Storage
6/6 Native File Access 6/6.1
Drie protocollen
Inleiding
In NetWare is sinds versie 6.0 een mogelijkheid aanwezig voor andere besturingssystemen om bestanden te benaderen, zonder dat daar een speciale client voor geïnstalleerd hoeft te worden. Deze methodologie staat bekend als ‘Native File Access’ en biedt een zeer veelzijdige methode om bestanden te benaderen op een NetWare-server. Momenteel zijn er drie verschillende protocollen die geconfigureerd kunnen worden voor Native File Access: • CIFS. Met behulp van het Common Internet File System (CIFS) kan toegang verleend worden aan Windows clients. Wanneer CIFS op de NetWare-server geïnstalleerd is, kan een gebruiker zonder dat er een speciale client geïnstalleerd is vanaf zijn Windowswerkstation contact maken met de server. • NFS. Network File System (NFS) is de klassieke manier die door UNIX-werkstations en -servers gebruikt wordt om bestanden met elkaar te delen. NFS is echter oud en ook behoorlijk onveilig. Om die reden zou u ernaar moeten streven dit protocol zo weinig mogelijk te gebruiken. Gebruik als alternatief bijvoorbeeld de CIFS-implementatie Samba; deze werkt gewoon op UNIX en zorgt ervoor dat gebruikers toegang krijgen tot directory’s die met CIFS gedeeld worden. • AFP. Apple-clients maken gebruik van het native Apple Filing Protocol om bestanden op andere servers te benaderen. Sinds Apple echter in 2001 met OS X gekomen is, is ook CIFS native beschikbaar voor
Novell Netwerkoplossingen, aanvulling 15
6/6.1-1
Native File Access
Apple-gebruikers. Om die reden is het beter om ook voor Apple-gebruikers toegang te regelen door middel van CIFS. Alleen als u nog werkstations in het netwerk hebt waarop OS 9 of eerder gebruikt wordt, hebt u AFP nog nodig. Aangezien alle clients tegenwoordig van huis uit ondersteuning bieden voor CIFS, zullen we het in deze paragraaf hebben over de wijze waarop dit protocol op NetWare geconfigureerd moet worden. We baseren ons hierbij overigens op de laatste versie NetWare: Open Enterprise Server NetWare editie (OES – NetWare).
6/6.1-2
Novell Netwerkoplossingen, aanvulling 15
Storage
6/6.2
CIFS
6/6.2.1
Installatie
Native File Access op OES – NetWare aanzetten U kunt er tijdens de installatie van OES – NetWare voor zorgen dat het Native File Access Pack mee geïnstalleerd wordt. Het is ook mogelijk om het product met behulp van Deployment Manager of de install utility op de server in een later stadium nog te installeren. We gaan er hier van uit dat alle noodzakelijke software reeds op uw server geïnstalleerd is; als dit niet het geval is, kunt u een gebruikelijke installatie uitvoeren vanuit een van de voornoemde hulpprogramma’s. Hieronder leest u hoe u vanuit de Novell Deployment Manager het product kunt installeren. 1.
Leg de NetWare installatie-cd in de lade van uw cdromstation en selecteer Post-Install Tasks > Install NetWare 6.5 Products.
U kunt Native File Access achteraf onder andere met behulp van de Novell Deployment Manager installeren.
Novell Netwerkoplossingen, aanvulling 15
6/6.2-1
Native File Access
2.
3.
4.
5.
Selecteer de optie Installing Products and Update en kies in het volgende scherm de optie Remote Product Install. Gebruik nu de browser om de server te selecteren waarop u Native File Access wilt installeren en klik op Next om verder te gaan. Voer de naam in van de Admin-gebruiker en diens wachtwoord en klik op OK. U wordt nu aangemeld op de server. Klik op Clear All om de standaardselectie van producten uit te zetten en zorg er vervolgens voor dat alleen de optie Native File Access Methods geselecteerd is. Klik vervolgens op Next en wacht tot alle bestanden naar uw server gekopieerd zijn.
Selecteer uit deze lijst de optie Native File Access Methodes.
6/6.2-2
Novell Netwerkoplossingen, aanvulling 15
Storage
Nadat de installatie met succes is uitgevoerd, wordt op de server zelf een aantal NCF-bestanden neergezet waarmee u de native file access-software kunt starten en stoppen. Voor het beheer zelf maakt u gebruik van iManager. De volgende NCF’s kunnen vanaf de server geactiveerd worden: • gebruik AFPSTART om de Apple Filing Protocol-services te starten; • met behulp van AFPSTOP stopt u de AFP-services weer; • gebruik CIFSSTRT om alle CIFS-services te starten; • met behulp van CIFSSTOP stopt u de CIFS-services weer. 6/6.2.2 Native File Access beheren vanuit iManager Nadat u de software geïnstalleerd hebt, kunt u het beheer uitvoeren vanuit iManager: 1. Start uw browser en activeer iManager op https://uwserver/nps. Log in als een gebruiker met voldoende beheerderspermissies. 2. In iManager kiest u vanuit Roles and Tasks de optie File Protocols > CIFS/AFP. 3. Gebruik het Server-veld om te bladeren naar de OES – NetWare-server waarvoor u Native File Access-services in wilt stellen. U kunt vanuit deze interface alleen NetWare beheren; native file access wordt op OES – Linux op een geheel andere wijze geregeld. 4. Klik op Properties om de eigenschappen van de geselecteerde server aan te passen. Op het tabblad Server geeft u aan welke van de native file access-protocollen beschikbaar moeten zijn. U kunt hier ook sommige parameters opgeven. Als eerste is het bijvoorbeeld mogelijk de NetBIOS-naam op te geven waarmee de CIFS-server zich zal adverteren. Om duidelijk onderscheid te maken wordt voor dit doel geen gebruik gemaakt van dezelfde naam als uw NetWare-
Novell Netwerkoplossingen, aanvulling 15
6/6.2-3
Native File Access
OpLocks en DFS
6/6.2-4
server, maar wordt een virtueel serverobject met een eigen naam aangemaakt. Als standaard wordt hiervoor de naam van uw server gebruikt, gevolgd door de toevoeging –W. Een server met de naam OES-NETWARE krijgt dus de NetBIOS-naam OES-NETWARE-W. Ook is het in dit venster mogelijk commentaar op te nemen. Dit commentaar is zichtbaar voor gebruikers die naar de server browsen en maakt het dus eenvoudiger met de juiste server contact te maken. Tot slot kunt u het adres opgeven van een WINS-server. Dit is uiteraard alleen handig wanneer op uw netwerk ook inderdaad van WINS gebruikgemaakt wordt. Dan zijn er nog twee opties met betrekking tot OpLocks en Distributed File System. Het is aan te raden altijd gebruik te maken van de optie OpLocks, omdat dit ervoor zorgt dat volledige toegang tot een bestand voor andere clients wordt tegengehouden als het al door iemand in gebruik is. Als u op uw NSSvolumes ook gebruikmaakt van het Distributed File System (DFS) en het gebruik daarvan wilt doorvoeren naar uw CIFS-omgeving, moet u hier de ondersteuning voor DFS ook aanzetten.
Novell Netwerkoplossingen, aanvulling 15
Storage
U kunt de eigenschappen van Native File Access beheren vanuit iManager.
5.
Op het tabblad CIFS Authentication geeft u aan hoe de authenticatie voor dit protocol moet worden afgehandeld. Standaard wordt alle authenticatie lokaal afgehandeld, maar het is ook mogelijk de naam op te geven van een Domain Controller die zich als Windows NT-4 PDC gedraagt, zodat deze de authenticatie kan afhandelen.
Novell Netwerkoplossingen, aanvulling 15
6/6.2-5
Native File Access
Op het tabblad CIFS Authentication regelt u dat op een PDC geauthentiseerd kan worden.
Om het voor normale gebruikers mogelijk te maken gebruik te maken van Native File Access, moet voor deze gebruikers het Simple Password aanstaan. Alleen dan kunnen gebruikers zich authentiseren op de CIFS-service; het normale eDirectory-wachtwoord is hiervoor namelijk te complex. Als alternatief is het ook mogelijk het Universal Password aan te zetten in uw tree.
CIFS-shares
6/6.2-6
Nadat de configuratie van CIFS in algemene zin is afgerond zoals hierboven beschreven, kunt u CIFS-shares aanmaken: 1. Selecteer in iManager de optie File Protocols > CIFS/AFP.
Novell Netwerkoplossingen, aanvulling 15
Storage
2.
3.
Kies onder CIFS-shares de optie New om een nieuwe share te maken. Er wordt nu een venster geopend waarin u alle eigenschappen van deze share kunt opgeven. Voer de naam, het pad en desgewenst commentaar in voor de share die u wilt maken en klik op Finish om op te slaan.
Een share aanmaken is vanuit iManager heel eenvoudig.
Als er geen shares gedefinieerd zijn, worden gewoon alle volumes die op uw server gemount zijn gedeeld. Hier hoeft u zich echter geen zorgen over te maken; gebruikers hebben alleen toegang tot bestanden waarop u ze NetWarerechten hebt gegeven.
Novell Netwerkoplossingen, aanvulling 15
6/6.2-7
Native File Access
Nu u Native File Access op OES – NetWare hebt aangezet, zijn er een paar opdrachten die u vanaf de console van uw server kunt geven om informatie te tonen over de huidige configuratie: • CIFS INFO geeft informatie over de huidige configuratie. Met deze opdracht worden alle shares getoond die op dit moment beschikbaar zijn en ook de opties die voor deze shares zijn ingesteld. • CIFS SHARE toont een overzicht van alle shares die op dat moment actief zijn. • CIFS SHARE <SHARENAME> Als u bij deze opdracht de naam specificeert van een share, kunt u met behulp van deze opdracht informatie opvragen over een specifieke share. 6/6.2.3
Simple Password
6/6.2-8
De CIFS-omgeving voor Macintoshgebruikers instellen Als er op uw netwerk ook Macintosh-gebruikers voorkomen, moet u voor deze gebruikers eveneens de CIFS-omgeving instellen. Om te beginnen moeten Macintosh-gebruikers gebruik kunnen maken van het Simple Password. U moet dit wachtwoord dus voor hun instellen. Dit is een vervelend klusje, omdat u het in principe voor elke afzonderlijke gebruiker in moet stellen. Er is echter ook een mogelijkheid om voor heel veel gebruikers tegelijk een Simple Password in te stellen: gebruik hiervoor de opdracht LOAD AFPTCP CLEARTEXT op de console van de server. Als deze optie actief is, kunnen Macintosh-gebruikers inloggen met hun eDirecory-naam en -wachtwoord. Nadat het eDirectory-wachtwoord gecontroleerd is, wordt automatisch voor deze gebruikers een Simple Password aangemaakt en in de Directory bewaard. U moet er dan echter wel voor zorgen dat AFPTCP.NLM vanuit uw opstartscripts een tijdlang met het argument CLEARTEXT geladen wordt. Bedenk ook dat er een nadeel is verbonden aan
Novell Netwerkoplossingen, aanvulling 15
Storage
deze werkwijze: de eDirectory-gebruikersnaam en ook het wachtwoord worden namelijk in cleartext over het netwerk verstuurd. Het is dus alleen aan te bevelen deze optie aan te zetten in een netwerk waarvan u absoluut zeker weet dat het veilig is. Zorg er ook voor dat deze optie zo snel mogelijk weer uitgezet wordt zodra de meeste Mac-gebruikers voorzien zijn van een Simple Password.
Om CIFS- of AFP-shares te kunnen benaderen moeten gebruikers een Simple Password hebben ingesteld.
Als volgende taak moet u voor alle Macintosh-gebruikers een standaardcontext instellen. Hiervoor maakt u gebruik van een speciaal configuratiebestand. Door dit bestand aan te maken voorkomt u dat Macintosh-gebruikers in
Novell Netwerkoplossingen, aanvulling 15
6/6.2-9
Native File Access
moeten loggen met behulp van hun volledige eDirectorynaam. U kunt een lijst van standaardcontexten waarin gezocht moet worden naar gebruikers, opnemen in het configuratiebestand sys:\etc\ctxs.cfg. Nu is de Macintoshgebruiker in staat in te loggen op de OES – NetWare-server zonder dat er op zijn werkstation speciale clientsoftware geïnstalleerd is: 1. Selecteer in OS X in de Finder de optie Go > Connect to Server. 2. Voer het IP-adres of de DNS-naam van de server in waarmee u contact wilt maken en klik op Connect. 3. Voer nu de gebruikersnaam en diens wachtwoord in en klik op Connect. De gebruiker kan nu een volume selecteren waarnaar een shortcut wordt aangemaakt op zijn Mac OS X-desktop. 4. Maak een alias naar het betreffende volume op de desktop. Het voordeel hiervan is dat een alias na opnieuw opstarten gewoon weer hersteld wordt. Dit zorgt er dus voor dat u aanzienlijk eenvoudiger contact kunt maken. Om een alias aan te maken klikt u op het pictogram van de OES – NetWare-server en vervolgens kiest u de optie File > Make Alias. 6/6.2.4 CIFS in combinatie met domeinen Ook als u het CIFS-protocol op NetWare in gebruik hebt, zijn er enkele mogelijkheden om te werken met domeingebruikers. Ten eerste kunt u gebruikers vanuit een bestaand Windows NT-domein importeren in eDirectory. Daarnaast is het mogelijk om uw NetWare-server om te toveren tot NT 4-domeincontroller. Ten slotte kunt u met behulp van Nsure Identitiy Manager (voorheen bekend als DirXML) uw eDirectory-omgeving met een domeinomgeving laten synchroniseren. Over deze laatste mogelijkheid leest u elders in dit boek meer.
6/6.2-10
Novell Netwerkoplossingen, aanvulling 15
Storage
Nadelen
Oplossingen
OES – NetWare instellen als PDC In plaats van te werken met een Microsoft-domein is het ook gewoon mogelijk om OES – NetWare als PDC in te stellen. Hiermee maakt u het beheer van uw netwerk een stuk eenvoudiger: u hoeft niet langer twee verschillende databases te beheren, maar alle gebruikers worden gewoon vanuit eDirectory beheerd. Er zijn in vergelijking met ‘echte’ Microsoft-domeinen wel enkele features die niet ondersteund worden als u uw NetWare-server inzet als domeincontroller: • uw NetWare-server biedt geen Active Directoryfunctionaliteit; • een NetWare PDC kan niet synchroniseren met een Windows BDC; • er is geen mogelijkheid trusts aan te maken met andere domeinen; • u kunt de Microsoft-beheertools niet gebruiken maar gebruikt iManager; • er is geen ondersteuning voor roaming profiles; • er is geen ondersteuning voor Microsoft NTFS ACL mappings. Het lijkt op het eerste gezicht alsof er nogal wat nadelen aan kleven als u uw domein aanmaakt in eDirectory. Toch moet u zich realiseren dat dit in werkelijkheid wel meevalt. Alle nadelen die hier genoemd zijn, hebben betrekking op traditionele functionaliteit uit de NT-domeinomgeving, die niet echt formidabel was. eDirectory heeft voor elk van de hiervoor genoemde features wel een oplossing: • uw NetWare-server kan wel opgenomen worden in eDirectory; • synchronisatie met een BDC is helemaal niet nodig: de informatie is opgenomen in eDirectory en wordt daarom keurig gerepliceerd;
Novell Netwerkoplossingen, aanvulling 15
6/6.2-11
Native File Access
• •
u hoeft helemaal geen trusts aan te maken, u kunt direct vanuit eDirectory met ACL-assignments werken; u mag iManager gebruiken.
Om een OES – NetWare-server om te toveren tot PDC, moet u de PDC initialiseren op die server. U kunt dit alleen doen als de betreffende server nog niet als domeincontroller of member in een ander domein is opgenomen. 1. Geef op de OES – NetWare-console de opdracht CIFS DOMAIN ENABLE en vervolgens CIFS DOMAIN CREATE om de procedure te starten waarmee u het CIFSdomein aanmaakt.
U kunt de CIFS-domeinomgeving vanaf de OES – NetWare-console aanmaken.
6/6.2-12
Novell Netwerkoplossingen, aanvulling 15
Storage
2. 3.
4.
5.
Objecten
Voer de naam in van het domein waarvoor u deze server-PDC wilt maken en druk op Enter. Geef de context in eDirectory waar u het domein aan wilt maken. U moet een typeful of typeless distinguished name opgeven voor de context waarin het domein wordt aangemaakt: .rtd.oes werkt, .ou=rtd.o=oes werkt ook. Voer de naam in van een gebruiker die voldoende rechten heeft om objecten aan te maken in eDirectory. Geef het wachtwoord van deze gebruiker en druk op Enter. Vervolgens ziet u een bericht waarin vermeld wordt dat het domein met succes is aangemaakt.
Gefeliciteerd: u hebt nu een CIFS-domein in eDirectory. Met het aanmaken van dit domein hebt u tegelijkertijd ook een aantal objecten aangemaakt. U kunt deze objecten met iManager of een andere eDirectory-beheertool aanpassen om de eigenschappen van het domein te beheren. Het gaat om de volgende objecten: • Domain Admins: deze groep bevat leden die lokale beheerrechten hebben op elk werkstation en elke server die lid wordt van het domein. • Domain Controllers: dit is een groepsobject waarvan alle domeincontrollers die in het domein voorkomen lid worden. • Domain Groups: dit object is alleen bestemd voor intern gebruik; u mag er geen beheer op uitvoeren. Alle eDirectory-groepen die in het domein gebruikt worden, worden automatisch lid gemaakt van deze groep. • Domain Guests: u kunt deze groep toevoegen aan de groep Guests op werkstations in het domein. Dit zorgt ervoor dat toegang voor guest-gebruikers mogelijk gemaakt wordt.
Novell Netwerkoplossingen, aanvulling 15
6/6.2-13
Native File Access
•
Domain Users: alle gebruikers die inloggen op het domein, worden automatisch aan deze groep toegevoegd. Deze groep wordt ook automatisch toegevoegd aan de groep Local Users op elk Windowswerkstation dat lid wordt van het domein.
Met het aanmaken van een domein wordt ook een aantal bijbehorende objecten aangemaakt in eDirectory.
Naast de standaardaccounts die hierboven genoemd zijn, wordt ook een machineaccount aangemaakt voor elke client die zich aanmeldt op het domein. Deze accounts komen voor in het domeinobject. Om deze objecten aan te maken wordt gebruikgemaakt van eDirectory-gebruikersobjecten waarvan de naam met een $ begint. Nadat het
6/6.2-14
Novell Netwerkoplossingen, aanvulling 15
Storage
domein is aangemaakt, kunnen andere OES – NetWare-servers als member van het domein worden toegevoegd. Dit doet u met behulp van de opdracht CIFS DOMAIN JOIN op de console van deze servers. U kunt meer over deze procedure lezen in de documentatie van CIFS die u vindt op www.novell.com/documentation/oes.
Als u een OES – NetWare-server toevoegt als CIFS PDC< worden automatisch enkele objecten in eDirectory toegevoegd.
6/6.2.5
Gebruikers importeren van een bestaande PDC Naast de mogelijkheid om uw eDirectory toegang te geven tot het domein, kunt u ook gebruikers vanuit een bestaand domein importeren in eDirectory. Dat is bijvoorbeeld han-
Novell Netwerkoplossingen, aanvulling 15
6/6.2-15
Native File Access
dig als u een NT-domeinomgeving wilt migreren naar NetWare. 1. Zorg er in iManager voor dat CIFS geconfigureerd wordt voor domeinauthenticatie. Geef hier aan dat gebruikgemaakt moet worden van Domain Logons; geef daarnaast ook de naam van het domein dat u wilt gebruiken. Klik vervolgens op OK om uw wijzigingen te bewaren en toe te passen. 2. Start nu vanuit uw browser Remote Manager. Gebruik hiervoor de URL http://uwserver:8008 en voer uw gebruikersnaam en wachtwoord in. 3. In Remote Manager selecteert u in het rechterpaneel de optie Manage eDirectory, NFAP Import Users. U krijgt nu toegang tot de interface van waaruit u NTdomeingebruikers in eDirectory kunt importeren. 4. Blader nu naar de context in eDirectory waarin u de NT-domeingebruikers wilt importeren. Selecteer een container waarin u deze objecten wilt aanmaken en klik vervolgens op Start om te beginnen met importeren. 5. Zodra u klaar bent met importeren, klik u op Done om de procedure af te ronden.
6/6.2-16
Novell Netwerkoplossingen, aanvulling 15
Storage
Met behulp van Novell Remote Manager importeert u domeingebruikers eenvoudig in eDirectory.
6/6.2.6
Uw NetWare-server vanaf Windows benaderen over een CIFS-share U hebt nu uw NetWare-server geconfigureerd als CIFS-server. U kunt nu alle vertrouwde Windows-mechanismen gebruiken om de shares op deze server te benaderen. Gebruik bijvoorbeeld op Windows XP de optie Start, Zoeken en zoek maar eens op basis van het IP-adres naar uw server. Uw server wordt nu keurig in een venster getoond. Zodra u erop klikt, ziet u een overzicht van alle shares die op de server beschikbaar zijn. Klik hierop om een snelkoppeling te maken en bestanden op uw server te benaderen.
Novell Netwerkoplossingen, aanvulling 15
6/6.2-17
Native File Access
Vanaf Windows maakt u met CIFS contact, net als met elke willekeurige andere Windowsshare.
6/6.2-18
Novell Netwerkoplossingen, aanvulling 15
