Inhalt:
- Was ist ein HOME-Verzeichnis?
- AFS
- Zugriffsrechte im AFS
- Anmeldung und Authentifizierung
- AFS an TUC-Rechnern
- HOME-Verzeichnishierarchie
1. Was ist ein HOME-Verzeichnis?
HOME-Verzeichnis charakterisiert durch:
- Eigentum des Nutzers
- Eineindeutige Zuordnung zum Nutzerkennzeichen
- Nach Anmelden befindet sich Nutzer in seinem HOME-Verzeichnis
- Dieses eine HOME-Verzeichnis ist an all den Rechnern verfügbar, an denen das URZ-Nutzerkennzeichen gültig ist!
- Enthält auch Daten für die Standardumgebung des Nutzers
Notwendige Vorbemerkung:
Die Begriffe Verzeichnis – directory – Ordner sind als Synonyme zu betrachten!
2. AFS
2.1 Was ist AFS?
AFS – (Andrew File System)
- Kein Betriebssystem
- Distributed file system (verteiltes Filesystem im Rechnernetz)
- Rechnerübergreifendes Filesystem (Zugriff von mehreren Rechnern aus möglich)
- Weltweite Verzeichnishierarchie
- Rechnerunabhängige einheitliche Adressierung von Daten
- Client-Server-Modell
- Daten sind auf dem Fileserver gespeichert
- Zugriff erfolgt von Klienten-Maschine (Daten werden vom Fileserver geholt und lokal gespeichert – cache)
Vorteile
- (notwendige) Alternative zu NFS
- Einheitlicher Namensraum in einer weltweiten Filesystemhierarchie (einheitlicher Namensraum über Fakultäten bzw. URZ)
- Schnellere Zugriffe, Verringerung der Netzlast
- Verbesserte Zugriffsrechte, individuelle Gruppenbildung
- Besserer Datenschutz (security)
- Bessere und einfachere Administration
- Zuverlässigkeit
Nachteile:
- Neue Kommandos (allerdings werden nur wenige benötigt)
- Begrenzte Token-Laufzeit (in puncto security ein Vorteil)
- Netzabhängigkeit
3. Zugriffsrechte im AFS
3.1 Was sind Zugriffsrechte und welche gibt es?
Definition Zugriffsrechte: Rechte, die den spezifischen Umgang mit Daten erlauben oder nicht erlauben.
Im AFS werden die Zugriffsrechte je Verzeichnis gesetzt und beziehen sich auf alle darin enthaltenen Files.
Rechte werden auf ein neues Verzeichnis vererbt.
ACL heißt Access Control List und bezeichnet im AFS die Zugriffsrechte.
Spezifische Rechte:
Kürzel | Bezeichnung | Erläuterung |
---|---|---|
r | read | Lesen von Dateien |
w | write | Schreiben in exist. Datei |
d | delete | Löschen von Dateien |
i | insert | Erzeugen neuer Dateien |
l | lookup | Verzeichnisinhalt anzeigen |
a | administer | Zugriffsrechte ändern |
k | lock/flock | Dateisperre setzen |
zusammengefasste Rechte (Mnemo) → Schreibweise vereinfachen:
Mnemo | Rechte (Kürzel) |
---|---|
read | rl |
write | rlidwk |
all | rlidwka |
none | (alle Rechte entfernen) |
3.2 Notwendige AFS-Kommandos
Syntax: kommandogruppe kommando [argumente …]
Achtung! AFS-Kommandos stehen im Verzeichnis /usr/afsws/bin bzw. /usr/afsws/etc
Beispiele:
fs listquota
fs lq .
fs setacl -h
fs helppts help
pts membership -nameorid czi:friends
pts mem czi:friends
- fs
- vos
- pts
- bos
Hinweis:
kommandogruppe help → alle Kommandos der kommandogruppe
3.2.1. Rechte der Files eines Verzeichnisses anschauen:
Syntax: fs listacl verzeichnis
Beispiele:
– fs listacl public_html
– fs la verzeichnis
– fs listacl -dir verzeichnis
3.2.2 Rechte (ACL’s) für ein Verzeichnis ändern:
am Beispiel des Verzeichnisses VERZEICHNIS (Kontrolle mit fs la VERZEICHNIS) sowie der Nutzerkennzeichen aaa, bbb, ccc, ddd:
– fs setacl -dir VERZEICHNIS -acl aaa read
– fs sa -dir VERZEICHNIS -acl bbb write -acl ccc read
– fs sa VERZEICHNIS bbb none
– fs setacl -dir VERZEICHNIS -acl ddd lda
3.2.3 Zugriffsrechte für eine Gruppe von Nutzern
Syntax: pts Kommando
Kommando | Bedeutung |
---|---|
creategroup user:groups | Gruppe erstellen, benennen |
adduser user group | Nutzer einer Gruppe hinzufügen |
removeuser user group | Nutzer aus einer Gruppe entfernen |
delete group | Gruppe, Gruppenname löschen |
rename oldname newname | Gruppe, Gruppenname löschen |
membership group | Gruppenmitglieder auflisten |
membership user | In welchen Gruppen ist user? |
listowned group | Wem gehört die Gruppe? |
listowned user | Welche Gruppen hat der Nutzer? |
examine group | Informationen zur Gruppe |
Beispiele:
– pts creategroup -name czi:viele
– pts creategroup czi:wenige
– pts adduser -user aaa bbb -group czi:wenige
– pts adduser -user aaa bbb czi:wenige (falsch!)
– pts adduser ccc czi:viele
– pts removeuser bbb czi:wenige
4. Anmeldung und Authentifizierung
Jegliches Arbeiten in der AFS-Verzeichnishierarchie erfordert die Authentifizierung durch den Nutzer, um ihm die mittels ACL’s gesetzten Rechte zu erlauben oder nicht zu erlauben.
Ausnahme: system:anyuser
Hier kann ohne AFS-Authentifizierung entsprechend den system:anyuser zugeordneten Rechten zugegriffen werden!
Authentifizierung geschieht über ein sog. AFS-account, dem ein Passwort zugeordnet ist.
Bei Anmeldung/Authentifizierung wird das zum Nutzerkennzeichen (= AFS-account) gehörige Passwort abgefordert und bei Akzeptierung ein AFS-Token vergeben.
Token/security
- Entspricht einer „Fahrkarte“ mit befristeter Laufzeit (Standard: 25 Stunden)
- Für die Dauer der Token-Existenz sind die entsprechenden Zugriffsrechte gewährt (nach Ablauf des Tokens somit keine speziellen Zugriffsrechte, dann wie system:anyuser behandelt)
- Token-Kontrolle mit Kommando tokens
- Tokens held by the Cache Manager: User’s (AFS ID 4741) tokens for afs@tu-chemnitz.de [Expires Dec 11 18:36] –End of list–Tokens held by the Cache Manager: –End of list–
- Falls kein Token existiert, kann es mit dem Kommando klog beschafft werden (Passwort wird abgefragt)
- Tip: Falls aktuell modifizierte Daten trotzdem geschrieben werden müßen, dann nach C: oder /tmp speichern. Diese zwischengespeicherten Daten nach Beschaffung eines neuen Tokens dann an die entsprechende Stelle kopieren.
- Token existiert für den gesamten Rechner (für den jeweiligen Nutzer)
- Es geht kein Passwort im Klartext über das Netz (Nutzung spezieller Verschlüßelungsverfahren)
Passwortänderung
Notwendig, wenn das Passwort korrupt ist (einer anderen Person bekannt oder „knackbar“ oder nicht merkbar oder … ). Änderung mit Kommando kpasswd, neues Passwort wird zweimal abgefragt oder zurückgewiesen.
Zu einem Nutzerkennzeichen gehören z.Z. mehrere Passwörter (NIS, AFS, NT).
Empfehlung:
- Einheitliches Passwort → Vereinfachung der Anmeldung und des Verständnisses
- Ändern des NIS-Passworts mit Kommando passwd
- Achtung, nur an UNIX-Rechner möglich (spezielle Hinweise für PC’s siehe folgende Punkte)
- Web-Interface über Nutzerkonto verfügbar https://mouse.hrz.tu-chemnitz.de/user/
- Änderung aller Passworte ist Standard, jedoch auch getrennt möglich.
5. AFS an TUC-Rechnern
5.1 Anmeldung am UNIX-Rechner (Scientific Linux)
- Anmeldung am UNIX-Rechner durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
- Home-Verzeichnis ist bspw.: /afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/Nkz
- Die Kontrolle des Home-Verzeichnis kann mit pwd nach erfolgreicher Anmeldung erfolgen
- Bei Anmeldung über ssh an „entfernten“ Rechnern befinden Sie sich immer im Home-Verzeichnis
Hinweis:
UNIX-Zugriffsrechte haben nur noch in speziellen Fällen eine Bedeutung, es gelten die einem Verzeichnis zugeordneten AFS-Zugriffsrechte (ACL)
5.2 Anmeldung an Windows-Rechner (virtuell/real)
- Anmeldung am Windows durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
- Ordner „Eigene Dateien“ entspricht Windows-Home-Verzeichnis
- AFS-Home-Verzeichnis (/afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/Nkz) ist separat eingebunden (Laufwerk H:)
- Andere Ordner im Filesystem werden dem Rechner, nicht dem Nutzer zugeordnet
- Dateien können nicht mehr zugewiesen werden nach Abmeldung, da nicht sichergestellt werden kann, dass der Nutzer den selben Rechner wieder bekommt (hauptsächlich für virtuelle Maschinen)
6. HOME-Verzeichnishierarchie
PRIVAT
- Zugriffsrechte: nkz rlidwka
- In diesem Verzeichnis stehende Files/Verzeichnisse sind nur für den Eigentümer les- und manipulierbar!
Achtung! Diese Rechte nicht verändern bzw. die Rechte der darin befindlichen Unterverzeichnisse.
PUBLIC
- Zugriffsrechte: nkz rlidwka
system:anyuser rl - In dieser Verzeichnishierarchie kann jeder lesen!!!
public_html
- Zugriffrechte: nkz rlidwka
system:anyuser rl - Hier kann ebenfalls jeder lesen. Notwendig, da für eigene HTML-Seiten (WWW) bestimmt!
- Zugriff auf diesen Verzeichnisinhalt mittels WWW-Browser und URL: http://www.tu-chemnitz.de/~nkz/xxxx.html
BACKUP
- nkz rlidwka
system:anyuser l - Rechte dieses Verzeichnisses sind nur hinsichlich Lesen von Bedeutung, keine Manipulation möglich
- Backup wird täglich durchgeführt
- Daten können bei Verlusten vom Vortrag bzw. der Vorwoche wieder hergestellt werden
HOME-Verzeichnis
- /afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/nkz oder H:system:anyuser l
nkz rlidwka - Achtung! Diese Rechte niemals ändern!!! (sonst keine Anmeldung möglich)
Verzeichnisse entsprechend Filezugriffe anlegen, entweder in
- PRIVAT → sinnvoll für Daten, auf die niemand anders Zugriff haben soll
- PUBLIC → sinnvoll für „öffentliche“ Daten
- HOME-Verzeichnis → diese neuen Verzeichnisse explizit mit Zugriffsrechten versehen
- public_html → Zugriff über Web (bspw. HTML Seiten)
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.