Zugriff auf die Dateien in Ihrem Home-Verzeichnis
Ein Bestandteil aus dem Leistungsumfang eines Students- bzw. Staff-Accounts ist das Home-Verzeichnis, in dem Sie Dateien und Unterverzeichnisse abspeichern können. Auf diese Daten haben Sie dann sowohl aus dem Intranet der Universität als auch aus dem Internet Zugriff. Die Dateien in den Home-Verzeichnissen liegen auf schnellen, redundant ausgelegten Server-Festplatten und werden zusätzlich täglich auf Magnetbänder gesichert. Informationen über den verfügbaren und den belegten Platz in Ihrem Home-Verzeichnis können Sie über ein Webformular (Students / Staff) erhalten. Studierende erhalten ein einheitliches Plattenplatz-Kontingent; Mitarbeiter/innen können bei Bedarf über die HRZ-Benutzerverwaltung ein entsprechendes Kontingent anfordern.
Zugriff in
PC-Sälen des HRZ
Im Intranet der Universität können Sie auf Ihr Home-Verzeichnis über ein Windows-Netzlaufwerk zugreifen. In den PC-Sälen, die vom HRZ unter den Windows-Domänen STUD und STAFF betrieben werden, erscheint Ihr Home-Verzeichnis unter dem Laufwerksbuchstaben H:, hinzu kommt das Laufwerk W: (W wie Web) mit den Dateien für Ihren statischen Web-Space. Grund für die Aufteilung ist die unterschiedliche Voreinstellung für die Zugriffsberechtigungen: Auf die Dateien im Laufwerk W: kann i.a. jeder lesend zugreifen; auf Laufwerk H: haben nur Sie selbst Zugriff.
- Beispiel: Laufwerk H:\ in der Domäne STUD
Aus Sicherheitsgründen werden die einschlägigen Microsoft-Protokolle am Übergang von Uni-Netz (UMRnet) zum Internet blockiert. Daher ist ein entsprechender Zugriff über Windows-Netzlaufwerke aus dem Internet nicht unmittelbar möglich.
Zugriff von zu Hause aus (via
sftp)
Um den Zugriff auf die Home-Verzeichnisse auch aus dem Internet heraus zu ermöglichen, gibt es die Login-Server, die wahlweise unter dem Namen ssh.students.uni-marburg.de oder sftp.students uni-marburg.de (entsprechend für staff) zu erreichen sind. Diese Login-Server stellen die Home-Verzeichnisse über einen verschlüsselten "ssh-Tunnel" via sftp bereit (auch der Zugriff über das unverschlüsselte ftp-Protokoll ist derzeit noch freigeschaltet, sollte aber nach Möglichkeit vermieden werden und wird zukünftig ggf. abgeschafft). Der Zugriff via sftp ist natürlich auch uni-intern möglich. Die Home-Verzeichnisse werden auf den Login-Servern unter dem Verzeichnispfad /home/<Benutzername> bereitgestellt (veraltete, derzeit noch funktionsfähige Alternative: /studi01/<Benutzername> bzw. /mailer01/<Benutzername>).
Unter
Windows z.B. mit FileZilla
Andere Betriebssysteme benötigen meist Zusatz-Software für den Datei-Zugriff via sftp. In den vom HRZ betreuten PC-Sälen ist hierfür das Programm "Secure File Transfer Client" installiert. Seit mehreren Jahren gibt es davon aber keine Version mehr, die für Privatanwender kostenlos erhältlich ist. Deshalb wird dort zusätzlich die quelloffene kostenlose Software FileZilla installiert, die für Windows, OS X, Linux und verschiedene andere Betriebssysteme verfügbar ist. Eine geeignete Konfiguration von FileZilla wird hier kurz beschrieben.
Das Standard-Protokoll von FileZilla ist unverschlüsseltes FTP (über Port 21). Da hierbei auch das Passwort im Klartext übers Netz geht, sollte diese Verbindungsvariante nach Möglichkeit vermieden werden; es ist damit zu rechnen, dass der FTP-Dienst aus Sicherheitsgründen in Zukunft nicht mehr verfügbar sein wird. Um FileZilla zur verschlüsselten Übertragung (über Port 22) zu bewegen, müssen Sie bei der Angabe des Servers (Eingabefeld "Adresse" im Hauptfenster von FileZilla) explizit die Protokollbezeichnung sftp:// voranstellen (also z.B. sftp://sftp.students.uni-marburg.de). Alternativ können Sie unter der Menü-Option "Datei->Server-Verwaltung" ein angepasstes Profil (SFTP über SSH2) zu definieren, hier mit "sftp.students" bezeichnet:
- Konfiguration von FileZilla zum Zugriff auf das
Home-Verzeichnis auf sftp.students
Als Grundlage für die verschlüsselte Datenübertragung übermittelt der Login-Server dem FileZilla Client seinen (public) Hostkey. Die Identität dieses Keys muss beim ersten Verbindungsaufbau bestätigt werden, dazu sollte der ermittelte "Fingerabdruck" überprüft werden. Der Hostkey des Login-Servers kann von FileZilla abgespeichert werden (zu empfehlen). Bei allen folgenden Verbindungen erfolgt dann die Überprüfung automatisch.
- FileZilla zeigt beim ersten Verbindungsaufbau den Fingerabdruck des
Hostkeys zur Bestätigung
Der entsprechende "Fingerabdruck" von ssh.staff.uni-marburg.de
lautet
ssh-rsa 1024
36:f9:39:76:10:75:a8:4f:2a:98:38:49:97:33:b5:34.
Nach gelungenem Verbindungsaufbau können Dateien zwischen der "lokalen Seite" und der "Serverseite" hin- und herkopiert werden:
- Hauptfenster von FileZilla: lokale Dateien und Dateien auf
der Serverseite
Um Passwort-Scans aus dem Internet abzuwehren, verweigern die sftp-Server nach 10 misslungenen Verbindungsversuchen für einen gewissen Zeitraum einen weiteren Verbindungsaufbau zum anfragenden Rechner. Da Filezilla bei einem fehlgeschlagenen Verbindungsaufbau (z.B. wegen eines falschen Passworts) gleich mehrere weitere Verbindungsversuche unternimmt, kommt man bereits nach zwei oder drei Fehlversuchen auf diese schwarze Liste. Danach gelingt kein weiterer Verbindungsaufbau von diesem Rechner aus, selbst wenn nun alle Angaben korrekt sind.
Unterscheidung
zwischen Home-Verzeichnis und Web-Space
Beim Zugang über sftp erscheinen die Dateien für Ihren statischen Web-Space nicht separat von den übrigen Dateien im Home-Verzeichnis, sondern sind in das Unterverzeichnis public_html eingebettet. Die unterschiedlichen Zugangsbeschränkungen werden durch die entsprechenden Datei- bzw. Verzeichnisattribute geregelt.
Der statische Web-Space eignet sich auch zur Weitergabe von Dateien, die sich z.B. wegen Größenbeschränkungen nicht per E-Mail versenden lassen. Durch kryptische Bezeichnung von Verzeichnissen lassen sich hierbei passwort-ähnliche Zugriffsbeschränkungen implementieren. So kann z.B. die Datei public_html/distrib/7djkdQS/Dissertation.pdf weltweit unter der Web-Adresse http://www.staff.uni-marburg.de/~<Benutzername>/distrib/7djkdQS/Dissertation.pdf abgerufen werden (bzw. unter http://www.students.....). Damit das "Passwort" (hier: 7djkdQS) nicht ausgelesen werden kann, darf die Zugriffsberechtigungen des darüberliegenden Verzeichnisses "distrib" keine Auflistung der Verzeichnisinhalte erlauben. Im nachfolgenden Bild sehen Sie, wie die entsprechenden Einstellungen mit Filezilla vorgenommen werden können.
- Einschränkung der Zugriffsrechte um die Auflistung von
Verzeichnisinhalten zu unterbinden, hier mit Filezilla
vorgenommen
Unter Linux z.B.
mit Konqueror oder scp
Der Datei-Manager Konqueror von Linux/KDE interpretiert das Präfix fish:// als Dateizugriff via sftp. Über die Adresse fish://<Benutzername>@sftp.students.uni-marburg.de:/home/<Benutzername> können Sie daher unmittelbar auf Ihre Daten zugreifen.
- Das Home-Verzeichnis im Datei-Manager Konqueror unter
Linux/KDE
Natürlich kann man hierfür unter Linux auch die Kommandozeile nutzen
(z.B. kopiert der Befehl
scp
<Benutzername>@sftp.students.uni-marburg.de:/home/<Benutzername>/Seminararbeit.odt
.
die Datei Seminararbeit.odt in das lokale aktuelle
Verzeichnis) oder das Home-Verzeichnis via SSHFS
in die lokale Verzeichnis-Hierarchie einbinden.
SSH Shell-Login
Wer weiß was er tut, kann seine Daten direkt auf den Login-Servern bearbeiten, dort Kommandos absetzen und Programme starten. Dies erfordert einen "Shell-Zugang" auf die Login-Server. Studierende müssen diesen Zugang vorher explizit freischalten (vgl. Login-Server). Unter Windows ist PuTTY das am häufigsten genutzte Programm für den Shell-Login via SSH.
- Konfiguration von PuTTY für den SSH-Login auf
ssh.students
