КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи ╧ 10'2000 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В настоящее время многие организации сталкиваются с необходимостью применения нескольких сетевых ОС для построения своих информационных систем. В таких гетерогенных сетях существенно усложняется процедура управления сетевыми ресурсами и службами. Особую же трудность представляет процесс ведения учетных записей пользователей и их прав доступа. В худшем случае системным администраторам необходимо поддерживать несколько учетных записей для одного пользователя в разных системах. В связи с этим, основной целью эксперимента была выбрана следующая:
1. Построить модель локальной вычислительной сети, в которой будут представлены следующие сетевые ОС: NetWare 4.x, Netware 5.x, Windows NT 4.0, Windows NT 2000, Linux.
2. Исследовать возможность управления учетными записями пользователей данной ЛВС с помощью NDS Corporate Edition от фирмы Novell.
По мнению участников рабочей группы, решение подобной задачи может потребоваться на этапе миграции с более ранних версий программных продуктов на более новые версии.
На момент подготовки и проведения эксперимента версия NDS Corporate Edition для Windows 2000 оказалась недоступна, так как Microsoft ввела процедуру проверки факта замены разделяемых библиотек. По этой причине от эксперимента с WIndows 2000 пришлось отказаться.
Эксперимент проводился в следующем порядке:
1. Установка сервера Net-ware5.x и создание дерева NDS.
2. Обновление версии NDS до версии NDS v.8.
3. Установить Linux и NDS v.8 for Linux. Исследование возможностей управления учетными записями пользователей.
4. Добавление в существующее дерево домена Windows NT 4.0 и сервера NetWare 4.x.
При планировании эксперимента приняли решение сделать основной упор на исследование NDS Corporate Edition для Linux, т. к. реализации NDS для остальных платформ уже были представлены ранее и возможности этих реализаций, примерно, известны. В то время как решение для Linux является совершенно новой разработкой.
Основой для NDS Corporate Edition является служба каталогов NDS eDirectory. Несмотря на похожие названия между NDS eDirectory и NDS Corporate Edition, есть существенные различия. NDS eDirectory является службой каталогов ╚в чистом виде╩ и не содержит функций, специфичных для конкретной платформы, таких как управление учетными записями пользователей. В свою очередь, NDS Corporate Edition является расширением NDS eDirectory, которое содержит набор дополнительных модулей, реализующих, в частности, функции управления учетными записями пользователей для конкретной ОС.
В общем случае в комплект поставки NDS Corporate Edition входят следующие компоненты:
Системы должны обладать следующими техническими характеристиками:
Версия NDS Corporate Edition для Linux имеет следующие дополнительные особенности:
1. Дерево NDS может быть создано исключительно на Linux-сервере. Наличие серверов NetWare необязательно.
2. Реализация сервера LDAP версии 3 с поддержкой протокола SSL.
Основной частью программного продукта является подсистема управления учетными записями пользователей на основе NDS (User Account Management или сокращенно UAM). В состав UAM входят модули, позволяющие аутентифицировать пользователей через NDS, модули предоставляющие приложениям информацию о группах и пользователях (аналогично NIS) и средства миграции. Весь процесс управления учетными записями пользователей осуществляется через библиотеку Pluggable Authentication Module (PAM), которая является открытым интерфейсом, позволяющим встраивать в UNIX-окружение дополнительные модули аутентификации, управления информацией о бюджетах и сеансах пользователя. Достоинством библиотеки PAM является процесс добавления PAM-модулей в систему не перезагрузки последней, и приложения, использующие PAM, не требуют перекомпиляции после добавления PAM-модуля.
NDS Corporate Edition может работать одновременно со службами NIS, NIS+, а также стандартной системной БД файлом/etc/passwd. Администратор может сам выбирать, какие службы должны аутентифицировать пользователя. Как правило, в файле/etc/passwd могут быть оставлены только учетные записи для управления системой: root, bin, sys. Учетную запись root удалять из файла/etc/passwd нельзя!
Процесс установки NDS Corporate Edition очень подробно описан в документации и на NetaWare 5 и Linux прошел без существенных затруднений. Важно! Для установки и настройки продукта на компьютере под управлением Linux необходимо знать, как работает и настраивается подсистема PAM. По окончании установки NDS Corporate Edition необходимо обязательно проверить конфигурацию системы. По умолчанию PAM требует обязательной аутентификации пользователя через файл/etc/passwd. До тех пор, пока эта настройка не будет изменена, регистрация через NDS не заработает.
После установки NDS Corporate Edition на Linux-сервер, в дереве NDS появляются следующие объекты:
1. Linux-сервер.
2. Linux-рабочая станция.
3. Unix Configuration.
Linux ≈ сервер используется при операциях с репликами и разделами (partitions). Объект Unix Configuration используется как шаблон для задания одинаковых свойств пользователей на конкретной Linux-машине. Управление пользователями осуществляется с помощью объекта Linux ≈ рабочей станции. Службу Linux- сервера и службу Linux-рабочей станции можно устанавливать отдельно и независимо друг от друга. Более того, объекты Linux ≈ сервер и Linux-рабочая станция могут находиться в разных контейнерах.
Для того, чтобы один или несколько пользователей могли зарегистрироваться на Linux-машине, необходимо:
1. Создать объект-группу, и в свойствах группы указать, на каких Linux-рабочих станциях могут регистрироваться члены данной группы.
2. Сделать необходимых пользователей членами данной группы.
3. И все.
Дополнительно, для каждого пользователя можно указать тип командного интерпретатора, который должен запускаться при регистрации пользователя в системе, путь к домашнему каталогу.
По мнению членов рабочей группы, к числу достоинств следует отнести:
1. Сам факт возможности управления учетными записями пользователей на Linux-рабочих станциях.
2. Гораздо более высокий уровень безопасности, по сравнению с традиционными UNIX-технологиями (например, NIS). Пароль пользователя не передается в открытом виде.
3. Удобная реализация поддержки учетных записей, созданных на Linux-рабочих станциях. На этапе настройки существующие учетные записи пользователей и групп могут быть экспортированы в NDS.
По мнению членов рабочей группы, недостатками являются:
1. Необходимость вручную поддерживать уникальность Common Name пользователя в переделах дерева NDS. Если на Linux ≈ рабочую станцию назначают двух пользователей с одинаковыми Common Name, поведение системы непредсказуемо.
2. Пользователям и группам необходимо вручную присваивать уникальные числовые идентификаторы (UID, GID). Уникальность числовых идентификаторов также отслеживается вручную.
3. Если пользователю необходимо регистрироваться на Linux-рабочей станции с помощью программ telnet или ftp, необходимо вручную создать на Linux-рабочей станции набор домашних каталогов и вручную сделать соответствующие назначения прав с помощью программ chmod и chown.
4. Все Linux-приложения, которым необходимо аутентифицировать пользователей должны поддерживать систему PAM. В настоящее время в число таких приложений входят, в основном, базовые UNIX-службы: POP, FTP, WWW и т. д., в зависимости от реализации.
По завершению экспериментов с ОС Linux участники группы приняли решение не выполнять пункт 4 (установка NT 4 и NetWare 4), т. к. прототипы NDS Corporate Edition для этих платформ хорошо известны.
Окончательное решение группы ≈ ╚приготовить солянку можно, и она будет съедобна╩. Необходимо только помнить, что NDS Corporate Edition лицензируется из расчета $26 на пользователя.
Если у вас есть вопросы к членам NUG SPb или вы хотите получать информационную рассылку NUG, обращайтесь к Дмитрию Сафронову (президенту NUG SPb, ) или Александру Горячеву (секретарь NUG SPb, ).
КОМПЬЮТЕР-ИНФОРМ Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей