Procedura di installazione di AFS su piattaforma Windows
(31 ottobre 2014)
Questa guida aiuta ad installare il client OpenAFS 1.7.29 e il
NetWork Identity Manager 3.2.2 su sistemi Microsoft Windows 7 e 8
(sistemi a 32bit e 64 bit).
Per lavorare in AFS non è obbligatorio usare questi pacchetti,
si può fare diversamente con lo stesso client più Heimdal per la
parte Kerberos o anche con Kerberos for Windows 4.0.1 del MIT.
Questa combinazione qui presentata è solo una delle possibili,
scelta per essersi dimostrata abbastanza affidabile in contesto
ENEA.
A seconda del sistema operativo è possibile che vengano richieste
conferme per permettere ai pacchetti di fare modifiche, lasciare
sempre che vengano fatte. E' altresì possibile che non tutte le
varie versioni di Windows si comportino esattamente allo stesso
modo: utilizzare queste istruzioni come traccia per arrivare a una
installazione funzionante per poi ottimizzarne il comportamento.
Per quanto non specificato qui in maniera esplicita è quasi sempre
sufficiente seguire il settaggio di default proposto dai diversi
pacchetti di setup durante le installazioni; per ottenere istruzioni
estese e pacchetti in diverse combinazioni e releases può essere
utile visitare il sito di OpenAFS:
http://www.openafs.org
Rimozione eventuali versioni precedenti
Di norma è sufficiente disinstallare le vecchie versioni e
installare le nuove. Data la non perfetta affidabilità del
client a volte si rende necessaria una più profonda pulizia di
quanto installato. Questa è descritta nelle procedure qui a seguire.
Attenzione!! Se non si è sicuri è bene farsi aiutare da un
collega più esperto, fare errori modificando il registro di
Windows può danneggiare l'installazione del proprio sistema
operativo.
Disinstallazione da Pannello di Controllo, Programmi (vedi figura
1):
- Librerie 32bit (questo vale solo per installazioni a 64bit)
- Client OpenAFS (con restart necessario della macchina)
- Kerberos for Windows (con restart)
- O Heimdal (dove applicabile)
- Installare i nuovi pacchetti
In caso la procedura descritta non porti a un client funzionante è
necessario ripulire i valori del registro prima di procedere ad una
nuova installazione, usando una disinstallazione più accurata.
Disinstallazione con pulizia del registro (vedi figura
2, figura
3, figura
4, figura
5):
- Disinstallare nuovamente il tutto
- Rimuovere le cartelle dei vecchi pacchetti OpenAFS e Kerberos
(o Heimdal) da C:\Programmi, C:\Programmi(x86) (o
C:\ProgramData)
- Ripulire il registro di Windows digitando da linea di comando
"regedit" cercando gli elementi per valori in stringa intera
contenenti "OpenAFS" e "MIT" e rimuovendone dal pannello di
sinistra dell'editor i sottorami.
- Rimuovere anche il file krb5.ini sotto c:\Windows
- Riavviare e passare all'installazione dei nuovi
pacchetti.
Installazione dei nuovi pacchetti (vedi figura
6, figura
7, figura
8, figura
9, figura
10)
- Reperire i pacchetti o presso http://www.openafs.org o da
ENEA a 32bit
o 64bit
- Installare le librerie da 32bit necessarie solo per le
macchine 64bit (controllare questo Pannello di Controllo
> Sistema). Questo passo serve solo per fornire le
librerie 32bit ai computer 64bit, va fatto prima del
resto.
- Cliccare su openafs-32bit-tools-en_US-1-7-2900.msi
- Seguire il setup in default con: Next, clic su "I accept.."
e Next, Typical, Install, Finish.
- Installare il client da 64bit o 32 bit a seconda del proprio
sistema.
- Cliccare su openafs-en_US-64bit-1-7-2900.msi
- Seguire il setup: Next, clic su "I accept.." e Next, IFS
Based Client, inserire in "Default Cell" la stringa "enea.it",
disabilitare in caso "Integrated logon" e poi Next, Install,
Finish, Restart.
- Una volta riavviato installare il client Kerberos.
- Cliccare su kfw-3-2-2.exe
- Seguire il setup: Ok su "English", Next, I Agree, Next,
Next, Cliccare su "Select a directory" e selezionare il
percorso al file krb5.ini con le configurazioni, Next,
Install, Finish, Restart.
- E' possibile prelevare una copia ben configurata del
krb5.ini sul sito di UTICT in corrispondenza della sezione
AFS, riportati qui per comodità:
Configurazioni per il primo accesso ad AFS (vedi figura
11, figura
12, figura
13, figura
14, figura
15)
- Lanciare il Network Identity Manager e ottenere le credenziali
usando le proprie user id e password del proprio account AFS per
il realm "ENEA.IT"
- Attendere che il ticket diventi verde poi mappare la propria
home AFS aprendo Computer e cliccando su "Connetti unità di
rete" scegliere:
- Unità: Z: (o qualsiasi altra lettera libera)
- Riempire la voce "Cartella" con:
"\\afs\enea.it\user\n\nome_proprio_utente" con impostato il
flag "Riconnetti all'accesso". Attenzione! Tra user e la
propria utenza c'è una directory con una lettera che
corrisponde all'iniziale del nome utenza. Quindi
"..\n\nome_utente" diverrà, nel caso di Rossi "..\r\rossi". In
Computer si dovrebbe creare un collegamento ad una unità di
rete dove sarà possibile scrivere in maniera permanente.
- Ripetere la stessa cosa per la cartella: "\\afs\enea.it\user"
questo per avere accesso alle utenze dei colleghi sulla cella.
- Una volta connesse le unità di rete, perfezionare la
configurazione del Network Identity Manager dal menu
Options, General attraverso i seguenti elementi nel menu
di sinistra:
- Attivare in General il flag su "Obtain new credentials at
startup"
- In Identities, tab "Kerberos v4" disabilitare il flag
"Obtain Kerberos v4 credentials" poichè non abbiamo più un
realm in Kerberos 4.
- Fare lo stesso sulla propria identità utente@ENEA.IT
- Sotto Kerberos v5 attivare il flag su "Include all
configured realms in New Credentials realm list"
- In AFS attivare il flag su "Prevent AFSCreds.exe from.."
- Cliccare su Apply, chiudere con Ok.
Integrare Kerberos in Putty (opzionale)
- Scaricare Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/
- Caricare la configurazione dalle Saved Session e nella
finestra sul lato sinistro sotto "Category":
- Sotto Connection -> SSH -> Auth -> GSSAPI
impostare:
- Attempt GSSAPI authentication (SSH-2 only)
- Allow GSSAPI credential delegation con MIT Kerberos
GSSAPI32.DLL in "Up"
- Salvare la configurazione di connessione al front (ad esempio
crescof01)
- Al prossimo login, preso il token la sessione Putty dovrebbe
entrare in automatico.
Risoluzione dei problemi (opzionale)
In caso di upgrade/problemi/disinstallazione fare sempre qualche
verifica sui punti qui sotto. La lista non è esaustiva è possibile
ottenere aiuto leggendo le istruzioni nei siti dedicati o aprendo un
ticket per problematiche relative alla griglia:
http://www.cresco.enea.it
https://gridticket.enea.it
(richiede accesso con il proprio account)
- Disinstallare tutto non conservando alcuna configurazione e
fare sempre reboot
- Rimuovere sempre le cartelle d'installazione
- Rimuovere la cartella nascosta C:\ProgramData\Kerberos
contenente il krb5.conf
- Rimuovere la cartella nascosta c:\ProgramData\MIT\Kerberos5
contenente il krb5.ini
- Rimuovere il file krb5.ini in C:\Windows
- Pulire il registro dalle occorrenze in stringa intera di
'OpenAFS', 'MIT' e 'krb5' (attenzione, vedi sopra)
- Attivare e controllare i log del client Network Identity
Manager, tab General, spunta su "Log Trace..."
- Verificare sempre che il sistema abbia l'ora esatta oppure
settarlo con un server NTP
- Verificare con un login via shell se si accede con il proprio
account e password
- Il file \system32\driver\etc\hosts deve poter essere
modificabile (alcune versioni di Avira lo impediscono)
- Risolvere le doppie identità con le ACL e non facendo logon
con altre utenze
Settaggio di un server NTP (opzionale)
Questi comandi possono esser usati in una shell di windows per
effettuare il settaggio dell'orario in automatico allineandosi alle
macchine di griglia ed consente di non avere il problema dell'orario
sbagliato che provoca il mancato login su AFS:
- w32tm /config /syncfromflags:manual
/manualpeerlist:aixfs.frascati.enea.it, 43p.frascati.enea.it,
rs2ced.frascati.enea.it
- w32tm /config /update
- w32tm /register
- w32tm /resync
- net stop w32time
- net start w32time
Per verificare il server ntp in uso:
Per visualizzare l'orario di un server ntp:
- w32tm /stripchart /computer:aixfs.frascati.enea.it /samples:5
/dataonly