AFS

AFS

AFS

AFS es un sistema de archivos distribuido que proporciona un acceso seguro y fiable a toda la información de la empresa. Uniendo consistentemente los directorios y archivos de cada servidor de archivos en un único sistema de archivos, accesible desde cualquier puesto, AFS ofrece a los usuarios un único espacio de archivos independiente de los límites del sistema. AFS ofrece distintas ventajas sobre otros sistemas de archivos. Mejora la disponibilidad de los archivos mediante el uso de antememoria en la parte cliente y la replicación de datos frecuentemente accedidos entre diversos servidores. El uso de antememoria en la parte cliente disminuye el tiempo de acceso a los datos y minimiza el tráfico en la red a la vez que asegura que el usuario siempre accede a la información más actualizada. La réplica de datos en varios servidores garantiza que dichos datos permanezcan accesibles para los usuarios incluso durante caidas del servidor. AFS proporciona una gran seguridad para la protección de la información almacenada en el espacio de archivos. La completa seguridad del sistema AFS garantiza que los usuarios estén identificados ante AFS cuando tratan de acceder a directorios protegidos del espacio de archivos. La seguridad AFS utiliza listas de control de acceso (LCA) a nivel de directorio a fin de asegurar que los usuarios tengan el permiso necesario para acceder a determinada información. AFS también simplifica la administración del sistema. Los equipos clientes y servidores de AFS se pueden gestionar desde un sólo punto de administración. La distribución de carga entre los servidores AFS es muy eficiente, gracias a la agrupación de archivos y directorios interrelacionados en volúmenes que se pueden mover, copiar (para copias de seguridad) y replicar como una sola unidad. Además, el sistema AFS se puede supervisar fácilmente mediante el uso de distintos programas de utilidad que proporcionan información sobre el estado de todo el sistema de archivos. Por último, AFS es muy escalable. Según las necesidades, se puede añadir un número virtualmente ilimitado de clientes y servidores a una configuración AFS con un impacto mínimo sobre los clientes y servidores ya existentes. Esto posibilita que el sistema de archivos crezca a la vez que lo hace la empresa.

Prerrequisitos de instalación

Tabla 1. Prerrequisitos para la instalación del AFS Web Security Pack

Componente Requisitos
Sistema operativo Solaris 2.5, Solaris 2.5.1, AIX 4.2.x, AIX 4.3,  AIX 4.3.1, AIX 4.3.2, Linux basado en los kernel 2.2.5 o 2.2.10
Servidor Web IHS 1.3.12
AFS (cliente) Cliente AFS 3.4a ó 3.5
Espacio en disco 650 KB
Nota:

Por motivos de seguridad, es muy recomendable que el AFS Web Security Pack se utilice sólo en un servidor que tenga habilitada la Capa de Sockets Seguros (Secure Sockets Layer - SSL). SSL es un protocolo de seguridad que garantiza que la información transmitida entre un cliente, como un navegador web, y un servidor, como un servidor web, sea privada. Si se utiliza el AFS Web Security Pack en un servidor que no tenga habilitada SSL, la información de autentificación del usuario AFS, como son el nombre de usuario personal y la contraseña, no están cifrados al transmitirse por la red, comprometiendo potencialmente la seguridad de una información tan delicada.

Configuración de AFS Web Security Pack en IBM HTTP Server

La configuración del AFS Web Security Pack para el servidor Apache requiere añadir el AFS Web Security Pack al IBM HTTP Server y una serie de pequeñas modificaciones a las directivas de tiempo de ejecución del archivo de configuración de IBM HTTP Server. Nota: Por omisión, el acceso a documentos a través del servidor Apache está controlado por la existencia de los archivos de control de acceso de Apache (archivos .htaccess) en directorios de documentos. No obstante, una vez instalado y configurado el AFS Web Security Pack en el servidor Apache, el acceso a los datos dentro del espacio de archivos AFS está controlado por las Listas de control de acceso (LCA) de AFS además de por los archivos .htaccess de Apache.

Para configurar el AFS Web Security Pack utilizando el HTTP Administration Server

  1. Configure el cliente AFS en la máquina en la que se encuentre IBM HTTP Server.
  2. Obtenga el nombre de la célula AFS y la ubicación de los archivos a los que desea acceder.
  3. Arranque el HTTP Administration server.
  4. Vaya a la carpeta Sistemas de archivos (File Systems) < Valores de AFS (AFS Settings) y establezca las directivas adecuadas.
  5. Cree un ámbito "location" para el directorio en que desea habilitar AFS accediendo a la carpeta Estructura de configuración (Configuration Structure) < página Crear Ámbito (Create Scope).
  6. Vaya a la carpeta Sistemas de archivo (File Systems) < Habilitar AFS (Enable AFS) y establezca el ámbito en la ubicación que acaba de crear. Active el recuadro de selección Habilitar AFS y especifique la célula AFS para esta ubicación.

El AFS Web Security Pack ya está instalado y configurado en su IBM HTTP Server y está habilitado el acceso autentificado al espacio de archivos AFS. Para obtener información sobre el acceso a AFS a través de AFS Web Security Pack, consulte Uso del AFS Web Security Pack.

Uso del AFS Web Security Pack

Una vez instalado y configurado el AFS Web Security Pack en un servidor Web, los usuarios pueden acceder a AFS desde sus navegadores web.

Acceso a AFS

Con el AFS Web Security Pack instalado y configurado se puede acceder a documentos de un sistema AFS mediante un navegador web, especificando la dirección (URL) que incluya una solicitud al espacio de archivos AFS, como se muestra a continuación:

https://nombreservidor.dominio/ubicación_afs/archivo

donde nombreservidor es el nombre del servidor en que está instalado el AFS Web Security Pack, dominio es el dominio en que está ubicado el servidor, ubicación_afs es el nombre solicitado para el espacio de archivos y archivo es la ubicación AFS y el nombre del archivo al que se desea tener acceso.

Nota:Si el servidor web se está ejecutando en un puerto distinto del puerto por omisión (puerto 80 para servidores HTTP o puerto 443 para servidores HTTPS), se debe especificar el número de puerto como parte de la dirección (URL). Por ejemplo, si el servidor web se está ejecutando en el puerto 89, la solicitud al espacio de archivos AFS sería:
https://nombreservidor.dominio:89/ubicación_afs/archivo
Nota:Se supone que el servidor web con el que nos ponemos en contacto tiene habilitada la Capa de sockets seguros (SSL). Es por esto que la dirección solicitada comienza por https, lo que indica que se utiliza el protocolo SSL para la transferencia de información hacia y desde el servidor web. Si el servidor Web no tiene habilitada la SSL, la URL solicitada comenzaría por http.

Por ejemplo, si el nombre solicitado del espacio de archivos AFS es /afs, para acceder al documento AFS usr/garcia/archivo1 a través de una máquina con servidor seguro www en el dominio suempresa.com, entre:

https://www.suempresa.com/afs/usr/garcia/archivo1
Nota:La ubicación_afs utilizada para la solicitud de datos almacenados en AFS la especifica el administrador del sistema cuando se configura por primera vez el AFS Web Security Pack. La sintaxis recomendada es /afs.

Autentificación ante AFS

Cuando se intenta acceder a un documento de AFS, el servidor web y el AFS Web Security Pack, primero, determinan si el usuario se debe autentificar ante AFS para tener acceso al documento solicitado.

Si el documento solicitado está en un directorio público (un directorio para el que el grupo system:anyuser tiene permiso según la LCA del directorio), el servidor envía el documento al navegador sin pedir nombre de usuario ni contraseña AFS.

Si el documento solicitado no está en un directorio público (esto es, si la Lista de control de acceso (LCA) del directorio no otorga permiso al grupo system:anyuser), aparecerá un recuadro de diálogo en el navegador web que indicará el nombre de la célula AFS a la que se está accediendo y pedirá el nombre de usuario y contraseña de AFS. Esta información se pasa al AFS Web Security Pack, que intentará autentificar al usuario ante AFS, y luego comprobará que se tengan los permisos necesarios de acceso al documento. Si el intento de conexión es correcto, se enviará el documento solicitado al navegador. Si no lo fuera, el AFS Web Security Pack devuelve un mensaje al navegador indicando que se ha denegado el acceso al documento solicitado.

Nota:Se supone que el nombre de usuario y contraseña AFS solicitados corresponden a la célula AFS por omisión a la que se accede a través del servidor web, según se indica en el recuadro de diálogo Autorización. Para obtener señales AFS en una célula AFS que no sea la célula por omisión, especifique el nombre de célula dentro del nombre de usuario cuando se identifique ante AFS, por ejemplo ruiz@otracelula.com.

Tras proporcionar nombre de usuario y contraseña para acceder a un documento, la mayoría de los navegadores web ponen esta información en antememoria para uso posterior. Si a continuación se intenta acceder a otro documento en la misma vía de acceso AFS, el navegador web envía al servidor el mismo nombre de usuario y contraseña con la petición de documento. Mientras que el nombre de usuario tenga permiso de acceso al directorio del documento, éste se enviará a su navegador web.

No obstante, si quiere conectarse como un usuario AFS distinto, ha de suprimir la información de nombre de usuario y contraseña de la antememoria del navegador web. La forma mas sencilla de hacerlo es volviendo a arrancar el navegador web o bien abriendo una ventana nueva del navegador. Cuando, después de esto, intente acceder a una vía de acceso o documento protegidos, se le volverá a solicitar el nombre de usuario y la contraseña de AFS.

Protección de archivos y directorios AFS

Aunque el AFS Web Security Pack habilita el acceso al espacio de archivos AFS a través de un navegador web, los archivos y directorios de AFS permanecen protegidos por las LCA de AFS. Cada directorio de AFS tiene una LCA que define los usuarios que pueden acceder al directorio y sus archivos y qué operaciones tienen permitido realizar.

Cuando un usuario intenta acceder a un documento de AFS desde un navegador web, AFS Web Security Pack analiza la LCA del directorio en el que está el documento para comprobar si el usuario tiene permiso para verlo. El documento se envía al navegador web del usuario sólo si éste tiene permiso para ver los documentos del directorio.

Nota:Para hacer público (que todos los usuarios puedan verlos) un directorio AFS y todos los archivos que contien, hay que incluir una entrada para el grupo system:anyuser en la LCA del directorio, otorgando los permisos Read y Lookup. Tenga en cuenta que todos los usuarios, incluso los que no estén autentificados, podrán ver los archivos de un directorio público.

Información relacionada