OpenAFS unter Debian 8.3

[Moloch]

Hallo Community,

ich versuche derzeit OpenAFS unter Debian 8.3 zum laufen zu bringen.
Dabei behelfe ich mit folgender Anleitung: https://wiki.debian.org/OpenAFS_mit_MIT-Kerberos5

Es handelt sich um einen physischen Server der im eigenen Netz steht mit Verbindung nach außen.
Meine Debian Version:
Linux version 3.16.0-4-amd64 (debian-kernel@lists.debian.org) (gcc version 4.8.4 (Debian 4.8.4-1) ) #1 SMP Debian 3.16.7-ckt20-1+deb8u3 (2016-01-17)

Meine Probleme beim System sind:
- In der Anleitung steht geschrieben, dass das Paket krb5-clients mit installiert werden soll, welches es für deb8u3 nicht zu geben scheint.
Was tut krb5-clients:

Code: Alles auswählen

Secure replacements for ftp, telnet and rsh using MIT Kerberos

Habe es zunächst ausgelassen, da nicht als wichtig eingestuft für den Anfang. Wollte erst einmal mit der allgemeinen Installation fortfahren.

- In der Anleitung bleibe ich nun beim folgenden Befehl hängen:

Code: Alles auswählen

bos setcellname -server afs.example.com -name example.com -noauth

Gebe ich den abgewandelten Befehl mit meinen Daten ein, erhalte ich folgende Fehlermeldung:

Code: Alles auswählen

bos: running unauthenticated
bos: failed to set cell (could not find entry)

In der /etc/openafs/server/CellServDB sind die Einträge korrekt gesetzt.

/var/log/kadmin.log listet folgendes:

Code: Alles auswählen

Feb 22 18:08:18 "mein_hostname" kdb5_util[27271](info): No dictionary file specified, continuing without one.
Feb 22 18:09:58 "mein_hostname" kadmin.local[27273](info): No dictionary file specified, continuing without one.

Es wurden noch keine Ordner angelegt, dieses kommt erst später laut Anleitung.

/var/log/openafs/BosLog listet folgendes:

Code: Alles auswählen

Tue Feb 23 15:19:07 2016: Core limits now -1 -1
Tue Feb 23 15:19:07 2016: Server directory access is okay
Tue Feb 23 15:19:07 2016: Listening on 0.0.0.0:7007

/etc/krb5kdc/kdc.conf listet folgendes:

Code: Alles auswählen

[kdcdefaults]
    kdc_ports = 750,88

[realms]
    MEIN_REALM_NAME = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

Mir ist nicht bewusst, wo ich genau ansetzen kann um den Fehler zu beheben.
Kann sich jemand die Zeit nehmen und drüber schauen?

Viele Grüße
Moloch

[cosinus]

Hallo Community,- In der Anleitung steht geschrieben, dass das Paket krb5-clients mit installiert werden soll, welches es für deb8u3 nicht zu geben scheint.

moin,

krb5-clients scheint nicht nur bei Debian rausgeflogen zu sein. Ist es das was du suchst => krb5-user ?

Code: Alles auswählen

Package: krb5-user
Source: krb5
Version: 1.12.1+dfsg-19+deb8u1
Installed-Size: 347
Maintainer: Sam Hartman <hartmans@debian.org>
Architecture: amd64
Depends: libc6 (>= 2.14), libcomerr2 (>= 1.01), libgssapi-krb5-2 (>= 1.6.dfsg.2), libgssrpc4 (>= 1.6.dfsg.2), libk5crypto3 (>= 1.9+dfsg~beta1), libkadm5clnt-mit9 (>= 1.12~alpha1+dfsg), libkadm5srv-mit9 (>= 1.12~alpha1+dfsg), libkdb5-7, libkeyutils1 (>= 1.4), libkrb5-3 (= 1.12.1+dfsg-19+deb8u1), libkrb5support0 (>= 1.12~alpha1+dfsg), libss2 (>= 1.01), krb5-config
Conflicts: heimdal-clients
Description-de: Grundprogramme zum Authentifizieren mit MIT Kerberos
 Kerberos ist ein System, um Benutzer und Dienste in einem Netzwerk zu
 authentifizieren. Der Kerberos-Dienst ist ein »Vertrauenswürdiger Dritter«
 (trusted third-party service). Dies bedeutet, dass einem Dritten (dem
 Kerberos-Dienst) von allen Entitäten des Netzwerks (Benutzern und
 Diensten, normalerweise »Principals« genannt) vertraut wird.
 .
 Dies ist die MIT-Referenzimplementierung von Kerberos V5.
 .
 Dieses Paket enthält die Grundprogramme, um sich bei MIT Kerberos zu
 authentifizieren, Passwörter zu ändern und mit dem Hauptserver zu verbinden
 (zum Anlegen, Löschen, Auflisten von Principals und weiteres).
Description-md5: ca243064a3a71b9425feb54097e4dfd7
Homepage: http://web.mit.edu/kerberos/
Tag: admin::login, admin::user-management, implemented-in::c,
 interface::commandline, network::client, protocol::kerberos,
 role::program, security::authentication, use::login
Section: net
Priority: optional
Filename: pool/main/k/krb5/krb5-user_1.12.1+dfsg-19+deb8u1_amd64.deb
Size: 137248
MD5sum: b33f07ab4fe0727bbd74befae76ca21d
SHA1: 4a347cecc2c6e767f3654291606fa714f4de0822
SHA256: 93646d2a0bafea1d799064fe991d0fc6c11c71294d2670130075ea111bf4ba57

[Moloch]

Leider nein,

beim installieren der Pakete wurde das Paket krb5-user mit installiert.

[MSfree]

- In der Anleitung steht geschrieben, dass das Paket krb5-clients mit installiert werden soll,...

Gut möglich, daß die Anleitung sich noch nicht auf Jessie bezieht.Tatsache ist, daß es für Jessie ein Paket openafs-krb5 gibt, daß du vielleicht installieren solltest, mit dem sich dann hoffentlich alle Abhängigkeiten von selbst auflösen.

Edit:
die von dir verlinkte Anleitung ist von 2009! Die ist inzwischen wohl völlig veraltet.

[Moloch]

Das ist vollkommen richtig, dass diese Anleitung ggf. völlig veraltet ist.
Es ist schwierig, nicht unmöglich, eine aktuelle Anleitung zu finden zur Installation von OpenAFS auf einem Debian oder gar RedHat System.

Auch mit dem AdminGuide von OpenAFS konnte ich die Probleme bisher nicht in den Griff bekommen.
AdminGuide: http://docs.openafs.org/AdminGuide.pdf

[cosinus]

Hier is ne Anleitung => https://www.tubit.tu-berlin.de/menue/di ... ianubuntu/ die kein krb5-clients erwähnt. Vllt hilft's.

[Moloch]

Danke für den Hinweis, dass die TU-Berlin da eine kleine Anleitung geschrieben hat.
Ich werde mir diese anschauen und spätestens bis Freitag berichten.

Viele Grüße
Moloch

[Moloch]

Update 26.02.16:

Habe jetzt soweit eine Verbindung zwischen den Diensten Kerberos und AFS.
Da ich den Fehler nicht ausfindig machen konnte, habe ich die Config Dateien gelöscht, neu erstellt und alle Daten neu eingetragen.
Jetzt besteht eine Verbindung. Verstehe wer es will.

Benötige noch einmal Hilfestellung zu OpenAFS:
Wenn ich den Befehl

Code: Alles auswählen

bos setcellname -server afs.mein_realm -name mein_realm -noauth

eingebe, erhalte ich jetzt folgende Meldung vom BOS:

Code: Alles auswählen

bos: running unauthenticated
bos: failed to set cell (you are not authorized for this operation)

Bisher keinen Ansatz für eine Lösung gefunden.
Mail-Archiv, OpenAFS Administrator Handbuch und Internetrecherche ergaben bisher keine Treffer