LWsystems bietet Ihnen systemübergreifende IT-Beratung und umfassenden Service in allen Fragen Ihrer IT-Infrastruktur.
Rufen Sie uns einfach an!

05451 - 9363 845 oder 05403- 55 56

Netware und NDS

Inhalt

• Einführung in Netware und NDS
  
• Verwendung der Workstation
  
• Administration einer Workstation
  
• Administration - allgemein
  
• Die NDS
  
• Sicherheit
  
• Verwalten des File Systems
  
• Verwalten der File System Security
  
• NDS Security
  
• ZENworks
  
• Workstation Manager
  
• Multicontext Environment
  
• Anhang
  

Einführung in Netware und NDS

Aufbau des Netzwerks

Ein Netzwerk ist eine Gruppe von Computern, die miteinander kommunizieren, sich Ressourcen teilen (share printers and harddisks) und die Zugriff auf Remote hosts und andere Netzwerke haben. In der Regel wird ein Netzwerk anhand der Eigenschaften Topologie, Protokoll und Architektur klassifiziert.

Ein minimales Netzwerk kann aus den folgenden Komponenten bestehen:

• Netzwerkmedium (Communication media)
• Peripheriegeräte wie lokale Drucker, Modems und Diskettenlaufwerke,
• das Kommunikationsmedium (idR. Kabel),
• Ein oder mehrere Server

Diese Geräte sind über das Kommunikationsmedium (idR. Netzwerkkabel oder Funkstrecken) miteinander verbunden.

Peripheriegeräte

Peripheriegeräte (peripheral devices) können mit Workstations, Servern oder auch direkt an das Netzwerkkabel angeschlossen werden. Peripheriegeräte sind zum Beispiel Drucker, Scanner, Modems, ... etc.

Datenfluß

Das Netzwerkkabel überträgt die im Netzwerk. Die NIC empfängt und sendet diese Daten. Nachdem die Karte die Daten empfangen (eingesammelt (gather)) hat, werden diese weiter zum OS und der Novell Client Software übertragen. Das OS und der Novell Client verarbeiten die von der Netzwerkkarte übermittelten Daten. Die Applikation übernimmt die Daten vom Betriebssystem und dem Novell Client und verarbeitet sie so, daß sie auf dem Monitor angezeigt werden können. Der User modifiziert jetzt die gegebenen Informationen. Aufgrund der Änderunungen sendet die Applikation eine Anfrage an den Novell-Client und das Betriebssystem. Die Daten werden vom Betriebssystem und dem Client verarbeitet und an den Netzwerkkartentreiber versandt. Dieser wiederum steuert die NIC so an, daß diese die Daten ins Netzwerk einspeist.

Schichtenaufbau des Client

1. Application
2. Windows OS
3. Novell Client
4. Novell ODI/NDIS
   (Novell/Microsoft-Treiber für den Protokollunabhängigen Zugriff auf die Netzwerkkartentreiber)
5. LSLC32.NLM (Link and Security Layer?)
   (Novell NLM zur Ansteuerung der Netzwerkkarte, Netzwerkkartentreiber)
6. LAN - NLMs
   (Treiber für LAN-Protokolle wie Ethernet)

Die Komponenten der Software-Layer wie z.B. die Novell Client-Software haben die Aufgabe, die Netzwerkdaten in ein sicheres und brauchbares Format zu konvertieren.
Die unterhalb der Softwarekomponenten angesiedelten Hardware-Komponenten wie z.B. Netzwerkkarten und -kabel belegen ermöglichen den Ein- und Ausgang von Daten in der Arbeitsstation.

Verlauf des Zugriffs auf eine Ressource

1. Client fordert eine Ressource an
2. Ein Netware-Server antwortet
3. NDS sucht die Ressource im NDS-Tree (Directory)
4. Der Pfad zur Ressource innerhalb der NDS wurde gefunden
5. Die Rechte des Clients auf die Ressource werden geprüft
6. Client wird mit der Ressource verbunden, falls er Rechte zum Zugriff auf die Ressource hat

Aufgaben der Komponenten

Die Workstationsoftware unterstützt die Hardware bei Aufgaben, die diese nicht allein durchführen kann. Hierzu gehören:

• Erstellen der (Daten-) Inhalte (contents), die an das Netzwerk gesandt und von hier empfangen werden.
• Konvertieren der Daten in ein Format, daß von allen Netzwerkgeräten verstanden wird (NDIS/ODI).
• Sicherstellen, daß nur authorisierte User einen Zugriff auf das Netzwerk haben.
• Kontrolle des Datenflusses zu Usern und Applikationen innerhalb der Workstation.

Der Novell Client

Extended Functions des Novell Client:

• Unterstützung langer Dateinamen,
• Vollständige Integration in den Windows Explorer, der Netzwerkumgebung und anderer Windows-Programme.
• Verwendung des System-Trays

Ressourcen und Services

Zugriff auf Ressourcen und Services

Die Novell-Terminologie spricht von Netzwerk-Ressourcen, wenn direkt die Hardware-Geräte gemeint sind, auf die ein User netzwerkweit zugreifen kann um eine bestimmte Aufgabe zu erfüllen. Die Ressource kann mit Hilfe eines Services Netzwerkweit zur Verfügung gestellt werden. Letztendlich genutzt wird jedoch die Ressource.

Auch die NDS (Novell Directory Services) ist ein Service. Sie ist nach der fundamentalen Netzwerk-Kommunikation der zweitwichtigste Aspekt in einem NetWare Netzwerk.

Services für den Share-Zugriff auf Speichermedien

File Services bzw. File System Services erlauben den geteilten (share) Zugriff auf Laufwerke (Speichermedien), die mit NetWare Servern verbunden sind.

Verantwortlichkeiten (responsibilities) des NW-Administrators

1. Setting up the network ressources
2. Organize and configuring network ressources
3. Manage network security and network printing
4. Protect the data
5. Backup the data
6. Document the network and the NDS tree

Verwendung der Workstation

Die primären Aufgaben der Workstation sind:

• Informationen zu verarbeiten, die zum Netzwerk gesandt werden und von hier empfangen werden.
• Daten von NetWare Servern und anderen Workstations empfangen und versenden.
• Eine Verbindung mit dem Netzwerk herstellen mittels NIC, Kabeln, einem Betriebssystem und dem Novell Client.

Für die Konfiguration des Novell Client muß der Installierende das Protokoll und den Login Authentifikation Prozeß kennen, um sich auch am Netzwerk anmelden und somit die Konfiguration prüfen abschließen zu können.

Workstation Software

Die Aufgabe der Software der Workstation ist es,

• den Inhalt der Daten zu generieren, die über das Netzwerk gesandt werden,
• die Daten, die über das Netzwerk gesandt werden so zu formatieren, daß alle Geräte im Netz dieses verstehen,
• helfen sicherzustellen, daß nur authorisierte User Zugriff zum Netzwerk bekommen,
• den Datenfluß zum User und zu den Applikationen auf der Workstation zu steuern.

Administration einer Workstation

Mit Hilfe des Novell Client kann der Zugriff auf Netzwerkressourcen und Dienste und erfolgen. Falls dieser installiert ist, erweitert er den Windows Explorer und die Netzwerkumgebung um Funtionen um den NDS-Tree zu durchsuchen.

Services

• Novell Directory Services (NDS)
• File Services (File System)
• Sicherheit (Security)
• Novell Distributed Print Services (NDPS)
• Application Access Service (Application Launcher)
• ZENworks
• Speicher Management Services (SMS - Store Management Service: Sicherungskopieen, Backup des Filesystems auf Tape)

NDS Objekte

Im NDS-Tree können die folgenden Objekttypen eingesetzt werden:

Root

 $$

Container

• Country
• Organisation
• Organisational Unit

 $$

Leaf

• Netware Server
• Volume
• Alias
• User
• Gruppe
• Organisatorische Funktion
• Linzenzzertifikat (gerolltes Blatt)
• Lizenzcontainer (Kiste)
• Anwendung (Fenster mit Diamond)
• Drucker (Druckersymbol kein NDPS-Drucker)
• Druckserver (Druckersymbol mit mehreren Blättern nicht NDPS )
• Printerqueue (Blätterstapel mit Pfeilen)
• Profile (Fenster mit rechtem Laufbalken)
• Workstation (WS-Symbol)
• Workstationgruppe
• Directory Map (F: Symbol)
• Unbekannt (?)

Administration - allgemein

User

Das Userobjekt ist das fundamentale Objekt im NDS Baum. Dieses Objekt enthält Informationen über den User und über die (Netzwerk-) Umgebung des Users. Der Zugriff auf das Netzwerk und die Services wird mit Hilfe des Userobjektes gesteuert.

Das Userobjekt erlaubt neben dem Zugriff auf das Netzwerk den Gebrauch einer Netzwerkapplikation, indem das Objekt zu einer Eigenschaft des Applikationsobjektes hinzugefügt wird. Auch das Drucken wird möglich, indem ein Userobjekt einem Drucker zugeordnet wurde.

User erstellen und verwalten

Die User lassen sich mit den folgenden Tools erstellen und verwalten:

• NetWare Administrator
• ConsoleOne
• UIMPORT (DOS-Utility, daß den Import von Usern aus einer Datenbank in die NDS ermöglicht)
• BULKLOAD (Erstellen, modifizieren oder löschen von NDS-Objekten, ermöglicht den Import von LDAP Data Interchange Format Datenfiles)

Falls einen größere Menge von Usern automatisch erstellt werden soll, oder eine Gruppe von Usern aus einer Datenbank (Lotus Notes) eingefügt werden soll, läßt sich dieses mit BULKLOAD.NLM oder UIMPORT durchführen.

Standardrechte des neuen Users

Bei Erstellen eines neuen Users werdem diesem einige Standardrechte gewährt um das Netzwerk nutzen zu können:

 $$

Leserechte für alle Eigenschaften seines Userobjektes,

 $$

Lese- und Schreibrechte auf die Login-Script Eigenschaft,

 $$

Lese- und Schreibrechte auf die Druckereinstellungen,

 $$

Das [Root]-Objekt wird Trustee des Userobjektes mit Leserechten auf die Eigenschaften Netzwerkadresse und Gruppenmitgliedschaft. Hiermit können die Netzwerkadresse und vorhandene Gruppenmitgliedschaften gelesen werden.

Public

Das [Public]-Objekt wird Trustee mit dem Recht Lesen für die Eigenschaft ``Standartserver'' um den Standardserver für das Userobjekt ermitteln zu können.

Die NDS

Zusammensetzung (consist) des Directories

Das Netware Directory setzt sich aus Objekten (objects), Eigenschaften (properties) und Werten (values) zusammen.

Objekttypen

Country Object

Das Country Object (symbolisiert durch drei Flaggen) weist mehrere Eigenschaften bezüglich seiner Anordnung im NDS-Tree und seiner Attribute auf.

• ist optional
• existiert nur im [root]- Objekt
• kann nur Organisations-Objekte und Aliase enthalten
• Enthält aus zwei Buchstaben bestehende Länderabkürzungen

Sicherheit

NetWare bietet vier grundlegende Sicherheitsoptionen:

• Login Security (Anmeldesicherheit)
• NDS Security (NDS Sicherheit)
• File Security (Dateisystemsicherheit)
• Network Printing Security (Drucksicherheit)

Zu den allgemeinen Sicherheitssystemen zählt die Serversicherheit, die jedoch nicht direkt in NetWare integriert ist. Hier muß darauf geachtet werden, daß niemand physikalischen Zugriff auf den Server bzw. die Serverkonsole hat. Hierzu zählen zum Beispiel das Sichern des Raumes in dem der Server aufgestellt ist.

Die letztendliche Verantwortung für die Sicherheit im Netzwerk obliegt dem Netzwerkadministrator.

Login Security

Die Login Security überwacht die Anmeldung an das Netzwerk. Hier wird festgelegt, wer sich am Netzwerk anmelden kann. Zusätzlich können Restriktionen eingestellt werden, die eine Anmeldung auf bestimmte Workstations oder auf bestimmte Zeiten einschränkt.

Kategorien der Login Security

Authentication

Dieser automatisch ablaufende Prozess gewährleistet, daß Anfragen auf im Netzwerk wirklich vom Urheber der Verbindung (einer beglaubigte Quelle) stammen und nicht gefälscht wurden.

User account restrictions

Beschränkung der der Loginzeit, etc.

Intruder detection

Erkennung unbefugter Benutzer.

Intruder detection

Diese Sicherheitskategorie hat die Aufgabe den Versuch eines unberechtigten Anmeldens am Netzwerk zu erkennen und zu protokollieren. Hier kann z.B. eingestellt werden, wie viele Login-Versuche ein User mit einem falschen Passwort hat.

Transparenter Zugriff auf beliebige Ressourcen

Mit Hilfe der automatischen Authentifikation ist es möglich, daß der User nach einmaliger Anmeldung transparenten Zugriff auf alle Netzwerkressourcen hat. Hierdurch muß er sich beim Zugriff auf eine neue Ressource nicht wiederholt anmelden. Die Anmeldung erfolgt am gesamten Netzwerk.

Frage:
Which NetWare 5.1 login security feature enables a user to log in to a singsle server, rather than logging in to each server that manages a service the user needs? - Authentication

Verwalten des File Systems

Das Filesystem in NetWare ist hierarchisch aufgebaut. An höchster Ebene steht der Server selbst. Darunter sind die Volumes angeordnet, die Directories, Subdirectories und Files enthalten können.

Zugriff auf Applikationen

wird mit Hilfe der File System Security kontrolliert (NICHT mit der NDS-Security)

Speicherplatzbeschränkungen

Mit Hilfe von ConsoleOne oder Netware Administrator lassen sich die Space-Limits auf dem Volume einstellen. Die Restriktionen lassen sich pro User oder pro Verzeichnis einstellen. Bei der User-Einstellung kann der Platz limitiert werden, den ein User auf dem gesamten Volume einnehmen kann.

Verwalten der File System Security

Die File System Security überwacht den Zugriff auf Dateien und Applikationen nachdem ein User eingeloggt ist. Um dieses zu gewährleiten werden die Konzepte der Trustees, Vererbung, Effektive Rechte und Vererbungsfilter genutzt.

Planung des Filesystems

Bei der Planung der Filesystemstruktur sollten die folgendendermaßen vorgegangen werden:

1. Die Struktur wird von oben nach unten geplant, wobei die Rechtevergabe von weniger nach mehr Zugriff verläuft.
2. Die Planung der Rechte erfolgt vom Root-Verzeichnis und verläuft von hier aus nach unten.
3. Jeder Ebene werden nur die vom Trustee benötigten Rechte zugewiesen, wobei auf den Verwendungszweck des Verzeichnisses seitens der Trustees ausgegangen wird.
4. Unerwünschte Vererbungen werden mit Hilfe von Filtern gesperrt. (Das Supervisor Recht kann im Filesystem nicht gefiltert werden!)
5. Das Zuweisen von zuvielen Rechten auf der obersten Ebene sollte auf jeden Fall vermieden werden.

Rechtevergabe für bestimmte Aufgaben

Suchen, Erstellen und Schreiben

Um den Usern das Suchen nach Files, das Erstellen und Schreiben in Files zu erlauben, benötigen diese die Rechte Create und File Scan. Mit diesen Rechten sind sie in der Lage das Verzeichnis nach Dateien zu durchsuchen und neue Dateien anzulegen.

Lesen und ändern können sie jedoch nur die eigenen, da sie hier automatisch alle Rechte besitzen. Die Files im Verzeichnis, die anderen Usern gehören sollen sie sich gar nicht erst ansehen können. Sie wissen nur, daß diese existieren.

Öffen, ändern und umbenennen

Um Files in einem Verzeichnis öffnen, ändern und umbenennen zu können müssen die User die Modify und die Write Dateisystemrechte besitzen.

IRF (Inherited rights filter) ändern

Hierfür wird das Access Control Recht benötigt, mit dem die Trustee-Zuweisungen und der Vererbungsfilter geändert werden können.

File System Attribute

Die Attribute greifen direkt am File an, so daß sie noch Vorrang vor den Userrechten und den Dateisystemrechten haben.

salvage

Minimale Rechte um ein File zu retten: Read, File Scan auf das File, Create auf das Directory in dem das File wiederhergestellt werden soll.

NDS Security

Die NDS Security überwacht, wer die NDS wie benutzen und verwalten darf.

Ein Objekt, daß in der ACL eines anderen Objektes eingetragen ist, wird Trustee genannt.

Als Trustee kann auch ein Containerobjekt zugewiesen werden. Dieses hat zur Folge, daß alle Objekte, die Trustee des Containerobjektes sind, indirekt zum Trustee des Objektes werden, bei dem das Containerobjekt als Trustee eingetragen ist. Dieses heißt auch, daß [Root] und [Public] als Trustee eines Objektes allen angemeldeten Benutzern bzw. allen Benutzern, die Zugriff auf das Netzwerk (vor der Anmeldung) haben, Zugriff auf dieses Objekt haben.

Die Rechte, die ein Objekt an einem anderen hat werden in Eigenschaftsrechte und in Objektrechte unterteilt.

Vererbung

Hinsichtlich der Vererbung teilt unterscheidet das NDS-System zwischen Objektrechten und Eigenschaftsrechten.

Objektrechte

Objektrechte sind Rechte, die dem Trustee eines Objektes erteilt wurden. Hier wird festgelegt, welche Aktionen der Trustee direkt mit dem Objekt durchführen darf (durchsuchen, umbenennen, löschen). Der Zugriff auf die Eigenschaften des Objektes (die Informationen wie Telefonnummer, Login Restrictions etc. wird hier nicht gesteuert. Die folgenden Objektrechte können erteilt werden:

Supervisor (S)

Browse (B)

Das Trustee darf das Objekt im NDS-Baum darstellen.

Create (C)

Das Trustee darf im NDS-Baum Objekte unterhalb dieses Objektes erstellen. Nur für Containerobjekte verfügbar.

Delete (D)

Das Objekt-Trustee darf dieses Objekt aus dem NDS-Baum löschen.

Rename (R)

Dieses Objekt darf umbenannt werden. Hier erfolgt quasi ein Zugriff auf die Objekteigenschaft ``Objektname''.

Inheritable (I)

Das Objekt-Trustee darf die zugewiesenen Rechte dieses Containerobjektes an andere Objekte im Container vererben. Dieses Recht wird standartmäßig gewährt, um das Vererben von Rechten an Containerobjekte und untergeordnete Container zu vereinfachen. Das Objekt, daß als Trustee das Inheritable Recht besitzt, vererbt die auf dieser Ebene zugewiesenen Rechte an alle Objekte innerhalb des Containers. Jetzt ist es ein Trustee für alle Objekte im Container mit allen auf dieser Ebene zugewiesenen Rechten.
Nach dem Entzug des Inheritable Rechtes stehen den Trustees nur die Rechte zur Verfügung, die dem Trustee des Containerobjektes zugewiesen wurden. Es werden keine Rechte für die Objekte und untergeordneten Container vererbt. Dieses Recht ist nur für Containerobjekte verfügbar.

Eigenschaftsrechte

Die Eigenschaften des Objektes sind u.a. Informationen über Netzwerkressourcen, die dieses Objekt repräsentiert. Diese Informationen entsprechen den Attributen des Objektes und werden in den Eigenschaften des Objektes gespeichert.

Die Eigenschaftsrechte stellen ein, auf welche der Objekteigenschaften ein Trustee wie zugreifen darf:

Supervisor (S)

Compare (C)

Ermöglicht den Vergleich des Attributwertes mit einem beliebigen Wert. Es wird nur das Ergebnis des Vergleichs (wahr oder falsch) angezeigt. Dieses Recht wird mit automatisch mit dem Leserecht gewährt.

Read (R)

Hiermit wird das Anzeigen des Eigenschaftswertes ermöglicht.
Gleichzeitig wird hiermit auch das Vergleichsrecht gewährt, da das Leserecht dem Vergleichsrecht quasi übergeordnet ist.

Write (W)

Das Objekt-Trustee darf einen Eigenschaftswert modifizieren, hinzufügen, löschen oder ändern.
Gleichzeitig mit dieser Rechtezuweisung wird das Recht ``Eigenen Namen hinzufügen / ändern gewährt.

Add Name (A)

Diese Eigenschaft ermöglicht es dem Trustee sich selbst als Wert der Objekteigenschaft hinzuzufügen. Hiermit kann der Trustee eventuell weitergehende Rechte erhalten. Dieses Recht wird automatisch mit dem Schreibrecht gewährt.

Inheritable (I)

Ein Objekt-Trustee mit diesem Recht vererbt alle Eigenschaftsrechte an diesem Objekt an die anderen Objekte im Container. Das Recht wird standardmäßig erteilt, wenn die Option ``Alle Eigenschaften'' ausgewählt ist.

Container Admins

dezentrale Verwaltung, Richtlinien f. Container-Admins

• Wenn ein Container nur von einer Person verwaltetet wird, genügt die Zuweisung der entsprechenden Rechte für das Benutzerobjekt dieser Person.
• Wird der Container von mehreren Personen verwaltet, sollte ein organisatorisches Funktionsobjekt Verwendung finden.
• Falls ein organisatorisches Funktionsobjekt verwandt wird, sollte zur Sicherheit zuätzlich eine explizite Supervisor Trusteezuweisung an ein Userobjekt erfolgen, falls das organisatorische Funktionsobjekt gelöscht wird.
• Es sollte mindestens zwei Objkekte (User oder Funktionsobjekte) Rechte eines Container-Verwalters erhalten.

ZENworks

Das ZENworks Starterpack wird auf SYS:PUBLIC installiert. Hierzu werden ca. 175 MB Festplattenspeicher benötigt.

Applikationsobjekte

Wenn Applikationsobjekten Gruppenobjekte zugeordnet werden sollen (associated), sollten:

• die Gruppenobjekte im selben Container wie die entsprechende Applikation erstellt werden,
• die Anzahl der Mitglieder sollte auf 1.500 begrenzt werden,
• Mitgliedschaften sollten nicht über das WAN (WAN-Verbindungen) verteilt werden,
• möglichst alle User sollten sich in der selben Partition befinden um den Traffic auf dem Netz zu minimieren,
• kein User sollte sich in mehr als 64 Gruppen befinden .

notwendige Rechte

Der User muß die passenden Filesytemrechte am Applikationsexecutable haben. Diese werden Ihm direkt von ZENworks gegeben. Daneben muß er dem Applikationsobjekt zugewiesen werden. Er benötigt nicht unbedingt Leserechte auf die Pfadeigenschaft des Applikationsobjektes, da dieses den Zugriff auf das Objekt ausführt. Der User braucht den Pfad zur Applikation also nicht zu kennen.

Einstellungsmöglichkeiten

Identification property page

• Einstellen des Icon-Titels
• Einstellen des Pfades zum Executable
• Wählen, ob die Applikation als Install only gewertet werden soll. In diesem Fall wird kein Executable benötigt, da nur ein ``leeres'' Objekt installiert wird.
• Einstellung, ob der Application Launcher das Objekt nur einmal starten soll.
• Ein anderes Icon als das Defaulticon nutzen.

Environment property page

• Kommandozeilenparameter
• Arbeitsverzeichnis
• Run Mode (Normal, Minimized, Maximized)
• WOW Support für 16Bit Apps
• Netzwerkressourcen aufräumen
• Logfileeinstellung (Pfad und Filename)
• Nutzung eines Wrappers um das zum OS passende Programm zu starten

policy packages

User package
Workstation package

Troubleshooting Policy Packages

• Verifizieren, ob der passende (appropriate) Typ des Policy Packages erstellt wurde.
• Sicherstellen, daß der User dem Policy Package zugeordnet wurde.
• Sicherstellen, daß zumindest ein Policy Package verbunden wurde.
• Der Workstation Manager muß mit dem Novell Client installiert worden sein.
• Der aktive Zweig für den speziellen User muß als trusted Tree aufgelistet sein.
• Ist der Timestamp für das Policy Package Objkekt aktuell? (Wenn die Desktop Referenz z.B. nicht angezeigt wird)

Application Launcher

Application Launcher ist ein Snap-In des Netware Administrators und wird auf der Workstation ausgeführt. Es ermöglicht, den Netware Administrator zu nutzen um

• Applikationsobjekte darzustellen (und somit zu sehen).
• Applikationsobjekte zu erstellen und zu konfigurieren.
• Das Environment der Applikation einzustellen.
• Den Namen (Identification) der Applikation einzustellen.
• Applikationen zu filtern.
• Die Applikationen an die User zu verteilen, indem
  • sie auf der Workstation installiert wird, oder
  • auf der Workstation als Icon mit dem Executable auf dem Server verknüpft wird (shared Application).
• Die Applikationsverteilung für jeden User und jede Workstation unabhängig voneinander einzustellen.
• Die Applikationen zu verwalten, indem auf die Eigenschaften auf der Applikationseigenschafts-Seite eines Container-, Gruppen- oder Userobjektes zugegriffen werden kann.
• Die Einstellung von Load-Balancing und Fehlertoleranz.

Application Launcher bietet die folgende Vorteile für den Administrator:

• Single-point application administration,
• Zentralisierte Verwaltung (maintenance) und Kontrolle über die Applikationen im Netzwerk,
• Push-and-pull Software Verteilung,

Für den User bietet es die Vorteile:

• Zugriff auf Applikationen unabhängig von der genutzten Workstation,
• Applikations- Fehlertoleranz
• Applikations- Loadbalancing
• Roaming Profile Support

Mit Hilfe von Application Launcher läßt sich exakt kontrollieren, was der User auf seiner Workstation sehen kann und was er tun darf. Mit Hilfe der zentralisierten Applikationskontrolle können neue Applikationen einfach an die User verteilt, und jede Applikation einfach upgedated werden.

Workstation Manager

Workstation Manager ermöglicht es, die Windows Policies innerhalb der NDS zu verwalten. Dieses bietet den Vorteil, daß

• Änderungen an einer Policy automatisch über das Netzwerk repliziert (kopiert) werden. Dieses trägt zur größeren Fehlertoleranz des Systems bei.
• Die Netzlast wird bei initialisierung gering gehalten, da die Policy Files nicht in das SYS:PUBLIC Directory eines jeden Servers im Netzwerk kopiert zu werden brauchen.

snAppShot

Zur Erstellung eines Applikationsobjektes muß mit Hilfe von snAppShot ermittelt werden, welche Änderungen an der Workstation vorgenommen werden. Hierfür muß vorher auf (jeder) der Workstation(s) das Utility SNAPSHOT.EXE einmal gestartet werden.

Das Utility snAppShot ist im Application Launcher enthalten. Mit Hilfe von snAppShot wird ein Application Template erstellt. Hier ist vermerkt, welche Änderungen am Targetsystem vorgenommen werden. Um ein Applikationsobjekt zu erstellen sind somit die folgenden Schritte notwendig:

1. Mit Hilfe von snAppShot wird ein Abbild des nativen Systems erstellt.
2. Die Applikation wird installiert.
3. Die Änderungen werden von snAppShot ermittelt. Eventuell muß snAppShot hierfür ein zweites mal aufgerufen werden.
4. Das Applikationsobjekt kann nun mit Hilfe des von snAppShot erstellten Templates erstellt werden.

Administrative Aufgaben

Um einen ungehinderten Zugriff auf Desktopapplikationen sicherzustellen sollte der Administrator planen, welche Rechte er benötigt, umd die Workstationen verwalten zu können. Diese werden in je einem Policy Package für Workstations und für den Admin User eingebracht. Diese Packages werden mit dem Administratorobjekt zugewiesen.

Registration von Workstationobjekten

Die Workstationobjekte werden in der NDS registriert. Um dieses zu verifizieren kann der Admin die Logfiles auf den Workstations untersuchen (WSREG32.LOG/WSREG16.LOG). Eine einfache Methode ist es, in jedem Containerobjekt auf der Registered Workstation Page nachzusehen, ob die entsprechende Workstation hier gelistet ist.

Um eine Workstation in der NDS zu registrieren und importieren, muß eine Workstation Import Policy erstellt werden. Die User müssen mit dieser verknüpft werden. Die Imprortpolicy definiert, wo die in der NDS erstellt wird. Um eine gute Zugriffsgeschwindigkeit zu erhalten sollten sich die WS-Objekte in der gleichen Partition wie die zugewiesenen Userobjekte befinden.

Die Workstationobjekte können in den Container der Userobjekte, oder in einem Einzweckcontainer nur für die Workstations importiert werden. Der größte Vorteil der Speicherung der WS-Objekte im Container der Userobjekte ist das effiziente und flexible Design der NDS. Eine Installation der Workstatitonobjekte im selben Container wie die User erfordert jedoch eine genaue Überwachung der Größe der NDS Partition die die WS-Objekte enthält.

Registration von WS in Containern

Wenn die User-Workstationen in einem Container registriert werden sollen, muß hierfür das Programm WSRIGHTS.EXE ausgeführt werden. Diese kann während der Installation von ZENworks oder manuell mit NetWare Administrator erfolgen. Beide Methoden gewähren das Writerecht des Users auf das Attribut WM: Registered Workstation des Containers.

Falls der Container nach der Installation von ZENworks erstellt wurde, müssen die passenden Rechte hier manuell eingestellt werden. Um den Container manuell einzustellen wird im Menü die Option ``Workstation Utilities'' gewählt, die drei Utilities enthält:

• Clear Workstation
• Prepare Workstation Registration
• Remove Workstation

Multicontext Environment

Der NDS-Tree sollte effizient geplant werden. Hieraus ergeben sich folgende Vorteile:

• Die User können Informationen und Daten leichter finden.
• Die Administration des Netzwerks wir für den Administrator einfacher.
• Die NDS-Datenbank wird robuster hinsichtlich Fehlern.
• Der Traffic auf dem Netz wird gering gehalten.

• Jeder Container hat sein eigenes Template Objekt
  
• Intruder Detection für jeden Container definieren
  
• Alias Objekte auf User-Objekte für User definieren, die sich oft in einem anderen Kontext einloggen.

Ressource im Multicontainercontext

Die Guidelines für das Aufsetzen der Ressourcen sind:

1. NDS und NDS Sicherheit
   • Benutze die voreingestellten Zuweisungen (default assignments)
   • Delegiere Verantwortlichkeiten an weitere Administratoren
2. File System und Filesystemrechte
   • Es sollten möglichst globale Objekte bei der Rechtevergabe genutzt werden (Container, Gruppenobjekte, [Root], [Public])
   • Falls Objekte (User, Gruppen, Container) Rechte auf Volumes zugewiesen werden, sollte dieses mit Hilfe von Trusteezuweisungen erfolgen.
   • Zum Mappen eines Laufwerkes sollte der Distinguished (.foo.bar.baz) des Volumes genutzt werden, ein Directory Map Objekt oder ein Aliasobjekt genutzt werden.

Profile Object

Um einem User Zugriff auf ein Profile Objekt zu gewähren müssen zwei Schritte durchgeführt werden. Hierfür muß der Admin das Schreibrecht auf die Object Trustees Eigenschaft des Profilobjektes haben, um das Profileobjekt zu der User-Eigenschaft Profile zuordnen zu können. Der User muß Lesezugriff auf die Login-Script Eigenschaft des Profilobjektes bekommen.

Referenzen und Referenzobjekte

Ein Alias repräsentiert ein Volume; daher kannß mit Ihm nur auf ein Volume verwiesen werden. Ein Directory Map Objekt ist ein Pointer, der auf ein Directory verweist. Hiermit lassen sich Verweise auf Unterverzeichnisse eines Volumes erstellen, auf die dann z.B. in Login-Scripten zugegriffen werden kann. Ein weiterer Vorteil ist es, daß hiermit lange Pfadnamen auf einen einzigen Namen reduziert werden können. Weiterhin kann der physikalische Pfad zu einer Datei oder einem Verzeichnis verändert werden, ohne daß Login-Scripte oder Batchfiles angepaßt werden müssen.

Das Directory Map Object wird im NDS-Tree als F: Symbol dargestellt. Falls im Netzwerk keine Volumes existieren, kann auch kein Directory Map Object eingesetzt werden.

Ein User, der dieses Objekt nutzen will muß mindestens entsprechende Filesystemrechte auf das Verzeichnis besitzen, auf das das Objekt verweist. Darüber hinaus muß er noch Leserechte auf die Pfad- Eigenschaft des Directory Map Objektes haben.

Neben den Objekten, die direkt auf die Verzeichnisse im Filesystem oder auf Volumes verweisen kann mit Hilfe von Applikationsobjekten direkt auf die ausführbaren Applikationen verwiesen werden.

Um einigen Usern, die sich oft in verschiedenen Kontexten einloggen, den Zugriff auf Ressourcen zu ermöglichen läßt sich am einfachsten mit Aliasobjekten arbeiten. Diese lassen sich schnell im entsprechenden Kontext erstellen.

Anhang

allgemeine Eigenschaften und Services

Application access

Der Application-Access Service erlaubt es dem Administrator Applikationen zu verteilen und zu warten.

Filesystemrechte

Supervisor (S)

Alle Rechte für Verzeichnis, Unterverzeichnisse und Dateien. Kann nicht gefiltert werden.

Read (R)

Recht Dateien im Verzeichnis zu öffnen, den Inhalt von Dateien lesen und das Ausführen von Programmen.

Write (W)

Recht Dateien zu öffnen und ihren Inhalt zu verändern.

Create (C)

Neue Dateien und Unterverzeichnisse dürfen im Verzeichnis erstellt werden.

Erase (E)

Dateien Verzeichnisse mit Unterverzeichnissen dürfen gelöscht werden.

Modify (M)

Die Attribute oder der Namen einer Datei oder eines Verzeichnisses darf verändert werden.

File Scan (F)

Der Inhalt von Verzeichnissen darf angezeigt werden. (Die Datei wird beim Listing angezeigt.)

Access (A)

Der User darf Trustee-Zuweisungen und Filter für vererbte Rechte an dieser Datei oder dem Verzeichnis ändern. Somit können hiermit alle Rechte außer dem Supervisor-Recht zugewiesen werden.

Benötigte Rechte für bestimmte Aufgaben

Aufgabe	Benötigte Rechte
Öffnen und Lesen einer Datei	Read
Anzeige des Dateinamens	File Scan
Durchsuchen des Verzeichnisses nach Dateien	File Scan
Vorhandene Datei öffnen und in ihr Schreiben	Write, Create, Erase, (Modify)
Ausführuen eines Executables	R, File Scan
Datei erstellen und in ihr Schreiben	Create
Dateien aus einem Verzeichnis kopieren	Read, File Scan
Dateien in ein Verzeichnis kopieren	Write, Create, File Scan
Verzeichnis erstellen	Create
Datei löschen	Erase
Gelöschte Dateien zurückholen	Read u. File Scan für Datei, Create für das Verzeichnis
Verzeichnis- oder Dateiattribute ändern	Modify
Datei oder Verzeichnis umbenennen	Modify
Filter für vererbte Rechte ändern	Access Control
Trustee-Zuweisungen ändern	Access Control
Speicherzuordnung eines Verzeichnisses zwischen Benutzern ändern	Access Control

NDS Rechte

Objektrechte

Mit den Objektrechten wird festgelegt, welche Aktionen ein Trustee mit dem Objekt selbst durchführen darf. Der Zugriff auf die Eigenschaften des Objektes (Nachname, Pfad) wird mit den Eigenschaftsrechten gesteuert. Objektrechte sind:

Supervisor (S)

Gewährt alle Zugriffsprivilegien. (Kann aber mittels Filter geblockt werden.)

Browse (B)

Ermöglicht die Darstellung im NDS-Baum (das Objekt wird im NetWare Administrator bzw. ConsoleOne angezeigt).

Create (C)

Unterhalb dieses Objektes darf ein Objekt erstellt werden (gilt nur f. Containerobjekte).

Delete (D)

Ermöglicht dem Trustee das Löschen dieses Objektes aus dem NDS-Baum.

Umbenennen (R)

Ermöglicht dem Trustee das Umbenennen dieses Objektes.

Vererbbar (I)

Das Trustee kann die zugewiesenen Objektrechte an Objekte unterhalb des Containers vererben. Das Trustee ist hierdurch auch Trustee aller Objekte im Container mit allen Rechten, die Ihm im Container gewährt wurden. Dieses Recht wird standardmäßig gewährt, um die Vererbung von Objektrechten an die untergeordneten Objekte zu vereinfachen.

Eigenschaftsrechte

Supervisor (S)

Gewährt alle Rechte für alle Eigenschaften des Objektes.

Vergleichen (C)

Das Compare-Recht ermöglicht den Vergleich eines beliebigen Eigenschaftswertes mit einem beliebigen Wert. Als Ergebnis wird richtig oder falsch angezeigt.
(Dieses Recht wird automatisch mit dem Recht lesen gewährt.)

Lesen (R)

Ermöglicht das Anzeigen der Eigenschaften.

Schreiben (W)

Das Schreibrecht erlaubt beliebige Schreiboperationen auf die Objekteigenschaft. Ein Eigenschaftswert kann hinzugefügt, modifiziert (umbenennen, Attributänderung), gelöscht und geändert werden.
(Mit dem Schreibrecht wird automatisch das Recht ``Eigenen Namen hinzufügen gewährt''.)

Eigenen Namen hinzufügen / entfernen (A)

ermöglicht dem Objekt-Trustee sich selbst als Wert der Objekteigenschaft hinzuzufügen bzw. zu entfernen. Dieses Recht wird automatisch mit dem Schreibrecht gewärt. Aus dem Blickwinkel der Sicherheit ist jedoch darauf zu achten, daß das Schreibrecht jegliche Operation ermöglicht, während das A-Recht insofern eingeschränkt ist, daß das Objekt sich nur mit den Rechten hinzufügen kann, die es selbst besitzt.

Vererbar (I)

Hiermit werden die zugewiesenen Eigenschaften des Trustees für diese Eigenschaft an alle Objekte im Container weitervererbt. Ohne das Recht gelten die Eigenschaftsrechte für das Trustee nur dem Container.
(Das Recht wird standardmäßig erteilt, wenn alle Eigenschaften ausgewählt wird und wir genauso entzogen wenn das Flag wieder gelöscht wird.

Programme zur Administration

ConsoleOne

ist am besten dafür ausgestattet, große NDS-Trees zu durchsuchen.

NetWare Administrator

ist für die Administration von kleinen NDS-Trees besser geeignet und schneller.

NDS Manager

wird auf Win95/98 und NT-Maschinen eingesetzt, um NDS-Partitionen und Replicas eines NetWare Servers zu managen.

Befehle

NDIR

NDIR *.* /SIZE GR 2000

list all files greater then 2000 Bytes

NDIR *.* /REV SORT SIZE

list files from big to small size

NDIR *.* /ACCESS BEF 09-04-99

list files not accessed since 09-04-99

NDIR /VOL

print Volume statistics

Speicherorte

Konfigurationsdir

Userspezifische Files wie die ZENworks Profile-Files, Bookmarks und Configurationsfiles sollten im Konfigurationsverzeichnis abgelegt werden.

SYS:PUBLIC

Hier werden die Befehle und Utilities für Netzwerkuser abgelegt.

SENLM

NetWare API Bibliotheken und NLMs

< zurück  | weiter >