AFS

AFS

AFS

AFS ist ein verteiltes Dateisystem, das einen sicheren und zuverlässigen Zugriff auf die Informationen in einem Unternehmen gewährleistet. AFS verbindet die auf den einzelnen Datei-Server-Maschinen befindlichen Verzeichnisse und Dateien in einem einzigen Dateisystem, das über jeden beliebigen Desktop zugänglich ist. Damit präsentiert AFS den Benutzern einen Dateibereich, der von maschinenbezogenen Beschränkungen unabhängig ist. AFS bietet einige Vorteile gegenüber anderen Dateisystemen. Dazu gehört eine bessere Verfügbarkeit von Dateien, die durch das Zwischenspeichern von Client-Daten und die Vervielfältigung von häufig verwendeten Daten auf mehreren Datei-Servern erreicht wird. Das Zwischenspeichern von Client-Daten verringert die Zugriffszeiten auf Daten und den Datenverkehr im Netz. Gleichzeitig wird sichergestellt, dass die Benutzer immer die neuesten Daten sehen. Die Vervielfältigung der Daten auf mehreren Servern gewährleistet, dass die Benutzer selbst bei dem Ausfall eines Servers auf die Daten zugreifen können. AFS bietet ein leistungsstarkes Sicherheitskonzept, mit dem die im dem Dateibereich gespeicherten Daten geschützt werden. Das umfassende AFS-Sicherheitssystem stellt sicher, dass Benutzer bei dem Versuch, auf geschützte Verzeichnisse in dem Dateibereich zuzugreifen, von AFS authentifiziert werden. Mit dem Zugriffssteuerungslisten (ACL, Access Control List), die auf Verzeichnisebene operieren, wird geprüft, ob Benutzer die erforderlichen Berechtigungen für den Zugriff auf bestimmte Daten besitzen. Darüber hinaus vereinfacht AFS die Systemverwaltung. AFS-Client- und Server-Maschinen können über eine einzelne Verwaltungsstelle verwaltet werden. Die Effizienz des Lastausgleichs zwischen den AFS-Servern basiert auf der Gruppierung zusammengehörender Dateien und Verzeichnisse in sogenannten Volumes, die als Einheit verschoben, gesichert und vervielfältigt werden können. Zur Überwachung von AFS stehen mehrere Dienstprogramme zur Verfügung, die Informationen zum Status des gesamten Dateisystems liefern. Außerdem bietet AFS eine hohe Skalierbarkeit. Der AFS-Konfiguration kann eine unbegrenzte Anzahl von zusätzlichen Server-und Client-Maschinen hinzugefügt werden. Die Auswirkungen auf die vorhandenen Server- und Client-Maschinen ist dabei nur sehr gering. Damit ist das Dateisystem in der Lage, im Gleichklang mit dem Unternehmen zu wachsen.

Vorbedingungen für die Installation

Tabelle 1. Vorbedingungen für die Installation des AFS Web Security Pack

Komponente Voraussetzungen
Betriebssystem Solaris 2.5, Solaris 2.5.1, AIX 4.2.x, AIX 4.3,  AIX 4.3.1, AIX 4.3.2, Linux-Kernel 2.2.5 oder 2.2.10
Web-Server IHS 1.3.12
AFS (Client) AFS Client 3.4a oder 3.5
Plattenspeicherplatz 650 KB
Anmerkung:

Aus Sicherheitsgründen wird empfohlen, das AFS Web Security Pack nur auf einem Server zu verwenden, auf dem SSL (Secure Sockets Layer) aktiviert ist. SSL ist ein Sicherheitsprotokoll, das gewährleistet, dass Daten, die zwischen einem Client (z. B. einem Web-Browser) und einem Server (z. B. einem Web-Server) vertraulich bleiben. Sollte das AFS Web Security Pack auf einem Server eingesetzt werden, der nicht für SSL aktiviert ist, werden die Benutzerauthentifizierungsdaten, wie z. B. Benutzernamen und Kennwörter, bei der Übertragung im Netz nicht verschlüsselt. In diesem Fall ist die Sicherheit dieser sensiblen Daten möglicherweise nicht gewährleistet.

AFS Web Security Pack im IBM HTTP Server konfigurieren

Die Konfiguration des Moduls AFS Web Security Pack für den Apache-Server erfordert die Integration dieses Moduls in den IBM HTTP Server. Außerdem müssen eine Reihe geringfügiger Änderungen an den Laufzeitanweisungen in der Konfigurationsdatei des IBM HTTP Server vorgenommen werden. Anmerkung: Standardmäßig wird der Dokumentzugriff über den Apache-Server durch vorhandene Apache-Zugriffssteuerungsdateien (.htaccess-Dateien) in Dokumentverzeichnissen gesteuert. Wenn jedoch das AFS Web Security Pack installiert und auf dem Apache-Server konfiguriert ist, wird der Zugriff auf Daten in dem AFS-Dateibereich nicht nur von den .htaccess-Dateien des Apache-Servers, sondern darüber hinaus auch von den AFS-Zugriffssteuerungslisten (ACLs) verwaltet.

Gehen Sie zur Konfiguration des AFS Web Security Pack mit dem HTTP-Verwaltungs-Server wie folgt vor:

  1. Installieren Sie den AFS-Client auf der Maschine, auf der sich der IBM HTTP Server befindet.
  2. Notieren Sie sich den Namen der AFS-Zelle und die Position der Dateien, auf die Sie zugreifen möchten.
  3. Starten Sie den HTTP-Verwaltungs-Server.
  4. Öffnen Sie den Ordner "Dateisysteme" und geben Sie dann im Register "AFS-Einstellungen" die erforderlichen Anweisungen an.
  5. Erstellen Sie einen Bereich "Position" für das Verzeichnis, in dem Sie AFS aktivieren möchten. Rufen Sie dazu im Ordner "Konfigurationsstruktur" die Seite "Bereich erstellen" auf.
  6. Öffnen Sie den Ordner "Dateisysteme" und legen Sie im Register "AFS aktivieren" den Bereich für die soeben erstellte Position fest. Markieren Sie das Feld "AFS aktivieren" und geben Sie die AFS-Zelle für diese Position an.

Damit ist das AFS Web Security Pack auf dem IBM HTTP Server installiert und konfiguriert. Ferner ist der authentifizierte Zugriff auf den AFS-Dateibereich aktiviert. Weitere Informationen zum Zugriff auf AFS über das AFS Web Security Pack finden Sie im Abschnitt "AFS Web Security Pack verwenden".

AFS Web Security Pack verwenden

Wenn das AFS Web Security Pack auf einem Web-Server installiert ist, können Benutzer über Web-Browser auf AFS zugreifen.

Auf AFS zugreifen

Mit installiertem und konfiguriertem AFS Web Security Pack sind Sie in der Lage, über den Web-Browser auf Dokumente im AFS zuzugreifen. Geben Sie im Browser einen URL (Uniform Resource Location) ein, der eine Anforderung für den AFS-Dateibereich enthält. Beispiel:

https://Server-Name.Domäne/afs_Position/Datei

Server-Name steht für den Namen des Servers, auf dem das AFS Web Security Pack installiert ist, Domäne für die Domäne, in der sich der Server befindet, afs_Position für den Namen der Anforderung für den AFS-Dateibereich und Datei für die AFS-Position und den Namen der Datei, auf die Sie zugreifen möchten.

Anmerkung:Falls der Web-Server an einem anderen Port als dem Standard-Port (Port 80 für HTTP-Server und Port 443 für HTTPS-Server) läuft, muss die Port-Nummer im URL angegeben werden. Läuft der Web-Server beispielsweise an Port 89, müssen Sie die Anforderung für den AFS-Dateibereich wie folgt formulieren:
https://Server-Name.Domäne:80/afs_Position/Datei
Anmerkung:In dieser Anforderung wird davon ausgegangen, dass auf dem angesprochenen Web-Server SSL aktiviert ist. Aus diesem Grund beginnt die URL-Anforderung mit https. Diese Angabe weist darauf hin, dass für die Übertragung von Daten zwischen Browser und Web-Server das SSL-Protokoll verwendet wird. Sollte SSL auf dem Web-Server nicht aktiviert sein, beginnt die URL-Anforderung mit http.

Beispiel: Wenn der Anforderungsname für den AFS-Dateibereich /afs lautet, um über die geschützte Server-Maschine www in der Domäne IhreFirma.com auf das AFS-Dokument usr/smith/Datei1 zuzugreifen, geben Sie folgenden URL ein:

https://www.IhreFirma.com/afs/usr/smith/Datei1
Anmerkung:Die afs_Position, die für die Anforderung von Daten, die im AFS-Bereich gespeichert sind, verwendet wird, wird vom Systemadministrator bei der Erstkonfiguration des AFS Web Security Pack angegeben. Die empfohlene Syntax lautet /afs.

Authentifizierung bei AFS

Wenn Sie auf ein Dokument im AFS zugreifen, legen der Web-Server und das AFS Web Security Pack zuerst fest, ob Sie sich bei AFS authentifizieren müssen, um auf das angeforderte Dokument zugreifen zu können.

Wenn sich das angeforderte Dokument in einem allgemein zugänglichen Verzeichnis befindet (ein Verzeichnis, für das die Gruppe system:anyuser in der ACL des Verzeichnisses berechtigt ist), sendet der Server das Dokument an Ihren Browser, ohne Sie zur Eingabe eines AFS-Benutzernamens und -Kennworts auffordert.

Befindet sich das angeforderte Dokument nicht in einem allgemein zugänglichen Verzeichnis (d. h. die Zugriffssteuerungsliste des Verzeichnisses erteilt der Gruppe system:anyuser keine Berechtigungen), wird ein Dialogfenster in Ihrem Web-Browser angezeigt. In diesem Fenster steht der Name der AFS-Zelle, auf die Sie zugreifen, und Sie werden aufgefordert, einen AFS-Benutzernamen und ein Kennwort einzugeben. Diese Daten werden dann an das AFS Web Security Pack übergeben, das versucht, Sie bei AFS zu authentifizieren. Anschließend wird geprüft, ob Sie die erforderlichen Berechtigungen für den Zugriff auf das Dokument besitzen. Wenn der Anmeldeversucht erfolgreich verläuft, wird das angeforderte Dokument an Ihren Web-Browser gesendet. Sollte Ihr Anmeldeversuch scheitern, gibt das AFS Web Security Pack eine Nachricht an den Browser zurück, in der Sie darüber informiert werden, dass der Zugriff auf das angeforderte Dokument abgewiesen wurde.

Anmerkung:Es wird davon ausgegangen, dass der eingegebene AFS-Benutzername und das Kennwort sich auf die Standard-AFS-Zelle beziehen, auf die über den Web-Server zugegriffen wird und die im Dialogfenster "Berechtigung" angegeben ist. Wenn Sie AFS-Token von einer anderen als der Standard-AFS-Zelle anfordern möchten, müssen Sie beim AFS-Authentifizierungsversuch den Namen dieser Zelle zusammen mit dem Benutzernamen eingeben. Beispiel: smith@andereZelle.com.

Nachdem ein Benutzername und ein Kennwort für den Zugriff auf ein Dokument eingegeben wurde, speichern die meisten Web-Browser diese Daten zur späteren Wiederverwendung in Ihrem Cache. Sollten Sie danach versuchen, auf ein anderes Dokument in demselben AFS-Pfad zuzugreifen, sendet der Web-Browser denselben Benutzernamen und dasselbe Kennwort zusammen mit der Dokumentanforderung an den Server. Wenn der Benutzername die Zugriffsberechtigungen für das Verzeichnis des Dokuments besitzt, wird das Dokument an den Web-Browser gesendet.

Sollten Sie sich jedoch unter einem anderen AFS-Benutzernamen anmelden, müssen Sie den Benutzernamen und das Kennwort aus dem Cache Ihres Web-Browsers entfernen. Sie können dazu einfach Ihren Web-Browser erneut starten oder ein neues Web-Browser-Fenster öffnen. Wenn Sie dann versuchen, auf einen geschützten Pfad oder ein geschütztes Dokument zuzugreifen, werden Sie erneut zur Eingabe eines AFS-Benutzernamens und -Kennworts aufgefordert.

AFS-Dateien und -Verzeichnisse schützen

Das AFS Web Security Pack lässt zwar den Zugriff auf den AFS-Dateibereich über einen Web-Browser zu, allerdings sind die Dateien und Verzeichnisse im AFS durch AFS-Zugriffssteuerungslisten geschützt. Jedem Verzeichnis im AFS ist eine ACL zugeordnet, in der die Benutzer, die auf das Verzeichnis und die darin befindlichen Dateien zugreifen können, und die Operationen definiert sind, die die in der ACL angegebenen Benutzer ausführen dürfen.

Wenn ein Benutzer über einen Web-Browser auf ein Dokument im AFS zugreift, wird anhand der ACL des Verzeichnisses, in dem sich das Dokument befindet, vom AFS Web Security Pack ermittelt, ob der Benutzer berechtigt ist, das Dokument anzuzeigen. Das Dokument wird nur an den Web-Browser des Benutzers gesendet, wenn dem Benutzer die Berechtigung erteilt wurde, die Dokumente in diesem Verzeichnis anzuzeigen.

Anmerkung:Sie können ein AFS-Verzeichnis und die in diesem Verzeichnis befindlichen Dateien allgemein zugänglich machen, (so dass es von allen Benutzern angezeigt werden kann), indem Sie der ACL des Verzeichnisses einen Eintrag für die Gruppe system:anyuser hinzufügen, mit dem Sie der Gruppe die Berechtigungen zum Lesen von Dateien (Read) und Anzeigen des Verzeichnisinhalts (Lookup) erteilen. Sie sollten jedoch beachten, dass Sie damit allen Benutzern, auch nicht authentifizierten Benutzern, ermöglichen, die Dateien in dem allgemein zugänglichen Verzeichnis anzuzeigen.

Zugehörige Informationen