Con la migrazione ad afs dell'utenza unix viene modificata la modalita' di "affiliazione" di una utenza ad un gruppo. In particolare l'appartenenza o meno di un utente ad un gruppo non e' solo identificata dalla presenza o meno della relativa username nel database nis dei gruppi, ma anche dal fatto che questa username faccia parte del relativo gruppo afs. Attualmente sono stati definiti 2 principali insiemi di gruppi: 1) group:2) wgroup: Il primo per limitare o concedere l'accesso alle aree afs condivise dal gruppo, il secondo per concedere l'accesso alle aree web di gruppo. E' importante notare che questi gruppi, quando usati per creare delle acl, possono necessariamente agire solo su directory che appartengono al sotto albero /afs/lnf.infn.it/ mentre l'accesso alle aree non afs e' condizionato dai permessi unix classici attribuiti tramite nis (ovvero i soli dischi locali o i file system esportati via nfs). Oltre ai due insiemi precedenti sono stati definiti altri due insiemi di gruppi per l'amministrazione: 1a) group:_ 2a) wgroup:_ L'insieme di gruppi 1a contiene il nome della username (unixafs) autorizzata a modificare il contenuto dei gruppi dell'insieme 1, analogamente l'inseme 2a contiene la o le username (unixafs) autorizzate a modificare il contenuto dei gruppi dell'insieme 2. Questa struttura permette di demandare la gestione sulle acl afs direttamente ai responsabili di account (e anche al webmaster per i gruppi di tipo wgroup), senza che sia necessario un intervento dell'amministratore della cella lnf.infn.it. La modifica e il controllo delle membership nei gruppi afs e' possibile da qualsiasi macchina unix collegata in internet e con un client afs, mentre la verifica e modifica delle acl e' possibile anche da PC con Windows 95/98/NT (da verificare Win2K) con client afs (Transarc per NT e freeware per gli altri). Prossimamente la gestione dei gruppi verra' resa disponibile anche su web tramite protocollo sicuro https. I principali comandi che permettono la gestione dei gruppi sono i seguenti: - pts membership - pts adduser - pts removeuser Il comando "pts membership" permette di controllare gli appartenenti al gruppo, quindi, per esempio: % pts membership group:calcolo elenchera' le username che appartengono al gruppo calcolo. Per aggiungere una nuova username denominata zrossi al gruppo calcolo sara' sufficiente il comando: % pts adduser zrossi group:calcolo Infine per togliere l'utente zverdi sempre dal gruppo calcolo si usera' il comando: % pts removeuser zverdi group:calcolo E' possibile controllare se si e' autorizzati a modificare la lista di un gruppo, ad esempio direz, verificando che la propria username sia inclusa nel relativo gruppo di amministrazione tramite: % pts membership group:_direz Analogamente per le aree web si puo' usare il comando: % pts membership wgroup:_direz I principali comandi che permettono la gestione delle acl sono: - fs.afs listacl ... - fs.afs setacl ... Tramite il primo si puo' verificare le acl associate ad una o piu' directory, quindi il comando: % fs.afs listacl /afs/lnf.infn.it/project/www/calcolo mostrera' le acl relative alla area web del gruppo calcolo, che potranno essere modificate tramite il comando: % fs.afs setacl /afs/lnf.infn.it/project/www/calcolo wgroup:calcolo all Per maggiori indicazioni per l'uso di tali comandi si rimanda alle pagine web dei laboratori, in particolare: http://www/lnf.infn.it/computing/afs http://www/lnf.infn.it/computing/afs/doc http://www.lnf.infn.it/computing/migration.html Nota: fs.afs e' un link che punta ad /usr/afsws/bin/fs, si e' usato tale artificio per evitare confusioni con l'omonimo comando fs utilizzato per attivare i font server; nei manuali, comunque, si trovera' riferimento solo al nome originale fs. E' da ricordare anche che alcune acl non vanno mai modificate o rimosse, pena il mancato funzionamento di alcuni servizi, ad esempio le aree web devono sempre avere una acl del tipo "lnf:www rl" per permetterne la lettura da parte dei web server centrali, cosi' come il backup puo' non essere eseguito se manca la acl "lnf:backup rl". Tutto quello finora descritto permette di rendere immediatamente operative su afs le modifiche eseguite dai responsabili di account relativamente la appartenenza o meno al gruppo che gestiscono. Queste variazioni non si ripercuotono automaticamente e immediatamente invece sui diritti distribuiti con i database nis. Al momento e' in test uno script che "ri-sincronizza" il database nis con quanto definito in afs ogni tot ore (probabilmente 3 volte al giorno alle 9:00, alle 15:00 e alle 21:00). L'unica operazione non prevista e' l'eliminazione dei diritti nis del gruppo primario di un utente; per esempio, togliendo la username angius dal gruppo group:calcolo viene immediatamente impedito l'accesso alle area protette con acl group:calcolo alla username angius, ma se questa username ha il gruppo calcolo come gruppo principale nis verranno mantenuti i diritti nis per tale gruppo (in questo caso per eliminare ogni diritto occorre un mail ad AFSUsers.Support@lnf.infn.it). Infine e' possibile sapere per quali gruppi la propria username e' autorizzata alla gestione tramite il comando "getadminfo" disponibile sulle macchine unix gestite dal calcolo. Commenti o domande riguardanti la gestione di afs possono essere spediti via email all'indirizzo: AFSUsers.Support@lnf.infn.it.
Please report trouble on using AFS via email at the following address: AFSUsers.Support@lnf.infn.it