HOME-Verzeichnis und AFS

Inhalt:

  1. Was ist ein HOME-Verzeichnis?
  2. AFS
  3. Zugriffsrechte im AFS
  4. Anmeldung und Authentifizierung
  5. AFS an TUC-Rechnern
  6. HOME-Verzeichnishierarchie

1. Was ist ein HOME-Verzeichnis?

HOME-Verzeichnis charakterisiert durch:

  • Eigentum des Nutzers
  • Eineindeutige Zuordnung zum Nutzerkennzeichen
  • Nach Anmelden befindet sich Nutzer in seinem HOME-Verzeichnis
  • Dieses eine HOME-Verzeichnis ist an all den Rechnern verfügbar, an denen das URZ-Nutzerkennzeichen gültig ist!
  • Enthält auch Daten für die Standardumgebung des Nutzers

Notwendige Vorbemerkung:
Die Begriffe VerzeichnisdirectoryOrdner  sind als Synonyme zu betrachten!


2. AFS

2.1 Was ist AFS?

AFS – (Andrew File System)

  • Kein Betriebssystem
  • Distributed file system (verteiltes Filesystem im Rechnernetz)
  • Rechnerübergreifendes Filesystem (Zugriff von mehreren Rechnern aus möglich)
  • Weltweite Verzeichnishierarchie
  • Rechnerunabhängige einheitliche Adressierung von Daten
  • Client-Server-Modell
  • Daten sind auf dem Fileserver gespeichert
  • Zugriff erfolgt von Klienten-Maschine (Daten werden vom Fileserver geholt und lokal gespeichert – cache)

Vorteile

  • (notwendige) Alternative zu NFS
  • Einheitlicher Namensraum in einer weltweiten Filesystemhierarchie (einheitlicher Namensraum über Fakultäten bzw. URZ)
  • Schnellere Zugriffe, Verringerung der Netzlast
  • Verbesserte Zugriffsrechte, individuelle Gruppenbildung
  • Besserer Datenschutz (security)
  • Bessere und einfachere Administration
  • Zuverlässigkeit

Nachteile:

  • Neue Kommandos (allerdings werden nur wenige benötigt)
  • Begrenzte Token-Laufzeit (in puncto security ein Vorteil)
  • Netzabhängigkeit

3. Zugriffsrechte im AFS

3.1 Was sind Zugriffsrechte und welche gibt es?

Definition Zugriffsrechte:   Rechte, die den spezifischen Umgang mit Daten erlauben oder nicht erlauben.

Im AFS werden die Zugriffsrechte je Verzeichnis gesetzt und beziehen sich auf alle darin enthaltenen Files.

Rechte werden auf ein neues Verzeichnis vererbt.

ACL heißt Access Control List und bezeichnet im AFS die Zugriffsrechte.

Spezifische Rechte:

Kürzel Bezeichnung Erläuterung
r read Lesen von Dateien
w write Schreiben in exist. Datei
 d delete Löschen von Dateien
 i  insert  Erzeugen neuer Dateien
 l  lookup  Verzeichnisinhalt anzeigen
 a  administer  Zugriffsrechte ändern
 k  lock/flock  Dateisperre setzen

zusammengefasste Rechte (Mnemo) → Schreibweise vereinfachen:

Mnemo Rechte (Kürzel)
read rl
write rlidwk
 all rlidwka
 none  (alle Rechte entfernen)

3.2 Notwendige AFS-Kommandos

Syntax: kommandogruppe kommando [argumente …]

Achtung! AFS-Kommandos stehen im Verzeichnis /usr/afsws/bin bzw. /usr/afsws/etc

Beispiele:

fs listacl .
fs listquota
fs lq .
fs setacl -h
fs helppts help
pts membership -nameorid czi:friends
pts mem czi:friends
Mögliche Kommandogruppen (kommandogruppe)
  • fs
  • vos
  • pts
  • bos

Hinweis:
kommandogruppe  help → alle Kommandos der kommandogruppe

3.2.1. Rechte der Files eines Verzeichnisses anschauen:

Syntax: fs listacl verzeichnis

Beispiele:

– fs listacl public_html

– fs la verzeichnis

– fs listacl -dir verzeichnis

3.2.2 Rechte (ACL’s) für ein Verzeichnis ändern:

am Beispiel des Verzeichnisses VERZEICHNIS (Kontrolle mit fs la VERZEICHNIS) sowie der Nutzerkennzeichen aaa, bbb, ccc, ddd:

– fs setacl -dir VERZEICHNIS -acl aaa read

– fs sa -dir VERZEICHNIS -acl bbb write -acl ccc read

– fs sa VERZEICHNIS bbb none

– fs setacl -dir VERZEICHNIS -acl ddd lda

3.2.3 Zugriffsrechte für eine Gruppe von Nutzern

Syntax:  pts Kommando

Kommando Bedeutung
creategroup user:groups Gruppe erstellen, benennen
adduser user  group Nutzer einer Gruppe hinzufügen
removeuser user  group Nutzer aus einer Gruppe entfernen
delete  group Gruppe, Gruppenname löschen
rename oldname newname Gruppe, Gruppenname löschen
membership group Gruppenmitglieder auflisten
membership user In welchen Gruppen ist user?
listowned group Wem gehört die Gruppe?
listowned user Welche Gruppen hat der Nutzer?
  examine group Informationen zur Gruppe

Beispiele:

– pts creategroup -name czi:viele

– pts creategroup czi:wenige

– pts adduser -user aaa bbb -group czi:wenige

– pts adduser -user aaa bbb czi:wenige    (falsch!)

– pts adduser ccc czi:viele

pts removeuser bbb czi:wenige


4. Anmeldung und Authentifizierung

Jegliches Arbeiten in der AFS-Verzeichnishierarchie erfordert die Authentifizierung durch den Nutzer, um ihm die mittels ACL’s gesetzten Rechte zu erlauben oder nicht zu erlauben.

Ausnahme: system:anyuser
Hier kann ohne AFS-Authentifizierung entsprechend den system:anyuser zugeordneten Rechten zugegriffen werden!

Authentifizierung geschieht über ein sog. AFS-account, dem ein Passwort zugeordnet ist.

Bei Anmeldung/Authentifizierung wird das zum Nutzerkennzeichen (= AFS-account) gehörige Passwort abgefordert und bei Akzeptierung ein AFS-Token vergeben.

Token/security

  • Entspricht einer „Fahrkarte“ mit befristeter Laufzeit (Standard: 25 Stunden)
  • Für die Dauer der Token-Existenz sind die entsprechenden Zugriffsrechte gewährt (nach Ablauf des Tokens somit keine speziellen Zugriffsrechte, dann wie system:anyuser behandelt)
  • Token-Kontrolle mit Kommando tokens
    • Tokens held by the Cache Manager: User’s (AFS ID 4741) tokens for afs@tu-chemnitz.de [Expires Dec 11 18:36] –End of list–Tokens held by the Cache Manager: –End of list–
  • Falls kein Token existiert, kann es mit dem Kommando klog beschafft werden (Passwort wird abgefragt)
  • Tip: Falls aktuell modifizierte Daten trotzdem geschrieben werden müßen, dann nach C: oder /tmp speichern. Diese zwischengespeicherten Daten nach Beschaffung eines neuen Tokens dann an die entsprechende Stelle kopieren.
  • Token existiert für den gesamten Rechner (für den jeweiligen Nutzer)
  • Es geht kein Passwort im Klartext über das Netz (Nutzung spezieller Verschlüßelungsverfahren)

Passwortänderung

Notwendig, wenn das Passwort korrupt ist (einer anderen Person bekannt oder „knackbar“ oder nicht merkbar oder … ). Änderung mit Kommando kpasswd, neues Passwort wird zweimal abgefragt oder zurückgewiesen.

Zu einem Nutzerkennzeichen gehören z.Z. mehrere Passwörter (NIS, AFS, NT).

Empfehlung:

  • Einheitliches Passwort → Vereinfachung der Anmeldung und des Verständnisses
  • Ändern des NIS-Passworts  mit Kommando passwd
  • Achtung, nur an UNIX-Rechner möglich (spezielle Hinweise für PC’s siehe folgende Punkte)
  • Web-Interface über Nutzerkonto verfügbar https://mouse.hrz.tu-chemnitz.de/user/
  • Änderung aller Passworte ist Standard, jedoch auch getrennt möglich.

5. AFS an TUC-Rechnern

5.1 Anmeldung am UNIX-Rechner (Scientific Linux)

  • Anmeldung am UNIX-Rechner durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
  • Home-Verzeichnis ist bspw.: /afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/Nkz
  • Die Kontrolle des Home-Verzeichnis kann mit pwd nach erfolgreicher Anmeldung erfolgen
  • Bei Anmeldung über ssh an „entfernten“ Rechnern befinden Sie sich immer im Home-Verzeichnis

Hinweis:
UNIX-Zugriffsrechte haben nur noch in speziellen Fällen eine Bedeutung, es gelten die einem Verzeichnis zugeordneten AFS-Zugriffsrechte (ACL)

 5.2 Anmeldung an Windows-Rechner (virtuell/real)

  • Anmeldung am Windows durch Eingabe von Nutzerkennzeichen und (richtigem) Passwort
  • Ordner „Eigene Dateien“ entspricht Windows-Home-Verzeichnis
  • AFS-Home-Verzeichnis (/afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/Nkz) ist separat eingebunden (Laufwerk H:)
  • Andere Ordner im Filesystem werden dem Rechner, nicht  dem Nutzer zugeordnet
    • Dateien können nicht mehr zugewiesen werden nach Abmeldung, da nicht sichergestellt werden kann, dass der Nutzer den selben Rechner wieder bekommt (hauptsächlich für virtuelle Maschinen)

 

6. HOME-Verzeichnishierarchie

PRIVAT

  • Zugriffsrechte: nkz    rlidwka
  • In diesem Verzeichnis stehende Files/Verzeichnisse sind nur für den Eigentümer les- und manipulierbar!
    Achtung! Diese Rechte nicht verändern bzw. die Rechte der darin befindlichen Unterverzeichnisse.

PUBLIC

  • Zugriffsrechte: nkz    rlidwka
    system:anyuser  rl
  • In dieser Verzeichnishierarchie kann jeder lesen!!!

public_html

  • Zugriffrechte: nkz    rlidwka
    system:anyuser  rl
  • Hier kann ebenfalls jeder lesen. Notwendig, da für eigene HTML-Seiten (WWW) bestimmt!
  • Zugriff auf diesen Verzeichnisinhalt mittels WWW-Browser und URL: http://www.tu-chemnitz.de/~nkz/xxxx.html

BACKUP

  • nkz    rlidwka
    system:anyuser  l
  • Rechte dieses Verzeichnisses sind nur hinsichlich Lesen von Bedeutung, keine Manipulation möglich
  • Backup wird täglich durchgeführt
  • Daten können bei Verlusten vom Vortrag bzw. der Vorwoche wieder hergestellt werden

 

HOME-Verzeichnis

  • /afs/tu-chemnitz.de/home/urz/ersterBuchstabeNkz/nkz oder H:system:anyuser  l
    nkz   rlidwka
  • Achtung! Diese Rechte niemals ändern!!! (sonst keine Anmeldung möglich)

Verzeichnisse entsprechend Filezugriffe anlegen, entweder in

  • PRIVAT → sinnvoll für Daten, auf die niemand anders Zugriff haben soll
  • PUBLIC  →  sinnvoll für „öffentliche“ Daten
  • HOME-Verzeichnis → diese neuen Verzeichnisse explizit mit Zugriffsrechten versehen
  • public_html →  Zugriff über Web (bspw. HTML Seiten)

 

Getagged mit: , ,
Veröffentlicht in HowTo, Speicher

Schreibe einen Kommentar