Eksportowanie niniejszego produktu z USA lub Kanady może wymagać specjalnego pozwolenia Departamentu Handlu Stanów Zjednoczonych.

Transkrypt

1

2 Informacje prawne Firma Novell, Inc. nie bierze na siebie żadnej odpowiedzialności za treść i sposób korzystania z tej dokumentacji, w szczególności zaś nie udziela żadnych (pisemnych albo domniemanych) gwarancji dotyczących wartości rynkowej dokumentacji lub jej przydatności do określonych celów. Co więcej, firma Novell, Inc. zastrzega sobie prawo do korekty i zmian w treści niniejszej publikacji, w dowolnym czasie i bez obowiązku powiadamiania o tym fakcie jakichkolwiek osób bądź instytucji. Ponadto firma Novell, Inc. zrzeka się odpowiedzialności za oprogramowanie, a w szczególności nie udziela żadnych (pisemnych albo domniemanych) gwarancji dotyczących wartości rynkowej produktu lub jego przydatności do określonych celów. Firma Novell, Inc. zastrzega sobie również prawo do wprowadzenia zmian wkażdej z osobna lub we wszystkich częściach oprogramowania Novell w dowolnym czasie i bez obowiązku powiadamiania o tym fakcie jakichkolwiek osób bądź instytucji. Eksportowanie niniejszego produktu z USA lub Kanady może wymagać specjalnego pozwolenia Departamentu Handlu Stanów Zjednoczonych. Copyright , Novell, Inc. Wszelkie prawa zastrzeżone. Powielanie lub przekazywanie niniejszego dokumentu w jakiejkolwiek formie, w całości lub w części, wymaga uprzedniej pisemnej zgody wydawcy. Numery patentów w USA: 5,608,903; 5,671,414; 5,677,851; 5,758,344; 5,784,560; 5,794,232; 5,818,936; 5,832,275; 5,832,483; 5,832,487; 5,870,739; 5,873,079; 5,878,415; 5,884,304; 5,913,025; 5,919,257; 5,933,826. Patenty w USA i innych krajach. Novell, Inc South Novell Place Provo, UT U.S.A. Account Management - Podręcznik administratora Wrzesień Dokumentacja elektroniczna: Dokumentacja elektroniczna dla tego produktu oraz innych produktów firmy Novell, a także aktualizacje produktów są dostępne w Internecie pod adresem:

3 Znaki towarowe firmy Novell ConsoleOne jest znakiem towarowym firmy Novell, Inc. edirectory jest znakiem towarowym firmy Novell, Inc. NDS jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych krajów. NDS Manager jest znakiem towarowym firmy Novell, Inc. NetWare jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych krajów. Novell jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych krajów. Novell Client jest znakiem towarowym firmy Novell, Inc. Novell Directory Services jest zastrzeżonym znakiem towarowym firmy Novell, Inc. na terenie Stanów Zjednoczonych i innych krajów. Znaki towarowe innych firm Wszystkie inne znaki handlowe są własnością odpowiednich firm.

4

5 Spis treści Account Management 7 1 Instalacja 9 Minimalne wymagania systemowe Windows NT Linux Solaris Instalacja programu Account Management Windows NT Linux lub Solaris Konfiguracja programu Account Management w systemach Linux lub Solaris Konfigurowanie mechanizmu jednorazowej rejestracji (Single Sign-on, SSO) w systemach Linux i Solaris Odinstalowanie Account Management Windows NT Linux i Solaris Zarządzanie domenami Windows NT 23 Podstawa działania Account Management Nowe cechy Zarządzanie buforowaniem domeny Logowanie zdarzeń Administracja domenami Informacje o wybieraniu Zmiana hasła anonimowego Obsługa filtrów hasła Zarządzanie kontami Windows NT Tworzenie nowej grupy lokalnej Tworzenie nowej grupy globalnej Tworzenie nowego obiektu stacji roboczej Dodawanie użytkownika NDS do domeny NT Dodawanie użytkownika NDS do grupy lokalnej lub globalnej Usuwanie użytkownika NDS z domeny NT Usuwanie użytkownika NDS z grupy lokalnej lub globalnej Ustawianie podstawowej grupy użytkownika Identyfikacja Włączanie ustawień poprawiania wydajności Korzystanie z narzędzi NT Używanie Replica Advisor Zarządzanie zabezpieczeniami w Windows NT Synchronizacja haseł użytkownika NDS oraz NT Ustawianie opcji wykrywania intruzów Spis treści 5

6 3 Zarządzanie kontami w systemach Linux i Solaris 43 Zasady zarządzania kontami w oparciu o NDS w systemach Linux i Solaris Zasada działania składników Account Management Zasada działania zabezpieczeń Account Management Zgodność Account Management ze specyfikacją RFC Zasada działania mechanizmu jednorazowej rejestracji (Single Sign-on) Przydziały i prawa dysponenta dla obiektów Account Management Przenoszenie kont użytkowników/grup do NDS Przygotowanie do migracji Przenoszenie kont Uaktywnienie i weryfikacja przeniesionych kont Usuwanie przeniesionych kont Zarządzanie uwierzytelnianiem, kontami i hasłami Przenoszenie kont użytkowników i grup UNIX do NDS Konfiguracja narzędzia migracyjnego unix2nds Korzystanie z narzędzia unix2nds Przenoszenie grup UNIX do NDS Przenoszenie użytkowników UNIX do NDS Przenoszenie haseł UNIX do NDS Zarządzanie kontami użytkowników i grup UNIX Tworzenie obiektów grup, szablonów i użytkowników UNIX Przypisywanie atrybutów UNIX dla obiektów grup, szablonów i użytkowników Przeglądanie szczegółowych informacji o obiekcie konfiguracji UNIX Modyfikacja obiektu stacji roboczej UNIX Optymalizacja programu Account Management Korzystanie z demona pamięci podręcznej nds_uamcd Pamięć podręczna dla najczęściej występujących żądań usług nazewniczych Usuwanie problemów związanych z programem Account Management w systemach Linux i Solaris Przeniesieni użytkownicy nie mogą się zalogować Sprawdzanie, czy działa uwierzytelnianie NDS Użytkownik posiadający uprawnienia równoważne użytkownikowi Root nie może zmieniać haseł innych użytkowników Użytkownik nie może się zalogować Nie są dostępne informacje ważności hasła użytkownika Podręcznik administracji

7 Account Management Account Management jest aplikacją współpracującą z usługami katalogowymi, która upraszcza i ujednolica zarządzanie profilami użytkowników w sieciach Windows* NT*, Solaris* i Linux*. Wykorzystuje skalowalność, narzędzia oraz możliwości rozbudowy NDS edirectory TM, dodając możliwości pełnej integracji. Account Management pozwala na wyeliminowanie wielu utrudnień związanych z administrowaniem siecią wieloplatformową, przy jednoczesnym zapewnieniu kompatybilności. Niniejszy podręcznik zawiera informacje na temat instalacji, konfiguracji oraz zarządzania programem Account Management w sieciowych systemach operacyjnych Windows NT, Solaris i Linux. Account Management 7

8 8 Podręcznik administracji

9 1 Instalacja W tej części opisano proces instalacji programu Account Management w systemach Windows* NT*, Solaris* i Linux*. Minimalne wymagania systemowe Account Management może pracować pod kontrolą następujących systemów operacyjnych:! Windows NT na stronie 9! Linux na stronie 10! Solaris na stronie 10 Windows NT " Windows NT Server 4.0 z Service Pack 4 lub nowszy oraz przypisany adres IP. " Komputer Pentium* 200 z 64 MB RAM i monitor kolorowy pracujący w palecie więcej niż 16 kolorów. " Uprawnienia administratora do serwera NT oraz wszystkich części drzewa NDS zawierających obiekty użytkowników aktywnych w domenie. Aby możliwa była instalacja w istniejącym drzewie, konieczne będą uprawnienia administratora do obiektu drzewa, w celu rozszerzenia schematu. " Obsługiwana wersja NetWare, tylko przy pracy w mieszanym środowisku NetWare/NT (NetWare 5 z najnowszym pakietem Support Pack). Instalacja 9

10 ! Serwer NetWare 4.11/4.2 z Support Pack 8a lub nowszym z NDS w wersji 6.09b lub nowszej.! Serwer NetWare 5 z Support Pack 5 lub nowszym z NDS w wersji 7.45 lub nowszej (wcześniejsze wersje beta nie będą funkcjonowały poprawnie).! NetWare 5.1 z Support Pack 1 lub nowszym z NDS w wersji 8.60 lub nowszej. " Stacje robocze obsługujące Novell Client dla Windows 95 wersja 3.0 lub nowsza lub Novell Client dla Windows NT wersja 4.71 lub nowsza. Linux Solaris " Red Hat 6.1 lub nowszy, Laser Linux Suse lub Open Linux z przypisanym adresem IP. " Komputer Pentium 200 z 64 MB pamięci RAM. " Dostęp użytkownika root (super-użytkownika) do komputera Linux. Aby możliwa była instalacja w istniejącym drzewie, konieczne będą uprawnienia administratora do obiektu drzewa, w celu rozszerzenia schematu. " Stacje robocze z programem Novell Client dla Windows 95 wersja 3.0 lub nowsza lub Novell Client dla Windows NT wersja 4.71 lub nowsza. " Solaris 2.6, 2.7 lub 8 z przypisanym adresem IP. " Komputer Pentium 200 z 64 MB pamięci RAM. " Dostęp użytkownika root (super-użytkownika) do komputera Solaris. Aby możliwa była instalacja w istniejącym drzewie, konieczne będą uprawnienia administratora do obiektu drzewa, w celu rozszerzenia schematu. " Stacje robocze z programem Novell Client dla Windows 95 wersja 3.0 lub nowsza lub Novell Client dla Windows NT wersja 4.71 lub nowsza. 10 Podręcznik administracji

11 Instalacja programu Account Management Program Account Management można zainstalować na następujących platformach systemowych:! Windows NT na stronie 11! Linux lub Solaris na stronie 12 Windows NT 1 Zaloguj się na serwer NT jako administrator lub użytkownik z uprawnieniami administratora. 2 Uruchom program SETUP.EXE z dysku CD-ROM Account Management lub pobranego pliku. 3 Wybierz jedną z następujących opcji (poszczególne składniki można instalować oddzielnie lub równocześnie):! Integracja domen Windows NT z NDS Instaluje składniki programu Account Management i uruchamia kreatora obiektów domen, który przeprowadza migrację istniejących domen NT do NDS. Patrz Integracja domen Windows NT z NDS na stronie 11, aby uzyskać więcej informacji na ten temat.! ConsoleOne Instaluje ConsoleOne TM 1.2d. ConsoleOne może wykonać wszystkie zadania uprzednio wykonane w programie NetWare Administrator oraz NDS Manager TM. Patrz Instalacja programu ConsoleOne na stronie 12, aby uzyskać więcej informacji na ten temat. Integracja domen Windows NT z NDS Account Management instaluje najnowszą wersję programu Novell Client (jeśli jest to konieczne) oraz składniki programu Account Management. Po ponownym uruchomieniu serwera wykonaj poniższe czynności - najpierw na głównym kontrolerze domeny, a następnie na wszystkich zapasowych kontrolerach domeny. 1 Zaloguj się do drzewa NDS jako użytkownik Admin lub posiadający równorzędne uprawnienia. Instalacja 11

12 Instalacja programu ConsoleOne Aktualizacja programu 2 Zaloguj się do domeny, używając tego samego konta użytkownika, co podczas instalacji programu Account Management. Krok 1 na stronie Uruchomiony zostanie Kreator obiektów domen. Postępuj zgodnie z poleceniami wyświetlanymi na ekranie. Użytkowników domeny NT można przenosić do NDS lub kojarzyć istniejących użytkowników NDS z użytkownikami domeny NT. Po zakończeniu pracy kreatora obiektów domen nastąpi ponowne uruchomienie serwera NT. 1 Postępuj zgodnie z instrukcjami wyświetlanymi przez kreatora instalacji. Program ConsoleOne 1.2d zostanie zainstalowany jako narzędzie zarządzania, ponadto zostanie utworzony udział o nazwie SYS: na serwerze NT. Przed uruchomieniem pliku SETUP.EXE w celu instalacji programu Account Management 2.1 wykonaj następujące czynności: 1 Uruchom plik WNDSSCH.EXE znajdujący sie w katalogu \NT\DI na dysku CD. 2 Kliknij Otwórz. 3 Wybierz NDS4NT21.SCH. 4 Kliknij Gotowe. Uruchom plik SETUP.EXE z dysku CD-ROM Account Management. Linux lub Solaris 1 Uruchom narzędzie nds-install. 2 Wybierz opcję instalacji składnika Account Management. Program instalacyjny rozpocznie dodawanie pakietu Account Management i skojarzonych z nim składników. 3 Wprowadź następujące parametry konfiguracyjne w pliku ndscfg.inp:! Nazwa (wraz z pełnym kontekstem) użytkownika posiadającego uprawnienia administratora do obiektu drzewa 12 Podręcznik administracji

13 ! Nazwa drzewa! Kontekst stacji roboczej UNIX*! Kontekst katalogu głównego partycji, na której zostanie zainstalowany program Account Management 4 Aby utworzyć partycję (jeśli partycja nie istnieje), wybierz opcję Tak obok parametru Utwórz partycję. 5 Zapisz informacje i zamknij okno edytora. 6 Na żądanie wprowadź hasło użytkownika posiadającego uprawnienia administratora. Po pomyślnym zainstalowaniu programu Account Management zainicjowane zostaną następujące demony:! slpuasa Demon agenta usług i użytkowników SLP! nds_uamcd Demon pamięci podręcznej Account Management! nds_ssod Demon jednorazowej rejestracji w NDS (Single Sign-on, SSO) dla systemu Linux i Solaris! nds_identd Demon tożsamości NDS dla operacji SSO Na komputer macierzysty kopiowane są następujące pliki konfiguracyjne:! /etc/nds.conf Plik konfiguracyjny NDS.! /etc/slp.conf Plik konfiguracyjny SLP.! /etc/pam.d.nds/ Katalog zawierający pliki przykładowe, ilustrujące uaktywnianie uwierzytelniania NDS dla wszystkich usług w systemach Linux.! /etc/pam.conf.nds: Plik przykładowy, ilustrujący uaktywnianie uwierzytelniania NDS w systemach Solaris. Instalacja 13

14 Konfiguracja programu Account Management w systemach Linux lub Solaris Program Account Management można skonfigurować za pomocą narzędzia ndscfg lub uamconfig. Konfiguracja jest niezbędna, jeśli zaniecha się konfiguracji w trakcie instalacji, lub z jakiegoś powodu konfiguracja zakończy się niepowodzeniem. Aby skonfigurować program Account Management po instalacji, należy użyć narzędzia uamconfig.! Aby skonfigurować składnik Account Management w sposób interakcyjny, należy wprowadzić następujące polecenie: ndscfg -install -m uam! Aby usunąć informacje dotyczące programu Account Management, należy wprowadzić następujące polecenie: ndscfg -uninstall -m uam! Aby skonfigurować program Account Management, należy użyć polecenia o następującej składni: uamconfig -C [-f plik_konfiguracyjny] {-s lista_wartości -v lista_parametrów -V -h lista_parametrów - H} Korzystanie z narzędzia uamconfig Narzędzie uamconfig służy do dodawania, usuwania i konfigurowania programu Account Management. W poniższych punktach opisano czynności, które można wykonać za pomocą tego narzędzia.! Dodawanie programu Account Management na stronie 14! Usuwanie programu Account Management na stronie 15! Konfigurowanie programu Account Management na stronie 15 Dodawanie programu Account Management Aby zainstalować program Account Management na określonej stacji roboczej, należy użyć polecenia o następującej składni: uamconfig add -a nazwa_administratora [-t nazwa_drzewa] -r katalog_główny_partycji -w konteks_stacji_roboczej [-o] [-c] [-p preferowany_serwer_uam] 14 Podręcznik administracji

15 Usuwanie programu Account Management Aby usunąć składnik Account Management, należy użyć polecenia onastępującej składni: uamconfig remove -a nazwa_administratora Konfigurowanie programu Account Management Aby skonfigurować program Account Management, należy użyć polecenia onastępującej składni: uamconfig -C [-f plik_konfiguracyjny] {-s lista_wartości - v lista_parametrów -V -h lista_parametrów -H}] Parametr C Opis Zmienia parametry konfiguracyjne programu Account Management. -t nazwa_drzewa Nazwa drzewa, do którego ma być dodany program Account Management. Jeśli nie zostanie podana nazwa drzewa, narzędzie uamconfig odczyta ją z parametru n4u.nds.tree-name, określonego w pliku etc/nds.conf. -w kontekst_stacji_roboczej Określa kontekst, w którym utworzony zostanie obiekt stacji roboczej. -a nazwa_administratora Nazwa wyróżniająca obiektu użytkownika posiadającego uprawnienia nadzorcy do kontekstu, w którym tworzone są obiekty Account Management. -p preferowany_serwer_ua m -r katalog_główny_partycji Określa preferowany serwer NDS w drzewie, w ramach którego skonfigurowany jest program Account Management. Katalog główny domeny Account Management zawierającej obiekty stacji roboczych. -f plik_konfiguracyjny Określa plik konfiguracyjny, który ma być używany zamiast domyślnego. -s lista_wartości Wartości określonych parametrów konfiguracji programu Account Management. Instalacja 15

16 Parametr Opis -v lista_parametrów Umożliwia przeglądanie bieżących wartości parametrów konfiguracji programu Account Management. -o Nakazuje zastąpienie istniejącej konfiguracji programu Account Management. -c Nakazuje utworzenie partycji, jeśli partycja nie istnieje. -V Wyświetla wszystkie parametry konfiguracji programu Account Management. -h lista_parametrów, -H Umożliwia przeglądanie tekstów pomocy skojarzonych z parametrami konfiguracji programu Account Management. Konfigurowanie mechanizmu jednorazowej rejestracji (Single Sign-on, SSO) w systemach Linux i Solaris Uaktywnianie funkcji SSO dla aplikacji Aby uaktywnić SSO w systemach Linux i Solaris, należy odpowiednio skonfigurować obiekt stacji roboczej, modyfikując pliki w katalogu /etc/pam.d w systemach Linux albo plik /etc/pam.conf w systemach Solaris. W poniższych punktach podano informacje na temat konfiguracji mechanizmu SSO.! Uaktywnianie funkcji SSO dla aplikacji na stronie 16! Konfigurowanie portów wykorzystywanych przez mechanizm jednorazowej rejestracji na stronie 18! Korzystanie z jednorazowej rejestracji klienta FTP na stronie 18 Istnieje możliwość dynamicznego załadowania modułu pam_ndssso, realizującego funkcje SSO na rzecz aplikacji. W trakcie instalacji programu Account Management do katalogu /etc/pam.d (w systemach Linux) albo /etc/pam.d.ndssso (w systemach Solaris) kopiowany jest plik przykładowy. 16 Podręcznik administracji

17 Poniżej przedstawiono przykładowe wpisy pam służące do logowania z funkcją SSO w systemach Linux: auth sufficient /lib/security/pam_ndssso.0 session sufficient /lib/security/pam_ndssso.0 Poniżej przedstawiono przykładowe wpisy pam służące do logowania z funkcją SSO w systemach Solaris: auth sufficient /usr/lib/security/pam_ndssso.0 session sufficient /usr/lib/security/pam_ndssso.0 Moduły pam_ndssso i pam_nds działają w parze. Moduł pam_nds może działać bez pam_ndssso, ale nie odwrotnie. Na przykład, w przypadku usunięcia pam_nds.so.0 ze stosu sesji lub uwierzytelnienia, jednorazowa rejestracja nie będzie stosowana w odniesieniu do usługi TELNET*. Ponadto, jednorazowa rejestracja nie nastąpi, jeśli nie powiedzie się początkowe uwierzytelnienie użytkownika za pośrednictwem NDS (np. z powodu podania błędnego hasła), a jednocześnie będzie możliwe uwierzytelnienie przy użyciu tego samego lub innego hasła za pośrednictwem systemu UNIX. Funkcje SSO jest dostępna wyłącznie w sesjach użytkowników uwierzytelnionych przez NDS. Moduł pam_ndssso.so.0 powinien być zawsze umieszczany na stosie uwierzytelniania z opcją Sufficient. Jeśli zostanie umieszczony na stosie zopcją Required, pierwsze uwierzytelnienie dowolnego użytkownika nie powiedzie się, uniemożliwiając tym samym uwierzytelnienie innych modułów. Jednorazowa rejestracja nie będzie miała miejsca w przypadku usługi su, nawet jeśli stos pam dla su skonfigurowano z uwzględnieniem SSO. Takie rozwiązanie wprowadzono celowo, ponieważ po zalogowaniu nie można już zmienić aktywnego użytkownika. Ponadto jednorazowa rejestracja nie dotyczy usługi login, ponieważ jest ona główną usługą wejścia do systemu. Jednak po pomyślnym zalogowaniu w kolejnych próbach dostępu (na przykład przy pomocy usługi TELNET) zostaną wykorzystane uwierzytelnienia logowania. Przy zarządzaniu sesją na stosie PAM powinny znajdować się oba moduły: pam_nds i pam_ndssso. Instalacja 17

18 Konfigurowanie portów wykorzystywanych przez mechanizm jednorazowej rejestracji Demon SSO, nds_ssod, nasłuchuje w dwóch portach AF_INET, a także w jednym gnieździe domeny UNIX. Numery portów można zmienić dodając wpis z nazwami usług w katalogu /etc/services lub innej bazie danych ousługach, z której korzysta instytucja. Punktem końcowym gniazda domeny UNIX jest /var/.ndssso_unixsock. Poniżej wymieniono nazwy usług i ich domyślne wartości: ndssso_caport 1105 ndssso_port 1106 Korzystanie z jednorazowej rejestracji klienta FTP Protokół FTP nie określa, w jaki sposób serwer może zwrócić się do klienta FTP o nazwę użytkownika i hasło. Oznacza to, że usługa FTP nie może korzystać z mechanizmu SSO. Aby skorzystać z jednorazowej rejestracji klienta FTP, można użyć skryptu obudowującego wywołanie FTP o nazwie nftp; skrypt ten jest dostarczany razem z programem Account Management. Wspomniany skrypt instaluje się w /usr/bin/ i może być wywoływany z tymi samymi parametrami, co FTP. Narzędzie nftp tworzy plik.netrc lub uzupełnia istniejący plik.netrc. Dodany wpis powoduje zalogowanie z bieżącą nazwą użytkownika (odczytaną za pomocą polecenia id) i fikcyjnym hasłem. Po utworzeniu wpisu nftp wywołuje FTP z tymi samymi parametrami i - o ile użytkownik już się zalogował - następuje rejestracja SSO. Odinstalowanie Account Management Windows NT! Windows NT na stronie 18! Linux i Solaris na stronie 20 Aby odinstalować pakiet Account Management i zapisać wszystkie zmiany dokonane podczas przekierowania domeny do NDS, serwer NT musi mieć działające połączenie z serwerem NDS, na którym przechowywana jest replika partycji z obiektem domeny. 18 Podręcznik administracji

19 WAŻNE: Przed usunięciem programu Account Management z PDC należy usunąć go z BDC. Jeśli na w pierwszej kolejności nastąpiło odinstalowanie z PDC, nie będzie możliwy dostęp do BDC. 1 Zaloguj się na BDC jako administrator. 2 Na pasku zadań Windows kliknij Start > Programy > Novell > Kreator obiektów domen. 3 Postępuj zgodnie z poleceniami wyświetlanymi na ekranie. 4 Po ponownym uruchomieniu BDC wykonaj Krok 1 oraz Krok 2 na pozostałych BDC. 5 Zaloguj się na PDC jako administrator. 6 Na pasku zadań Windows kliknij Start > Programy > Novell > Kreator obiektów domen. 7 Wybierz jedną z następujących opcji:! Odinstaluj NDS i dołącz informacje o nowym NDS do domeny NT Wybranie tej opcji powoduje odczytanie bieżących informacji z NDS i przeniesienie ich do domeny Windows NT. Użytkownicy i obiekty dodane do NDS od czasu przeniesienia domeny NT do NDS zostają dodane do domeny NT. Obiekty, które pierwotnie znajdowały się w domenie NT, ale nie zostały przeniesione do NDS, nie będą już należeć do domeny.! Odinstaluj NDS i zaktualizuj hasła z NDS Opcja ta przywraca stan sprzed zainstalowania NDS z wyjątkiem haseł. Hasła NT pozostają takie same jak w NDS.! Odinstalowanie NDS Opcja ta przywraca stan sprzed zainstalowania NDS. Bieżące hasło staje się hasłem administratora. 8 Postępuj zgodnie z poleceniami wyświetlanymi na ekranie. Istnieje możliwość odinstalowania i powrócenia pierwotnego stanu domeny bez połączenia NetWare. Wszelkie zmiany lub uzupełnienia przeprowadzone podczas migracji domeny nie zostaną jednakże cofnięte. Instalacja 19

20 Linux i Solaris W poniższych punktach zamieszczono informacje na temat odinstalowania.! Wycofywanie przeniesionych kont z NDS na stronie 20! Wycofywanie przeniesionych kont do plików na stronie 21! Wycofywanie przeniesionych kont do NIS na stronie 21! Wycofywanie przeniesionych kont do NIS+ na stronie 21 Wycofywanie przeniesionych kont z NDS Konta można wycofać z NDS do plików, NIS i NIS+. W przypadku systemów Linux i Solaris konta przeniesione do NDS można wycofać do lokalnych baz danych. Proces ten jednak nie obejmuje następujących czynności:! usuwania kont z NDS po wycofaniu ich do lokalnej bazy danych;! wycofywania przeniesionych kont, które zostały dodane do NDS za pomocą ConsoleOne;! wycofywania przeniesionych kont, które zostały zmodyfikowane w NDS za pomocą ConsoleOne. Aby możliwe było wycofanie migracji, należy podać wartość Tak dla parametru CreateBackups w pliku migrate2nds.inp. Aby uzyskać więcej informacji na ten temat, patrz Przenoszenie kont użytkowników/grup do NDS na stronie 48, aby uzyskać więcej informacji na ten temat. Domyślną wartością tego parametru jest Tak. Konta z NDS można wycofać do plików, NIS i NIS+. Aby wycofać przeniesione konta, należy zalogować się jako użytkownik root do systemu Linux lub Solaris. OSTRZEŻENIE: Podczas wycofywania przeniesionych kont z NDS istniejące konta w plikach, NIS i NIS+ są zastępowane kontami wycofywanymi do tych baz danych. W przypadku przyrostowej migracji kont, pliki zapasowe należy skopiować do innego katalogu. Zagwarantuje to, że nie zostaną zastąpione poprzednie kopie zapasowe, utworzone przez narzędzie migrate2nds. W poniższych punktach zamieszczono informacje na temat wycofywania przeniesionych kont z NDS.! Wycofywanie przeniesionych kont do plików na stronie 21! Wycofywanie przeniesionych kont do NIS na stronie 21! Wycofywanie przeniesionych kont do NIS+ na stronie Podręcznik administracji

21 Wycofywanie przeniesionych kont do plików Przed przystąpieniem do migracji kont z plików do NDS, należy wpisać wartość Tak dla parametru CreateBackups w pliku migrate2nds.inp. Podczas migracji narzędzie tworzy w folderze /var/ndsuam następujące kopie zapasowe plików passwd, shadow i group:! revfiles_passwd! revfiles_shadow! revfiles_group Aby wycofać przeniesione konta, należy skopiować powyższe pliki to katalogu /etc. Hasła przypisane do kont przed przeniesieniem zostaną zachowane. Wycofywanie przeniesionych kont do NIS Przed przystąpieniem do migracji kont z plików do NDS, należy wpisać wartość Tak dla parametru CreateBackups w pliku migrate2nds.inp. Podczas migracji narzędzie odczytuje informacje o kontach z bazy danych NIS i tworzy w katalogu /var/ndsuam następujące pliki zapasowe:! revnis_passwd! revnis_shadow! revnis_group Aby wycofać przeniesione konta z NDS do NIS, należy skopiować powyższe pliki do dowolnego katalogu. Następnie w pliku /var/yp/makefile należy w parametrach PWDIR i DIR wpisać ścieżkę katalogu, do którego pliki zostały skopiowane. Aby odtworzyć bazę danych należy wywołać polecenie make. Wycofywanie przeniesionych kont do NIS+ Przed przystąpieniem do migracji kont z plików do NDS, należy wpisać wartość Tak dla parametru CreateBackups w pliku migrate2nds.inp. Podczas migracji narzędzie odczytuje informacje o kontach z bazy danych NIS i tworzy w katalogu /var/ndsuam następujące pliki zapasowe:! revnisplus_passwd! revnisplus_shadow! revnisplus_group Instalacja 21

22 Aby wycofać przeniesione konta z NDS do NIS+, należy skopiować powyższe pliki do dowolnego katalogu. Aby odtworzyć bazę danych, należy wywołać następujące polecenia: nisaddent -m -f revnisplus_passwd passwd nisaddent -m -f revnisplus_shadow shadow nisaddent -m -f revnisplus_group group 22 Podręcznik administracji

23 2 Zarządzanie domenami Windows NT Niniejszy rozdział opisuje sposób zarządzania domenami Windows* NT* oraz członkami grup w programie ConsoleOne TM. Podstawa działania Account Management W systemie Windows NT zasoby są tworzone i zarządzane w bazie danych noszącej nazwę menedżera kont systemowych SAM (System Account Manager). Aplikacje potrzebujące informacji z domeny Windows NT wysyłają żądania do SAMLIB.DLL. Dotyczy to aplikacji uruchamianych na serwerze NT lub na stacji roboczej NT. SAMLIB.DLL komunikuje się z SAMSRV.DLL za pomocą zdalnych wywołań procedury RPC (Remote Procedure Calls). W przypadku aplikacji uruchomionych na serwerze komunikacja odbywa się na poziomie wewnętrznym. W przypadku żądań pochodzących ze stacji roboczej żądania RPC są przekazywane do serwera. Serwer RPC otrzymuje żądanie, rozwija je i przekazuje do SAMSRV.DLL. SAMSRV.DLL uzyskuje dostęp do menedżera kont systemowych, gdzie jest przechowywany namebase domeny, i wykonuje żądana operację. Patrz Rysunek 1 na stronie 24. Zarządzanie domenami Windows NT 23

24 Rysunek 1 Stacja robocza Windows NT Serwer Windows NT Aplikacje SAMLIB.DLL RPC Aplikacje SAMLIB.DLL RPC SAMSRV.DLL SAM Baza nazw domeny Program Account Management przenosi domeny Windows NT do NDS edirectory TM przez zastąpienie SAMSRV.DLL biblioteką SAMSRV.DLL NDS edirectory. Wszystkie żądania aplikacji do namebase domeny są następnie kierowane do NDS edirectory (który może rezydować na serwerze NetWare, serwerze NT lub obu). NDS edirectory przechowuje obiekty użytkownika, komputera oraz grupy, które zajmują miejsce obiektów poprzednio używanych w domenie. Patrz Rysunek 2 na stronie Podręcznik administracji

25 Rysunek 2 Serwer Serwer NetWare NetWare Stacja robocza Stacja robocza Windows Windows NT NT Serwer Serwer Windows Windows NT NT NDS NDS Aplikacje Aplikacje Aplikacje Aplikacje SAMLIB.DLL SAMLIB.DLL SAMLIB.DLL SAMLIB.DLL RPC RPC RPC RPC SAMSRV.DLL SAMSRV.DLL Klient Klient NetWare NetWare dla Windows dla Windows SAM SAM Baza nazw Baza nazw domeny domeny NDS NDS Account Management Account Management Zaletą takiego procesu przekierowania jest to, że wszystkie istniejące aplikacje w dalszym ciągu funkcjonują bez konieczności wykonywania jakichkolwiek zmian. Istnieje możliwość zarządzania kontami w NDS edirectory przy użyciu narzędzi Windows NT. Kontenery NDS edirectory mogą zawierać setki tysięcy obiektów w odróżnieniu od obiektów domen NT, w przypadku których występuje ograniczenie do kilkuset obiektów. Nowe cechy Nowe cechy w programie Account Management:! Zarządzanie buforowaniem domeny na stronie 26! Logowanie zdarzeń na stronie 26! Administracja domenami na stronie 27 Zarządzanie domenami Windows NT 25