LPS:IdM/midPoint/AFS
Z HelpDesk
AFS pts
Spravováno přes pomocného agenta napsaného v jazyce C. AFS token vidí pouze tento agent, IdM pak přistupuje přes HTTP REST rozhraní.
AFS gateway agent:
- https://ipmil.civ.zcu.cz/midpoint/afs-gateway
- napsaný v C, využívá zdrojové kódy OpenAFS (src/ptserver)
- balíček pro Debian
- část knihoven dynamicky z Debianu, část linkovaná staticky z lokálního buildu OpenAFS
- rozhraní PTS
- rozhraní HTTP REST API (bez SSL) + JSON, knihovna json-c a projekt pico
- automatické prodlužování Kerberos lístku a AFS tokenu
Konektor pro midPoint:
- https://ipmil.civ.zcu.cz/midpoint/connector-afs-gateway
- popis atributů: viz connector-afs-gateway#user
- zajímavost: bez operace update (pouze create, delete, query)
Není podporována změna unixId (pts_id) ani login. Na ZČU při přejmenovávání konta vyrábíme nové.
Správa skupin není implementována (orion:SKUPINA).
AFS volume
Není podporováno. Základní skripty připravené na eos2:/opt/idm/bin/scripts/.
- projekty: /opt/idm/bin/scripts/afs_projekt
- uživatelé: /opt/idm/bin/scripts/afs_volume
Instalace AFS Gateway agenta pro IdM
Běží lokálně na stroji s IdM.
1) OpenAFS klient
Např. skupina group_afs v cfengine.
2) keytab
Vyrobení nebo zkopírování /etc/keytab_admin.
A pak práva:
chmod 0600 /etc/keytab_admin chown afs-gateway: /etc/keytab_admin
3) nástroj AFS gateway
# balíky stáhnout z https://ipmil.civ.zcu.cz/midpoint/afs-gateway/ dpkg -i afs-gateway_*.deb afs-gateway-server_*.deb cat <<EOF >>/etc/default/afs-gateway AFS_GATEWAY_AUTH='$((echo -n admin:; dd if=/dev/random bs=64 count=1 2>/dev/null | basenc --z85 -w0) | base64 -w0)' ARGS='-c zcu.cz -r /usr/libexec/afs-gateway/refresh.sh -i 7200' KINIT_ARGS='-k -t /etc/keytab_admin admin@ZCU.CZ' AKLOG_ARGS='-c zcu.cz' KRB5CCNAME='FILE:/var/lib/afs-gateway/krb5cc_afsgw' EOF service afs-gateway-server restart
