Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010
Riunione AFS a Roma 23 settembre 2010 Discussione su migrazione a nuova versione di Kerberos5 sui server nazionali e non Stato delle celle locali e nazionale Discussione delle integrazioni e ripercussioni di AAI Stato dei server cella nazionale Outline 2
Riunione Roma settembre 2010 Attualmente usiamo versione 1.6X MIT di KerberosAFS ▫Necessario prevedere a breve la migrazione alla versione più recente diventando la 1.6 obsoleta Dalla versione 1.7 di Kerberos5 si perde la compatibilità kerberos4 ▫Il comando klog che lavora solo con kerberos4 diventa klog.krb5 Tutte le modifiche che derivano dalla migrazione consistono nella accurata verifica delle procedure connesse a klog 3
Il sistema di code LSF si basa su cattura del token e quindi non dovrebbe creare problemi ▫Comunque vanno effettuate le opportune verifiche Per client windows bisogna installare un pacchetto di supporto per kerberos5 ( se no già presente) Saranno redatte informazioni per lavorare senza protocollo 4 in modo da essere pronti per la migrazione al nuovo kerberos5 e distribuite Riunione roma settembre
Mentre da 1.6 a 1.7 la modifica principale è lo spegnimento di kerberos5, dalla di kerberos5 vanno oltre perché disabilitano encryption key DES e usano AES (128 bit). Questo comporta che va rigenerata la password per ogni utente. Questo processo avverrà gradualmente utilizzando inizialmente un workaround Riunione settembre
Primo passo è assicurarsi di lavorare senza usare kerberos4 in modo tale da essere pronti. Prima deadline per la divulgazione informazioni: ▫ 20 ottobre 2010 Seconda deadline per eliminare kerberos4: ▫1 dicembre 2010 Migrazione a kerberos5 only con AES non ancora abilitato e upgrade sistema operativo server nazionali: ▫ entro il 15 dicembre 2010 Piano di fine attività prevista entro 1 febbraio 2011 Programma di lavoro per questa migrazione 6
Server nazionali di CNAF e Napoli hanno 7 anni di vita e seppur ridondati si ritiene opportuno prevedere sostituzione K5.INFN.IT ed AFSCNAF.INFN.IT ▫sufficiente avere due host non potenti ma in manutenzione ▫entrambi muniti con doppio disco e doppio alimentatore Per il server AFSCNAF-FS2 ▫rimpiazzato da una macchina nuova con 6-8 dischi da 500G o 1TB ed una scheda RAID, configurando 2 dischi in RAID-1 e utilizzando altri 4-6 dischi per il backup (si potrebbe così mettere fuori produzione la Treefrog AIT). Stessa configurazione dei server K5 e ASFCNAF prevista per il server di Napoli (solo quello di autenticazione) Roma ha un server ancora in buono stato Spesa totale prevista: 10 Keuro Svecchiamento server 7
Feedback dalle sezioni AFS dichiarato strategico per CNAF, LNGS, Bari, Lecce, Roma, Trieste, Perugia, Bologna, LNF Il contributo al codice AFS in relazione ad alcune funzionalità viene fatto ai LNF che seguono le attività degli sviluppatori Utilizzo: distribuzione di codice, home directories, spazio lavoro esperimenti Gestione del realm kerberos5: INFN.IT Richieste nuove funzionalità per ARC Caspur rilascerà nuova versione ARC con interfaccia grafica 8
lo scenario iniziale previsto era realm kerberos nazionale svuotato e riversato sui realm delle diverse sezioni Il nazionale diventava così il contenitore per il trust tra le diverse sedi dato che si sta andando verso la definizione di username univoci si può realizzare uno scenario in cui invece di avere un realm kerberos in ogni sezione sarebbe possibile disporre di utenze kerberos nazionali ▫configurare così realm kerberos locali solo laddove serve Discussione comunque in corso per verificarne fattibilità e reale semplificazione ed eventuali problemi di gestione nazionale condivisa Interazione AAI 9