Externe Speicher können in Datashare integriert und anschließend für Freigaben benutzt werden. Diese Option umfasst die Anbindung von Gruppenlaufwerken und den vom ZIH bereitgestellten S3-Objektspeicher. Nachfolgend finden Sie die notwendigen Schritte zur Vorbereitung. Die endgültige Integration des externen Speichers in Datashare kann nur vom Service Desk vorgenommen werden!

1. Gruppe zu Datashare hinzufügen

Individuelle LDAP-Personengruppen können in Datashare integriert und als Ziel für Freigaben verwendet werden.
Diese Personengruppe wird als Ziel für die Anbindung des Speichers definiert. Das bedeutet, die Mitglieder der Personengruppe können im Datashare (auch ohne explizite Freigaben) auf die Inhalte des externen Speichers zugreifen und erhalten alle Rechte auf dessen Ordnerstruktur.

Hinzufügen einer Gruppe

  1. Navigieren Sie in die Gruppenverwaltung im Self-Service-Portal und öffnen Sie die LDAP-Gruppe durch Klick auf den Namen, die Sie fortan in Datashare verwenden möchten.

    Erklärender Screenshot zur vorangegangenen Beschreibung
    Screenshot Self-Service-Portal: Gruppenverwaltung
  2. Gehen Sie in den Reiter „Dienste“ und klicken Sie auf „Dienst hinzufügen“.

    Erklärender Screenshot zur vorangegangenen Beschreibung
    Screenshot Self-Service-Portal: Zugeordnete Dienste
  3. Wählen Sie den Dienst „Datashare“ aus und speichern Sie die Eingabe.

    Erklärender Screenshot zur vorangegangenen Beschreibung
    Screenshot Self-Service-Portal: Dienst hinzufügen
  4. Die Gruppe wird nun im Hintergrund in Datashare synchronisiert. Dieser Vorgang kann bis zu einer Stunde in Anspruch nehmen. Selbiges gilt auch für nachträgliche Änderungen, z. B. dem Hinzufügen neuer Mitglieder in die Gruppe.

  5. Nach der Sychronisation steht die Gruppe für Freigaben in Datashare zur Verfügung. Als Freigabeziel muss dabei der eindeutige Gruppenname verwendet werden (in unserem Beispiel tud-datashare-testgruppe).

    Erklärender Screenshot zur vorangegangenen Beschreibung
    Screenshot Datashare: Freigabe für Gruppe

Deprovisionierung

Innerhalb der Gruppenverwaltung gibt es nach aktueller Prozesslage keine Deprovisionierung. Das heißt, auch nach dem Ausscheiden aller Eigentümer:innen bleiben die einst definierten Gruppen samt Mitgliederbeziehungen erhalten.
Es ist jedoch möglich, eine manuelle Löschung im Self-Service-Portal herbeizuführen. In diesem Fall erfolgt das Löschen der Gruppe im Datashare in der jeweils darauffolgenden Nacht.
Achtung: Dies schließt sämtliche Freigaben ein, die an diese Gruppe durchgeführt wurden!


2. Funktionslogin erstellen

Laut IT-Ordnung der TUD ist es strikt verboten, persönliche Zugangsdaten weiterzugeben. Daher muss als Erstes ein Funktionslogin vorbereitet werden.
Für den S3-Objektspeicher dürfen keine persönlichen Buckets angebunden werden, die Zugangsdaten (Access Key und Secret Key) müssen mit einem Funtkionslogin gekoppelt sein.
  1. Funktionslogin erstellen
  2. Sie müssen nun den Funktionslogin in der Gruppenverwaltung der LDAP-Personengruppe aus Schritt 1 als Mitglied hinzufügen.

 

3. Externen Speicher konfigurieren

S3-Objektspeicher

  1. Im Self-Service-Portal müssen Sie ausschließlich über Ihren Funktionslogin den Zugang zum S3-Objektspeicher beantragen.

Gruppenlaufwerk

  1. Beantragen Sie als Erstes ein Gruppenlaufwerk ausschließlich über Ihren Funktionslogin in der Standardkonfiguration (SMB/CIFS).
    Die erweiterte Konfiguration (NFS) wird nicht empfohlen. Wenn Sie diese wählen, benötigen Sie den Funktionslogin für die Beantragung nicht und fahren mit Schritt 2 fort.
  2. Rufen Sie die Übersicht Ihrer Gruppenlaufwerke im Self-Service-Portal auf.
  3. Wählen Sie in den “Aktionen“ des Gruppenlaufwerks „NFS-Freigaben des Gruppenlaufwerks editieren“.
  4. Fügen Sie dort entweder das gesamte ZIH-Netz 172.26.64.0/24 ein oder aber jeden der Datashare-Webserver einzeln:
    172.26.64.20/32
    172.26.64.29/32
    172.26.64.30/32
    172.26.64.31/32
    172.26.64.32/32
    172.26.64.35/32
  5. Architekturbedingt erfolgt der Zugriff auf NFS-Ressourcen nach dem Schema der UNIX-Berechtigungen. Die Datashare-Webserver greifen mit der UID 33 (www-data) auf die eingebundene Ordnerstruktur zu. Es muss daher sichergestellt werden, dass die Berechtigungen der einzubindenden Ordnerstruktur so gesetzt sind, dass die UID 33 lesen und schreiben darf.


4. Antrag per Ticket stellen

  1. Der Antrag zum Anbinden eines externen Speichers in den Datashare ist via Ticket an den Service Desk zu stellen. Bitte geben Sie dabei folgende Informationen an:
  2. Für S3-Objektspeicher oder ein Gruppenlaufwerk in der Standardkonfiguration mit SMB/CIFS schicken Sie bitte die Zugangsdaten des Funktionslogins in einer separaten verschlüsselten E-Mail an datashare@tu-dresden.de.