AFS é um sistema de arquivos distribuídos que fornece acesso seguro e confiável a informações em uma empresa. Unindo uniformemente os diretórios e arquivos em máquinas de servidor de arquivos privados em um sistema de arquivos acessível de qualquer computador, o AFS fornece aos usuários um único espaço de arquivo sem fronteiras de máquinas. O AFS oferece várias vantagens em relação a outros sistemas de arquivos. Ele melhora a disponibilidade de arquivos, aplicando cache no lado do cliente e replicação de dados acessados freqüentemente através de vários servidores de arquivos. O uso de cache no lado do cliente diminui o tempo utilizado para acessar dados e minimiza o tráfego pela rede, assegurando mesmo assim que os usuários sempre terão as informações mais atualizadas. Replicação de dados através de vários servidores garante que os dados permanecerão acessíveis aos usuários mesmo durante quedas isoladas do servidor. O AFS fornece segurança reforçada para proteger as informações armazenadas no sistema de arquivos. O sistema de segurança amplo do AFS assegura que os usuários sejam autenticados para o AFS quando tentarem acessar diretórios protegidos no espaço de arquivos. A segurança do AFS utiliza ACLs (listas de controle de acesso) no nível de diretório para assegurar que os usuários possuam as permissões necessárias para acessar informações específicas. O AFS também facilita a administração do sistema. Máquinas clientes e servidores do AFS podem ser gerenciadas a partir de um único ponto de administração. O balanceamento de carga através de servidores AFS é altamente eficiente devido ao agrupamento de arquivos e diretórios relacionados em volumes que podem ser movidos, ter backup feito e replicados como uma unidade. Além disso, AFS pode ser facilmente monitorado utilizando-se vários utilitários que fornecem informações sobre o estado de todo o sistema de arquivos. Finalmente, o AFS é altamente escalável. Máquinas adicionais de servidor e cliente podem ser ilimitadamente adicionadas virtualmente conforme o necessário para uma configuração AFS causando pouco impacto sobre máquinas de cliente e servidor existentes. Isto permite que sistema de arquivos cresça com a empresa.
Tabela 1. Pré-requisitos para Instalação do AFS Web Security
Pack
Componente | Requisito |
Sistema operacional | Solaris 2.5, Solaris 2.5.1, AIX 4.2.x, AIX 4.3, AIX 4.3.1, AIX 4.3.2, Linux 2.2.5 kernel ou 2.2.10 baseado em kernel |
Servidor Web | IHS 1.3.12 |
AFS (cliente) | AFS Client 3.4a ou 3.5 |
Espaço em Disco | 650 KB |
Nota: |
Devido a considerações de segurança, é altamente recomendado que o AFS Web Security Pack seja utilizado apenas em um servidor com SSL (Secure Sockets Layer) ativado. SSL é um protocolo de segurança que assegura que as informações transmitidas entre um cliente, como um navegador da Web, e um servidor, como um servidor Web, permaneçam privadas. Se o AFS Web Security Pack for utilizado em um servidor que não possua SSL ativado, as informações de autenticação de usuários AFS como nomes de usuários e senhas individuais não serão criptografadas quando forem transmitidas pela rede, possivelmente comprometendo a segurança destas informações sensíveis. |
A configuração do AFS Web Security Pack para o servidor Apache requer a adição do módulo AFS Web Security Pack ao IBM HTTP Server e várias pequenas modificações às diretivas de tempo de execução do arquivo de configuração do IBM HTTP Server. Nota: Por padrão, o acesso a documentos através do servidor Apache é controlado pela existência de arquivos de controle de acesso Apache (arquivos .htaccess) nos diretórios de documento. Entretanto, depois que o AFS Web Security Pack é instalado e configurado no servidor Apache, o acesso a dados dentro do espaço de arquivos AFS é controlado pelas ACLs (Access Control Lists) além dos arquivos .htaccess do Apache.
O AFS Web Security Pack está agora instalado e configurado em seu IBM HTTR Server e o acesso autenticado ao espaço de arquivos AFS está ativado. Veja mais informações sobre o acesso do AFS através do AFS Web Security Pack, em Utilização do AFS Web Security Pack.
Quando o AFS Web Security Pack estiver instalado e configurado em um servidor da Web, os usuários podem acessar o AFS a partir de seus navegadores da Web.
Com o AFS Web Security Pack instalado e configurado, você pode acessar documentos no AFS através do navegador da Web, digitando uma URL (Uniform Resource Location) que inclua um pedido para o espaço de arquivos AFS, da seguinte forma:
https://nome_servidor.domínio/localização_afs/arquivo
em que nome_servidor é o nome do servidor em que o AFS Web Security Pack está instalado, domínio é o domínio em que o servidor está localizado, localização_afs é o nome de pedido para o espaço de arquivo AFS e arquivo é a localização e o nome AFS do arquivo a ser acessado.
Nota: | Se
o servidor Web estiver sendo executado em uma porta diferente da
porta padrão (porta 80 para servidores HTTP ou porta 443 para
servidores HTTPS), o número de porta deve ser especificado como parte
da URL. Por exemplo, se o servidor Web estiver sendo executado na
Porta 89, o pedido para o espaço de arquivo AFS é exibido da seguinte
forma:
https://nome_servidor.domínio:80/localização_afs/arquivo |
Nota: | Presume-se que o servidor Web contactado tenha SSL (Secure Sockets Layer) ativado. Por este motivo, o pedido de URL começa com https, indicando que o protocolo SSL é utilizado para transferir informações enviadas e recebidas pelo servidor da Web. Se o servidor Web não tiver ativado com URL, o pedido de URL começará com http. |
Por exemplo, se um nome de pedido para o espaço de arquivo AFS for /afs, para acessar o documento AFS usr/smith/arquivo1 através da máquina de servidor segura www no domínio suaempresa.com, digite:
https://www.yourcompany.com/afs/usr/smith/file1
Nota: | A localização_afs utilizada para solicitar dados armazenados no AFS é especificada pelo administrador do sistema quando o AFS Web Security Pack é configurado inicialmente. A sintaxe recomendada é /afs. |
Quando você tenta acessar um documento no AFS, o servidor Web e o AFS Web Security Packfirst determinam se você precisa autenticar para AFS para acessar o documento solicitado.
Se o documento solicitado estiver em um diretório público (um diretório para o qual o grupo system:anyuser possui privilégios na ACL do diretório), o servidor envia o documento para seu navegador sem solicitar um nome de usuário e senha AFS.
Se o documento solicitado não estiver em um diretório público (ou seja, se a ACL (Access Control List) do diretório não conceder privilégios para o grupo system:anyuser), uma caixa de diálogo é exibida em seu navegador da Web, indicando o nome da célula AFS que você está acessando e solicitando um nome de usuário e senha AFS. Estas informações são passadas para o AFS Web Security Pack, que tenta autenticá-lo para o AFS, e depois verifica se você possui os privilégios necessários para acessar o documento. Se a tentativa de início de sessão for bem sucedida, o documento solicitado é enviado para seu navegador da Web. Se a tentativa de início de sessão não for bem sucedida, o AFS Web Security Pack retorna uma mensagem para o navegador indicando que o acesso ao documento solicitado foi negado.
Nota: | Presume-se que o nome de usuário e a senha AFS digitados sejam para a célula padrão AFS acessada pelo servidor da Web, conforme indicado na caixa de diálogo de Autorização. Para obter tokens AFS em uma célula AFS diferente da célula padrão, especifique o nome da célula como parte do nome de usuário durante a autenticação para o AFS, por exemplo smith@anothercell.com. |
Depois de fornecer um nome de usuário e senha para acessar um documento, a maioria dos navegadores da Web armazenam em cache estas informações para reutilização futura. Se forem feitas tentativas subseqüentes para acessar outros documentos no mesmo caminho AFS, o navegador da Web envia o mesmo nome de usuário e senha com o pedido de documento para o servidor. Se o nome de usuário tiver permissões de acesso para o diretório do documento, o documento será enviado para seu navegador da Web.
Entretanto, se quiser iniciar sessão com um usuário AFS diferente, é necessário remover as informações de nome de usuário e senha da cache de seu navegador da Web. As maneiras mais simples de se fazer isto são reiniciar seu navegador da Web ou abrir uma nova janela de navegador da Web. Depois disso, quando você tentar acessar um caminho ou documento protegido, será novamente solicitado que digite um nome de usuário e senha AFS.
Embora o AFS Web Security Pack permita acesso ao espaço de arquivo AFS através de um navegador da Web, os arquivos e diretórios dentro do AFS permanecem protegidos pelas ACLs do AFS. Todos os diretórios do AFS possuem uma ACL que define quais usuários podem acessar o diretório e seus arquivos e quais operações eles podem realizar.
Quando um usuário tenta acessar um documento no AFS a partir de um navegador da Web, a ACL do diretório em que o documento está contido é avaliada pelo AFS Web Security Pack para determinar se o usuário pode exibir o documento. O documento é enviado para o navegador da Web do usuário apenas se o usuário possuir permissão para exibir os documentos contidos no diretório.
Nota: | Para tornar um diretório AFS e os arquivos contidos nele público (que pode ser exibido por todos os usuários), é necessário incluir uma entrada para o grupo system:anyuser na ACL do diretório, concedendo permissões de Leitura e Consulta. Note que todos o usuários, mesmo usuários não autenticados, são capazes de exibir arquivos em um diretório publico. |