AFS

AFS

AFS

AFS 是一個分散式檔案系統,對企業的整體資訊,提供安全可靠的存取方式。 AFS 將每一個檔案伺服器上的目錄和檔案,緊密地彙整到單一的檔案系統上, 可經由任何桌上管理程式來存取,呈現在使用者面前的是一個與機器界限無關的檔案空間。 AFS 具有數個優點,超越其它檔案系統。AFS 採用用戶端快取, 並對多重檔案伺服器上經常存取的資料進行抄寫,而增進檔案的可用性。 用戶端資訊快取可減少資料存取時間,降低網路上的資料流量, 但仍保證使用者獲得最新的資訊。 抄寫多重伺服器上的資料,保證即使在伺服器停電期間, 使用者仍然可存取到資料。AFS 提供強而有力的安全性, 保護檔案空間中儲存的資訊。全面的 AFS 安全系統可確保使用者嘗試存取檔案空間中受保護的目錄時, 必須要經過 AFS 的鑑別。 AFS 安全性使用目錄層次的存取控制清單 (ACL), 確保使用者具備必要的許可權來存取特定的資訊。 AFS 亦可輔助系統管理。AFS 從屬站和伺服器機器可以經由單一管理點來管理。 由於將相關的檔案和目錄匯集到可當做一個單位來移動、備份及複製的容體中, 所以 AFS 伺服器的平衡資料流量非常有效率。 此外,可使用數個公用程式來輕易監督 AFS, 這些公用程式提供有關於整個檔案系統的狀態資訊。最後, AFS 具有高度的調整性。實際上,可視需求新增無限的額外伺服器和用戶端機器到 AFS 配置中, 對於現存的伺服器和用戶端機器不太有影響。 這可讓檔案系統隨著企業一起成長。

安裝先決條件

表 1. AFS Web Security Pack 的安裝先決條件

元件 基本需求
作業系統 Solaris 2.5、Solaris 2.5.1、AIX 4.2.x、 AIX 4.3、  AIX 4.3.1、AIX 4.3.2、Linux 2.2.5 kernel 或 2.2.10 kernel
Web 伺服器 IHS 1.3.12
AFS (從屬站) AFS Client 3.4a 或 3.5
磁碟空間 650 KB
附註:

基於安全性考量,我們高度建議將 AFS Web Security Pack 只安裝在已啟用「安全 Socket 層」(SSL) 的伺服器上。SSL 是一個安全性通信協定, 可嚴格保密從屬站(例如 Web 瀏覽器)和伺服器(例如 Web 伺服器)之間傳輸的資訊。 如果 AFS Web Security Pack 使用於未啟用 SSL 的伺服器上, AFS 使用者鑑別資訊(例如個人的使用者名稱和密碼)在網路上傳輸時不會加密, 很可能危害到此敏感資訊的安全性。

在 IBM HTTP Server 上配置 AFS Web Security Pack

Apache 伺服器的 AFS Web Security Pack 配置需要另外在 IBM HTTP Server 上安裝 AFS Web Security Pack 模組,以及對 IBM HTTP Server 配置檔中的執行期指引做一些小修改。 附註:依預設值,經由 Apache 伺服器對文件的存取, 是由文件目錄中的 Apache 存取控制檔 (.htaccess 檔案) 所控制。 不過,在 Apache 伺服器上安裝和配置 AFS Web Security Pack 之後, 存取 AFS 檔案空間的資料,除了受到 Apache .htaccess 檔案的控制, 尚要受控於 AFS 存取控制清單 (ACL)。

使用 HTTP 管理伺服器來配置 AFS Web Security Pack

  1. 在 IBM HTTP Server 所在的機器上設定 AFS Client。
  2. 取得您要存取的 AFS cell 名稱和檔案位置。
  3. 啟動 HTTP 管理伺服器。
  4. 進入「檔案系統」資料夾 < 「AFS 設定」,設定必要的指引。
  5. 進入「配置結構」資料夾 < 「建立範圍」頁,為啟用 AFS 所在的路徑建立 "location" 範圍。
  6. 進入「檔案系統」資料夾 < 「啟用 AFS」,將範圍設為剛才所建立的位置。勾選「啟用 AFS」框,並指定此位置的 AFS Cell。

現在,AFS Web Security Pack 已安裝和配置在您的 IBM HTTP Server 上,且 AFS 檔案空間的鑑別存取權限也已啟用。關於透過 AFS Web Security Pack 來存取 AFS 的資訊,請參閱「使用 AFS Web Security Pack」。

使用 AFS Web Security Pack

一旦 AFS Web Security Pack 已安裝和配置在 Web 伺服器上, 使用者就可從 Web 瀏覽器來存取 AFS。

存取 AFS

只要安裝和配置 AFS Web Security Pack,您就可透過 Web 瀏覽器來存取 AFS 中的文件, 存取時要輸入一個「通用資源位置」(URL),其中包含對於 AFS 檔案空間的要求, 如下所示:

 https://servername.domain/afs_location/file

其中,servername 是已安裝 AFS Web Security Pack 的伺服器名稱, domain 是伺服器所在的網域,afs_location 是對於 AFS 檔案空間的要求名稱, file 是要存取的 AFS 位置和檔案名稱。

附註: 如果 Web 伺服器不是在預設埠上執行 (在 HTTP 伺服器上是埠 80,在 HTTPS 伺服器上是埠 443),則 URL 中必須指定埠號。 比方說,如果 Web 伺服器在「埠 89」上執行, 則對 AFS 檔案空間的要求如下:
 https://servername.domain:80/afs_location/file
附註: 所聯絡的 Web 伺服器預設為已啟用「安全 Socket 層」(SSL)。 因此,URL 要求是以 https 開頭, 表示使用 SSL 通信協定來轉送和接收 Web 伺服器的資訊。 如果 Web 伺服器未啟用 SSL,則 URL 要求是以 http 開頭。

比方說,如果對於 AFS 檔案空間的要求名稱是 /afs, 如果要透過 yourcompany.com 網域中的安全伺服器機器 www 來存取 AFS 文件 usr/smith/file1,請輸入:

https://www.yourcompany.com/afs/usr/smith/file1
附註: 用來要求 AFS 資料的 afs_location,是在最初配置 AFS Web Security Pack 時,由系統管理者所指定。 建議的語法是 /afs

向 AFS 鑑別

當您嘗試存取 AFS 中的文件時,Web 伺服器和 AFS Web Security Pack 先判斷您是否必須向 AFS 鑑別, 才能存取所要求的文件。

如果所要求的文件存放在公用目錄中 (即 system:anyuser 群組在目錄的 ACL 中具有專用權的目錄), 伺服器會直接將文件傳送到您的瀏覽器,不會提示您輸入 AFS 使用者名稱和密碼。

如果所要求的文件存放於公用目錄中(亦即, 如果目錄的「存取控制清單」(ACL) 未授與專用權給 system:anyuser 群組),則 Web 瀏覽器會出現一個對話框, 指出您所存取的 AFS cell 名稱,並且提示您輸入 AFS 使用者名稱和密碼。 這則資訊會送到 AFS Web Security Pack,它嘗試向 AFS 鑑別您的身份, 然後驗證您是否具備必要的專用權來存取文件。 如果登入嘗試順利完成,則所要求的文件就傳送到您的 Web 瀏覽器。 如果登入嘗試失敗, AFS Web Security Pack 傳回一則訊息到瀏覽器,指出對於所要求文件的存取遭到拒絕。

附註: 您所輸入的 AFS 使用者名稱和密碼,被假設為使用於經由 Web 伺服器存取的預設 AFS cell,如同「授權」對話框所示。 如果要取得的 AFS 記號不是在預設的 AFS cell 中, 當您向 AFS 鑑別時,請在使用者名稱中指定 cell 名稱, 例如 smith@anothercell.com

在您提供使用者名稱和密碼來存取文件之後,大部份 Web 瀏覽器會快取此資訊,供未來使用。如果您後來嘗試存取相同 AFS 路徑中的另一份文件, Web 瀏覽器將文件要求連同相同的使用者名稱和密碼,一起傳送到伺服器。 只要使用者名稱對於文件的目錄具備存取許可權, 文件就傳送到您的 Web 瀏覽器。

不過,如果您要以不同的 AFS 使用者身份登入, 您必須從 Web 瀏覽器的快取中除去使用者名稱和密碼資訊。 最簡單的方法就是重新啟動 Web 瀏覽器,或開啟新的 Web 瀏覽器視窗。 之後,當您嘗試存取受保護的路徑或文件時,系統將重新提示您輸入 AFS 使用者名稱和密碼。

保護 AFS 檔案與目錄

雖然 AFS Web Security Pack 容許透過 Web 瀏覽器來存取 AFS 檔案空間, AFS 內的檔案和目錄仍然受到 AFS ACL 的保護。 AFS 中的每一個目錄具有一個 ACL,用來定義哪些使用者能夠存取目錄及其檔案, 以及使用者能夠執行什麼作業。

當使用者嘗試從 Web 瀏覽器來存取 AFS 中的文件時, AFS Web Security Pack 會評估文件所在目錄的 ACL, 決定是否允許使用者檢視文件。 唯有當使用者有權檢視目錄內的文件時,文件才會傳送到使用者的 Web 瀏覽器。

附註: 如果要讓 AFS 目錄及其檔案成為公用 (可被所有使用者檢視), 您必須在目錄的 ACL 中併入 system:anyuser 群組的登錄, 並且授與讀取查閱許可權。請注意, 所有使用者 (包括未經鑑別的使用者) 皆可檢視公用目錄中的檔案。

相關資訊