Workshop: Einen modernen Fileserver fürs Unternehmen aufsetzen

Zwei Tools für die Benutzer

Danach dürfen die Benutzer ACLs einsetzen, unter Linux mit dem Befehl »setfacl«. »getfacl« zeigt dagegen die gesetzten ACLs an. Soll zum Beispiel jeder Domänen-Benutzer auf das freigegebene Datenverzeichnis »/mnt/iscsi/data« Schreibrechte erlangen und diese auch für alle untergeordneten Verzeichnisse gelten, bieten sich Default-ACLs und deren Vererbung an:

setfacl -m d:g:"Domain Users":rw /mnt/iscsi/data

Hier ist ein schneller Check mit »getfacl /mnt/iscsi/data« nicht verkehrt.

Die ACL-Funktionalität in Samba ist standardmäßig aktiviert, sobald das verwendete Filesystem dies unterstützt. Allerdigs vererbt Windows Berechtigungen auf Verzeichnissen automatisch an die darunterliegenden Directories. Damit Samba das ebenfalls abbildet, platzieren Sie in der jeweiligen Freigabe den Parameter »inherit acls = yes«.

Hochverfügbarkeit per Heartbeat

Um die entsprechenden Szenarien Ausfallsicher zu gestalten gibt es mehrere Möglichkeiten. Die einfachste: Ein Active-Passive-Cluster mit Heartbeat [7], eine sehr bewährte Failover-Software. Sie ist einfach zu konfigurieren, überzeugt durch ihre Stabilität und wenig Probleme im Betrieb. Die Kommunikation zwischen den Clusterknoten passiert seriell oder via Ethernet. Darüber tauschen sie ihre Lebenszeichen aus, die so genannten Heartbeats. Um das Szenario 2 redundant auszulegen, passen Sie Ihre bisherigen Systemkonfiguration anhand folgender Punkte an:

Sie ändern die IP-Adresse für das Produktivnetz zum
Beispiel auf 192.168.168.16 (Knoten 1) und 192.168.168.17 (Knoten
2).
Sie ändern des Hostnamen auf »node1.mx.local«
und »node2.mx.local«.
Die mounten das I-SCSI-Device nicht mehr automatisch per
Fstab.
Die Dienste LDAP und Samba steuert in Zukunft der
Cluster-Service. Deshalb nehmen Sie sie aus den Runlevels.

Nach der Installation des Heartbeats-Paketes konfigurieren Sie »/ets/ha.d«. Für die Authentifizierung der beiden Clusterknoten legen Sie einen Schlüssel, ähnlich wie ein Passwort, in der Datei »authkeys« fest:

auth 1
1 sha1 ClusterPasswort

Wichtig ist, dass die Datei auf beiden Knoten die richtigen Berechtigungen erhalten. (»chmod 600 /etc/ha.d/authkeys«). Listing 13 zeigt die Clusterkonfiguration, wie sie die Datei »/etc/ha.d/ha.cf« aufweisen sollte.

Listing 13: »ha.cf«
01 # Die gleiche Konfiguration auf beiden Knoten 02 keepalive 1 # So oft wird ein Hearbeat gesendet 03 deadtime 5 # Zeit nach der angenommen wird, dass der Knoten nicht verfügbar ist 04 warntime 3 05 initdead 20 # Warte beim Starten des Service diese Zeit. Das ist z.B. beim 06 # Systemstart notwendig, bis alle Netzwerk Devices verfügbar sind. 07 bcast bond1 # Kommunikation zwischen den Clusterknoten mittels Broadcast über bond1 08 auto_failback yes # Services schwenken auf Default-Knoten zurück, wenn er wieder verfügbar ist. 09 node node1.mx.local # Cluster-Knoten uname -n 10 node node2.mx.local 11 crm no # Heartbeat-1-Cluster

Listing 13:
»ha.cf«

01 # Die gleiche Konfiguration auf beiden Knoten
02 keepalive 1          # So oft wird ein Hearbeat gesendet
03 deadtime 5           # Zeit nach der angenommen wird, dass der Knoten nicht verfügbar ist
04 warntime 3
05 initdead 20          # Warte beim Starten des Service diese Zeit. Das ist z.B. beim
06                      # Systemstart notwendig, bis alle Netzwerk Devices verfügbar sind.
07 bcast bond1          # Kommunikation zwischen den Clusterknoten mittels Broadcast über bond1
08 auto_failback yes    # Services schwenken auf Default-Knoten zurück, wenn er wieder verfügbar ist.
09 node node1.mx.local  # Cluster-Knoten uname -n
10 node node2.mx.local
11 crm no               # Heartbeat-1-Cluster