Zentraleinrichtung Campusmanagement

Andrew File System (AFS)

Kurzbeschreibung

Mit dem Andrew File System (AFS) der ZECM können TU-Einrichtungen digitale Arbeitsmaterialien gezielt TU-Angehörigen verfügbar machen. Mit entsprechenden AFS-Rechten können z.B. TU-Beschäftigte den Online-Speicherplatz der eigenen Einrichtung für die Ablage bzw. den Zugriff auf Dokumente, Bild- und sonstige Dateien von jedem Rechner aus nutzen.

Dienstekategorie

Zielgruppen

Status

Langbeschreibung

Allgemeines

Das Andrew File System (AFS) ist ein verteiltes Netzwerkdateisystem, mit dem TU-Einrichtungen ganz gezielt Daten definierten Gruppen oder Personen verfügbar machen können. Dazu setzt die ZECM Techniken von AFS, Kerberos und SAN ein: AFS stellt das Zugriffsverfahren auf Ihre Daten bereit, Kerberos sorgt für die Sicherheit der Anmeldung am AFS  zum Schutz gegen unautorisierten Zugang zu relevanten Daten. Das SAN (Storage Area Network) stellt schließlich den physikalischen Plattenplatz zur Verfügung, auf dem Daten und Dateien abgelegt werden.

Alle TU-Einrichtungen bekommen ein Verzeichnis im AFS für eigene Daten zur Verfügung gestellt. Dort finden sie auch einen Ordnerbereich (www) für die eigenen konventionellen Webauftritte, die im Rahmen des Webhostingangebotes durch die Einrichtungen beantragt und von der ZECM freigeschatet wurden. 

Zugang

Verbindung via

  • OpenAFS - Zugriff mit dem OpenAFS-Client (Windows, Linux, OS X)
  • sFTP - Zugriff durch einen sFTP-Client. (Windows, Linux, OS X) auf sshgate.tu-berlin.de
  • SSH - Zugriff über eine SSH-Verbindung. (Windows, Linux, OS X) auf sshgate.tu-berlin.de

Zu beachten

  • Die ZECM ist im Prozess, AFS durch tubFS zu ersetzen.
  • Die Home-Verzeichnisse auf AFS-Basis werden ab 1. März 2023 nicht mehr angeboten.

Voraussetzungen

  • TUB-Account
  • OpenAFS-, sFTP- oder SSH-Client
  • für den jeweiligen Pfad/Mountpoint des Datenspeichers einer TU-Einrichtung wird der OrgName der Einrichtung verwendet, weshalb dieser Voraussetzung ist

Anleitungen

Häufig gestellte Fragen

Wie sicher sind meine Daten bei AFS?

Das AFS bietet Ihnen eine geschützte Privatsphäre, die nur autorisierten Personen Zugriff auf die Daten gewährt. Dafür verwendet es das Anmeldeverfahren namens Kerberos, das nur angemeldete Benutzer auf ihre Daten zugreifen lässt. Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit.

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server. Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt).

Um ein gültiges Token zu erhalten, geben Sie Ihr TUB-Account-Passwort ein. Ist die Authentifizierung erfolgreich, bekommen Sie ein gültiges, nur für eine begrenzte Zeit gültiges Ticket für den Zugang auf den AFS-Dateiserver. Nach Ablauf dieser Zeit müssen Sie ein neues Token erhalten, indem Sie sich erneut durch die Passworteingabe authentifizieren.

Was ist AFS?

AFS dient dazu Daten auf ein Speichermedium zu speichern und sie in einer hierarchischen, baumartigen Struktur aus Haupt- und Unterverzeichnissen zu gliedern.

AFS ist ein "weltweiter" Dateibaum, der aus Teilbäumen einzelner Universitäten, Firmen und anderer Institutionen aufgebaut ist. Auch die persönlichen Daten der Nutzer sind als Unterverzeichnisse hier zu finden. Diese Benutzerdaten liegen nicht auf der lokalen Festplatte eines Rechners, sondern auf einem AFS-Dateiserver. Dadurch hat der Benutzer von jedem Rechner, der dafür „vorbereitet“ wurde, Zugriff auf seine persönlichen Daten.

Der Dateizugriff ist für Sie völlig transparent. Alle Operationen werden genauso ausgeführt, als ob die Daten auf der lokalen Festplatte gehalten würden.

Wie funktioniert AFS?

AFS arbeitet nach dem Client-Server-Prinzip. Alle Dateien werden auf einem oder mehreren Dateiservern bereitgestellt. Um Zugriff auf diese Daten zu bekommen, benötigen Sie einen AFS-Client. Erst mit dem Client können Sie die erlaubten Informationen und Daten von diesen Servern holen.

Eine Anzahl von Servern, die zusammen ein einziges Dateisystem darstellen, heißt AFS-Zelle. Die AFS-Zelle der TU-Berlin trägt den Namen "TU-BERLIN.DE".

Betreut und gepflegt wird diese Zelle von den AFS-Administratoren. Diese tragen innerhalb der Zelle die autorisierten Benutzer ein, die Zugriff auf die Datenbereiche der Dateiserver haben dürfen.

Das Hauptverzeichnis des AFS-Baumes heißt "afs". Daran haben wir den TU-Teilbaum TU-BERLIN.DE „eingehängt“, so dass das Verzeichnis "afs/TU-BERLIN.DE" entstanden ist.

Wenn ein Rechner durch die Installation des AFS-Client Zugang zum Hauptverzeichnis "afs/TU-BERLIN.DE" hat, kann er auch auf dessen Unterverzeichnisse zugreifen. Die Home-Verzeichnisse der Nutzer*innen werden als Unterverzeichnisse an diesem Baum angehängt.

Der Pfad zum Home-Verzeichnis ist folgendermaßen aufgebaut:

\afs\tu-berlin.de\home\“1._Buchstabe_des_Benutzernames“\“Benutzername“

Wie ist Kerberos aufgebaut?

Bei Kerberos sind drei Parteien beteiligt: Der Client, der Server, den der Client nutzen will, und der Kerberos-Server.

Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität.

Zur Authentifizierung verwendet Kerberos sog. Tickets (Zugangsberechtigung für eine AFS-Zelle; wird beim Login für ca. 10 Stunden erteilt). Um ein gültiges Token zu erhalten, Müssen Sie Ihr TUB-Account-Passwort eingeben. Ist die Authentifizierung erfolgreich, so bekommen Sie ein gültiges, nur für eine begrenzte Zeit gültiges Ticket, also den Zugang auf den AFS-Dateiserver. Nach Ablauf dieser Zeit müssen Sie ein neues Token holen, indem Sie sich durch die Passworteingabe erneut authentifizieren.

Die gesamte Kommunikation zwischen AFS-Client, AFS-Server und Kerberos erfolgt zu jedem Zeitpunkt verschlüsselt und bietet deshalb hohe Sicherheit.

Kann ich versehentlich gelöschte Dateien wiederherstellen?

Die ZECM erstellt jeden Tag eine Kopie von Ihrem Home-Verzeichnis. Dieser so genannte Snapshot befindet sich in Ihrem Home-Verzeichnis im Ordner "snapshot".

Bei einem Snapshot handelt es sich um eine Kopie des gesamten Homelaufwerks zum Zeitpunkt der Erstellung. Aus diesem Ordner können Sie die gesuchte Datei in Ihr Home-Verzeichnis kopieren.

Müssen Firewall-Ports freigeschaltet werden, um AFS nutzen zu können?

  • Kerberos:
    • Port 88 tcp/udp ausgehend
    • Port 4444 tcp/udp ausgehend
  • AFS:
    • Ports 7000-7009 tcp/udp ein- und ausgehend

Mein AFS funktioniert nicht korrekt, obwohl der Client installiert und konfiguriert ist. Woran kann das liegen?

Damit Kerberos korrekt funktioniert, muss die Uhrzeit Ihres Rechners bis auf 5 Minuten stimmen. Damit Sie sich nicht immer wieder selbst darum kümmern müssen, sollten Sie Ihren Rechner automatisch gegen einen Zeitserver synchronisieren.

Ich nutze auf meinen Linux-Rechner ReiserFS und habe Probleme mit AFS. Was kann ich tun?

OpenAFS für Linux benutzt einen Cache Manager, der nicht mit ReiserFS-Partitionen umgehen kann. Wenn Sie eine ReiserFS-Partition benutzen, müssen Sie eine neue ext3-Partition erstellen, dort die Ordner afs und afscache anlegen und dann in der cache-info Datei im Ordner /etc/openafs/ die Pfadangaben ändern.

Was soll ich beachten, wenn ich ein 64-Bit-Windows nutze?

Bitte Installieren Sie die x64-Versionen der Kerberos- und AFS-Tools von den entsprechenden Webseiten.

Brauche ich eine VPN-Verbindung, um AFS zu nutzen?

Die Verbindung via OpenAFS-Client funktioniet nur aus dem TU-Netz. Arbeiten Sie also nicht vor Ort, müssen Sie sich per VPN einwählen.

Wie binde ich AFS-Laufwerke unter Windows als Netzlaufwerk ein?

Seit der Version 1.5.66 von OpenAFS ist die Zuweisung von Laufwerksbuchstaben über den OpenAFS-Client nicht mehr möglich. Stattdessen verbindet man das Laufwerk über Windows "Netzlaufwerk verbinden".

  • Schritt 1:
    Gehen Sie dafür in Ihrem Datei-Browser auf:
    Computer ("Rechtsklick") -> "Netzlaufwerk verbinden" (Windows Vista und 7/8)
    bzw.  Dieser PC -> obere Schaltfläche "Computer" -> "Netzlaufwerk verbinden" (Windows 10).
  • Schritt 2:
    Geben Sie in dem Feld "Ordner" den AFS-Pfad (\\afs\tu-berlin.de\home\<1. Buchstabe TUB-Account>\<TUB-Account>) an. Dann klicken Sie auf "Fertigstellen" und das Laufwerk erscheint unter "Netzlaufwerke".

Windows 8 Nutzer folgen den Anweisungen und benutzen den obigen Pfad. Abschließend ist der Dialog zu bestätigen.

Wie kann ich prüfen, ob ich eine funktionierende AFS-Konfiguration habe?

Um zu überprüfen, ob Ihre Anfrage nach einem AFS-Ticket akzeptiert wurde, schauen Sie bitte rechts unten in die Taskleiste und suchen Sie nach einem Schloß-Symbol. 

Unser Standort

Kontakt

Raum E-N 024
Adresse Einsteinufer 17
10587 Berlin
HotlineMo-Fr 09-16 Uhr
IT-Service-DeskMo-Fr 10-16 Uhr
IT-Service-Desk-RaumE-N 024