriffsrechte mit der Zugriffskontrolle unseres WWW-Servers zusammen?

Eine Darstellung der Zusammenhänge finden Sie in den Hinweisen für HTML-Autoren.

Wie arbeitet ssh mit AFS zusammen?

Dazu finden Sie Hinweise auf der Seite SSH im URZ der TU Chemnitz.

Fehlernachrichten und deren Bedeutung - Was bedeutet eigentlich ...

... afs: clocks are badly skewed ... ?

Die korrekte Funktionsweise von AFS ist in starkem Maße davon abhängig, daß die Systemuhren der beteiligten Maschinen möglichst synchron laufen. Sie müssen dafür sorgen, dass Zeiteinstellung Ihres System korrekt ist, dabei kommt es nicht nur auf Datum und Uhrzeit sondern auch auch die eingestellte Zeitzone an.

... afs: setting clock ... ?

Die korrekte Funktionsweise von AFS ist in starkem Maße davon abhängig, daß die Systemuhren der beteiligten Maschinen möglichst synchron laufen. Diese Meldung erscheint nur, wenn der AFS Cache Manager (afsd) mit der Option -settime gestartet wurde. Dann wählt der AFS Cache Manager einen der bereits kontaktierten Fileserver aus, und beginnt die Systemuhr entsprechend der Zeit des Fileservers zu korrigieren. Werden dabei Abweichungen festgestellt, schreibt der Cache Manager Meldungen der Art 

afs: setting clock ahead 2 seconds (via 134.109.228.97 in cell tu-chemnitz.de).

nach /dev/console.

Wenn auf der Maschine bereits eine andere Art der Zeitsynchronisation (z.B. das Protokoll NTP) benutzt, dann kann der Administrator beim Start des AFS Cache Managers afsd auf die Angabe der Option -settime verzichten, und so verhindern, daß sich der Cache Manager um die Zeitsyncronisation kümmert.

... afs: Lost contact with ... ?

Meldungen der Art 

afs: Lost contact with file server 134.109.228.97 in cell tu-chemnitz.de
(multi-homed address; other same-host interfaces maybe up)

oder 

afs: Lost contact with file server 134.109.228.98 in cell tu-chemnitz.de
(all multi-homed ip addresses down for the server)

stammen vom AFS Cache Manager. Damit wird angezeigt, daß der Cache Manager den Fileserver an der angegebenen IP-Adresse nicht mehr erreichen kann. Die Ursachen für solche Probleme können sehr vielfältig sein. Oft liegt die Ursache gar nicht im AFS begründet, sondern ist auf ein Problem zurückzuführen, daß die Funktionsweise des Cache Managers beeinträchtigt und von diesem berichtet wird. In Frage kommen z.B.

  • Ausfall einer Netzkomponente (z.B. Router) oder sonstige Störungen im Netz
  • Stromausfall
  • ein Fehler am Fileserver ist aufgetreten

Sollten Sie solche Meldungen bemerken, können Sie häufig selbst durch einige Überprüfungen feststellen, ob es sich tatsächlich um ein Problem der AFS-Server handelt:

  • können Sie andere Netzdienste ihrer Maschine benutzen?
  • erreichen Sie andere Maschinen im gleichen Subnetz? in anderen Subnetzen des Campusnetzes?
  • tritt an anderen Maschinen das Problem auch auf?
  • Informieren Sie sich über den Server-Status unserer AFS-Zelle

... AFS is still starting! Retry?

Diese Meldung erscheint an Windows-Systemen, wenn man unmittelbar nach dem Booten versucht sich anzumelden. Sie können entweder mehrfach versuchen das Wiederholen des Anmelde-Vorgangs zu veranlassen, indem Sie den Knopf "Retry" drücken. Oder Sie warten nach dem Booten einige Zeit (ca. 1-2 Minuten), bevor Sie den Anmeldeprozess durch Drücken der Tasten Strg+Alt+Entf beginnen. Wir empfehlen die letztere Variante.

... Unable to ... because a pioctl failed. ?

Diese Meldung erscheint an Linux/Unix-Systemen, wenn man ein AFS-Kommando aufruft, aber der AFS-Kernelmodul nicht geladen ist. Laden Sie den Kernel-Modul (i.d.R. durch Starten des Dienstes afs) und achten Sie dabei auf Fehlermeldungen. Eine Ursache für den Misserfolg beim Laden des Kernelmoduls könnte sein, dass Sie nach einem Kernel-Update das Update des Pakets mit dem OpenAFS-Kernelmodul versäumt haben.