AFS

AFS

AFS

AFS 是一个分布式文件系统,它提供对企业信息安全、可靠的访问。 通过将位于单独的文件服务器上的目录和文件天衣无缝地结合在一个文件系统中,并可从任何桌面对该文件系统进行访问, AFS 为用户提供了一个不受机器界限约束的单个文件空间。 AFS 具有其它文件系统所不能及的一些优势。它通过使用客户机端高速缓存和复制多台文件服务器中频繁访问的数据,来提高文件的可用性。 信息的客户机端高速缓存减少了访问数据所花费的时间,并且使网络流量达到最小,与此同时仍然确保用户总是可以看到最新的信息。 在多台服务器上复制数据确保了在个别服务器停机期间,数据仍可为用户所访问的。 AFS 提供了功效强大的安全保护功能,以保护在文件空间中存储的信息。 功能完备的 AFS 安全保护系统确认用户在尝试访问文件空间中受保护的目录时,已认证到 AFS。 AFS 安全保护使用了目录级存取控制列表(ACL),以确保用户拥有访问特定信息的必需许可权。 AFS 同时简化了系统管理。对于 AFS 客户机和服务器,可以从管理单个点对它们进行管理。 由于将相关文件和目录分组到可作为单元进行移动、备份和复制的卷中,因而跨 AFS 服务器的负载平衡是高效率的。 另外,使用提供关于整个文件系统状态信息的一些实用程序,可简便地对 AFS 进行监控。 最后,AFS 具有较高的可伸缩性。实际上,可以按需把数量不限的其它服务器和客户机添加到 AFS 配置中,而不会影响现有的服务器和客户机。 这样,会使得此文件系统随着企业的发展而发展。

安装先决条件

表 1. 安装 AFS Web Security Pack 的先决条件

组件 要求
操作系统 Solaris 2.5、Solaris 2.5.1、AIX 4.2.x、AIX 4.3、AIX 4.3.1、AIX 4.3.2、基于 Linux 2.2.5 内核或 2.2.10 内核
Web 服务器 IHS 1.3.12
AFS(客户机) AFS Client 3.4a 或 3.5
磁盘空间 650 KB
注:

由于考虑到安全性,因此强烈建议仅在启用安全套接字层 (SSL) 的服务器上使用 AFS Web Security Pack。 SSL 是一种安全性协议,它确保在客户机(例如 Web 浏览器)和服务器(例如 Web 服务器)间传送信息的安全性,并保持信息的专用性。 如果在未启用 SSL 的服务器上使用 AFS Web Security Pack,则在网络中发送 AFS 用户认证信息(例如,个别的用户名和口令)时,这些信息是不加密的,由此可能危及此敏感信息的安全性。

在 IBM HTTP Server 上配置 AFS Web Security Pack

为 Apache 服务器配置 AFS Web Security Pack,要求将 AFS Web Security Pack 模块添加到 IBM HTTP Server,并对 IBM HTTP Server 配置文件中的运行时伪指令进行若干小的修改。 注:缺省情况下,通过 Apache Server 访问文档,是由文档目录中的 Apache 访问控制文件(.htaccess 文件)的存在控制的。 然而,在 Apache Server 上安装和配置了 AFS Web Security Pack 后,除了 Apache .htaccess 文件之外,对 AFS 文件空间中数据的访问,还由 AFS 访问控制表 (ACL) 来控制。

要使用 HTTP Administration Server 来配置 AFS Web Security Pack

  1. 在其中驻留 IBM HTTP Server 的机器上安装 AFS 客户机。
  2. 获取您希望访问的 AFS 单元名和文件的位置。
  3. 启动 HTTP Administration Server。
  4. 转至“文件系统”文件夹 < AFS 设置,并设置所需的伪指令。
  5. 转至“配置结构”文件夹 <“创建作用域”页面,为您要启用 AFS 的目录创建“位置”作用域。
  6. 转至“文件系统”文件夹 < 启用 AFS,并将作用域设置为刚创建的位置。选取“启用 AFS” 框,并指定此位置的 AFS 单元。

现在,您的 IBM HTTP Server 上安装和配置了 AFS Web Security Pack,并启用了对 AFS 文件空间的已认证访问。 要获取关于通过 AFS Web Security Pack 访问 AFS 的信息,请参阅“使用 AFS Security Pack”。

使用 AFS Web Security Pack

一旦在 Web 服务器上安装和配置了 AFS Web Security Pack,用户就可以从他们的 Web 浏览器访问 AFS。

访问 AFS

安装和配置了 AFS Web Security Pack 后,您可以通过 Web 浏览器访问 AFS 中的文档,方法是按如下所示输入包括对 AFS 文件空间请求的 URL:

https://servername.domain/afs_location/file

其中 servername 是安装了 AFS Web Security Pack 的服务器的名称,domain 是此服务器所属的域,afs_location 是对 AFS 文件空间的请求名,而 file 是要访问的文件的名称及其 AFS 位置。

注: 如果 Web 服务器在除了缺省端口(对于 HTTP 服务器为端口 80,对于 HTTPS 服务器为端口 443)的端口上运行,则必须把端口号作为 URL 的一部分而指定。 例如,如果 Web 服务器在端口 89 上运行,则对 AFS 文件空间的请求将出现如下:
https://servername.domain:80/afs_location/file
注: 假设与之联系的 Web 服务器启用安全套接字层 (SSL)。 为此,URL 请求以 https 开始,表明 SSL 协议用于将信息传送至 Web 服务器,并从 Web 服务器传送回信息。 如果 Web 服务器未启用 SSL,则 URL 请求以 http 开始。

例如,如果对 AFS 文件空间的请求名是 /afs,则要通过 yourcompany.com 域中的安全服务器 www 访问 AFS 文档 usr/smith/file1,输入:

https://www.yourcompany.com/afs/usr/smith/file1
注: 当对 AFS Web Security Pack 进行初始配置时,由系统管理员指定用于请求存储在 AFS 中数据的 afs_location。 建议的语法是 /afs

认证到 AFS

当您尝试访问 AFS 中的文档时,Web 服务器和 AFS Web Security Pack 首先确定您是否必须认证到 AFS,以访问所请求的文档。

如果所请求的文档位于公用目录(对于此目录,system:anyuser 组具有目录的 ACL 上的特权)中,则服务器将文档发送到您的浏览器,而不提示您输入 AFS 用户名和口令。

如果所请求的文档在公用目录中(即,如果目录的 ACL 未授予 system:anyuser 组特权),则在您的 Web 浏览器中将出现一个对话框,表明您在访问的 AFS 单元的名称,并提示您输入 AFS 用户名和口令。 此信息将发送到 AFS Web Security Pack,AFS Web Security Pack 尝试将您认证到 AFS,然后验证您具有访问文档所需的特权。 如果登录尝试成功,则将所请求的文档发送到您的 Web 浏览器。 如果登录尝试不成功,则 AFS Web Security Pack 将一条消息返回到浏览器,此消息表明拒绝对所请求文档的访问。

注: 假设您所输入的 AFS 用户名和口令,用于通过 Web 服务器访问缺省 AFS 单元,如“授权”对话框中表明的。 要获得除了缺省单元的 AFS 单元中的 AFS 令牌,在认证到 AFS 时,将单元名指定为用户名的一部分,例如 smith@anothercell.com

当您提供用于访问文档的用户名和口令后,大多数 Web 浏览器会高速缓存此信息以备将来使用。 如果您随后尝试访问位于相同 AFS 路径的另一个文档时,Web 浏览器会将相同的用户名和口令与文档请求一同发送到服务器。 只要此用户名具有对文档目录的访问许可权,就将文档发送到您的 Web 浏览器。

然而,如果您希望以另一个 AFS 用户的身份登录,则必须从您的 Web 浏览器高速缓存中除去此用户名和口令信息。 要这样做的最简便方法是重新启动您的 Web 浏览器,或者打开一个新的 Web 浏览器窗口。 然后,当您尝试访问受保护的路径或文档时,会再次提示您输入 AFS 用户名和口令。

保护 AFS 文件和目录

尽管 AFS Web Security Pack 启用通过 Web 浏览器对 AFS 文件空间的访问,但 AFS 中的文件和目录仍然由 AFS ACL 来保护。AFS 中的每个目录都有一个 ACL,它定义哪些用户可以访问目录及其文件,以及允许用户执行哪些操作。

当用户尝试从 Web 浏览器来访问 AFS 中的文档时,由 AFS Web Security Pack 评估文档驻留在其中的目录的 ACL,以确定是否允许此用户查看文档。 仅当授予此用户查看目录中文档的许可权时,才会把文档发送到用户的 Web 浏览器。

注: 要使 AFS 目录和它包含的文件都是公用的(可供所有用户查看),您必须在目录的 ACL 中包括 system:anyuser 组的条目,并授予查找许可权。注意,所有用户(即使是未认证的用户),都能够查看公用目录中的文件。

相关信息