AFS-Zugriff

Für den Zugriff auf Daten im AFS aus dem Internet mittels AFS-Clientensoftware ist der Aufbau einer VPN-Verbindung erforderlich.

OpenAFS-Software für Windows-Systeme

Auf Rechnern in Windows-Administrationsdiensten des URZ (W10SELFADM, Windows VPS) wird OpenAFS bereits passend konfiguriert durch das URZ installiert und gewartet. Auf diesen Rechnern dürfen die folgenden Schritte nicht angewendet werden. Wenden Sie sich bei Problemen bitte stattdessen an support@… (Rechnername angeben).

Die folgende Anleitung wurde für folgende Windows-Versionen verifiziert:

Windows 7
Windows 8.1
Windows 10 Enterprise 2016 LTSB
Windows 10 Enterprise LTSC 2019
Windows 11 Education, Version 21H2 (prinzipielle Funktionsfähigkeit)
Windows Server 2008 R2
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

1. Kontrolle der Zeiteinstellung

Bitte kontrollieren Sie, dass Datum, Uhrzeit und Zeitzone des Rechners korrekt eingestellt sind.
Kontrolle_Zeiteinstellung

Die Kerberos-Authentifizierung schlägt fehl, wenn die Zeitabweichung mehr als fünf Minuten beträgt.

2. Deinstallation alter Software

Altinstallationen müssen entfernt werden. Deinstallieren Sie folgende Software (falls vorhanden):

MIT Kerberos for Windows
Network Identity Manager
OpenAFS for Windows

Danach starten Sie bitte unbedingt den Rechner neu.

3. Download des Installationspaketes

Laden Sie sich das Installationspaket herunter und entpacken Sie den Inhalt nach C:\tmp
Inhalt_Ordner

Das Installationspaket enthält neben der benötigten Software Kerberos for Windows 3.2.2, Network Identity Manager 2.0 und OpenAFS 1.7.33 Anpassungen an die AFS-Zelle der TU Chemnitz.

4. Installation

Starten Sie eine Eingabeaufforderung mit Administratorrechten ^[*]
bzw. einfach über die Suche in der Taskleiste nach "cmd" suchen und "Als Administrator ausführen":

Eingabeaufforderung_Admin

[*] Eine Eingabeaufforderung mit Administratorrechten können Sie auch wie folgt starten:

Windows 7: Startmenü → Alle Programme → Accessories/Zubehör → Eingabeaufforderung → Rechtsklick → „Als Administrator ausführen”
Windows 8.1: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
Windows 10 Enterprise 2016 LTSB: Startbutton → Rechtsklick → Eingabeaufforderung (Administrator)
Windows 10 Enterprise LTSC 2019: Startmenü → Windows-System → Eingabeaufforderung → Rechtsklick → „Mehr“ → „Als Administrator ausführen“

und geben Sie ein:

cd /D C:\tmp
install.cmd

Nach Abschluss der Installation wird der Rechner automatisch neu gestartet bzw. wird zum Neustart aufgefordert.

5. Start der Software

Die Software startet automatisch. Bei der Verwendung auf Rechnern außerhalb des Campusnetzes ist allerdings der Aufbau einer VPN-Verbindung in das Campusnetz erforderlich. Bitte installieren und starten Sie dafür den Anyconnect-Client von Cisco.

6. Authentifizierung (Beschaffung eines AFS-Tokens)

Für den Zugriff auf die meisten Daten im AFS ist ein sogenanntes „AFS-Token“ zur Prüfung der Berechtigung erforderlich. Klicken Sie dazu auf das würfelähnliche Symbol des bereits gestarteten Network Identity Managers im Tray-Bereich der Taskleiste (üblicherweise rechts unten, meist muss dort dazu erst der kleine nach oben zeigende Pfeil „aufgeklappt“ werden):

Start_NIM

Wählen Sie aus der Menüzeile des Network Identity Managers „Credential“ → „New credentials“ → „Obtain new credentials …“.
Klicken Sie ggf. auf den Kasten „Kerberos Principal“ und wählen Sie „New identity …“.
Bei „Username“ tragen Sie bitte ihr URZ-Nutzerkennzeichen in Kleinbuchstaben ein. Den „Realm“ belassen Sie bitte unverändert auf „TU-CHEMNITZ.DE“.
Klicken Sie alle folgenden Seiten unverändert mit „Next“ bis zur Abfrage „Password for …:“ ab und geben Sie dort ihr URZ-Kennwort ein. Bestätigen Sie abschließend mit „Finish“.
Somit ist die Beschaffung des AFS-Tokens erfolgreich abgeschlossen und der Network Identity Manager läuft:

Das automatische Beschaffen eines AFS-Tokens während des Login-Vorgangs gelingt nur, wenn

lokales Nutzerkennzeichen und Kennwort identisch zum URZ-Nutzerkennzeichen und -Kennwort sind und
der Rechner ohne Erfordernis einer VPN-Verbindung direkt im Campusnetz betrieben wird (für Notebooks trifft das oftmals nicht zu).

Andernfalls müssen Sie das Token über den Network Identity Manager im Tray-Bereich der Taskleiste nach dem Einloggen (und ggf. dem Aufbau einer VPN-Verbindung) manuell beschaffen, wie zuvor beschrieben.

7. Zugriff auf Dateien im AFS

Im Explorer können Sie in der Adressleiste den sogenannten UNC-Namen \\afs\tu-chemnitz.de eingeben, um auf Daten im AFS zuzugreifen. Falls es nicht gleich klappt, sollten Sie zunächst einige Minuten warten und es danach noch einmal probieren.

Die Dateien in ihrem AFS-Homeverzeichnis erreichen Sie über den Pfad

\\afs\tu-chemnitz.de\home\urz\o\otto

(wobei Sie o durch den ersten Buchstaben Ihres Nutzerkennzeichens und otto durch Ihr eigenes Nutzerkennzeichen ersetzen.)

Für den Zugriff auf AFS-Projektverzeichnisse verwenden Sie bitte den Pfad

\\afs\.tu-chemnitz.de\project

Die Datensicherung der AFS-Projektverzeichnisse erreichen Sie über folgende Pfade

\\afs\tu-chemnitz.de\project\YESTERDAY
\\afs\tu-chemnitz.de\project\LAST_WEEK

Das Verzeichnis

\\afs\tu-chemnitz.de

ist auch ohne AFS-Token auflistbar. Über diesen Weg kann geprüft werden, ob der Zugriff auf das AFS prinzipiell funktioniert.

AFS-Software für Linux/Unix-Systeme

OpenAFS ist für nahezu alle gängigen Unix-Systeme verfügbar. Die aktuelle Versionierung liegt derzeit für produktive Systeme bei 1.6.x. Für die meisten Linux-Distributionen sind openafs-Installationspakete im Rahmen der Distribution bzw. über Drittanbieter verfügbar.

Installation am Beispiel Scientific Linux

Scientific Linux enthält openafs-Pakete in der Distribution. Die Paketinstallation erfolgt mit dem Paketmanager yum.

sudo yum install openafs-1.6-sl-client openafs-1.6-sl-krb5 \
                 openafs-1.6-sl-module-tools kmod-openafs-1.6-sl net-tools

Konfigurationshinweise

Tragen Sie den Namen unserer Zelle (tu-chemnitz.de) in das File /usr/vice/etc/ThisCell.
Prüfen Sie die Konfiguration des AFS-Cache in /usr/vice/etc/cacheinfo.
Konfigurieren Sie Ihre Maschine als Kerberos-Client in der Realm TU-CHEMNITZ.DE

Nutzungshinweise

Beachten Sie Hinweise zur Authentifizierung (Beschaffung eines AFS-Tokens).
Sofern das AFS-Token nicht im Rahmen der Anmeldung (PAM-Moduln) beschafft wurde nutzen Sie dafür das Kommando: klog.krb5 -t.

AFS-Software für MacOS-X-Systeme

Für den Zugriff auf das AFS-Netzwerk-Dateisystem wird der AuriStor Client verwendet. Die Installation und Konfiguration ist nachfolgend erklärt.

1. Download
2. Installation
3. Einstellungen
4. Betrieb
5. optionale Einstellungen
Problembehandlung

1. Download

Laden Sie sich den AuriStor-Client für Ihre Betriebssystemversion hier herunter.

Wenn Ihr Betriebssystem nicht erkannt wurde, klicken Sie bitte auf der Seite auf den Link available installers und wählen Sie Ihr Betriebssystem manuell aus.

2. Installation

Öffnen Sie das heruntergeladene Image und führen Sie den Installer durch Klick auf Auristor-Lite.pkg bzw. Auristor.pkg aus:
Folgen Sie dem Installationsassistenten. Sobald Sie im Schritt AuriStor Cell sind, geben Sie bitte als Zellennamen tu-chemnitz.de an:

Je nach Betriebssystem-Einstellungen müssen Sie ggf. noch die Ausführung der AuriStor-Software erlauben.
Für Geräte mit Apple M1-Chip (ARM-Architektur) muss zuvor die Ausführung von Drittanbieter Systems-Extensions erlaubt werden. Die Einstellungen dieser Security Policy erfolgt im "Startup Security Utility". Detaillierte Hinweise entnehmen Sie dem Artikel Installing AuriStorFS clients for macOS 11.0 Big Sur (Schritte 12 bis 22).

Bildschirmfoto: Erlaube die Ausführung des AuriStor-Installers in den MacOS-Systemeinstellungen

3. Einstellungen

AuriStor installiert ein Plug-In in den Systemeinstellungen für Konfiguration und Statusanzeige. Bitte öffnen Sie dieses und treffen Sie folgende Einstellungen:

Apple → Systemeinstellungen → AuriStor
- [x] AuriStor Menu
- [x] Backgrounder
- [x] Use aklog

Bildschirmfoto: Setzen der Optionen AuriStor-Menu, Backgrounder und Use Aklog in den Einstellungen

Wir empfehlen Ihnen, nach Änderung dieser Einstellungen Ihren Mac neu zu starten.

4. Betrieb und Benutzung

Am oberen Bildschirmrand haben Sie nun ein Symbol für die Steuerung des AuriStor-Clients. Vor dem Zugriff auf das AFS müssen Sie sich über dieses Symbol ein sogenanntes Token beschaffen:

Bildschirmfoto: AuriStor-Menü am oberen Bildschirmrand

Geben Sie im folgenden Dialog Ihr URZ-Nutzerkennzeichen einschließlich der Endung @TU-CHEMNITZ.DE und Ihr URZ-Passwort ein:

Eingabe von URZ-Nutzerkennzeichen inklusive @TU-CHEMNITZ.DE und Passwort

Bitte achten Sie hier bitte auf die Groß- und Kleinschreibung. Ihr URZ-Nutzerkennzeichen geben Sie bitte in Kleinbuchstaben und die Endung @TU-CHEMNITZ.DE in Großbuchstaben an.

Wenn AuriStor korrekt läuft und Sie sich angemeldet haben, wird das anschließend über ein kleines Häkchen im AuriStor-Symbol signalisiert:

Bildschirmfoto: AuriStor-Symbol zeigt ein Häkchen, wenn die Anmeldung korrekt war

Sie können nun im Finder über das Laufwerk AFS auf das AFS-Dateisystem zugreifen.

5. optionale Einstellungen

Anzeige des AFS-Verzeichnisbaum auf dem Desktop

Klick auf den Desktop
Finder → Einstellungen → Allgemein
Diese Objekte auf dem Schreibtisch anzeigen:
- [x] Verbundene Server

Einrichtung von Kerberos

Um beim Login die Angabe des Kerberos-Realms (@TU-CHEMNITZ.DE) hinter Ihrem Nutzerkennzeichen weglassen zu können, können Sie noch unsere Kerberos-Konfiguration installieren:

Download der Kerberos-Konfiguration edu.mit.Kerberos für den Realm TU-CHEMNITZ.DE.
Kopieren der Kerberos-Konfiguration nach /Library/Preferences/ im Finder.
(Dabei wird ggf. nach einem Administrator-Konto gefragt.)

Problembehandlung

Stellen Sie sicher, dass die Uhrzeit Ihres Rechners richtig eingestellt ist. Bei Abweichungen kommt es zu Problemen.
Achten Sie bei der Eingabe Ihrer Login-Daten darauf, Ihr URZ-Nutzerkennzeichen in Kleinbuchstaben und die Endung @TU-CHEMNITZ.DE in Großbuchstaben einzugeben.
Sollte die Anmeldung im AuriStor-Client nicht funktionieren, öffnen Sie bitte ein Terminal-Fenster und versuchen Sie die Anmeldung mit folgenden beiden Befehlen:

kinit nutzerkennzeichen@TU-CHEMNITZ.DE
aklog
(Wenn keine Fehlermeldung kommt, hat die Anmeldung funktioniert)
Wenn der Zugang über den AuriStor-Client gar nicht funktioniert, können Sie sich auch im Bereich Alternativer Zugang über weitere Zugangsmöglichkeiten informieren.

Andere Zugriffswege

Neben der Installation des OpenAFS-Clients gibt es eine Reihe weiterer Möglichkeiten, auf die Daten in unserer AFS-Zelle zuzugreifen.

Web File Manager

Direkter Zugang zu Ihrem HOME-Verzeichnis und anderen Daten über einen Web-Browser. Benutzen Sie diesen Zugang, wenn Sie

nur gelegentlich Zugriff benötigen
keine Software auf dem benutzten PC installieren können (z. B. in Internet-Cafés)
auf Grund von Firewall-Einstellungen nur Web-Zugriffe möglich sind

Secure Copy / Secure FTP (SCP/SFTP)

Zur Nutzung dieser Lösung muss seit dem 01.11.2017 im Sicherheitscenter des IdM-Portals das SSH-Login am öffentlichen Loginserver aktiviert werden. Alternativ kann statt login.tu-chemnitz.de einer der COMPUTE-Server verwendet werden (von außerhalb des Campusnetzes nur per VPN). Weitere Informationen finden sie im entsprechenden Blogeintrag des URZ.
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket, dass die Option GSSAPIDelegateCredentials für den Zugriff auf das AFS-Dateisystem aktiviert wird.

Gnome-Filemanager nautilus

Der Filemanager nautilus der Desktopoberfläche Gnome enthält eine Unterstützung für das SFTP-Protokoll. Starten Sie den dazu den Filemanager mit folgender Option, ersetzen Sie otto durch ihr eigenes Nutzerkennzeichen:

nautilus sftp://otto@login.tu-chemnitz.de/afs/tu-chemnitz.de

WinSCP

Für Windows-Systeme ist die Installation von WinSCP zu empfehlen. In einer komfortablen Oberfläche können Sie damit

einzelne Dateien übertragen
Verzeichnis-Synchronisation durchführen
allgemeine Operationen mit Dateien ausführen (umbenennen, löschen, Verzeichnisse anlegen, …).

Als entfernte Maschine benutzen Sie bitte login.tu-chemnitz.de oder einen der COMPUTE-Server
Beachten Sie bei der Authentifizierung mittels Kerberos-Ticket (GSSAPI-Authentifizierung), dass die Option GSSAPI-Berechtigungsübergabe in den Erweiterten Einstellungen der Sitzung → SSH → Authentifizierung aktiviert wird.

SSHFS für Windows

winfsp- msi installieren
sshfs-win- msi installieren

 net use L: \\sshfs\USER@login.tu-chemnitz.de\VERZEICHNIS

Beispiel Einbindung des Homeverzeichnisses von Nutzer "otto" unter Laufwerk "L" (so "L" noch unbenutzt ist)

C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\.
Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\. ist ungültig.

Geben Sie den Benutzernamen für "sshfs" ein: user
Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe)
Der Befehl wurde erfolgreich ausgeführt.

C:\user\xy> dir L:

C:\user\xy> net use L: \\sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project
Das Kennwort für \sshfs\otto@login.tu-chemnitz.de\..\..\..\..\project ist ungültig.

Geben Sie den Benutzernamen für "sshfs" ein: user
Geben Sie das Kennwort für "sshfs" ein: (es gibt kein Eingabeecho bei der Passworteingabe)
Der Befehl wurde erfolgreich ausgeführt.

C:\user\xy> dir L:

Trennen der Verbindung: Im Filemenager "Rechtsklick" auf das Laufwerk + "trennen"

SSHFS für MacOS

SSHFS kann als Alternative zum OpenAFS-Client eingesetzt werden. Dabei werden AFS-Verzeichnisse von einem System mit installiertem AFS-Clienten (z. B. login.tu-chemnitz.de) importiert. Downloads und Installationshinweise finden Sie unter: https://github.com/osxfuse/osxfuse/wiki/SSHFS (Die Option defer_permissions ignoriert evtl. einschränkende Unix-Berechtigungen, welche für Filesysteme im AFS keine Bedeutung haben.)

Zum Verbinden Ihres AFS-Homeverzeichnisses führen Sie bitte die folgenden Kommandos in einem Terminal aus.
(Ersetzen Sie otto durch Ihr Nutzerkennzeichen)
```
mkdir -p /tmp/afshome
sshfs otto@login.tu-chemnitz.de: /tmp/afshome -o volname=AFS-HOME -o defer_permissions
```
Zum Verbinden der AFS-Wurzel für den Zugriff auf z.B. auf Projektverzeichnisse oder Dokumente im Webbereich führen Sie bitte die folgenden Kommandos in einem Terminal aus.
(Ersetzen Sie wieder otto durch Ihr Nutzerkennzeichen)
```
mkdir -p /tmp/afs
sshfs otto@login.tu-chemnitz.de:/afs/tu-chemnitz.de/ /tmp/afs -o volname=AFS -o defer_permissions
```

Die Anzeige der verbundenen Verzeichnisse auf dem Desktop können Sie wie folgt aktivieren:

Finder starten
Menüleiste Finder → Einstellungen …
Tab: Allgemein
- Diese Objekte auf dem Desktop anzeigen:
- [x] Verbundene Server

Für die Authentifizierung mittels Kerberos-Ticket (GSSAPI) sind folgenden Anpassungen erforderlich. Beachten Sie, dass dieser Zugang nur im Campusnetz oder mit VPN-Verbindung möglich ist.

Beschaffen Sie zuerst ein Kerberos-Ticket mit folgendem Kommando in einem Terminal.
(Ersetzen Sie otto durch Ihr Nutzerkennzeichen)
```
kinit otto@TU-CHEMNITZ.DE
```
Den Erfolg und die Dauer der Gültigkeit des Tickets können Sie mit dem Kommando klist prüfen.
Ergänzen Sie das sshfs-Kommando für die Unterstützung der GSSAPI-Authentifizierung wie im Beispiel:
(Nutzen Sie einen Referenzserver (z.B. tiras.hrz.tu-chemnitz.de) für die Verbindung,
ersetzen Sie wieder otto durch Ihr Nutzerkennzeichen)
```
mkdir -p /tmp/afshome
sshfs otto@tiras.hrz.tu-chemnitz.de: /tmp/afshome -o volname=AFS -o defer_permissions -o GSSAPIAuthentication=yes -o GSSAPIDelegateCredentials=yes
```

Mountain Duck für MacOS und Windows

Mountain Duck ist ein kostenpflichtiges Werkzeug für die Einbindung von Dateisystemen (AFS-Deiteisystem über SFTP/SSH-Verbindung) in die Dateiexplorer von Windows und MacOS. Die Software steht auch als Evaluierungsversion unter mountainduck.io zum Download bereit.

iYFS für iOS

iYFS ist ein kostenpflichtiger AFS-Dateibrowser (Daten im Netzwerkdateisystem AFS) für Geräte mit iOS-Betriebssystem (iPad, iPhone). Die App wird von AuriStor, Inc. entwickelt und kann über iTunes bezogen werden.