AFS

AFS

AFS

AFS est un système de fichiers réparti offrant fiabilité et sécurité d'accès aux informations circulant au sein d'une entreprise. Il unifie de façon transparente les répertoires et les fichiers hébergés par des serveurs de fichiers individuels en un seul système de fichiers, lequel est accessible depuis n'importe quel poste de travail et présente aux utilisateurs un espace fichier unique faisant totalement abstraction de l'emplacement physique des données. AFS offre plusieurs avantages par rapport aux autres systèmes de fichiers. Il améliore la disponibilité des fichiers en mettant en oeuvre, d'une part un mécanisme de mise en cache côté client, d'autre part un procédé de réplication sur plusieurs serveurs des données souvent demandées. La mise en cache côté client réduit le temps d'accès aux données et minimise les échanges sur le réseau tout en garantissant que les utilisateurs disposent des informations les plus à jour. La réplication des données sur plusieurs serveurs offre aux utilisateurs la garantie de pouvoir y accéder même en cas de panne d'un serveur isolé. AFS dispose de puissantes fonctions de sécurité pour protéger les informations stockées dans l'espace fichier. Très complet, son système de sécurité oblige les utilisateurs à s'authentifier auprès d'AFS lorsqu'ils tentent d'accéder aux répertoires protégés de l'espace fichier. Ce système fait appel à des listes de contrôle d'accès (ACL) qui lui permettent de vérifier que les utilisateurs disposent des droits nécessaires pour accéder à tel ou tel type d'informations. AFS facilite également l'administration du système. Les machines client et serveur AFS peuvent être gérées depuis un point unique d'administration. La répartition de la charge sur plusieurs serveurs AFS est particulièrement efficace, notamment parce que les fichiers et répertoires connexes sont groupés en volumes qui peuvent chacun être déplacés, sauvegardés et répliqués comme un tout. En outre, AFS peut être facilement surveillé au moyen de plusieurs utilitaires qui fournissent des informations sur l'état du système de fichiers dans son intégralité. Enfin, AFS est hautement évolutif. L'ajout de machines serveur et client à une configuration AFS est pratiquement illimité et a très peu de répercussions sur les machines déjà en place. Le système de fichiers peut ainsi suivre la croissance de l'entreprise.

Conditions préalables à l'installation

Tableau 1. Conditions préalables à l'installation d'AFS Web Security Pack

Composant Elément requis
Système d'exploitation Solaris 2.5, Solaris 2.5.1, AIX 4.2.x, AIX 4.3, AIX 4.3.1, AIX 4.3.2, noyau Linux 2.2.5 ou 2.2.10
Serveur Web IHS 1.3.12
AFS (client) AFS Client 3.4a ou 3.5
Espace disque 650 ko
Remarque :

En raison d'impératifs de sécurité, il est vivement conseillé d'installer AFS Web Security Pack sur un serveur mettant en oeuvre le protocole de sécurité SSL (Secure Sockets Layer). SSL garantit la confidentialité des informations transmises entre un client (par exemple, un navigateur Web) et un serveur (par exemple, un serveur Web). Si AFS Web Security Pack est utilisé sur un serveur ne prévoyant pas l'utilisation de ce protocole, les données d'authentification AFS telles que le nom d'utilisateur et le mot de passe d'un individu ne sont pas chiffrées lors de leur transmission sur le réseau, ce qui compromet leur sécurité.

Configuration d'AFS Web Security Pack sur IBM HTTP Server

La configuration d'AFS Web Security Pack pour le serveur Apache consiste à ajouter le module AFS Web Security Pack à IBM HTTP Server et à apporter quelques modifications mineures aux directives d'exécution de son fichier de configuration. Notez que, par défaut, l'accès aux documents via le serveur Apache est contrôlé par les fichiers de contrôle d'accès Apache (fichiers .htaccess) présents dans les répertoires de stockage de ces documents. Cependant, une fois le module AFS Web Security Pack installé et configuré sur le serveur Apache, l'accès aux données résidant dans l'espace fichier AFS est contrôlé non seulement par les fichiers .htaccess d'Apache, mais aussi par les listes de contrôle d'accès (ACL) propres à AFS.

Pour configurer AFS Web Security Pack à l'aide d'HTTP Administration Server

  1. Installez le composant AFS Client sur la machine où réside IBM HTTP Server.
  2. Déterminez le nom de la cellule AFS ainsi que l'emplacement des fichiers auxquels vous souhaitez accéder.
  3. Lancez HTTP Administration Server.
  4. Accédez au dossier Systèmes de fichiers < Paramètres AFS et définissez les directives appropriées.
  5. Créez une portée de type "Location" (emplacement) pour le répertoire où vous souhaitez activer AFS. Pour cela, accédez à la page Structure de la configuration < Création d'une portée.
  6. Accédez au dossier Systèmes de fichiers < Activation d'AFS et choisissez comme portée l'emplacement ("Location") que vous venez de créer. Cochez la case Activation d'AFS et spécifiez la cellule AFS pour cet emplacement.

AFS Web Security Pack est maintenant installé et configuré sur votre serveur IBM HTTP Server et l'accès par authentification à l'espace fichier AFS est activé. Pour plus de détails sur l'accès à AFS via le module AFS Web Security Pack, reportez-vous à la section Utilisation d'AFS Web Security Pack.

Utilisation d'AFS Web Security Pack

Une fois le module AFS Web Security Pack installé et configuré sur un serveur Web, les utilisateurs peuvent accéder à l'espace fichier AFS depuis leur navigateur Web.

Accès à AFS

Dès lors que le module AFS Web Security Pack est installé et configuré, vous êtes en mesure d'accéder à des documents de l'espace fichier AFS depuis votre navigateur Web. Pour cela, entrez une URL incluant une demande d'accès à l'espace fichier AFS, sous la forme suivante :

https://nomserveur.domaine/emplacement_afs/fichier

nomserveur est le nom du serveur sur lequel AFS Web Security Pack est installé, domaine est le domaine dans lequel se situe le serveur, emplacement_afs est le nom de requête de l'espace fichier AFS et fichier est le chemin d'accès AFS et le nom du fichier à atteindre.

Remarque :Si le serveur Web s'exécute sur un port autre que le port par défaut (port 80 pour les serveurs HTTP ou port 443 pour les serveurs HTTPS), le numéro de ce port doit être indiqué dans l'URL. Par exemple, si le serveur Web s'exécute sur le port 89, la demande d'accès à l'espace fichier AFS doit prendre la forme suivante :
https://nomserveur.domaine:89/emplacement_afs/fichier
Remarque :Le serveur Web contacté est présumé mettre en oeuvre le protocole SSL. C'est pourquoi l'URL commence par https, indiquant que le protocole SSL est utilisé pour transférer les informations vers et depuis le serveur Web. Si le serveur Web n'utilise pas de connexion sécurisée SSL, l'URL commence par http.

Supposons, par exemple, que le nom de requête de l'espace fichier AFS soit /afs. Pour accéder au document AFS usr/dupont/fichier1 via la machine serveur sécurisée www, dans le domaine votreentreprise.com, entrez l'URL suivante :

https://www.votreentreprise.com/afs/usr/dupont/fichier1
Remarque :L'emplacement_afs utilisé pour demander des données stockées dans AFS est spécifié par l'administrateur système lors de la configuration initiale du module AFS Web Security Pack. La syntaxe recommandée est /afs.

Authentification auprès d'AFS

Lorsque vous tentez d'accéder à un document dans AFS, le serveur Web et le module AFS Web Security Pack déterminent d'abord si vous devez vous authentifier auprès d'AFS pour pouvoir accéder au document demandé.

Si le document demandé est dans un répertoire public (un répertoire dont l'ACL spécifie que le groupe system:anyuser possède des droits d'accès sur ce répertoire), le serveur envoie le document à votre navigateur sans vous demander de vous identifier par un nom d'utilisateur et un mot de passe AFS.

Si le document demandé n'est pas dans un répertoire public (c'est-à-dire si l'ACL de ce répertoire n'accorde pas de droits d'accès au groupe system:anyuser), une boîte de dialogue apparaît dans votre navigateur Web, indiquant le nom de la cellule AFS à laquelle vous accédez et vous demandant d'entrer un nom d'utilisateur et un mot de passe AFS. Ces données sont transmises au module AFS Web Security Pack, qui tente alors de vous authentifier auprès d'AFS, puis qui vérifie que vous disposez des droits requis pour accéder au document. Si la tentative de connexion aboutit, le document demandé est envoyé à votre navigateur Web. Dans le cas contraire, le module AFS Web Security Pack renvoie un message à votre navigateur, indiquant que l'accès au document demandé vous est refusé.

Remarque :Le nom d'utilisateur et le mot de passe AFS que vous entrez sont présumés être définis sur la cellule AFS à laquelle on accède par défaut à travers le serveur Web et qui est indiquée dans la boîte de dialogue d'autorisation. Pour obtenir un jeton d'accès à une cellule AFS autre que la cellule par défaut, spécifiez le nom de cette cellule dans le nom d'utilisateur servant à vous authentifier auprès d'AFS. Par exemple, dupont@autrecellule.com.

Dès lors que vous fournissez un nom d'utilisateur et un mot de passe pour accéder à un document, le navigateur les mémorise dans sa cache afin de pouvoir les réutiliser pour les futures demandes (la plupart des navigateurs Web procèdent ainsi). Ainsi, si vous tentez ensuite d'accéder à un autre document se trouvant sur le même chemin AFS, le navigateur envoie votre demande au serveur, accompagnée du nom d'utilisateur et du mot de passe qu'il a mémorisés. Le document demandé est renvoyé à votre navigateur s'il figure dans un répertoire auquel ce nom d'utilisateur est autorisé à accéder.

Il se peut toutefois que vous souhaitiez vous connecter sous un nom d'utilisateur AFS différent. Dans ce cas, il faut supprimer le nom d'utilisateur et le mot de passe mémorisés dans la cache du navigateur. Le plus simple est de redémarrer le navigateur Web ou d'en ouvrir une nouvelle fenêtre. Si vous tentez d'accéder à un chemin ou à un document protégé, vous serez de nouveau invité à fournir un nom d'utilisateur et un mode passe AFS.

Protection des fichiers et répertoires AFS

Bien que le module AFS Web Security Pack permette à un utilisateur d'accéder à l'espace fichier AFS par l'intermédiaire de son navigateur Web, les fichiers et répertoires de cet espace restent protégés par des listes de contrôle d'accès (ACL) propres à AFS. Ainsi, chaque répertoire de l'espace AFS possède une ACL qui définit quels utilisateurs peuvent accéder à ce répertoire et à ses fichiers et quelles opérations ils sont autorisés à effectuer.

Lorsqu'un utilisateur tente d'accéder à un document de l'espace fichier AFS à partir de son navigateur Web, l'ACL du répertoire dans lequel se trouve ce document est consultée par AFS Web Security Pack, qui détermine alors si cet utilisateur est autorisé à voir le document qu'il demande. Le document est transmis au navigateur de l'utilisateur uniquement si ce dernier s'est vu accorder le droit de consulter les documents figurant dans le répertoire concerné.

Remarque :Pour rendre publics (c'est-à-dire consultables par tous) un répertoire AFS et les fichiers qu'il contient, vous devez inclure dans l'ACL de ce répertoire une entrée accordant les droits Read (lecture) et Lookup (recherche) au groupe system:anyuser. Notez que tous les utilisateurs, même ceux qui ne sont pas authentifiés, peuvent visualiser les fichiers d'un répertoire public.

Informations connexes