PROCEDURA PER LA MIGRAZIONE DEI CLIENT OPENAFS ALL’UTILIZZO ESCLUSIVO DI KERBEROS 5

In OpenAFS il processo di autenticazione avviene attraverso il protocollo Kerberos. 
Questo protocollo si basa sul concetto di ticket, ovvero pacchetti di dati crittografati che comprovano l’identità di un utente. L’amministrazione e la distribuzione di queste credenziali sono centralizzate e vengono gestite da più server detti Key Distribution Center (KDC), ripartiti tra vari centri ENEA.AFS ha utilizzato storicamente una implementazione di Kerberos versione 4 di cui però sono note alcune falle di sicurezza, risolte da Kerberos versione 5. Finora i server di autenticazione kerberos in ENEA supportavano entrambi i protocolli 4 e 5 ma con l’aggiornamento di sistema che avverrà l’8/3/2011 il supporto per kerberos 4 verrà abbandonato.Da parte dell’utente la migrazione al solo protocollo 5 di Kerberos richiede una verifica della configurazione del client. In occasione di questa verifica si è deciso di uniformare ed adeguare le configurazioni di OpenAFS in base al centro Enea di riferimento: Bologna, Brindisi, Casaccia, Frascati, Portici e Trisaia. In base al sistema operativo adottato ci saranno per ciascun sito differenti file di configurazione.
Le informazioni per installare e configurare ciascun client le potete trovare qui di seguito:


Client Windows

Client Linux

Client Mac

Per ogni eventuale richiesta di chiarimenti potete inviare un ticket a https://gridticket.enea.it/

I sistemi Windows antecedenti a Windows 2000 Server non sono supportati. Inoltre in base al fatto che:

  1. Tutte le versioni di OpenAFS di Windows precedenti alla 1.5.75 sono incompatibili con Windows Security Update MS10-020 ( KB980232 )
  2. Tutte le versioni di OpenAFS di Windows precedenti alla 1.5.62 possono causare la perdita di dati al file server
  3. La versione 1.5.66 è stata la prima versione di OpenAFS per Windows che è supportata da Windows 7

Si raccomanda di installare o di aggiornare la versione del client openafs ad una versione successiva alla 1.5.75. 
Qui potete trovare l’ultima release; nella pagina che compare selezionare il sistema operativo del computer su cui si vuole effettuare l’installazione.


È disponibile una guida all’installazione di OpenAFS su Windows che è relativa a versioni precedenti ma con un po’ di attenzione può essere utilizzata anche per le versioni recenti.


Una volta installato OpenAFS il sistema ha già a disposizione i servizi di Kerberos 4; per poter utilizzare le funzioni di Kerberos 5 Windows ha bisogno di un pacchetto esterno: il MIT Kerberos for Windows (KFW). Qui di seguito riportiamo le istruzioni per la sua installazione.
 
Onde evitare che Kerberos 5 non riconosca automaticamente l’installazione di OpenAFS è bene che sia rispettato l’ordine di installazione: prima OpenAFS poi Kerberos 5.

 

1. Scaricare direttamente sul desktop il file krb5.ini selezionando il proprio centro di riferimento.
Bologna
Brindisi
Casaccia
Frascati
Portici
Trisaia


2. Scaricare Kerberos for Windows 3.2.2 e lanciare l’eseguibile.

 

3. Alla finestra “Installer Language” selezionare English e fare click su OK

4. Alla finestra di “MIT Kerberos for Windows 3.2.2 Setup”, fare click su Next per continuare.



5. Quindi fare click su “I Agree” per continuare


6. Per la scelta dei componenti da installare, lasciare il default proposto e fare click su Next.



7. Per la scelta del path di installazione lasciare il default e premere Next.



8. Nella finestra “Kerberos Configuration” selezionare in “Select a directory” il file krb5.ini creato  al passo 1 e premere “Next”.

 

9. Lasciare il default per il  “Network Identity Manager Setup” se si vuole l’autostart all’avvio e premere Install..


10. Per completare l’installazione premere Finish


11. Avviando il programma si presentera’ la seguente schermata:




12. Selezionando Option quindi General si aprira’ la seguente finestra:

 

13. Selezionare l’opzione “Kerbeors v5” e selezionare in “Default Realm” la cella ENEA.IT quindi premere OK

 
14. Tornando alla finestra iniziale “Network Identity Manager”, cliccando in alto a sinistra l’icona “Obtain new Credential”, si aprira’ la finestra di autenticazione dalla quale  mettendo username e password ,si potra’ ottenere il ticket del reame ENEA.IT
 



15. Digitando la propria username e password ,si potra’ ottenere il ticket leggibile nella finestra iniziale
 

NOTA
Con i nuovi filekrb5.ini è possibile ottenere token anche su celle fusione.it e efda-itm.eu. Basterà effettuare il login come:
@FUSIONE.IT   (token su fusione.it) (cluster FTU)
@EFDA-ITM.EU   (token su efda-itm.eu) (ITM GATEWAY)

16. Nel caso si voglia ottenere il token, dopo l’autenticazione, si deve tornare  in General quindi selezionare “Identities” e scegliendo la username@ENEA.IT, si potra’ aggiungere alla finestra AFS, la cella enea.it tramite il tasto Add/Update. 
È infine consigliato disabilitare il “Kerberos 4”  togliendo la spunta alla casellina della finestra corrispondente a “Kerberos v4”.
 




NOTA

Per montare OpenAFS direttamente su un’unità di Windows bisogna creare un collegamento a un’unità di rete e procedere come segue:

1.      Per aprire Computer, fare clic sul pulsante Start e quindi scegliere Computer.
2.      Scegliere Connetti unità di rete dal menu Strumenti. Se il menu Strumenti non è visualizzato, premere ALT.
3.      Nell’elenco Unità fare clic su una lettera di unità. È possibile scegliere una qualsiasi delle lettere disponibili.
4.      Nella casella Cartella digitare il percorso \\afs\enea.it\ o se preferite la vostra home (attenzione a \ al posto di /).
Per connettersi ogni volta che si effettua l’accesso al computer, selezionare la casella di controllo Riconnetti all’avvio.
5.      Fare clic su Fine.

Il computer è ora connesso all’unità di rete.
 
 
 
 
 
 
Sulle macchine Linux non è necessario installare i pacchetti Kerberos 5 perché sono già normalmente presenti una volta installato openafs.
A titolo di esempio, questi sono i pacchetti Kerberos normalmente presenti sulle macchine CentOs 5.3 di Cresco:
krb5-auth-dialog-0.7-1
krb5-libs-1.6.1-31.el5_3.3
krb5-devel-1.6.1-31.el5_3.3
krb5-workstation-1.6.1-31.el5_3.3
openafs-krb5-1.4.12-1.1.2
pam_krb5-2.2.14-10

L’unica cosa da fare è dunque sostituire i seguenti file di configurazione (/etc/krb5.conf  e /usr/vice/etc/CellServDB ) con quelli corretti, che dovete scaricare ciascuno secondo il centro di riferimento:

/etc/krb5.conf
Con i nuovi krb5.conf è possibile ottenere token anche su celle fusione.it e efda-itm.eu. Basterà effettuare un:
klog @fusione.it   (token su fusione.it) (cluster FTU)
klog @efda-itm.eu   (token su efda-itm.eu) (ITM GATEWAY)
klog @enea.it   (token su ENEA GRID)

Per la cella di default di enea.it basta klog
Si suppone che l’accesso alle machine client Linux avvenga tramite SSH K5/AFS-aware. Per le macchine compatibili con RHEL 3+,4+,5+ (32 e 64 bit) possono essere utilizzati pacchetti openssh prodotti da CASPUR. Se il file /etc/krb5.conf e’ installato correttamente, l’utente viene automaticamente munito sia del ticket Kerberos che del token AFS.
Si noti che il vecchio comando “klog” basato sul protocollo 4 non sarà più utilizzabile e andrà sostituito con un comando del tutto analogo “klog.krb5” che farà uso solamente del protocollo 5.
Il binario klog.krb5 fa parte del pacchetto “openafs” e viene costruito sfruttando le librerie Kerberos presenti sulla macchina.
Mentre per le operazioni di login e klog.krb5 è sufficiente installare il file /etc/krb5.conf, alcuni servizi integrati con Kerberos hanno bisogno di un file binario /etc/krb5.keytab contenente in forma binaria la chiave della macchina (host/nomemacchina@ENEA.IT).
Lo strumento per la generazione dei keytab in Enea è WARC.
 
 
 

Sulle macchine Mac OS X non è necessario installare i pacchetti Kerberos 5 perché sono già integrati in OpenAFS a partire dalla versione 1.4.11.
Per chi avesse già installato una corretta versione di OpenAFS, le istruzioni riportate qui in basso vanno lette dal punto 4 in poi.

Installazione e Configurazione Openafs su Mac OS X


1. Scaricare da qui il pacchetto OpenAFS (versione maggiore o uguale alla 1.4.14)

2. Fare doppio click  sul package OpenAFS per far partire l’installazione

3. Durante l’installazione, il setup chiedera’ alcune informazioni quali il nome della cella digitare ENEA.IT


4. Al termine dell’installazione, aprire il pannelloPreferenze di Sistema e poi aprire il pannelloOpenAFS



5. Aprire il tabCellServDB Editor, selezionare la cella enea.it

e schiacciare il bottone Modify

Verificare che i server di autenticazione siano esclusivamente quelli riportati qui sotto in base al proprio centro di riferimento.

Bologna
192.107.54.5             aixfs.frascati.enea.it
192.107.61.235        serverinfo02.bologna.enea.it

Brindisi
192.107.54.5             aixfs.frascati.enea.it
192.107.54.11           rs2ced.frascati.enea.it
192.107.54.12           43p.frascati.enea.it

Casaccia
192.107.54.5             aixfs.frascati.enea.it
192.107.71.6             glauco.casaccia.enea.it

Frascati
192.107.54.5             aixfs.frascati.enea.it
192.107.54.11           rs2ced.frascati.enea.it
192.107.54.12           43p.frascati.enea.it

Portici
192.107.82.184        afsdb.portici.enea.it
192.107.70.51          afsdb1.portici.enea.it

Trisaia
192.107.54.5            aixfs.frascati.enea.it
192.107.96.233        riscdb.trisaia.enea.it

Per eventuali modifiche schiacciare il bottoneAddDelete

 

Schiacciare poi il bottoneOk. Salvare poi la configurazione schiacciando il bottoneSave Cell Configuration.

 

6.Per consentire  l’utilizzo del protocollo K5 si deve copiare il fileedu.mit.Kerberosin~/Library/Preferences/(cioè la cartella Library che sta nella home dell’utente). Potete scaricare il file qui in basso selezionando il proprio centro di riferimento:

Bologna
Brindisi
Casaccia
Frascati
Portici
Trisaia


7. Quindi  per eseguire una login K5, si deve settare la casella “Use aklog” e lasciare attivo sia Backgrounder che AFS menu nella finestra principale


Eseguire lo Shutdown del servizio e poi poi lo Startup.

Assicurarsi che, dopo il riavvio del servizio, nella cartella~/Library/Preferences/siano stati creati dal sistema i due file:

edu.mit.Kerberos.IdentityManagement.plist

edu.mit.Kerberos.KerberosAgent.plist

(serviranno un paio di riavvii del servizio ed un tentativo di logon per creare i file plist).
Eseguire il login in maniera classica (o dal solito lucchetto o premere il tasto in basso a destra “Get New Token”, introducendo le credenziali: username e password ).

NOTA BENE, la username da immettere èusername@ENEA.IT, il dominio va scritto in maiuscolo.

Con i nuovi fileedu.mit.Kerberos è possibile ottenere token anche su celle fusione.it e efda-itm.eu. Basterà effettuare il login come:
@FUSIONE.IT   (token su fusione.it) (cluster FTU)
@EFDA-ITM.EU   (token su efda-itm.eu) (ITM GATEWAY)


Se tutto è andato bene, vicino all’icona gialla del lucchetto, sarà comparsa una piccola letterake non ci sarà più laX

Per ogni eventuale richiesta di chiarimenti potete inviare un ticket a https://gridticket.enea.it/