NFS-Ersatz für 10000 mobile User
Hallo, wir suchen eine Lösung für folgendes Problem: Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern. Die User sollen dieses Homeverzeichnis auf ihrem Laptop möglichst einfach mounten können (Kombination mit autofs), ohne auf andere Homeverzeichnisse zugreifen zu können. Die User besitzen auf ihren Laptops root Rechte. NFS scheidet aufgrund der Anzahl, der Aktualisierung und des Problems mit den Rootrechten aus. Hat schon jemand gute Erfahrungen mit OpenAFS für eine solche Aufgabe gemacht? Oder gibt es noch eine andere Lösung? Vielen Dank, Stephan Volz
Am Freitag, 8. Oktober 2004 13:52 schrieb Stephan Volz:
Hallo,
wir suchen eine Lösung für folgendes Problem:
Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern. Die User sollen dieses Homeverzeichnis auf ihrem Laptop möglichst einfach mounten können (Kombination mit autofs), ohne auf andere Homeverzeichnisse zugreifen zu können. Die User besitzen auf ihren Laptops root Rechte. NFS scheidet aufgrund der Anzahl, der Aktualisierung und des Problems mit den Rootrechten aus.
also zumindest das mit den rootrechten stimmt so nicht: man(5) exports sagt dir: in /etc/exports bei den entsprechenden freigaben die option "root_squash" reingetan und schon werden alle zugriffe die vom client mit einer userID von 0 kommen auf nobody:nobody gemappt. und das mit den 1000 - 10000 clients wäre wohl für _jedes_ netzwerkfilesystem ein problem, wenn der server nicht fett genug ist. Sun fire 680 im vollausbau wäre anzuraten... ;) bye, MH -- Die unaufgeforderte Zusendung einer Werbemail an Privatleute verstößt gegen §1 UWG und 823 I BGB (Beschluß des LG Berlin vom 2.8.1998 Az: 16 O 201/98). Jede kommerzielle Nutzung der übermittelten persönlichen Daten sowie deren Weitergabe an Dritte ist ausdrücklich untersagt! gpg key fingerprint: 5F64 4C92 9B77 DE37 D184 C5F9 B013 44E7 27BD 763C
On Friday 08 October 2004 14:13, Mathias Homann wrote:
Am Freitag, 8. Oktober 2004 13:52 schrieb Stephan Volz:
Hallo,
wir suchen eine Lösung für folgendes Problem:
Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern. Die User sollen dieses Homeverzeichnis auf ihrem Laptop möglichst einfach mounten können (Kombination mit autofs), ohne auf andere Homeverzeichnisse zugreifen zu können. Die User besitzen auf ihren Laptops root Rechte. NFS scheidet aufgrund der Anzahl, der Aktualisierung und des Problems mit den Rootrechten aus.
und das mit den 1000 - 10000 clients wäre wohl für _jedes_ netzwerkfilesystem ein problem, wenn der server nicht fett genug ist. Sun fire 680 im vollausbau wäre anzuraten... ;)
Die gehen ja nicht gleichzeitig ran, oder ? OpenAFS kann leider (noch) nicht mit Kernel-2.6 (oder mittlerweile doch?) Das schien (vor 2 Monaten) auch lange nicht geplant. Intermezzo wäre eine Alternative, aber es läuft leider überhaupt nicht stabil. -- Mathias Weigt
Am Freitag, 8. Oktober 2004 14:23 schrieb Mathias Weigt:
On Friday 08 October 2004 14:13, Mathias Homann wrote:
Am Freitag, 8. Oktober 2004 13:52 schrieb Stephan Volz:
Hallo,
wir suchen eine Lösung für folgendes Problem:
Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern.
[...]
und das mit den 1000 - 10000 clients wäre wohl für _jedes_ netzwerkfilesystem ein problem, wenn der server nicht fett genug ist. Sun fire 680 im vollausbau wäre anzuraten... ;)
Die gehen ja nicht gleichzeitig ran, oder ?
nee, aber die brauchen ja platz... /etc/skel ist 96 KB gross. und sobald ein user sich einmal angemeldet hat, wirds gleich _viel_ mehr. (KDE lässt grüssen, mozilla cache, etc etc). gehn wir mal von ... 5MB pro user aus (und das ist warscheinlich noch extrem wenig), haben wir schon 50 Gigabyte in /home auf dem server. realistischer gegriffen (nehmen wir mal 1/4 von _meinem_ home auf meinem laptop) sind das dann eher 250 MB pro user, macht dann schon um die 2.5 TERABYTE. der Server ist also schon ziemlich fett. kommt ein einzelner server unter linux überhaupt mit so vielen usern noch wirklich klar? ich möcht die jedenfalls nicht von hand in einer /etc/passwd pflegen müssen. auch nicht mehr von hand im NIS. bye, MH
Zu den Rootrechten: Das mit /etc/exports kann man machen. Wenn ich aber root auf dem Schlepptop bin, sollte ein su - andereruser reichen, um das Verzeichnis lesen zu können (nicht gewollt). Geht natürlich nur, wenn ich in exports /Wurzel_homeverzeichnisse freigebe. Aber wie kann man explizit Benutzer5000 Homeverzeichnis5000 mounten lassen? Zu der aktuellen Hardware kann ich aktuell nicht viel sagen (bin nur Vermittler der Anfrage), uns geht es um den technischen Ansatz, die Implementierung kann man danach angehen... Die Benutzerverwaltung sollte über LDAP-Server realisiert werden... Da könnte man mehrere nehmen, aber 10000 Einträge sind bei einem kein Problem. Bye, Stephan On Fri, 8 Oct 2004, Mathias Homann wrote:
[...]
nee, aber die brauchen ja platz... /etc/skel ist 96 KB gross. und sobald ein user sich einmal angemeldet hat, wirds gleich _viel_ mehr. (KDE lässt grüssen, mozilla cache, etc etc). gehn wir mal von ... 5MB pro user aus (und das ist warscheinlich noch extrem wenig), haben wir schon 50 Gigabyte in /home auf dem server. realistischer gegriffen (nehmen wir mal 1/4 von _meinem_ home auf meinem laptop) sind das dann eher 250 MB pro user, macht dann schon um die 2.5 TERABYTE. der Server ist also schon ziemlich fett. kommt ein einzelner server unter linux überhaupt mit so vielen usern noch wirklich klar? ich möcht die jedenfalls nicht von hand in einer /etc/passwd pflegen müssen. auch nicht mehr von hand im NIS.
bye, MH
Am Freitag, 8. Oktober 2004 15:16 schrieb Stephan Volz:
Zu den Rootrechten: Das mit /etc/exports kann man machen. Wenn ich aber root auf dem Schlepptop bin, sollte ein su - andereruser reichen, um das Verzeichnis lesen zu können (nicht gewollt). Geht natürlich nur, wenn ich in exports /Wurzel_homeverzeichnisse freigebe. Aber wie kann man explizit Benutzer5000 Homeverzeichnis5000 mounten lassen?
wenn das alles laptops sind, kannst du doch davon ausgehn, dass immer der gleiche user den gleichen laptop benutzt, oder? und bei so vielen kisten gibts da bestimmt dhcp, oder? also im dhcp den jeweiligen mac adressen feste ip adressen zugeordnet, und dann das jeweilige homeverzeichnis nur an den betreffenden rechner exportiert. wenn du dann noch per snort oder so prüfst, daß keiner mit einer IP rummacht die nicht zu der MAC im dhcp passt, kann man da auch nicht mehr ganz so leicht drumrumkommen.
Die Benutzerverwaltung sollte über LDAP-Server realisiert werden... Da könnte man mehrere nehmen, aber 10000 Einträge sind bei einem kein Problem.
jo, mit ldap klappt das schon eher. bye, MH
Leider nicht garantiert... Prinzipiell kann jeder User jeden Tag einen anderen Schlepptop mitbringen, außerdem werden einige User nach einem halben Jahr durch neue ersetzt. Mit DHCP und MAC ist die Benutzerzuordnung nicht möglich. Da bräuchte man jemand, der das für 10000 Leute abtippt... On Fri, 8 Oct 2004, Mathias Homann wrote:
wenn das alles laptops sind, kannst du doch davon ausgehn, dass immer der gleiche user den gleichen laptop benutzt, oder? und bei so vielen kisten gibts da bestimmt dhcp, oder? also im dhcp den jeweiligen mac adressen feste ip adressen zugeordnet, und dann das jeweilige homeverzeichnis nur an den betreffenden rechner exportiert.
wenn du dann noch per snort oder so prüfst, daß keiner mit einer IP rummacht die nicht zu der MAC im dhcp passt, kann man da auch nicht mehr ganz so leicht drumrumkommen.
Hilft nicht, da bei einige Netzwerkkarten auch die MAC umgesetzt werden kann....
Mathias Homann
Am Freitag, 8. Oktober 2004 14:23 schrieb Mathias Weigt:
On Friday 08 October 2004 14:13, Mathias Homann wrote:
Am Freitag, 8. Oktober 2004 13:52 schrieb Stephan Volz:
Hallo,
wir suchen eine Lösung für folgendes Problem:
Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern.
[...]
und das mit den 1000 - 10000 clients wäre wohl für _jedes_ netzwerkfilesystem ein problem, wenn der server nicht fett genug ist. Sun fire 680 im vollausbau wäre anzuraten... ;)
Die gehen ja nicht gleichzeitig ran, oder ?
nee, aber die brauchen ja platz... /etc/skel ist 96 KB gross. und sobald ein user sich einmal angemeldet hat, wirds gleich _viel_ mehr. (KDE lässt grüssen, mozilla cache, etc etc). gehn wir mal von ... 5MB pro user aus (und das ist warscheinlich noch extrem wenig), haben wir schon 50 Gigabyte in /home auf dem server. realistischer gegriffen (nehmen wir mal 1/4 von _meinem_ home auf meinem laptop) sind das dann eher 250 MB pro user, macht dann schon um die 2.5 TERABYTE. der Server ist also schon ziemlich fett. kommt ein einzelner server unter linux überhaupt mit so vielen usern noch wirklich klar? ich möcht die jedenfalls nicht von hand in einer /etc/passwd pflegen müssen. auch nicht mehr von hand im NIS.
Nimm als Backend die aktuelle Version von OpenLDAP, 2.2.17, anstatt /etc files, da kann ein Server leicht mehrere hundertausend User verwalten, vielleicht kannst du auch einiges auf mehrere Slaves verteilen. Für roaming Laptops siehe http://www.padl.com/OSS/pam_ccreds.html http://www.padl.com/OSS/nss_updatedb.html Die beiden Tools sind speziell für Laptops, die auch unplugged die User authentfizieren. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Am Freitag, 8. Oktober 2004 15:45 schrieb Stephan Volz:
Leider nicht garantiert... Prinzipiell kann jeder User jeden Tag einen anderen Schlepptop mitbringen, außerdem werden einige User nach einem halben Jahr durch neue ersetzt. Mit DHCP und MAC ist die Benutzerzuordnung nicht möglich. Da bräuchte man jemand, der das für 10000 Leute abtippt...
dann bleibt eigentlich nix mehr übrig als den leuten eben _kein_ root zu geben. Und damit die nicht drum rum kommen gibts folgende schritte: 1. bios password. 2. booten von was anderem als festplatte abstellen 3. das grub menue so anpassen dass der user beim booten dem kernel _keine_ parameter übergeben kann. und eben _kein_ rootrecht auf den laptops. warum überhaupt. haben die alle ahnung von linux? kann ich nicht glauben. bye, MH
Ok, OpenLDAP war zur Benutzerverwaltung vorgesehen. Das Problem waren die Homeverzeichnisse, die gemountet werden sollen und zwar nur das spezielle Homeverzeichnis mit dem entsprechenden User. Wenn ich die Padl Tools richtig verstehe, kann ich damit offline arbeiten, als ob das Verzeichnis da ist. Könnte man da auch sehr gut gebrauchen. Das Problem mit den Homeverzeichnisen ist aber noch offen, oder?
/etc files, da kann ein Server leicht mehrere hundertausend User verwalten, vielleicht kannst du auch einiges auf mehrere Slaves verteilen. Für roaming Laptops siehe http://www.padl.com/OSS/pam_ccreds.html http://www.padl.com/OSS/nss_updatedb.html
Die beiden Tools sind speziell für Laptops, die auch unplugged die User authentfizieren.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Geht leider nicht. Laptop gehört dem Benutzer, daher darf er da auch root sein... Bye, Stephan On Fri, 8 Oct 2004, Mathias Homann wrote:
dann bleibt eigentlich nix mehr übrig als den leuten eben _kein_ root zu geben. Und damit die nicht drum rum kommen gibts folgende schritte:
1. bios password. 2. booten von was anderem als festplatte abstellen 3. das grub menue so anpassen dass der user beim booten dem kernel _keine_ parameter übergeben kann.
und eben _kein_ rootrecht auf den laptops. warum überhaupt. haben die alle ahnung von linux? kann ich nicht glauben.
bye, MH
Nö, wir suchen gerade eine sichere Lösung für diese Aufgabe. NFS-Ersatz sollte nur andeuten, dass wir etwas NFS-ähnliches suchen, implementiert ist das in dieser Form natürlich nicht. Bye, Stephan On Fri, 8 Oct 2004, Mathias Homann wrote:
Am Freitag, 8. Oktober 2004 16:29 schrieb Stephan Volz:
Geht leider nicht. Laptop gehört dem Benutzer, daher darf er da auch root sein...
dann habt ihr ein sicherheitsproblem.
bye, MH
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Stephan Volz
Ok, OpenLDAP war zur Benutzerverwaltung vorgesehen. Das Problem waren die Homeverzeichnisse, die gemountet werden sollen und zwar nur das spezielle Homeverzeichnis mit dem entsprechenden User.
Wenn ich die Padl Tools richtig verstehe, kann ich damit offline arbeiten, als ob das Verzeichnis da ist. Könnte man da auch sehr gut gebrauchen. Das Problem mit den Homeverzeichnisen ist aber noch offen, oder?
Nein, den vollständigen Datensatz für Posixaccount und zusätzlich automount im Verzeichnisdienst. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Das ist dann genial. Ich werde es weiterleiten. Besten Dank. Stephan On Fri, 8 Oct 2004, Dieter Kluenter wrote:
Stephan Volz
writes: Ok, OpenLDAP war zur Benutzerverwaltung vorgesehen. Das Problem waren die Homeverzeichnisse, die gemountet werden sollen und zwar nur das spezielle Homeverzeichnis mit dem entsprechenden User.
Wenn ich die Padl Tools richtig verstehe, kann ich damit offline arbeiten, als ob das Verzeichnis da ist. Könnte man da auch sehr gut gebrauchen. Das Problem mit den Homeverzeichnisen ist aber noch offen, oder?
Nein, den vollständigen Datensatz für Posixaccount und zusätzlich automount im Verzeichnisdienst.
-Dieter
-- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Stephan Volz wrote:
Nö, wir suchen gerade eine sichere Lösung für diese Aufgabe. NFS-Ersatz sollte nur andeuten, dass wir etwas NFS-ähnliches suchen, implementiert ist das in dieser Form natürlich nicht.
Was ist mit shfs? Allerdings habe ich keine Ahnung ob das in eueren Dimensionen noch funktioniert. Gruß
Am Freitag 08 Oktober 2004 15:16 schrieb Stephan Volz:
Zu den Rootrechten: Das mit /etc/exports kann man machen. Wenn ich aber root auf dem Schlepptop bin, sollte ein su - andereruser reichen, um das Verzeichnis lesen zu können (nicht gewollt). Geht natürlich nur, wenn ich in exports /Wurzel_homeverzeichnisse freigebe. Aber wie kann man explizit Benutzer5000 Homeverzeichnis5000 mounten lassen?
Indem sich Benutzer5000 auch als Benutzer5000 anmeldet. Da der Server ohnehin irgendwie den Benutzer5000 für die Auswahl des richtigen Homeverzeichnis identifizieren muss (oder soll der Server hier raten? ;-), wird wohl kein System um eine Anmeldung als Benutzer5000 für den Netzzugriff drumrumkommen. Also, wenn es denn unbedingt eine primäre root-Amneldung auf dem Server sein muss: Mountscript auf die Laptops, dass: 1. User + Passwort abfragt 2. per su auf den entsprechenden User wechselt und 3. als dieser User das entsprechende Homeverzeichnis mountet. BTW: Wer sich auf einem Unix/Linux-System primär als root anmeldet, um darauf zu arbeiten, der gehört erschlagen (oder zu 20 Jahren Zwangsarbeit bei Mickeysoft verdonnert). Das ist nicht nur unnötig, sondern gefährlich.
Zu der aktuellen Hardware kann ich aktuell nicht viel sagen (bin nur Vermittler der Anfrage), uns geht es um den technischen Ansatz, die Implementierung kann man danach angehen...
Aha ...
Die Benutzerverwaltung sollte über LDAP-Server realisiert werden... Da könnte man mehrere nehmen, aber 10000 Einträge sind bei einem kein Problem.
LDAP ist OK dafür. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Freitag 08 Oktober 2004 16:48 schrieb Stephan Volz:
Nö, wir suchen gerade eine sichere Lösung für diese Aufgabe. NFS-Ersatz sollte nur andeuten, dass wir etwas NFS-ähnliches suchen, implementiert ist das in dieser Form natürlich nicht.
Dass die User auf ihren Laptops auch root-Rechte haben, erfordert ja nicht, dass sie sich als root anmelden müssen. Für den Netzzugriff auf das Homeverzeichnis ist halt eine userbezogene Anmeldung nötig (die man höchstens durch eine hostbezogene Authentifizierung ersetzen kann - aber das geht ja bei euch nicht). Etwas anderes kenne ich nicht, wenn jeder user auch auf userspezifische Daten zugreifen soll. Ich kann mir auch nicht vorstellen, wie das gehen soll - Computer mit hellseherischen Fähigkeiten kenne ich nicht. Daher mein Vorschlag in der anderen Mail. Und root-Anmeldungen werden automatisch auf nobody gelenkt. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Matthias Houdek wrote:
BTW: Wer sich auf einem Unix/Linux-System primär als root anmeldet, um darauf zu arbeiten, der gehört erschlagen (oder zu 20 Jahren Zwangsarbeit bei Mickeysoft verdonnert). Das ist nicht nur unnötig, sondern gefährlich.
Och nö, bitte, erschlag' nicht RMS. GNU ist eben nicht Unix. ;-) Martin
On Sat, 9 Oct 2004, Matthias Houdek wrote:
Indem sich Benutzer5000 auch als Benutzer5000 anmeldet. Da der Server ohnehin irgendwie den Benutzer5000 für die Auswahl des richtigen Homeverzeichnis identifizieren muss (oder soll der Server hier raten? ;-), wird wohl kein System um eine Anmeldung als Benutzer5000 für den Netzzugriff drumrumkommen.
Genau darum geht es. Authentifizierung mit Passwort und jetzt braucht der User noch sein Homeverzeichnis. Wie machst Du das, ohne jeden Benutzerlaptop einzeln in /etc/exports eintragen zu müssen?
Also, wenn es denn unbedingt eine primäre root-Amneldung auf dem Server sein muss: Mountscript auf die Laptops, dass:
Nein, das soll keine root Anmeldung sein, aber wenn der export nicht explizit nur Homeverzeichnis5000 auf dem Laptop mounten läßt, dann kannst Du mit den root Rechten des Laptops jeder Benutzer werden, außer root auf dem Server (da wir ja root_squash aktiviert haben).
1. User + Passwort abfragt 2. per su auf den entsprechenden User wechselt und 3. als dieser User das entsprechende Homeverzeichnis mountet.
Ich denke die PADL Module könnten dazu ideal sein... Bye, Stephan
Stephan Volz
On Sat, 9 Oct 2004, Matthias Houdek wrote:
Indem sich Benutzer5000 auch als Benutzer5000 anmeldet. Da der Server ohnehin irgendwie den Benutzer5000 für die Auswahl des richtigen Homeverzeichnis identifizieren muss (oder soll der Server hier raten? ;-), wird wohl kein System um eine Anmeldung als Benutzer5000 für den Netzzugriff drumrumkommen.
Genau darum geht es. Authentifizierung mit Passwort und jetzt braucht der User noch sein Homeverzeichnis. Wie machst Du das, ohne jeden Benutzerlaptop einzeln in /etc/exports eintragen zu müssen? [...]
Darauf habe ich doch schon hingewiesen, mittels automount. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo! Stephan Volz wrote:
Hallo,
wir suchen eine Lösung für folgendes Problem:
Frage vorab: was laeuft denn eigentlich auf den clients? In jedem fall koennte man z.B. samba mit LDAP verwenden. es ist dann ja ein automatismus das homeverzeichnis zu mounten, schliesslich bekommt der benutzer im prinip dieses vorgeschlagen. auch ein automatisches mounten ist moeglich (man smb.conf). LDAP laesst sich bequem, auch bei einigen tausend benutzer administrieren.
Eine große Anzahl (1000-10000) Usern hat ein Homeverzeichnis auf unseren Servern. Die User sollen dieses Homeverzeichnis auf ihrem Laptop möglichst einfach mounten können (Kombination mit autofs), ohne auf andere Homeverzeichnisse zugreifen zu können. Die User besitzen auf ihren Laptops root Rechte. NFS scheidet aufgrund der Anzahl, der Aktualisierung und des Problems mit den Rootrechten aus.
all das sollte gehen. evtl. koennte man mit webdav arbeiten, damit habe ich aber nicht die geringste erfahrung, nur mal so auf einem halben auge hier in der liste was gelesen. ciao T
On Sun, 10 Oct 2004, Dr. Thorsten Brandau wrote:
Frage vorab: was laeuft denn eigentlich auf den clients?
Ist erstmal als reine Linux Lösung gedacht.
In jedem fall koennte man z.B. samba mit LDAP verwenden. es ist dann ja ein automatismus das homeverzeichnis zu mounten, schliesslich bekommt der benutzer im prinip dieses vorgeschlagen. auch ein automatisches mounten ist moeglich (man smb.conf). LDAP laesst sich bequem, auch bei einigen tausend benutzer administrieren.
Die von Dieter Kluenter vorgeschlagene Lösung mit den PADL Modulen klingt auch sehr elegant. Samba ist natürlich auch eine interessante Lösung. Wir werden beides mal ausprobieren. Besten Dank, Stephan
participants (8)
-
Dieter Kluenter
-
Dr. Thorsten Brandau
-
Martin Schmitz
-
Mathias Homann
-
Mathias Weigt
-
Matthias Houdek
-
Ralf Prengel
-
Stephan Volz