AFS

AFS

AFS

AFS は、企業全体で情報に対して安全でかつ信頼できるアクセスを提供する分散ファイル・システムです。個々のファイル・サーバー・マシン上のディレクトリーおよびファイルを、任意のデスクトップからアクセスできる1つのファイル・システムに継ぎ目なく結合することによって、AFS はマシン上の境界とは関係なく単一のファイル・スペースをユーザーに提供します。AFS では、他のファイル・システムより多い幾つかの利点が提供されます。ここでは、クライアント側のキャッシュを採用し、複数のファイル・サーバーから頻繁にアクセスされるデータを複写することによって、ファイルの可用性が改善されています。クライアント側に情報をキャッシュすることによって、データ・アクセスに使用される時間を短縮し、常に最新情報がユーザーに表示されるようにすると同時に、ネットワーク上の通信量を最小限にします。複数のファイル・サーバーを超えてデータを複写することによって、分離されたサーバーが停止中の時でもユーザーがデータにアクセスできる状態を保つことができます。AFS は強固なセキュリティーを提供して、ファイル・スペースに保管された情報を保護します。包括的な AFS セキュリティ[・システムでは、ユーザーがファイル・スペースの保管された情報ディレクトリーにアクセスを試みる時に AFS に対して認証を受けるようになります。AFSセキュリティーはディレクトリー・レベルのアクセス制御リスト (ACL) を使用して、そのユーザーが特定の情報へのアクセスに必要な許可を受けていることを確認します。また、AFS には、システム管理も備えています。AFS クライアントおよびサーバー・マシンは、ある単一の管理ポイントから管理することができます。関連ファイルおよびディレクトリーを1つの単位として移動、バックアップ、および複写できるボリュームにグループ化するために、AFS サーバー間のロードのバランスが非常に効率的になります。さらに、AFS はいくつかのユーティリティーを使用して簡単にモニターすることが可能で、ファイル・システム全体の状態に関する情報が提供されます。最後に、AFS は簡単に拡張することができます。必要があれば、ASF 構成へのサーバーおよびクライアント・マシンの追加は実質上無制限であり、既存のサーバーおよびクライアント・マシンへの影響は小さくてすみます。このことが、企業においてこのファイル・システムの増加を可能にしているのです。

インストールの前提条件

表 1. AFS Web Security Pack のインストールの前提条件

コンポーネント 要件
オペレーティング・システム Solaris 2.5、Solaris 2.5.1、AIX 4.2.x、 AIX 4.3、  AIX 4.3.1、AIX 4.3.2、Linux 2.2.5 カーネルまたは 2.2.10 カーネル基本
Web サーバー IHS 1.3.12
AFS (クライアント) AFS Client 3.4a または 3.5
ディスク・スペース 650 KB
注:

セキュリティーを考慮して、AFS Web Security Pack は Secure Sockets Layer (SSL) が使用可能なサーバー上でのみ使用することをお勧めします。SSL とは、Web ブラウザーなどのクライアントと、Web サーバーなどのサーバー間の情報の送信が専用に保たれるようにするセキュリティー・プロトコルです。SSL を使用できないサーバー上で AFS Web Security Pack を使用した場合には、個人のユーザー名およびパスワードなどの AFS ユーザー認証情報がネットワーク上の伝送時に暗号化されないので、このような機密情報のセキュリティーが危険にさらされる可能性があります。

IBM HTTP Server での AFS Web Security Pack の構成

Apache server に対して AFS Web Security Pack を構成するには、AFS Web Security Pack モジュールを IBM HTTP Server に追加して、IBM HTTP Server 構成ファイルの実行時ディレクティブにいくつかの小変更が必要となります。 注: デフォルトによって、Apache server を介した文書へのアクセスは、文書ディレクトリーの Apache アクセス制御ファイル (.htaccess ファイル) の存在によって制御されます。ただし、AFS Web Security Pack を Apache server 上にインストールし構成した後では、AFS ファイル・スペース内のデータへのアクセスは、Apache .htaccess ファイルの他に、AFS アクセス制御リスト (ACL) によっても制御されます。

HTTP Administration Server を使用して AFS Web Security Pack を構成するには、次のようにしてください。

  1. IBM HTTP Server があるマシン上に AFS クライアントをセットアップします。
  2. AFS セルの名前とアクセスしたいファイルの名前を入手します。
  3. HTTP Administration Server を開始します。
  4. 「ファイル・システム」フォルダー <「AFS 設定」に進んで、必要なディレクティブを設定します。
  5. 「構成の構造」フォルダー<「有効範囲の作成」に進んで、AFS を使用可能にする "location" を作成します。
  6. 「ファイル・システム」フォルダー <「AFS 使用可能」に進んで、有効範囲を今作成した location に設定します。「AFS 使用可能」ボックスにチェックして、この場所の AFS セルを指定します。

これで、AFS Web Security Pack がユーザーの IBM HTTP Server にインストールされ構成されて、AFS ファイル・スペースへの認証されたアクセスが使用可能になります。AFS Web Security Pack を介しての AFS へのアクセスの詳細については、「AFS Web Security Pack の使用法」を参照してください。

AFS Web Security Pack の使用法

AFS Web Security Pack が Web サーバーにインストールされ構成されると、ユーザーの Web サーバーから AFS にアクセスすることができます。

AFS へのアクセス

AFS Web Security Pack のインストールおよび構成によって、次の通り、AFS ファイル・スペースの要求を含む URL を入力し、Web ブラウザーを介して AFS 内の文書にアクセスすることができます。

https://servername.domain/afs_location/file

ここの servername は AFS Web Security Pack がインストールされているサーバーの名前であり、 domain はそのサーバーが入っているドメインであり、afs_location は AFS ファイル・スペースの要求名であり、file は、AFS の場所およびアクセスされるファイル名前です。

注: Web サーバーがデフォルト・ポート (HTTP Server ではポート 80 、あるいは HTTPS サーバーではポート 443) 以外のポートで実行されることになる場合には、このポート番号は URL の一部として指定する必要があります。たとえば、Web サーバーをポート 80 で実行することになる場合には、AFS ファイル・スペースの要求は次のようになります。
https://servername.domain:80/afs_location/file
注: 接続される Webサーバーが Secure Sockets Layer (SSL) とともに使用可能になるものと仮定します。このために、URL 要求は https で開始され、Web サーバーとの間の情報の受け渡しに SSL プロトコルが使用されることを示します。 Webサーバーが SSL とともに使用可能にならない場合には、URL 要求は http で開始されます。

たとえば、AFS ファイル・スペースの要求名が /afs の場合、yourcompany.com ドメインのセキュア・サーバー・マシン www を介して AFS 文書 usr/smith/file1 にアクセスするには、次を入力してください。

https://www.yourcompany.com/afs/usr/smith/file1
注: AFS に保管されたデータの要求に使用される afs_location は、AFS Web Security Pack を初めて構成される時にシステム管理者によって指定されます。推奨される構文は /afs です。

AFS に対する認証

AFS 中の文書にアクセスを試みる時には、まず初めに、Web サーバーおよび AFS Web Security Pack は、要求された文書にアクセスするために AFS に対してそのユーザーを認証する必要があるかどうかを最初に判別します。

要求された文書が共通ディレクトリー (system:anyuser グループがそのディレクトリーの ACLについて特権をもっているディレクトリー) 中にある場合には、サーバーは、AFS のユーザー名およびパスワードの入力プロンプトを出さないでユーザーのブラウザーにその文書を送信します。

要求された文書が共通ディレクトリー中に ない (すなわち、ディレクトリーのアクセス制御リスト (ACL) が system:anyuser グループに対して特権を許可しない) 場合には、ユーザーの Web ブラウザーにダイアログ・ボックスが表示されて、アクセスする AFS セルの名前を指示して、AFS ユーザー名およびパスワードの入力プロンプトが出されます。この情報は AFS Web Security Pack に渡されて、AFS に対するユーザーの認証が試みられ、その後でその文書へのアクセスに必要な特権があることを確認します。ログインの試みが正常に行なわれると、要求された文書がユーザーの Web ブラウザーに送信されます。ログインの試みが正常に行なわれない場合には、AFS Web Security Pack はメッセージを戻して、要求された文書へのアクセスが拒否されたことを指示します。

注: ユーザーが入力する AFS ユーザー名およびパスワードは、「許可」ダイアログ・ボックスに指示される通り、Web サーバーを介してデフォルトの AFS セルにアクセスされる場合を仮定しています。デフォルト・セル以外の AFS セルで AFS トークンを入手するには、AFS に対する認証時にユーザー名の一部としてそのセル名を指定してください。たとえば、 smith@anothercell.comとなります。

文書へのアクセスのためにユーザー名およびパスワードを提供した後、ほとんどの Web ブラウザーでは、将来の再使用のためにこの情報をキャッシュに入れます。この後、ユーザーが同じ AFS パス中の別の文書にアクセスしようとすると、Web ブラウザーは、そのサーバーへの文書要求と同じユーザー名およびパスワードを送信します。 そのユーザー名に文書ディレクトリーへのアクセス許可があれば、その文書がユーザーの Web ブラウザーに送信されます。

ただし、別の AFS ユーザーとしてログインしたい場合には、そのユーザー名およびパスワード情報をユーザーの Web ブラウザーのキャッシュから除去しなければなりません。 これを行なうためのもっとも簡単な方法は、ユーザーの Web ブラウザーをリセットするか、あるいは新規の Web ブラウザー・ウィンドウをオープンする方法です。その後保護されたパスまたは文書にアクセスを試みると、AFSユーザー名およびパスワードのプロンプトが再び出されます。

AFS ファイルおよびディレクトリーの保護

AFS Web Security Pack では Web ブラウザーを介して AFS ファイル・スペースへのアクセスでが可能になりますが、Web ブラウザーのファイルおよびディレクトリーは AFS ACL によって保護されたままとなります。AFS 中のすべてのディレクトリーには、ディレクトリーおよびそのファイルにアクセスできるユーザー、および実行が許可される操作の内容を定義する ACL があります。

AFS 中の文書に Web ブラウザーからアクセスしようとすると、 AFS Web Security Pack はその文書が入っているディレクトリーの ACL を評価して、その文書の表示がユーザーに許可されるかどうかを判別します。 この文書がユーザーの Web ブラウザーに送信されるのは、ディレクトリー中の文書を表示する権限がユーザーに付与された場合だけです。

注: それに含まれる AFS ディレクトリーおよびファイルを共通 (すべてのユーザーが表示できる) のものにするには、system:anyuser グループの項目をそのディレクトリーの ACL に含めて、「読み取り」 および 「検索」 の権限を付与しなければなりません。認証されないユーザーも含めて、すべての ユーザーが共通ディレクトリーのファイルを表示することができます。

関連情報