AFS

Z HelpDesk
Verze z 21. 1. 2010, 14:35, kterou vytvořil Jahec (diskuse | příspěvky) (Stránka AFSstare přemístěna na stránku AFS s výměnou přesměrování)

Souborový systém AFS

AFS je distribuovaný souborový systém, založený na principu klient-server. Umožňuje ukládat data na souborových serverech, které jsou připojeny do lokální nebo i rozlehlé sítě. Soubory jsou uživateli zpřístupněny připojením do standardní UNIXové struktury adresářů, která je nezávislá na pracovní stanici, ze které uživatel do sítě přistupuje. Pro uživatele OrionXP je přístup k souborovému systému AFS takřka transparentní (není rozdíl mezi soubory uloženými na AFS a soubory uloženými na místním disku). Ve standardní instalaci OrionXP ukazují na AFS tři odkazy:

  • Disk H: je váš domácí adresář. Jeho plná cesta v AFS stromu je /afs/zcu.cz/users/<první_písmeno_uživatelského_jména>/<celé_uživatelské_jméno>/home.
  • Disk I:, obsahuje software specifický pro instalaci OrionXP. Odtud se na váš počítač instalují SW balíky a také se odtud spouští programy instalované na síťovém disku.
  • Disk J:, který představuje celý strom AFS dostupný ze ZČU. Lze se odtud dostat nejen do diskového prostoru ZČU, ale i dalších organizací.
  • podadresář public vašeho domácího adresáře je automaticky přístupný pro čtení všem ostatním uživatelům a také přes web (http://home.zcu.cz/~login)

Uživatelé mohou vytvářet i další logické disky ukazující do dalších částí AFS stromu (do projektů, sdílených disků kateder apod.) K jednoduché správě připojených disků slouží program Wake (Wake icon.gif), který byste měli již po spuštění systému vidět v liště vpravo dole (Wake icon2.gif). Podrobnější pokyny pro práci s programem Wake najdete v dokumentaci pro projekt OpenOrionXP.

Organizace systému AFS

AFS umožňuje uložení stejných dat na různých souborových serverech. V případě takovéto duplikace je použita nejdosažitelnější funkční kopie. Tímto způsobem se zvyšuje rychlost a spolehlivost systému.

Přístupy k AFS

K AFS se můžete dostat třemi různými způsoby. V následujících odkazech uvidíte možnosti připojení, nastavení práv, prohlížení uživatelských adresářů aj. v různých klientech.

Windows klient

Webový klient

Linuxový klient

AFS - přístupová práva

V AFS je ke každému adresáři přiřazen ACL (Access Control List, seznam přístupových práv). Jedná se o seznam maximálně 20 položek. Každá položka obsahuje jméno uživatele nebo skupiny a odpovídající práva, která se k položce vztahují. Práva v ACL jsou nadřazena standardním UNIXovým právům (aby mohl uživatel do souboru zapisovat, potřebuje UNIXové právo w (write) i právo write v ACL). UNIXová přístupová práva pro skupinu a ostatní nejsou v AFS využívána! Seznam přístupových práv je v AFS rozšířen. Oproti UNIXu může uživatel vytvářet své vlastní skupiny.

Seznam práv

LOOKUP (l)

Umožňuje vlastníkovi
  • Zobrazení souborů a podadresářů (například příkazem ls). Pro zobrazení obsahu podadresáře je v něm třeba také toto právo.
  • Použití příkazu UNIXu ls -ld.
  • Prohlížení ACL adresáře.
  • Přístup k podadresářům, podadresáře jsou chráněny vlastními ACL.

INSERT (i)

Umožňuje vlastníkovi
  • Přidávat do adresáře nové soubory (vytvořením i kopírováním).
  • Vytvářet nové podadresáře.

DELETE (d)

Umožňuje vlastníkovi
  • Odstraňovat soubory nebo je přesouvat do jiného adresáře. V případě kopírování je nutné mít v cílovém adresáři právo INSERT.
  • Odstraňovat soubory. Je třeba mít současně právo INSERT.

ADMINISTER (a)

Umožňuje vlastníkovi změnu ACL. Uživatel má toto právo pro svůj adresář a jeho podadresáře.

READ (r)

Povoluje číst obsah souborů v adresáři.

WRITE (w)

Umožňuje měnit obsah souborů a měnit jejich UNIXové bity přístupových práv pomocí příkazu chmod.

LOCK (k)

Umožňuje aplikacím zamykat soubory. Některé programy nemusí být v adresáři bez práva LOCK funkční.

Zkratky pro obvyklé kombinace práv

write - všechna práva mimo ADMINISTER (rlidwk)
read - READ a LOOKUP (rl)
all - všechna práva (rlidwka)
none - žádná práva, odstraní položku z ACL

Přehled základních příkazů_AFS

Podrobnější přehled práv a nastavení najde na adrese AFS - Přehled základních příkazů AFS


Výhody při používání AFS

Cache Manager

Pro zvýšení výkonu při práci se soubory je AFS vybaven takzvaným Cache Managerem. Tento program vytváří na lokálním disku kopii souborů, které používáte. Cache Manager provádí aktualizaci jen těch souborů, které se změnily. Na souborový server se data ukládají pouze v případě, že na nich byla provedena nějaká změna a to až v okamžiku uzavření souboru nebo při vyvolání funkce sync. Při souběhu více požadavků na zápis do jednoho souboru je upřednostněn ten požadavek, který získal dříve časové razítko pro tuto operaci. V případě havárie souborového serveru, na kterém pracujete, můžete dále používat soubory, které Cache Manager uložil na lokální disk. Tyto soubory pouze nebudete moci do obnovení činnosti serveru uložit.

Díky tomuto mechanismu je sníženo zatížení sítě i zatížení souborových serverů. Vaše práce může být potenciálním krátkodobým výpadkem počítačové sítě nebo jejím chvilkovým přetížením prakticky neovlivněna. Případné odstávky jednotlivých serverů je možné provádět za provozu, aniž by vaše práce se systémem byla jakkoliv narušena.

Identifikace v systému AFS

Identifikace v systému AFS je řešena jako dvoufázový proces. Nejdříve se musíte přihlásit do systému a prokázat mu tak svou identitu. Potom se autentizujete systému AFS a získáte token, který používá Cache Manager při využívání služeb systému.

Na počítačích v systému Orion (t.j. všechny uživatelské servery a stanice v učebnách) získáte AFS token automaticky po přihlášení.

Trvanlivost tokenů

Každý token má určitou dobu platnosti. Ta může být pro různé uživatele různá, zpravidla je 10 hodin. Po uplynutí doby platnosti je token neplatný a je třeba získat nový. Token je také možné obnovit dříve, než vyprší jeho platnost.

Získání tokenů

Na strojích v systému Orion získáte token příkazem kinit. Tento příkaz autentizuje uživatele službou Kerberos a vyžádá si pro něj AFS token.

Na strojích mimo systém Orion se standardními klienty Kerberos a AFS je potřeba postupovat opět dvoufázově:

  1. kinit (ověření uživatele službou Kerberos5 a získání lísktu - ticket)
  2. aklog (získání AFS tokenu na základě platného Kerberos lístku)


Slovníček pojmů

AFS token - kousek binárních dat s omezenou časovou platností, kterým se prokazujete při přístupu k AFS Abyste mohl(a) pracovat na AFS se svými soubory, musíte mít úplatný token, který získáte po přihlášení a ověření službou Kerberos na základě Kerberos ticketu. O samotný token se nemusíte nijak zvláště starat, je uložen v paměti počítače. Tokeny si můžete vypsat příkazem tokens a ručně je získat příkazem aklog.

Kerberos ticket (lístek) - kousek binárních dat s omezenou časovou platností, který vzikl na základě ověření vaší identity Kerberos lístek obvykle získáte na základě zadání jména a hesla. Kerberos lístkem se prokazujete vůči různým dalším službám, aniž byste musl(a) opětovně zadávat heslo. Jednou z takových služeb je právě služba AFS.

AFS práva Distribuovaný souborový systém AFS používá vlastní systém práv a řízení přístupu k souborům, který víceméně nesouvisí s právy k lokálním souborům v systémech Unix, Linux, Windows nebo Novell - pro nastavování práv na AFS potřebuje jiné programy, například příkaz fs (Unix, Windows) nebo AFS klienta integrovaného do průzkumníka ve Windows.

Pozor, nově vytvořený adresář zdědí práva od svého rodiče, ale při dodatečném přidělení práv k adresáři se tyto automaticky nepromítnou do podadresářů.

AFS skupiny

AFS používá vlastní systém skupin (viz příkaz pts), které opět nijak nesouvisejí s lokálními skupinami ve Windows nebo unixových systémech. Některé skupiny např. v Moiře nebo Active directory mohou být mapovány na AFS skupiny. Smyslem AFS je hlavně možnost vytváření uživatelských skupin (a přidělovat jim práva).

AFS volume (svazek)

Všechna data na AFS jsou organizována v tzv. volumech (svazcích). Každý svazek má jméno, maximální velikost, typ (read only, read-write, backup) a je připojen v definovaném místě AFS stromu. Napříkad domácí adresář každého uživatele je reprezentován jedním AFS volumem. Obdobně každý projekt je rovněž reprezentován AFS svazkem.

AFS fileserver - speciální server, který udržuje AFS volumy. Výhodou je, že že volumy lze trasparentně přesouvat mezi AFS servery (výhodné pro systémovou údržbu; volum může být geograficky blízko k uživateli). Read-only volumy lze navíc replikovat na více AFS serverů a tak zvýšit dostupnut AFS a škálovat jeho výkon.

AFS databázový server - udržuje informace, na kterém AFS fileserveru se nachází jaký svazek,informace o AFS skupinách a pod. AFS databázové servery jsou vícenásobně replikovány

AFS buňka - administrační a organizační jednotka AFS Organizace obvykle používá jednu AFS buňku, v případě ZČU se tato buňka jmenuje zcu.cz (nezaměňujte s Kerberos královstvím ZCU.CZ).