System Novell Netware
Historia Novell Netware Pierwsza wersja systemu NetWare pojawiła się w 1983 roku Największą popularność zdobyły systemy w wersji 3.x (rok 1989) Od wersji 4.00 (rok 1993) wprowadzono system katalogowy NDS będący akronimem słów Netware Directory Services, później przekształcony w Novell Directory Services, a obecnie znany jako edirectory. Aktualna wersja systemu nosi numer 6.5. Obecnie Novell promuje Open Enterprise Server jako połączenie najlepszych cech systemów Netware i Linux (Suse)
Ogólna charakterystyka NetWare System Novell NetWare to sieciowy system operacyjny instalowany na dedykowanym serwerze Klientami systemu NetWare mogą być stacje robocze pracujące pod róŝnymi systemami (DOS, Windows, Linux, Macintosh, OS), na których instalowane jest dodatkowe oprogramowanie umoŝliwiające współpracę z serwerem NetWare Stacje robocze nie pracują pod kontrolą systemu NetWare, który jest tylko reprezentowany przez oprogramowanie klienta System NetWare jest licencjonowany
Podstawowe cechy Netware Obiektowa baza danych edirectory (NDS) - system zarządzania bazą usług katalogowych opartych na standardzie X.500 instytucji CCITT Migracja danych na zewnętrzne nośniki Sprawdzanie toŝsamości uŝytkownika podczas logowania się do sieci Kontrola i rejestracja zdarzeń Drukowanie umoŝliwia realizację procesu drukowania sieciowego z wykorzystaniem wielu drukarek sieciowych Dostęp do zasobów przez Internet
edirectory (NDS) Zasoby w sieci przechowywane są jako obiekty KaŜdy obiekt posiada pewne własności, którym przypisywane są odpowiednie wartości UŜytkownik odwołuje się do obiektów za pomocą prostych nazw, kojarzonych z typem i cechami obiektów Nazwy obiektów są dynamicznie przypisywane ich adresom fizycznym lub lokalizacjom, UŜytkownik moŝe korzystać z funkcji wyszukiwania obiektów Baza NDS moŝe być podzielona na logiczne fragmenty zwane partycjami, partycje mogą być replikowane Baza NDS jest automatycznie synchronizowana
edirectory (NDS) OBIEKT WŁASNOŚĆ WARTOŚĆ User LOGIN_NAME Mickiewi FULL_NAME Jan Mickiewicz PASSWORD xd$%^@ GROUPS 1012,2345 ID 406723 Group FULL_NAME Studenci MEMBERS 406723, 557412, 234598
Obiekty edirectory CN=Kowalski.OU=Toronto.OU=West.O=YourCo lub.kowalski.toronto.west.yourco
Zasady projektowania edirectory Zasoby sieci mają być globalne - przedsiębiorstwo powinno posiadać tylko jedno drzewo obiektów Struktura drzewa powinna być przejrzysta i odpowiadać logiczniej organizacji przedsiębiorstwa Przy centralnym zarządzanie siecią, naleŝy starać się planować płaską strukturę (mała liczba poziomów hierarchii) Dla firm posiadających autonomiczne oddziały wskazana jest struktura wielopoziomowa Przekroczenie liczby czterech poziomów hierarchii utrudnia administrowanie siecią (max 9 poziomów) Dla małych struktur wystarczy przyjęcie domyślnych parametrów instalacyjnych
System uprawnień edirectory Dysponent (trustee) obiekt, który posiada uprawnienia do katalogu, pliku, obiektu lub jego własności Obiekt dysponowany (trusteed object) to plik, katalog obiekt lub jego własności, do której dysponent posiada uprawnienia. Prawa efektywne (effective rights) to lista czynności, które dysponent moŝe faktycznie wykonać na obiekcie dysponowanym. Prawa efektywne są wyliczane przez system jako wypadkowa róŝnych praw Lista ACL (Access Control List) lista dysponentów wraz z ich prawami do danego pliku, katalogu, obiektu. KaŜdy obiekt posiada listę ACL, która pokazuje jakie prawa mają do niego inne obiekty
Rodzaje praw Prawa do obiektów (object rights) dysponent ma prawa do całego obiektu Prawa do własności (property rights) dysponent ma prawa poszczególnych własności danego obiektu
Prawa do obiektów Symbol uprawnień Browse Create Delete Rename Supervisor Znaczenie uprawnienia umoŝliwia zobaczenie obiektu w strukturze edirectory, nie gwarantuje odczytu jego właściwości w przypadku kontenerów umoŝliwia tworzenie w nich nowych obiektów umoŝliwia usunięcie tego obiektu daje moŝliwość zmiany nazwy obiektu oznacza posiadanie wszystkich praw obiektowych do obiektu
Prawa do własności Read Write Symbol uprawnień Compare Add or Delete Self Supervisor Znaczenie uprawnienia umoŝliwia porównanie wartości tej własności z inną wartością pozwala odczytać wartości tej własności pozwala zmieniać dowolnie wartość tej własności umoŝliwia dopisanie się do listy, która jest wartością tej własności oznacza posiadanie wszystkich pozostałych praw tej własności
Wyznaczanie praw efektywnych Jawne nadania dysponenckie - lista ACL przypisana do kaŝdego obiektu Dziedziczenie praw po obiektach NDS (np. po grupie do której naleŝy obiekt) Spływanie praw w drzewie NDS regulowane maską dziedziczenia IRF (Inherited Rights Filter). Dla NDS moŝna z maski IRF usunąć prawo S
Prawa efektywne przykład 1 U2 naleŝy do grupy GR Prawa efektywne: U2.Z1.K0402 do Z21.Z2.K0402 to [CD] (odziedziczone po grupie GR.Z1.K0402)
Prawa efektywne przykład 2 U3 w liście ACL kontenera Z2 ma prawa [CD] Prawa efektywne U3.Z1.K0402 do Z21.Z2.K0402 to [CD] (spływanie praw)
Prawa efektywne przykład 3 U3 w liście ACL kontenera Z2 ma prawa [CD], a w liście ACL obiektu Z21 ma prawa [B] Prawa efektywne U3.Z1.K0402 do Z21.Z2.K0402 to [B] (lista ACL nadpisuje uprawnienia uzyskane poprzez spływanie)
Prawa efektywne przykład 4 U3 w liście ACL kontenera Z2 ma prawa [CD], filtr IRF dla obiektu Z2 to [BC ] Prawa efektywne U3.Z1.K0402 do Z21.Z2.K0402 to [C] (spływanie praw zablokowane maską IRF, z maski usunięto prawo S)
Domyślne uprawnienia dla nowego obiektu typu User Obiekt [Root] otrzymuje do niego prawo Browse, do jego własności Network Address i Group Membership prawo Read Sam do siebie otrzymuje prawo Browse, prawa Read do wszystkich własności oraz prawo Write do Login Script i Print Job Configuration Obiekt, który go utworzył otrzymuje do niego prawo Supervisor
Domyślne uprawnienia dla obiektu Root UŜytkownik Admin otrzymuje do niego prawo Supervisor Obiekt [Public] otrzymuje do niego prawo Browse
System plików NetWare Dysk (dyski) na serwerze systemu NetWare podzielone są na jednostki o nazwie wolumen (volume) tworzone przez administratora systemu Podstawowym wolumenem jest SYS:, który zawsze musi być utworzony. Wolumeny składają się z segmentów fizycznych fragmentów partycji dyskowych Nazwa wolumenu moŝe mieć od 2 do 15 znaków. Tablica VDT (Volume Definition Table) zawiera informacje o wszystkich wolumenach w systemie
System plików NetWare Podział na wolumeny i segmenty Partycja DOS Partycja NetWare SYS PRV SYS Wolumeny dzielone są na bloki o wielkości 4, 8, 16, 32, 64 KB Rozmiar bloku jest wybierany podczas instalacji wolumenu Od wersji 4.x moŝliwa jest subalokacja w jednym bloku przechowywane są podbloki związane z róŝnymi plikami
Zabezpieczenia systemu plików System praw dostępu działa podobnie jak dla edirectory (NDS) róŝne obiekty mogą mieć róŝne prawa do plików i katalogów System atrybutów do plików i katalogów atrybuty są takie same dla wszystkich obiektów
Zestaw praw do plików Symbol uprawnień Read Write File Scan Create Erase Modify Access control Znaczenie uprawnienia umoŝliwia odczytanie zawartości pliku umoŝliwia otwarcie pliku i pisanie do niego moŝliwość zobaczenia nazwy pliku w katalogu n/d umoŝliwia usunięcie pliku pozwala zmieniać atrybuty lub nazwę pliku umoŝliwia modyfikację ACL (ster. dostępem) Supervisor wszystkie uprawnienia
Zestaw praw do katalogów Symbol uprawnień Read Write File Scan Create Erase Modify Access control Supervisor pliki z katalogu mogą dziedziczyć to prawo pliki z katalogu mogą dziedziczyć to prawo moŝliwość zobaczenia nazwy tego katalogu umoŝliwia tworzenie nowych zbiorów lub podkatalogów w tym katalogu umoŝliwia usunięcie katalogu pozwala zmieniać atrybuty lub nazwę katalogu umoŝliwia modyfikację ACL (ster. dostępem) wszystkie uprawnienia Znaczenie uprawnienia
Dziedziczenie uprawnień W NetWare istnieją dwa rodzaje dziedziczenia: dziedziczenie uprawnień od przodków (Ancestory Inheritance) dziedziczenie polegające na spływaniu praw dysponenckich (Rights Flow)
Dziedziczenie po przodkach
Spływanie praw (Rights Flow)
Atrybuty Nazwa atrybutu A - Archive Needed Ci - Copy Inhibit Di - Delete Inhibit Dc - Don t Compress Dm - Don t Migrate M - Migrated Ic - Immediate Compress zakaz kopiowania zakaz usuwania pliku lub katalogu zakaz kompresji pliku Znaczenie atrybutu ustawiany po zmianie w pliku, co umoŝliwia jego archiwizację zabrania systemowi migracji tego pliku plik został poddany migracji wymusza na systemie dokonanie natychmiastowej kompresji pliku.
Atrybuty Nazwa atrybutu Cc - Can t Compress Co - Compressed X - Execute Only H - Hidden P - Purge Ro - Read Only Rw - Read/Write Znaczenie atrybutu ustawiany przez system - plik nie będzie kompresowany atrybut ustawiony przez system, oznacza kompresję pliku atrybut nadawany tylko plikom wykonywalnym, plików tych nie moŝna kopiować. Raz nadanego atrybutu X nie moŝna odebrać pliki i katalogi z tym atrybutem nie są widoczne pliki i katalogi z tym atrybutem są od razu fizycznie usuwane z dysku i nie moŝna ich odzyskać plik z ustawionym atrybutem moŝna tylko czytać umoŝliwia odczyt i zapis zbioru
Atrybuty Nazwa atrybutu Ri - Rename Inhibit Sh - Shareable Sy - System I - Indexed N - Normal T - Trasnsactional plik z tym atrybutem moŝe być współdzielony oznacza pliki systemowe Znaczenie atrybutu nałoŝony na plik lub katalog uniemoŝliwia zmianę jego nazwy pliki z tym atrybutem ustawianym przez system mają poindeksowaną tablicę FAT oznacza, Ŝe Ŝadne atrybuty nie zostały ustawione zbiory z tym atrybutem są chronione system TTS (Transactions Tracking System)
Domyślne przypisania uprawnień prawa [RF] do katalogów SYS:PUBLIC oraz SYS:LOGIN prawa [RWFCEMA] do katalogu domowego, prawa [RWFCEM] do katalogu poczty elektronicznej.
Usuwanie plików W systemie NetWare pliki po usunięciu są przechowywane przez pewien czas i istnieje moŝliwość ich odzyskania Część wolumenu jest zarezerwowana na kosz W przypadku braku miejsca na wolumenie usuwane fizycznie są najstarsze pliki MoŜna odzyskiwać nie tylko ostatnią usuniętą wersję pliku, a takŝe poprzednie wersje pliku Usuwaniem i odzyskiwaniem plików moŝna sterować za pomocą atrybutów P oraz Di.
Kompresja plików Pliki na wolumenach w systemie NetWare mogą być przechowywane w postaci skompresowanej Proces kompresji plików ma niski priorytet w systemie Proces dekompresji plików ma wysoki priorytet w systemie Kompresją plików moŝna sterować za pomocą atrybutów Dc, Ic
Programy usługowe związane z systemem plików (z linii komend) filer - program z menu, umoŝliwia wiele operacji w systemie plików (m.in. odzyskiwanie usuniętych plików). flag - słuŝy do modyfikacji i przeglądania atrybutów plików. ndir - słuŝy do sortowania i wynajdowania plików. purge - usuwa fizycznie skasowane pliki rights - słuŝy do modyfikacji i przeglądania praw do plików
Programy zgłoszeń (Login Script) Podczas logowania się do sieci system wykonuje program zgłoszenia (login script) słuŝący do konfiguracji środowiska pracy uŝytkownika Za pomocą programu zgłoszeń moŝna wyświetlić na ekranie komunikaty dla uŝytkownika, zamapować dyski sieciowe, W programach zgłoszeń dostępne są zmienne systemowe, które udostępniają najwaŝniejsze informacje o systemie
Rodzaje programów zgłoszeń Domyślny - jest wykonywany tylko wtedy, kiedy uŝytkownik nie ma własnego skryptu, wykonuje tylko podstawowe czynności. Kontenerowy - wykonywany jest dla wszystkich uŝytkowników naleŝących bezpośrednio do danego kontenera. Profilowy - wykonywany jest dla wszystkich uŝytkowników związanych z danym profilem. UŜytkownika wykonywany jest dla danego uŝytkownika
Praca w systemie Netware Podczas logowania naleŝy podać nazwę uŝytkownika, kontekst, nazwę drzewa NDS lub serwera Kontekst to miejsce w drzewie NDS, w którym znajduje się obiekt typu user, na który się logujemy Po zalogowaniu system wykonuje program zgłoszenia, którego zadaniem jest konfiguracja środowiska pracy uŝytkownika
Sprawdzanie toŝsamosci Podczas procedury sprawdzenia toŝsamości system sprawdza: Nazwę uŝytkownika, hasło, serwer, kontekst Czy budŝet uŝytkownika nie został przekroczony Czy konto nie zostało zablokowane Czy data waŝności konta nie jest przekroczona Czy hasło nie jest zbyt krótkie Czy hasło jest waŝne (czy nie minął termin zmiany hasła) Czy uŝytkownik nie wyczerpał darmowych logowań Czy nowe podane hasło nie było uŝywane juŝ wcześniej Czy uŝytkownik loguje się z dozwolonej stacji Czy uŝytkownik loguje się w dozwolonym dniu i godzinie