Accesso alla Home directory

A partire dal 21 marzo 2008 cambieranno le modalità di accesso sulle stazioni di lavoro Linux alle “home” ed eventualmente ad altri share condivisi. Tali modifiche non incideranno sugli altri servizi informatici (posta, web, accesso Windows, ecc.).
Per aumentare il livello di sicurezza nell'accesso ai file sono stati integrati i protocolli già esistenti: quello di condivisione dei file (NFS) e quello di autenticazione (Kerberos V) in modo tale che solo l'utente dotato di credenziali può accedere ai file, specificando ovviamente la password.

Come funziona il protocollo Kerberos?
Ogni utente del DEI possiede delle credenziali presso il database Kerberos (la password).
Ci sono alcuni servizi che necessitano di credenziali valide per poter essere utilizzati: login ad una stazione linux, accesso ai file via nfs, ecc.

Nel momento della login ad esempio, specificando la password si ottiene quello che viene chiamato “ticket”, ossia delle credenziali che hanno una durata generalmente di 24 ore.
Attraverso questo ticket, per tutto il tempo di validità, l'utente può accedere ad altri servizi che hanno bisogno di queste credenziali senza dover reinserire la password per riottenerle.
Un beneficio del protocollo Kerberos è che la password non passa mai “in chiaro” in rete. Nel momento in cui scade la validità, i servizi non sono più disponibili. Il ticket può essere rinnovato, senza dover ridigitare la password, fino ad un massimo di 14 giorni, per permettere per esempio di lanciare simulazioni di lunga durata.

Si ricorda che comunque i file e le directory devono essere comunque protetti correttamente dall'accesso altrui tramite il comando “chmod”.
Di seguito vengono presentate alcune situazioni tipo e i comandi relativi:

Login grafico in una stazione Linux del dominio DEI
Una volta collegati viene automaticamente creato un ticket valido.
Problema: se la sessione resta aperta più di un giorno il ticket scade e non si accede piu' alla home directory.
Soluzione: in un terminale dare il comando “kinit” e digitare la password, oppure attivare un programma grafico quale krb5-auth-dialog che appare automaticamente nella sessione alla scadenza del ticket

Login remoto ssh via terminale ad una stazione Linux del dominio DEI
Una volta collegati viene automaticamente creato un ticket valido.
Problema: se la sessione resta aperta più di un giorno il ticket scade e non si accede piu' alla home directory.
Soluzione: nel terminale remoto dare il comando “kinit” e digitare la password

Lancio di una simulazione che deve durare più giorni
A partire da una sessione autenticata si esegue il comando:
kinit -r 14d
che richiede un ticket rinnovabile di 14 giorni.


Successivamente si lancia un programma che rinnova in automatico il ticket:
krenew -K NumeroMinuti -b
dove NumeroMinuti e' il tempo ogni quanto viene rinnovato in automatico il ticket (basta specificare, ad esempio, 240 minuti per rinnovare dopo 4 ore)

Lancio di una simulazione che deve durare più giorni su un server batch (tipo svrfirb.dei.unipd.it)
Le istruzioni sono le stesse di prima solo che in questo tipo di server la simulazione può girare su una macchina diversa dalla quale è stata lanciata (master). A partire dalla sessione autenticata si eseguono i comandi:

kinit -r 14d -c ~/.ticket
export KRB5CCNAME=~/.ticket
krenew -k ~/.ticket -K NumeroMinuti -b


Per propria comodità si può costruire uno script del tipo:


===========================
#!/bin/bash
krenew -k ~/.ticket -K NumeroMinuti -b
export KRB5CCNAME=~/.ticket
“comando della simulazione”
===========================

e lo si lancia con “bsub”.