Die Benutzer (in diesem Beispiel Username newusername) müssen drei mal eingetragen werden:
kadmin.local -q "ank newusername"
Der Benutzer kann später sein Passwort selbst ändern:
kpasswd newusername
Mit dem folgenden Befehl wird die maximale Lebensdauer der Service-Tickets für alle Benutzer gesetzt (muss nur einmal ausgeführt werden):
kadmin.local -q "modprinc -maxlife \"7 days\" krbtgt/SED.ETHZ.CH@SED.ETHZ.CH" kadmin.local -q "modprinc -maxlife \"7 days\" afs@SED.ETHZ.CH"
Der folgende Befehl setzt die maximale Lebensdauer für den neuen Benutzer (muss für jeden Benutzer zusätzlich zu den beiden obigen ausgeführt werden):
kadmin.local -q "modprinc -maxlife \"7 days\" newusername"
Dies ist nur wirksam, wenn die entsprechenden Grenzen auch in /etc/krb5kdc/kdc.conf (Option max_life und max_renewable_life) genug hoch gesetzt sind und der Benutzer kinit mit der Option -l benutzt, z.B.:
kinit -l 2d # get a ticket with two days lifetime aklog # aklog gets a token with the same lifetime as the ticket klist # optional, check the kerberos tickets tokens # optional, check the afs tokens
pts createuser -name newusername -id 1023
Die Angabe von -id <nummer> ist freiwillig, es ist aber zu empfehlen, die Unix-ID (UID), die auch in LDAP oder /etc/passwd verwendet wird anzugeben.
Danach muss noch das Home-Verzeichnis des Benutzers erstellt und die Zugriffsrechte gesetzt werden:
kinit admin aklog mkdir /afs/sed.ethz.ch/home/newusername fs setacl /afs/sed.ethz.ch/home/newusername newusername rwlidk
Mögliche Zugriffsrechte:
Benutzer aus ACLs löschen: Bei den Permissions 'none' setzen. Beispiel:
fs setacl /afs/sed.ethz.ch/gse/IDCproducts/REB sarah none
Die Rechte können auch für Gruppen vergeben werden. Drei Gruppen sind vom System vorgegeben:
Andere Gruppen können selbst angelegt werden.
pts creategroup -name <group name> [-owner <owner of the group>]
Benutzer zu einer AFS-Gruppe hinzufügen:
newseismo:/afs/sed.ethz.ch# pts adduser -user conti -group sed
newseismo:/afs/sed.ethz.ch# pts adduser -user heimers -group sed
Bestehende Gruppe anzeigen:
newseismo:/afs/sed.ethz.ch# pts examine sed Name: sed, id: -206, owner: admin, creator: admin, membership: 2, flags: S-M--, group quota: 0. newseismo:/afs/sed.ethz.ch# pts membership sed Members of sed (id: -206) are: heimers conti
Für Details siehe
http://www.openafs.org/pages/doc/UserGuide/auusg008.htm#HDRWQ60
Für den neuen Benutzer eine Datei nach folgendem Muster anlegen:
dn: uid=newusername,ou=People,dc=sed,dc=ethz,dc=ch cn: Newusername at the SED sn: Newusername uid: newusername uidNumber: 1326 gidNumber: 1021 homeDirectory: /afs/sed.ethz.ch/home/newusername loginShell: /bin/bash roomNumber: HPP P9 mobile: +41 79 12 34 56 objectClass: top objectClass: posixAccount objectClass: inetOrgPerson
Die Datei speichern unter newusername.ldif und folgenden Befehl ausführen:
ldapadd -x -D "cn=Manager,dc=sed,dc=ethz,dc=ch" -W -f newusername.ldif
Bei Änderungen an der Datei muss ldapmodify statt ldapadd verwendet werden:
ldapmodify -x -D "cn=Manager,dc=sed,dc=ethz,dc=ch" -W -f newusername.ldif
Alle LDAP-Daten anzeigen:
ldapsearch -x
Stefan Heimers 2011-02-25