PC-Integration via Cache-Server

Einführung

Seit dem ersten Halbjahr 1996 haben einige Fachgebiete der Philosophischen Fakultät ihr neues Domizil im Thüringer Weg 11 bezogen. Als Rechenzentrum sahen wir uns damit vor die Aufgabe gestellt, den Mitarbeitern bei der Einrichtung behilflich zu sein, indem wir ihre PC's in das bestehende Campusnetz integrieren.

Die Besonderheit des Standortes Thüringer Weg 11 besteht darin, daß dorthin zur Zeit nur eine 128 KBit/s-Verbindung über das Telefonnetz (ISDN) besteht. Damit ist der Datentransfer zur Bandbreite des sonstigen Campusnetzes stark behindert. Grund für uns, über neue Wege nachzudenken, die eine kostengünstige Insellösung ermöglichen. Als attraktiv erwies sich dabei, die PC's durch einen im Haus untergebrachten Cache-Server zu unterstützen, der einerseits die knappe Bandbreite der Netzanbindung effektiv ausnutzen hilft und andererseits die Vorteile der zentralen Datenhaltung und Nutzerverwaltung nicht aufgibt.

Die Vorteile dieser Lösung sind folgende:

Als Cache-Server fungiert ein kostengünstiger PC.
Folgende Funktionalitäten lassen sich realisierenr:
1. Cache für zentral verwaltete Filesysteme (AFS),
2. WWW-Cache für alle WWW-Dokumente,
3. repliziertes Filesystem für häufig genutzte DOS/Windows-Applikationen (/uni/global-Prinzip).
Auf den Arbeitsplatz-PC's war neben dem Einbau und der Konfiguration der Netzkarten lediglich ein Upgrade auf Windows for Workgroups notwendig.
Im Haus vorhandene Ressourcen, wie zum Beispiel Drucker, können unproblematisch gemeinsam genutzt werden.
Im laufenden Betrieb sind kaum Betreuungsarbeiten am Cache-Server notwendig, insbesondere entfällt die Notwendigkeit des Backups von Nutzerdaten.
Die bisher im Rahmen der PC-Integration notwendige und mit hohem (scheinbar bürokratischem) Aufwand verbundene Einteilung in Nutzergruppen fällt vollständig weg; die Nutzer arbeiten im Netz vollständig mit ihren AFS-HOME-Verzeichnissen.

Samba, AFS und rdist zur Verwaltung von Filesystemen

Samba ist eine frei verfügbare Implementation des SMB (Server Message Block)-Protokolls für UNIX. Zentraler Bestandteil ist der Daemon smbd(8) , welcher, gesteuert über ein Konfigurationsfile, Ressourcen wie Verzeichnisse und Print-Queues SMB-Clients zur Verfügung stellt. Dabei ist es unerheblich, ob diese Verzeichnisse in lokalen Filesystemen liegen oder selber per NFS importiert werden bzw. per AFS zugänglich sind und ob die zu den Print-Queues gehörenden Drucker lokal angeschlossen oder auch nur per Netz erreichbar sind. Es ist klar, daß diese Eigenschaften (insbesondere das Weitergeben von NFS-Verzeichnissen) auch in starkem Maße mißbräuchlich verwendet werden können, aber das wäre ein anderes Thema und ist für unsere Zwecke hier auch nicht von Belang, da wir ja NFS nicht einsetzen.

Interessant für uns war die Einbindung von AFS. Der Daemon smbd läuft als normaler UNIX-Prozeß mit root-Rechten. Demzufolge hat er gegenüber dem Filesystem sämtliche Rechte, die durch ein entsprechend sorgfältig aufgebautes Konfigurationsfile für den jeweiligen Client eingeschränkt werden müssen. Der smbd erzeugt für jeden Client einen eigenen Kindprozeß, der die Bearbeitung der Requests dieses Clients übernimmt. Typischerweise wird für die Benutzung von HOME-Verzeichnissen die Eingabe des jeweiligen Nutzer-Paßwortes verlangt. Wurde das richtige Paßwort eingegeben, schränkt der für den Client arbeitende Prozeß seine UNIX-Rechte auf die Rechte des Nutzers ein und bearbeitet dann die Anforderungen des Clients. Somit werden dem Nutzer am Client-PC genau seine UNIX-Rechte gewährt, die er auch hätte, wenn er direkt an der UNIX-Maschine arbeiten würde.

Die Integration von AFS ist nun so gelöst, daß aus dem vom Nutzer angegeben Paßwort ein AFS-Token ermittelt wird. Wenn das erfolgreich verläuft, weil das angegebene Paßwort richtig war, wird es in einer PAG-Umgebung (Process Authentication Group) vom AFS Cache Manager afsd verwahrt und für alle Filezugriffe verwendet. Damit werden dem Nutzer am Client-PC seine AFS-Rechte vermittelt.

Bedingt durch die oben erwähnte Art der Netzanbindung kommt nun einer Eigenschaft des AFS besondere Bedeutung zu. Der auf dem Cache-Server laufende AFS Cache Manager verwaltet einen lokalen Plattencache von 1 GB Größe. Nachdem ein vom Nutzer am PC per SMB referenziertes File vom zentralen AFS-Fileserver in den vom AFS Cache Manager verwalteten Cache des Cache-Servers übertragen wurde, arbeitet der Nutzer mit dieser Kopie. Der Vorteil ist offensichtlich: das File wird nur einmal über die dünne Netzanbindung übertragen, anschließend bearbeitet und, falls es modifiziert wurde, werden nur die modifizierten Teile des Files an den AFS-Fileserver zurückübertragen. Gleichzeitig erfordert diese Verfahrensweise keine zusätzlichen Aufwendungen für das Backup von Nutzerdaten, da es keine nutzerspezifischen Daten am Cache-Server gibt. Das Backup erfolgt über die üblichen Mechanismen für alle AFS-HOME-Verzeichnisse und hat quasi im Nebeneffekt den Vorteil, daß die Nutzer im Verzeichnis BACKUP unterhalb ihres HOME-Verzeichnisses den Stand ihrer Daten zum Zeitpunkt des letzten Backup-Vorgangs sehen können.

Aber AFS bietet in diesem Zusammenhang noch weitere Vorteile. Die Nutzer können durch die Möglichkeiten der Access Control Lists im AFS selber sehr genau die Zugriffsrechte bestimmen. Insbesondere sind sie in der Lage, durch selbst verwaltete Nutzergruppen ohne die Notwendigkeit, einen Administrator zu konsultieren, die Rechte für verschiedene projektbezogene Verzeichnisse so zu kontrollieren, daß genau die jeweilig damit beschäftigten Kollegen entsprechenden Zugang haben. Das wiederum setzt natürlich voraus, daß die Nutzer im Umgang mit den ACL's und AFS Nutzergruppen vertraut sind. Darüberhinaus vereinfacht sich der administrative Aufwand im URZ im Zusammenhang mit dieser Art der PC-Integration im Vergleich zum bisher eingesetzten NFS. So ist es nicht mehr erforderlich, NFS-Exportlisten zu verwalten und den Nutzern bringt es den Vorteil, nicht jeden neuen PC und jeden neuen Mitarbeiter bei uns durch Formular mit Unterschrift des Lehrstuhlinhabers anmelden zu müssen.

Bei der Verteilung von Software wurde (zum großen Teil auch aus historischen Gründen) ein anderer Weg gewählt. Am Cache-Server steht dafür ein separates lokales Filesystem zur Verfügung, welches mittels rdist(n) ausgehend von einem zentralen Server aktuell gehalten wird. Der Cache-Server stellt dieses Verzeichnis wiederum per smbd seinen Clients zur Verfügung. Diese Verfahrensweise wurde gewählt, weil es bereits eine große Anzahl von PC-Clients im Campusnetz gibt, die dieses Filesystem per NFS nutzen und eine Umstellung auf AFS hier zu Konfigurationsänderungen an zahlreichen PC's im Campusnetz geführt hätte. Trotzdem streben wir auch hier eine Lösung mittels AFS an, die aber ohne Konfigurationsänderungen an allen beteiligten Clients vonstatten gehen muß.

WWW-Cache- und Proxy-Server squid

Ein weiterer wichtiger Netzdienst ist das World Wide Web (WWW). Für die Universität betreibt das URZ einen Cache-Server. Dokumente, die im Cache vorhanden sind, können so sehr schnell bereit gestellt werden. Unsere Anbindung an das Internet wird dadurch effektiver genutzt, da sich oft Mehrfachübertragungen erübrigen.

Einen solchen Server haben wir auf dem Rechner im Thüringer Weg installiert, um Mehrfachübertragungen über die relativ schmalbandige ISDN-Verbindung möglichst zu vermeiden. Dabei werden auch die WWW-Dokumente unserer Uni über den Cache beschafft, da der WWW-Server ja hinter der "schwachen" Netzanbindung liegt. Die Cacheserver werden kaskadiert betrieben, d.h. der zentrale große Cache (8 GB Plattenplatz) der Uni wird mitbenutzt.

Voraussetzungen und Konfiguration am Client-PC

Voraussetzung für den Zugriff auf den smbd ist, neben dem Vorhandensein einer korrekt installierten Netzwerkkarte, die Unterstützung des SMB-Protokolls durch den Client. Diese Möglichkeit existiert u.a. bei Windows für Workgroups 3.11. Da auf den zu integrierenden PCs bereits Windows 3.1 vorhanden war, hat sich die Realisierung über das Upgrade auf Windows für Workgroups angeboten.
Weiterhin ist die Installation des TCP/IP-Stacks Microsoft TCP/IP-32 3.11b erforderlich, der standardmäßig nicht in WfW enthalten ist. Hier erfolgt die Konfiguration der notwendigen IP-Parameter wie IP-Adresse, Subnetz-Maske, Default Gateway und DNS. Im Sinne einer zentralen IP-Konfigurationsverwaltung sollten diese Parameter vorzugsweise mittels des integrierten DHCP-Client (DHCP = Dynamic Host Configuration Protocol) automatisch konfiguriert werden. Der notwendige DHCP-Server stellt seine Dienste auf dem Cache-Server zur Verfügung.

Das Verbinden von entfernten Filesystemen (NFS, AFS) mit Netzlaufwerken am PC erfolgt einmalig über den Dateimanager. Bei der vorliegenden Lösung wurden die Laufwerke wie folgt zugeordnet:
Laufwerk E: Verbindung mit dem Homeverzeichnis des Nutzers. Hier hat der Nutzer uneingeschränkten Zugriff und kann damit wie mit der lokalen Festplatte arbeiten. Verschiedene Anwendungsprogramme nutzen dieses Laufwerk für die Ablage nutzerspezifischer Konfigurationsdateien.
Laufwerk F: Verbindung mit dem Filesystem, welches allgemein zugängliche Software zur Verfügung stellt. Hier hat der Nutzer die Möglichkeit, auf zentral installierte und gepflegte Anwendungsprogramme (/uni/global) zuzugreifen.
Laufwerk G: Verbindung mit dem Filesystem, welches sämtliche Homeverzeichnisse (AFS) der Nutzer zur Verfügung stellt. Damit ist es möglich, projekt- oder arbeitsgruppenbezogen zu arbeiten. Die Organisation erfolgt dabei über die Zugriffsrechte (Access Control Lists) für das Homeverzeichnis bzw. Unterverzeichnis(se), für deren Vergabe der Nutzer zuständig ist.

Um die jeweilige Nutzerumgebung einzurichten, erfolgt nach der Authentisierung der Aufruf einer Login-Prozedur (in Autostart-Gruppe), welche sich auf dem Cache-Server befindet und zentral verwaltet wird. Dadurch werden im Homeverzeichnis notwendige Verzeichnisstrukturen erzeugt, Standard-Konfigurationsdateien für verschiedene Anwendungen eingespielt und der Nutzer über Neuigkeiten informiert.

Die Vorteile auf Client-Seite beim Einsatz von SAMBA liegen in einer kostengünstigen und relativ einfach zu konfigurierenden Lösung zur PC-Integration in ein TCP/IP-Netz. Das Problem der nutzerabhängigen Konfiguration des PC's existiert nach wie vor. Das bedeutet, die Konfiguration muß auf der Grundlage einer statischen Zuordnung Nutzer zu PC erfolgen. Das kann aber für Mitarbeiterarbeitsplätze akzeptiert werden.

Prinzipiell bietet sich diese Lösung auch für Windows 95 an, woran momentan im URZ gearbeitet wird.

Zusammenfassung, Erfahrungen und Ausblick

Die Ausstattung der PC's mit Netzkarten sowie deren Konfiguration lief parallel zur Beschaffung des Cache-Servers. Daher wurde zunächst von den Arbeitsplatz-PC's ein temporär an einem zentralen Fileserver des URZ betriebener Samba-Server genutzt. Bei Inbetriebnahme des dezentralen Cache-Servers wurde durch Änderung des Netbios-Alias-Namens ohne Konfigurationsaufwand an den Arbeitsplatz-PC's auf den Cache-Server umgeschaltet.

Bei der Einrichtung der PC's wurden den jeweiligen Mitarbeitern Fragen beantwortet und Hinweise gegeben. Ergänzt wurde die individuelle Einweisung durch eine Schulungsveranstaltung für alle Interessenten. Bei Bedarf werden wir auch weiterhin Veranstaltungen zu bestimmten Themenkreisen anbieten, die über das übliche Kursprogramm hinausgehen.

Die für den Thüringer Weg 11 erstmals praktizierte Lösung dient uns als Vorbild für weitere ähnlich gelagerte Nutzungsbedingungen. So werden wir in naher Zukunft einen zentralen Samba-Server betreiben, der es ermöglicht, auf AFS-HOME-Verzeichnisse mittels SMB-Protokoll zuzugreifen. Damit wird PC-Integration kein separater Dienst mehr sein, sondern Standard für alle vom URZ verwalteten AFS-HOME-Verzeichnisse. Bei Bedarf werden wir dazu auch weitere dezentrale Cache-Server in den einzelnen Subnetzen des Campusnetzes in Betrieb nehmen.

Günther Fischer, Rolf Köbe, Thomas Müller, Thomas Schier, 8. September 1996