6 edirectory op Linux

deel 2_6-AV 27.qxp:deel 3_X-AV 15

18-04-2008

08:27

Pagina 1

NDS & eDirectory

2/6 eDirectory op Linux 2/6.1

Beheer van eDirectory op Open Enterprise Server

2/6.1.1 Inleiding In versie 2 is de Linux-versie van Open Enterprise Server de belangrijkste versie geworden. Dit betekent dat ook essentiële services als eDirectory in het vervolg op het Linuxplatform beheerd moeten worden. Om die reden wordt in deze paragraaf besproken wat er allemaal komt kijken bij het beheer van eDirectory op Linux. We gaan ervan uit dat u op de hoogte bent van de werking van eDirectory. Dit betekent dat basisconcepten als partitionering en replicering niet aan de orde komen, zodat we direct aandacht kunnen besteden aan eDirectory zelf. 2/6.1.2 Beheer van de database In principe zult u slechts zelden rechtstreeks op de eDirectory-database aan het werk gaan. Desalniettemin is het van belang dat u weet waar u de eDirectory-database terug kunt vinden. Op OES Linux wordt deze database opgeslagen in de directory /var/nds/dib. Zoals gezegd, voor het beheer van eDirectory is dit nauwelijks relevant, maar voor de correcte inrichting van uw server is het van belang kennis te hebben van de locatie van de database. In grote netwerken kan de eDirectory-database behoorlijk in omvang groeien. Als dit gebeurt, worden er vooral heel veel kleine bestanden aangemaakt die nogal dynamisch zijn. Qua formaat zult u echter niet snel boven een grootte Novell Netwerkoplossingen, aanvulling 27

2/6.1-1


18-04-2008

08:27

Pagina 2

eDirectory op Linux

van enkele gigabytes uitkomen. Om de grote hoeveelheid kleine bestanden goed af te kunnen handelen is het bij omvangrijke installaties een goed idee een apart volume aan te maken voor de directory /var. Vanwege het dynamische karakter van eDirectory raden wij voor dit volume het gebruik van een ReiserFS- of een XFS-bestandssysteem aan. De eDirectory-database zelf bestaat uit verschillende bestanden die samen de FLAIM-database vormen die door eDirectory gebruikt wordt. In deze database worden logbestanden gebruikt als een soort journal. Het voordeel hiervan is dat transacties zowel teruggerold als ‘vooruitgespoeld’ kunnen worden op het moment dat een server onverwacht crasht of vastloopt. Het primaire eDirectory-bestand is het bestand nds.db. Dit controlebestand beheert heel eDirectory en omvat ook het logbestand dat gebruikt wordt als het nodig is een rollback uit te voeren. Het nut van zo’n roll-back is dat onvolledige transacties hersteld worden, waardoor de consistentie van de eDirectory-database zelf gegarandeerd kan worden. Naast roll-back kan ook een roll-forward uitgevoerd worden. Dit betekent dat transacties die nog niet voltooid waren, alsnog voltooid kunnen worden. Hiervoor wordt gebruikgemaakt van de nds*.log-bestanden. De eDirectory-gegevens zelf bevinden zich in het bestand nds.01. Dit bestand heeft een maximale grootte van 4 GB. In het zeldzame geval dat dit niet voldoende is, wordt een nieuw databasebestand aangemaakt met de naam nds.02. Dit proces wordt herhaald als er nog meer bestanden nodig zijn. In deze bestanden worden de eDirectory-records zelf bewaard. Ook worden er indexbestanden aangemaakt, zodat het zoeken in de database versneld kan worden.

2/6.1-2

Novell Netwerkoplossingen, aanvulling 27


18-04-2008

08:27

Pagina 3

NDS & eDirectory

Als laatste onderdeel van eDirectory zijn er de streambestanden. Dit zijn bestanden waarvan de naam bestaat uit een min of meer willekeurig getal en de extensie .nds. Normaliter worden er vrij veel van deze bestanden aangemaakt. De stream-bestanden worden gebruikt om zogenaamde stream-attributen op te slaan. Dit zijn objectattributen zoals login-scripts en print job-configuraties. Vanwege de efficiëntie worden deze attributen niet in de eDirectory-database zelf opgeslagen. 2/6.1.3 Beheer van de service U hebt in het voorgaande gelezen hoe de eDirectory-database georganiseerd is. De database is echter slechts één onderdeel van eDirectory. Het andere onderdeel is de service die ervoor zorgt dat eDirectory beschikbaar is. Als beheerder moet u weten hoe u deze service kunt starten en stoppen.

Nuttigste opdrachten

Op OES Linux worden eDirectory-services aangeboden door het proces /usr/sbin/ndsd. Om dit proces te beheren wordt gebruikgemaakt van het opstartscript /etc/init.d/ndsd. Bij installatie van OES Linux wordt dit script automatisch toegevoegd aan de opstartprocedure van uw server, zodat het in de runlevels 3 en 5 automatisch gestart wordt. Daarnaast kunt u dit script gebruiken om zelf handmatig eDirectory te beheren. Dit kan door vanuit de directory /etc/init.d het script zelf aan te roepen, maar u kunt ook gebruikmaken van de symbolic link met de naam rcndsd. Het voordeel van deze link is dat hij overal werkt, ongeacht in welke directory u op dat moment toevallig bent. Hieronder vindt u een overzicht van de vier nuttigste opdrachten die u op basis van dit script kunt uitvoeren. • rcndsd stop – stop eDirectory; • rcndsd start – start eDirectory;


2/6.1-3


18-04-2008

08:27

Pagina 4

eDirectory op Linux

• •

rcndsd restart – stop eDirectory en start het vervolgens meteen opnieuw op; rcndsd status – toon statusinformatie over eDirectory.

2/6.1.4 Beheer van tijd Een van de voorwaarden om eDirectory probleemloos te kunnen gebruiken, is dat tussen de servers in uw netwerk de tijd gesynchroniseerd is. Dit is nodig omdat de synchronisatie van objecten in eDirectory gebaseerd is op timestamps en als de tijden van de verschillende servers te veel van elkaar afwijken, gaat deze objectsynchronisatie niet goed. Het resultaat zou bijvoorbeeld kunnen zijn dat een gebruiker die zijn wachtwoord wil wijzigen, in eerste instantie op de ene server de wijziging doorvoert en wegschrijft in de lokale replica aldaar. Vervolgens tijdens het inloggen kan het zijn dat de betreffende gebruiker contact heeft met een andere server, waar het wachtwoord op dat moment nog niet gesynchroniseerd is. Het resultaat zou dan zijn dat hij op de ene server zijn nieuwe wachtwoord moet gebruiken, terwijl op de andere server het oude wachtwoord nog nodig is. U begrijpt dat dit een onwenselijke situatie is en om die reden is tijdsynchronisatie essentieel.

NTP

2/6.1-4

Om de tijd gelijk te houden tussen servers in een OES-netwerk is er het Network Time Protocol. In een NetWareomgeving werd standaard gebruikgemaakt van TIMESYNC.NLM. Als u nog NetWare-tijdservers hebt, kunt u de TIMESYNC.NLM-servers laten praten met NTP-servers om zo hun tijd gelijk te houden. De vroegere complexe situatie waar in een NetWare-omgeving gebruikgemaakt werd van vier verschillende typen tijdserver, is in OES Linux niet meer aan de orde. Als u een server hebt die TIMESYNC.NLM gebruikt, praat deze met een NTP-server, en de NTP-servers



18-04-2008

08:27

Pagina 5

NDS & eDirectory

zoeken vervolgens onder elkaar uit hoe de juiste tijd wordt doorgegeven op het netwerk. De werking van NTP Tijdsynchronisatie NTP is de internetstandaard voor tijdsynchronisatie. Het protocol werkt op basis van Universal Time Coordinated (UTC), wat betekent dat de lokale tijd altijd uitgerekend wordt op basis van UTC. De werking van NTP is gebaseerd op het concept stratum. Hoe lager de stratumwaarde van een server, hoe hoger de prioriteit van die server. De server met stratum 1 is dus de belangrijkste server op het netwerk. Op het moment dat een server communiceert met een server die zelf de stratumwaarde 1 heeft, krijgt de betreffende server automatisch stratum 2, enzovoorts. Een server die stratum 16 adverteert, is niet beschikbaar voor NTP-tijdsynchronisatie. Vaak wordt stratum 10 gebruikt als terugvalmogelijkheid voor een server die normaliter zijn tijd van internet zou ophalen. Zo wordt ervoor gezorgd dat andere servers die van deze server afhankelijk zijn, toch nog hun tijd kunnen synchroniseren, terwijl voor iedereen duidelijk zal zijn dat de mate van betrouwbaarheid van deze server te wensen overlaat. Configuratie van NTP Voordat u begint NTP te configureren, moet één ding duidelijk zijn. NTP is een heel zuiver protocol. Dit heeft als gevolg dat servers met een afwijking van meer dan 1000 seconden als insane (gestoord) beschouwd worden en dus genegeerd worden. U moet er dus altijd van tevoren voor zorgen dat de afwijkingen in de tijd van uw servers tot een minimum beperkt worden! Het handigst is het om dit te doen voordat u de opdracht ntpdate gebruikt om de tijd van uw server te synchroniseren met een NTP-server op internet. De servers in pool.ntp.org bieden hiervoor een uitstekende voorziening. Met het volgende commando syn-


2/6.1-5


18-04-2008

08:27

Pagina 6

eDirectory op Linux

chroniseert u de tijd op uw server met een server uit deze pool: ntpdate pool.ntp.org

Als dan uw servers allemaal het min of meer met elkaar eens zijn over de tijd, kunt u verder met de volgende stap waarin de NTP-configuratie voor uw netwerk gebouwd wordt. De configuratie van NTP vindt plaats door het bestand /etc/ntp.conf te bewerken. U vindt op uw OES-server een voorbeeldbestand dat u als uitgangspunt kunt gebruiken. Voordat u echter begint met het inrichten van een tijdconfiguratie, is het een goed idee eerst eens na te denken over de configuratie die u wilt maken. Er zijn mensen die denken dat het handig is om alle servers in het netwerk standaard te laten synchroniseren met een betrouwbare tijdserver op internet. Naar onze mening is dit echter helemaal niet handig. Waarom niet? Omdat, als de verbinding met internet langere tijd niet beschikbaar is, de NTP-servers in uw netwerk vogelvrij zijn en geen eikpunt meer hebben voor hun synchronisatie. Daarom is het handig om één server in het netwerk te laten verwijzen naar een time-source op internet, terwijl alle andere servers verwijzen naar die ene server. Uiteraard kunt u er vanuit de optiek van fouttolerantie ook voor kiezen de verbinding naar internet dubbel uit te voeren en dus twee servers naar een internettime-source te laten verwijzen. Vervolgens moet u er altijd rekening mee houden dat uw tijdserver(s) uitvallen. In dat geval wilt u een terugvalmogelijkheid. Deze kunt u creëren door uw tijdserver een back-upmogelijkheid te geven met de fudge-definitie. Deze

2/6.1-6



18-04-2008

08:27

Pagina 7

NDS & eDirectory

definitie wordt altijd gevolgd door een aanwijzing van het te gebruiken stratum. In onderstaand voorbeeld ziet u hoe NTP is ingericht zodat eerst de tijd op internet wordt opgehaald, terwijl vervolgens als back-up de server zelf als fudge gedefinieerd wordt met een stratum 10: server ntp.pool.org server 127.127.1.0 fudge 127.127.1.0 stratum 10

Bij het werken met NTP is ook beveiliging van belang. De meeste NTP-implementaties zijn volkomen open, maar dit is niet altijd even handig. Als u niet wilt dat uw NTP-server door iedereen vrij gebruikt kan worden, is het handig om restricties op te nemen in de NTP-configuratie. In het volgende voorbeeld is de eerste regel het belangrijkst. Hiermee geeft u namelijk aan dat de NTP-server alle servers die niet specifiek in onderstaande regels vermeld zijn, moet negeren. Vervolgens wordt aangegeven welke specifieke servers dan wel toegang krijgen tot het NTP-proces: restrict default noquery notrust nonotify restrict 127.0.0.1 restrict 192.168.0.0 mask 255.255.255.0

In dit voorbeeld worden alleen local-host en de NTP-servers waarvan het adres begint met 192.168.0.0/24 geaccepteerd als NTP-client. Alle andere servers hebben niets te zoeken bij het NTP-proces op deze server. Overweeg of u uw NTP-servers op deze wijze van wat extra bescherming wilt voorzien. De NTP-service starten Als u de NTP-configuratie naar wens hebt aangemaakt, wordt het tijd de NTP-service te starten. Hiervoor gebruikt


2/6.1-7


18-04-2008

08:27

Pagina 8

eDirectory op Linux

u de service /usr/sbin/xntpd. U start deze service met het script /etc/init.d/ntp start. Net als andere scripts in de directory /etc/init.d luistert ook dit script naar de argumenten start, restart, stop en status. 2/6.1.5 Service Location Protocol Een tweede voorwaarde om met succes eDirectory te kunnen gebruiken in een OES Linux-omgeving, is Service Location Protocol (SLP). Dit protocol zorgt ervoor dat de clients de servers terug kunnen vinden die eDirectory en andere Novell-services in de aanbieding hebben. Daarnaast wordt het gebruikt door servers onderling om informatie uit te wisselen over services die beschikbaar zijn.

Service en User Agent

Werking van SLP In een SLP-omgeving wordt gebruikgemaakt van een Service Agent (SA) en een User Agent (UA). De SA is het centrale registratiepunt van services op een server. Dit betekent dat elke service die om weet te gaan met SLP, zich zal registreren bij de SA die op dezelfde server draait. Deze registratie is een proces waarbij geen netwerkverkeer gegenereerd wordt; registratie vindt plaats op dezelfde server als waar de services aanwezig zijn. Op het moment dat een clienttoepassing informatie over services nodig heeft, zal deze met de User Agent alle SA’s in het netwerk benaderen. Dit kan op basis van broadcast, maar ook op basis van multicast gebeuren. Op het moment dat elke SA op deze service-request gereageerd heeft, heeft de UA een volledig overzicht van beschikbare services en kan de clienttoepassing een keuze maken met welke toepassing ze wil communiceren. Het probleempunt in deze wijze van communiceren is dat er bij een toename van het aantal SA’s een behoorlijke

2/6.1-8



18-04-2008

08:27

Pagina 9

NDS & eDirectory

Directory Agent

hoeveelheid netwerkverkeer zal ontstaan. Denk maar aan een situatie waarin honderden SA’s elk individueel moeten antwoorden op de service-requests van duizenden UA’s. Om te voorkomen dat het netwerk in een dergelijke situatie dichtslibt, kunt u gebruikmaken van twee extra componenten: de Directory Agent (DA) en de scope. Een DA kunt u inzetten als centraal registratiepunt in het netwerk. Dit betekent dat elke SA geconfigureerd wordt contact op te nemen met een of meer DA’s op het moment dat er iets gewijzigd is aan de services die op die SA beschikbaar zijn. De achterliggende gedachte is dat er niet zo heel snel wijzigingen plaatsvinden in de beschikbare services en hierdoor het verkeer beperkt zal blijven. Als nu elke SA contact zoekt met een DA om services te registreren, kunnen de UA’s voortaan op basis van unicast contact opnemen met de DA en zo wordt het verkeer aanzienlijk teruggebracht. Als gewerkt wordt met DA’s, kan het de moeite waard zijn meerdere DA’s in te zetten, waarbij elke DA een eigen servicedomein krijgt toegewezen. Dit domein van services wordt aangeduid als een scope. De werking is op zich vrij eenvoudig: zowel de DA als de SA en de UA worden ondergebracht in scopes en het uitwisselen van informatie over beschikbare services zal voortaan alleen plaatsvinden binnen dezelfde scope. Als er een situatie is waarin een van de elementen (dat kan zowel de DA, de SA als de UA zijn) voorkomt op de rand van een scope, kan het betreffende element geconfigureerd worden om te zoeken in meerdere scopes tegelijk. Het gebruik van scopes is vooral interessant in een grootschalige omgeving waarin het de moeite is op deze wijze verschillende regio’s te definiëren.


2/6.1-9


18-04-2008

08:27

Pagina 10

eDirectory op Linux

Relevante parameters

Configuratie van SLP De configuratie van SLP is in een OES Linux-omgeving vrij eenvoudig. Er is maar één configuratiebestand en in dat configuratiebestand zijn er maar een paar parameters die echt de moeite waard zijn. Alle services die in een eDirectory-context gebruikt worden, zijn zich bewust van SLP. Dit betekent dat de services zelf geen aanvullende configuratie meer nodig hebben. De naam van het configuratiebestand is /etc/slp.conf. Hieronder treft u een opsomming en uitleg van de meest relevante configuratieparameters. In het voorbeeldbestand ziet u dat deze parameters voorafgegaan worden door een ; als commentaarteken. Om een parameter te activeren volstaat het dit commentaarteken te verwijderen. • net.slp.useScopes: gebruik deze optie om een lijst van scopes te specificeren. Alle onderdelen van de SLP-service die op deze server actief zijn, zullen zichzelf vervolgens alleen nog maar binnen deze scope bekendmaken. • net.slp.DAAddressess: deze optie kunt u inzetten om een statische lijst op te geven van DA’s die gebruikt moeten worden door de SA- en UA-componenten op deze server. U hoeft deze lijst niet te gebruiken; als u namelijk niets doet, worden DA’s dynamisch opgespoord op het netwerk. • net.slp.isDA: standaard is op uw server alleen een SA actief. Wilt u dat de server ook DA-diensten verleent? Wijzig dan deze parameter door hem de waarde true te geven. Na herstart van de SLP-service zal uw server zich voortaan ook als DA bekendmaken. Nadat u eventuele wijzigingen hebt aangebracht in het SLP-configuratiebestand, moet de SLP-service opnieuw gestart worden. Dit doet u door op de console van de server de opdracht rcslpd restart te geven.

2/6.1-10



18-04-2008

08:27

Pagina 11

NDS & eDirectory

SLP monitoren met slptool Naast de SLP-service is er op OES Linux ook een tool beschikbaar waarmee u kunt kijken of SLP naar behoren functioneert. Het betreft hier de vrij complexe utilityslptool. Met deze tool kunt u alle mogelijke eigenschappen opvragen van services die met SLP geregistreerd zijn. Als beheerder van eDirectory zijn er voor u echter maar twee zaken echt de moeite waard. Om te beginnen wilt u waarschijnlijk weten welke services er allemaal beschikbaar zijn. Dit achterhaalt u met het commando slptool findsrvtypes. In listing 1 hieronder ziet u wat het resultaat van deze opdracht is op een vers geïnstalleerde OES-server. Listing 1: opvragen van SLP-informatie met slpool oeslin:~ # slptool findsrvtypes service:ntp service:smtp service:smdr.novell service:ldap service:bindery.novell service:ndap.novell service:wbem:https

Op het moment dat u zo achterhaald hebt dat er een eDirectory-service in de lucht is (dit is de service ndap.novell), kunt u met slptool findattrs service:ndap.novell meer informatie over deze service opvragen, zoals u ziet in listing 2: Listing 2: attributen van beschikbare services opvragen met slptool oeslin:~ # slptool findattrs service:ndap.novell (svcname-ws=LIN-TREE.),(svcaddr-ws=2-1-6c0a801de020c000000000000000000,2-2-17-


2/6.1-11


18-04-2008

08:27

Pagina 12

eDirectory op Linux

c0a801de020c000000000000000000),(svcid-ws=000b0278-00000000-c000-000000000046),(version-ws=2021655-0),(nds version= 2021655),(host-ws=0),(enabled-ws=TRUE),(scope=default)

Ook handig is het dat u gewoon op kunt vragen waar op het netwerk een bepaalde service teruggevonden is. Dit doet u met de opdracht slptool findsrvs, zoals u ziet in onderstaande listing 3: oeslin:~ # slptool findsrvs service:ndap.novell service:ndap.novell:///LIN-TREE.,555

Als u de opdracht slptool typt zonder verdere argumenten, beschikt slptool over een flink aantal andere mogelijkheden om informatie over services op te vragen. Deze zijn echter voor het werken in een OES-omgeving minder relevant en blijven hier daarom verder buiten beschouwing. 2/6.1.6 Beheer van eDirectory Zoals u waarschijnlijk vanuit een NetWare-omgeving al weet, komt er in veel omgevingen een moment waarop u eDirectory in meerdere stukjes wilt verdelen (partitioneren) en deze stukjes over meerdere servers in het netwerk wilt verdelen (repliceren). We zullen nu bespreken hoe u deze taken met iManager uitvoert in een OES Linux-omgeving. Aanmaken van partities Een partitie gedraagt zich als een zelfstandig deel van eDirectory. Elke partitie heeft haar eigen replica’s. Hierdoor kunt u een configuratie bouwen waarbij delen van eDirectory min of meer geïsoleerd zijn, maar toch met elkaar kunnen communiceren. Dit betekent concreet dat een gebruiker uit Amsterdam ook in Rotterdam in kan loggen, maar dat het gebruikersobject uit Amsterdam niet voorkomt op de servers in Rotterdam.

2/6.1-12



18-04-2008

08:27

Pagina 13

NDS & eDirectory

iManager

Het aanmaken van partities gebeurt vanuit iManager. Voordat u begint met het aanmaken, verwijderen of veranderen van partities moet aan een paar basisvoorwaarden voldaan worden: • de eDirectory-tree is gezond en er zijn geen kritische fouten; • de tijd is volledig gesynchroniseerd; • er is niet al te veel verkeer op het netwerk. Als uitgangspunt kent elke eDirectory-tree één partitie, de root-partitie. Elke nieuwe partitie wordt van deze root-partitie afgesplitst. Hieronder leest u hoe u hiervoor te werk gaat: 1. Start iManager en log in als admin. 2. Selecteer nu de optie Partitions and Replicas > Create Partition. 3. Blader naar de eDirectory-container die u af wilt splitsen als een nieuwe partitie en klik op OK. 4. Wacht totdat u de melding ziet dat het aanmaken van de partitie met succes is afgerond. U hebt zojuist een partitie aangemaakt. Nee, meer komt er niet bij kijken! Er zijn andere taken die u op partities kunt uitvoeren, zoals het samenvoegen of verplaatsen van partities. Omdat dit minder vaak voorkomende taken zijn, blijven deze hier verder buiten beschouwing. Een andere mogelijkheid is vanuit iManager partitie-informatie te bekijken. Dit stelt u in staat om u snel op de hoogte te stellen van de gezondheid van een partitie en de replica’s die erin voorkomen. Hieronder leest u hoe dit werkt: 1. Start iManager en log in als admin. 2. Kies de optie Partitions and Replicas > View Partition Information. 3. Gebruik het vergrootglas om de container te selecteren die wordt gebruikt als root van de partitie en klik


2/6.1-13


18-04-2008

08:27

Pagina 14

eDirectory op Linux

op OK. U ziet nu als in onderstaande afbeelding informatie over de betreffende partitie.

Vanuit iManager bekijkt u eenvoudig de eigenschappen van partities.

Replicabeheer Op het moment dat u maar één replica hebt van een bepaalde partitie, loopt u een groot risico. Als de server waarop deze replica staat onverhoopt down gaat, is daarmee eDirectory ook niet langer beschikbaar. Aangezien eDirectory een fundamentele rol speelt in een OES-netwerk, kan dit betekenen dat bedrijfskritische services in het gedrang komen. U moet er dus altijd voor zorgen dat u minimaal twee replica’s per partitie hebt. Naast redundantie zijn er ook andere goede redenen om meerdere replica’s per partitie te hebben. Sommige services hebben nu eenmaal een lokale kopie nodig van de

2/6.1-14



18-04-2008

08:27

Pagina 15

NDS & eDirectory

informatie die de betreffende service nodig heeft. Een voorbeeld hiervan is Novell Cluster Services. Ook andere services, zoals Identity Manager en ZENworks, hebben soms een replica nodig die lokaal op uw server voorkomt. Het beheer en aanmaken van replica’s is om die reden een essentiële taak. Hieronder leest u hoe u vanuit iManager zelf nieuwe replica’s aanmaakt: 1. Start iManager en log in als admin. 2. Selecteer de optie Partitions and Replicas > Replica View. 3. Gebruik het vergrootglas om de partitie te zoeken waarvan u de replica’s wilt bekijken. U ziet nu een overzicht als in onderstaande afbeelding. Als alternatief is het ook mogelijk een overzicht op te vragen van de replica’s die per server bestaan, maar deze optie blijft hier buiten beschouwing.

Per partitie kunt u een overzicht opvragen van replica’s die zijn aangemaakt.


2/6.1-15


18-04-2008

08:27

Pagina 16

eDirectory op Linux

4.

Klik nu op Add Replica om de interface te starten waarmee u een nieuwe replica aanmaakt. Gebruik het vergrootglas om aan te geven op welke server u de replica wilt plaatsen. Dit moet een server zijn die nog geen replica heeft van de huidige partitie. Geef vervolgens aan wat voor type replica u wilt aanmaken. In de meeste gevallen zult u willen kiezen voor een Read-Write-replica. Klik vervolgens op OK om te beginnen met het aanmaken van de replica.

Om een replica aan te maken moet u aangeven waar u de replica wilt hebben en welk type het moet worden.

5.

2/6.1-16

Nadat u op OK geklikt hebt om de replica aan te maken, ziet u dat de nieuwe replica met de status New in het overzicht van replica’s geplaatst wordt. Dit scherm ververst niet automatisch; klik op Refresh om u ervan te verzekeren dat u een bijgewerkt overzicht hebt van de status van uw replica’s.



18-04-2008

08:27

Pagina 17

NDS & eDirectory

Klik op Refresh om het statusoverzicht van replica’s bij te werken.

6.

Als na een tijdje de status van al uw replica’s op on staat, is de wijziging volledig doorgesynchroniseerd. U bent nu klaar. Klik op Done om het toevoegen van replica’s af te ronden.

Aanmaken van Priority Sync Policies Een van de meest fundamentele processen in een eDirectory-omgeving is synchronisatie tussen replica’s. Door middel van synchronisatie zorgt eDirectory ervoor dat wijzigingen doorgevoerd worden en eDirectory in goede status blijft. Tot aan voorgaande versies van eDirectory was er geen manier om invloed uit te oefenen op het synchronisatieproces. In Open Enterprise Server 2 hebt u deze mogelijkheid echter wel: u kunt nu namelijk werken met Priority Sync Policies. In zo’n policy kunt u per object en zelfs per attribuut aangeven welke informatie met voorrang gesynchroniseerd moet worden. Deze optie is vooral Novell Netwerkoplossingen, aanvulling 27

2/6.1-17


18-04-2008

08:27

Pagina 18

eDirectory op Linux

erg handig in grote omgevingen waar zeer grote hoeveelheden informatie tussen de verschillende replica’s gesynchroniseerd moeten worden. In onderstaande procedure leest u hoe u met iManager een Priority Sync Policy definieert: 1. Start iManager, log in als admin en selecteer de optie Priority Sync Policies. U ziet nu het scherm uit onderstaande afbeelding, waarin u kunt kiezen uit vier verschillende opties.

Met Priority Sync Policies kunt u het synchronisatieproces zelf beïnvloeden.

2.

2/6.1-18

Kies de optie Create, Edit and Apply policy om een nieuwe policy aan te maken en klik vervolgens op Next.



18-04-2008

08:27

Pagina 19

NDS & eDirectory

3.

Geef vervolgens een naam aan het policy-object dat aangemaakt zal worden in eDirectory en specificeer de naam van de container waar dit object aangemaakt moet worden.

Priority-policies worden als apart object in eDirectory aangemaakt.

4.

Nu ziet u een lijst met daarin de attributen die u aan kunt wijzen voor synchronisatie met prioriteit. Uiteraard kiest u hier niet zomaar wat attributen, maar selecteert u de attributen waarvan u na nauwkeurige analyse ontdekt hebt dat ze niet snel genoeg gesynchroniseerd worden. Om het selecteren van de juiste attributen iets te vereenvoudigen, kunt u uit de Filter List alleen dat object weer laten geven waarop de attributen die u nodig hebt van toepas-


2/6.1-19


18-04-2008

08:27

Pagina 20

eDirectory op Linux

sing zijn. Als u dit niet doet, ziet u namelijk een lijst waarin alle attributen weergegeven worden.

Selecteer nu de attributen die u met voorrang wilt synchroniseren.

5.

Klik op Finish. Dit zorgt ervoor dat de policy wordt aangemaakt en ook direct wordt toegepast.

2/6.1.7 Linux-tools voor eDirectory-beheer Een van de bijzondere uitdagingen bij een overgang naar Open Enterprise Server op Linux is het gebruik van de juiste tools op het Linux-platform. U kunt natuurlijk gebruikmaken van iManager en iMonitor, maar soms is het gewoon een stuk eenvoudiger om even met de juiste tool

2/6.1-20



18-04-2008

08:27

Pagina 21

NDS & eDirectory

op de commandoregel het benodigde werk uit te voeren. Hieronder vindt u een overzicht van de belangrijkste tools die er zijn, inclusief een korte beschrijving van de wijze waarop u ze kunt gebruiken: • ldapconfig: deze tool stelt u in staat eigenschappen van de LDAP-server en group-objecten te bekijken en aan te passen. Gebruik van deze tool is niet eenvoudig, omdat een goede kennis van de werking van LDAP nodig is om de juiste informatie boven water te krijgen. In listing 4 ziet u een voorbeeld waarin deze opdracht gebruikt wordt: Listing 4: informatie ophalen met ldapconfig oeslin:/etc # ldapconfig -t LIN-TREE -a admin.oes -w novell -v “searchTimeLimit” NLDAP server configuration utility for Novell eDirectory 8.8 SP2 v20216.47 [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE LDAP Server Configuration: LDAP Server: CN=LDAP Server - oeslin.O=oes LDAP Group: CN=LDAP Group - oeslin.O=oes searchTimeLimit: 0

•

ndsbackup: de opdracht ndsbackup werkt op vergelijkbare wijze als de Linux-utility tar. U gebruikt deze opdracht om eDirectory-informatie weg te schrijven naar back-up en daarvandaan terug te zetten. Als u bijvoorbeeld een back-up wilt maken van de totale inhoud van de container o=oes, gebruikt u de volgende opdracht: ndsbackup cvf ndsbackupfile .o=oes


2/6.1-21


18-04-2008

08:27

Pagina 22

eDirectory op Linux

Op soortgelijke wijze is het mogelijk uw volledige tree weg te schrijven naar een back-up. Gebruik in dat geval de aanduiding [root] als alternatief voor de verwijzing naar een container. Om later de back-up te herstellen vanuit een back-upbestand met de naam ndsbackupfile dat u eerder aangemaakt hebt, gebruikt u de volgende opdracht: ndsbackup xvf ndsbackupfile

•

ndsconfig: dit is een van de belangrijkste eDirectorybeheerstools die gebruikt worden om eDirectory in te richten en te wijzigen. U gebruikt deze tool voor het meer fundamentele werk, zoals het toevoegen van een server aan de tree, het aanmaken van een nieuwe tree of het verwijderen van bestaande servers. Als u bijvoorbeeld uw server toe wilt voegen aan een nieuwe tree die de naam lin-tree heeft, gebruikt u de volgende opdracht:

ndsconfig add -t lin-tree -n o=oes -a cn=admin.o=oes

Om vervolgens diezelfde server weer uit deze tree te verwijderen, gebruikt u de opdracht: ndsconfig rm -a cn=admin.o=oes

Let wel: u moet deze opdracht op de server uitvoeren die u wilt verwijderen; het is niet mogelijk met ndsconfig een andere server uit de tree te halen. Daarnaast biedt ndsconfig ook tal van mogelijkheden om bijvoorbeeld een nieuwe tree aan te maken. Deze opties zijn echter voor het werken met Open Enterprise Server van minder belang, omdat doorgaans de tree tijdens het installeren van de OES-ser-

2/6.1-22



18-04-2008

08:27

Pagina 23

NDS & eDirectory

vices wordt aangemaakt. Mocht het echter nodig zijn een nieuwe tree aan te maken, dan geeft onderstaand commando een indruk van hoe u dit kunt doen: ndsconfig new -t lin-tree o=oes -a cn=admin.o=oes

•

•

ndsd: dit is het eDirectory-proces zelf dat zich in de directory /usr/sbin bevindt. Om het te starten wordt gebruikgemaakt van het opstartscript /etc/init.d/ndsd, dat – zoals vrijwel alle opstartscripts – luistert naar parameters als start, restart, stop en status. Vooral de status optie is handig, omdat u hiermee statusinformatie over het huidige functioneren van uw eDirectory-tree kunt opvragen. Het eDirectory-proces werkt met een configuratiebestand met de naam /etc/opt/novell/eDirectory/ conf/nds.conf. In dit bestand vindt eDirectory belangrijke informatie over de te gebruiken configuratie, zoals de naam van de tree, de naam van het huidige eDirectory-serverobject en de naam van het certificaat dat gebruikt moet worden om beveiligde verbindingen tot stand te brengen. ndslogin: het commando ndslogin is een erg handige opdracht om connectiviteit naar eDirectory te testen. Het gaat hier nadrukkelijk niet om een Novell-client voor Linux, maar u kunt er wel eenvoudig mee testen of het mogelijk is verbinding te maken met eDirectory. Onderstaand commando kan bijvoorbeeld gebruikt worden om te testen of u zich als beheerder kunt aanmelden op de tree lin-tree: ndslogin -t lin-tree admin.oes


2/6.1-23


18-04-2008

08:27

Pagina 24

eDirectory op Linux

•

•

ndsrepair: dit is de belangrijkste command line-tool die u zult gebruiken voor eDirectory-onderhoud. Met deze tool doet u wat u vroeger gewend was te doen met dsrepair.nlm op de console van uw NetWare-server. Omdat het zo’n belangrijke tool betreft, leest u verderop in meer detail hoe u eDirectory-onderhoud kunt plegen met ndsrepair. ndsstat: hiermee vraagt u statusinformatie over eDirectory op. Gebruik deze tool bijvoorbeeld om te bekijken van welke tree deze server deel uitmaakt en om te zien of er replica’s op staan. Met de optie -h servernaam vraagt u deze informatie op voor een andere server in uw netwerk. Een voorbeeld hiervan ziet u in listing 5 hieronder.

Listing 5: met ndsstat vraagt u informatie op over eDirectory op een andere server oeslin:/ # ndsstat -h 192.168.1.223 Tree Name: LIN-TREE Server Name: .CN=zei.O=oes.T=LIN-TREE. Binary Version: 20216.55 Root Most Entry Depth: 0 Product Version: eDirectory for Linux v8.8 SP2 [DS]

2/6.1.8 eDirectory-troubleshooting In vroeger dagen was het troubleshooten van eDirectory een van de belangrijkste vaardigheden van de beheerder. Tijdens het synchroniseren van wijzigingen ging er nogal eens wat mis en de beheerder mocht het dan proberen op te lossen. Beheerders die NetWare 4.0 hebben meegemaakt, waarin NDS voor het eerst geïntroduceerd werd, hebben er waarschijnlijk nog wel eens nachtmerries van! In Open Enterprise Server 2 is eDirectory uitgegroeid tot een stabiele en betrouwbare directoryservice waarop niet vaak meer problemen voorkomen. Maar het gebeurt nog

2/6.1-24



18-04-2008

08:27

Pagina 25

NDS & eDirectory

wel, en in dat geval moet u in staat zijn maatregelen te nemen om ze op te lossen. Tot besluit bespreken we hier enkele van de meest essentiële troubleshooting-vaardigheden die u als beheerder moet hebben. In vroeger dagen was u voor het troubleshooten van eDirectory aangewezen op de lastig te gebruiken command line-tool ndsrepair en op het nog lastiger te gebruiken iMonitor. In OES 2 is daar een tool aan toegevoegd. U kunt nu ook een aantal belangrijke taken vanuit iManager uitvoeren. Dat is goed nieuws, want de iManager-interface is een stuk eenvoudiger dan iMonitor. Om die reden raden wij aan vooral gebruik te maken van iManager. iMonitor is aan te raden als alternatief voor de NetWare-utility dsbrowse. U gebruikt iMonitor vooral om in eDirectory te kijken naar specifieke objectinformatie. Introductie ndsrepair Waarom een Linux-command line-tool uitvoeren als het ook grafisch kan? Eenvoudig. Soms zal het beheer van eDirectory plaatsvinden in de serverruimte waar de servers in niet-grafische modus gestart zijn. Op dat moment is het handig dat u vanaf die commandoregel met ndsrepair snel een aantal essentiële zaken na kunt lopen. Verder valt het ook nogal mee met de moeilijkheid van ndsrepair. Probeer door de commandoregel-interface heen te kijken, dan ziet u al snel een tool die qua functionaliteit sinds NetWare nauwelijks gewijzigd is. Als u ndsrepair voor het eerst start, is de kans groot dat u een resultaat te zien krijgt als in onderstaande listing 6: Listing 6: het ndsrepair-helpvenster oeslin:/ # ndsrepair Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05


2/6.1-25


18-04-2008

08:27

Pagina 26

eDirectory op Linux

Usage: ndsrepair { -U | -E | -C | -P [-Ad] | -S [-Ad] | -N

| -T

| -J <entry_id> | [[-h :<port>] | [—config-file ]] | —version} [-F filename] [-A ] [-O ] ndsrepair -R [-l ] [-u ] [-m ] [-i ] [-f ][-d ] [-t ] [-o ][-r ] [-v ] [-c ] [-F filename] [-A ] [-O ]

Opties

2/6.1-26

Deze helptekst lijkt heel overweldigend, maar als u even door de ongelukkige lay-out heen kijkt, ziet u dat u tijdens het opstarten van ndsrepair een optie mee moet geven. Hierbij kunt u enkele hoofdopties gebruiken. Daarnaast kunt u met de optie -h naar een andere server (host, vandaar de optie -h) verwijzen. Hieronder vindt u een lijst van beschikbare opties. Neem overigens eens de moeite om door de lijst heen te kijken en stel u een blauwe menuinterface voor waar u met pijltjestoetsen doorheen manoeuvreert. Inderdaad, de hieronder genoemde opties zijn nagenoeg nog hetzelfde: • -U: hiermee start u de Unattended Full Repair. Dit is nog steeds de meest gebruikte optie, omdat deze ervoor zorgt dat de lokale eDirectory-database gerepareerd wordt, voor zover dat met een automatische reparatie mogelijk is. Veel beheerders gebruiken deze optie zelfs altijd als eerste indien zich problemen voordoen en denken pas daarna verder na om te kijken of er iets ernstigs aan de hand is. Het kan weinig kwaad dit zo te doen, want met de optie -U worden alleen maar niet-schadelijke reparaties uitgevoerd. Het nadeel is echter dat de eDirectory-database tijdelijk ontoegankelijk gemaakt wordt. Daardoor kan het voorkomen dat gebruikers tijdelijk geen toegang hebben tot informatie die ze nodig hebben, en zelfs



18-04-2008

08:27

Pagina 27

NDS & eDirectory

dat de synchronisatie van objecten niet goed wordt doorgevoerd. Voer daarom deze optie bij voorkeur alleen uit als er niet al te veel gebruikers met de server werken. In onderstaande listing 7 treft u de volledige uitvoer van deze opdracht op onze (gezonde) tree waarin twee servers zijn opgenomen. Listing 7: met ndsrepair -U voert u een Unattended Full Repair uit oeslin:/ # ndsrepair -U [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05 DS Version 20216.55

Tree name: LIN-TREE

Server name: .oeslin.oes Size of /var/opt/novell/eDirectory/log/ndsrepair.log = 0 bytes. Preparing Log File “/var/opt/novell/eDirectory/log/ ndsrepair.log” Please Wait... Repairing Directory On Server oeslin Start:

Monday, January 21, 2008 02:29:51 Local Time

** All disk amounts are approximations ** Disk space currently available: 6904 MB ->DSRepair may need to use: 10 MB ->Disk space remaining after operation: 6900 MB Waiting for Directory Services to release the local database files Please Wait... DS Files Are Locked Repairing Directory On Server Action


2/6.1-27


18-04-2008

08:27

Pagina 28

eDirectory op Linux

Physical Check Repairing Directory On Server Action Creating Temporary Files Repairing Directory On Server Action Repair Trees - Scan Values Repair Trees - Scanning Values (0) Repair Trees - Scanning Values (7) Repair Trees - Scanning Values (8) Repair Trees - Scanning Values (10) Repair Trees - Scanning Values (15) Repair Trees - Scanning Values (60) Repair Trees - Scanning Values (61) Repair Trees - Scanning Values (74) Repair Trees - Scanning Values (85) Repair Trees - Scanning Values (103) Repair Trees - Scanning Values (105) Repair Trees - Scanning Values (107) Repair Trees - Scanning Values (109) Repair Trees - Scanning Values (110) Action Repair Trees - Sorting Values Action Repair Trees - Scan Entries Action Repair Trees - Sorting Entries Action Repair Trees - Check Values Repair Trees - Check Entries Total Objects in Database:

863

Total Objects in Schema

813

:

Total External References:

1

Total Objects in Replicas:

45

Repairing Directory On Server

2/6.1-28



18-04-2008

08:27

Pagina 29

NDS & eDirectory

Action Schema Check Repairing objects in a replica Start:


Total objects in partition - T=LIN-TREE :

16

Repairing objects - done(16) Total Objects = 16, UNKNOWN class objects = 0, Total Values = 241 Total objects in partition - O=oes.T=LIN-TREE :

29

Repairing objects - done(29) Total Objects = 29, UNKNOWN class objects = 0, Total Values = 1116 Checking local references Start:


[Pseudo Server] Total Objects = 1, UNKNOWN class objects = 0, Total Values = 33 Repairing Directory On Server Action Creating Old Files Repairing Directory On Server Action Temporary DIB set replacing NDS working DIB set. Unlocking local database files Please Wait... Checking stream syntax files Repair process completed, total errors found = 0 Repairing Server Network Addresses Start:



2/6.1-29


18-04-2008

08:27

Pagina 30

eDirectory op Linux

*********************************************************** This operation searches IPX, SLP, and DNS tables, if available, to validate network address attributes of NCP_SERVERS, and the referrals on replica objects. If the information on DNS/DHCP tables or the /etc/hosts file is incorrect, then we can neither guarantee proper validation of network addresses, nor replica referral updates.

This is particularly

true if the system uses unregistered DHCP addresses or the information in the HOSTS file is incorrect or outdated *********************************************************** Checking server: .zei.oes Checking server address in Replica ID : 2, .[Root]. Checking server address in Replica ID : 2, .oes Checking server: .oeslin.oes Checking server address in Replica ID : 1, .[Root]. Checking server address in Replica ID : 1, .oes Repairing replica ring Start:


Replica Ring for replica: .[Root]. Remote server’s local ID: 00008064 Remote server’s replica root ID: 00008062 Remote server name is: .oeslin.oes OK

- Authenticated to server

Remote server’s local ID: 00008083 Remote server’s replica root ID: 0000802f Remote server name is: .zei.oes OK


2/6.1-30



18-04-2008

08:27

Pagina 31

NDS & eDirectory

Replica Ring for replica: .oes Remote server’s local ID: 00008064 Remote server’s replica root ID: 00008063 Remote server name is: .oeslin.oes OK


Remote server’s local ID: 00008083 Remote server’s replica root ID: 00008030 Remote server name is: .zei.oes OK


Finish:


Total repair time: 0:00:35 Total errors: 0 NDSRepair process completed.

•

-E: hoewel in de praktijk blijkt dat de optie -U het meest gebruikt wordt, zou eigenlijk deze optie het populairst moeten zijn. U vraagt met optie -E namelijk een volledig statusrapport op. In dit rapport ziet u snel of synchronisatie nog op de juiste wijze plaatsvindt. Er wordt getoond wanneer er voor het laatst succesvolle synchronisatie heeft plaatsgevonden en als er fouten opgetreden zijn, welke fouten dat dan waren. In listing 8 ziet u hoe het resultaat van deze optie eruitziet.

Listing 8: met ndsrepair -E bekijkt u of uw tree nog goed synchroniseert oeslin:/ # ndsrepair -E [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05 DS Version 20216.55

Tree name: LIN-TREE

Server name: .oeslin.oes


2/6.1-31


18-04-2008

08:27

Pagina 32

eDirectory op Linux

Size of /var/opt/novell/eDirectory/log/ndsrepair.log = 4061 bytes. Preparing Log File “/var/opt/novell/eDirectory/log/ ndsrepair.log” Please Wait... Collecting replica synchronization status Start:


Retrieve replica status Partition: .[Root]. Replica on server: .zei.oes Replica: .zei.oes

01-21-2008 02:36:49

Replica on server: .oeslin.oes Replica: .oeslin.oes

01-21-2008 02:36:53

All servers synchronized up to time:

01-21-2008 02:36:49

Partition: .oes Replica on server: .zei.oes Replica: .zei.oes

01-21-2008 02:36:49

Replica on server: .oeslin.oes Replica: .oeslin.oes

01-21-2008 02:36:49

All servers synchronized up to time: Finish:

01-21-2008 02:36:49


Total errors: 0 NDSRepair process completed.

•

2/6.1-32

-C: een external reference is een verwijzing die ontstaat als op uw server verwezen wordt naar een object dat niet voorkomt in een replica op uw server. Denk bijvoorbeeld aan een situatie waarin een gebruiker rechten heeft op een lokaal bestand, maar deze gebruiker niet in een lokale replica voorkomt. In dat geval wordt voor de betreffende gebruiker een external reference-object aangemaakt. Dit bestaat



18-04-2008

08:27

Pagina 33

NDS & eDirectory

•

uit de naam van het betreffende object en een verwijzing naar de wijze waarop de server waarop dit object voorkomt, benaderd kan worden. Voor de gezondheid van uw server zijn external references van groot belang: op het moment dat een external reference verwijst naar een server die niet te bereiken is, kan het zijn dat het synchronisatieproces in het gedrang komt. In dat geval moeten eerst de external references opgeruimd worden voordat u verder kunt. U voert met de optie -C een controle uit op eventueel bestaande external references. In de meeste gevallen zult u in het resultaat van deze opdracht niets zien; in sommige gevallen echter vindt u een lijst van external reference-objecten die niet goed verwerkt kunnen worden. In dat geval is het de moeite actie te ondernemen. -P: de optie -P geeft u toegang tot een volledig submenu met replica- en partitie-operations. Vanuit dit submenu voert u beheerstaken uit die te maken hebben met partities en replica’s. U gebruikt deze optie bijvoorbeeld om een falende server uit de replicaring te gooien, of om partities van een bepaalde server te verwijderen. De opties die standaard getoond worden met -P, zijn in principe niet gevaarlijk. Door de extra schakeloptie -Ad mee te geven krijgt u ook toegang tot opties die wel destructief kunnen zijn. Wij raden u aan er geen gewoonte van te maken de optie -Ad standaard te gebruiken! Desalniettemin ziet u hieronder in listing 10 wel hoe de ndsrepair-interface eruitziet als u het commando met de opties -P -Ad gebruikt hebt. Even opletten: voordat u deze interface bereikt, moet u eerst de partitie selecteren waarop u aan het werk wilt. In listing 9 ziet u de interface vanwaaruit u dit doet. U selecteert hier een partitie door het bijbehorende nummer in te voeren:


2/6.1-33


18-04-2008

08:27

Pagina 34

eDirectory op Linux

Listing 9: geef voordat u begint met partitie- en replicabewerkingen eerst aan op welke partitie u wilt werken oeslin:/ # ndsrepair -P -Ad [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05 DS Version 20216.55

Tree name: LIN-TREE

Server name: .oeslin.oes Size of /var/opt/novell/eDirectory/log/ndsrepair.log = 5036 bytes. This list shows information for each replica stored on this server. Select a replica to display an options menu. Finding all replicas on this server Please Wait... Total number of replicas = 2 PARTITION NAME

REPLICA TYPE

REPLICA STATE

(1).[Root].

Master

On

(2).oes

Master

On

Enter ‘q’ to escape the operation. Enter a replica number(1-2)? Listing 10: geavanceerde reparatie-opties met ndsrepair -P -Ad REPLICA OPTIONS 1. Repair all replicas 2. Repair selected replica 3. Schedule immediate synchronization 4. Cancel partition operation 5. Designate this server as the new master replica 6. Report Synchronization status of all servers 7. Synchronize the replica on all servers 8. Repair Ring, all replicas

2/6.1-34



18-04-2008

08:27

Pagina 35

NDS & eDirectory

9. Repair Ring, selected replica 10. View Replica Ring 11. View entire partition name 12. Repair time stamps and declare a new epoch 13. Destroy the selected replica on this server 14. Delete Unknown leaf objects 15. Return to Replica List Enter ‘q’ to escape the operation. Enter a replica option(1-15)?

Zoals u in listing 10 ziet, toont ndsrepair -P -Ad u uiteindelijk een menu waarin alle opties beschikbaar gesteld worden. Een vrij onschuldige optie die gebruikt kan worden om problemen op te lossen, is bijvoorbeeld optie 3, Schedule immediate synchronization. Deze optie gebruikt u als u denkt dat een fout veroorzaakt wordt doordat replica’s van een bepaalde partitie niet goed gesynchroniseerd zijn. Nadat u deze optie geselecteerd hebt, wordt een onmiddellijke synchronisatie uitgevoerd op het moment dat de server daaraan toe is, en wordt de ndsrepair-interface ook meteen afgesloten. Dit betekent dat u opnieuw de opdracht ndsrepair -P -Ad moet gebruiken als u bij nader inzien toch een andere optie had willen uitvoeren.

Synchronisatie

Een andere optie vanuit het Partitions and Replicas-menu die erg nuttig kan zijn, is de optie waarmee u een synchronisatie in één bepaalde richting uitvoert. U voert deze bewerking uit op het moment dat u zeker weet dat er in een replica op een bepaalde server een fout zit en u om deze fout op te lossen een synchronisatie wilt starten vanaf de masterreplica naar deze server toe. In onderstaande procedure wordt beschreven hoe u dit kunt doen. We werken in dit voorbeeld met twee servers: oeslin en zei. De ndsrepair-actie wordt gestart vanaf de server oeslin,


2/6.1-35


18-04-2008

08:27

Pagina 36

eDirectory op Linux

maar met ndsrepair wordt contact gemaakt met server zei om vanaf die server lokaal de hieronder beschreven bewerkingen uit te voeren. 1. Zorg ervoor dat u consoleacces hebt op server oeslin. 2. Voer de opdracht ndsrepair -h zei -P uit. In dit commando zorgt de optie -h ervoor dat contact wordt opgenomen met server zei. 3. Selecteer de partitie waarop u aan het werk wilt door in de lijst PARTITION NAME het partitienummer van de betreffende partitie te kiezen. 4. Kies nu de optie View Replica Ring (optie 10). 5. U krijgt nu een overzicht van alle servers in de replicaring (zie listing 11). Kies hierin de server waarop u de bewerking wilt uitvoeren. Listing 11: de optie View Replica Ring toont een overzicht van alle servers die een replica hebben van de geselecteerde partitie Finding all servers with replicas Please Wait... Replicas Of Partition: .[Root]. Total number of servers in the replica ring = 2 SERVER NAME

REPLICA TYPE

REPLICA STATE

(1).oeslin.oes

Master

On

(2).zei.oes

Read/Write

On

(3)Return to Replica Options Enter ‘q’ to escape the operation. Enter a server number(1-3)?

Nadat u een server geselecteerd hebt, krijgt u een overzicht met daarin de server-options. Vanuit dit overzicht kiest u optie 4. Dit zorgt ervoor dat de lokale replica wordt leeggemaakt (waardoor de fout verdwijnt) en objecten

2/6.1-36



18-04-2008

08:27

Pagina 37

NDS & eDirectory

opnieuw vanaf de master-replica naar deze replica gekopieerd worden. Listing 12: de optie Receive all objects from the master to this replica werkt goed als u zeker weet dat in de geselecteerde replica een fout voorkomt Enter a server number(1-3)?2 SERVER OPTIONS 1. Report synchronization status on the selected server 2. Synchronize the replica on the selected server 3. Send all objects to every replica in the ring 4. Receive all objects from the master to this replica 5. View entire servers name 6. Return to Server List Enter ‘q’ to escape the operation. Enter a replica option(1-6)?

•

•

-S: met de optie ndsrepair -S (die ook gebruikt kan worden met de aanvullende schakeloptie -Ad voor advanced-opties) kunt u schemabewerkingen uitvoeren. Dit is relevant op het moment dat u nieuwe toepassingen geïnstalleerd hebt die wijzigingen wegschrijven in het schema, maar behoort zeker niet tot de regelmatig terugkerende ndsrepair-activiteiten die u zult uitvoeren. -N: met deze handige optie vraagt u een lijst op van alle servers die op deze server bekend zijn. Erg nuttig als u niet zeker weet of een net geïnstalleerde nieuwe server goed doorgesynchroniseerd is naar alle andere servers in eDirectory. Als de server waarop u deze opdracht uitvoert een replica heeft van de rootpartitie, laat deze optie alle servers in de tree zien


2/6.1-37


18-04-2008

08:27

Pagina 38

eDirectory op Linux

(zie listing 12). Vanuit deze interface kunt u indien nodig ook de netwerkadressen van een of meer servers repareren. Dit is nuttig als u de -625 synchronisatiefout krijgt terwijl alle servers wel up zijn. Listing 12: ndsrepair -N toont een overzicht van alle bekende servers oeslin:~ # ndsrepair -N [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05 DS Version 20216.55

Tree name: LIN-TREE

Server name: .oeslin.oes Size of /var/opt/novell/eDirectory/log/ndsrepair.log = 5776 bytes. This list shows each server found in the local database. Select a server to display an options menu. Building server list Please Wait... Total number of servers found = 2 SERVER NAME

LOCAL STATUS

LOCAL ID

(1)oeslin.oes

Up

00008064

(2)zei.oes

Up

00008083

Enter ‘q’ to escape the operation. Enter a server number(1-2)?

•

2/6.1-38

-T: gebruik deze optie om te bekijken of de tijd tussen de servers nog steeds goed gesynchroniseerd is. Met name de optie Time +/- is de moeite waard: hiermee wordt namelijk aangegeven in hoeverre er een afwijking is geconstateerd in de tijd tussen uw servers. Een afwijking tot maximaal een minuut mag, Novell Netwerkoplossingen, aanvulling 27


18-04-2008

08:27

Pagina 39

NDS & eDirectory

maar alles daarboven begint kwalijk te worden en betekent dat u een serieuze analyse zult moeten doen van de huidige status van NTP in uw netwerk. Listing 13: gebruik ndsrepair -T om op te vragen hoe het gesteld is met tijdsynchronisatie in uw netwerk oeslin:~ # ndsrepair -T [1] Instance at /etc/opt/novell/eDirectory/conf/nds.conf: oeslin.O=oes.LIN-TREE Repair utility for Novell eDirectory 8.8 - 8.8 SP2 v20213.05 DS Version 20216.55

Tree name: LIN-TREE

Server name: .oeslin.oes Size of /var/opt/novell/eDirectory/log/ndsrepair.log = 5776 bytes. Building server list Please Wait... Preparing Log File “/var/opt/novell/eDirectory/log/ ndsrepair.log” Please Wait... Collecting time synchronization and server status Time synchronization and server status information Start:


--------------+-----+-----+-----+----+----DS Server name

Replica Version

Time Depth

Time is

Time

Source

in sync

+/-

--------------+-----+-----+-----+----+----Processing server: .zei.oes .zei.oes

20216.55

0

Non-NetWare

Yes

0

Non-NetWare

Yes

0

Processing server: .oeslin.oes .oeslin.oes

20216.55

0

--------------+-----+-----+------+----+----Total errors: 0 NDSRepair process completed.


2/6.1-39


18-04-2008

08:27

Pagina 40

eDirectory op Linux

•

-J: deze optie wordt ingezet als u individuele eDirectory-objecten wilt repareren. Het spreekt voor zich dat u deze optie alleen kunt uitvoeren als u precies weet welk object fouten veroorzaakt.

2/6.1.9

Een basic health check uitvoeren met iMonitor Op het moment dat u problemen tegenkomt in eDirectory, kunt u natuurlijk afgaan op uw intuïtie en dat doen wat u wordt ingegeven. Vaak is dat niet slim en doet u er beter aan om van tevoren een basic health check uit te voeren. Hiermee controleert u of eDirectory voldoet aan alle basisvoorwaarden om zijn werk goed te kunnen doen. We kijken nu hoe u deze taken met iMonitor uitvoert. Bij de basic health check gaat het erom een antwoord te krijgen op de volgende vragen: • Gebruiken alle servers dezelfde eDirectory-versie? • Is de tijdsynchronisatie in orde? • Wanneer is voor het laatst gesynchroniseerd? • Hoe zit het met de fouttolerantie van uw tree? Op basis van voorgaande informatie bent u natuurlijk al in staat een basic health check uit te voeren vanaf de opdrachtregel. Ten overvloede leert u hier nog hoe u iMonitor voor dit doel inzet. Wij raden u aan altijd eerst een basic health check uit te voeren voordat u kritische wijzigingen in eDirectory gaat aanbrengen. Denk bijvoorbeeld aan het toevoegen van een server, het afsplitsen van een partitie en het wijzigen van een replica. Om dit met iMonitor te doen gaat u als volgt te werk. 1. Ga naar de welkomstpagina van uw server en selecteer Management Services > iMonitor.

2/6.1-40



18-04-2008

08:27

Pagina 41

NDS & eDirectory

2.

Log in als admin. U ziet nu het iMonitor-welkomstscherm met daarin een samenvatting van de huidige status van uw eDirectory-tree.

In het iMonitor-welkomstscherm ziet u een samenvatting van de huidige status van uw tree.

3.

Links in beeld ziet u onder de optie Links de optie Known servers staan. Klik hierop. U ziet nu een overzicht van alle servers die in de tree bekend zijn, met per server de beheersopties die er voor die server zijn.


2/6.1-41


18-04-2008

08:27

Pagina 42

eDirectory op Linux

Via de link Known Servers krijgt u toegang tot de beschikbare beheersopties voor uw servers.

4.

2/6.1-42

Klik nu op de server die u wilt beheren. De naam van deze server verschijnt linksboven in beeld en in het hoofdvenster van iMonitor ziet u de beheersopties die voor die server beschikbaar zijn.



18-04-2008

08:27

Pagina 43

NDS & eDirectory

Als u op een servernaam klikt, ziet u de beheersopties die voor die server beschikbaar zijn.

5.

In de knoppenbalk boven in beeld vindt u de knop Agent Summary (de vierde knop van links). Klik op deze knop om een samenvatting te krijgen van de huidige status van uw server. In feite vindt u hier al bijna alle informatie die u met een basic health check wilt achterhalen.


2/6.1-43


18-04-2008

08:27

Pagina 44

eDirectory op Linux

In het Agent Summary-scherm vindt u een samenvatting van alle opties die bij een basic health check van belang zijn.

6.

7.

2/6.1-44

U hebt nu een overzicht van de gezondheid van één server opgevraagd, maar het kan nog beter. Hiervoor gebruikt u de Reports-knop. Dit is de knop die u boven in beeld helemaal rechts ziet. Klik vervolgens op Reports Config om toegang te krijgen tot alle standaardrapporten die beschikbaar zijn. Klik nu op de knop Run Report die u naast de optie Treewide Server Information ziet staan. Als resultaat ziet u nu een rapport van de status van alle servers in het netwerk, met hierin allemaal links waarop u kunt doorklikken om specifieke informatie boven water te krijgen.



18-04-2008

08:27

Pagina 45

NDS & eDirectory

Via Reports Config krijgt u toegang tot alle standaardrapporten.

2/6.1.10 eDirectory-beheer vanuit iManager Bij het ontwerp van Open Enterprise Server 2 was het klaarblijkelijk een doel van Novell om zoveel mogelijk opties onder te brengen in iManager. Dat blijkt, want heel veel eDirectory-onderhoudsopties zijn nu ook gewoon beschikbaar in iManager. Alleen voor de meest gevorderde taken moet nog gebruikgemaakt worden van de geavanceerdere iMonitor en ndsmanager. Alle onderdelen waarmee u eDirectory-beheer uitvoert, vindt u in iManager onder eDirectory Maintenance. De eerste optie die echt de moeite waard is, is de optie Repair


2/6.1-45


18-04-2008

08:27

Pagina 46

eDirectory op Linux

eDirectory. Door deze optie te kiezen komt u terecht in de basic repair wizard. Hieronder worden de stappen beschreven die in deze wizard doorlopen worden: 1. Geef aan op welke server u in wilt stappen om het onderhoud te doen. Standaard is dit de server waarmee u op dit moment verbonden bent. Indien dit akkoord is, klikt u op Next om verder te gaan.

Om de Repair eDirectory-wizard te starten geeft u om te beginnen aan vanaf welke server u dit wilt doen.

2.

2/6.1-46

Klik op Next. U ziet nu een interface waarin u mag authenticeren op eDirectory. Voer hierin de gebrui-



18-04-2008

08:27

Pagina 47

NDS & eDirectory

3.

kersnaam en het wachtwoord in waarmee u wilt verbinden en klik dan op Next. Op het moment dat u geauthenticeerd bent, geeft u in het menu aan welke database-onderhoudsoptie u uit wilt voeren. U herkent deze opties vanuit ndsmanager. Selecteer de taak die u wilt uitvoeren en klik vervolgens op Start. De databasebeheerstaak wordt nu uitgevoerd en op het moment dat dit gebeurd is, verschijnt een rapport waarin u de resultaten kunt zien.

Geef aan wat u wilt doen en klik dan op Start om uw databasebeheerstaak uit te voeren.


2/6.1-47


18-04-2008

08:27

Pagina 48

eDirectory op Linux

Zoals u in dit voorbeeld hebt kunnen zien, maakt iManager het beheer van eDirectory eenvoudig. In vergelijking met geavanceerd gereedschap als ndsrepair zijn de mogelijkheden echter beperkt. Wij raden u dan ook aan om niet al te veel te vertrouwen op de mogelijkheden van iManager – juist de eenvoud van deze tool kon het wel eens tot een riskante tool maken – maar u vooral te verdiepen in de mogelijkheden die ndsrepair u biedt. 2/6.1.11 Tot slot In deze paragraaf hebt u kennisgemaakt met het beheer van eDirectory in een Linux-omgeving. Er is gekeken naar de tools die u ter beschikking staan om uw dagelijkse eDirectory-onderhoud uit te voeren. We hebben met name gekeken naar ndsrepair, omdat deze tool zeer uitgebreide mogelijkheden biedt om eDirectory te onderhouden.

2/6.1-48


6 edirectory op Linux

Recommend Documents