10 Bestandstoegang

deel 6_10-AV 28.qxp:deel 3_X-AV 15

09-07-2008

11:44

Pagina 1

Storage

6/10 Bestandstoegang 6/10.1 Beheer van bestandstoegang in Open Enterprise Server 2 In NetWare hoefde u eigenlijk helemaal niet na te denken over bestandstoegang. De toegang tot bestanden werd min of meer vanzelf geregeld bij het aanmaken van een traditioneel of een NSS-volume. U maakte het volume aan en vervolgens kon u dat volume gewoon via de Novellclient benaderen. In Open Enterprise Server ligt de situatie totaal anders. Waar bestandsopslag (de bestandssystemen) en bestandstoegang in NetWare nog nauw geïntegreerd waren, hebben we het in Open Enterprise Server 2 over twee totaal verschillende zaken. U kunt kiezen uit allerlei bestandssystemen, zoals NSS, ReiserFS en Ext3. Daarnaast staan u ook diverse bestandstoegangssystemen ter beschikking, zoals NCP, Samba, NetStorage en NFS. Helemaal aardig wordt het als u de verschillende systemen met elkaar gaat combineren. Vrijwel elke denkbare combinatie is namelijk mogelijk. U kunt een NCP-share aanmaken naar een ReiserFS-volume, maar ook een Samba-share naar een NSSvolume, en beide shares kunt u vervolgens weer beschikbaar stellen met NetStorage. In deze paragraaf leert u niet alleen hoe u dit doet, maar ook wat de gevolgen zijn als u dit doet. Want wat gebeurt er bijvoorbeeld met de rechten als u de NetWare-wereld gaat combineren met de Linuxwereld?

Novell Netwerkoplossingen, aanvulling 28

6/10.1-1


09-07-2008

11:44

Pagina 2

Bestandstoegang

6/10.1.1 Configuratie van NCP-shares In NetWare was het NetWare Core Protocol (NCP) uiteindelijk verantwoordelijk voor de prestaties van een server. Dit protocol was deel van de kernel van NetWare en vormde een onlosmakelijk onderdeel van dit besturingssysteem. In OES Linux is NCP een optioneel onderdeel.

Voordelen NCP

6/10.1-2

Als u werkt met eindgebruikers die de Novell-clientsoftware geïnstalleerd hebben, ontkomt u niet aan het gebruik van NCP. De Novell-client genereert een NCP-call en om daarop te reageren, moet er op uw OES-server een NCPservice actief zijn. Deze service wordt niet onder alle omstandigheden automatisch geïnstalleerd, maar u krijgt hem er in elk geval bij als u een NSS-volume aanmaakt. Daarnaast is het mogelijk NCP-shares aan te maken op OES zonder dat gebruikgemaakt wordt van een NSS-volume. Dit betekent dat u op elk willekeurig bestandssysteem een NCP-share kunt maken om zo het betreffende bestandssysteem te delen met de rest van de wereld. U vraagt zich af waarom u dat zou willen? Gebruik van NCP biedt de volgende voordelen: • NCP is het native NetWare-protocol. U maakt de overgang van NetWare naar OES 2 dus een stuk eenvoudiger door NCP in te zetten. • NCP biedt NetWare-rechten. Zoals u wellicht weet bieden NetWare-rechten een veel krachtiger methode om in te stellen wie wat mag op uw server. U hebt geen NSS nodig om met NetWare-rechten te kunnen werken: op elke NCP-share kunt u deze rechten instellen. • NCP wordt gebruikt door de Novell-client. Dit betekent dat u NCP nodig hebt als u wilt dat gebruikers van de Novell-client via deze client met uw server kunnen communiceren.



09-07-2008

11:44

Pagina 3

Storage

Volumes versus shares De configuratie van een NCP-share is niet moeilijk, zoals u verderop zult zien. Voor de duidelijkheid wijzen we u echter wel op een mogelijk verwarrende terminologie. Als u werkt met NCP, maakt u feitelijk gezien NCP-shares aan. Dit betekent dat u toegang geeft tot een directory in het Linux-bestandssysteem via de NCP-share. Deze share wordt echter ook opgenomen in eDirectory en wel als de entiteit waarop u rechten kunt uitdelen, enzovoorts. Voor dit doel wordt de NCP-share in eDirectory weergegeven als een volume. In sommige literatuur wordt consequent gesproken over NCP-shares, andere artikelen hebben het over NCP-volumes. Wij zullen beide begrippen hanteren: het gaat immers in beide gevallen gewoon om hetzelfde.

Procedure

NCP-shares aanmaken met Remote Manager Om NCP-shares aan te maken, gebruikt u Remote Manager. U hebt natuurlijk al gezorgd voor een directory die u door middel van deze share beschikbaar wilt stellen. We gaan er in dit voorbeeld van uit dat u in uw Linux-bestandssysteem een directory hebt met de naam /data die u door middel van NCP wilt delen. In onderstaande procedure leest u hoe u daarvoor met Remote Manager te werk gaat. 1. Ga met de browser naar de welkomstpagina van uw server door in de adresbalk het adres van uw server te typen (bijvoorbeeld http://mijnserver). 2. Selecteer nu links in beeld de optie Management Services en kies Remote Manager. Als u Internet Explorer gebruikt, wordt nu een certificaatfout gegeven. Deze fout mag u negeren. Vervolgens voert u in het login-venster de beheerdersnaam admin en het bijbehorende wachtwoord in. Klik dan op Login om verder te gaan. U ziet nu het hoofdscherm van Remote Manager (zie onderstaande afbeelding).


6/10.1-3


09-07-2008

11:44

Pagina 4

Bestandstoegang

Om NCP-shares aan te maken gebruikt u Remote Manager.

3.

6/10.1-4

Selecteer nu in het kader links in beeld, onder in Remote Manager, de optie Manage NCP Services. Kies dan de optie Manage Shares. U ziet nu een interface waarin in elk geval al twee shares bestaan. De share met de naam SYS is aangemaakt tijdens de installatie van de NCP-server. Gebruikers van de Novell-client die contact willen maken met uw server, gebruiken deze share. Daarnaast is er de administratieve share _ADMIN.



09-07-2008

11:44

Pagina 5

Storage

Zodra de NCP-server geïnstalleerd is, zult u altijd twee actieve shares zien.

4.

Klik nu op de link Create new share om een nieuwe share aan te maken. Voer eerst de naam in van het volume dat in eDirectory moet worden aangemaakt achter de optie Volume Name. Aangezien de directory die we in dit voorbeeld gaan delen ‘data’ heet, is het geen slecht idee het volume ook de naam ‘data’ te geven. Achter de optie Path vermeldt u de volledige padvermelding naar dit volume: /data dus. Bestaat de directory die u wilt delen nog niet? Selecteer dan ook de optie Create if not present. De optie Shadow Path gebruiken we in dit voorbeeld niet. Klik vervolgens ook de optie Inherit_POSIX_Permissions aan en klik dan op OK om de NCP-share en het bijbehorende volumeobject aan te maken.


6/10.1-5


09-07-2008

11:44

Pagina 6

Bestandstoegang

Om een NCP-share te maken geeft u aan wat de naam is van het volume dat u wilt delen en welke directory u wilt delen.

5.

Klik nu nog één keer op OK en de share wordt vervolgens aangemaakt.

Beheer van NCP-shares Terug in het hoofdvenster van iManager zijn er enkele opties die u op uw share kunt bekijken en instellen. Om te beginnen kunt u de share zelf aanklikken om een lijst met bestanden en folders in deze share te tonen. Vanuit deze lijst past u eenvoudig de attributen van bestanden en directory’s aan. Daarnaast kunt u items downloaden door op de naam te klikken.

6/10.1-6



09-07-2008

11:44

Pagina 7

Storage

Als u op een sharenaam klikt, krijgt u de inhoud van de share te zien.

Ook kunt u klikken op de infoknop die naast elke share getoond wordt. Op deze manier krijgt u enkele informatieve parameters te zien, bijvoorbeeld over de status van de share. Geïnteresseerd in geavanceerde parameters, zoals over het gebruik van de NCP Cache? Klik dan ook even op de knop Advanced Parameters. U ziet vervolgens precies hoeveel bestanden zich op dat moment in cache bevinden.


6/10.1-7


09-07-2008

11:44

Pagina 8

Bestandstoegang

Door op het infoteken te klikken dat u naast elke share vindt, krijgt u gebruiksparameters over de betreffende share te zien.

Om de prestaties van NCP-shares te optimaliseren maakt u in Remote Manager gebruik van de optie Manage Server die u onder de NCP Services-optie vindt. Hier staan alle SETparameters waarmee u NCP-instellingen aanpast. Deze opties worden weggeschreven in het configuratiebestand /etc/opt/novell/ncpserv.conf. Voor een aantal van deze opties kan het zeer zinnig zijn een andere waarde te kiezen. Hieronder vindt u een overzicht van een paar opties waarvan wij het nut herhaaldelijk in de praktijk ervaren hebben:

6/10.1-8



09-07-2008

11:44

Pagina 9

Storage

Optie CROSS_PROTOCOL_ LOCKS

Toelichting Standaard heeft deze optie de waarde 0. Dit betekent dat maar één file access-protocol tegelijk een bestand geopend kan hebben. Wilt u dat het ene bestandssysteem (bijvoorbeeld NCP) een ander bestandssysteem, zoals Samba, informeert dat het een bestand in gebruik heeft? Verander de waarde van deze instelling dan in 1. SENDFILE_SUPPORT De Linux Sendfile() API zorgt ervoor dat prestaties van een fileserver verbeterd worden. Omdat oude versies van Samba hier in het verleden problemen mee hebben gehad, staat deze optie op OES standaard uit. In een moderne OES 2-omgeving is hier echter weinig reden meer voor. U kunt deze optie dus gerust aanzetten door de SENDFILE_SUPPORT-optie de waarde 1 te geven. VOLUME_LOW_ Door middel van de VOLUME_LOW_WARNING-opties worWARNING_TRESHOLD den waarschuwingen verstuurd naar gebruikers als een volume bijna volgeschreven is. De standaardwaarde die bepaald wanneer dit gebeurt, staat echter een beetje laag; VOLUME_LOW_WARNING_TRESHOLD bepaalt dat pas een waarschuwing verstuurd wordt als er nog 64 blokken van 4 kilobytes beschikbaar zijn! Het is veel realistischer om hier een groter aantal van te maken. Geef deze parameter bijvoorbeeld de waarde 64000, zodat u een waarschuwing krijgt als er nog maar 256 MB schijfruimte beschikbaar is.


6/10.1-9


09-07-2008

11:44

Pagina 10

Bestandstoegang

Optie MAXIMUM_FILE_ LOCKS_PER_ CONNECTION

Toelichting Deze instelling, die standaard de waarde 1000 heeft, bepaalt hoeveel bestanden er maximaal door één connectie (lees één gebruiker) gelockt kunnen worden. De instelling heeft de vrij royale waarde van 1000 bestanden. In een omgeving waar alleen gebruikers bestanden over NCP benaderen, is dat veel te veel en kunt u deze waarde gerust terugbrengen tot een veel lager aantal, zoals 10. Als echter processen uw bestanden benaderen, kan het juist zin hebben de waarde op te hogen. Dit geldt zeker voor een drukke databaseserver, zoals een Btrieve-database die gebruikmaakt van NCP-calls. Omdat deze waarde in verschillende omstandigheden een afwijkende optimale waarde heeft, is het zinnig meerdere NCP-shares aan te maken. De laatste mogelijkheid om NCP-volumes te beheren vanuit Remote Manager, vindt u onder de link Manage Connections. Hier ziet u welke gebruiker welk bestand in gebruik heeft en hebt u ook de mogelijkheid om verbindingen te verbreken, of een broadcast-bericht te sturen naar alle gebruikers. Om connecties af te breken selecteert u eerst onder in beeld de verbinding die u wilt afbreken. Vervolgens klikt u op de knop Clear ALL marked connections. Het versturen van een broadcast-bericht is zo mogelijk nog eenvoudiger. Typ het bericht in het kader Broadcast Message to Everyone en klik dan op Send om het daadwerkelijk te versturen. Iedere gebruiker die via de Novell-client een verbinding heeft, zal op dat moment de broadcast te zien krijgen.

6/10.1-10



09-07-2008

11:44

Pagina 11

Storage

De optie Manage Connections stelt u in staat actieve verbindingen te onderbreken en berichten te sturen naar gebruikers.

Ncpcon Een mogelijkheid die vooral mensen met heimwee naar NetWare zal aanspreken, is de opdracht ncpcon. Deze opdracht biedt een NetWare-achtige console die u op OES 2 kunt gebruiken om een zeer beperkt aantal NetWareopdrachten uit te voeren. Let wel: de mogelijkheden zijn werkelijk beperkt. Zo kunt u geen NLM’s laden vanuit deze console, maar zijn alleen een paar opdrachten mogelijk die ook vanaf de NetWare-console beschikbaar zijn. U krijgt een volledig overzicht van alle beschikbare opdrachten als u in de ncpcon-console de opdracht help typt.


6/10.1-11


09-07-2008

11:44

Pagina 12

Bestandstoegang

De ncpcon-interface is vooral leuk voor mensen met heimwee naar NetWare.

NCP en NSS Als u NSS installeert, krijgt u er automatisch een NCPshare bij. De reden hiervoor is dat in NetWare deze protocollen onlosmakelijk met elkaar verbonden zijn. In Linux is dat echter niet meer het geval. U kunt bijvoorbeeld uitstekend een NSS-volume configureren om daar vervolgens alleen via Samba toegang toe te verlenen. In dergelijke omgevingen kan het onhandig zijn om de automatische NCP-share op het NSS-volume te laten bestaan. De NCPshare geeft namelijk een (weliswaar goed beveiligde) mogelijkheid om te verbinden met het NSS-volume. Stelt u de automatische koppeling tussen NSS en NCP niet op prijs? Kies dan in Remote Manager de optie Manage NCP Services ? Manage Shares. Onder in beeld ziet u de optie NCP/NSS Bindings. Als u hierop klikt krijgt u een overzicht van alle NSS-volumes waarop automatisch een NCP-share is aangemaakt. U kunt hier per volume aangeven of deze koppeling al dan niet in stand gehouden moet worden. Bedenk voordat u een koppeling verwijdert echter wel dat hiermee ook het volumeobject in eDirectory verdwijnt en

6/10.1-12



09-07-2008

11:44

Pagina 13

Storage

dat betekent dat het aantal mogelijkheden dat u hebt om zaken als rechten in te stellen, ook drastisch gereduceerd wordt. Het volume SYS Het zal u ook opgevallen zijn dat de NCP-service automatisch een volume met de naam SYS aangemaakt heeft. Dit volume deelt de Linux-directory /usr/novell/sys en is nodig omdat gebruikers van de Novell-client nu eenmaal een SYS-volume nodig hebben. U vindt in dit volume standaard alleen een aantal DLL’s en een paar weinig gebruikte uitvoerbare bestanden. Het kan echter de moeite waard zijn in dit volume meerdere bestanden neer te zetten. Zo kunt u bijvoorbeeld de directory /usr/novell/sys/public (alias SYS:PUBLIC) vullen met alles wat gebruikers vanuit een NetWare-omgeving ook al kenden. Op deze manier maakt u de overgang naar het nieuwe besturingssysteem weer een stukje eenvoudiger. 6/10.1.2 Configuratie van Samba-shares Vlak na de overgang naar OES 2 zult u nog waarschijnlijk voornamelijk met NCP-shares op NSS-volumes werken. Naarmate u meer vertrouwd raakt met de mogelijkheden van OES, zult u ook andere manieren leren waarderen om de toegang tot bestanden te regelen. Een van deze manieren is gebruik te maken van Samba, het protocol dat standaard door alle Windows-werkstations begrepen wordt en ook op andere besturingssystemen, zoals Macintosh en Linux, standaard aanwezig is. Zeker in combinatie met de NetWare-rechten die via NSS-volumes beschikbaar zijn, bouwt u met Samba een uitstekende omgeving voor file access voor uw gebruikers. We zullen nu bespreken wat er nodig is om een Samba-omgeving in te richten.


6/10.1-13


09-07-2008

11:44

Pagina 14

Bestandstoegang

Net als NCP is ook Samba een file sharing-protocol. Dit betekent dat u eerst op uw bestandssysteem een directory aanmaakt en deze directory vervolgens deelt met Samba. De configuratie van Samba op OES 2 gaat echter verder dan alleen maar het delen van een directory. Samba maakt namelijk ook gebruik van een andere wijze om gebruikers te authenticeren. Dit betekent dat een standaard eDirectory-gebruiker met zijn standaard eDirectory-credentials niet automatisch ook op Samba in kan loggen. Omdat Samba een Windows-manier is om bestanden te delen, heeft de gebruiker Windows-credentials nodig. Deze komen standaard niet in eDirectory voor.

LUM

Naast het aspect van de Windows-authenticatie biedt een Samba-server aan de gebruiker ook toegang tot een Linuxbestandssysteem. Uiteindelijk zorgt de Samba-server ervoor dat een gebruiker op afstand bestanden kan wegschrijven in een Linux-directory. Om dit te doen moet de gebruiker ook op het Linux-bestandssysteem rechten hebben. Ook dit kan niet geregeld worden via het gebruikersaccount dat in eDirectory aanwezig is. OES 2 lost dit op door middel van Linux User Management (LUM). LUM zorgt ervoor dat de eDirectory-gebruiker die dat nodig heeft door middel van een auxiliary class voorzien wordt van Linuxproperties. Dankzij deze properties kan de eDirectorygebruiker toegang krijgen tot bestanden op het Linuxbestandssysteem. Al met al betekent dit dat het opzetten van een Sambaomgeving verder gaat dan het delen van een directory, zoals we dat bij NCP gezien hebben. Om Samba te kunnen gebruiken moet u eerst de gebruikersomgeving inrichten. Daarom bespreken we nu eerst hoe u LUM- en Sambagebruikers aanmaakt voordat u directory’s met Samba kunt delen.

6/10.1-14



09-07-2008

11:44

Pagina 15

Storage

Linux User Management LUM is een losstaand onderdeel van Open Enterprise Server. U hebt het nodig om Samba-shares te kunnen configureren, maar ook onder andere omstandigheden kan het noodzakelijk zijn om LUM te configureren. Zo maken bepaalde systeemservices automatisch gebruik van LUM. Feitelijk is het dus een onderdeel waar u niet echt zonder kunt. Om die reden wordt LUM ook automatisch voor installatie geselecteerd door heel veel andere services. De kans dat LUM op uw server al actief is, is dan ook meer dan reëel. Maar om het zeker te weten, volstaat een kleine test: 1. Open op uw server een Terminal-venster en zorg ervoor dat u in dat venster root-permissies hebt. 2. Typ nu de opdracht rcnamcd status. Ziet u nu onderstaande melding? Dan is alles in orde en is LUM beschikbaar op uw server. MPH:~ # rcnamcd status Checking for LUM NAMCD daemon

3.

running

Ziet u deze melding niet? Dan moet u nu eerst YaST starten om LUM handmatig te installeren. Gebruik hiervoor in YaST de optie Open Enterprise Server > OES Install and Configuration. Zorg ervoor dat in de categorie OES Services de optie Novell Linux User Management (LUM) geselecteerd is en klik dan op Accept. Rond vervolgens de installatie af door overal de standaardwaarden te selecteren. U bent nu klaar om normale eDirectory-gebruikers om te zetten in LUM-gebruikers.

LUM-gebruikers aanmaken Zoals voor veel zaken in OES 2 geldt, kunnen ook LUMgebruikers op twee manieren aangemaakt worden. Het kan


6/10.1-15


09-07-2008

11:44

Pagina 16

Bestandstoegang

gemakkelijk, door gebruik te maken van iManager, en het kan iets minder eenvoudig, door gebruik te maken van de mogelijkheden die vanaf de opdrachtregel geboden worden. Voor beide opties valt iets te zeggen. De iManageroptie zal vooral gebruikers aanspreken die nieuw zijn in Open Enterprise Server en weinig affiniteit hebben met de Linux-opdrachtregel. De procedure via iManager is echter lichtelijk omslachtig, omdat u eerst een eDirectory-gebruiker moet aanmaken en pas daarna daar ook een LUMgebruiker van kunt maken. Omdat beide methodes hun voor- en nadelen hebben, bespreken we ze ook beide. LUM via iManager Om via iManager een LUM-gebruiker aan te maken moet u een aantal zaken regelen. Eerst maakt u een eDirectorygebruiker aan. Vervolgens moet u weten dat elke LUMgebruiker ook altijd lid moet zijn van een LUM-groep, dat wil zeggen: een groep met Linux-properties. U moet er dus voor zorgen dat op een of andere wijze in deze groep voorzien wordt, maar dit kunt u ook regelen op het moment dat u de eDirectory-gebruiker de LUM-properties geeft. In onderstaande procedure gaan we eerst een eDirectorygebruiker aanmaken (dan weet u gelijk ook hoe dat gaat via iManager). Vervolgens gaan we die omzetten naar een LUM-gebruiker. En omdat ook wij liever lui dan moe zijn, maken we pas tijdens dat omzetten de LUM-groep aan. 1. Start uw browser en ga naar de startpagina van uw server. Dit doet u door in de adresbalk van de browser het adres (of de naam) van uw server in te voeren. 2. Kies via de optie Management opties iManager en log in als admin. 3. Selecteer nu in het kader Roles and Tasks, links in beeld, de optie Users en klik hier op Create User. U ziet nu de interface als in de volgende afbeelding,

6/10.1-16



09-07-2008

11:44

Pagina 17

Storage

waarin u alle eigenschappen van de aan te maken gebruiker invoert. Even opletten: alle opties die met een ster gemarkeerd zijn, zijn verplicht; alle andere opties mag u gebruiken maar dit hoeft niet.

Alleen de opties die met een ster gemarkeerd zijn, zijn verplicht voor het aanmaken van gebruikers.

4.

Voer nu in elk geval de volgende opties in: • Username: dit is een unieke gebruikersnaam. Met deze naam zal de gebruiker ook in moeten loggen op uw server. • Last name: hier voert u de achternaam van de gebruiker in. Even opletten: deze optie wordt op verschillende plaatsen gebruikt voor indexering en om die reden is het aan te raden hier ook echt de volledige achternaam in te vullen.


6/10.1-17


09-07-2008

11:44

Pagina 18

Bestandstoegang

•

Context: dit is de locatie in eDirectory waar u de gebruiker wilt aanmaken. Gebruik het vergrootglas om een context te selecteren. • Password: met deze optie kunt u desgewenst de gebruiker van een wachtwoord voorzien. Typ tweemaal hetzelfde wachtwoord in zodat de gebruiker ook meteen van zijn account gebruik kan gaan maken. • Create home directory: deze optie is evenmin verplicht. Wilt u haar gebruiken, dan moet u weten dat u met deze optie een home directory aanmaakt zoals dat in een NetWare-omgeving gebruikelijk was. De home directory wordt op een NSS- of NCP-volume geplaatst en de naam van deze directory wordt ook opgeslagen in eDirectory. Voor alle duidelijkheid: deze home directory heeft niets te maken met de Linuxhome directory die gebruikers via LUM krijgen toegewezen! Twijfelt u of het nuttig is uw gebruikers van een dergelijke home directory te voorzien, doe het dan toch. Het is namelijk erg lastig om in latere instantie nog deze home directory toe te voegen. Alle andere opties zijn optioneel, dus mag u zelf weten of u ze al dan niet wilt gebruiken. 5.

6/10.1-18

Nadat de gebruikers zijn toegevoegd, kunt u er vervolgens LUM-gebruikers van maken. Dit gebeurt ook via iManager, en wel met de link Linux User Management. Selecteer hier de optie Enable Users for Linux. U ziet vervolgens, zoals getoond in de volgende afbeelding, de interface waarin u eDirectorygebruikers omzet naar LUM-gebruikers. Hebt u meerdere gebruikers? Zorg er dan voor dat de Select



09-07-2008

11:44

Pagina 19

Storage

Multiple Objects-link actief is en selecteer eerst alle gebruikers voordat u op Next klikt.

Vanuit iManager kunt u meerdere gebruikers tegelijk selecteren om hen te voorzien van de LUM-attributen.

6.

Omdat een Linux-gebruiker nu eenmaal altijd lid moet zijn van een Linux-groep, wordt in het volgende scherm gevraagd naar de naam van de groep waarvan u uw LUM-gebruikers lid wilt maken. Nog geen groep aangemaakt? Geen probleem. Kies dan de optie Create a New Linux-Enabled Group. Hiermee maakt u een eDirectory-groep aan die automatisch voorzien wordt van de LUM-attributen.


6/10.1-19


09-07-2008

11:44

Pagina 20

Bestandstoegang

Als u nog geen eDirectory groep hebt waarvan u alle LUM-gebruikers lid wilt maken, regelt u dat vanuit deze interface in één keer.

7.

6/10.1-20

In de derde stap van de procedure wijst u uw selectie van LUM-gebruikers toe aan een of meer UNIX Workstation-objecten. De LUM-gebruiker mag alleen als lokale Linux-gebruiker via eDirectory inloggen op een werkstation waaraan hij is toegewezen. Na een standaardinstallatie van Open Enterprise Server vindt u hier alleen objecten voor uw OES-servers. Als u echter gebruikmaakt van SuSE Linux Enterprise Desktop (SLED) en daarop aangeeft in te willen loggen op eDirectory, wordt voor elk SLED-werkstation ook een UNIX Workstation-object aangemaakt. Zo regelt u dus via LUM en eDirectory meteen heel eenvoudig het lokale inloggen van Linux-eDirectorygebruikers op de werkstations in uw netwerk.



09-07-2008

11:44

Pagina 21

Storage

Via de UNIX Workstation-objecten regelt u op welke machines uw LUM-gebruikers zich aan mogen melden.

8.

Tot slot krijgt u een overzicht van welke gebruikers toegewezen worden aan welke UNIX Workstations. Mee eens? Klik dan nu op Finish om de geselecteerde gebruikers te voorzien van de LUM-attributen.

LUM via de command line Vond u bovenstaande procedure redelijk omslachtig? Dat klopt. Het zou veel eenvoudiger zijn als u dit alles via één oplossing kon regelen. En dat kan ook, via de opdrachten die in de console beschikbaar zijn. We geven om te beginnen een kort overzicht van alle opdrachten die voor beheer van LUM relevant zijn en bespreken vervolgens hoe u met namuseradd snel en eenvoudig een eDirectory-gebruiker aanmaakt die tevens de LUM-eigenschappen heeft. Voor alle duidelijkheid: in vroeger dagen was LUM een onderdeel


6/10.1-21


09-07-2008

11:44

Pagina 22

Bestandstoegang

van Novell Account Management (NAM). Om die reden beginnen vrijwel alle LUM-beheersopdrachten met ‘nam’. Opdracht nam-uninstall

nambulkadd

namcd

namconfig

namgroupadd namgroupdel namgrouplist

namgroupmod namusermod namuseradd namuserdel namuserlist

6/10.1-22

Omschrijving Deze opdracht verwijdert LUM weer van uw systeem. LUMusers kunnen vervolgens niet langer via eDirectory lokaal inloggen op uw server. Gebruik deze opdracht om op basis van een inputfile met gebruikersnamen of groepsnamen in één keer grote aantallen gebruikers of groepen toe te voegen. Dit is de naam van het proces dat op de UNIX Workstations draait om te voorzien in LUM. Dit proces maakt contact met eDirectory om te kijken welke eDirectory-gebruikers er allemaal voorzien zijn van LUM-attributen. Deze opdracht wordt gebruikt om met command line switches informatie te schrijven naar het configuratiebestand /etc/nam.conf. In dit configuratiebestand worden parameters geschreven op basis waarvan het namcd-proces weet hoe de LDAP-verbinding met een eDirectory-server tot stand gebracht kan worden. Gebruik deze opdracht om LUM-groepen toe te voegen. Met deze opdracht verwijdert u op eenvoudige wijze LUMgroepen uit eDirectory. Gebruik deze opdracht om een lijst op te vragen van alle LUM-groepen die in een bepaalde container in eDirectory bestaan, bijvoorbeeld namgrouplist -x o=oes. Gebruik deze optie om de eigenschappen van bestaande LUM-groepen aan te passen. Met deze opdracht wijzigt u bestaande LUM-gebruikers. Gebruik deze opdracht om LUM-gebruikers toe te voegen. Een uitgebreider voorbeeld volgt later in deze paragraaf. Met deze opdracht verwijdert u LUM-users weer uit eDirectory. Gebruik deze opdracht om een lijst op te vragen van alle LUM-gebruikers die op uw server bestaan.



09-07-2008

11:44

Pagina 23

Storage

Om met namuseradd een gebruiker aan te maken, moet u een aantal opties meegeven: • -a adminFDN: hiermee geeft u aan wat de naam is van de admin-gebruiker die rechten heeft de gebruiker aan te maken in eDirectory. • -x user_context: gebruik deze optie om op te geven in welke context in eDirectory de user geplaatst moet worden. • -g primary_groupFDN: met deze optie geeft u de volledige eDirectory-naam van de primaire groep waarvan u de gebruiker lid wilt maken. Naast deze drie verplichte opties moet u natuurlijk ook de naam van de gebruiker zelf meegeven. Uiteindelijk komt de volledige opdracht er bijvoorbeeld als volgt uit te zien: namuseradd -a cn=admin,o=oes -x o=oes -g cn=lumgroup,o=oes linda

Het voordeel van deze werkwijze? U hebt in één keer zowel de eDirectory- als de LUM-gebruiker toegevoegd en dat scheelt werk! Het UNIX Workstation-object In LUM speelt het UNIX Workstation-object een belangrijke rol. Dit is een object in eDirectory dat een werkstation in het netwerk representeert. Bij een normale installatie van OES wordt voor elke OES-server in uw netwerk één zo’n object aangemaakt. Als u echter ook gebruikmaakt van SuSE Linux Enterprise Desktop (SLED), wordt voor elk SLED-werkstation een UNIX Workstation-object aangemaakt. Op dat moment wordt het belangrijk dat u LUMgebruikers en LUM-groepen kunt koppelen aan één of een beperkt aantal UNIX Workstations. Zo bepaalt u heel nauwkeurig welke gebruiker in mag loggen op welk werkstation.


6/10.1-23


09-07-2008

11:44

Pagina 24

Bestandstoegang

Voor het beheer is het handig te weten waar u de configuratieonderdelen van het UNIX Workstation-object terugvindt. Om te beginnen is er een proces met de naam namcd. Dit proces neemt contact op met eDirectory en zorgt ervoor dat informatie die relevant is voor LUM, op dit werkstation opgehaald wordt uit eDirectory en lokaal gecached wordt. Dit proces regelt dus ook dat de LUM-users bekend zijn als lokale gebruikers op het lokale werkstation. Het resultaat van een opdracht als namuserlist -x o=oes wordt rechtstreeks door namcd aangeboden. Om problemen met de communicatie tussen werkstation en eDirectory op te lossen, kan het helpen om het namcd-proces opnieuw te starten. U doet dit met de opdracht rcnamcd restart. Ook kan het in voorkomende gevallen helpen instellingen in het configuratiebestand voor dit proces aan te passen. U vindt dit configuratiebestand onder de naam de naam /etc/nam.conf op elke server en elk SLEDwerkstation dat deel uitmaakt van LUM. Belangrijk: in dit bestand vindt namcd alle informatie die nodig is om contact op te nemen met eDirectory, zoals de adressen van de eDirectory-servers die door middel van LDAP benaderd kunnen worden en de base context ofwel de standaard eDirectory-context waarin het werkstationobject zijn gebruikers zal vinden. Van LUM-gebruiker naar Samba-gebruiker Nu u LUM-gebruikers in eDirectory hebt, is het tijd voor de volgende stap: het aanmaken van Samba-gebruikers. Dit onderdeel bestaat uit twee fasen: u moet regelen dat er een Universal Password Policy is en daarna moet u Sambagebruikers toewijzen. Voorafgaand aan beide stappen zorgt u er in YaST voor dat de Samba-service geïnstalleerd is. We behandelen nu achtereenvolgens deze drie stappen.

6/10.1-24



09-07-2008

11:44

Pagina 25

Storage

OES Samba installeren De OES Samba-service wordt niet automatisch geïnstalleerd; deze is dus naar alle waarschijnlijkheid nog niet op uw server beschikbaar. Daarom leest u nu hoe u vanuit YaST de Samba-service installeert: 1. Start YaST en zorg ervoor dat u binnen YaST beheerderspermissies hebt. Zorg er ook voor dat de OES installatie-cd in de optische drive van uw server aanwezig is. 2. Kies in de YaST-interface de optie Open Enterprise Server > OES Install and Configuration. 3. Selecteer in het overzicht van Open Enterprise Server-services de optie Novell Samba en klik op Accept. Wacht tot alle bestanden uitgepakt en naar uw server gekopieerd zijn.

Kies de optie Novell Samba en klik dan op Accept.


6/10.1-25


09-07-2008

11:44

Pagina 26

Bestandstoegang

4.

U ziet nu het Open Enterprise Server-configuratie scherm. Hierin wordt aangegeven dat de Samba-service extra configuratie nodig heeft. Klik op Novell Samba om die configuratie te starten.

Voordat u het kunt gebruiken, moet Samba eerst nog af geconfigureerd worden.

5.

6/10.1-26

Geef nu eerst het wachtwoord van de admin-gebruiker van uw eDirectory-tree op en klik op OK. U ziet dan een venster waarin u vier opties moet specificeren: • Directory Server Address: het adres van een eDirectory-server die een replica heeft. Samba gaat deze server via LDAP benaderen om gegevens over gebruikers op te vragen. • Base context for Samba users: dit is de eDirectory-context waarin de Samba-gebruikers normaliter teruggevonden kunnen worden. Standaard is dit de context waarin ook het LUM Workstation-object zich bevindt.



09-07-2008

11:44

Pagina 27

Storage

•

•

Proxy user name with context: om gebruikersinformatie uit eDirectory te kunnen halen, maakt de Samba-service een speciale proxy-user aan die daar exact voldoende rechten voor heeft. U mag de standaardsuggestie voor de gebruikersnaam accepteren, maar u kunt hier desgewenst ook een andere gebruikersnaam opgeven. Proxy user password: het wachtwoord dat aan deze proxy-user toegewezen wordt. Typ hier over de asterisken die standaard neergezet worden een nieuw wachtwoord.

Voordat u Samba in gebruik neemt, moet u vier opties specificeren.

6.

De Samba-service is nu geconfigureerd. Klik in het Open Enterprise Server-configuratiescherm op Next om de configuratie af te ronden.


6/10.1-27


09-07-2008

11:44

Pagina 28

Bestandstoegang

De Universal Password Policy configureren Nu de Samba-service geïnstalleerd en geconfigureerd is, wordt het tijd om naar iManager te gaan en daar de Universal Password-service te configureren. Configuratie van deze service is noodzakelijk omdat eDirectory- en Samba- (lees Windows-)wachtwoorden niet compatibel zijn met elkaar. De meest elegante oplossing om deze verschillende wachtwoorden te beheren, is middels Universal Password. Zie Universal Password maar als een soort ‘containerwachtwoord’. Er wordt een doos aangemaakt die het Universal Password heet en in die doos worden voor de gebruiker alle wachtwoorden opgeslagen die hij eventueel nodig zou kunnen hebben. In dit geval het eDirectory- en het Windows-wachtwoord dus. Het voordeel? De gebruiker merkt nergens iets van en hoeft maar één wachtwoord te onthouden. Als beheerder hoeft u maar twee dingen te doen: • associeer de Universal Password Policy voor de Samba-service aan een container, zodat de gebruikers in die container het Universal Password kunnen gebruiken; • zorg ervoor dat elke gebruiker een Universal Password heeft. In onderstaande procedure leest u hoe u de associatie van het Universal Password aan de gebruikerscontainer(s) regelt. 1. Start uw browser en ga naar de welkomstpagina van uw server op http://uwserver. Selecteer daar Management Services > iManager en log vervolgens als admin-gebruiker in op iManager. 2. Klik in iManager links in beeld op Passwords en selecteer Password Policies. U ziet nu het scherm uit de volgende afbeelding. In dit venster ziet u dat er

6/10.1-28



09-07-2008

11:44

Pagina 29

Storage

automatisch al een Password Policy voor de Sambaservice is aangemaakt.

Er is standaard al een Samba Default Password Policy aangemaakt.

3.

Selecteer nu de standaard Samba Default Password Policy en klik vervolgens op de hyperlink (dat wil zeggen: op de tekst Samba Default Password Policy). Er wordt dan een nieuw venster geopend waarin u de eigenschappen van het Universal Password ziet (zie de volgende afbeelding). In dit venster ziet u de standaardeigenschappen. Gebruik desgewenst de opties op de verschillende tabbladen om de policy aan te passen met waarden die bepalen hoe het wachtwoord eruit komt te zien en wat de gebruiker zelf mag doen om zijn wachtwoord te beheren. Deze opties spreken voor zich en worden hier om die reden niet verder behandeld. Sluit het venster met eigen-


6/10.1-29


09-07-2008

11:44

Pagina 30

Bestandstoegang

schappen van de geselecteerde Universal Password Policy in elk geval nog niet!

U kunt nu de standaard policy geheel naar eigen wens aanpassen.

4.

6/10.1-30

Klik nu in hetzelfde venster met de eigenschappen van de Universal Password Policy op het tabblad Policy Assignment. U ziet hier dat de policy op dit moment nog aan niemand is toegekend. Gebruik het vergrootglas om de policy te associëren aan de container waarin uw gebruikers zijn aangemaakt.



09-07-2008

11:44

Pagina 31

Storage

Koppel de Password Policy aan de container waarin uw gebruikers voorkomen.

5.

6.

Klik op OK om het venster met de eigenschappen van de Universal Password Policy te sluiten. U bent nu klaar voor dit gedeelte. Gebruik de optie Password > Set Universal Password om de gebruikers die u voorzien wilt van attributen om Samba te kunnen gebruiken, een Universal Password te geven.

Samba-gebruikers aanmaken Alles staat nu op zijn plaats om te kunnen beginnen met het aanmaken van Samba-gebruikers. Even opletten als u met oudere versies van Open Enterprise Server gewerkt hebt, want op dit gebied is er het nodige veranderd!


6/10.1-31


09-07-2008

11:44

Pagina 32

Bestandstoegang

1.

Kies in iManager de optie File Protocols > Samba. U ziet nu een interface waarin u een aantal eigenschappen van de Novell Samba-server aan kunt passen.

De interface om Samba te beheren is geïntegreerd in iManager.

2. 3.

6/10.1-32

Gebruik nu het vergrootglas om de server te selecteren waarop u de Samba-services wilt beheren. Activeer het tabblad Users. U ziet waarschijnlijk dat er op dit moment nog geen Samba-gebruikers als zodanig gedefinieerd zijn. Om deze gebruikers te definiëren klikt u op Add. Gebruik nu de Add Samba User interface om bestaande LUM-gebruikers te voorzien van alle attributen die nodig zijn om Samba te kunnen gebruiken.



09-07-2008

11:44

Pagina 33

Storage

Vanuit deze interface voorziet u bestaande LUM-gebruikers van de attributen die nodig zijn om Samba te kunnen gebruiken. Klik dan op OK om deze procedure af te ronden.

Tip

Een van de meest gemaakte fouten is dat de gebruiker die u toe wilt voegen geen Universal Password heeft. Gebruik de optie Password > Set Universal Password om uw gebruikers van Universal Passwords te voorzien. Samba-shares maken Al het voorbereidende werk is nu gedaan; tijd om Samba-shares aan te maken. In deze versie van Open Enterprise Server doet u dit vanuit iManager. Het is dus niet langer nodig om handmatig het achterliggende configuratiebestand /etc/samba/smb.conf aan te passen. Er is echter ook niets op tegen om dit te doen: de mogelijkheden die via smb.conf geboden worden zijn veel uitgebreider en met name als u op Linux al ervaring hebt met de configuratie van Samba-ser-


6/10.1-33


09-07-2008

11:44

Pagina 34

Bestandstoegang

vers, is het een goed idee om toch op dit configuratiebestand te werken. Wij bespreken hier echter hoe de configuratie van de Samba-server vanuit iManager plaatsvindt. Voordat u begint met het aanmaken van shares, moet er nog wat anders gebeuren. U moet er namelijk voor zorgen dat de rechten op het lokale Linux-bestandssysteem geregeld zijn. Met Samba regelt u de toegang tot de share over het netwerk. Als de betreffende gebruiker vervolgens op het lokale Linux-bestandssysteem totaal geen rechten heeft, kan hij alsnog niets in dit bestandssysteem. We zullen in de volgende paragrafen eerst aandacht besteden aan het beheer van rechten op native Linux-bestandssystemen en op NSS-volumes. Vervolgens leest u hoe u met iManager de Samba-share aanmaakt. Linux-rechten instellen Als uw Samba-server een share aanbiedt op een traditioneel (dat wil zeggen: niet-NSS) Linux-volume, moet u op de Linux-manier rechten instellen. In Linux zijn er drie rechten die op zowel bestanden als directory’s gegeven kunnen worden. Hieronder vindt u een overzicht. Permissie read (r)

Op bestanden Gebruiker mag bestanden lezen.

write (w)

Gebruiker mag bestaande bestanden wijzigen.

execute (x) Uitvoeren van bestanden die uitvoerbare programmacode bevatten.

6/10.1-34

Op directory’s Gebruiker kan een lijst opvragen van bestanden en subdirectory’s in een directory. Wijzigen van de inhoud van de directory. Dit betekent dat de gebruiker bestanden mag hernoemen, aanmaken en verwijderen. Activeren van een subdirectory met de opdracht cd.



09-07-2008

11:44

Pagina 35

Storage

Ownership

Naast rechten speelt op Linux de ‘ownership’ van bestanden. Elk bestand en elke directory bevat drie owners: • user; • group; • others. Op basis van ownership wordt bepaald welke rechten u hebt. De user is typisch de gebruiker die het bestand heeft aangemaakt. Elke gebruiker heeft in een Linux-omgeving een primaire groep. De primaire groep van de gebruiker die een bestand aanmaakt, wordt automatisch group-owner. Daarnaast zijn er de others; typisch is dit de rest van de wereld. De meeste bestanden hebben een standaardinstelling van rechten die ervoor zorgt dat de gebruiker read-, write- en execute-rechten heeft op directory’s en read en write op bestanden. De group-owner en others hebben meestal read-rechten op bestanden en read en execute op directory’s. Vergeet nooit om de execute-permissie op directory’s te geven, anders kunnen de gebruikers de betreffende directory niet activeren! Voordat u met Linux-permissies aan het werk gaat, moet het ownership geregeld worden. Er bestaan geen handige Open Enterprise Server-methodes om dit te doen, dus bent u aangewezen op de Linux-hulpmiddelen. Linux kent voor het wijzigen van eigenaars twee opdrachten: • chown: wijzigt de gebruiker die eigenaar is van een bestand of directory; • chgrp: wijzigt de groep die eigenaar is van een bestand of directory. U kunt met deze opdrachten zowel lokale Linux-gebruikers als LUM-gebruikers eigenaar maken. In het volgende voorbeeld maken we gebruiker lydia owner van de directory /data:


6/10.1-35


09-07-2008

11:44

Pagina 36

Bestandstoegang

chown lydia /data

En hieronder ziet u hoe de eDirectory LUM-group lumusers groep-eigenaar gemaakt wordt van de directory data: chgrp lumusers /data

Zoals u ziet is er in het commando geen verschil tussen een lokale Linux-gebruiker en een Linux-gebruiker die aangemaakt is in eDirectory. LUM is namelijk een transparant mechanisme dat ervoor zorgt dat het Linux-werkstation dit verschil niet ziet. Nadat de owners op de juiste wijze zijn ingesteld, kunt u de Linux-rechten instellen. Dit kan op de Linux-opdrachtregel met de opdracht chmod, maar het kan ook via Remote Manager. In onderstaande procedure leest u hoe de rechten voor de directory /data via Remote Manager aangepast worden. 1. Start uw browser en activeer de link http://uwserver:8009. U ziet nu het inlogscherm van Remote Manager. Voer de naam in van het beheerdersaccount dat u wilt gebruiken en het bijbehorende wachtwoord. U ziet vervolgens het hoofdmenu van Remote Manager.

6/10.1-36



09-07-2008

11:44

Pagina 37

Storage

Via Remote Manager kunt u rechten instellen op het Linux-bestandssysteem.

2.

In het hoofdmenu van Remote Manager ziet u bovenaan in de lijst van beschikbare devices het device ‘rootfs’, met daarachter een / die als hyperlink gepresenteerd wordt. Klik op deze slash om een overzicht te krijgen van alle bestanden en directory’s die onder het root-bestandssysteem zijn aangemaakt. U ziet in de kolom Attributes een overzicht van de permissies die op de directory’s en bestanden ingesteld zijn.


6/10.1-37


09-07-2008

11:44

Pagina 38

Bestandstoegang

De kolom Attributes toont een overzicht van de permissies die op directory’s en bestanden zijn ingesteld.

3.

6/10.1-38

Klik nu op de permissies voor de directory waarvan u de permissies wilt wijzigen. Wilt u dat alle leden van de groep-eigenaar van deze directory in de directory kunnen lezen en schrijven? Zorg er dan voor dat de opties group read, group write en group execute geselecteerd zijn. Controleer boven in beeld ook gelijk dat de juiste groep-eigenaar ingesteld staat. Als dit niet het geval is, moet u straks nog even op de Linux-opdrachtregel de opdracht chgrp gebruiken om de groep-eigenaar te veranderen.



09-07-2008

11:44

Pagina 39

Storage

Zorg ervoor dat alle groepspermissies hier geselecteerd zijn.

U hebt nu de juiste Linux-permissies ingesteld. U kunt vervolgens verder met het aanmaken van de Samba-share op deze directory. 6/10.1.3 Rechten instellen op het NSS-volume In de voorgaande paragraaf hebt u gelezen hoe u permissies in moet stellen op een traditioneel Linux-volume. Als u een NSS-volume hebt, maakt u gebruik van het Novellrechtensysteem (we zullen het verder hebben over NetWare-rechten als we dit systeem bedoelen). Dit rechtensysteem is beschikbaar op NSS-volumes, en op NCPshares door middel van het volumeobject dat voor deze shares in eDirectory is aangemaakt. Hieronder treft u een overzicht van de beschikbare rechten:


6/10.1-39


09-07-2008

11:44

Pagina 40

Bestandstoegang

Rechten file scan

Toegepast op bestanden De naam van een bestand kunnen zien.

read

write

Inlezen van bestanden (met als gevolg dat uitvoerbare bestanden ook uitgevoerd kunnen worden). Wijzigen van het bestand.

create

Niet van toepassing.

erase

Verwijderen van bestanden.

modify

Wijzigen van de eigenschappen van een bestand.

access control

Beheer van toegang tot bestanden. Alle rechten.

supervisory

Toegepast op directory’s Kunnen zien welke bestanden er in een directory bestaan. Inlezen van bestanden en subdirectory’s.

Wijzigen van de inhoud van de directory. Aanmaken van nieuwe bestanden en subdirectory’s. Verwijderen van bestanden en subdirectory’s. Wijzigen van de eigenschappen van bestanden en subdirectory’s. Beheer van toegang tot bestanden en subdirectory’s. Alle rechten.

Bij het werken met NetWare-rechten speelt ownership geen belangrijke rol. In NetWare-rechten is er de trustee: dit is een gebruiker of groep die rechten heeft op een bestand of directory. Er kunnen meerdere trustees op één directory of bestand aangemaakt worden. Ook hebt u bij NetWare-rechten te maken met overerving van rechten, ‘inheritance’ in het Engels. Dit betekent dat de rechten die een trustee op een directory heeft, automatisch ook gelden voor alle items die onder deze directory bestaan. Om in Open Enterprise Server rechten uit te kunnen delen op een NSS-volume, hebt u een eDirectory-gebruikersaccount nodig. Wilt u dat deze gebruikers ook via een Samba-share toegang krijgen tot de betreffende directory,

6/10.1-40



09-07-2008

11:44

Pagina 41

Storage

dan moet u ervoor zorgen dat de gebruikers in kwestie tevens LUM-gebruikers zijn. In onderstaande procedure leest u hoe u met iManager rechten instelt: 1. Start uw browser en voer het adres http://uwserver/nps in de adresbalk in. U ziet nu het loginscherm van iManager. Voer hier uw admin-naam en -wachtwoord in en klik dan op OK om toegang te krijgen tot iManager. 2. Activeer nu in iManager de link Files and Folders en klik op Properties. Gebruik het vergrootglas om te bladeren naar het NSS-volume waarop de directory staat waar u rechten wilt instellen. Gebruik de pijltjes naast de symbolen van het volume, directory‘s en subdirectory’s totdat u de directory ziet waarvan u de eigenschappen in wilt stellen.

Klik door totdat u de naam van de directory ziet waarop u rechten in wilt stellen.


6/10.1-41


09-07-2008

11:44

Pagina 42

Bestandstoegang

3.

Klik nu op de naam van de directory die u wilt bewerken om hem te selecteren. Klik vervolgens in het hoofdvenster van iManager op OK om de eigenschappen van deze directory op te vragen.

Klik nu op OK om de eigenschappen van de directory op te vragen.

4.

6/10.1-42

Activeer nu het tabblad Rights. U ziet een overzicht van alle trustees die mogelijkerwijs al zijn toegevoegd (zeer waarschijnlijk zijn die er niet). Gebruik het vergrootglas achter de optie Trustee om nieuwe trustees toe te voegen. Klik dan in de overzichtslijst van trustees de rechten aan die u aan deze trustee wilt geven en klik tot slot op OK om deze rechten op te slaan. Herhaal deze procedure net zolang totdat alle gewenste rechten staan ingesteld.



09-07-2008

11:44

Pagina 43

Storage

Voeg hier alle eDirectory-objecten toe die u trustee wilt maken op de geselecteerde directory.

5.

Onder in beeld ziet u hoe het Inherited Rights Mask staat ingesteld. Laat dit altijd zo staan dat alle rechten geselecteerd zijn; als u dit niet doet, zult u zichzelf namelijk flink beperken!

U hebt nu rechten ingesteld op de directory op het NSSvolume waarop u de Samba-share wilt zetten. In bovenstaande procedure is gebruikgemaakt van iManager. Als alternatief kunt u ook de interface in de Novell-client gebruiken, of het Linux rights-commando. Dit laatste commando is lastig in gebruik, maar zeker als u omvangrijke taken wilt gaan scripten, kan het heel handig zijn om te weten hoe het werkt. De algemene structuur van dit commando is als volgt:


6/10.1-43


09-07-2008

11:44

Pagina 44

Bestandstoegang

rights [file] [rechteninstellingen] trustee TRUSTEENAAM

Zo geeft u bijvoorbeeld met de volgende opdracht rechten aan gebruiker linda op de directory /data: rights -f=/data -r=FRWCEM trustee LINDA

Houd er rekening mee dat het rights-commando alleen werkt op NSS-volumes. Wilt u op een traditioneel Linuxvolume rechten instellen, dan bent u aangewezen op de methodes die in de voorgaande paragraaf besproken zijn. De Samba-share aanmaken Het moment is eindelijk daar: u hebt LUM-gebruikers, deze zijn ook Samba-gebruikers, u hebt de rechten geregeld, dus is het nu tijd om de Samba-share aan te maken. Hieronder ziet u hoe u deze taak uitvoert met iManager. 1. Start iManager, log in en activeer in iManager de link File Protocols > Samba. 2. Gebruik het vergrootglas om de server te selecteren waarop u Samba-shares wilt aanmaken. U ziet nu de status van de Samba-service op die server. Als u Samba geïnstalleerd hebt, zult u zien dat de server zelf automatisch al gestart is.

6/10.1-44



09-07-2008

11:44

Pagina 45

Storage

Na installatie wordt de Samba-server automatisch gestart.

3.

Klik nu op het tabblad Shares. U ziet dat hier een aantal standaard shares automatisch al beschikbaar gemaakt is. Deze zorgen er onder andere voor dat de gebruiker contact kan maken met zijn home directory.


6/10.1-45


09-07-2008

11:44

Pagina 46

Bestandstoegang

De standaard shares zorgen er onder andere voor dat gebruikers via Samba naar hun home directory’s kunnen.

4.

6/10.1-46

Klik nu op New om een nieuwe share aan te maken. Hierbij maakt u gebruik van de volgende opties: • share nme: de naam van de share; • path: de directory die u wilt delen. Dit is een volledige Linux-padverwijzing naar de betreffende directory; • comment: een stukje commentaar waarmee u aan de gebruiker uit kunt leggen waarvoor de share dient; • read-only: selecteer deze optie als u het geen enkele gebruiker die via Samba binnenkomt toe wilt staan te schrijven in deze share. Wij raden



09-07-2008

11:44

Pagina 47

Storage

•

u af deze optie te gebruiken: het is beter om uw rechten via het bestandssysteem te regelen; inherit ACLs: gebruik deze optie om het erven van rechten aan te zetten. Zo zorgt u ervoor dat nieuwe subdirectory’s altijd dezelfde rechteninstellingen hebben als de bovenliggende directory’s. Deze optie is ook noodzakelijk om compatibel te zijn met Windows-beheersutilities.

U hoeft maar een paar parameters op te geven om een Samba-share aan te maken.

Dit was alles, u hebt nu een Samba-share aangemaakt. Het resultaat van uw werkzaamheden is weggeschreven naar het bestand /etc/samba/smb.conf en ziet er als volgt uit:


6/10.1-47


09-07-2008

11:44

Pagina 48

Bestandstoegang

[datashare] path = /media/nss/NSSVOLA comment = read only = No inherit acls = Yes

Vanuit iManager kunt u geen verdere opties instellen. Het Samba-protocol biedt echter de mogelijkheid om nog een veelheid aan andere opties op uw share in te stellen. Dit moet dan echter gebeuren door op uw server met een editor het bestand /etc/samba/smb.conf te bewerken. Raadpleeg de man-pagina van smb.conf; u vindt hierin een beschrijving van de honderden opties die beschikbaar zijn om de share verder te tunen. Doet u dat niet, dan is het echter ook goed: uw Samba-share zal ook op deze manier uitstekend werken. 6/10.1.4 Werken met NFS De Samba- en NCP-protocollen die in het voorgaande besproken zijn, integreren uitstekend in Open Enterprise Server. U kunt ze beheren met iManager en Remote Manager en u kunt zelfs een koppeling maken met het NetWare-rechtensysteem. Dit geldt allemaal niet voor het NFS-file access-protocol. Toch is dit met name in de Linuxwereld een dusdanig veelgebruikt protocol dat we u kort van informatie willen voorzien over hoe u NFS-shares aanmaakt. Het Network File System (NFS) is in de jaren tachtig van de vorige eeuw ontwikkeld als een eenvoudig middel om directory’s op een UNIX-server beschikbaar te stellen op

6/10.1-48



09-07-2008

11:44

Pagina 49

Storage

een andere UNIX-server. In die tijd speelde beveiliging nog niet de belangrijke rol die het nu speelt: de middelen om NFS te beveiligen zijn dan ook primitief. In principe is de beveiliging host-gebaseerd. Dit betekent dat u aan een volledige host toegang geeft of niet. Op het moment dat een host toegang gekregen heeft, krijgen de gebruikers op die host toegang met dezelfde permissies die de lokale gebruikers hebben. Dat houdt in dat de gebruiker met UID 600 van node2 de permissies krijgt van gebruiker met UID 600 op node1. U begrijpt dat dit alleen werkt in combinatie met een gecentraliseerde gebruikersbeheersoplossing, zoals LUM, waarover u eerder gelezen hebt. NFS is een typische Linux-oplossing. Dit betekent dat het protocol prima ondersteund wordt door verschillende Linux- en UNIX-versies, maar dat het geen goede oplossing is om er Windows-gebruikers mee te bedienen. Wij raden u aan goed te overwegen of u NFS ook in een pure Linuxomgeving wilt gebruiken. Wellicht is Samba een veel betere oplossing: het protocol is nagenoeg even snel als NFS, veel beter te beveiligen en integreert uitstekend met Open Enterprise Server. Een NFS-configuratie bestaat uit twee kanten. Ten eerste is er de serverconfiguratie. Hiermee wordt een directory gedeeld en beschikbaar gesteld aan andere nodes. Op de betreffende node zelf moet deze gedeelde directory dan gemount worden in het lokale bestandssysteem. NFS-serverconfiguratiebestand Om de NFS-server te configureren maakt u een bestand aan waarin aangegeven wordt welke directory’s gedeeld moeten worden. De naam van dit bestand is /etc/exports. Vervolgens start u alle NFS-services. In onderstaande procedure leest u hoe u dit vanuit YaST allemaal kunt regelen.


6/10.1-49


09-07-2008

11:44

Pagina 50

Bestandstoegang

1.

6/10.1-50

Start op de console van uw OES-server YaST en kies daar Network Services > NFS Server. U ziet nu het NFS Server Configuration-venster waarin u aangeeft hoe de NFS-server gestart moet worden. Het spreekt voor zich dat u hier de optie NFS Server Start selecteert. Indien noodzakelijk selecteert u ook de optie Open Port in Firewall, zodat NFS door de firewall die op uw server draait heen benaderd kan worden. Wij raden u echter aan op Open Enterprise Server zelf geen firewall te gebruiken: u regelt de bescherming van uw netwerk beter op de routers die toegang geven tot het netwerk. Tot slot is er het kader Enable NFSv4. Hierin staat de optie Enable NFSv4 standaard aan. In NFSv4 kan de beveiliging door middel van Kerberos geregeld worden. Wij laten deze optie hier verder buiten beschouwing, dus mag u de optie Enable NFSv4 weer uitzetten. De optie Enable FSS Security is alleen in een NFSv4-omgeving van belang en mag hier dus ook uit blijven.



09-07-2008

11:44

Pagina 51

Storage

Zorg ervoor dat de NFS-server gestart wordt en zet verder alle andere opties uit.

2.

In het tweede venster van het NFS-configuratieprogramma geeft u aan welke directory’s u wilt delen. Klik om te beginnen op Add Directory en blader naar de directory die u wilt delen. Vervolgens verschijnt een klein venster waarin u opties en een host wild card op kunt geven. Voor de host wild card wordt standaard een * gebruikt. Dat zorgt ervoor dat elke host toegang krijgt tot uw NFS-share. Dit kunt u limiteren door een (gedeeltelijk) IP-adres op te geven. Gebruik bijvoorbeeld 192.168.0.0/16 om alleen toegang te geven aan hosts uit het netwerk 192.168.0.0. Vervolgens zijn er de opties. De standaardopties zorgen ervoor dat de mogelijkheden binnen de NFS-share redelijk beperkt zijn. Hieronder vindt u de betekenis van vijf veelgebruikte opties: • ro – toegang tot de share is read-only;


6/10.1-51


09-07-2008

11:44

Pagina 52

Bestandstoegang

• •

•

•

rw – gebruikers mogen in de share schrijven als de file system-permissies dat toestaan; sync – bestanden die weggeschreven worden naar de share, worden direct gesynchroniseerd en niet eerst in cache bewaard; root_squash – als gebruiker root van een clientmachine de share benadert, krijgt hij de permissies van de gebruiker nobody; no_root_squash – de gebruiker root op een clientmachine behoudt zijn root-permissies ook binnen de share.

Specificeer de opties die u wilt gebruiken en klik dan op OK om de share toe te voegen. Klik vervolgens op OK om de share op te slaan.

Om een NFS-share te maken geeft u op welke directory, welke opties en welke host toegang krijgen tot de share – en u bent klaar.

6/10.1-52



09-07-2008

11:44

Pagina 53

Storage

De NFS-client inrichten Om contact te maken met een NFS-share moet u ervoor zorgen dat op de clientcomputer de NFS-share gemount wordt in het Linux-bestandssysteem. Voordat u hiermee begint is het handig eerst te kijken of u alle beschikbare NFS-shares vanaf de client ook kunt zien. Gebruik hiervoor de opdracht showmount -e gevolgd door naam of IP-adres van de server. U ziet vervolgens een lijst van alle NFS-shares die beschikbaar zijn. Listing 1: Met showmount -e krijgt u een lijst te zien van alle shares die beschikbaar zijn. MEM:~# showmount -e 192.168.1.112 Export list for 192.168.1.112: /data /media/nss/NSSVOLA

Op het moment dat u de met NFS beschikbaar gestelde directory kunt zien op de clientmachine, wordt het tijd daar het NFS-clientprogramma te draaien om een verbinding tot stand te brengen. Hieronder leest u hoe dat werkt. 1. Start YaST en kies daar Network Services > NFS Client. 2. U ziet nu de NFS Client Configuration-interface die als het goed is nog leeg is. Klik hier op Add om een nieuwe NFS-verbinding toe te voegen. 3. U ziet nu een nieuw venster waarin alle benodigde gegevens ingevoerd moeten worden (zie afbeelding). Het gaat hier om de volgende informatie: • NFS Server Hostname: dit is de naam of het IPadres van de NFS-server. • Remote File System: dit is de naam van de directory die met NFS beschikbaar gesteld is.


6/10.1-53


09-07-2008

11:44

Pagina 54

Bestandstoegang

•

•

Mount Point (local): gebruik hier de naam van de lokale directory waar u wilt dat de NFS-share voortaan gemount wordt. Options: hier geeft u de Mount-opties aan. Wij raden u aan in elk geval de opties wsize=8192 en rsize=8192 op te nemen; hiermee regelt u dat bij het maken van de NFS-mount de ideale pakketgrootte over het netwerk verstuurd wordt en dit komt de prestaties van uw server ten goede.

Voer hier alle gegevens in die nodig zijn om de NFS-verbinding tot stand te brengen.

4.

Klik nu in het NFS Client Configuration-programma op Finish om de NFS-verbinding tot stand te brengen.

De NFS-share is nu op de clientcomputer toegevoegd aan het configuratiebestand /etc/fstab. Dit zorgt ervoor dat de volgende keer dat de client opgestart wordt, de NFS-verbinding ook automatisch tot stand gebracht wordt. NFS is een handige manier om verbindingen tot stand te brengen tussen Linux-machines onderling. De NFS-configuratie is echter een Linux-configuratie en maakt geen deel uit van Open Enterprise Server. Dit betekent dat er geen integratie is met typische OES-zaken als eDirectory en NSS. Het betekent zelfs dat het niet mogelijk is een

6/10.1-54



09-07-2008

11:44

Pagina 55

Storage

NFS-share op een NSS-volume aan te maken. Zoals eerder gezegd: voor een optimale integratie in de rest van uw OES-omgeving is het een beter idee gebruik te maken van Samba. 6/10.1.5 NetStorage In Open Enterprise Server zijn er zo veel manieren om bestanden te benaderen dat de gebruiker het risico loopt door de bomen het bos niet meer te kunnen zien. Naast de hier besproken manieren van NCP-, Samba- en NFS-shares zijn er namelijk ook andere methodes, zoals iFolder en drive-mappings die vanuit het login-script tot stand gebracht worden. NetStorage voorziet in een interface waar al deze mogelijkheden bij elkaar komen. De gebruiker werkt met een speciale NetStorage URL en ziet daar een weergave van alle file access-methodes die hij heeft. Mooi bij elkaar, in één geïntegreerde omgeving, met het bijkomende voordeel dat de gebruiker zijn bestanden gewoon kan benaderen vanuit een browser. U leert nu hoe u een eenvoudige NetStorage-omgeving installeert en in gebruik neemt. Installatie van NetStorage De installatie van NetStorage begint in YaST; de NetStorage-service wordt namelijk niet automatisch meegenomen tijdens de installatie van Open Enterprise Server. 1. Start in YaST het OES-configuratieprogramma en kies in Software Selection onder OES Services de Novell NetStorage-service.


6/10.1-55


09-07-2008

11:44

Pagina 56

Bestandstoegang

Voordat u NetStorage kunt gebruiken, moet u het eerst in YaST installeren.

2.

6/10.1-56

In het YaST OES Configuration-venster klikt u op NetStorage om de service te configureren. Voer om te beginnen het admin-wachtwoord in. U ziet nu het NetStorage-configuratievenster waarin een aantal parameters opgegeven moeten worden.



09-07-2008

11:44

Pagina 57

Storage

Vanuit YaST moet een aantal parameters geconfigureerd worden voor NetStorage.

3.

Geef een waarde aan de volgende parameters en klik op Next als u daarmee klaar bent. • Authentication Domain Host: dit is de server die gebruikt wordt voor de LDAP-connecties die NetStorage nodig heeft. • Proxy user name: de naam van de gebruiker die als proxy-user gebruikt wordt om informatie uit eDirectory te halen. Standaard wordt hier de admin-gebruiker genoemd, u mag voor dit doel ook een ander gebruikersaccount met minder rechten inzetten. • Proxy user password: het wachtwoord van de genoemde proxy-user. • User context: de container in eDirectory waar NetStorage standaard op zoek gaat naar useraccounts.


6/10.1-57


09-07-2008

11:44

Pagina 58

Bestandstoegang

4.

5.

Rond nu het OES-configuratieprogramma in YaST af. De wijzigingen worden weggeschreven en zodra dat gebeurd is, is er een basis NetStorage-omgeving beschikbaar. Start een browser en ga naar de welkomstpagina van uw server. Hier vindt u onder Client Software een link naar de NetStorage-site. Activeer deze link en log in met een gebruikersaccount. U zult zien dat er in elk geval een gedeelde map met de naam shared getoond wordt en afhankelijk van de instellingen van het gebruikersaccount wellicht nog meer. Vanuit de NetStorage-link kunt u bestanden downloaden, bewerken en weer uploaden. Zo kunt u altijd bij uw bestanden, waar u ook bent.

Wat de NetStorage-pagina u laat zien, is afhankelijk van de instellingen van uw gebruikersaccount.

6/10.1-58



09-07-2008

11:44

Pagina 59

Storage

NetStorage configureren Zoals u hierboven hebt kunnen lezen, zijn de standaardopties die de gebruiker in NetStorage te zien krijgt, nogal beperkt. U zult er dus voor moeten zorgen dat de gebruiker toegang krijgt tot meer onderdelen van zijn gebruikersomgeving. Als voor de gebruiker een login-script van toepassing is waarin drive-mappings gemaakt worden, worden al deze drive-mappings automatisch ook in NetStorage getoond. Is dit niet het geval, dan moet u gebruikmaken van NetStorage Location-objecten om locaties in het bestandssysteem beschikbaar te stellen. U maakt deze location-objecten aan in eDirectory en verbind ze aan gebruikersaccounts. Vervolgens zorgt de NetStorage-provider, een component die geen verdere configuratie nodig heeft, ervoor dat u toegang krijgt tot deze locaties. Drive-mappings in login-scripts De eenvoudigste wijze om in NetStorage objecten ter beschikking te stellen aan een gebruiker, is door middel van de drive-mapping. De drive-mapping zorgt ervoor dat tijdens het inloggen de gebruiker er een drive-letter bij krijgt die verwijst naar een locatie op het netwerk. Dit gebeurt door middel van de opdracht map, die opgenomen wordt in een login-script. De basisstructuur van de opdracht map is eenvoudig: map driveletter:=fqdn_van_het_volume:directory\subdirectory.

Als u dus in eDirectory een volume hebt met de naam mijnserver_data dat voorkomt in de container o=oes, en een mapping wilt maken naar de directory groepen op dit volume, komt de drive-mapping er als volgt uit te zien: map g:=cn=mijnserver_data.o=oes:groepen


6/10.1-59


09-07-2008

11:44

Pagina 60

Bestandstoegang

Het resultaat is dat de gebruiker een letter g: ter beschikking krijgt in zijn omgeving die verwijst naar deze locatie. Om deze mapping automatisch tijdens het inloggen aan te laten maken, plaatst u hem in het login-script dat voor de gebruiker van toepassing is. Het handigst is het om hiervoor gebruik te maken van het container-login-script: dit login-script is als eigenschap van de container aanwezig op de container waarin de gebruiker voorkomt. Hieronder leest u hoe u zo’n container login-script aanmaakt. 1. Start iManager en log in als admin. 2. Selecteer nu de optie Directory Administration > Modify Object en gebruik het vergrootglas om de container te selecteren waarvoor u een login-script wilt aanmaken. 3. Kies op het tabblad General de optie Login Script en typ hier het mapcommando waarmee u een mapping aanmaakt. Klik dan op OK om de wijzigingen op te slaan.

6/10.1-60



09-07-2008

11:44

Pagina 61

Storage

U neemt het mapcommando op in het container-login-script.

4.

Log nu als gebruiker opnieuw in in de NetStorageinterface (u moet echt uitloggen en opnieuw inloggen). U ziet de nieuwe mapping nu staan tussen de beschikbare NetStorage-locaties.


6/10.1-61


09-07-2008

11:44

Pagina 62

Bestandstoegang

Als u uitgelogd en opnieuw ingelogd bent, ziet u de nieuwe drive-mapping meteen staan in de NetStorage-omgeving.

NetStorage Location-objecten Als u in NetStorage verder wilt gaan dan alleen maar drivemappings, iFolder en de standaard shared-map, moet u aan het werk met Storage Location-objecten. In onderstaande procedure ziet u hoe dit werkt. 1. Start iManager, log in als beheerder en selecteer File Access (NetStorage). Klik dan op New Storage Location. U ziet dan de interface uit de volgende afbeelding. 2. Voer de volgende informatie in: • object name: de naam die u aan het gerelateerde object in eDirectory wilt geven; • display name: de naam die u voor deze locatie in NetStorage te zien krijgt; 6/10.1-62



09-07-2008

11:44

Pagina 63

Storage

•

• •

directory location: de locatie van de directory waarnaar u verwijst. Deze locatie moet in URLformaat gespecificeerd worden. Als in deze URL geen type bestandssysteem voorkomt, wordt ervan uitgegaan dat het een NCP-bestandssysteem betreft. Als alternatief kunt u gebruikmaken van de typeaanduidingen CIFS en SSH. De URL ziet er dus bijvoorbeeld uit als cifs://uwserver/uwshare; context: de context in eDirectory waar uw Storage Location-object voorkomt; comment: een optioneel commentaarveld dat alleen getoond wordt aan de beheerder van het Storage Location-object.

In het Storage Location-object wordt door middel van een URL verwezen naar de locatie in het file-system die beschikbaar gesteld wordt.


6/10.1-63


09-07-2008

11:44

Pagina 64

Bestandstoegang

3.

4. 5.

Nu u het Storage Location-object aangemaakt hebt, bent u er nog niet. U moet dit object namelijk ook nog aan een of meer eDirectory-objecten verbinden. Hiervoor kunt u gebruikmaken van zowel gebruikers, groepen als containerobjecten. U doet dit in iManager via File Access (NetStorage) > Assign Storage Location to Object. Selecteer dan eerst het eDirectory-object waaraan u een Storage Location wilt toekennen en klik op OK. Gebruik vervolgens het vergrootglas om het nieuwe Storage Location-object te selecteren. Opgelet: dit nieuwe object staat niet automatisch in de uitschuiflijst met beschikbare NetStorage Location-objecten!

Gebruik het vergrootglas om het Storage Location-object te selecteren.

6/10.1-64



09-07-2008

11:44

Pagina 65

Storage

6.

Klik op OK en sluit de iManager interface. Het nieuwe Storage Location object is nu zichtbaar in de NetStorage interface van de gebruikers waarop het betrekking heeft. (Niet vergeten eerst opnieuw in te loggen!).

U hebt nu een NetStorage-omgeving geconfigureerd. NetStorage biedt meer opties, maar deze worden in de praktijk slechts sporadisch gebruikt; wij besteden er daarom in deze paragraaf geen aandacht aan. 6/10.1.6 Tot slot In deze paragraaf hebt u kennisgemaakt met de essentie van Open Enterprise Server. NetWare was zo populair omdat het een heel goede file-server was; dit geldt ook voor OES. U hebt geleerd dat OES verschillende manieren kent om bestanden aan te bieden aan gebruikers, elke manier met zijn eigen voordelen. Wat alle methodes met elkaar gemeen hebben, is dat er een optimale integratie is tussen de OES-wereld en het file access-protocol dat op de client gebruikt wordt. OES biedt op deze manier voor vrijwel elke denkbare situatie een goede oplossing.


6/10.1-65


09-07-2008

11:44

Pagina 66

Bestandstoegang

6/10.1-66


Storage

6/10.2 Native file sharing met CIFS Er zijn nogal wat trouwe gebruikers van Novell NetWare of Open Enterprise Server die helemaal niet blij zijn met de Novell-client. Met Open Enterprise Server 2 SP1 biedt Novell een goed alternatief. Na het lezen van deze paragraaf weet u of dit alternatief goed genoeg is om de Novell-client eindelijk overboord te gooien. Er zijn verschillende redenen waarom een eindgebruiker verbinding maakt met een Novell-server. Een belangrijke reden is het benaderen van bestanden die op de server opgeslagen staan. Daarnaast echter zijn er ook andere redenen. Zo kan uw server bijvoorbeeld printservices verschaffen, of kan er ZEN of GroupWise op draaien. In het verleden zat veel van deze functionaliteit geïntegreerd in de Novell-client. Sinds een aantal jaren is Novell bezig deze functionaliteit meer en meer los te weken van de traditionele client. Zo zijn er al lichtgewicht clients voor ZEN en iPrint en heeft GroupWise al sinds jaar en dag een eigen client. Voor het benaderen van bestanden door middel van een share is er nu ook een goede oplossing. 6/10.2.1 CIFS of Samba In oudere versies van Open Enterprise Server gebruikte Novell CIFS voor de NetWare-varianten van het besturingssysteem en Samba voor de Linux-varianten. In SP1 is alles gelijkgetrokken en gebruikt nu ook de Linux-versie van Open Enterprise Server CIFS. Op zich een opmerkelijke stap. In eerdere versies ging Novell er juist zo prat op gebruik te maken van open-source technologie. Novell had zelfs bijgedragen aan het Samba-project om een uitbreiding te ontwikkelen die het mogelijk maakte Samba met een LDAP-directoryservice te laten praten. Het is ze echter nooit gelukt om deze open-source Samba-stack optimaal Novell Netwerkoplossingen, aanvulling 31

6/10.2-1

Native file sharing met CIFS

te laten presteren. Dit bleek op het moment dat men meer dan pakweg tweehonderdvijftig gebruikers gelijktijdig naar een share wilde sturen, want dan stortten de prestaties gigantisch in en bleek Open Enterprise Server Samba onwerkbaar.

NFAP

De oplossing voor dit probleem was al jarenlang voorhanden. Al in NetWare 6 introduceerde Novell het zogenaamde Native File Access Pack (NFAP), dat een protocolstack bevatte voor onder andere Apple- en Windows-gebruikers. Uit deze stack zijn nu zowel AFP als CIFS overgebracht naar Open Enterprise Server Linux. En dit is op een aantal gebieden een goede keuze geweest. 6/10.2.2 Voor- en nadelen Laten we voordat we naar de voordelen kijken, eerst maar eens kijken naar de beperkingen die er op dit moment zijn. Deze beginnen ermee dat CIFS alleen maar werkt met NSSvolumes. Hebt u een NSS-volume, dan kunt u daar heel eenvoudig een CIFS-share op zetten. Hebt u geen NSSvolume, dan is Samba de enige methode om bestanden beschikbaar te stellen voor Windows-gebruikers. Dat is op zich nog niet zo erg, maar daar komt wel bij dat CIFS en Samba niet tegelijkertijd op dezelfde server geïnstalleerd kunnen worden. Behalve CIFS en Samba die niet samen geïnstalleerd kunnen worden, is er nog een product waarmee CIFS niet samengaat, namelijk Novells Domain Services for Windows (DSfW). DSfW heeft zijn eigen oplossing om bestanden te delen met Windows-gebruikers. Dit betekent dus dat u geen DSfW en CIFS op dezelfde server kunt zetten (reden temeer om maar eens serieus na te denken over een omgeving waarin u virtualisatie gaat inzetten).

6/10.2-2


Storage

Naast deze nadelen biedt CIFS verder vooral voordelen. Deze voordelen blijken direct al als u CIFS gaat configureren. Waar het in de oude Samba-procedure nodig was eerst verschillende trucs los te laten op de bestaande omgeving, kunt u CIFS in vrij weinig stappen configureren. Neem daarbij het voordeel van de veel grotere schaalbaarheid en dat bij elkaar zou reden genoeg moeten zijn om niet langer te hoeven nadenken welke oplossing u wilt gebruiken om bestanden toegankelijk te maken voor Windows-gebruikers die geen Novell-client meer willen gebruiken. Ook goed om te weten: CIFS werkt niet alleen voor Windows-gebruikers, maar ook voor Linux- en Apple-gebruikers. Als protocoloplossing begint CIFS dus aardig universeel te worden.

YaST

6/10.2.3 CIFS configureren De configuratie van CIFS begint in YaST. Kies hier de categorie Open Enterprise Server en voeg vervolgens de optie CIFS Server toe. In het configuratiescherm moet u vervolgens aangeven met welk wachtwoord de admin-gebruiker eDirectory in moet. Ook moet er een CIFS Proxy-gebruiker aangemaakt worden, met een wachtwoord voor deze proxygebruiker. Als u vervolgens op Next klikt, kunt u aangeven in welke eDirectory-context CIFS moet kijken naar gebruikers. Zorg ervoor dat hier alle contexten staan waarin gebruikers voorkomen en klik dan op Next om naar het venster te gaan waarin u de wachtwoordconfiguratie regelt. Om CIFS te kunnen gebruiken gebruikt u Universal Password. Met de installatie van CIFS wordt ook automatisch een Universal Password Policy in eDirectory geïnstalleerd; u moet er nu alleen even voor zorgen dat deze policy ook ergens aan wordt toegekend. Dat regelt u door nu de password policy te selecteren; deze wordt vervolgens automatisch van kracht voor alle CIFS-gebruikers. Klik dan twee keer op Next om het YaST-gedeelte van de configuratie af te sluiten.


6/10.2-3


Selecteer CIFS vanuit YaST.

Geef aan met welke credentials CIFS gegevens uit eDirectory moet halen.

6/10.2-4


Storage

Bepaal nu welke password policy voor CIFS aan de gebruikers toegekend moet worden.

Nadat u in YaST hebt aangegeven wat er moet gebeuren, kunt u hetzelfde doen in iManager. Het is een goed idee om eerst te kijken of de Universal Password Policy goed is toegekend aan alle gebruikers. Dit doet u door onder Password, Password Policies te kijken of uw CIFS-policy inderdaad een assignment heeft aan een container die dusdanig hoog in de tree staat dat alle gebruikers er zo gebruik van kunnen maken. Als dit het geval is, kunt u vanuit dezelfde Passwords-interface ervoor zorgen dat alle gebruikers ook een Universal Password toegekend krijgen. Dit doet u door een voor een het Universal Password voor deze gebruikers in te stellen.


6/10.2-5


Controleer dat de Universal Password Policy inderdaad een assignment heeft.

Stel nu voor alle gebruikers die CIFS moeten gaan gebruiken, een Universal Password in.

6/10.2-6


Storage

Nu voldaan is aan de voorwaarden om een Universal Password in te stellen voor alle gebruikers, kunt u de CIFSshare zelf configureren. Hiervoor gaat u in iManager naar File Protocols, CIFS. Selecteer nu eerst de server die de CIFS-services op het netwerk gaat aanbieden. U ziet nu het tabblad General waarop alle verplichte opties automatisch al ingevuld zijn. Dat komt erop neer dat uw server een NetBIOS-naam moet hebben zodat hij ook op het Windowsnetwerk bekendgemaakt kan worden. Standaard wordt deze naam gevormd door achter de servernaam _W toe te voegen. De server HKG uit het voorbeeld wordt dus HKG_W.

Uw server moet een NetBIOS-naam hebben, voor de rest zijn er geen verplichte parameters.


6/10.2-7


Buiten de standaardparameters zijn op het tabblad General wel een paar opties de moeite waard. Om te beginnen is dat de optie OpLocks. Het is aan te raden deze optie aan te zetten als er meerdere protocollen tegelijk zijn die naar de bestanden op de CIFS-share gaan. Door deze optie aan te zetten voorkomt u dat een gebruiker die bijvoorbeeld met een Novell-client naar binnen gaat, niet ziet dat een bestand al door een CIFS-gebruiker in gebruik is en zo probeert het nogmaals te openen waardoor conflicten kunnen ontstaan. Zorg ervoor dat de optie SMB Signature op Optional staat. Dit bewerkstelligt dat zo veel mogelijk clients toch gewoon contact kunnen maken met de CIFS-shares.

Op het tabblad Authentication regelt u waar uw gebruikers moeten authenticeren.

6/10.2-8


Storage

Het aardige aan de instellingen op het tabblad Authentication is dat u hier kunt aangeven dat naast de standaardeDirectory-authenticatie gebruikgemaakt kan worden van Windows-authenticatie. Die authenticatie vindt dan plaats via een domein, wat betekent dat in feite alle opties openstaan. U kunt dus naar binnen via alles vanaf Windows NT 4, AD of geen AD. U zou deze koppeling ook kunnen gebruiken om naar een domein te gaan dat door Domain Services for Windows wordt aangeboden (al zou u zich moeten afvragen waarom u in zo’n geval niet gewoon via eDirectory wilt werken).

CIFS-gebruikers kunnen authenticeren via Windows Domains of via eDirectory.

Nadat u aangegeven hebt hoe u wilt authenticeren, moeten de shares aangemaakt worden. Zoals gezegd, de enige optie op dit gebied is een share aan te maken op een NSSNovell Netwerkoplossingen, aanvulling 31

6/10.2-9


volume. Dit maakt echter de procedure wel heel eenvoudig: blader naar het NSS-volume en zet het vinkje aan om er een share van te maken. Sla de gegevens op en de gebruikers kunnen beginnen met gebruiken. Meer is het niet.

Om een CIFS-share aan te maken hoeft u alleen maar aan te geven welk volume u wilt delen.

Het laatste onderdeel in iManager is het tabblad Contexts. Hier kunt u in een later stadium contexten toevoegen zodat CIFS zijn gebruikers kan terugvinden. Dit is handig als u na installatie van CIFS nieuwe containers met gebruikers gaat aanmaken, maar niet nodig als u in een bestaande omgeving blijft werken. Nu u de CIFS-share hebt aangemaakt, moet er nog wat aan beveiliging gedaan worden. Goed nieuws als u al jaren met Novell-rechten werkt: de rechten regelt u door op het NSSvolume rechten te geven aan gebruikers in eDirectory. Deze rechten worden transparant toegepast voor alle gebruikers in de Windows-omgeving.

6/10.2-10


Storage

6/10.2.4 Verbinden met de CIFS-share Nadat u de wijzigingen in iManager opgeslagen hebt, kunt u de CIFS-share benaderen. Gebruikt u oudere Windowsversies of Linux, dan is er geen probleem en kunt u de share gewoon benaderen. Nieuwere Windows-versies leveren echter een probleem op. Dit komt doordat in het NTLMprotocol dat gebruikt wordt op bijvoorbeeld Vista, een security-insteling gebruikt wordt die niet compatibel is met CIFS. U zult dus aan Vista moeten vertellen dat het wat meer basaal omgaat met zijn security-instellingen. Dit probleem lost u op Vista op de volgende manier op: 1. Start de Group Policy Editor, bijvoorbeeld door Start, Search gpedit.msc te starten. 2. Open in de Group Policy Editor de optie Computer Configuration, Windows Settings, Local Policies, Security Options. 3. Selecteer nu in het rechterdeel van het scherm de optie Network Security: LAN Manager Authentication Level. Hier vindt u standaard de optie Send NTLMv2 response only en daar gaat CIFS niet goed mee om. Wijzig dit in SEND LM & NTLM – use NTLMv2 Security if negotiated. 4. Sla deze instelling op. U kunt nu verbinden met de CIFS-share. Tot slot CIFS in OES2 SP1 maakt het samenwerken met Windowsgebruikers een stuk eenvoudiger. Met dit product combineert u het beste van twee werelden. Enerzijds kunt u nog steeds werken met Novell-rechten zoals u dat gewend bent, aan de andere kant hebt u op de werkstations van de gebruikers niet langer een Novell-client nodig. Dit maakt het beheer van de Windows-omgeving een stuk eenvoudiger, terwijl u nog steeds de voordelen hebt van het gebruik van een Novell-omgeving. Wat ons betreft een aanrader dus.


6/10.2-11


6/10.2-12


10 Bestandstoegang

Recommend Documents