AFS

Czym jest AFS?

AFS jest sieciowym systemem plików, który ma zastąpić dotychczas używane w sieci wydziałowej rozwiązania (samba, NFS). Zapewniając równoważną do nich funkcjonalność. Oferuje on ponadto mechanizmy cache, łatwość sporządzania kopii bezpieczeństwa czy też elastyczny mechanizm nadawania uprawnień (ACL). Realizacja tej funkcjonalności odbywa się w oparciu o model architektury klient-serwer.

Klienci AFS

Windows 95/98
AFSforWin9x.exe
Windows 2000/NT/XP
AFSforWindows2000_XP.exe
Windows Vista/7
AFSforWindows7.exe
RedHat 7.1
RPMS for 7.1
RedHat 7.2
RPMS for 7.2
RedHat 7.3
RPMS for 7.3

Pakiety RPM dla innych wersji systemu RedHat, pliki instalacyjne dla systemów AIX, HP-UX, Digital Unix, IRIX, Solaris oraz kody źródłowe oprogramowania można pobrać ze stron organizacji OpenAFS.

Procedura instalacji klientów

Do prawidłowej pracy klientów AFS potrzebny jest

w przypadku systemów Windows:
klient NTP
w przypadku Linux-a
klient NTP
klient Kerberosa V

Opis instalacji:

Windows 2000/NT/XP
1. Zapisać na dysku i uruchomić instalator klienta AFS dla Windows 2000/NT/XP.
2. Pojawia się okienko z prośbą o wybór języka, wybrać język angielski (polska wersja językowa nie jest dostępna) i nacisnąć przycisk "OK".
3. W kolejnym oknie wyświetlone zostają wstępne informacje o instalacji. Wybrać przycisk "Next".
4. Pojawia się okienko umożliwiające wybór komponentów do zainstalowania. Spośród wyświetlonej listy pozostawić zaznaczoną opcję "AFS Client" i nacisnąć przycisk "Next".
5. W następnym oknie wybrać opcję "Download from Web Address", wpisać nowy adres: http://www.chemia.uj.edu.pl/siec/cfg_files/afs/CellServDB i wybrać przycisk "Next".
6. Jesteśmy pytani o nazwę komórki AFS. Wpisać: ch.uj.edu.pl i nacisnąć przycisk "Next".
7. W kolejmym oknie w opcji "Root Drive Assignment" w polu "Path" zamienić istniejący wpis na: /
8. W opcji "Home Drive Assignment" w polu "Path" wpisać: /afs/ch.uj.edu.pl/user/nazwa użytkownika,
9. Nacisnąć przycisk "Next".
10. Pojawia się okienko informujące o konieczności restartu maszyny. Nacisnąć przycisk "Finish".
11. Po restarcie komputera, wybrać w menu "Start" opcję "Open AFS", "Client" oraz "Authentication".
12. Pojawia się okno, w którym wybrać zakładkę "Drive Letters", zaznaczyć obydwie opcje aktywujące udostępnione dyski.
13. Zamknąć okno dialogowe.

Windows 95/98
1. Zapisać na dysku i uruchomić instalator klienta AFS dla Windows 95/98.
2. Wyświetlone zostają wstępne informacje o instalacji. Nacisnąć przycisk "Next".
3. Wybrać katalog, w którym zostanie zainstalowane oprogramowanie (najlepiej domyślny) i nacisnąć przycisk "Next".
4. Wybrać nazwę folderu (np. domyślnie AFS i nacisnąć przycisk "Next".
5. Pytani o źródło bazy danych serwerów wybieramy spośród czterech możliwości Download from Web Address, wpisać w tym polu adres http://www.chemia.uj.edu.pl/siec/cfg_files/afs/CellServDB, i naciskamy przycisk "Next".
6. Wpisujemy w pole "AFS UserID "naszą nazwę użytkownika, w pole "Cell Name " wpisujemy ch.uj.edu.pl i naciskamy przycisk "Next".
7. W polu "AFS Home" wpisujemy /afs/ch.uj.edu.pl/user/nazwa użytkownika.W polu "Cache Size"pozostawiamy domyślną wartość 40000 (40 MB) lub zmieniamy ją na inną podaną w kilobajtach i naciskamy przycisk "Next".
  uwaga:zwiększenie rozmiaru cache powinno poprawiać efektywność(rekomendowane co najmniej 20 MB), kluczowym jest, aby deklarowana wielkość cache mogła być zawsze zrealizowana w systemie
8. W opcji "Root Drive Assignment" w polu "Path" wpisujemy /. W opcji "Home Drive Assignment" w polu "Path" wpisujemy /afs/ch.uj.edu.pl/user/nazwa użytkownika i naciskamy przycisk "Next".
9. W ostatnim okienku informującym o konieczności restartu maszyny naciskamy przycisk "Finish"
  Po ponownym uruchomieniu maszyny jest na niej obecny klient AFS pod nazwą "AFS ControlCenter". Dostęp do systemu i zmapowanie dysków na naszej maszynie wymaga posiadania ważnego tokenu otrzymywanego w wyniku procedury logowania

RedHat
1. Pobrać i zainstalować pakiety RPM dla odpowiedniej wersji systemu,
2. Pobrać plik ThisCell i zastąpić nim plik o lokalizacji:
  /usr/vice/etc/ThisCell
3. Pobrać plik CellServDB i zastąpić nim plik o lokalizacji:
  /usr/vice/etc/CellServDB
4. (Opcjonalnie) Zmienić ustawienia cache modyfikując plik:
  /usr/vice/etc/cacheinfo
  z domyślnej zawartości
  /afs:/usr/vice/cache:50000
  na dogodną dla użytkownika o schemacie:
  /afs:ścieżka do katalogu pełniącego rolę cache:wielkość cache w kilobajtach
  uwaga:zwiększenie rozmiaru cache powinno poprawiać efektywność(rekomendowane co najmniej 20 MB), kluczowym jest, aby deklarowana wielkość cache mogła być zawsze zrealizowana w systemie
5. Załadować moduł jądra poleceniem
  /etc/rc.d/init.d/afs start
  Od tej pory system plików AFS będzie mapowany na drzewo /afs. Dostęp do systemu wymaga posiadania ważnego tokenu otrzymywanego jako wynik procedury logowania

Uzyskiwanie dostępu do systemu plików(procedura logowania)

Dostęp do systemu plików jest możliwy tylko wtedy, gdy użytkownik posiada token, który pozwala na zweryfikowanie uprawnień użytkownika przy próbie dostępu do plików. Tokeny mają skończony czas życia (w naszym systemie 9 godzin). Ich wygaśnięcie następuje albo w wyniku jawnego wylogowania się użytkownika albo poprzez przekroczenie czasu życia.

Otrzymywanie tokenów

Windows 2000/NT/XP
1. Wybieramy w menu "Start" opcję "Open AFS", "Client" oraz "Authentication".
2. Pojawia się okno, w którym w zakładce "Tokens" wybieramy przycisk "Obtain new token".
3. W oknie dialogowym w polu "User Name" podajemy naszą nazwę użytkownika, a w polu "Password" nasze hasło na serwerze wydziałowym. Naciskamy przycisk "OK". Od tej chwili dyski AFS są mapowane na naszym komputerze.

Windows 95/98
1. Wybieramy w menu "Start" opcję "Open AFS", "AFS Control Center".
2. W oknie programu zaznaczamy opcję "Advanced Options", co powoduje pojawienie się listy dysków, które będą mapowane; jeśli nie odpowiada ona pożądanej konfiguracji używamy przycisków "Add", "Change", "Remove" do jej zmiany
3. W oknie dialogowym w polu "User Name" podajemy naszą nazwę użytkownika, a w polu "Password" nasze hasło na serwerze wydziałowym. Naciskamy przycisk "Connect".

Linux
1. Wydać polecenie kinit nazwa użytkownika i w odpowiedzi na monit podać hasło.
  Jeśli podane hasło było prawidłowe, to Kerberos powinien przydzielić nam ticket, można to sprawdzić poleceniem klist
2. Wydać polecenie aklog
  W wyniku powyższego powinniśmy otrzymać token, co można sprawdzić poleceniem tokens, wyświetlającym aktualnie posiadane tokeny

Porzucanie tokenów

Windows 2000/NT/XP
W oknie programu "Authentication"nacisnąć przycisk "Discard These Tokens"

Windows 95/98
W oknie programu "AFS Control Center"nacisnąć przycisk "Disconnect"

Linux
Wydać polecenie unlog, zniszczy ono token AFS-owy (ale nie ticket Kerberos-a)

Mechanizm ACL

AFS kontroluje dostęp do katalogu i wszystkich zawartych w nim plików poprzez mechanizm ACL(Access Control Lists). Istnieje siedem poziomów uprawnień, które mogą być przypisywane indywidualnie każdemu z użytkowników lub grupie użytkowników: domyślnie istnieją 3 grupy o nazwach system:administrators (administratorzy systemu),system:authuser (użytkownicy zautoryzowani w systemie, czyli ci, którzy posiadają ważny token) oraz system:anyuser (wszyscy).
Zdefiniowanie uprawnień na poziomie katalogów (nie plików) ma następujące istotne konsekwencje:

Uprawnienia związane z katalogiem stosujuą się do wszystkich plików w nim zawartych. Kiedy plik jest przenoszony do innego katalogu efektywnie zmieniają się związane z nim uprawnienia (na takie jak dla nowego katalogu).Zmiana ACL katalogu pociąga natomiast za sobą zmianę uprawnień dla wszystkich zawartych w nim plików.
Kiedy tworzony jest podkatalog jego początkowe ACL są kopią ACL katalogu nadrzędnego. Jeżeli istnieje taka potrzeba należy niezależnie zmienić jego ACL. Jednakże, ACL katalogu nadrzędnego dalej kontroluje dostęp do podkatalogu w następujący sposób:
ACL katalogu nadrzędnego musi przyznawać użytkownikowi (lub grupie, do której użytkownik należy) przynajmniej uprawnienie l (lookup)), aby mógł on uzyskać jakikolwiek dostęp do podkatalogu.
jeśli w odniesieniu do pewnego pliku(plików) potrzebujemy stosować inną listę uprawnień (ACL) niż do pozostałych musimy przechowywać je w innym katalogu.

Poziomy uprawnień:

l (lookup) Pełni funkcję bramki dostępu do katalogu, jako że użytkownik musi je posiadać, aby móc korzystać z innych uprawnień, oraz aby uzyskać jakikolwiek dostęp do podkatalogów. W szczególności pozwala na wylistowanie podkatalogów oraz wylistowanie listy uprawnień związanych z katalogiem.
i (insert) Pozwala użytkownikowi na dodawanie nowych plików do katalogu i na tworzenie nowych podkatalogów.
d (delete) Pozwala użytkownikowi na usuwanie plików i podkatalogów z katalogu lub przenoszenie ich do innego katalogu (pod warunkiem, że użytkownik posiada w odniesieniu do niego uprawnienie i.
a (administer) Pozwala użytkownikowi na zmianę listy uprawnień związanych z katalogiem.
r (read) Pozwala użytkownikowi na wylistowanie zawartoşci katalogu oraz czytanie zawartości plików.
w (write) Pozwala użytkownikowi na modyfikację zawartości plików znajdujących się w katalogu oraz wydanie UNIX-owego polecenia chmod w odniesieniu do plików.
k (lock)

Edycja i zmiana uprawnień:

Windows
Kliknięcie prawym klawiszem myszy na katalog z systemu AFS wyświetla menu kontekstowe, wybranie z niego opcji AFS pokazuje podmenu zszeregiem opcji. Wśród nich znajduje się opcja Access Control Lists. Jej wybranie otwiera okno, którym można edytować i zmieniać listę uprawnień związaną z katalogiem (oczywiście, jeśli użytkownik posiada uprawnienia do wykonywania tych czynności na wybranym katalogu).
Linux
Listę uprawnień dla danego katalogu można wyedytować poleceniem: fs listacl ścieżka do katalogu
Uprawnienia użytkownika(grupy) w odniesieniu do katalogu można zmienić poleceniem:
fs setacl -dir ścieżka do katalogu -acl nazwa użytkownika(grupy) lista uprawnień
lista uprawnień oznacza jedną lub więcej liter reprezentujących uprawnienia (rlidwka) lub jeden ze skrótów:
all tożsame z rlidwka, read tożsame z rl, write tożsame z rlidwk, none pozbawiające wszystkich uprawnień.

Domowe katalogi użytkowników

Domowe katalogi użytkowników zlokalizowane są następująco:
/afs/ch.uj.edu.pl/user/nazwa użytkownika
Limit przestrzeni dyskowej związany z tym katalogiem wynosi 500 MB i może być, w miarę możliwości na pewnien czas zwiększony na umotywowaną prośbę użytkownika. Użytkownik posiada pełne uprawnienia w stosunku do swego katalogu domowego, włącznie z możliwością zmiany uprawnień.
Dostęp do katalogów innego użytkownika wymaga nadania nam przez niego odpowiednich uprawnień.
W katalogu domowym każdego użytkownika oprócz stworzonych przez niego podkatalogów znajdują się domyślne podkatalogi:
www:
w którym należy umieszczać pliki związane z prywatnymi stronami WWW użytkowników na serwerze wydziaĺowym; prawo czytania tego katalogu posiada serwer WWW
backup:
zawierający sporządzoną poprzedniego dnia kopię bezpieczeństwa katalogu domowego użytkownika, zawartość tego podkatalogu dostępna jest w trybie tylko do odczytu
uwaga: podkatalog backup jest tworzony co 24 godziny

Podstawowe operacje na plikach

Podstawowe operacje na plikach jak kopiowanie,usuwanie,przenoszenie,zmiana nazwy itp. wykonuje się identycznie jak w powszechnie używanych systemach plików.
Uwaga: AFS dopuszcza tworzenie jedynie "miękkich" dowiązań.

Lokalizacja istotnych plików

W podkatalogach bin, etc, usr, include katalogu /afs/ch.uj.edu.pl/i386_linux24/usr/afsws znajdują się aktualne binaria dla RedHata z jądrem 2.4. W podkatalogach katalogu /afs/ch.uj.edu.pl/downloads umieszczane są aktualne wersje instalacyjne oprogramowania.

Dodatkowych informacji na temat systemu AFS, konfiguracji klientów i podobnych zagadnień można szukać w plikach pomocy klientów AFS oraz na stronach macierzystej dla zainstalowanego oprogramowania organizacji OpenAFS.

$Revision: 1.32 $ ($Date: 2002/10/15 06:35:41 $)