Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта

Cеть = NetWare+NT+Linux...

Цели эксперимента

В настоящее время многие организации сталкиваются с необходимостью применения нескольких сетевых ОС для построения своих информационных систем. В таких гетерогенных сетях существенно усложняется процедура управления сетевыми ресурсами и службами. Особую же трудность представляет процесс ведения учетных записей пользователей и их прав доступа. В худшем случае системным администраторам необходимо поддерживать несколько учетных записей для одного пользователя в разных системах. В связи с этим, основной целью эксперимента была выбрана следующая:
1. Построить модель локальной вычислительной сети, в которой будут представлены следующие сетевые ОС: NetWare 4.x, Netware 5.x, Windows NT 4.0,  Windows NT 2000, Linux.
2. Исследовать возможность управления учетными записями пользователей данной ЛВС с помощью NDS Corporate Edition от фирмы Novell.
По мнению участников рабочей группы, решение подобной задачи может потребоваться на этапе миграции с более ранних версий программных продуктов на более новые версии.

План проведения эксперимента

На момент подготовки и проведения эксперимента версия NDS  Corporate Edition для Windows 2000 оказалась недоступна, так как Microsoft ввела процедуру проверки факта замены разделяемых библиотек. По этой причине от эксперимента с WIndows 2000 пришлось отказаться.
Эксперимент проводился в следующем порядке:
1. Установка сервера Net-ware5.x и создание дерева NDS.
2. Обновление версии NDS до версии NDS v.8.
3. Установить Linux и NDS v.8 for Linux. Исследование возможностей управления учетными записями пользователей.
4. Добавление в существующее дерево домена Windows NT 4.0 и сервера NetWare 4.x.

При планировании эксперимента приняли решение сделать основной упор на исследование NDS Corporate Edition для Linux, т. к. реализации NDS для остальных платформ уже были представлены ранее и возможности этих реализаций, примерно, известны. В то время как решение для Linux является совершенно новой разработкой.

Обзор NDS Corporate Edition

Основой для NDS Corporate Edition является служба каталогов NDS eDirectory. Несмотря на похожие названия между NDS eDirectory и NDS Corporate Edition, есть существенные различия. NDS eDirectory является службой каталогов в чистом виде и не содержит функций, специфичных для конкретной платформы, таких как управление учетными записями пользователей. В свою очередь, NDS Corporate Edition является расширением NDS eDirectory, которое содержит  набор дополнительных модулей, реализующих, в частности, функции управления учетными записями пользователей для конкретной ОС.
В общем случае в комплект поставки NDS Corporate Edition входят следующие компоненты:

• Сервер NDS. Служба, управляющая разделами и репликами дерева NDS. Данная служба работает под управлением Net Ware, Solaris, Linux, Windows NT, или Windows 2000 Server.
• Security and Naming Service Redirectors. Модули, обеспечивающие аутентификацию, управление паролями и разрешение имен 2. В системе Windows NT, NDS Corporate Edition заменяет стандартного провайдера Security Account Manager (SAM) на основном и резервном контроллерах домена. В UNIX системах провайдеры встраиваются в системы Pluggable Authentication Module (PAM) и Name Service Switch (NSS).
• Утилиты для переноса бюджетов. Набор программ для переноса существующих учетных записей групп и пользователей в дерево NDS.
• Менеджер почтовых ящиков системы Exchange. Инструмент, позволяющий управлять пользователями и почтовыми ящиками сервера Exchange с помощью утилиты ConsoleOne.
• Дополнения для ConsoleOne. Библиотеки для управления UNIX пользователями, группами или объектами доменов NT в NDS. Особо следует подчеркнуть, что функции управления объектами NDS реализуются только с помощью ConsoleOne.
• NDS менеджер (включая редактор схемы NDS). Инструмент администратора для управления разделами и репликами дерева NDS.
• ПО клиентской части. Клиентская часть позволяет пользователям получить доступ к информации, хранящейся в дереве NDS.
• Документация в электронном виде.
• Поддерживаемые ОС:
• NetWare 5 Support Pack 2.
• Linux версия ядра не менее 2.2 версия glibc не менее 2.1.2, обязательно наличие пакета RPM (например, RedHat 6.1).
• Sun Solaris 2.6 или выше.
• Microsoft Windows NT 4.0, Service Pack 3 или выше.
• Novell Client for Windows NT 4. или выше.
• Microsoft Windows 2000 (поддерживается только NDS eDirectory).

Системы должны обладать следующими техническими характеристиками:

• Объем оперативной памяти не менее: 128 МБ.
• Пространство на ЖД: 3 MБ для модулей аутентификации пользователей, 21 MБ для eDirectory, 3.5 MБ на каждые 1000 объектов.
• Novell ConsoleOne v1.2 или выше (входит в комплект поставки).
• NDS eDirectory 8 (входит в комплект поставки).
• NDS Corporate Edition для Linux.

Версия NDS Corporate Edition для Linux имеет следующие дополнительные особенности:
1. Дерево NDS может быть создано исключительно на Linux-сервере. Наличие серверов NetWare необязательно.
2. Реализация сервера LDAP версии 3 с поддержкой протокола SSL.
Основной частью программного продукта является подсистема управления учетными записями пользователей на основе NDS (User Account Management или сокращенно UAM). В состав UAM входят модули, позволяющие аутентифицировать пользователей через NDS, модули предоставляющие приложениям информацию о группах и пользователях (аналогично NIS) и средства миграции. Весь процесс управления учетными записями пользователей осуществляется через библиотеку Pluggable Authentication Module (PAM), которая является открытым интерфейсом, позволяющим встраивать в UNIX-окружение дополнительные модули аутентификации, управления информацией о бюджетах и сеансах пользователя. Достоинством библиотеки PAM является процесс добавления PAM-модулей в систему не перезагрузки последней, и приложения, использующие PAM, не требуют перекомпиляции после добавления PAM-модуля.
NDS Corporate Edition может работать одновременно со службами NIS, NIS+, а также стандартной системной БД файлом/etc/passwd. Администратор может сам выбирать, какие службы должны аутентифицировать пользователя. Как правило, в файле/etc/passwd могут быть оставлены только учетные записи для управления системой: root, bin, sys. Учетную запись root удалять из файла/etc/passwd нельзя!

Установка и настройка

Процесс установки NDS Corporate Edition очень подробно описан в документации и на NetaWare 5 и Linux прошел без существенных затруднений. Важно! Для установки и настройки продукта на компьютере под управлением Linux необходимо знать, как работает и настраивается подсистема PAM. По окончании установки NDS Corporate Edition необходимо обязательно проверить конфигурацию системы. По умолчанию PAM требует обязательной аутентификации пользователя через файл/etc/passwd. До тех пор, пока эта настройка не будет изменена, регистрация через NDS не заработает.

После установки NDS Corporate Edition на Linux-сервер, в дереве NDS появляются следующие объекты:
1. Linux-сервер.
2. Linux-рабочая станция.
3. Unix Configuration.
Linux сервер используется при операциях с репликами и разделами (partitions). Объект Unix Configuration используется как шаблон для задания одинаковых свойств пользователей на конкретной Linux-машине. Управление пользователями осуществляется с помощью объекта Linux рабочей станции. Службу Linux- сервера и службу Linux-рабочей станции можно устанавливать отдельно и независимо друг от друга. Более того, объекты Linux сервер и Linux-рабочая станция могут находиться в разных контейнерах.

Для того, чтобы один или несколько пользователей могли зарегистрироваться на Linux-машине, необходимо:
1. Создать объект-группу, и в свойствах группы указать, на каких Linux-рабочих станциях могут регистрироваться члены данной группы.
2. Сделать необходимых пользователей членами данной группы.
3. И все.
Дополнительно, для каждого пользователя можно указать тип командного интерпретатора, который должен запускаться при регистрации пользователя в системе, путь к домашнему каталогу.

Достоинства

По мнению членов рабочей группы, к числу достоинств следует отнести:
1. Сам факт возможности управления учетными записями пользователей на Linux-рабочих станциях.
2. Гораздо более высокий уровень безопасности, по сравнению с традиционными UNIX-технологиями (например, NIS). Пароль пользователя не передается в открытом виде.
3. Удобная реализация поддержки учетных записей, созданных на Linux-рабочих станциях. На этапе настройки существующие учетные записи пользователей и групп могут быть экспортированы в NDS.

Недостатки

По мнению членов рабочей группы, недостатками являются:
1. Необходимость вручную поддерживать уникальность Common Name пользователя в переделах дерева NDS.  Если на Linux рабочую станцию назначают двух пользователей с одинаковыми Common Name, поведение системы непредсказуемо.
2. Пользователям и группам необходимо вручную присваивать уникальные числовые идентификаторы (UID, GID). Уникальность числовых идентификаторов также отслеживается вручную.
3. Если пользователю необходимо регистрироваться на Linux-рабочей станции с помощью программ telnet или ftp, необходимо вручную создать на Linux-рабочей станции набор домашних каталогов и вручную сделать соответствующие назначения прав с помощью программ chmod и chown.
4. Все Linux-приложения, которым необходимо аутентифицировать пользователей должны поддерживать систему PAM. В настоящее время в число таких приложений входят, в основном, базовые UNIX-службы: POP, FTP, WWW и т. д., в зависимости от реализации.

Заключение

По завершению экспериментов с ОС Linux участники группы приняли решение не выполнять пункт 4 (установка NT 4 и NetWare 4), т. к. прототипы NDS Corporate Edition для этих платформ хорошо известны.
Окончательное решение группы приготовить солянку можно, и она будет съедобна. Необходимо только помнить, что NDS Corporate Edition лицензируется из расчета $26 на пользователя.  

Если у вас есть вопросы к членам NUG SPb или вы хотите получать информационную рассылку NUG, обращайтесь к Дмитрию Сафронову (президенту NUG SPb, d_safronov@eureca.ru ) или Александру Горячеву (секретарь NUG SPb, a_goryachev@eureca.ru ).

       КОМПЬЮТЕР-ИНФОРМ 
          Главная страница || Статьи 10'2000 || Новости СПб || Новости России || Новости мира

Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка

Рассылка анонсов газеты по электронной почте

Главная страница

Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.

Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru