[sage] AFS
Dirk Wetter
dirk.wetter at guug.de
Sat Dec 20 16:24:53 CET 2008
Am 16.12.2008 13:01, Juergen Kahnert schrieb:
>> o) Login per ssh-key nicht mehr möglich:
>> Kerberos ticket nicht vorhanden, weil kein Passwort eingegeben wird.
>> Home ist nicht gemounted, daher auch keine authorized_keys verfügbar
>> [Lösung evtl. ein gepatchter sshd, der den Key aus LDAP holt]
>
> Die Lösung ist für den Host Leserechte auf die authorized_keys zu
> vergeben. Dazu vergibt man ein Lookup Recht für die lokalen Hosts auf's
> Home als auch auf ~/.ssh und verlinkt die authorized_keys in ein
> Verzeichnis, für das es Leserechte für die lokalen Hosts der Site gibt.
EbenT ;-) Den Trick gab es schon vor 1996 am DESY.
Alternativ kann man auch die ACLs so setzen, dass in
~/.ssh alle lesen können. ;-) Das jedenfalls dachte wohl mal
ein Netzadmin einer deutschen Uni. Nur kam man mit seinem
Schlüssel darin ohne Passphrase als root auf so ziemlich
viele Uni-Rechner, wie z.B. dem Mailhost.
Mit "alle" meinte ich Welt. Die Zelle war so konfiguriert,
das ein einfaches cd /afs/{zellenname}/{homedir}/.ssh/ reichte.
>> o) Performanceprobleme treten angeblich auch auf
>
> Weshalb der Firefox3 mit seinen vielen kleinen Dateien und seiner
> Datenbank Probleme bereitet, wenn das Home im AFS liegt (wurde hier
> zumindest so als Grund angegeben).
Laut CERN/Caspur ist bei ~4-5 MB/s derzeit Schluss. Ein Rewrite des
AFS-Codes wäre die einzige Abhilfe. Vielleicht weiß Hartmut Reuter mehr...
4-5 MB/s waren vor einiger Zeit ja noch ok. Nur heute sind Platten und
das Netz schneller.
> Jedenfalls ist AFS nicht mal eben so eingerichtet und betrieben und es
> stecken viele Tücken im Detail.
Aber wenn's läuft und man das richtig(TM) eingerichtet hat, fand
ich es als Admin gerade für viele Benutzer sehr arbeitserleichternd.
Auch das Snapshot-Feature, dass alte Volumes wieder r/o einhängt
wie heute bei ZFS oder einige Zeit davor bei Netapp.
Schöne Grüße,
Dirk
-
More information about the SAGE
mailing list