NSS volumes in een bestaande tree aanspreken vanuit Domain Services for Windows Elders in dit werk hebt u kunnen lezen hoe DSfW ingezet kan worden als alternatief voor Active Directory. Dit heeft echter vooral zin als het mogelijk is vanuit de DSfW omgeving contact te maken met resources in de bestaande eDirectory omgeving. In dit artikel leert u hoe u DSfW koppelt aan NSS volumes die al voor installatie van DSfW in de tree bestonden. Het scenario dat in dit artikel besproken wordt, gaat er van uit dat u een DSfW server in een bestaande eDirectory tree geïnstalleerd hebt. We gaan er van uit dat u deze installatie al hebt uitgevoerd en dat er in de DSfW omgeving gebruikers bestaan die gesammificeerd zijn en een native login kunnen doen op DSfW vanaf de Windows client. Daarnaast gaan we er van uit dat een NSS volume is aangemaakt, en dat de DSfW gebruiker daar rechten op heeft. Gebruik indien nodig eerst de Files and Folders optie in iManager om deze rechten toe te kennen: ook in een DSfW omgeving regelt u namelijk de toegangsrechten tot NSS volumes gewoon op de NSS volumes zelf, dus eigenlijk op de manier zoals u dat altijd al gewend was. Om een bestaand NSS volume toegankelijk te maken voor Windows gebruikers, hebt u CIFS nodig. Dit artikel begint met de installatie van CIFS. We maken gebruik van twee servers: oes1.example.com waarop het NSS volume voorkomt. Daarnaast wordt gebruikgemaakt van oes2.example.com, waarop DSfW inmiddels al geinstalleerd is. Beide servers komen in eDirectory voor en zijn geïnstalleerd in de container o=oes. Daarnaast is er een organizational unit ou=blah.o=oes waarin twee gebruikers voorkomen, lisa en linda. Deze gebruikers zijn voorzien van de SAM attributen die nodig zijn voor een DSfW login. Onderstaande procedure begint met een installatie van CIFS op server oes1. 1.
Om CIFS te installeren op oes1, logt u in op deze server. Start vervolgens YaST en kies hier Open Enterprise Server > OES Install and Configuration. Kies nu de optie Novell CIFS. Als u nu een melding krijgt over conflicterende pakketten, selecteer dan de bovenste optie waarmee u aangeeft dat alle reeds aanwezige conflicterende pakketten verwijderd moeten worden.
Installeer Novell CIFS op de server waar het NSS volume op beschikbaar is. 2.
Kies in het Novell Open Enterprise Server Configuration venster vervolgens de optie Novell CIFS Service Configuration. U moet hier nu als eerste het wachtwoord van de gebruiker admin invoeren. Als dat gebeurt is, is de meest belangrijke optie dat u aangeeft een bestaande user als CIFS Proxy User te selecteren. Deze Proxy user is belangrijk, dit is namelijk de schakel tussen de services op Linux en de informatie in eDirectory. De Proxy user wordt gebruikt om precies die rechten aan uit te delen die nodig zijn om informatie uit eDirectory te halen en u zult hem later gebruiken om het voor CIFS mogelijk te maken wachtwoorden voor users uit te lezen.
Bij de installatie van elke OES server, wordt een algemene Proxy user aangemaakt. De naam van deze user eindigt altijd met de naam van de server, in dit geval is dat cn=OESCommonProxy_oes1,o=oes. Zorg dat deze gebruiker als Proxy user staat ingesteld en klik dan op Next om verder te gaan.
De Proxy user is nodig om benodigde informatie uit eDirectory te kunnen halen. 3.
Nu geeft u aan welke eDirectory contexten door CIFS doorzocht mogen worden op gebruikers. Ook hier voldoet de standaard instelling meestal niet. De standaard context staat namelijk ingesteld op de context waarin de server geïnstalleerd is en in heel veel gevallen is dat nu net niet de context waarin ook de gebruikers voorkomen. Zorg er hier dus voor dat u alle contexten toevoegt waarin gebruikers voorkomen. In het voorbeeld dat aan het begin van dit artikel geschetst is, betekent dit dat u de context ou=blah.o=oes toe moet voegen. U kunt deze contexten overigens ook later vanuit iManager nog toevoegen.
Toevoegen van contexten waarin gebruikers zich bevinden 4.
Rond nu de procedure in YaST verder af om de installatie en configuratie van CIFS te voltooien.
Nu CIFS geïnstalleerd is, kunt u verder met de tweede stap uit het proces: het aanzetten van een CIFS share op het NSS volume dat u toegankelijk wilt maken voor CIFS gebruikers. Kies hiervoor onder File Protocols de optie CIFS. U ziet nu de CIFS beheersinterface.
CIFS afconfigureren vanuit iManager Gebruik nu de browse knop om de server te selecteren waarop u zojuist CIFS geïnstalleerd hebt. Een aantal eigenschappen wordt nu meteen al ingevuld waaronder de CIFS Virtual Server Name, de naam waarop de server zich met NetBIOS gaat adverteren. NetBIOS is overigens ook op Windows al een verouderd protocol, u hebt daarom met deze naam niet al te veel te maken. De meest belangrijke opties vindt u onder de link Authentication. Hier geeft u namelijk aan waar de CIFS server moet authenticeren. U kunt hier kiezen uit eDirectory of Third Party Domain. Nu ligt het voor de hand te denken dat u hier Third Party Domain moet kiezen, maar dat is dus niet het geval. Kies eDirectory en voer vervolgens bij WorkGroup/Domain Name de domainnaam in van het DSfW domain. U kunt alle andere opties op hun standaardinstelling laten staan en het is niet nodig onder Primary Domain Controller verder nog wat in te vullen.
CIFS laten authenticeren op het eDirectory domain Nu moet u er nog voor zorgen dat het NSS volume gedeeld wordt. Selecteer hiervoor het tabblad Shares en verzeker u ervan dat elk NSS volume dat u voor DSfW gebruikers toegankelijk wilt maken in de lijst staat. Dat een volume hier in de lijst staat betekent overigens niet dat gebruikers er ook automatisch bij mogen, dat regelt u immers door de juiste rechten in te stellen op het NSS volume! Klik vervolgens op OK om de wijzigingen op te slaan en toe te passen.
Volumes toegankelijk maken met CIFS
Password Policy Een factor die bij de configuratie van DSfW vaak buiten de aandacht blijft, is de Universal Password Policy. Hierin bepaalt u hoe met wachtwoorden omgegaan moet worden en in dit bijzonder geval is het nodig een extra bewerking uit te voeren. U moet er voor zorgen dat de Proxy User die u eerder aangemaakt hebt permissies heeft om de wachtwoorden van de DSfW gebruikers uit te lezen zodat CIFS er gebruik van kan maken. Doet u dit niet, dan zult u geen toegang krijgen! 1.
Selecteer in iManager de link Passwords en kies dan de optie Password Policies. U ziet hier een aantal policies, waaronder de Common_Proxy_Policy, dit zijn de instellingen die toegepast worden voor Proxy users. Daarnaast is het verstandig de procedure die hieronder beschreven wordt ook op andere policies toe te passen, zodat u zeker weet dat er niet per ongeluk een andere policy van toepassing is!
Password Policies aanpassen 2.
Open nu de Password Policies een voor een en selecteer het tabblad Universal Password. Kies op dit tabblad vervolgens de optie Configuration Options. Onder het kopje Universal Password Retrieval ziet u de huidige instellingen voor de wachtwoorden. Zet hier alle Allow... opties aan en zorg dat onder Allow the following to retrieve passwords alle Proxy users geselecteerd zijn. Klik dan op OK om de wijzigingen toe te passen en op te slaan.
Regelen dat alle Proxy users toegang krijgen tot wachtwoorden van DSfW gebruikers Nu bent u op het punt dat alle instellingen die gedaan moeten worden ook gedaan zijn. Tijd om te testen of het werkt! Gebruik hiervoor een Windows werkstation dat aan de DSfW tree is toegevoegd en waarvan u al eerder bevestigd hebt dat het in kan loggen op DSfW en log hierop in als een van de gebruikers die rechten heeft op het volume dat u zojuist gedeeld hebt. Kies nu Start > Run en type hier \\oes1. Er opent nu een map met daarin als share zichtbaar het gedeelde NSS volume. Dubbelklik hier nu op om toegang te krijgen tot de share en verifieer dat u er bestanden in aan kan maken. Als u op het NSS volume de permissies goed ingesteld zal dit gewoon lukken en kunt u als DSfW gebruiker aan het werk op de share.
Samenvatting DSfW zorgt er voor dat eDirectory gebruikers Domain gebruikers worden. Als domain gebruiker, kunnen ze vervolgens contact maken met verschillende resources in de eDirectory tree. In dit artikel hebt u gelezen hoe u DSfW gebruikers contact laat maken met NSS volumes die op een reeds bestaande server n de eDirectory tree aangeboden worden.
