«JUL DEC SEP » 11 2008 2009 2011 » 4 captures 24 Feb 09 - 3 Sep 11

Close Help

AFS (Andrew File System) je globální filesystém, který je společný pro všechny počítače na Internetu (mají-li AFS nainstalován).

V praxi to znamená, ža na všech AFS-počítačích umožňuje tento systém sdílet fily - vidíte přesně stejné adresáře a soubory - ať jste v Praze, v CERNu, v DESY, nebo kdekoliv jinde.

• Struktura adresářů

AFS má tuto strukturu:
/afs/<cela>/<lokální adresa souboru>,
kde kořenovým adresářem je /afs, <cela> je například cern.ch , desy.de , fnal.gov , in2p3.fr (organisace, které mají nainstalován AFS server).

Například CERNSký $HOME pro uživatele, který ma id hrivnac je /afs/cern.ch/user/h/hrivnac. Jednotlivé cely mají zaveden systém kvot. Defaultově je každému uživateli přiděleno 50 MB. Při překročení kvoty je uživatel upozorněn, ale práce ostatních uživatelů není ohrožena.

---

• Cache

Na každém počítači, který má nainstalováno AFS, byla vytvořena cache. Kdykoliv použijete nějaký soubor z AFS, je překopírován do lokální cache a při druhém použití již není přetahován po síti ale je čten lokálně. Pokud se provede změna některé kopie souboru, systém zabezpečí, aby byla tato změna provedena na všech ostatních kopiích (v okamžiku, kdy jsou příště použité).

Tímto způsobem je zabezpečena zároveň rychlost použití vzdálených souborů a jejich koherentnost na různých místech.

---

• ACL, Kerberos

Protože AFS je celosvětový filesystém, nemůže spoléhat na standardní Unixovskou ochranu souboru (chmod). Uživatelů je prostě příliš mnoho.

V AFS nejsou chráněny jednotlivé soubory, ale celé adresáře. Všechny podadresáře přejímají přístupová práva mateřského adresáře. Pro skutečné dosažení systémů a filů se používá ACL (Access Control List). Každý uživatel si můze zadefinovat, kteří další uživatelé mají jaká přístupová práva k jednotlivým adresářům. Správa ACL se provádí příkazem fs:

fs help - vypíše příkazy
fs listacl - zobrazení parametrů
fs setacl - nastavení parametrů
acl - X11-interface, na HP je dosažitelný ťuknutím pravého tlačítka myší na příslušný adresář ve File Manageru.

Také standardní Unixovský způsob autorizace je zdokonalen. AFS používá systém Kerberos. Ten autorizuje uživatele lokálně. Mezi serverem a klientem je po zavolání příkazu klog vydán token, který umožňuje přístup k datům uživatele a při práci v síti pak posílá pouze tento token a nikdy heslo. Z bezpečnostních důvodu token vyprší po 25 hodinách. Obnovuje se příkazem klog.

Naše počítače jsou klientem CERNu. Při zalogování na jinou celu je třeba tuto celu definovat.
Příklad pro zalogování do DESY:


klog -cell desy.de

Příkaz tokens vypíše, kdy token vyprší, příkaz unlog ruší token.

---

Instalace v Praze

AFS počítače sekce jsou klienty AFS serveru v CERN, cela je cern.ch.. AFS je nainstalován na všech sekčních linuxových stanicích a na sun4.

Nastavují se nové env-proměnné:
$PHOME - $HOME v Praze
$CHOME - $HOME v CERNu (pokud existuje)
$DHOME - $HOME v DESYu (pokud existuje)

• CERN AFS
• CERN AFS User's Guide