Andrew File System (AFS)

Das AFS bietet Ihnen eine geschützte Privatsphäre, die nur autorisierten Personen Zugriff auf die Daten gewährt. Dafür verwendet es das Anmeldeverfahren namens Kerberos, das nur angemeldete Benutzer auf ihre Daten zugreifen lässt. Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit.

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server. Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt).

Um ein gültiges Token zu erhalten, geben Sie Ihr TUB-Account-Passwort ein. Ist die Authentifizierung erfolgreich, bekommen Sie ein gültiges, nur für eine begrenzte Zeit gültiges Ticket für den Zugang auf den AFS-Dateiserver. Nach Ablauf dieser Zeit müssen Sie ein neues Token erhalten, indem Sie sich erneut durch die Passworteingabe authentifizieren.

AFS dient dazu Daten auf ein Speichermedium zu speichern und sie in einer hierarchischen, baumartigen Struktur aus Haupt- und Unterverzeichnissen zu gliedern.

AFS ist ein "weltweiter" Dateibaum, der aus Teilbäumen einzelner Universitäten, Firmen und anderer Institutionen aufgebaut ist. Auch die persönlichen Daten der Nutzer sind als Unterverzeichnisse hier zu finden. Diese Benutzerdaten liegen nicht auf der lokalen Festplatte eines Rechners, sondern auf einem AFS-Dateiserver. Dadurch hat der Benutzer von jedem Rechner, der dafür „vorbereitet“ wurde, Zugriff auf seine persönlichen Daten.

Der Dateizugriff ist für Sie völlig transparent. Alle Operationen werden genauso ausgeführt, als ob die Daten auf der lokalen Festplatte gehalten würden.

AFS arbeitet nach dem Client-Server-Prinzip. Alle Dateien werden auf einem oder mehreren Dateiservern bereitgestellt. Um Zugriff auf diese Daten zu bekommen, benötigen Sie einen AFS-Client. Erst mit dem Client können Sie die erlaubten Informationen und Daten von diesen Servern holen.

Eine Anzahl von Servern, die zusammen ein einziges Dateisystem darstellen, heißt AFS-Zelle. Die AFS-Zelle der TU-Berlin trägt den Namen "TU-BERLIN.DE".

Betreut und gepflegt wird diese Zelle von den AFS-Administratoren. Diese tragen innerhalb der Zelle die autorisierten Benutzer ein, die Zugriff auf die Datenbereiche der Dateiserver haben dürfen.

Das Hauptverzeichnis des AFS-Baumes heißt "afs". Daran haben wir den TU-Teilbaum TU-BERLIN.DE „eingehängt“, so dass das Verzeichnis "afs/TU-BERLIN.DE" entstanden ist.

Wenn ein Rechner durch die Installation des AFS-Client Zugang zum Hauptverzeichnis "afs/TU-BERLIN.DE" hat, kann er auch auf dessen Unterverzeichnisse zugreifen. Die Home-Verzeichnisse der Nutzer*innen werden als Unterverzeichnisse an diesem Baum angehängt.

Der Pfad zum Home-Verzeichnis ist folgendermaßen aufgebaut:

\afs\tu-berlin.de\home\“1._Buchstabe_des_Benutzernames“\“Benutzername“

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server.

Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt). Um ein gültiges Token zu erhalten, Müssen Sie Ihr TUB-Account-Passwort eingeben. Ist die Authentifizierung erfolgreich, so bekommen Sie ein gültiges, nur für eine begrenzte Zeit gültiges Ticket, also den Zugang auf den AFS-Dateiserver. Nach Ablauf dieser Zeit müssen Sie ein neues Token holen, indem Sie sich durch die Passworteingabe erneut authentifizieren.

Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit.

Die ZECM erstellt jeden Tag eine Kopie von Ihrem Home-Verzeichnis. Dieser so genannte Snapshot befindet sich in Ihrem Home-Verzeichnis im Ordner "snapshot".

Bei einem Snapshot handelt es sich um eine Kopie des gesamten Homelaufwerks zum Zeitpunkt der Erstellung. Aus diesem Ordner können Sie die gesuchte Datei in Ihr Home-Verzeichnis kopieren.

• Kerberos:
  • Port 88 tcp/udp ausgehend
  • Port 4444 tcp/udp ausgehend
• AFS:
  • Ports 7000-7009 tcp/udp ein- und ausgehend

Damit Kerberos korrekt funktioniert, muss die Uhrzeit Ihres Rechners bis auf 5 Minuten stimmen. Damit Sie sich nicht immer wieder selbst darum kümmern müssen, sollten Sie Ihren Rechner automatisch gegen einen Zeitserver synchronisieren.

OpenAFS für Linux benutzt einen Cache Manager, der nicht mit ReiserFS-Partitionen umgehen kann. Wenn Sie eine ReiserFS-Partition benutzen, müssen Sie eine neue ext3-Partition erstellen, dort die Ordner afs und afscache anlegen und dann in der cache-info Datei im Ordner /etc/openafs/ die Pfadangaben ändern.

Bitte Installieren Sie die x64-Versionen der Kerberos- und AFS-Tools von den entsprechenden Webseiten.

Die Verbindung via OpenAFS-Client funktioniet nur aus dem TU-Netz. Arbeiten Sie also nicht vor Ort, müssen Sie sich per VPN einwählen.

Seit der Version 1.5.66 von OpenAFS ist die Zuweisung von Laufwerksbuchstaben über den OpenAFS-Client nicht mehr möglich. Stattdessen verbindet man das Laufwerk über Windows "Netzlaufwerk verbinden".

• Schritt 1:
  Gehen Sie dafür in Ihrem Datei-Browser auf:
  Computer ("Rechtsklick") -> "Netzlaufwerk verbinden" (Windows Vista und 7/8)
  bzw.  Dieser PC -> obere Schaltfläche "Computer" -> "Netzlaufwerk verbinden" (Windows 10).
• Schritt 2:
  Geben Sie in dem Feld "Ordner" den AFS-Pfad (\\afs\tu-berlin.de\home\<1. Buchstabe TUB-Account>\<TUB-Account>) an. Dann klicken Sie auf "Fertigstellen" und das Laufwerk erscheint unter "Netzlaufwerke".

Windows 8 Nutzer folgen den Anweisungen und benutzen den obigen Pfad. Abschließend ist der Dialog zu bestätigen.

Um zu überprüfen, ob Ihre Anfrage nach einem AFS-Ticket akzeptiert wurde, schauen Sie bitte rechts unten in die Taskleiste und suchen Sie nach einem Schloß-Symbol.