AFS è file system distribuito che fornisce l'accesso protetto e sicuro alle informazioni all'interno di un'intera azienda. Senza unire le directory e i file sulle singole macchine del server dei file in un file system al quale è possibile accedere da ogni desktop, l'AFS presenta gli utenti con un singolo spazio su disco indipendente dai limiti della macchina. L'AFS offre diversi vantaggi ad altri file system. Migliora la disponibilità dei file utilizzando la memorizzazione cache delle informazioni dalla parte del client e la replica dei dati ai quali si accede più frequentemente in diversi server dei file. La memorizzazione cache dalla parte del client diminuisce il tempo utilizzato per accedere ai dati e defluisce il traffico nella rete mettendo in pericolo nel contempo agli utenti la visualizzazione costante delle informazioni più recenti. La replica dei dati in diversi server garantisce l'accesso ai dati da parte degli utenti anche durante le sporadiche interruzioni del server. L'AFS fornisce la massima sicurezza nella protezione delle informazioni memorizzate nello spazio su disco. Il sistema di sicurezza AFS globale assicura l'autenticazione degli utenti sull'AFS quando si tenta di accedere alle directory protette nello spazio su disco. La sicurezza AFS utilizza gli ACL (access control list) del livello della directory per assicurare che gli utenti abbiano i permessi richiesti per accedere a informazioni specifiche. L'AFS facilita inoltre la gestione del sistema. Le macchine server e client AFS possono essere gestite da un singolo punto della gestione. Caricare il bilanciamento attraverso i server AFS risulta efficace grazie al raggruppamento dei file e delle directory correlati in volumi che possono essere spostati, copiati, salvati e restituiti come unità. Inoltre, l'AFS può essere facilmente controllato utilizzando diversi programmi di utilità che forniscono informazioni sullo stato dell'intero file system. Infine l'AFS è facilmente adattabile. Le macchine client e server aggiuntive non limitate virtualmente possono essere aggiunte a seconda delle necessità ad una configurazione AFS con conseguenze minime sulle macchine server e client esistenti. Questo consente al file system di crescere con l'azienda.
Tabella 1. Prerequisiti per l'installazione di
AFS Web Security Pack
Componente | Requisiti |
Sistema operativo | Solaris 2.5, Solaris 2.5.1, AIX 4.2.x, AIX 4.3, AIX 4.3.1, AIX 4.3.2, Linux 2.2.5 kernel o 2.2.10 basato su kernel |
Server web | IHS 1.3.12 |
AFS (client) | AFS Client 3.4a o 3.5 |
Spazio su disco | 650 KB |
Nota: |
A causa dei problemi relativi alla sicurezza, si consiglia vivamente di utilizzare AFS Web Security Pack solo su un server abilitato agli SSL (Secure Sockets Layer). SSL è un protocollo di sicurezza che assicura che le informazioni trasmesse tra un client, come ad esempio un browser web, e un server, come ad esempio un server web, rimangano segrete. Se AFS Web Security Pack viene utilizzato su un server non abilitato agli SSL, le informazioni di autenticazione dell'utente AFS, come ad esempio il nome utente e la password dell'individuo, non sono codificate quando vengono trasmesse nella rete, compromettendo così la sicurezza di queste informazioni delicate. |
La configurazione di AFS Web Security Pack per il server Apache richiede l'aggiunta del modulo AFS Web Security Pack all'IBM HTTP server e detrminate modifiche alle istruzioni del tempo di esecuzione all'interno del file di configurazione IBM HTTP Server. Nota: Per default, l'accesso ai documenti tramite il server Apache viene controllato dai file di controllo di accesso di Apache (file .htaccess) nelle directory del documento. Tuttavia, dopo aver installato e configurato l'AFS Web Security Pack sul server Apache, l'accesso ai dati all'interno dello spazio su disco AFS viene controllato dall'ACL (Access Control List) di AFS oltre ai file .htaccess di Apache.
L'AFS Web Security Pack è ora installato e configurato sull'IBM HTTP Server ed è stato abilitato l'accesso autenticato allo spazio su disco AFS. Per le informazioni su come accedere all'AFS tramite l'AFS Web Security Pack, consultare Utilizzo di AFS Web Security Pack.
Una volta installato e configurato l'AFS Web Security Pack su un server Web, gli utenti possono accedere all'AFS dai propri browser Web.
Con l'AFS Web Security Pack installato e configurato, l'utente è in grado di accedere ai documenti contenuti nell'AFS attraverso il browser Web immettendo un URL (Uniform Resource Location) che comprende una richiesta per il filespace AFS, come di seguito riportato:
https://servername.domain/afs_location/file
dove servername è il nome del server nel quale è installato l'AFS Web Security Pack, domain è il dominio nel quale è ubicato il server, afs_location è il nome richiesto per il filespace AFS e file rappresenta l'ubicazione e il nome AFS del file al quale accedere.
Nota: | Se
il server web è in esecuzione su una porta diversa dalla porta di
default (porta 80 per i server HTTP o porta 443 per i server HTTPS),
il numero della porta deve essere specificato come parte dell'URL. Ad
esempio, se il server web è in esecuzione sulla Porta
89, la richiesta per il filespace AFS appare come di seguito
riportato:
https://servername.domain:80/afs_location/file |
Nota: | Si presume che il server Web contattato sia abilitato agli SSL (Secure Sockets Layer). Per questo motivo, l'URL inizia con https, che indica che il protocollo SSL viene utilizzato per trasferire le informazioni da e verso il server Web. Se il server Web non è abilitato agli SSL, l'URL inizia con http. |
Ad esempio, se il nome per il filespace AFS è /afs, per accedere al documento AFS usr/smith/file1 attraverso la macchina server affidabile www nel dominio yourcompany.com, immettere:
https://www.yourcompany.com/afs/usr/smith/file1
Nota: | afs_location utilizzato per richiedere i dati memorizzati in AFS viene specificato dall'amministratore di sistema quando si configura per la prima volta l'AFS Web Security Pack. La sintassi consigliata è /afs. |
Quando si tenta di accedere ad un documento contenuto in AFS, il server Web e l'AFS Web Security Packfirst stabiliscono se l'utente deve autenticarsi su AFS per poter accedere al documento richiesto.
Se il documento richiesto si trova in una directory pubblica (una directory per la quale il gruppo system:anyuser ha privilegi nell'ACL della directory), il server invia il documento al proprio browser senza richiedere di immettere un nome utente e una password AFS.
Se il documento richiesto non si trova in una directory pubblica (cioè, se l'ACL (Access Control List) della directory non garantisce i privilegi al gruppo system:anyuser), viene visualizzata una finestra di dialogo nel proprio browser Web, che indica il nome della cella AFS alla quale si sta accedendo e richiede di immettere un nome utente e una password AFS. Queste informazioni vengono inoltrate all'AFS Web Security Pack, che tenta di autenticare l'utente sull'AFS e quindi verifica se l'utente dispone dei privilegi richiesti per accedere al documento. Se il tentativo di login riesce, il documento richiesto viene inviato al browser web dell'utente. Se il tentativo di login non riesce, l'AFS Web Security Pack restituisce un messaggio al browser che indica che l'accesso al documento richiesto è negato.
Nota: | Il nome utente e la password AFS immessi servono presumibilmente per la cella AFS di default alla quale si accede tramite il server Web, come indicato nella finestra di dialogo Autorizzazione. Per ottenere i token AFS in una cella AFS diversa dalla cella di default, specificare il nome della cella come parte del nome utente quando si autentica su AFS, ad esempio smith@anothercell.com. |
Dopo aver fornito un nome utente e una password per accedere ad un documento, la maggior parte dei browser Web memorizzano queste informazioni per un riutilizzo futuro. Se in seguito si tenta di accedere ad un altro documento nello stesso percorso AFS, il browser Web invia al server lo stesso nome utente e la stessa password con la richiesta del documento. Poiché il nome utente dispone dei permessi di accesso per la directory del documento, il documento viene inviato al browser Web.
Tuttavia, se si desidera collegarsi come utente AFS diverso, è necessario eliminare le informazioni relative alla password e al nome utente dalla memoria cache del browser Web. Il modo più semplice per eseguire ciò è riavviare il browser Web oppure aprire una nuova finestra del browser Web. Quando si tenta di accedere ad un percorso o ad un documento protetto, viene richiesto ancora una volta di immettere un nome utente e una password AFS.
Sebbene l'AFS Web Security Pack abiliti l'accesso al filespace AFS attraverso un browser Web, i file e le directory all'interno di AFS rimangono protetti dagli ACL di AFS. Ogni directory contenuta in AFS dispone di un ACL che definisce gli utenti che possono accedere alla directory e ai relativi file e le operazioni che tali utenti possono eseguire.
Quando un utente tenta di accedere ad un documento contenuto in AFS da un browser Web, l'ACL della directory nella quale risiede il documento è valutata dall'AFS Web Security Pack per stabilire se l'utente può visualizzare il documento. Il documento viene inviato al browser Web dell'utente solo se all'utente viene garantito il permesso per visualizzare i documenti nella directory.
Nota: | Per rendere pubblici una directory AFS e i file in essa contenuti (visualizzabili cioè da tutti gli utenti), è necessario inserire una voce per il gruppo system:anyuser sull'ACL della directory, garantendo i permessi Read e Lookup. Notare che tutti gli utenti, anche quelli non autenticati, sono in grado di visualizzare i file in una directory pubblica. |