TU Berlin

IT-Service-CenterFAQs AFS

"das Wort tubIT in roter Schrift auf weißem Grund"

Inhalt des Dokuments

zur Navigation

FAQs AFS

Häufig gestellte Fragen zur Benutzung von AFS.

Allg.: Sicherheit

Das AFS bietet den Nutzern eine geschützte Privatsphäre, die nur denen Zugriff auf die Daten gewährt, die dafür autorisiert sind. Dafür verwendet es das Anmeldeverfahren namens Kerberos, das sicherstellt, dass nur der angemeldete Benutzer auf die für ihn/sie relevante Daten zugreifen kann.

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server. Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets = Token (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt).

Um ein gültiges Token zu erhalten, muss der Nutzer des Clients sein tubIT-Nutzer-Passwort eingeben. Ist die Authentifizierung erfolgreich, so bekommt der Benutzer ein gültiges, nur für eine begrenzte Zeit gültiges Ticket, also den Zugang auf den AFS-Dateiserver. Nach Ablauf dieser Zeit muss ein neues Token geholt werden, wobei eine erneute Authentifizierung durch die Passworteingabe erforderlich ist.

Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit. Weitere Informationen zu Kerberos finden Sie unter (wikipedia).

Allg.: AFS-Technik

Was genau ist AFS?

Eine Möglichkeit, um Daten auf ein Speichermedium (Festplatte, CD-ROM oder USB-Stick) zu speichern,  sie in einer hierarchischen, baumartigen Struktur aus Haupt- und Unterverzeichnissen zu gliedern (Dateibaum).

AFS ist ein "weltweiter" Dateibaum, der aus Teilbäumen einzelner Universitäten, Firmen und anderer Institutionen aufgebaut ist. Auch die persönlichen Daten der tubIT-Nutzer sind als Unterverzeichnisse hier zu finden.

Diese Benutzerdaten liegen nicht mehr auf der lokalen Festplatte eines Rechners, sondern auf einem AFS-Dateiserver. Dadurch hat der Benutzer von jedem Rechner, der dafür „vorbereitet“ wurde, Zugriff auf seine persönlichen Daten.

Der Dateizugriff ist für den jeweiligen Benutzer völlig transparent, d. h. man merkt nichts von der Aktivität auf dem Netzwerk. Alle Operationen werden genauso ausgeführt, als ob die Daten auf der lokalen Festplatte gehalten würden.

Weitere Informationen zum AFS(wikipedia).

Allg.: Funktionsweise AFS

Das AFS arbeitet nach dem Client-Server-Prinzip. Alle Dateien werden auf einem oder mehreren Dateiservern bereitgestellt.

Um Zugriff auf diese Daten zu bekommen, wird ein AFS-Client benötigt, eine Software, die auf gängigen Rechnern installiert werden kann. Erst dadurch kann der Client sich die erlaubten Informationen und Daten von diesen Servern holen.

Eine Anzahl von Servern, die zusammen ein einziges Dateisystem darstellen, heißt AFS-Zelle. Die AFS-Zelle der TU-Berlin trägt den Namen "TU-BERLIN.DE".

Betreut und gepflegt wird diese Zelle von den AFS-Administratoren. Diese tragen innerhalb der Zelle die autorisierten Benutzer ein, die Zugriff auf die Datenbereiche der Dateiserver haben dürfen.

Das Hauptverzeichnis des AFS-Baumes heißt "afs". Daran haben wir den TU-Teilbaum TU-BERLIN.DE „eingehängt“, so dass das Verzeichnis "afs/TU-BERLIN.DE" entstanden ist.

Wenn ein Rechner durch die Installation des AFS-Client Zugang zum Hauptverzeichnis "afs/TU-BERLIN.DE" hat, so kann er auch auf dessen Unterverzeichnisse zugreifen.

Die Home-Verzeichnisse der tubIT-Nutzer wurden als Unterverzeichnisse an diesem Baum angehängt.

Der Pfad zum Home-Verzeichnis ist folgendermaßen aufgebaut:

\afs\tu-berlin.de\home\“1._Buchstabe_des_Benutzernames“\“Benutzername“

Allg.: Kerberos Technik

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server.

Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets = Token (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt).

Um ein gültiges Token zu erhalten, muss der Nutzer des Clients sein tubIT-Nutzer-Passwort eingeben. Ist die Authentifizierung erfolgreich, so bekommt der Benutzer ein gültiges, nur für eine begrenzte Zeit gültiges Ticket, also den Zugang auf den AFS-Dateiserver.

Nach Ablauf dieser Zeit muss ein neues Token geholt werden, wobei eine erneute Authentifizierung durch die Passworteingabe erforderlich ist.

Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit.

Weitere Informationen zu Kerberos finden Sie hier.

OpenAFS: Freischaltung Firewall/Ports

In der Firewall müssen folgende Ports freigeschaltet sein

  • Kerberos:
    • Port 88 tcp/udp ausgehend
    • Port 4444 tcp/udp ausgehend
  • AFS:
    • Ports 7000-7009 tcp/udp ein- und ausgehend
   

OpenAFS: Richtige Systemzeit

Damit Kerberos korrekt funktioniert, muss die Uhrzeit Ihres Rechners bis auf 5 Minuten stimmen. Damit Sie sich nicht immer wieder selbst darum kümmern müssen, sollten Sie Ihren Rechner automatisch gegen einen Zeitserver synchronisieren (z.B. times.tubit.tu-berlin.de).

OpenAFS: Linux & ReiserFS

OpenAFS für Linux benutzt einen Cache Manager, der mit ReiserFS-Partitionen nicht umgehen kann. Wenn Sie nur eine ReiserFS-Partition benutzen, müssen Sie eine neue ext3-Partition erstellen, dort die Ordner afs und afscache anlegen und dann in der cache-info Datei im Ordner /etc/openafs/ die Pfadangaben ändern.

OpenAFS: Vista & Windows-Domäne

Mit MS Vista (32 und 64 Bit) gibt es Probleme, sollte sich der Rechner in einer Windows-Domäne befinden und die Profildaten oder Anwendungsdaten vom AFS bezogen werden. An einer Lösung wird gearbeitet.

OpenAFS: Vista 64-Bit Systeme

Bitte Installieren Sie die x64-Versionen der Kerberos- und AFS-Tools von den entsprechenden Webseiten.

OpenAFS: VPN-Verbindungen

Eine VPN-Verbindung zu tubIT ist nicht erforderlich und wird deshalb nicht empfohlen.

OpenAFS: Status des OpenAFS-Dienstes

Lupe

Um zu überprüfen, ob Ihre Anfrage nach einem AFS-Ticket akzeptiert wurde, schauen Sie bitte rechts unten in die Taskleiste und suchen Sie nach einem Schloß-Symbol. 

Navigation

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe