Instalacja programu Account Management

Transkrypt

Informacje prawne
Firma Novell, Inc. nie bierze na siebie żadnej odpowiedzialności za treść i sposób korzystania z tej dokumentacji,
w szczególności zaś nie udziela żadnych (pisemnych albo domniemanych) gwarancji dotyczących wartości
rynkowej dokumentacji lub jej przydatności do określonych celów. Co więcej, firma Novell, Inc. zastrzega sobie
prawo do korekty i zmian w treści niniejszej publikacji, w dowolnym czasie i bez obowiązku powiadamiania o tym
fakcie jakichkolwiek osób bądź instytucji.
Ponadto firma Novell, Inc. zrzeka się odpowiedzialności za oprogramowanie, a w szczególności nie udziela
żadnych (pisemnych albo domniemanych) gwarancji dotyczących wartości rynkowej produktu lub jego
przydatności do określonych celów. Firma Novell, Inc. zastrzega sobie również prawo do wprowadzenia zmian
w każdej z osobna lub we wszystkich częściach oprogramowania Novell w dowolnym czasie i bez obowiązku
powiadamiania o tym fakcie jakichkolwiek osób bądź instytucji.
Eksportowanie niniejszego produktu z USA lub Kanady może wymagać specjalnego pozwolenia Departamentu
Handlu Stanów Zjednoczonych.
Copyright © 1993-2000, Novell, Inc. Wszelkie prawa zastrzeżone. Powielanie lub przekazywanie niniejszego
dokumentu w jakiejkolwiek formie, w całości lub w części, wymaga uprzedniej pisemnej zgody wydawcy.
Numery patentów w USA: 5,608,903; 5,671,414; 5,677,851; 5,758,344; 5,784,560; 5,794,232; 5,818,936;
5,832,275; 5,832,483; 5,832,487; 5,870,739; 5,873,079; 5,878,415; 5,884,304; 5,913,025; 5,919,257; 5,933,826.
Patenty w USA i innych krajach.
Novell, Inc.
1800 South Novell Place
Provo, UT 84606
U.S.A.
www.novell.com
Account Management - Podręcznik administratora
Wrzesień 2000
104-001329-001
Dokumentacja elektroniczna: Dokumentacja elektroniczna dla tego produktu oraz innych produktów firmy
Novell, a także aktualizacje produktów są dostępne w Internecie pod adresem:
www.novell.com/documentation
Znaki towarowe firmy Novell
ConsoleOne jest znakiem towarowym firmy Novell, Inc.
eDirectory jest znakiem towarowym firmy Novell, Inc.
NDS jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych krajów.
NDS Manager jest znakiem towarowym firmy Novell, Inc.
NetWare jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych
krajów.
Novell jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych
krajów.
Novell Client jest znakiem towarowym firmy Novell, Inc.
Novell Directory Services jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów
Zjednoczonych i innych krajów.
Znaki towarowe innych firm
Wszystkie inne znaki handlowe są własnością odpowiednich firm.
Spis treści
1
Account Management
7
Instalacja
9
Minimalne wymagania systemowe . . . . . . . . . . . . . . . . . . . . . . . . .
Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalacja programu Account Management . . . . . . . . . . . . . . . . . . . .
Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Linux lub Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfiguracja programu Account Management w systemach Linux lub Solaris.
Konfigurowanie mechanizmu jednorazowej rejestracji
(Single Sign-on, SSO) w systemach Linux i Solaris . . . . . . . . . . .
Odinstalowanie Account Management . . . . . . . . . . . . . . . . . . . . . . .
Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Linux i Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 9
. 9
10
10
11
11
12
14
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
16
18
18
20
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Zarządzanie domenami Windows NT
Podstawa działania Account Management . . . . . . . . . . . .
Nowe cechy . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zarządzanie buforowaniem domeny . . . . . . . . . . . . . .
Logowanie zdarzeń . . . . . . . . . . . . . . . . . . . . . . .
Administracja domenami . . . . . . . . . . . . . . . . . . . .
Informacje o wybieraniu . . . . . . . . . . . . . . . . . . . .
Zmiana hasła anonimowego . . . . . . . . . . . . . . . . . .
Obsługa filtrów hasła . . . . . . . . . . . . . . . . . . . . . .
Zarządzanie kontami Windows NT. . . . . . . . . . . . . . . . .
Tworzenie nowej grupy lokalnej . . . . . . . . . . . . . . . .
Tworzenie nowej grupy globalnej. . . . . . . . . . . . . . . .
Tworzenie nowego obiektu stacji roboczej . . . . . . . . . . .
Dodawanie użytkownika NDS do domeny NT . . . . . . . . .
Dodawanie użytkownika NDS do grupy lokalnej lub globalnej .
Usuwanie użytkownika NDS z domeny NT. . . . . . . . . . .
Usuwanie użytkownika NDS z grupy lokalnej lub globalnej . .
Ustawianie podstawowej grupy użytkownika . . . . . . . . . .
Identyfikacja . . . . . . . . . . . . . . . . . . . . . . . . . .
Włączanie ustawień poprawiania wydajności . . . . . . . . .
Korzystanie z narzędzi NT . . . . . . . . . . . . . . . . . . .
Używanie Replica Advisor . . . . . . . . . . . . . . . . . . .
Zarządzanie zabezpieczeniami w Windows NT . . . . . . . . . .
Synchronizacja haseł użytkownika NDS oraz NT . . . . . . .
Ustawianie opcji wykrywania intruzów . . . . . . . . . . . . .
23
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Spis treści
23
25
26
26
27
27
28
29
29
30
30
31
31
32
34
34
35
36
37
38
39
40
42
42
5
3
Zarządzanie kontami w systemach Linux i Solaris
Zasady zarządzania kontami w oparciu o NDS w systemach Linux i Solaris . . .
Zasada działania składników Account Management . . . . . . . . . . . . .
Zasada działania zabezpieczeń Account Management . . . . . . . . . . . .
Zgodność Account Management ze specyfikacją RFC 2307 . . . . . . . . .
Zasada działania mechanizmu jednorazowej rejestracji
(Single Sign-on) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Przydziały i prawa dysponenta dla obiektów Account Management. . . . . .
Przenoszenie kont użytkowników/grup do NDS . . . . . . . . . . . . . . . . . .
Przygotowanie do migracji . . . . . . . . . . . . . . . . . . . . . . . . . . .
Przenoszenie kont . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uaktywnienie i weryfikacja przeniesionych kont . . . . . . . . . . . . . . . .
Usuwanie przeniesionych kont . . . . . . . . . . . . . . . . . . . . . . . .
Zarządzanie uwierzytelnianiem, kontami i hasłami . . . . . . . . . . . . . .
Przenoszenie kont użytkowników i grup UNIX do NDS . . . . . . . . . . . . . .
Konfiguracja narzędzia migracyjnego unix2nds . . . . . . . . . . . . . . . .
Korzystanie z narzędzia unix2nds . . . . . . . . . . . . . . . . . . . . . . .
Przenoszenie grup UNIX do NDS . . . . . . . . . . . . . . . . . . . . . . .
Przenoszenie użytkowników UNIX do NDS . . . . . . . . . . . . . . . . . .
Przenoszenie haseł UNIX do NDS . . . . . . . . . . . . . . . . . . . . . .
Zarządzanie kontami użytkowników i grup UNIX . . . . . . . . . . . . . . . . .
Tworzenie obiektów grup, szablonów i użytkowników UNIX . . . . . . . . .
Przypisywanie atrybutów UNIX dla obiektów grup, szablonów i użytkowników
Przeglądanie szczegółowych informacji o obiekcie konfiguracji UNIX. . . . .
Modyfikacja obiektu stacji roboczej UNIX . . . . . . . . . . . . . . . . . . .
Optymalizacja programu Account Management . . . . . . . . . . . . . . . . .
Korzystanie z demona pamięci podręcznej nds_uamcd . . . . . . . . . . . .
Pamięć podręczna dla najczęściej występujących żądań usług nazewniczych
Usuwanie problemów związanych z programem Account Management
w systemach Linux i Solaris . . . . . . . . . . . . . . . . . . . . . . . . .
Przeniesieni użytkownicy nie mogą się zalogować . . . . . . . . . . . . . .
Sprawdzanie, czy działa uwierzytelnianie NDS . . . . . . . . . . . . . . . .
Użytkownik posiadający uprawnienia równoważne użytkownikowi Root
nie może zmieniać haseł innych użytkowników . . . . . . . . . . . . .
Użytkownik nie może się zalogować. . . . . . . . . . . . . . . . . . . . . .
Nie są dostępne informacje ważności hasła użytkownika . . . . . . . . . . .
6
Podręcznik administracji
43
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
43
44
45
45
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
46
47
48
48
52
54
55
56
58
59
61
63
63
64
64
64
66
69
69
70
70
71
. . . . . . . .
. . . . . . . .
. . . . . . . .
72
72
73
. . . . . . . .
. . . . . . . .
. . . . . . . .
73
74
75
Account Management
Account Management jest aplikacją współpracującą z usługami
katalogowymi, która upraszcza i ujednolica zarządzanie profilami
użytkowników w sieciach Windows* NT*, Solaris* i Linux*. Wykorzystuje
skalowalność, narzędzia oraz możliwości rozbudowy NDS® eDirectoryTM,
dodając możliwości pełnej integracji. Account Management pozwala na
wyeliminowanie wielu utrudnień związanych z administrowaniem siecią
wieloplatformową, przy jednoczesnym zapewnieniu kompatybilności.
Niniejszy podręcznik zawiera informacje na temat instalacji, konfiguracji oraz
zarządzania programem Account Management w sieciowych systemach
operacyjnych Windows NT, Solaris i Linux.
Account Management
7
8
1
Instalacja
W tej części opisano proces instalacji programu Account Management
w systemach Windows* NT*, Solaris* i Linux*.
Minimalne wymagania systemowe
Account Management może pracować pod kontrolą następujących systemów
operacyjnych:
! “Windows NT” na stronie 9
! “Linux” na stronie 10
! “Solaris” na stronie 10
Windows NT
" Windows NT Server 4.0 z Service Pack 4 lub nowszy oraz przypisany
adres IP.
" Komputer Pentium* 200 z 64 MB RAM i monitor kolorowy pracujący
w palecie więcej niż 16 kolorów.
" Uprawnienia administratora do serwera NT oraz wszystkich części
drzewa NDS zawierających obiekty użytkowników aktywnych
w domenie. Aby możliwa była instalacja w istniejącym drzewie,
konieczne będą uprawnienia administratora do obiektu drzewa, w celu
rozszerzenia schematu.
" Obsługiwana wersja NetWare®, tylko przy pracy w mieszanym
środowisku NetWare/NT (NetWare 5 z najnowszym pakietem
Support Pack).
Instalacja
9
! Serwer NetWare 4.11/4.2 z Support Pack 8a lub nowszym z NDS
w wersji 6.09b lub nowszej.
! Serwer NetWare 5 z Support Pack 5 lub nowszym z NDS w wersji
7.45 lub nowszej (wcześniejsze wersje beta nie będą funkcjonowały
poprawnie).
! NetWare 5.1 z Support Pack 1 lub nowszym z NDS w wersji 8.60 lub
nowszej.
" Stacje robocze obsługujące Novell® Client dla Windows 95 wersja 3.0
lub nowsza lub Novell Client dla Windows NT wersja 4.71 lub nowsza.
Linux
" Red Hat 6.1 lub nowszy, Laser Linux Suse lub Open Linux z przypisanym
adresem IP.
" Komputer Pentium 200 z 64 MB pamięci RAM.
" Dostęp użytkownika root (super-użytkownika) do komputera Linux. Aby
możliwa była instalacja w istniejącym drzewie, konieczne będą
uprawnienia administratora do obiektu drzewa, w celu rozszerzenia
schematu.
" Stacje robocze z programem Novell® Client dla Windows 95 wersja 3.0
Solaris
" Solaris 2.6, 2.7 lub 8 z przypisanym adresem IP.
" Komputer Pentium 200 z 64 MB pamięci RAM.
" Dostęp użytkownika root (super-użytkownika) do komputera Solaris.
Aby możliwa była instalacja w istniejącym drzewie, konieczne będą
uprawnienia administratora do obiektu drzewa, w celu rozszerzenia
schematu.
" Stacje robocze z programem Novell® Client dla Windows 95 wersja 3.0
10
Instalacja programu Account Management
Program Account Management można zainstalować na następujących
platformach systemowych:
! “Linux lub Solaris” na stronie 12
Windows NT
1 Zaloguj się na serwer NT jako administrator lub użytkownik
z uprawnieniami administratora.
2 Uruchom program SETUP.EXE z dysku CD-ROM Account Management
lub pobranego pliku.
3 Wybierz jedną z następujących opcji (poszczególne składniki można
instalować oddzielnie lub równocześnie):
!
Integracja domen Windows NT z NDS
Instaluje składniki programu Account Management i uruchamia
kreatora obiektów domen, który przeprowadza migrację istniejących
domen NT do NDS. Patrz “Integracja domen Windows NT z NDS”
na stronie 11, aby uzyskać więcej informacji na ten temat.
!
ConsoleOne
Instaluje ConsoleOneTM 1.2d. ConsoleOne może wykonać wszystkie
zadania uprzednio wykonane w programie NetWare Administrator
oraz NDS ManagerTM. Patrz “Instalacja programu ConsoleOne” na
stronie 12, aby uzyskać więcej informacji na ten temat.
Integracja domen Windows NT z NDS
Account Management instaluje najnowszą wersję programu Novell Client
(jeśli jest to konieczne) oraz składniki programu Account Management.
Po ponownym uruchomieniu serwera wykonaj poniższe czynności - najpierw
na głównym kontrolerze domeny, a następnie na wszystkich zapasowych
kontrolerach domeny.
1 Zaloguj się do drzewa NDS jako użytkownik Admin lub posiadający
równorzędne uprawnienia.
Instalacja
11
2 Zaloguj się do domeny, używając tego samego konta użytkownika, co
podczas instalacji programu Account Management. Krok 1 na stronie 11.
3 Uruchomiony zostanie Kreator obiektów domen. Postępuj zgodnie
z poleceniami wyświetlanymi na ekranie.
Użytkowników domeny NT można przenosić do NDS lub kojarzyć
istniejących użytkowników NDS z użytkownikami domeny NT.
Po zakończeniu pracy kreatora obiektów domen nastąpi ponowne
uruchomienie serwera NT.
Instalacja programu ConsoleOne
1 Postępuj zgodnie z instrukcjami wyświetlanymi przez kreatora instalacji.
Program ConsoleOne 1.2d zostanie zainstalowany jako narzędzie
zarządzania, ponadto zostanie utworzony udział o nazwie SYS: na
serwerze NT.
Aktualizacja programu
Przed uruchomieniem pliku SETUP.EXE w celu instalacji programu Account
Management 2.1 wykonaj następujące czynności:
1 Uruchom plik WNDSSCH.EXE znajdujący sie w katalogu \NT\DI na
dysku CD.
2 Kliknij Otwórz.
3 Wybierz NDS4NT21.SCH.
4 Kliknij Gotowe.
Uruchom plik SETUP.EXE z dysku CD-ROM Account Management.
Linux lub Solaris
1 Uruchom narzędzie nds-install.
2 Wybierz opcję instalacji składnika Account Management.
Program instalacyjny rozpocznie dodawanie pakietu Account
Management i skojarzonych z nim składników.
3 Wprowadź następujące parametry konfiguracyjne w pliku ndscfg.inp:
!
12
Nazwa (wraz z pełnym kontekstem) użytkownika posiadającego
uprawnienia administratora do obiektu drzewa
!
Nazwa drzewa
!
Kontekst stacji roboczej UNIX*
!
Kontekst katalogu głównego partycji, na której zostanie
zainstalowany program Account Management
4 Aby utworzyć partycję (jeśli partycja nie istnieje), wybierz opcję Tak
obok parametru Utwórz partycję.
5 Zapisz informacje i zamknij okno edytora.
6 Na żądanie wprowadź hasło użytkownika posiadającego uprawnienia
administratora.
Po pomyślnym zainstalowaniu programu Account Management zainicjowane
zostaną następujące demony:
! slpuasa
Demon agenta usług i użytkowników SLP
! nds_uamcd
Demon pamięci podręcznej Account Management
! nds_ssod
Demon jednorazowej rejestracji w NDS (Single Sign-on, SSO) dla
systemu Linux i Solaris
! nds_identd
Demon tożsamości NDS dla operacji SSO
Na komputer macierzysty kopiowane są następujące pliki konfiguracyjne:
! /etc/nds.conf
Plik konfiguracyjny NDS.
! /etc/slp.conf
Plik konfiguracyjny SLP.
! /etc/pam.d.nds/
Katalog zawierający pliki przykładowe, ilustrujące uaktywnianie
uwierzytelniania NDS dla wszystkich usług w systemach Linux.
! /etc/pam.conf.nds:
Plik przykładowy, ilustrujący uaktywnianie uwierzytelniania NDS
w systemach Solaris.
Instalacja
13
Konfiguracja programu Account Management w systemach Linux
lub Solaris
Program Account Management można skonfigurować za pomocą narzędzia
ndscfg lub uamconfig. Konfiguracja jest niezbędna, jeśli zaniecha się
konfiguracji w trakcie instalacji, lub z jakiegoś powodu konfiguracja
zakończy się niepowodzeniem. Aby skonfigurować program Account
Management po instalacji, należy użyć narzędzia uamconfig.
! Aby skonfigurować składnik Account Management w sposób
interakcyjny, należy wprowadzić następujące polecenie:
ndscfg -install -m uam
! Aby usunąć informacje dotyczące programu Account Management,
należy wprowadzić następujące polecenie:
ndscfg -uninstall -m uam
! Aby skonfigurować program Account Management, należy użyć
polecenia o następującej składni:
uamconfig -C [-f plik_konfiguracyjny] {-s lista_wartości
| -v lista_parametrów | -V | -h lista_parametrów | - H}
Korzystanie z narzędzia uamconfig
Narzędzie uamconfig służy do dodawania, usuwania i konfigurowania
programu Account Management. W poniższych punktach opisano czynności,
które można wykonać za pomocą tego narzędzia.
! “Dodawanie programu Account Management” na stronie 14
! “Usuwanie programu Account Management” na stronie 15
! “Konfigurowanie programu Account Management” na stronie 15
Dodawanie programu Account Management
Aby zainstalować program Account Management na określonej stacji
roboczej, należy użyć polecenia o następującej składni:
uamconfig add -a nazwa_administratora [-t nazwa_drzewa] -r
katalog_główny_partycji -w konteks_stacji_roboczej [-o] [-c]
[-p preferowany_serwer_uam]
14
Usuwanie programu Account Management
Aby usunąć składnik Account Management, należy użyć polecenia
o następującej składni:
uamconfig remove -a nazwa_administratora
Konfigurowanie programu Account Management
Aby skonfigurować program Account Management, należy użyć polecenia
o następującej składni:
uamconfig -C [-f plik_konfiguracyjny] {-s lista_wartości | v lista_parametrów | -V | -h lista_parametrów | -H}]
Parametr
Opis
C
Zmienia parametry konfiguracyjne programu
Account Management.
-t nazwa_drzewa
Nazwa drzewa, do którego ma być dodany program
Account Management. Jeśli nie zostanie podana
nazwa drzewa, narzędzie uamconfig odczyta ją
z parametru n4u.nds.tree-name, określonego w pliku
etc/nds.conf.
-w
kontekst_stacji_roboczej
Określa kontekst, w którym utworzony zostanie
obiekt stacji roboczej.
-a nazwa_administratora
Nazwa wyróżniająca obiektu użytkownika
posiadającego uprawnienia nadzorcy do kontekstu,
w którym tworzone są obiekty Account Management.
-p
preferowany_serwer_ua
m
Określa preferowany serwer NDS w drzewie,
w ramach którego skonfigurowany jest program
Account Management.
-r
katalog_główny_partycji
Katalog główny domeny Account Management
zawierającej obiekty stacji roboczych.
-f plik_konfiguracyjny
Określa plik konfiguracyjny, który ma być używany
zamiast domyślnego.
-s lista_wartości
Wartości określonych parametrów konfiguracji
programu Account Management.
Instalacja
15
Parametr
Opis
-v lista_parametrów
Umożliwia przeglądanie bieżących wartości
parametrów konfiguracji programu Account
Management.
-o
Nakazuje zastąpienie istniejącej konfiguracji
-c
Nakazuje utworzenie partycji, jeśli partycja nie
istnieje.
-V
Wyświetla wszystkie parametry konfiguracji
-h lista_parametrów, -H
Umożliwia przeglądanie tekstów pomocy
skojarzonych z parametrami konfiguracji programu
Account Management.
Konfigurowanie mechanizmu jednorazowej rejestracji
(Single Sign-on, SSO) w systemach Linux i Solaris
Aby uaktywnić SSO w systemach Linux i Solaris, należy odpowiednio
skonfigurować obiekt stacji roboczej, modyfikując pliki w katalogu
/etc/pam.d w systemach Linux albo plik /etc/pam.conf w systemach Solaris.
W poniższych punktach podano informacje na temat konfiguracji
mechanizmu SSO.
! “Uaktywnianie funkcji SSO dla aplikacji” na stronie 16
! “Konfigurowanie portów wykorzystywanych przez mechanizm
jednorazowej rejestracji” na stronie 18
! “Korzystanie z jednorazowej rejestracji klienta FTP” na stronie 18
Uaktywnianie funkcji SSO dla aplikacji
Istnieje możliwość dynamicznego załadowania modułu pam_ndssso,
realizującego funkcje SSO na rzecz aplikacji. W trakcie instalacji programu
Account Management do katalogu /etc/pam.d (w systemach Linux) albo
/etc/pam.d.ndssso (w systemach Solaris) kopiowany jest plik przykładowy.
16
Poniżej przedstawiono przykładowe wpisy pam służące do logowania
z funkcją SSO w systemach Linux:
auth sufficient /lib/security/pam_ndssso.0
session sufficient /lib/security/pam_ndssso.0
Poniżej przedstawiono przykładowe wpisy pam służące do logowania
z funkcją SSO w systemach Solaris:
auth sufficient /usr/lib/security/pam_ndssso.0
session sufficient /usr/lib/security/pam_ndssso.0
Moduły pam_ndssso i pam_nds działają w parze. Moduł pam_nds może
działać bez pam_ndssso, ale nie odwrotnie. Na przykład, w przypadku
usunięcia pam_nds.so.0 ze stosu sesji lub uwierzytelnienia, jednorazowa
rejestracja nie będzie stosowana w odniesieniu do usługi TELNET*. Ponadto,
jednorazowa rejestracja nie nastąpi, jeśli nie powiedzie się początkowe
uwierzytelnienie użytkownika za pośrednictwem NDS (np. z powodu podania
błędnego hasła), a jednocześnie będzie możliwe uwierzytelnienie przy użyciu
tego samego lub innego hasła za pośrednictwem systemu UNIX. Funkcje SSO
jest dostępna wyłącznie w sesjach użytkowników uwierzytelnionych przez
NDS.
Moduł pam_ndssso.so.0 powinien być zawsze umieszczany na stosie
uwierzytelniania z opcją Sufficient. Jeśli zostanie umieszczony na stosie
z opcją Required, pierwsze uwierzytelnienie dowolnego użytkownika nie
powiedzie się, uniemożliwiając tym samym uwierzytelnienie innych
modułów.
Jednorazowa rejestracja nie będzie miała miejsca w przypadku usługi su,
nawet jeśli stos pam dla su skonfigurowano z uwzględnieniem SSO. Takie
rozwiązanie wprowadzono celowo, ponieważ po zalogowaniu nie można już
zmienić aktywnego użytkownika. Ponadto jednorazowa rejestracja nie
dotyczy usługi login, ponieważ jest ona główną usługą wejścia do systemu.
Jednak po pomyślnym zalogowaniu w kolejnych próbach dostępu
(na przykład przy pomocy usługi TELNET) zostaną wykorzystane
uwierzytelnienia logowania.
Przy zarządzaniu sesją na stosie PAM powinny znajdować się oba moduły:
pam_nds i pam_ndssso.
Instalacja
17
Konfigurowanie portów wykorzystywanych przez mechanizm jednorazowej rejestracji
Demon SSO, nds_ssod, nasłuchuje w dwóch portach AF_INET, a także
w jednym gnieździe domeny UNIX. Numery portów można zmienić dodając
wpis z nazwami usług w katalogu /etc/services lub innej bazie danych
o usługach, z której korzysta instytucja. Punktem końcowym gniazda domeny
UNIX jest /var/.ndssso_unixsock.
Poniżej wymieniono nazwy usług i ich domyślne wartości:
ndssso_caport 1105
ndssso_port 1106
Korzystanie z jednorazowej rejestracji klienta FTP
Protokół FTP nie określa, w jaki sposób serwer może zwrócić się do klienta
FTP o nazwę użytkownika i hasło. Oznacza to, że usługa FTP nie może
korzystać z mechanizmu SSO.
Aby skorzystać z jednorazowej rejestracji klienta FTP, można użyć skryptu
obudowującego wywołanie FTP o nazwie nftp; skrypt ten jest dostarczany
razem z programem Account Management. Wspomniany skrypt instaluje się
w /usr/bin/ i może być wywoływany z tymi samymi parametrami, co FTP.
Narzędzie nftp tworzy plik .netrc lub uzupełnia istniejący plik .netrc. Dodany
wpis powoduje zalogowanie z bieżącą nazwą użytkownika (odczytaną za
pomocą polecenia id) i fikcyjnym hasłem. Po utworzeniu wpisu nftp
wywołuje FTP z tymi samymi parametrami i - o ile użytkownik już się
zalogował - następuje rejestracja SSO.
Odinstalowanie Account Management
! “Linux i Solaris” na stronie 20
Windows NT
Aby odinstalować pakiet Account Management i zapisać wszystkie zmiany
dokonane podczas przekierowania domeny do NDS, serwer NT musi mieć
działające połączenie z serwerem NDS, na którym przechowywana jest
replika partycji z obiektem domeny.
18
WAŻNE: Przed usunięciem programu Account Management z PDC należy usunąć
go z BDC. Jeśli na w pierwszej kolejności nastąpiło odinstalowanie z PDC, nie
będzie możliwy dostęp do BDC.
1 Zaloguj się na BDC jako administrator.
2 Na pasku zadań Windows kliknij Start > Programy > Novell > Kreator
obiektów domen.
3 Postępuj zgodnie z poleceniami wyświetlanymi na ekranie.
4 Po ponownym uruchomieniu BDC wykonaj Krok 1 oraz Krok 2 na
pozostałych BDC.
5 Zaloguj się na PDC jako administrator.
6 Na pasku zadań Windows kliknij Start > Programy > Novell > Kreator
obiektów domen.
7 Wybierz jedną z następujących opcji:
!
Odinstaluj NDS i dołącz informacje o nowym NDS do domeny NT
Wybranie tej opcji powoduje odczytanie bieżących informacji
z NDS i przeniesienie ich do domeny Windows NT. Użytkownicy
i obiekty dodane do NDS od czasu przeniesienia domeny NT do
NDS zostają dodane do domeny NT. Obiekty, które pierwotnie
znajdowały się w domenie NT, ale nie zostały przeniesione do NDS,
nie będą już należeć do domeny.
!
Odinstaluj NDS i zaktualizuj hasła z NDS
Opcja ta przywraca stan sprzed zainstalowania NDS z wyjątkiem
haseł. Hasła NT pozostają takie same jak w NDS.
!
Odinstalowanie NDS
Opcja ta przywraca stan sprzed zainstalowania NDS. Bieżące hasło
staje się hasłem administratora.
8 Postępuj zgodnie z poleceniami wyświetlanymi na ekranie.
Istnieje możliwość odinstalowania i powrócenia pierwotnego stanu
domeny bez połączenia NetWare. Wszelkie zmiany lub uzupełnienia
przeprowadzone podczas migracji domeny nie zostaną jednakże cofnięte.
Instalacja
19
Linux i Solaris
W poniższych punktach zamieszczono informacje na temat odinstalowania.
! “Wycofywanie przeniesionych kont z NDS” na stronie 20
! “Wycofywanie przeniesionych kont do plików” na stronie 21
! “Wycofywanie przeniesionych kont do NIS” na stronie 21
! “Wycofywanie przeniesionych kont do NIS+” na stronie 21
Wycofywanie przeniesionych kont z NDS
Konta można wycofać z NDS do plików, NIS i NIS+. W przypadku systemów
Linux i Solaris konta przeniesione do NDS można wycofać do lokalnych baz
danych. Proces ten jednak nie obejmuje następujących czynności:
! usuwania kont z NDS po wycofaniu ich do lokalnej bazy danych;
! wycofywania przeniesionych kont, które zostały dodane do NDS za
pomocą ConsoleOne;
! wycofywania przeniesionych kont, które zostały zmodyfikowane w NDS
za pomocą ConsoleOne.
Aby możliwe było wycofanie migracji, należy podać wartość Tak dla
parametru CreateBackups w pliku migrate2nds.inp. Aby uzyskać więcej
informacji na ten temat, patrz “Przenoszenie kont użytkowników/grup do
NDS” na stronie 48, aby uzyskać więcej informacji na ten temat. Domyślną
wartością tego parametru jest Tak. Konta z NDS można wycofać do plików,
NIS i NIS+. Aby wycofać przeniesione konta, należy zalogować się jako
użytkownik root do systemu Linux lub Solaris.
OSTRZEŻENIE: Podczas wycofywania przeniesionych kont z NDS istniejące konta
w plikach, NIS i NIS+ są zastępowane kontami wycofywanymi do tych baz danych.
W przypadku przyrostowej migracji kont, pliki zapasowe należy skopiować do
innego katalogu. Zagwarantuje to, że nie zostaną zastąpione poprzednie kopie
zapasowe, utworzone przez narzędzie migrate2nds.
W poniższych punktach zamieszczono informacje na temat wycofywania
przeniesionych kont z NDS.
! “Wycofywanie przeniesionych kont do plików” na stronie 21
! “Wycofywanie przeniesionych kont do NIS” na stronie 21
! “Wycofywanie przeniesionych kont do NIS+” na stronie 21
20
Wycofywanie przeniesionych kont do plików
Przed przystąpieniem do migracji kont z plików do NDS, należy wpisać
wartość Tak dla parametru CreateBackups w pliku migrate2nds.inp. Podczas
migracji narzędzie tworzy w folderze /var/ndsuam następujące kopie
zapasowe plików passwd, shadow i group:
! revfiles_passwd
! revfiles_shadow
! revfiles_group
Aby wycofać przeniesione konta, należy skopiować powyższe pliki to
katalogu /etc. Hasła przypisane do kont przed przeniesieniem zostaną
zachowane.
Wycofywanie przeniesionych kont do NIS
migracji narzędzie odczytuje informacje o kontach z bazy danych NIS
i tworzy w katalogu /var/ndsuam następujące pliki zapasowe:
! revnis_passwd
! revnis_shadow
! revnis_group
Aby wycofać przeniesione konta z NDS do NIS, należy skopiować powyższe
pliki do dowolnego katalogu. Następnie w pliku /var/yp/Makefile należy
w parametrach PWDIR i DIR wpisać ścieżkę katalogu, do którego pliki
zostały skopiowane. Aby odtworzyć bazę danych należy wywołać polecenie
make.
Wycofywanie przeniesionych kont do NIS+
migracji narzędzie odczytuje informacje o kontach z bazy danych NIS
i tworzy w katalogu /var/ndsuam następujące pliki zapasowe:
! revnisplus_passwd
! revnisplus_shadow
! revnisplus_group
Instalacja
21
Aby wycofać przeniesione konta z NDS do NIS+, należy skopiować
powyższe pliki do dowolnego katalogu. Aby odtworzyć bazę danych, należy
wywołać następujące polecenia:
nisaddent -m -f revnisplus_passwd passwd
nisaddent -m -f revnisplus_shadow shadow
nisaddent -m -f revnisplus_group group
22
2
Niniejszy rozdział opisuje sposób zarządzania domenami Windows* NT*
oraz członkami grup w programie ConsoleOneTM.
Podstawa działania Account Management
W systemie Windows NT zasoby są tworzone i zarządzane w bazie danych
noszącej nazwę menedżera kont systemowych SAM (System Account
Manager). Aplikacje potrzebujące informacji z domeny Windows NT
wysyłają żądania do SAMLIB.DLL. Dotyczy to aplikacji uruchamianych na
serwerze NT lub na stacji roboczej NT.
SAMLIB.DLL komunikuje się z SAMSRV.DLL za pomocą zdalnych
wywołań procedury RPC (Remote Procedure Calls). W przypadku aplikacji
uruchomionych na serwerze komunikacja odbywa się na poziomie
wewnętrznym. W przypadku żądań pochodzących ze stacji roboczej żądania
RPC są przekazywane do serwera. Serwer RPC otrzymuje żądanie, rozwija je
i przekazuje do SAMSRV.DLL. SAMSRV.DLL uzyskuje dostęp do
menedżera kont systemowych, gdzie jest przechowywany namebase domeny,
i wykonuje żądana operację. Patrz Rysunek 1 na stronie 24.
23
Rysunek 1
Stacja robocza
Windows NT
Serwer
Windows NT
Aplikacje
Aplikacje
SAMLIB.DLL
SAMLIB.DLL
RPC
RPC
SAMSRV.DLL
SAM
Baza nazw
domeny
Program Account Management przenosi domeny Windows NT do NDS®
eDirectoryTM przez zastąpienie SAMSRV.DLL biblioteką SAMSRV.DLL
NDS® eDirectory. Wszystkie żądania aplikacji do namebase domeny są
następnie kierowane do NDS eDirectory (który może rezydować na serwerze
NetWare®, serwerze NT lub obu). NDS eDirectory przechowuje obiekty
użytkownika, komputera oraz grupy, które zajmują miejsce obiektów
poprzednio używanych w domenie. Patrz Rysunek 2 na stronie 25.
24
Rysunek 2
Serwer Serwer
NetWare NetWare
NDS
NDS
Stacja robocza
Stacja robocza
NT
WindowsWindows
NT
Serwer Serwer
NT
WindowsWindows
NT
AplikacjeAplikacje
AplikacjeAplikacje
SAMLIB.DLL
SAMLIB.DLL
SAMLIB.DLL
SAMLIB.DLL
RPC
RPC
RPC
RPC
SAMSRV.DLL
SAMSRV.DLL
Klient
Klient
SAM
NetWare NetWare
dla Windows
dla Windows
SAM
Baza nazw
Baza nazw
domeny domeny
NDS
NDS
Account Management
Account Management
Zaletą takiego procesu przekierowania jest to, że wszystkie istniejące
aplikacje w dalszym ciągu funkcjonują bez konieczności wykonywania
jakichkolwiek zmian. Istnieje możliwość zarządzania kontami w NDS
eDirectory przy użyciu narzędzi Windows NT. Kontenery NDS eDirectory
mogą zawierać setki tysięcy obiektów w odróżnieniu od obiektów domen NT,
w przypadku których występuje ograniczenie do kilkuset obiektów.
Nowe cechy
Nowe cechy w programie Account Management:
! “Zarządzanie buforowaniem domeny” na stronie 26
! “Logowanie zdarzeń” na stronie 26
! “Administracja domenami” na stronie 27
25
! “Informacje o wybieraniu” na stronie 27
! “Zmiana hasła anonimowego” na stronie 28
! “Obsługa filtrów hasła” na stronie 29
Zarządzanie buforowaniem domeny
Funkcja zarządzania buforowaniem domeny poprawia wydajność oraz
zmniejsza wykorzystanie sieci dzięki aktualizacjom bufora domeny
w określonym czasie lub w określonych interwałach czasowych. Funkcja ta
jest udostępniana z poziomu obiektów stacji roboczej PDC i BDC
zlokalizowanych w obiekcie domeny ConsoleOne. Aktualizacje buforu mogą
być wykonywane w dowolnym terminie, o określonych porach lub
określonych interwałach czasowych.
Nie jest to rozwiązanie, które dopuszcza błędy. Jest to rozwiązanie
zarządzania wydajnością buforowania, a nie bufor stały.
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt stacji
roboczej NT.
2 Kliknij Właściwości > Bufor domeny.
3 Kliknij Włącz aktualizację buforu.
Opcja
Opis
Aktualizuj o określonych porach
Aktualizuje bufor domeny w porach
określonych przez użytkownika.
Aktualizuj co
Aktualizuje bufor domeny
w określonych przez użytkownika
interwałach czasowych (godziny
i minuty).
5 Kliknij Zastosuj > OK.
Logowanie zdarzeń
Funkcja ta wskazuje, czy użytkownik jest zalogowany na komputerze
z buforowanym kontem i rejestruje inne ważne zdarzenia, np. zdarzenia
odnoszące się do SPSENTRY.
26
Istnieje możliwość wyświetlenia tych informacji w programie Podgląd
zdarzeń systemu Windows.
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt domeny.
2 Kliknij Właściwości > Narzędzia NT domeny.
3 Kliknij Przegląd dziennika zdarzeń.
Program Podgląd zdarzeń jest uruchamiany na lokalnej stacji roboczej
użytkownika, jednak wyświetla dziennik zdarzeń PDC.
Administracja domenami
Funkcja ta włącza i wyłącza możliwość administrowania użytkownikami
z poziomu menedżera użytkowników NT. Pozwala również na dodawanie
użytkowników, którzy nie posiadają uprawnień do domeny. W tym celu obiekt
domeny musi posiadać uprawnienia powiernika do dowolnego kontenera
zawierającego użytkowników, którzy mają otrzymać uprawnienia do domeny.
2 Kliknij Właściwości > Członkowie domeny.
3 Zaznacz lub usuń zaznaczenie pola Wyświetlanie.
Po zaznaczeniu pola wyboru Wyświetlanie z poziomu menedżera
użytkowników NT jest możliwe zarządzanie niebieskimi obiektami
użytkownika, natomiast nie jest możliwe zarządzać obiektami
czerwonymi. Przezroczyste obiekty użytkownika oznaczają brak
odpowiednich uprawnień do zarządzania użytkownikiem.
Informacje o wybieraniu
Informacje o wybieraniu skojarzone z użytkownikami w menedżerze
użytkowników NT mogą być zarządzane z poziomu ConsoleOne. Istnieje
możliwość udzielania użytkownikom uprawnień do zestawiania połączeń
komutowanych podczas połączenia z siecią. Ponadto funkcja ta pozwala na
ustawienie praw dostępu w obrębie całej domeny lub w przypadku
określonych komputerów.
1 W ConsolOne kliknij prawym przyciskiem myszy obiekt grupy lokalnej
lub globalnej.
2 Kliknij Właściwości > Identyfikacja.
27
3 Wybierz użytkownika, który ma się znaleźć na liście członków > kliknij
Właściwości.
4 Kliknij Informacje o wybieraniu domeny.
5 Kliknij Przydziel uprawnienia do wybierania dla użytkowników.
6 Wybierz jedną z następujących opcji oddzwaniania:
Opcja
Opis
Bez oddzwaniania
Powoduje wyłączenie funkcji
oddzwaniania dla konta użytkownika.
Ustawiany przez użytkownika
Wyświetla monit o wprowadzenie
numer telefonu. Serwer oddzwania pod
określony przez użytkownika numer
i rejestruje koszt połączenia.
Ustawiony na
Serwer dzwoni do użytkownika pod
okreslony numer telefonu. Wprowadź
stały numer telefonu. Serwer wywołuje
tylko użytkownika tylko pod tym
numerem, co przyczynia się do
zmniejszenia ryzyka dostępu osób
nieupoważnionych do konta
użytkownika. Opcja ta zapobiega
wykonywaniu połączeń grupowych,
gdy sprzęt użytkownika wymaga kilku
numerów telefonu dla grupy
połączonych linii.
Zmiana hasła anonimowego
Cecha ta określa, czy użytkownicy muszą logować się na swoje konta w celu
zmiany hasła.
2 Kliknij Właściwości > Identyfikacja domeny.
3 Zaznacz lub usuń zaznaczenie pola Użytkownicy muszą się zalogować
w celu zmiany hasła.
Jeśli pole to jest zaznaczone, użytkownik musi być zalogowany, aby
zmienić swoje hasło. Jeżeli hasło straci ważność w czasie gdy użytkownik
nie jest zalogowany do domeny administrator musi je zmienić.
28
Obsługa filtrów hasła
Cecha ta umożliwia automatycznie używanie ograniczeń hasła w przypadku
włączenia zaawansowanego szyfrowania haseł na PDC. Zaawansowane
szyfrowanie haseł zapewnia ochronę w przypadku prób zgadnięcia hasła lub
próby złamania hasła przy użyciu metody słownikowej ze strony
użytkowników zewnętrznych. Hasło powinno składać się przynajmniej
z sześciu znaków, w których skład powinny wchodzić wielkie i małe litery
oraz liczby i znaki specjalne. Hasło nie powinno zawierać jakiejkolwiek
części nazwy użytkownika.
Jeśli funkcja zaawansowanego szyfrowania haseł na PCD jest włączona,
cecha ta zostanie automatycznie włączona w programie Account
Management. Więcej informacji na temat zaawansowanego szyfrowania haseł
na PCD można znaleźć w dokumentacji Windows NT.
Zarządzanie kontami Windows NT
Każda domena Windows NT jest reprezentowana przez obiekt domeny
w ConsoleOne. Ten obiekt, utworzony przez kreatora obiektów domeny, jest
kontenerem, który zachowuje się podobnie jak obiekt grupy, tj. nie tylko
przechowuje informacje o domenie i użytkownikach, którzy są jej członkami,
ale zawiera również obiekty członków, takie jak komputery i grupy - tak samo,
jak rzeczywista domena. W celu uzyskania dodatkowych informacji odnośnie
kreatora obiektów domeny, patrz “Integracja domen Windows NT z NDS” na
stronie 11.
Obiekt domeny zachowuje się jak grupa z listą członków domeny. Komputery
i grupy skojarzone z domeną są reprezentowane jako obiekty w obiekcie
domeny NDS eDirectory. Przez określenie, by obiekty użytkownika były
członkami domeny, a nie rezydowały w domenie, można umieszczać obiekty
użytkownika NDS eDirectory w dowolnym miejscu drzewa i jednocześnie
udzielać użytkownikom prawa dostępu do określonych domen.
Poprzez użycie snapin NDS dla NT w programie ConsoleOne, można tworzyć
obiekty grupy lokalnej, obiekty grupy globalnej oraz obiekty stacji roboczych.
Istnieje także możliwość dodawania lub usuwania użytkowników z obiektów
grupy lub obiektów domen. Dzięki temu nie ma potrzeby uczenia się obsługi
innych aplikacji do zarządzania użytkownikami, grupami czy skrzynkami
pocztowymi.
29
Tworzenie nowej grupy lokalnej
1 W ConsoleOne kliknij prawym przyciskiem myszy nazwę domeny,
w której ma zostać utworzona nowa grupa lokalna.
2 Kliknij Nowy > Obiekt.
3 Na liście Klasa kliknij NDS dla grupy lokalnej NT > OK.
4 Wprowadź nazwę grupy.
5 (Opcjonalnie) Zaznacz jedno z następujących pól wyboru:
Pole wyboru
Opis
Zdefiniuj dodatkowe właściwości
Umożliwia ustawienie właściwości dla
tworzonej grupy.
Utwórz inną grupę lokalną
Umożliwia utworzenie innej grupy.
6 Kliknij OK.
Tworzenie nowej grupy globalnej
w której ma zostać utworzona nowa grupa globalna.
3 Na liście Klasa kliknij NDS dla grupy globalnej NT > OK.
4 Wprowadź nazwę grupy.
Pole wyboru
Opis
tworzonej grupy.
Utwórz inną grupę globalną
Umożliwia utworzenie innej grupy.
6 Kliknij OK.
30
Tworzenie nowego obiektu stacji roboczej
w której ma zostać utworzona nowy obiekt stacji roboczej.
3 Na liście Klasa kliknij NDS dla stacji roboczej NT > OK.
4 Wprowadź nazwę stacji roboczej.
Nazwa stacji roboczej musi być zakończona znakiem dolara ($). Może
składać się z maksymalnie 16 znaków, uwzględniając znak dolara ($).
Pole wyboru
Opis
tworzonej stacji roboczej.
Utwórz inną stację roboczą
Umożliwia utworzenie innej stacji
roboczej.
6 Kliknij OK.
Dodawanie użytkownika NDS do domeny NT
Istnieje kilka sposobów dodania użytkownika NDS do domeny NT:
! “Dodawanie użytkownika NDS do domeny NT za pomocą obiektu
użytkownika NDS” na stronie 31
! “Dodawanie użytkownika NDS do domeny NT poprzez obiekt domeny”
na stronie 32
Dodawanie użytkownika NDS do domeny NT za pomocą obiektu użytkownika NDS
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt użytkownika
NDS, który ma zostać dodany do domeny.
2 Kliknij Właściwości > Dostęp do domeny.
3 Wybierz Członkostwa grupy.
Przycisk Dodaj jest dostępny, a przycisk Usuń wyszarzony. (Nie można
usunąć linii członkostw grupy.)
31
4 Kliknij Dodaj.
5 Wybierz domenę, do której ma zostać dodany użytkownik.
Istnieje możliwość wyboru grup lokalnych lub globalnych. W razie
wybrania grupy lokalnej lub globalnej do członkostw grupy użytkownika
zostanie dodana zarówno grupa, jak i domena, do której dana grupa
należy. Niezależnie od wyboru jako grupa podstawowa użytkownika
zostanie także dodana grupa o nazwie Użytkownicy domeny.
6 Kliknij OK > OK.
Dodawanie użytkownika NDS do domeny NT poprzez obiekt domeny
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt domeny, do
którego ma zostać dodany obiekt użytkownika NDS.
3 Kliknij Dodaj, aby przejrzeć i wybrać obiekty użytkowników NDS
lub
Kliknij Dodaj z jednoczesnym naciśnięciem klawisza Ctrl, aby wybrać
obiekty grupy NDS.
4 Wybierz użytkownika NDS lub obiekt grupy NDS, który ma zostać
dodany do domeny.
W przypadku wybrania grupy NDS do domeny zostaną dodani
poszczególni użytkownicy– a nie sama grupa–.
5 Kliknij OK > OK.
Dodawanie użytkownika NDS do grupy lokalnej lub globalnej
Istnieje kilka sposobów na dodanie użytkownika NDS do grupy lokalnej lub
globalnej:
! “Dodawanie użytkownika NDS do grupy lokalnej lub globalnej poprzez
obiekt użytkownika NDS” na stronie 33
! “Dodawanie użytkownika NDS do grupy lokalnej lub globalnej poprzez
obiekt grupy” na stronie 33
32
Dodawanie użytkownika NDS do grupy lokalnej lub globalnej poprzez obiekt
użytkownika NDS
NDS, który ma zostać dodany do grupy lokalnej lub globalnej.
3 Wybierz domenę
lub
Wybierz Członkostwa grupy.
Przycisk Dodaj jest dostępny, a przycisk Usuń wyszarzony. (Nie można
usunąć linii członkostw grupy.)
4 Kliknij Dodaj.
Obiekty grupy domeny zostaną wyświetlone po wybraniu domeny
i kliknięciu przycisku Dodaj w oknie dialogowym Wybierz obiekt.
5 Wybierz grupę lokalną lub globalną.
Jeśli użytkownik nie jest członkiem domeny, do której należy grupa,
grupa oraz domena zostaną dodane do członkostw grupy użytkownika.
Jako grupa podstawowa użytkownika zostanie także dodana grupa
o nazwie Użytkownicy domeny.
6 Kliknij OK > OK.
Dodawanie użytkownika NDS do grupy lokalnej lub globalnej poprzez obiekt grupy
1 W ConsoleOne kliknij prawym przyciskiem myszy grupę lokalną lub
globalną, do której ma zostać dodany obiekt użytkownika NDS.
2 Kliknij Właściwości > Identyfikacja > Dodaj.
3 Wybierz członka, który ma zostać dodany do grupy lokalnej lub
globalnej.
Użytkownicy, którzy nie są członkami domeny nie mogą zostać dodani za
pomocą przeglądarki. Najpierw należy dodać użytkownika do domeny.
Patrz “Dodawanie użytkownika NDS do domeny NT” na stronie 31.
4 Kliknij OK > OK.
33
Usuwanie użytkownika NDS z domeny NT
Istnieje kilka sposobów usunięcia użytkownika NDS z domeny NT:
! “Usuwanie użytkownika NDS z domeny NT poprzez obiekt użytkownika
NDS” na stronie 34
! “Usuwanie użytkownika NDS z domeny NT poprzez obiekt domeny” na
stronie 34
Usuwanie użytkownika NDS z domeny NT poprzez obiekt użytkownika NDS
NDS, który ma zostać usunięty z domeny.
3 Wybierz domenę, z której ma zostać usunięty użytkownik.
4 Kliknij Usuń > OK.
Usuwanie użytkownika NDS z domeny NT poprzez obiekt domeny
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt domeny,
z którego ma zostać usunięty użytkownik.
3 Wybierz użytkowników, którzy mają zostać usunięci.
Usuwanie użytkownika NDS z grupy lokalnej lub globalnej
Istnieje kilka sposobów usunięcia użytkownika NDS z grupy lokalnej lub
globalnej:
! “Usuwanie użytkownika NDS z grupy lokalnej lub globalnej poprzez
obiekt użytkownika NDS” na stronie 35
! “Usuwanie użytkownika NDS z grupy lokalnej lub globalnej poprzez
obiekt grupy” na stronie 35
34
Usuwanie użytkownika NDS z grupy lokalnej lub globalnej poprzez obiekt
użytkownika NDS
1 W ConsoleOne kliknij prawym przyciskiem myszy użytkownika, który
ma zostać usunięty z grupy lokalnej lub globalnej.
3 Wybierz grupę lokalną lub globalną, z której ma zostać usunięty
użytkownik.
Użytkownik nie może zostać usunięty ze swojej grupy podstawowej.
Nazwa grupy podstawowej zostanie wyświetlona pogrubioną czcionką.
Usuwanie użytkownika NDS z grupy lokalnej lub globalnej poprzez obiekt grupy
1 W ConsoleOne kliknij prawym przyciskiem myszy grupę lokalną lub
globalną, z której ma zostać usunięty użytkownik.
3 Wybierz użytkowników, którzy mają zostać usunięci.
Ustawianie podstawowej grupy użytkownika
Aby należeć do domeny użytkownik musi być członkiem przynajmniej jednej
grupy w domenie. Użytkownik nie może zostać usunięty ze swojej grupy
podstawowej. Jej nazwa jest wyświetlana pogrubioną czcionką na stronie
Dostęp do domeny. Domyślna grupą podstawową jest grupa użytkowników
domeny.
1 W ConsoleOne kliknij prawym przyciskiem myszy użytkownika,
którego grupa podstawowa ma zostać zmieniona.
3 Wybierz grupę, która ma zostać ustawiona jako nowa grupa podstawowa.
W przypadku wybrania linijki członkostw grupy, domeny lub grupy
lokalnej przycisk Ustaw podstawową grupę nie jest dostępny. Tylko
grupa globalna może zostać ustawiona jako grupa podstawowa.
W przypadku wybrania bieżącej grupy podstawowej (wyświetlana
pogrubioną czcionką) przycisk Ustaw podstawową grupę nie jest
dostępny.
35
4 Kliknij Ustaw podstawową grupę > OK.
Wybrana grupa stanie się grupą podstawową i zostanie wyświetlona
pogrubioną czcionką. Poprzednia grupa podstawowa nie będzie już
wyświetlana pogrubioną czcionką.
Identyfikacja
Istnieje możliwość przeglądania, wprowadzania lub modyfikowania
informacji o obiektach domeny, grupach oraz stacjach roboczych.
Identyfikacja domeny
Opcja
Opis
Opis
Opisuje wybrany obiekt domeny.
Informacje OEM
Importuje informację z domen NT
podczas migracji.
Domyślny kontekst tworzenia
użytkownika
Ustawia kontekst, który lokalizuje
nowych użytkowników utworzonych
przez menedżera użytkowników NT.
Pole to nie jest używane przez
ConsoleOne w procesie tworzenia.
Identyfikacja grupy
1 W ConsolOne kliknij prawym przyciskiem myszy obiekt grupy lokalnej
lub globalnej.
3 Wprowadź lub wyświetl informacje na temat wybranego obiektu grupy.
36
Identyfikacja stacji roboczej
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt NDS dla stacji
roboczej NT.
3 Wprowadź lub wyświetl pełną nazwę stacji roboczej oraz informacje
opisujące wybrany obiekt stacji roboczej.
Włączanie ustawień poprawiania wydajności
3 W oknie Ustawienia zaawansowane wybierz jedną z następujących opcji:
Opcja
Opis
Domyślne tworzenie użytkownika
wymusza synchronizację hasła
Ustawia kontekst dla nowych
użytkowników utworzonych przez
menedżera użytkowników NT. Pole to
nie jest używane przez ConsoleOne
w procesie tworzenia. Zaznaczenie
tego pola wyboru spowoduje
zsynchronizowanie haseł NT oraz NDS
dla użytkowników utworzonych za
pomocą menedżera użytkowników NT.
Użyj szybkiego wyświetlania
użytkowników
Przyspiesza wykonywanie zapytań
o informacje na temat użytkowników
w menedżerze użytkowników NT
i ConsoleOne. Jeśli opcja ta jest
zaznaczona, na liście początkowej
menedżer użytkowników NT wyświetla
tylko nazwę użytkownika,
a ConsoleOne - tylko nazwę
użytkownika oraz kontekst. Po
wybraniu nazwy użytkownika zostaną
wyświetlone dodatkowe informacje.
Dla użytkowników dodawanych
poprzez Snapin włącz
administrację za pomocą narzędzi
NT
Umożliwia zarządzanie nowymi
użytkownikami utworzonymi
w menedżerze użytkowników NT
z poziomu menedżera użytkowników
NT.
37
Opcja
Opis
Użytkownicy muszą się
zalogować w celu zmiany hasła
Zmiana informacji o zabezpieczeniach
hasłem wymaga, by użytkownicy byli
zalogowani w sieci.
Korzystanie z narzędzi NT
Strona Narzędzia NT umożliwia dostęp do narzędzi administracyjnych takich
jak Udostępnianie plików i katalogów, Menedżer serwera, Menedżer
użytkowników oraz Przeglądarka zdarzeń. Wybranie narzędzia Przegląd
dziennika zdarzeń spowoduje uruchomienie przeglądarki zdarzeń na lokalnej
stacji roboczej, jednak wyświetli dziennik zdarzeń PDC. Programy
odpowiadające innym narzędziom są zlokalizowane na PDC i wykonywane
na stacji roboczej użytkownika.
W celu ich użycia należy uruchomić program ConsoleOne na stacji roboczej
lub serwerze Windows NT. Narzędzie nie jest dostępne na innych
platformach.
1 Zaloguj się do domeny z uprawnieniami administratora.
3 Kliknij Właściwości > Narzędzia NT domeny.
4 Wykonaj jedno z następujących narzędzi:
38
Narzędzie
Opis
Udostępnianie plików i katalogów
Umożliwia konfigurację zabezpieczeń
współdzielenia plików i katalogów.
Menedżer serwera
Umożliwia administrację domenami
i komputerami. Można wyświetlić
komputery znajdujące się w domenie,
zarządzać właściwościami serwera
oraz usługami, udostępniać katalogi
oraz wysyłać komunikaty do
podłączonych użytkowników. Istnieje
także możliwość przypisania BDC jako
PDC, synchronizacji komputerów
z PDC oraz dodania lub usunięcia
komputerów z domeny.
Narzędzie
Opis
Menedżer użytkowników
Umożliwia zarządzanie
zabezpieczeniami dla domen
i komputerów. Obejmuje to tworzenie
i zarządzanie kontami użytkowników
i grupami, zarządzanie regułami
zabezpieczenia domeny (hasłami) oraz
uprawnieniami użytkowników
(inspekcje i związki powiernicze).
Przegląd dziennika zdarzeń
Umożliwia rozwiązywanie problemów
programowych i sprzętowych oraz
monitorowanie zdarzeń zabezpieczeń
serwera NT.
Narzędzia można są również dostępne z menu wyświetlanym po kliknięciu
prawym przyciskiem myszy na obiektu domeny w oknie programu
ConsoleOne.
Używanie Replica Advisor
Obiekty użytkownika, które są członkami domeny NT mogą być ponownie
przeniesione podczas lub po zakończeniu instalacji NDS dla NT na
dowolnych partycjach. Obiekty użytkowników domeny mogą być także
skojarzone z istniejącymi obiektem użytkowników NDS w dowolnej partycji
drzewa NDS. Skojarzenie domeny i obiektów NDS następuje po
uruchomieniu kreatora obiektów domeny i migracji użytkowników do NDS eliminuje to konieczność istnienia kont zarówno na NDS, jak i w NT
w przypadku pojedynczego użytkownika.
Na stronie Replica Advisor obiektu domeny wyświetlana jest lista wszystkich
partycji zawierających obiekty użytkowników, które posiadają członkostwo
w domenie. Po rozszerzeniu elementu partycji zostanie wyświetlona lista
obiektów użytkowników w tej partycji.
Inny wpis pokazuje w jakiej partycji znajduje się obiekt domeny. Obiekt
domeny i jego grupy podrzędne zawierają informację używane podczas
logowania oraz uwierzytelniania zasobów.
Aby wyświetlić replikę, wykonaj następujące czynności:
2 Kliknij Obiekt > Szczegóły.
3 Wybierz stronę Replica Advisor.
Partycje, na których znajdują się obiekty domeny, użytkowników i grup
są wyświetlane wraz z symbolem partycji.
39
Zarządzanie zabezpieczeniami w Windows NT
Windows NT używa algorytmu szyfrowania hasła MD4, który tworzy dla
użytkownika szyfrowane hasło o określonej długości. Nie są one całkowicie
bezpieczne. NDS eDirectory używa metody szyfrowania za pomocą klucza
publicznego i prywatnego (szyfrowania RSA) do ochrony ważnych informacji
(takich jak np. hasła). Klucze publiczne i prywatne są tworzone dla każdego
użytkownika używającego hasła. Klucz publiczny może być współdzielony
i udostępniany innym osobom. Skojarzony z obiektem użytkownika klucz
prywatny jest bezpiecznie przechowywany w skarbcu NDS eDirectory.
Po utworzeniu hasła na stacji roboczej nie jest ono przesyłane w postaci
czytelnego tekstu. Novell® ClientTM uruchomiony na stacji roboczej używa
klucza szyfrującego RSA przesłanego z serwera NDS do zaszyfrowania hasła
przed wysłaniem go ze stacji roboczej do sieci. Serwer odbiera zaszyfrowane
hasło, które jest następnie wprowadzane do NDS.
Podczas logowania użytkownika hasło zostanie użyte do utworzenia
poufnego tokenu, który jest wysyłany do NDS eDirectory celem weryfikacji.
Jeśli serwer NDS uzna, że token został utworzony przez rzeczywistego
użytkownika, umożliwia ustanowienie uwierzytelnionej sesji. Hasło jest
jednocześnie szyfrowanie za pomocą algorytmu MD4 i przesyłane do
kontrolera domeny NT. Wartość zaszyfrowana jest porównywana z wartością
przechowywaną w obiekcie użytkownika domeny. Jeśli są one zgodne,
następuje uwierzytelnienie użytkownika na serwerze NT. Proces
uwierzytelniania jest bezpieczny, ponieważ proces szyfrowania haseł jest
nieodwracalny. Patrz Rysunek 3.
Rysunek 3
Szyfrowanie haseł
Serwer NDS
1
Użytkownik
tworzy nowe hasło
RSA
2
Zaszyfrowane hasło
jest przechowywane
na każdym serwerze
Stacja robocza
Windows NT
MD4
Serwer NT
(Kontroler domeny)
40
Za pomocą programu Account Management poszczególne środowiska
sprawdzają oba hasła. Oba hasła są przechowywane w NDS eDirectory.
Proces uwierzytelniania jest równie bezpieczny, ponieważ proces szyfrowania
haseł jest wciąż nieodwracalny.
Rysunek 4 oraz Rysunek 5 ilustruje sprawdzanie hasła za pomocą lub bez
pomocy programu Account Management.
Rysunek 4
Sprawdzanie haseł w sieci mieszanej NDS/domena
1
2
Serwer NDS
Użytkownik loguje się
za pomocą hasła
o szyfrowaniu RSA i...
Baza
danych NDS
Serwer porównuje
zaszyfrowane hasło
RSA
3
5
Jeżeli hasło jest prawidłowe następuje
uwierzytelnienie użytkownika
Stacja robocza
Windows NT
MD4
...hasła o szyfrowaniu
MD4
Baza nazw
domeny
Serwer NT
(Kontroler domeny)
Rysunek 5
Sprawdzanie hasła za pomocą programu Account Management
1
2
Serwer NDS
Użytkownik loguje się
za pomocą hasła
o szyfrowaniu RSA i...
Serwer porównuje
zaszyfrowane hasło
Baza
danych NDS
RSA
MD4
3
5
Jeżeli hasło jest prawidłowe następuje
uwierzytelnienie użytkownika
Stacja robocza
Windows NT
...hasła o szyfrowaniu
MD4
Serwer NT
(Kontroler domeny)
41
Synchronizacja haseł użytkownika NDS oraz NT
Procedura ta umożliwia synchronizację haseł NDS i NT. Operacja zmiany
hasła odbywa się w trybie natychmiastowym i nie może zostać przerwany
przez kliknięcie przycisku Anuluj.
1 W ConsoleOne kliknij prawym przyciskiem myszy obiekt użytkownika,
którego hasło ma zostać zmienione.
Jeśli użytkownik nie jest członkiem grupy lub domeny, opcja Ustaw
podwójne hasła nie jest dostępna. Jeśli grupy lub domeny zostały dodane
do listy członków, ale nie zgłoszone do bazy danych NDS, opcja Ustaw
podwójne hasła pozostanie niedostępna. Najpierw należy dodać
użytkownika do domeny.
3 Zaznacz pole wyboru Wymuszaj synchronizację haseł i kliknij Zastosuj.
4 Kliknij stronę Ograniczenia-Ograniczenia haseł > Zmień hasła.
Jeśli użytkownik jest administratorem systemu, opcja Stare hasło nie jest
dostępna. Przejdź do Krok 8.
5 Jeśli jesteś użytkownikiem, którego obiekt jest wyświetlony, wpisz stare
hasło w polu tekstowym Stare hasło.
6 Wpisz nowe hasło w polu Nowe hasło.
7 Ponownie wpisz nowe hasło w polu Potwierdź nowe hasło.
8 Kliknij OK.
Ustawianie opcji wykrywania intruzów
1 W ConsoleOne kliknij prawym przyciskiem myszy domenę, dla której
ma zostać włączona lub wyłączona opcja wykrywania intruzów.
2 Kliknij Właściwości > Wykrywanie intruzów domeny.
3 Zaznacz pole wyboru Wykrycie intruza, aby włączyć wykrywanie
intruzów lub usuń zaznaczenie, aby wyłączyć wykrywanie intruzów.
Domyślnym limitem jest siedem niewłaściwie przeprowadzonych prób
logowania w ciągu 30 minut. Blokada konta po wykryciu intruza
następuje po 15 minutach.
4 W razie konieczności zmień domyślne wartości graniczne i interwał
usuwania blokady intruza.
5 Kliknij OK.
42
3
Zarządzanie kontami w systemach
Linux i Solaris
W tym rozdziale zamieszczono informacje na temat następujących zagadnień:
! “Zasady zarządzania kontami w oparciu o NDS w systemach Linux
i Solaris” na stronie 43
! “Przenoszenie kont użytkowników/grup do NDS” na stronie 48
! “Przenoszenie kont użytkowników i grup UNIX do NDS” na stronie 58
! “Optymalizacja programu Account Management” na stronie 70
! “Usuwanie problemów związanych z programem Account Management
w systemach Linux i Solaris” na stronie 72
Zasady zarządzania kontami w oparciu o NDS
w systemach Linux i Solaris
Na wszystkich systemach, które muszą być zarządzane przy wykorzystaniu
NDSTM, należy zainstalować program Account Management. Instalacja
programu Account Management wiąże się ze skonfigurowaniem systemu
w taki sposób, by zamiast bazy NIS, NIS+ lub lokalnych plików etc/passwd
wykorzystywane były usługi NDS. W razie potrzeby można zmodyfikować
system w taki sposób, by korzystał z NIS lub NIS+. Nazwy użytkowników,
grup i stacji roboczych UNIX* muszą być unikatowe.
W poniższych punktach wyjaśniono zasady zarządzania kontami przy
pomocy programu Account Management.
! “Zasada działania składników Account Management” na stronie 44
! “Zasada działania zabezpieczeń Account Management” na stronie 45
43
! “Zgodność Account Management ze specyfikacją RFC 2307” na
stronie 45
! “Zasada działania mechanizmu jednorazowej rejestracji (Single Signon)” na stronie 46
! “Przydziały i prawa dysponenta dla obiektów Account Management” na
stronie 47
Account Management nie pozwala na łączenie partycji, drzew lub
kontenerów.
Zasada działania składników Account Management
W skład programu Account Management wchodzą następujące moduły:
! moduł pam_nds realizujący uwierzytelnianie NDS na rzecz aplikacji;
! moduł nss_nds realizujący usługi nazewnicze NDS na rzecz aplikacji;
! moduł pam_ndssso zapewniający jednorazową rejestrację (SSO)
w systemach Linux* i Solaris*;
! narzędzia migracyjne migrate2nds i unix2nds, służące do przenoszenia
dotychczasowych użytkowników systemu UNIX do NDS;
! narzędzia wywoływane z wiersza poleceń, służące do dodawania,
usuwania i modyfikowania istniejących użytkowników i grup;
! narzędzie uamconfig utility służące do konfiguracji parametrów
Moduł pam_nds realizuje na rzecz wszystkich aplikacji usługi dotyczące
uwierzytelniania oraz obsługi kont, sesji i haseł. Po zakończeniu
uwierzytelniania w NDS użytkownik może dalej korzystać z tych samych
uprawnień, co po uwierzytelnieniu w NIS, NIS+ lub plikach lokalnych. Nie
zmienią się określone w profilu użytkownika uprawnienia do plików i usług
drukowania, ani preferowana powłoka systemu UNIX.
Narzędzie migracyjne przenosi konta użytkowników i grupy z lokalnego
hosta, na którym zainstalowany jest program Account Management, do NDS.
Jeśli istnieje system pełniący rolę systemu głównego bazy NIS, produkt
należy zainstalować właśnie na nim. Schemat NDS jest rozszerzany w taki
sposób, by uwzględniał atrybuty użytkowników i grup UNIX. Ponieważ NDS
jest zbiorem informacji obejmującym całą instytucję, kontami użytkowników
UNIX można administrować za pomocą ConsoleOneTM, tak samo, jak innymi
obiektami NDS.
44
Zasada działania zabezpieczeń Account Management
Niektóre aplikacje systemu UNIX przesyłają w sieci hasła w postaci
niezaszyfrowanej. Do aplikacji takich należą TELNET, FTP, rlogin i in. Hasło
przesyłane od klienta TELNET do serwera może zostać przechwycone.
Dlatego konieczne jest zastosowanie środków, które wyeliminują ryzyko
naruszenia zabezpieczeń. Jedno z rozwiązań polega na użyciu bezpiecznych
aplikacji, które szyfrują wszystkie dane przesyłane między klientem
a serwerem. Popularnym protokołem szyfrowania wszystkich przesyłanych
danych jest Secure Socket Layer (SSL). SSL może funkcjonować pomiędzy
niezawodnym, połączeniowym protokołem warstwy sieciowej (na przykład
TCP/IP) a protokołem warstwy aplikacji (na przykład HTTP).
Zgodność Account Management ze specyfikacją RFC 2307
Dokument RFC 2307 (http://www.isi.edu/in-notes/rfc2307.txt) definiuje
mechanizm odwzorowania jednostek NIS we wpisy X.500, tak aby można je
było później odwzorować przy użyciu protokołu LDAP.
Atrybuty i klasy obiektów zdefiniowane RFC 2307 dotyczą użytkowników/
grup oraz bazy NIS. Definicje dotyczące użytkowników/grup są zebrane
w pliku /usr/lib/nds-modules/schema/rfc2307-usergroup.sch. Definicje
dotyczące bazy NIS są zebrane w pliku /usr/lib/nds-modules/schema/rfc2307nis.sch. Dostępne są także analogiczne pliki w formacie LDIF (odpowiednio
/usr/lib/nds-modules/schema/rfc2307-usergroup.ldif i /usr/lib/nds-modules/
schema/rfc2307-nis.ldif).
Rozszerzanie schematu RFC 2307
Schemat RFC 2307 można rozszerzyć za pomocą narzędzia ndssch lub
ldapmodify. Schematy RFC dotyczące użytkowników/grup są rozszerzane
automatycznie po zainstalowaniu programu Account Management na stacjach
roboczych.
Aby rozszerzyć schemat za pomocą narzędzia ndssch:
1 Wprowadź następujące polecenie:
ndssch -t /usr/lib/nds-modules/schema/rfc2307usergroup.sch
lub
ndssch -t /usr/lib/nds-modules/schema/rfc2307-nis.sch
45
Parametr ndssch
Opis
-t
Nazwa drzewa, w którym ma być rozszerzony
schemat. Jest to parametr opcjonalny. Jeśli nie
zostanie określony, nazwa drzewa będzie
pobierana z pliku /etc/nds.conf.
Aby rozszerzyć schemat za pomocą narzędzia ldapmodify:
ldapmodify -h -D -w -f /usr/lib/nds-modules/schema/
rfc2307-usergroup.ldif
lub
ldapmodify -h -D -w -f /usr/lib/nds-modules/schema/
rfc2307-nis.ldif
Parametry ldapmodify
Opis
-h ldaphost
Określa alternatywnego hosta, na którym działa
serwer LDAP.
-D binddn
Powoduje utworzenie powiązania z katalogiem
X.500. Parametr binddn powinien mieć postać
nazwy katalogu zapisanej jako łańcuch, zgodnie
z definicją podaną w RFC 1779.
-w passwd
Hasło prostego uwierzytelnienia.
-f file
Powoduje, że informacje modyfikujące dane
wejściowe, będą odczytywane z pliku, a nie ze
standardowego wejścia.
Zasada działania mechanizmu jednorazowej rejestracji
(Single Sign-on)
Mechanizm jednorazowej rejestracji (Single Sign-on, SSO) umożliwia
użytkownikom uwierzytelnienie w odpowiednio skonfigurowanych
systemach Linux i Solaris bez konieczności podawania identyfikatorów
i haseł. Uwierzytelnienie odbywa się w tle, za pośrednictwem modułu
pam_ndssso, będącego dołączanym modułem uwierzytelniania (pluggable
authentication module, PAM). Moduł pam_ndssso realizuje funkcje SSO
wspólnie z modułem nds_ssod - demonem SSO. Moduł pam_ndssso działa
zawsze razem z modułem pam_nds i powinien być razem z nim umieszczony
na stosie PAM.
46
Mechanizm SSO można włączać i wyłączać dla poszczególnych aplikacji,
odpowiednio modyfikując pliki aplikacji w katalogu /etc/pam.d w systemach
Linux albo /etc/pam.conf w systemach Solaris.
Demony SSO działające na różnych komputerach komunikują się ze sobą, aby
niezauważalnie dla użytkownika i bezpiecznie realizować jednorazową
rejestrację.
Mechanizm SSO nie wykorzystuje szyfrowania w celu zachowania poufności.
Przydziały i prawa dysponenta dla obiektów Account Management
W przypadku systemów Linux i Solaris usługi NDS działają w oparciu
o określone przydziały dysponenta do obiektów i atrybutów. Program
Account Management wykorzystuje pięć typów obiektów:
! Użytkownik
! Grupa
! UNIX:Workstation/uamPosixWorkstation
! UNIX:Config/uamPosixConfig
! Template:Class
Po utworzeniu obiektu UNIX Config podczas instalacji i konfiguracji
produktu, dysponentowi [Public] przydzielane są uprawnienia [Read] do
atrybutu kontekstów stacji roboczej UNIX. Po utworzeniu obiektu stacji
roboczej UNIX podczas instalacji i konfiguracji produktu, dysponentowi
[Public] przydzielane są uprawnienia [Read] do atrybutu członkostwa grupy
i uprawnienia [Compare] do atrybutu CN.
Podczas przenoszenia obiektu użytkownika do NDS lub podczas
przypisywania użytkownika NDS do profilu UNIX, przydzielane są
następujące uprawnienia:
! uprawnienia [Read] do wszystkich atrybutów związanych z systemem
UNIX - dysponentowi [Public];
! uprawnienia [Read] do atrybutu członkostwa grupy - dysponentowi
[Public];
! uprawnienia [Compare] do atrybutu CN - dysponentowi [Public].
Przydziały te są tworzone wyłącznie podczas przypisywania użytkownikowi
profilu UNIX. Usunięcie profilu UNIX nie powoduje wycofania tych
przydziałów dysponenta, ponieważ mogły one zostać zmodyfikowane przez
administratora.
47
Gdy obiekt grupy jest przenoszony do NDS lub gdy grupie NDS
przypisywany jest profil UNIX, przydzielane są następujące uprawnienia:
! uprawnienia [Read] do atrybutu Members - dysponentowi [Public];
! uprawnienia [Read] do wszystkich atrybutów związanych z systemem
UNIX - dysponentowi [Public].
Przenoszenie kont użytkowników/grup do NDS
Po zainstalowaniu i skonfigurowaniu usług NDS można przenieść wszystkie
istniejące konta użytkowników i grup do bazy NDS. Do przenoszenia kont do
NDS służy narzędzie migrate2nds. Przed rozpoczęciem migracji należy
upewnić się, czy usługi NDS skonfigurowano podczas instalacji. Jeśli nie, to
można je skonfigurować za pomocą narzędzia ndscfg.
Jeśli nie są stosowane hasła buforowane (shadow passwords), należy je
uaktywnić, uruchamiając narzędzie pwconv.
Proces migracji składa się z czterech etapów:
! “Przygotowanie do migracji” na stronie 48
! “Przenoszenie kont” na stronie 52
! “Uaktywnienie i weryfikacja przeniesionych kont” na stronie 54
! “Zarządzanie uwierzytelnianiem, kontami i hasłami” na stronie 56
Przygotowanie do migracji
W poniższych punktach zamieszczono informacje na temat niezbędnych
przygotowań poprzedzających migrację kont użytkowników/grup do NDS.
! “Warunki wstępne migracji” na stronie 49
! “Łączenie kont użytkowników” na stronie 49
! “Tworzenie pliku migrate2nds.inp” na stronie 49
48
Warunki wstępne migracji
Przed rozpoczęciem migracji powinny być spełnione następujące warunki
wstępne:
! W pliku /etc/nsswitch.conf, we wpisach passwd i groups powinny być
wymienione wyłącznie pliki (files), pliki i NIS (files nis) albo pliki i NIS+
(files nisplus), w zależności od tego, skąd będą przenoszone konta
użytkowników. Podczas uruchamiania narzędzia migracyjnego nie
można w tych wpisach wymieniać NDS.
! Jeśli konta są przenoszone z plików, należy wywołać polecenie pwconv,
aby przepisać informacje z pliku /etc/passwd do pliku /etc/shadow.
Zapewni to spójność wpisów w obu plikach.
! W plikach, NIS i NIS+ nie mogą występować błędne wpisy.
W przypadku migracji z NIS lub NIS+, należy przed przystąpieniem do
przenoszenia kont upewnić się, czy usługi te są dostępne.
Łączenie kont użytkowników
Na różnych hostach mogą istnieć konta użytkowników i grup o tych samych
nazwach. Konta takie należy połączyć na jednym komputerze i upewnić się,
że nie występują powielone identyfikatory użytkowników i grup.
Jeśli po fazie przygotowawczej pozostaną powielone nazwy kont, to podczas
migracji dla każdej z takich nazw trzeba będzie określić, czy powielone konta:
! mają być odwzorowane w istniejące konto;
! nie powinny być przenoszone;
! powinny być przenoszone pod inną nazwą;
Ponadto łącząc konta użytkowników można rozwiązać problem powielonych
identyfikatorów użytkowników i grup.
W przypadku przenoszenia kont z dwóch baz danych na tym samym systemie,
na przykład z plików i NIS, należy upewnić się, że w bazach danych nie
występują powielone konta.
Tworzenie pliku migrate2nds.inp
Przed przeniesieniem kont do NDS trzeba będzie w katalogu /etc utworzyć
plik migrate2nds.inp. W katalogu /etc znajduje się przykładowy plik
migrate2nds.inp.
49
Poniżej wymieniono obowiązkowe dane wejściowe dla narzędzia
migrate2nds:
! Nazwa użytkownika admin: Nazwa użytkownika z prawami
administratora do drzewa NDS, do którego będą przenoszeni
użytkownicy.
Poniżej wymieniono opcjonalne dane wejściowe dla narzędzia migrate2nds:
! User Context: Kontekst, do którego mają być przenoszeni użytkownicy.
Jeśli kontekst nie zostanie określony, narzędzie utworzy kontener
o nazwie Użytkownicy UNIX w głównym katalogu partycji i przeniesie
użytkowników do tego właśnie kontenera. Nazwa katalogu głównego
partycji jest odczytywana z pliku /etc/nds.conf. Nazwę tę podaje się
podczas konfiguracji produktu.
! Group Context: Kontekst, do którego mają być przenoszone grupy. Jeśli
kontekst nie zostanie określony, narzędzie utworzy kontener o nazwie
Grupy UNIX w głównym katalogu partycji i przeniesie grupy do tego
właśnie kontenera. Nazwę partycji podaje się podczas konfiguracji
produktu.
! Workstation Access: Jeśli parametr ten ma wartość Tak, użytkownicy
i grupy uzyskują dostęp do wszystkich stacji roboczych w partycji.
Informacje te są pobierane z pliku the /etc/nds.conf. Jeśli parametr ma
wartość Nie, grupy uzyskują dostęp tylko do tej stacji roboczej, na której
uruchomione zostało narzędzie migracyjne. Domyślna wartość to Tak.
! Force Password Expiry: Przy ustawieniach domyślnych przeniesieni
użytkownicy muszą zmienić hasło przy pierwszym logowaniu. Zaleca się
pozostawienie domyślnej wartości Tak. Jeśli parametr ma wartość Nie,
przeniesieni użytkownicy nie muszą zmieniać hasła przy pierwszym
logowaniu.
! Set Search Context: Użytkownicy mogą mieć konta zarówno w systemie
UNIX, jak i w NDS. Można określić konteksty, w których narzędzie
migrate2nds może wyszukiwać istniejące konta użytkowników NDS.
Jeśli w takim kontekście znalezione zostaną konta NDS bez profilu UNIX
lub powielone konta NDS UNIX, to można zdecydować, czy konta takie
powinny być zaktualizowane do kont UNIX i czy przenoszone konta
mogą być odwzorowane w istniejące konta NDS UNIX. W pliku
wejściowym należy wprowadzić następujący wiersz:
SearchContexts=context
50
W nowych wierszach można określić dodatkowe konteksty. Wszystkie
wiersze występujące po parametrze SearchContext będą traktowane jako
konteksty wyszukiwania, aż do napotkania na innego poprawnego
parametru wejściowego. Wyszukiwanie może odbywać się w poddrzewie
lub ograniczać się do danego kontenera. Jeśli narzędzie migrate2nds ma
przeszukiwać poddrzewo w tym kontenerze, należy ustawić parametr
SubtreeSearch na Tak. Proces migracji przebiega wolniej, jeśli w pliku
migrate2nds.inp zostaną określone dodatkowe konteksty wyszukiwania.
! Unattended Migrate: Przy standardowych ustawieniach narzędzie
migrate2nds pyta, w jaki sposób traktować powielone konta podczas
migracji. Po wybraniu migracji samoczynnej (Unattended Migrate)
pytania nie będą zadawane. Konieczne będzie jednak ustawienie
parametrów dotyczących obsługi powielonych kont. Aby uzyskać więcej
informacji, patrz “Migracja samoczynna” na stronie 51.
! Delete Migrated Accounts: Po przeniesieniu kont do NDS można je
usunąć z lokalnej bazy danych. W tym celu parametrowi
DeleteMigratedAccounts w pliku migrate2nds.inp należy nadać wartość
Tak. Narzędzie migracyjne tworzy pliki z kontami, które nie zostały
przeniesione. Aby uzyskać więcej informacji, patrz “Usuwanie
przeniesionych kont” na stronie 55. Domyślna wartość to Nie.
! Create Backups for Revert Migrate: Konta przeniesione do NDS można
wycofać. W tym celu parametrowi CreateBackups w pliku
migrate2nds.inp należy nadać wartość Tak. Narzędzie migrate2nds
tworzy kopie zapasowe wszystkich przeniesionych kont i zapisuje je
w katalogu /var/ndsuam. Jeśli w katalogu /var/ndsuam directory istnieje
już plik zapasowy, jego nazwa zostanie zmieniona na .old. Aby uzyskać
informacje na temat wycofywania kont z NDS do lokalnej bazy danych
w systemacj Linux lub Solaris, patrz “Wycofywanie przeniesionych kont
z NDS” na stronie 20.
Migracja samoczynna
Istnieje możliwość samoczynnego przeniesienia wszystkich użytkowników,
tak aby narzędzie migracyjne nie zadawało żadnych pytań. Parametrowi
PromptIfDuplicateAccounts w pliku migrate2nds.inp należy nadać wartość
Nie, a ponadto określić następujące parametry wejściowe dla narzędzia
migrate2nds:
# parametry wejściowe migrate2nds
UpgradeNDSUsers=yes
UpgradeNDSGroups=yes
MapToExistingUNIXUser=no
MapToExistingUNIXGroup=no
51
Domyślną wartością wszystkich powyższych parametrów jest Tak. Jeśli
istnieje użytkownik/grupa NDS o tej samej nazwie, co użytkownik/grupa
UNIX, można określić, czy konto użytkownika/grupy NDS ma być
zamienione na konto UNIX, czy nie. W przypadku wybranie opcji Nie,
użytkownicy i grupy nie będą w takiej sytuacji przenoszeni. Można także
określić, czy powielone konto użytkownika/grupy UNIX ma być
odwzorowane w istniejące konto użytkownika/grupy NDS. W przypadku
odwzorowania kont, przypisane użytkownikowi NDS wartości
charakterystyczne dla systemu UNIX nie będą modyfikowane, ale nastąpi
aktualizacja członkostw grupy.
Nadanie parametrowi PromptIfDuplicateAccount wartości Tak spowoduje
ignorowanie wartości, nawet jeśli zostały wprowadzone w pliku
migrate2nds.inp.
Poniżej przedstawiono przykładowy plik migrate2nds.inp:
# przykładowy plik migrate2ndsinp
admin=cn=admin.ou=unix-users.o=novell
UserContext=ou=unix-users.o=novell
GroupContext=ou=unix-groups.o=novell
AccessToAllWorkstations=yes
ForcePasswordExpiry=no
DeleteMigrateAccounts=no
PromptIfDuplicateAccounts=no
UpgradeNDSUsers=yes
UpgradeNDSGroups=yes
MapToExistingUNIXUsers=yes
MapToExistingUNIXGroups=yes
SearchContexts=ou=uams.o=novell
SubtreeSearch=yes
CreateBackups=yes
Konteksty wprowadzone w pliku migrate2nds.inp nie powinny zawierać
spacji.
Przenoszenie kont
Konta można przenieść z plików, NIS i NIS+. W przypadku przenoszenia kont
z NIS należy uruchomić narzędzie migrate2nds na komputerze głównym NIS,
tak aby przeniesione konta zostały usunięte z NIS. W przeciwnym przypadku
narzędzie można uruchomić na dowolnym kliencie.
52
Aby przenieść konta z domeny głównej w NIS+, należy uruchomić narzędzie
migracyjne na serwerze głównym (root master server). W przeciwnym razie
narzędzie migracyjne należy uruchomić na kliencie domeny. Klient powinien
należeć do grupy Admin domeny i mieć prawo Modify w odniesieniu do
tabeli.
Jeśli konta są przenoszone z dwóch baz danych, plików, NIS lub NIS+, należy
upewnić, się czy w bazach tych nie występują powielone konta. Jeśli
występują, to należy nakazać ich odwzorowanie. Jeśli którekolwiek z tych
kont nie zostanie przeniesione, będzie uważane za nie przeniesione z obu baz
danych.
Narzędzie najpierw przenosi grupy, następnie konta użytkowników, a na
końcu listę członków grup. NDS nie pozwala na przeniesienie dwóch lub
większej liczby użytkowników o tej samej nazwie do tego samego kontekstu.
Podobnie, nie pozwala na przeniesienie do tego samego kontekstu kilku grup
o tej samej nazwie. Poniżej opisano możliwe sytuacje i opcje dostępne dla
użytkownika.
! Istnieje obiekt użytkownika/grupy NDS o tej samej nazwie i bez profilu
UNIX. Można wykonać jedną z następujących czynności:
! Zamienić istniejący obiekt użytkownika NDS w obiekt użytkownika
UNIX.
! Przenieść obiekt grupy/użytkownika pod inną nazwą.
Ta opcja nie jest dostępna w przypadku migracji samoczynnej.
! Nie przenosić obiektu grupy/użytkownika.
! Istnieje obiekt grupy/użytkownika NDS o tej samej nazwie, posiadający
profil UNIX. Można wykonać jedną z następujących czynności:
Ta opcja nie jest dostępna w przypadku migracji samoczynnej.
! Nie przenosić obiektu grupy/użytkownika.
! Istnieje obiekt o tej samej nazwie, ale innego typu. Takie konta nie będą
przenoszone podczas migracji samoczynnej. Można wykonać jedną
z następujących czynności:
! Nie przenosić obiektu użytkownika/grupy.
53
W przypadku migracji samoczynnej (Unattended Migrate), narzędzie
migrate2nds nie zadaje żadnych pytań. Nie zostaną zaktualizowane hasła kont
zamienionych na konta UNIX lub odwzorowanych w istniejące konta.
Konta użytkowników, które zostały zablokowane na lokalnym komputerze,
zostaną przeniesione i wyłączone. Można je włączyć za pomoca ConsoleOne.
Wyłączone zostaną także konta bez haseł. W przypadku kont ze statusem
hasła równym Clear Until First Login użytkownicy mogą naciskać klawisz
Enter w odpowiedzi na pytanie o hasło. Spowoduje to wyświetlenie pytania
o nowe hasło.
Narzędzie migrate2nds traktuje konta systemowe tak samo, jak każde inne,
ale nie usuwa kont systemowych z systemu Linux lub Solaris.
WAŻNE: Przy przenoszeniu kont użytkowników/grup z lokalnego hosta do NDS,
narzędzie migrate2nds nie sprawdza, czy identyfikatory użytkowników i grup są
unikatowe.
Użytkownik może zalogować się za pośrednictwem programu Novell® ClientTM
dopiero, gdy zaloguje się w systemie Linux lub Solaris. Ograniczenie to nie
obowiązuje, jeśli administrator zmienił hasło po migracji.
Jeśli administrator należy do tej samej partycji, co użytkownik root, ten będzie mógł
zmienić profil administratora.
Uaktywnienie i weryfikacja przeniesionych kont
Po zakończeniu migracji, aby uaktywnić przeniesione konta, należy dodać
źródło nds do wpisów baz danych passwd i group w pliku /etc/nsswitch.conf.
Jednak źródło nds powinno zawsze występować po (a nie przed) źródłem files
we wpisach baz danych passwd i group w pliku nsswitch.conf - ilustruje to
poniższy przykład:
passwd: files nds
group: files nds
hosts: files nds
Aby możliwe było użycie uwierzytelniania NDS należy zmodyfikować pliki
w katalogu /etc/pam.d w systemach Linux. W przypadku systemów Solaris
należy odpowiednio zmodyfikować plik /etc/pam.conf. Aby uzyskać więcej
informacji, patrz “Zarządzanie uwierzytelnianiem, kontami i hasłami” na
stronie 56.
54
Po zmodyfikowaniu pliku /etc/nsswitch.conf przez wpisanie źródła nds,
należy ponownie uruchomić demona SSO (nds_ssod), aby mógł on
zidentyfikować użytkowników i grupy w NDS.
Aby ponownie uruchomić demona w systemach Linux, należy wprowadzić
następujące polecenia:
/etc/rc.d/init.d/nds_ssod stop
/etc/rc.d/init.d/nds_ssod start
Aby ponownie uruchomić demona w systemach Solaris, należy wprowadzić
następujące polecenia:
/etc/init.d/nds_ssod stop
/etc/init.d/nds_ssod start
Jeśli działa demon nscd, nie trzeba wykonywać powyższych czynności.
Narzędzie migrate2nds tworzy plik migrate2nds.log w katalogu /var/ndsuam/
log. Jest to plik dziennika, a którym zapisane będą następujące informacje:
! czy konto zostało przeniesione;
! nowa nazwa przeniesionego konta, jeśli zostało przeniesione pod inną
nazwą;
! host, do którego grupa uzyskała dostęp.
Można przeglądać plik dziennika, aby zweryfikować status wszystkich
przeniesionych kont.
Usuwanie przeniesionych kont
Po przeniesieniu kont do NDS można je usunąć z lokalnej bazy danych.
W tym celu należy nadać wartość Tak parametrowi DeleteMigratedAccounts
w pliku migrate2nds.inp.
Narzędzie migrate2nds tworzy pliki zawierające konta użytkowników/grup,
które nie zostały przeniesione. Pliki te znajdują się w katalogu /var/ndsuam.
Konta użytkowników/grup, które nie zostały przeniesione z plików do NDS,
będą zapisane w następujących plikach w katalogu /var/ndsuam:
! files_passwd
! files_shadow
! files_group
55
Aby usunąć przeniesione konta, należy skopiować powyższe pliki do katalogu
/etc.
Konta użytkowników/grup, które nie zostały przeniesione z NIS do NDS,
będą odczytane z NIS i zapisane w następujących plikach w katalogu /var/
ndsuam:
! nis_passwd
! nis_shadow
! nis_group
Aby usunąć przeniesione konta, należy utworzyć bazę danych NIS za pomocą
tych plików. W katalogu /var/yp/Makefile należy dla parametrów PWDIR
i DIR określić ścieżkę do katalogu, do którego zostały skopiowane pliki.
Teraz należy wywołać polecenie make, aby odtworzyć bazę danych.
Konta użytkowników/grup, które nie zostały przeniesione z NIS+ do NDS,
będą odczytane z NIS+ i zapisane w następujących plikach w katalogu /var/
ndsuam:
! nisplus_passwd
! nisplus_shadow
! nisplus_group
Aby usunąć przeniesione konta, należy utworzyć bazę danych NIS+,
posługując się następującymi poleceniami:
nisaddent -m -f /var/ndsuam/nisplus_passwd passwd
nisaddent -m -f /var/ndsuam/nisplus_shadow shadow
nisaddent -m -f /var/ndsuam/nisplus_group group
Konta użytkowników/grup o identyfikatorach z przedziału 0-99 nie zostaną
usunięte z lokalnego hosta.
Zarządzanie uwierzytelnianiem, kontami i hasłami
Po zainstalowaniu i przeniesieniu kont do NDS, w odniesieniu do kont UNIX
można stosować oparte na NDS mechanizmy uwierzytelniania, zarządzania
kontami i hasła. Moduł pam_nds można załadować dynamicznie, aby w razie
potrzeby uzyskać dostęp do określonych funkcji.
56
W przypadku systemów Linux, ścieżka dostępu do tego modułu znajduje się
w plikach z katalogu /etc/pam.d. Na przykład, aplikacja login odczytuje
konfigurację PAM z pliku /etc/pam.d/login. Zawartość pliku /etc/
pam_nds_sample można dopisać do pliku /etc/pam.d/aplikacja, aby lokalny
host korzystał z uwierzytelniania NDS. Podczas instalacji NDS w katalogu /
etc/pam.d instalowany jest plik przykładowy pam_nds_sample. Jeśli lokalny
host ma korzystać z uwierzytelniania NDS, to należy dopisać zawartość tego
pliku do pliku określonej aplikacji.
W przypadku systemów Solaris, ścieżka do moduły pam_nds znajduje się
w pliku /etc/pam.conf.
Poniżej przedstawiono przykładowy wpis w pliku konfiguracyjnym,
dotyczącym aplikacji login w systemach Linux:
auth required /lib/security/pam_nds.so.0
Poniżej przedstawiono przykładowy wpis w pliku konfiguracyjnym,
dotyczącym aplikacji login w systemach Linux:
auth required /usr/lib/security/pam_nds.so.0
Pierwsze pole określa aplikację, na rzecz której ma być realizowana usługa
uwierzytelniania. Drugie pole zawiera nazwę usługi. W trzecim polu należy
wpisać znacznik kontrolny. Czwarte pole powinno zawierać nazwę modułu
realizującego usługę. Znacznik kontrolny może należeć do jednego
z poniższych typów:
! Required
Ten znacznik jest ustawiony, gdy niezbędne jest uwierzytelnienie przez
moduł. Jeśli uwierzytelnienie za pomocą danego modułu nie powiodło
się, to po wykonaniu wszystkich modułów ze stosu do programu
wywołującego zwracany jest komunikat o błędzie.
! Optional
Ten znacznik jest ustawiony, gdy uwierzytelnienie przez moduł jest
opcjonalne. W przypadku niepowodzenia mechanizm PAM ignoruje
moduł i kontynuuje wykonywanie następnego modułu w kolejności.
W przypadku użycia tego znacznika, użytkownik może się zalogować
nawet po niepowodzeniu danego modułu.
! Sufficient
Ten znacznik jest ustawiony, jeśli wymagane jest uwierzytelnienie tylko
przez jeden moduł. W przypadku pomyślnego uwierzytelnienia, aplikacja
nie będzie próbowała użyć innego modułu. W przypadku niepowodzenia
uwierzytelnienia, moduły z ustawionym znacznikiem Sufficient są
traktowane jak opcjonalne.
57
Do modułu NDS można przekazać następujące opcje:
! use_first_pass
Powoduje porównanie hasła z bazy danych haseł z początkowym hasłem
użytkownika (wprowadzonym przy uwierzytelnianiu użytkownika przez
pierwszy moduł na stosie). Jeśli hasła się nie zgadzają lub jeśli nie
wprowadzono hasła, moduł kończy pracę i nie prosi użytkownika
o podanie hasła. Tej opcji należy używać tylko wtedy, gdy w plikach
z katalogu /etc/pam.d usługę uwierzytelniania zdefiniowano jako
opcjonalną.
! try_first_pass
Powoduje porównanie hasła z bazy danych haseł z początkowym hasłem
użytkownika (wprowadzonym przy uwierzytelnianiu użytkownika przez
pierwszy moduł na stosie). Jeśli hasła się nie zgadzają lub jeśli nie
wprowadzono hasła, moduł prosi użytkownika o podanie hasła. Pytając
o bieżące hasło moduł uwierzytelniania NDS użyje zgłoszenia
password, chyba że wystąpiła jedna z poniższych sytuacji:
! Określono opcję try_first_pass i hasło wprowadzone dla pierwszego
modułu na stosie nie umożliwiło uwierzytelnienia przez moduł NDS.
! Nie określono opcji try_first_pass, a poprzednie moduły
uwierzytelniania wymienione w plikach z katalogu /etc/pam.d pytały
użytkownika o hasło.
W tych dwóch przypadkach moduł uwierzytelniania NDS użyje
zgłoszenia: hasło NDS.
Przenoszenie kont użytkowników i grup UNIX do NDS
Narzędzie unix2nds, znane także jako elastyczne narzędzie migracyjne, służy
do przenoszenia niezbędnych kont użytkowników, kont buforowanych i grup
UNIX. Podczas przenoszenia kont użytkowników UNIX do NDS, hasła tych
użytkowników także są przenoszone do obiektów użytkowników NDS.
Dzięki temu można zalogować się do obiektu użytkownika NDS korzystając
z hasła użytkownika UNIX, użytego do zalogowania na komputerze UNIX.
Ponieważ omawiane narzędzie wykorzystuje wywołania LDAP w celu
uzyskania dostępu do obiektów w bazie danych NDS, modyfikowania ich
i tworzenia, należy upewnić się, czy w formacie LDAP określono wszystkie
nazwy FDN.
58
Narzędzie pobiera dane wejściowe migracji albo ze standardowego wejścia,
albo z pliku. Formaty wejściowe mogą znajdować się w formatach plików
/etc/passwd, /etc/group lub /etc/shadow. Format wejściowy można określić za
pomocą opcji -t wraz z odpowiednim argumentem: passwd, group lub shadow.
Informacje konfiguracyjne dla narzędzia pobierane są z domyślnego pliku
konfiguracyjnego /etc/unix2nds.inp. Jeśli nie zostaną określone wartości
parametrów obowiązkowych, takich jak nazwa administratora, narzędzie
prosi o podanie wartości zanim użyje wartości domyślnych z pliku
konfiguracyjnego.
Informacje na temat korzystania z narzędzia unix2nds podano
w następujących punktach:
! “Konfiguracja narzędzia migracyjnego unix2nds” na stronie 59
! “Korzystanie z narzędzia unix2nds” na stronie 61
! “Przenoszenie grup UNIX do NDS” na stronie 63
! “Przenoszenie użytkowników UNIX do NDS” na stronie 63
! “Przenoszenie haseł UNIX do NDS” na stronie 64
Konfiguracja narzędzia migracyjnego unix2nds
Domyślne parametry konfiguracji znajdują się w pliku /etc/unix2nds.inp. Plik
ten można poddać edycji, aby zmodyfikować wartości parametrów.
W poniższej tabeli omówiono parametry konfiguracyjne narzędzia unix2nds.
Parametr
Opis
admin
W pełni wyróżniająca nazwa użytkownika
posiadającego uprawnienia administratora.
password
Hasło użytkownika posiadającego uprawnienia
administratora.
promptIfDuplicateExist
Określa, czy użytkownik ma być powiadamiany
o istnieniu powielonych kont.
promptIfDuplicateAccouts Określa, czy narzędzie ma prosić o zmianę nazwy
konta w przypadku wykrycia powielonych kont.
59
Parametr
Opis
migrateContext
Określa kontekst użytkownika lub grupy.
Jeśli kontekst użytkownika lub grupy nie zostanie
określony, narzędzie użyje wartości domyślnej.
Domyślnymi wartościami są: UNIX users lub UNIX
groups.
forceExpirePassword
Decyduje, czy ma być używane hasło przeniesione
z NDS.
Upgrade
Określa, czy w przypadku wystąpienia konta
NetWare®o określonej nazwie ma ono zostać
zamienione na konto UNIX.
AccessToAllWorkstations
Określa, czy użytkownicy mają uzyskać dostęp do
wszystkich stacji roboczych w domenie Account
Management.
SearchContext
Określa kontekst, w którym mają być poszukiwane
powielone nazwy. Jeśli występuje więcej niż jeden
kontekst nadający się do przeszukiwania, należy
podać ten parametr dla każdego z tych kontekstów.
SearchSub
Określam czy dla wszystkich wymienionych
kontekstów ma być przeszukiwane poddrzewo.
typ
Określa, czy plik wejściowy zawierający konta UNIX
jest zapisany w formacie passwd, group, czy shadow.
createContainer
Określa, czy w przypadku, gdyby nie istniał kontekst
migracji, ma on być utworzony.
Poniżej przedstawiono przykładowy plik unix2nds.inp:
admin=admin_FDN
password=admin_password
promptIfDuplicateExist=yes/no
promptIfDuplicateAccounts=yes/no
migrateContext=user_context
forceExpirePassword=yes/no
Upgrade=yes/no
AccessToAllWorkstations=yes/no
SearchContext=kontekst_FDN1_w_ktorym_maja_byc_poszukiwane_po
wielone_konta
SearchContext=kontekst_FDN2_w_ktorym_maja_byc_poszukiwane_po
wielone_konta
SearchSub=yes/notyppasswd/group/shadow
createContext=yes/no
60
Korzystanie z narzędzia unix2nds
Poniżej opisano składnię elastycznego narzędzia migracyjnego:
unix2nds [-a admin_FDN-p hasło][-i][[-C konteks_migracji]
[-G kontekst_grupy][-w][-x][-h][-?][-g plik_grupy][-u][-m]
[-S kontekst_wyszukiwania][-b][-s] [-t password/group/
shadow] [-f plik_wejściowy][-c plik_konfiguracyjny]
Opcja
Opis
-a admin_FDN
W pełni wyróżniająca nazwa użytkownika z prawami
administratora do drzewa NDS.
-p hasło
Hasło użytkownika posiadającego uprawnienia
administratora.
-i
Określa, czy użytkownik ma być informowany
o istnieniu powielonych kont.
-C kontekst_migracji
Określa kontekst użytkownika lub grupy, do którego
mają być przeniesione konta, lub w którym mają być
umieszczone zaktualizowane konta.
-x
Powoduje, że nie będzie używane hasło
przeniesionych kont NDS. Domyślną wartością jest
Tak.
-m
Powoduje wywołanie narzędzia migrate2nds w celu
przeniesienia kont do drzewa NDS.
*G kontekst_grupy
Przenosi konta użytkowników należące do kont grup
wyłącznie w określonym kontekście grupy. Ta opcja
ma zastosowanie wyłącznie przy przenoszeniu kont
użytkowników.
-w
Udostępnia wszystkie stacje robocze w domenie
Account Management. Użycie wartości domyślnej
powoduje, że udostępniona zostanie wyłącznie
bieżąca stacja robocza. Ta opcja ma zastosowanie
wyłącznie przy przenoszeniu kont grup.
-t passwd/group/shadow
Formaty kont, które mają być przeniesione do drzewa
NDS. Domyślna wartość to passwd.
-h
Powoduje wyświetlenie pomocy do narzędzia.
61
Opcja
Opis
-g plik_grupy
Określa plik grupy, który był używany do
przenoszenia grup. Ta opcja jest obowiązkowa
w przypadku przenoszenia użytkowników do NDS.
-u
Powoduje zamianę konta na konto UNIX, jeśli istnieje
już konto Netware o podanej nazwie. Domyślnie
konta nie są zamieniane.
-S
kontekst_wyszukiwania
Kontekst, w którym mają być wyszukiwane
powielone nazwy. Jeśli istnieje więcej niż jeden
kontekst nadający się do przeszukiwania, należy
powtórzyć tę opcję dla każdego z nich. Domyślnie
przeszukiwany będzie wyłącznie kontekst, do
którego są przenoszone konta.
-s
Powoduje, że nie będzie przeszukiwane poddrzewo.
Domyślnie drzewo jest przeszukiwane.
-f plik_wejściowy
Plik wejściowy zawierający konta UNIX, które mają
być przeniesione, w formatach password, group lub
shadow. Brak tej opcji powoduje, że narzędzie będzie
odczytywać informacje o kontach ze standardowego
wejścia w formacie określonym za pomocą opcji -t.
-c plik_konfiguracyjny
Określa plik konfiguracyjny, który ma być używany
zamiast domyślnego pliku /etc/unix2nds.inp.
-b
Powoduje, że w przypadku gdy nie istnieje kontekst
migracji, nie będzie tworzony nowy kontekst.
Domyślnie kontekst migracji jest tworzony.
UWAGA: Jednoczesne użycie opcji -i i -u powoduje, że istniejące konta NetWare
zostaną zamienione na konta UNIX. Użycie wyłącznie opcji -i powoduje, że
istniejące konta NetWare nie będą zamieniane. Użycie wyłącznie opcji -u
powoduje, że narzędzie zapyta użytkownika, czy konto grupy lub użytkownika ma
być zamienione, czy też ma być zmieniona jego nazwa.
62
Przenoszenie grup UNIX do NDS
Grupy są przenoszone wraz z nazwami i identyfikatorami (GID). Po
przeniesieniu użytkowników aktualizowana jest lista członków
(użytkowników, którzy należą do grupy), ponieważ istnieje możliwość, że
nazwy użytkowników nie zostały przeniesione lub że uległy zmianie podczas
migracji. Narzędzie odczyta informacje o kontach grup UNIX z pliku
wejściowego określonego w wierszu polecenia lub ze standardowego wejścia
w formacie pliku /etc/group. Obiekty grup tworzone są w kontekście
domyślnym lub podanym przez użytkownika. Tworzenie obiektu grupy
kończy się niepowodzeniem, jeśli grupa o tej nazwie istnieje już w podanym
kontekście. Jeśli istniejąca grupa jest grupą NetWare, można ją zamienić na
grupę UNIX.
Jeśli istnieje już obiekt grupy UNIX o określonej nazwie, można przenieść
grupę pod inną nazwą. Należy upewnić się, czy przeniesiono wszystkie konta
użytkowników ze zmienionej grupy. W przeciwnym razie użytkownicy ci
staną się członkami innej grupy w NDS. Po przeniesieniu kont użytkowników,
obiekty grup są aktualizowane informacjami o użytkownikach należących do
grupy.
Aby przenieść konta grup UNIX do NDS:
unix2nds -t group -f PlikKontGrup
Narzędzie odczytuje informacje o kontach grup z pliku PlikKontGrup
i przenosi te informacje o domyślnego kontekstu grupy group
ou=unix-groups.
Przenoszenie użytkowników UNIX do NDS
Narzędzie odczyta informacje o kontach użytkowników UNIX z pliku
wejściowego określonego w wierszu polecenia lub ze standardowego wejścia
w formacie pliku /etc/passwd.
Tworzenie obiektu użytkownika kończy się niepowodzeniem, jeśli
użytkownik o tej nazwie istnieje już w podanym kontekście. Jeśli istniejący
użytkownik jest użytkownikiem NetWare, można go zamienić na
użytkownika UNIX. Jeśli istniejący użytkownik jest użytkownikiem UNIX,
można go przenieść pod inną nazwą.
63
Aby przenieść konta użytkowników UNIX do NDS:
unix2nds
Informacje na temat migracji kont użytkowników UNIX będą
odczytywane ze standardowego wejścia w formacie /etc/passwd.
Narzędzie pobierze informacje o konfiguracji domyślnej z pliku /etc/
unix2nds.inp.
Przenoszenie haseł UNIX do NDS
Po przeniesieniu kont użytkowników UNIX można przenieść informacje o ich
hasłach. Format pliku wejściowego używanego do przenoszenia haseł kont
użytkowników jest określony w pliku /etc/shadow. Hasła nie zostaną
przeniesione, jeśli nie przeniesiono jeszcze użytkownika UNIX.
Zarządzanie kontami użytkowników i grup UNIX
W poniższych punktach zamieszczono informacje na temat zarządzania
kontami użytkowników i grup UNIX.
! “Tworzenie obiektów grup, szablonów i użytkowników UNIX” na
stronie 64
! “Przypisywanie atrybutów UNIX dla obiektów grup, szablonów
i użytkowników” na stronie 66
! “Przeglądanie szczegółowych informacji o obiekcie konfiguracji UNIX”
na stronie 69
! “Modyfikacja obiektu stacji roboczej UNIX” na stronie 69
Tworzenie obiektów grup, szablonów i użytkowników UNIX
Konta użytkowników, grup i stacji roboczych UNIX są w NDS
reprezentowane przez obiekty. Dla każdego systemu UNIX, który ma być
dostępny dla użytkowników, musi istnieć odpowiedni obiekt stacji roboczej
w drzewie NDS. Grupie UNIX można nadać członkostwo w obiekcie stacji
roboczej. Dzięki temu użytkownicy z grupy UNIX będą mieli dostęp do
systemu UNIX reprezentowanego przez dany obiekt stacji roboczej.
W kolejnych punktach opisano czynności wymagane do utworzenia obiektów
użytkowników, grup i stacji roboczych UNIX.
64
Należy zadbać, by nazwy i identyfikatory użytkowników w kontekście były
unikalne.
W poniższych punktach zamieszczono informacje na temat tworzenia
obiektów grup, szablonów i użytkowników UNIX.
! “Tworzenie obiektu grupy UNIX” na stronie 65
! “Tworzenie obiektu szablonu UNIX” na stronie 65
! “Tworzenie obiektu użytkownika UNIX” na stronie 66
Tworzenie obiektu grupy UNIX
1 Kliknij prawym przyciskiem myszy kontener, w którym ma zostać
utworzony obiekt grupy > kliknij Nowy > Grupa.
2 W polu Utwórz grupę wprowadź nazwę nowego obiektu Grupa.
3 Kliknij przycisk Zdefiniuj dodatkowe właściwości.
4 Kliknij OK.
Informacje na temat definiowania atrybutów UNIX dla obiektu grupy można
znaleźć w “Przypisywanie atrybutów UNIX do obiektu grupy” na stronie 66;
instrukcje postępowania podano w Krok 2 na stronie 66.
Tworzenie obiektu szablonu UNIX
Jeśli zachodzi potrzeba zdefiniowania kilku nowych użytkowników
spełniających określone wspólne wymagania, można uprościć sobie zadanie,
tworząc obiekt szablonu. Nie należy korzystać z obiektu szablonu do
tworzenia całkowicie unikatowego użytkownika.
utworzony obiekt szablonu > kliknij Nowy > kliknij Obiekt.
2 W oknie dialogowym Nowy obiekt kliknij Szablon > OK.
3 W polu Nazwa wprowadź nazwę nowego obiektu.
4 (Opcjonalnie) Aby utworzyć obiekt szablonu na bazie istniejącego
szablonu lub użytkownika, zaznacz opcję Użyj szablonu lub obiektu
użytkownika.
5 Zaznacz pole Zdefiniuj dodatkowe właściwości.
6 Kliknij OK.
65
Informacje na temat definiowania atrybutów UNIX dla obiektu szablonu
można znaleźć w “Przypisywanie atrybutów UNIX do obiektu szablonu” na
stronie 67; instrukcję postępowania podano w Krok 2 na stronie 67.
Tworzenie obiektu użytkownika UNIX
utworzony użytkownik > kliknij Nowy > kliknij Użytkownik.
2 W polu Nazwa wprowadź nazwę logowania użytkownika.
3 W polu Nazwisko wprowadź nazwisko użytkownika.
4 (Opcjonalnie) W polu Unikatowy identyfikator wprowadź identyfikator
umożliwiający dostęp do użytkownika za pośrednictwem LDAP.
Każdy użytkownik w drzewie NDS musi posiadać unikatowy
identyfikator.
5 Kliknij przycisk Zdefiniuj dodatkowe właściwości.
6 Kliknij OK.
Użytkownikowi można przypisać hasło w oknie dialogowym Utwórz
niewiadome uwierzytelnienia. Aby przypisać hasło później, kliknij OK.
Informacje na temat definiowania atrybutów UNIX dla obiektu użytkownika
można znaleźć w “Przypisywanie atrybutów UNIX obiektowi użytkownika”
na stronie 68; instrukcje postępowania zamieszczono w Krok 2 na stronie 67.
Przypisywanie atrybutów UNIX dla obiektów grup, szablonów
i użytkowników
W poniższych punktach zamieszczono informacje na temat przypisywania
atrybutów UNIX dla obiektów grup, szablonów i użytkowników.
! “Przypisywanie atrybutów UNIX do obiektu grupy” na stronie 66
! “Przypisywanie atrybutów UNIX do obiektu szablonu” na stronie 67
! “Przypisywanie atrybutów UNIX obiektowi użytkownika” na stronie 68
Przypisywanie atrybutów UNIX do obiektu grupy
1 Kliknij prawym przyciskiem myszy obiekt grupy, któremu mają być
przypisane atrybuty UNIX > kliknij Właściwości.
2 Kliknij zakładkę UNIX Profile Identification (Identyfikacja profilu
UNIX).
66
3 W polu Identyfikator grupy wprowadź odpowiedni identyfikator.
Wypełnienie tego pola jest konieczne, aby grupa była identyfikowana
jako grupa UNIX.
4 Aby usunąć profil UNIX wybranego obiektu grupy, zaznacz pole wyboru
Delete UNIX Profile (Usuń profil UNIX).
5 Kliknij zakładkę UNIX Profile Workstation Memberships (Członkostwa
stacji roboczych w profilu UNIX).
6 Kliknij Dodaj.
W oknie przeglądarki pojawi się lista dostępnych stacji roboczych.
W oknie tym można przypisywać członkostwa stacji roboczych.
7 Wybierz stacje robocze > kliknij OK.
Wybrane obiekty stacji roboczych pojawią się na liście Workstation
Memberships (Członkostwa stacji roboczych).
8 (Opcjonalnie) Aby usunąć stacje robocze z listy Workstation
Memberships (Członkostwa stacji roboczych), wybierz obiekt stacji
roboczej > kliknij Delete.
9 (Opcjonalnie) Aby dodać użytkowników do grupy, kliknij zakładkę
Członkowie.
W oknie przeglądarki pojawi się lista dostępnych obiektów
użytkowników. Można przypisać członkostwa dodatkowej grupy dla
wymienionych obiektów użytkowników.
Wybierz odpowiednie obiekty > kliknij OK.
Wybrane obiekty pojawią się na liście członków grupy.
10 (Opcjonalnie) Aby usunąć członkostwa grup dodatkowych na ekranie
Członkowie, wybierz obiekty użytkowników > kliknij Delete.
11 Kliknij OK.
Przypisywanie atrybutów UNIX do obiektu szablonu
1 Kliknij prawym przyciskiem myszy obiekt szablonu, któremu mają być
przypisane atrybuty UNIX > kliknij Właściwości.
2 Kliknij zakładkę UNIX Profile (Profil UNIX).
67
3 Aby wybrać grupę podstawową, do której ma należeć użytkownik, kliknij
przycisk Przeglądaj.
Wybierz odpowiednią grupę > kliknij OK.
Należy obowiązkowo wybrać grupę UNIX.
4 Wybierz powłokę logowania z listy rozwijanej Login Shell (Powłoka
logowania): Bourne, C, Korn lub Inna.
Bourne, C i Korn są predefiniowanymi powłokami logowania; ścieżki
dostępu do tych powłok nie można modyfikować. Aby określić ścieżkę
dostępu do powłoki logowania, wybierz opcję Inna.
5 W polu Katalog domowy podaj domyślny katalog użytkownika.
Domyślnym katalogiem domowym jest /home/nazwa_użytkownika.
6 (Opcjonalnie) W polu Comments (Komentarze) wprowadź opis
szablonu.
7 Kliknij OK.
Przypisywanie atrybutów UNIX obiektowi użytkownika
1 Kliknij prawym przyciskiem myszy obiekt użytkownika, któremu mają
być przypisane atrybuty UNIX > kliknij Właściwości.
2 Kliknij zakładkę UNIX Profile (Profil UNIX).
3 W polu Identyfikator użytkownika wprowadź unikalny identyfikator
użytkownika.
4 Aby wybrać grupę podstawową, do której ma należeć użytkownik, kliknij
przycisk Przeglądaj.
Wybierz odpowiednią grupę > kliknij OK.
Należy obowiązkowo wybrać grupę UNIX.
5 Wybierz powłokę logowania z listy rozwijanej Login Shell (Powłoka
logowania): Bourne, C, Korn lub Inna.
Bourne, C i Korn są predefiniowanymi powłokami logowania; ścieżki
dostępu do tych powłok nie można modyfikować. Aby określić ścieżkę
dostępu do powłoki logowania, wybierz opcję Inna.
6 (Opcjonalnie) W polu Katalog domowy podaj domyślny katalog
użytkownika.
Domyślnym katalogiem domowym jest /home/nazwa_użytkownika.
68
7 (Opcjonalnie) W polu Comments (Komentarze) wprowadź opis
użytkownika.
8 Kliknij zakładkę Członkostwo grupy > kliknij Dodaj, aby przypisać
członkostwa dodatkowych grup dla obiektu użytkownika.
9 Wybierz odpowiednie obiekty > kliknij OK.
10 (Opcjonalnie) Aby usunąć członkostwa dodatkowych grup z listy
Członkowie, wybierz grupę > kliknij Usuń.
11 Kliknij OK.
W przypadku hostów Linux i Solaris katalog domowy użytkownika trzeba
utworzyć ręcznie.
Przeglądanie szczegółowych informacji o obiekcie konfiguracji UNIX
1 Kliknij prawym przyciskiem myszy obiekt konfiguracji UNIX.
2 Kliknij Właściwości.
3 Kliknij zakładkę Konfiguracja.
Na stronie właściwości wyświetlane są konteksty, w których rezydują
obiekty stacji roboczych UNIX.
4 Kliknij zakładkę Identyfikacja.
Na stronie właściwości wyświetlana jest nazwa obiektu konfiguracji
UNIX.
Modyfikacja obiektu stacji roboczej UNIX
1 Kliknij prawym przyciskiem myszy obiekt stacji roboczej UNIX > kliknij
Właściwości.
2 (Opcjonalnie) Kliknij zakładkę Identyfikacja > w polu Opis wprowadź
opis obiektu stacji roboczej.
3 Kliknij zakładkę Członkowie.
4 Kliknij Dodaj.
Pojawi się okno przeglądarki z listą dostępnych grup.
5 Zaznacz odpowiednie grupy > kliknij OK.
Wszyscy użytkownicy należący do tych grup uzyskają dostęp do systemu
UNIX reprezentowanego przez obiekt stacji roboczej.
69
6 (Opcjonalnie) Aby usunąć grupy z listy Członkowie, zaznacz je na liście
> kliknij Usuń.
7 Kliknij OK.
Aby usunąć obiekt stacji roboczej UNIX, kliknij go prawym przyciskiem
myszy > kliknij Usuń. Usuwanie obiektu stacji roboczej nie jest zalecane. Jeśli
usunięty zostanie obiekt stacji roboczej, należy na odpowiednim komputerze
Linux lub Solaris wyłączyć demona pamięci podręcznej Account
Management, nds_uamcd, a następnie ponownie go uruchomić.
OSTRZEŻENIE: Nie należy usuwać obiektu stacji roboczej UNIX za pomocą
ConsoleOne. Należy uruchomić program nds-uninstall, a następnie wybrać opcję
Account Management na komputerze Linux lub Solaris. Spowoduje to usunięcie
obiektu stacji roboczej UNIX w ramach procesu instalacji.
Optymalizacja programu Account Management
W poniższych punktach zamieszczono informacje na temat optymalizacji
wydajności programu Account Management.
! “Korzystanie z demona pamięci podręcznej nds_uamcd” na stronie 70
! “Pamięć podręczna dla najczęściej występujących żądań usług
nazewniczych” na stronie 71
Korzystanie z demona pamięci podręcznej nds_uamcd
NDS zawiera demona pamięci podręcznej, nds_uamcd, który buforuje w pełni
wyróżniające nazwy (fully distinguished names, FDN) obiektów
użytkowników. Za każdym razem, gdy moduły pam_nds i nss_nds odczytują
z bazy danych NDS informacje o obiekcie użytkownika, demon nds_uamcd
zapisuje nazwę FDN tego obiektu w pamięci podręcznej. NDS przeszukuje
pamięć podręczną zanim odwoła się do bazy danych NDS, dzięki czemu
dostęp do informacji odbywa się szybciej.
Demona nds_uamcd należy uruchomić po ponownym uruchomieniu systemu.
Aby uruchomić demona nds_uamcd:
! W systemach Linux wprowadź polecenie:
/etc/rc.d/init.d/nds_uamcd start
! W systemach Solaris wprowadź polecenie:
/etc/init.d/nds_uamcd start
70
Aby zatrzymać demona nds_uamcd:
/etc/rc.d/init.d/nds_uamcd stop
/etc/init.d/nds_uamcd stop
Demona nds_uamcd można skonfigurować za pomocą narzędzia uamconfig.
Pamięć podręczna dla najczęściej występujących żądań usług
nazewniczych
Systemy Red Hat (6.0 i nowsze) oraz Solaris zawierają demona pamięci
podręcznej, nscd, który buforuje najczęściej występujące żądania usług
nazewniczych. Demon ten przechowuje w pamięć podręcznej profile wpisów
użytkowników i grup, poprawiając tym samym wydajność aplikacji, takich
jak ls i ps. Demona nscd można skonfigurować za pośrednictwem pliku
/etc/nscd.conf.
Aby uruchomić demona nscd:
/etc/rc.d/init.d/nscd start
/etc/init.d/nscd start
Aby zatrzymać demona nscd:
/etc/rc.d/init.d/nscd stop
/etc/init.d/nscd stop
Demona nscd należy uruchomić ponownie po każdej zmianie konfiguracji
NSS, PAM lub NDS, dokonanej w pliku /etc/nsswitch.conf, plikach z katalogu
/etc/pam.d lub plikach /etc/nds.conf. Ponowne uruchomienie demona jest
także konieczne w sytuacji, gdy wpisy haseł i nazw użytkowników nie są
szybko aktualizowane po dokonaniu zmian.
71
Usuwanie problemów związanych z programem
Account Management w systemach Linux i Solaris
W poniższych punktach zamieszczono informacje na temat usuwania
problemów z programem Account Management.
! “Przeniesieni użytkownicy nie mogą się zalogować” na stronie 72
! “Sprawdzanie, czy działa uwierzytelnianie NDS” na stronie 73
! “Użytkownik posiadający uprawnienia równoważne użytkownikowi
Root nie może zmieniać haseł innych użytkowników” na stronie 73
! “Użytkownik nie może się zalogować” na stronie 74
! “Nie są dostępne informacje ważności hasła użytkownika” na stronie 75
Przeniesieni użytkownicy nie mogą się zalogować
Jeśli parametrowi AccessToAllWorkstations w pliku wejściowym nadano
wartość Nie, to może się zdarzyć, że podczas migracji narzędzie migrate2nds
nie udostępni grupie obiektu stacji roboczej, który reprezentuje host Linux lub
Solaris. Sytuacja taka może wystąpić, jeśli istniały dwa obiekty stacji roboczej
reprezentujące host Linux lub Solaris, i jeden z tych obiektów usunięto.
Demon Account Management buforujący nazwy obiektów nadal przechowuje
w pamięci podręcznej nazwę usuniętego obiektu stacji roboczej. Narzędzie
migrate2nds wyświetla następujący komunikat:
Unable to find the Workstation object (Nie można
odnaleźć obiektu Stacja robocza).
Aby udostępnić stację roboczą przeniesionym grupom, należy wyłączyć
demona pamięci podręcznej Account Management, korzystając z poniższych
poleceń.
! W systemach Linux:
/etc/rc.d/init.d/nds_uamcd stop
! W systemach Solaris:
/etc/init.d/nds_uamcd stop
72
Aby ponownie uruchomić demona pamięci podręcznej Account Management,
należy użyć następujących poleceń:
! W systemach Linux:
/etc/rc.d/init.d/nds_uamcd start
! W systemach Solaris:
/etc/init.d/nds_uamcd start
Następnie należy dodać przeniesione grupy do obiektu stacji roboczej za
pomocą ConsoleOne.
Sprawdzanie, czy działa uwierzytelnianie NDS
NDS oferuje narzędzie diagnostyczne, weryfikujące działanie
uwierzytelniania NDS.
Aby za pomocą narzędzia ndslogin sprawdzić, czy uwierzytelnianie NDS
funkcjonuje poprawnie, należy wprowadzić następujące polecenie:
/usr/bin/ndslogin
nazwa_kanoniczna.nazwa_organizacyjna.NAZWA_DRZEWA
Aby sprawdzić, czy użytkownik Jan jest uwierzytelniany, należy wprowadzić
następujące polecenie:
/usr/bin/ndslogin jan.is-calls.provo.novell.DEMO_TREE
Pojawi się pytanie o hasło użytkownika. Narzędzie ndslogin poinformuje, czy
uwierzytelnianie NDS funkcjonuje prawidłowo.
Użytkownik posiadający uprawnienia równoważne użytkownikowi
Root nie może zmieniać haseł innych użytkowników
! Użytkownik równoważny użytkownikowi root (uid=0) przeniesiony do
NDS nie może zmieniać haseł innych użytkowników w NDS, mimo że
system pyta go o hasło root. Tylko użytkownik root może zmieniać hasła
użytkowników w NDS.
Aby uniknąć tego problemu, należy za pomocą ConsoleOne przypisać
użytkownikowi równoważnemu root prawa administratora.
! Po wywołaniu polecenia passwd użytkownik root musi podać
dotychczasowe hasło użytkownika. Sytuacja taka występuje, jeśli
identyfikator użytkownika zmieniono na root za pomocą narzędzia su.
73
Aby uniknąć tego problemu, należy zalogować się jako użytkownik root
za pomocą programu TELNET* lub innego narzędzia i użyć polecenia
passwd.
! W przypadku, gdy użytkownicy są dodawani za pośrednictwem LDAP,
dysponentowi [Pulbic] należy nadać uprawnienia do różnych atrybutów
utworzonego użytkownika.
Użytkownik nie może się zalogować
! Użytkownik nie może się zalogować i otrzymuje następujący komunikat:
Nie ma takiego wpisu. Wpis użytkownika jest buforowany
w dwóch demonach: nscd i nds_uamcd. Można określić optymalną
częstotliwość odświeżania bufora. Przed upływem zadanego okresu
zmiana wpisów użytkownika nie zostanie odzwierciedlona na
komputerze Linux lub Solaris. Aby zmiany odniosły natychmiastowy
skutek, należy zatrzymać i ponownie uruchomić demony nscd
i nds_uamcd. W przypadku systemów Linux demon nscd jest dostępny
tylko w wersji Red Hat 6.0 lub nowszych.
! Jeśli czas logowania przekracza 60 sekund, program login zakończy
pracę. Jest to ograniczenie systemów operacyjnych Linux i Solaris.
! Użytkownik utworzony za pomocą ConsoleOne, któremu przypisano
hasło dłuższe niż osiem znaków, może mieć problemy z zalogowaniem.
Dzieje się tak dlatego, że polecenie passwd nie może przetwarzać haseł
dłuższych niż osiem znaków. Hasło jest obcinane.
! Przeniesiony użytkownik może mieć trudności z zalogowaniem za
pośrednictwem programu Novell ClientTM. Wynika to z faktu, że
przeniesiony użytkownik może się zalogować za pośrednictwem klienta
dopiero po zalogowaniu z hosta Linux lub Solaris. Powyższe
ograniczenie nie obowiązuje, jeśli zmieniono hasło.
! Identyfikatory użytkowników muszą mieć wartości mniejsze niż 65535.
Użytkownicy, którym w ConsoleOne przypisano identyfikator większy
niż 65535, lub którzy zostali przeniesieni z systemu Solaris, na którym
wartości identyfikatorów są większe niż 65535, nie będą mogli się
zalogować.
74
Nie są dostępne informacje ważności hasła użytkownika
Podczas instalacji programu Account Management, w NDS tworzony jest
obiekt stacji roboczej reprezentujący hosta Linux lub Solaris. Dla obiektu tego
generowana jest para kluczy (klucz publiczny i prywatny). Aplikacje
działające w tle, takie jak Cron, sprawdzają ważność konta użytkownika bez
odwoływania się do funkcji uwierzytelniania modułu pam_nds. Do uzyskania
informacje szczegółowych, takich jak ważność hasła użytkownika, niezbędny
jest jego klucz prywatny. Jeśli plik zawierający klucz prywatny jest
uszkodzony, informacje o ważności hasła nie będą dostępne.
W takim przypadku można uruchomić narzędzie ndswskey w celu
wygenerowania nowej pary kluczy dla obiektu stacji roboczej. Narzędzie
poprosi o wprowadzenie nazwy administratora z pełnym kontekstem oraz
jego hasła.
WAŻNE: Ze wspomnianego narzędzia można korzystać tylko wtedy, gdy
zainstalowano program Account Management.
75
76

Instalacja programu Account Management

Transkrypt

Podobne dokumenty

dymy spawalnicze

Testy on-line

Instrukcja konfiguracji Systemu wysyłkowego Apaczka z Shoplo

WNIOSEK O ZMIAN DELEGACJI NAZWY DOMENY Ę

Karta charakterystyki produktu

Prop-2-yn-1-ol