HOME-Verzeichnis und AFS
- Was ist ein HOME-Verzeichnis?
- AFS
- Zugriffsrechte im AFS
- Anmeldung und Authentifizierung
- UNIX und AFS
- WindowsNT und AFS
- SAMBA und AFS
- HOME-Verzeichnishierarchie
- AFS-Hierarchie an TUCZ
- Datensicherung
- Besonderheiten, Spezielles
1. Was ist ein HOME-Verzeichnis?
HOME-Verzeichnis charakterisiert durch:
- Eigentum des Nutzers
- eineindeutige Zuordnung zum Nutzerkennzeichen
- nach Anmelden befindet sich Nutzer in seinem HOME-Verzeichnis
- dieses eine HOME-Verzeichnis ist an all den Rechnern verfügbar, an denen das URZ-Nutzerkennzeichen gültig ist!
- enthält auch Daten für die Standardumgebung des Nutzers
Die Begriffe Verzeichnis - directory - Ordner sind als Synonyme zu betrachte!
AFS - (Andrew File System)
- kein Betriebssystem
- distributed file system (verteiltes Filesystem im Rechnernetz)
- rechnerübergreifendes Filesystem (Zugriff von mehreren Rechnern aus
möglich)
- weltweite Verzeichnishierarchie
rechnerunabhängige einheitliche Adressierung von Daten
- Client-Server-Modell
Daten sind auf dem Fileserver gespeichert
Zugriff erfolgt von Klienten-Maschine (Daten werden vom Fileserver geholt und lokal gespeichert - cache)
oder
Warum setzen wir AFS ein?
- (notwendige) Alternative zu NFS
- einheitlicher Namensraum in einer weltweiten Filesystemhierarchie
(einheitlicher Namensraum über Fakultäten bzw. URZ)
- schnellere Zugriffe, Verringerung der Netzlast
- verbesserte Zugriffsrechte, individuelle Gruppenbildung
- besserer Datenschutz (security)
- bessere und einfachere Administration
- Zuverlässigkeit
- neue Kommandos
(allerdings werden nur wenige benötigt)- begrenzte token-Laufzeit
(in puncto security ein Vorteil)- Netzabhängigkeit
3.1 Was sind Zugriffsrechte und welche gibt es?
Definition Zugriffsrechte:
Rechte, die den spezifischen Umgang mit Daten erlauben oder nicht erlauben.
Im AFS werden die Zugriffsrechte je Verzeichnis gesetzt und beziehen sich auf alle darin
enthaltenen Files.
Rechte werden auf ein neues Verzeichnis vererbt.
ACL heißt Access Control List und bezeichnet im AFS die Zugriffsrechte.
Spezifische Rechte:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
zusammengefaßte Rechte (Mnemo) --> Schreibweise vereinfachen:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Syntax eines AFS-Kommandos:
Achtung! AFS-Kommandos stehen im Verzeichnis /usr/afsws/bin bzw. /usr/afsws/etc
kommandogruppe kommando [argumente ...]
Beispiele:
fs listquota
fs lq .
fs setacl -h
fs help
pts help
pts membership -nameorid czi:friends
pts mem czi:friends
kommandogruppe help --> alle Kommandos der kommandogruppe
Rechte der Files eines Verzeichnisses anschauen:
Syntax: fs listacl verzeichnis
fs listacl public_html
fs la verzeichnis
fs listacl -dir verzeichnis
Rechte (ACL's) für ein Verzeichnis ändern:
am Beispiel des Verzeichnisses VERZEICHNIS (Kontrolle mit fs la VERZEICHNIS) sowie der Nutzerkennzeichen aaa, bbb, ccc, ddd
hinzufügen:
fs setacl -dir VERZEICHNIS -acl aaa read
fs sa -dir VERZEICHNIS -acl bbb write -acl ccc read
fs sa VERZEICHNIS bbb none
fs setacl -dir VERZEICHNIS -acl ddd lda
3.3 Zugriffsrechte für eine Gruppe von Nutzern
Syntax:
Kommandogruppe pts
Kommandos
|
|
|
|
|
Gruppe erstellen, benennen |
|
|
Nutzer einer Gruppe hinzufügen |
|
|
Nutzer aus einer Gruppe entfernen |
|
|
Gruppe, Gruppenname löschen |
|
|
Gruppe umbenennen |
weitere Kommandos:
|
|
|
|
|
Gruppenmitglieder auflisten |
|
|
in welchen Gruppen ist user? |
|
|
wem gehört die Gruppe? |
|
|
welche Gruppen hat der Nutzer? |
|
|
Informationen zur Gruppe |
Beispiele:
pts creategroup -name czi:viele
pts creategroup czi:wenige
pts adduser -user aaa bbb -group czi:wenige
pts adduser -user aaa bbb czi:wenige (falsch!)
pts adduser ccc czi:viele
pts removeuser bbb czi:wenige
4. Anmeldung und Authentifizierung
Jegliches Arbeiten in der AFS-Verzeichnishierarchie erfordert die Authentifizierung durch den Nutzer, um ihm die mittels ACL's gesetzten Rechte zu erlauben oder nicht zu erlauben.
Ausnahme: system:anyuser
Hier kann ohne AFS-Authentifizierung entsprechend den system:anyuser zugeordneten Rechten
zugegriffen werden!
Authentifizierung geschieht über ein sog. AFS-account, dem ein Passwort zugeordnet ist.
Bei Anmeldung/Authentifizierung wird das zum Nutzerkennzeichen (= AFS-account) gehörige Passwort abgefordert und bei Akzeptierung ein AFS-Token vergeben.
Token/security
- entspricht einer "Fahrkarte" mit befristeter Laufzeit (Standard: 25 Stunden)
- für die Dauer der Token-Existenz sind die entsprechenden Zugriffsrechte gewährt
(nach Ablauf des Tokens somit keine speziellen Zugriffsrechte, dann wie system:anyuser behandelt)- Token-Kontrolle mit Kommando tokens
-
Tokens held by the Cache Manager:
User's (AFS ID 4741) tokens for afs@tu-chemnitz.de [Expires Dec 11 18:36]
--End of list--Tokens held by the Cache Manager:
--End of list-- - falls kein Token existiert, kann es mit dem Kommando klog beschafft werden (Passwort wird abgefragt)
Tip: Falls aktuell modifizierte Daten trotzdem geschrieben werden müßen, dann nach C: oder /tmp speichern. Diese zwischengespeicherten Daten nach Beschaffung eines neuen Tokens dann an die entsprechende Stelle kopieren.- Token existiert für den gesamten Rechner (für den jeweiligen Nutzer)
- es geht kein Passwort im Klartext über das Netz (Nutzung spezieller Verschlüßelungsverfahren)
Notwendig, wenn das Passwort korrupt ist (einer anderen Person bekannt oder "knackbar" oder
nicht merkbar oder ... )
Änderung mit Kommando kpasswd, neues Passwort wird zweimal abgefragt oder
zurückgewiesen
Zu einem Nutzerkennzeichen gehören z.Z. mehrere Passwörter (NIS, AFS, NT).
- Empfehlung
- einheitliches Passwort --> Vereinfachung der Anmeldung und des Verständnisses
Ändern des NIS-Passworts mit Kommando passwd
Achtung, nur an UNIX-Rechner möglich
(spezielle Hinweise für PC's siehe folgende Punkte)
Vereinfachung der Passwortänderung(en) mit WWW-Interface:
https://service.hrz.tu-chemnitz.de/parole/
Änderung aller Passworte ist Standard, jedoch auch getrennt möglich.
Achtung: auf Ausschriften achten
- Anmeldung am UNIX-Rechner durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
-
- lokal (an der Konsole des Rechners)
- remote (von einem anderen Rechner mit speziellen Netzdiensten: telnet, rsh, ssh, ...)
- wenn etwas "nicht läuft, wie es sollte", dann Kontrolle mit Kommandos tokens und id
- Erlangung des Tokens (oder Verlängerung) mit klog
- nach erfolgreicher Anmeldung befinden Sie sich im HOME-Verzeichnis, Kontrolle mit pwd
-
/afs/tu-chemnitz.de/home/urz/c/czi
- Achtung! UNIX-Zugriffsrechte haben nur noch in speziellen Fällen eine Bedeutung, es gelten die einem Verzeichnis zugeordneten AFS-Zugriffsrechte (ACL)
-
siehe Kommando ls:
ls -l file
rwxrwxrwx ....................................................... file
Ausnahme:
- x bzw. rx für ausführbare Files/Kommandos
- rwx für den Eigentümer
--> damit sind die durch AFS_ACLs gewährten Rechte auch wirklich realisierbar
standardmäßig gesetzt, Veränderung mit Kommando chmod möglich
- Für WindowsNT gibt es AFS!
- Authentifizierung gegenüber NT und AFS notwendig
-
Bei Neuanmeldung (neues Nutzerkennzeichen) wird das für NT notwendige Passwort erteiltÄnderung des NT-Passworts im Pool mit WWW-Interface
- nach Erstanmeldung in WindowsNT existiert Ordner PUBLIC\NT
-
dieser enthält weitere Ordner
- Desktop
- Startmenü
- ...
- mit ACL's im AFS arbeiten: 2 Varianten
-
- Fenster für Konsole aufmachen
-
Start --> Programme --> Konsole
dort die bekannten AFS-Kommandos eingeben
- mittels Widows-typischen Mitteln
-
siehe
Arbeitsplatz --> LaufwerkH:-rechte Maustaste/Öffnen --> AFS
- Kontrolle des Tokens
-
Kommando tokens im Konsol-Fenster
oder mit
Nutzung des HOME-Verzeichnisses im URZ (siehe Dienst des URZ: PC-Dienst) über das SMB-Protokoll (vorhanden in WindowsNT, Windows95, Windows 3,11).
- Verfügbarkeit des AFS-HOME-Verzeichnisses auf Laufwerk H
- Authentifizierung erfolgt durch Anmeldung am PC (mit Passwort)
- Token "läuft" auf dem SAMBA-Server
- Token-Erneuerung durch Neuanmelden
Empfehlung! täglich am PC neu anmelden (da Token-Laufzeit 25 h)
- Veränderung der AFS-Zugriffsrechte (ACL's) nur auf UNIX-Rechner möglich
--> telnet zu einem öffentlichen CPU-Server des URZ --> dort Anmeldung mit Nutzerkennzeichen und Passwort, somit im HOME-Verzeichnis ==> dort entsprechende AFS-Kommandos eingeben
Zugriff auf Laufwerk K: (Verzeichnisse anderer) ist nur nach Authentifizierung mit eigenem Nutzerkennzeichen möglich! Also erst richtig anmelden!
Wird mit Gruppen gearbeitet, dann sind für die Gültigkeit der AFS-Gruppenrechte die UNIX-Zugriffsrechte für "andere" nötig; ist für SAMBA-Server realisiert.
Subverzeichnisse:
- PRIVAT
-
Zugriffsrechte (ACL's):
nkz rlidwka
In diesem Verzeichnis stehende Files/Verzeichnisse sind nur für den Eigentümer les- und manipulierbar!
Achtung! Diese Rechte nicht verändern bzw. die Rechte der darin befindlichen Unterverzeichnisse.
- PUBLIC
-
nkz rlidwka
system:anyuser rlIn dieser Verzeichnishierarchie kann jeder lesen!!!
- public_html
-
nkz rlidwka
system:anyuser rlHier kann ebenfalls jeder lesen. Notwendig, da für eigene HTML-Seiten (WWW) bestimmt!
Zugriff auf diesen Verzeichnisinhalt mittels WWW-Browser und URL:
http://www.tu-chemnitz.de/~nkz/xxxx.html
- BACKUP
-
nkz rlidwka
system:anyuser lRechte dieses Verzeichnisses sind nur hinsichlich Lesen von Bedeutung, keine Manipulation möglich; siehe Punkt Datensicherung!
- HOME-Verzeichnis
-
/afs/tu-chemnitz.de/home/urz/c/nkz
oder
H:system:anyuser l
nkz rlidwkaAchtung! Diese Rechte niemals ändern!!! (sonst keine Anmeldung möglich)
- PRIVAT --> sinnvoll für Daten, auf die niemand anders Zugriff haben soll
- PUBLIC --> sinnvoll für "öffentliche" Daten
- HOME-Verzeichnis --> diese neuen Verzeichnisse explizit mit Zugriffsrechten versehen
- public_html --> ...
AFS-Hierarchie an TUCZ
/afs/tu-chemnitz.de/home/urz/n/nkz HOME-Verzeichnis/afs/tu-chemnitz.de/global vorinstallierte Software
/afs/tu-chemnitz.de/ftp ftp_archiv
...
/afs/world andere AFS-zellen
Alle HOME-Verzeichnisse werden zentral gesichert!
Diese Sicherungen können benutzt werden für:
- Wiederherstellen einer gesamten Platte (im Falle eines Platten-crashs)
- Wiederherstellen von Teilen einer Platte
- Wiederherstellen nicht mehr existierender Files
wenn gelöscht (aus Versehen oder irrtümlich)
- über das Verzeichnis BACKUP
hinter BACKUP verbirgt sich ein sog. Backup-Volume
wird werktäglich zwischen 19 und 20 Uhr erstellt
enthält eine "Kopie" des HOME-Verzeichnisses vom Datum der Erstellung
(geht nicht von der quota ab)
nur Lesen möglich --> kopieren möglich
/usr/afsws/etc/vos exa user.nkz.backup zeigt das Erstellungsdatum an
...
Creation Thu Dec 4 19:54:12 1997
...
- auf ältere Sicherungskopien kein online-Zugriff
Bitte an Nutzerservice wenden!
(mit Datum und Uhrzeit der letzten Existenz des wiederherzustellenden Files/Verzeichnisses)
siehe http://www.tu-chemnitz.de/urz/system/backup(zur Zeit sind tägliche Sicherungen der letzten Woche (7 Tage) verfügbar
sowie wöchentliche Sicherungen der letzten 3 Wochen)
Sie erhalten zum Wiederherstellen den Namen eines Verzeichnisses, aus dem die benötigten Files kopiert werden können.
/afs/tu-chemnitz.de/mount/restore/user.nkz/...
11. Besonderheiten, Spezielles
- Wozu werden die Passworte benötigt? (Zusammenfassung)
- rekursives Ändern der ACL's nur an UNIX-Maschine mit dem
Kommando chacl möglich
( /uni/global/bin/chacl ... )
chacl -R -dir PRIVAT -acl system:anyuser noneRekursiv ändern heißt, nicht nur im angegebenen Verzeichnis sondern auch in allen darunter befindlichen Verzeichnissen wird geändert (die Vererbung von ACL's erfolgt nur beim Anlegen eines neuen Verzeichnisses).
- Startup-Files
-
- benötigt für Definition der Nutzerumgebung in UNIX
- wegen Verfügbarkeit beim Anmelden ist spezielle Struktur nötig
- Wiederherstellen mit dem UNIX-Kommando cp_startup , siehe auch hier
- Nutzerumgebung in Windows NT
-
siehe Ordner NT im Verzeichnis PUBLIC
- Größe des HOME-Verzeichnisses
-
fs listquota $HOME
fs lq .
Volume Name Quota Used % Used Partition
user.test 50000 2528 5% 68%
- online verfügbare Unterlagen
-
HTML:
/afs/tu-chemnitz.de/product/afs/3.5/afsdoc/afs_unix_doc/Html/index.htmUNIX-manuals:
man fs_setacl (.z.Z. nur unter Solaris)
man pts_membership
- weitere Informationen zu AFS siehe hier
- Anmeldung am UNIX-Rechner durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
