Benutzerverwaltung unter Novell NetWare

1) Benutzerverwaltung unter Novell NetWare 3.x

1.1) Hierachie der Netzwerkbenutzer

1.1.1) Supervisor (Netzwerkverwalter)

besitzt unumschränkte Befugnisse im Netzwerk.

1.1.2) Konsoloperatoren

Ein Konsoloperator kann mittels FCONSOLE Broadcast-Meldungen an alle User verschicken, das Einloggen weiterer User verbieten und wieder erlauben, die Systemzeit ändern und ähnliches. Konsolenoperatoren können nur vom Supervisor eingerichtet und gelöscht werden.

1.1.3) Arbeitsgruppenverwalter (Workgroup Manager)

unterstützen den Supervisor, indem sie für die ihnen zugewiesenen Benutzer und Benutzergruppen die Paßwörter, die Abrechnungskonten, die Sicherheitsbeschränkungen und die Login-Scripts verwalten. Workgroup Manager können nur vom Supervisor eingerichtet und gelöscht werden.

1.1.4) Benutzergruppen (User Groups)

Mit Hilfe von Benutzergruppen kann die Verwaltung der Zugriffsberechtigungen für die Benutzer vereinfacht werden. Die Rechte der Gruppe gelten für alle ihre Mitglieder. Durch die Gruppenrechte werden die persönlichen Rechte eines Users erweitert. Benutzergruppen können nur vom Supervisor oder von Workgroup Managern verwaltet werden.

1.1.5) einfache Benutzer (User)

User können nur vom Supervisor oder von Workgroup Managern verwaltet werden.

1.2) Einrichten eines Users

Tätigkeiten des Supervisors (oder eines Workgroup Managers):

User erzeugen

Home-Directory für den User erzeugen

User Account Restrictions festlegen:

Zugriffsrechte

Paßwortbeschränkungen

Gruppenzuordnungen

Managerzuordnungen

Plattenspeicherlimitierung

Loginbeschränkungen

Kontoführungsvereinbarungen

Tätigkeiten eines Users: Login-Script erstellen

1.3) Programme zur Benutzerverwaltung

1.3.1) SYSCON

Menügesteuertes Programm zur Systemkonfiguration

1.3.1.1) Group Information

Hier werden die Namen, Mitglieder und Rechte der Gruppen definiert. Der Supervisor kann hier Zugriffsrechte für Gruppen vergeben.

1.3.1.2) Supervisor Options

Einstellungen, welche nur der Supervisor tätigen kann.

1.3.1.3) User Information

Informationen über die Benutzer und ihre Rechte. Der Supervisor bzw. der Workgroup Manager kann hier Benutzer anlegen und ihre Beschränkungen definieren.

Beim Erzeugen eines neuen Users werden zunächst die Defaultwerte übernommen, welche vom Supervisor vorgegeben wurden. Das Paßwort und das Login-Script können vom User selbst, alle anderen Angaben nur vom Supervisor oder teilweise von Workgroup Managern geändert werden.

Account Balance: "Kreditrahmen" des Users. Wird benötigt, falls über die verbrauchten Ressourcen eine Abrechnung gewünscht wird.

Account Restrictions: Damit kann das Konto des Users gesperrt oder mit einem Ablaufdatum versehen werden. Es kann festgelegt werden, wie oft sich ein User gleichzeitig an verschiedenen Stationen einloggen darf und es werden die Paßwortbeschränkungen festgelegt.

Change Paßword: Zuweisen oder Andern des Paßwortes.

Full Name: Genaue Bezeichnung des Users.

Groups Belonged To: Festlegen der Gruppenzugehörigkeiten.

Login Script: Erstellen und Andern des User Login-Scripts.

Managed Users and Groups: Gibt an, welche Benutzer bzw. Benutzergruppen vom User verwaltet werden dürfen.

Managers: Gibt an, welche Benutzer bzw. Gruppen den User verwalten dürfen.

Other Information: Datum des letzten Logins; Angabe, ob der User Console Operator ist; verbrauchter Festplattenspeicher in KB; User-ID

Security Equivalences: Legt fest, welchen anderen Benutzern oder Gruppen der User von den Rechten her gleichgestellt wird.

Station Restrictions: Der Zugang zum Netz kann für jeden User auf bestimmte Stationen beschränkt werden. Dies geschieht durch Angabe der hardwaremäßigen festgelegten Netzwerkadressen.

Time Restrictions: Festlegen der erlaubten Loginzeiten.

Trustee Directory Assignments: Zugriffsrechte des Users auf Directory-Ebene.

Trustee File Assignments: Zugriffsrechte des Users auf File-Ebene.

Volume Restrictions: Speicherplatzbeschränkungen des Users. Dieses Limit bezieht sich auf alle Dateien, die der User auf dem angegebenen Volume des File-Servers erzeugt.

1.3.2) Das Kommando MAKEUSER

Mit dem Kommando "MAKEUSER [filename]" kann man eine große Anzahl von Usern erzeugen oder löschen.

MAKEUSER (ohne filename) bietet ein Menü mit folgenden Punkten:

Create New USR File       Erzeugt eine User-Definitionsdatei

Edit USR File                    Andert eine User-Definitionsdatei

Process USR File              Führt eine User-Definitionsdatei aus und erzeugt oder löscht damit User

MAKEUSER mit filename interpretiert die angegebene Datei als User-Definitionsdatei und führt sie aus.

#ACCOUNT_EXPIRATION day month year (31. 12. 1998 or December 31, 1998)

#ACCOUNTING balance, lowlimit

#CLEAR oder #RESET

#CONNECTIONS number

#CREATE username [;fullname][;password][;group[,]][;directory rights[,]]

#DELETE username [;]

#GROUPS group [;]

#HOME_DIRECTORY path

#LOGIN_SCRIPT path

#MAX_DISK_SPACE vol, number [;]                  (number = 4 KB blocks)

#NO_HOME_DIRECTORY

#PASSWORD_LENGTH length

#PASSWORD_PERIOD days

#PASSWORD_REQUIRED

#PURGE_USER_DIRECTORY

#REM

#RESTRICTED_TIME day, start, end [;]

#STATIONS network, station [;]

#UNIQUE_PASSWORD

Verwendung des Kommandos:

#CREATE oder #DELETE müssen angegeben werden, die anderen sind optional.

#CLEAR oder #RESET markieren den Beginn eines neuen Gültigkeitsbereiches. Bis dahin gemachte Kommando-Angaben werden ungültig.

Kommandos, welche bestimmte User betreffen, müssen vor #CREATE oder #DELETE angeführt werden.

Wird ein Kommando mehr als einmal angegeben, so gilt das letzte.

Jedes Kommando muß in einer eigenen Zeile stehen.

Kommando-Angaben, welche in der nächsten Zeile fortgesetzt werden sollen, müssen mit einem "+" am Ende der Zeile markiert werden.

Werden bei einem #CREATE-Kommando nicht alle Parameter angegeben, so muß unmittelbar hinter dem letzten Parameter ein Caret (^) geschrieben werden.

Wird ein Parameter ausgelassen, muß dies durch einen doppelten Strichpunkt (;;) angezeigt werden.

#RESTRICTED_TIME: Angabe der Zeiten, zu denen nicht eingeloggt werden darf.

Beispiel eines USR-Files:

#HOME_DIRECTORY sys:userschueler

#MAX_DISK_SPACE sys, 512

#GROUPS schueler, turing

#RESTRICTED_TIME everyday, 7:50 a.m., 5:00 p.m.

#STATIONS 2,80c801020304

#CREATE u201^

#STATIONS 2,80c80e0e0102

#CREATE u202^

1.4) User-ID und Mail-Directory

Beim Erzeugen eines Users wird ihm eine (zufällig erzeugte) ID-Nummer zugeordnet. Im Directory SYS:MAIL wird ihm unter dieser ID-Nummer ein eigenes Mailbox-Directory für Nachrichten, welche über E-Mail an ihn geschickt werden, zur Verfügung gestellt. In diesem Verzeichnis befindet sich auch das User-Login-Script. Angezeigt wird die User-ID mit SYSCON User Information Other Information.

2) Benutzerverwaltung unter Novell NetWare 4.x

2.1) Grundsätzlich

Der Benutzer meldet sich bei NetWare 4.x deshalb am Netz unter Angabe der Organisation an, zu der er logisch gehört. Diese Informationen liegen in einer zentralen Datenbank

(NDS - NetWare Directory Services). Diese Datenbank kann über mehrere Server verteilt und in Kopien abgespeichert sein. Bei NetWare 4.x ist außerdem die Anzahl der gleichzeitigen Server-Verbindungen nicht mehr auf acht limitiert. Bei NetWare 4.x können (im Gegensatz zu 3.x 250 Benutzer) bis zu 1000 Benutzer am Server anmelden.

2.2) Was ist NDS

Unter NDS (NetWare Directory Services) versteht Novell den Mechanismus, über eine Datenbank alle Benutzer (und alle anderen Ressourcen wie Gruppen oder Drucker) unterteilt in baumstrukturierten Verzeichnissen, NDS Organisation, zu verwalten.

2.3) Baumstrukturierte Benutzer-Organisation

2.3.1) NDS Small Tree

Die Directory-Services-Datenbank kann in Organisationen unterteilt werden. Diese Unterteilung unter Verwendung unter einer Ebene nennt man "small tree", was kleine Organisationsstruktur bedeutet.

Ausgehend von dieser Unterteilung kann jede Organisation in weitere Unterorganisationen (Abteilungen) unterteilt werden. Als Faustregel sollte allerdings versucht werden, pro Organisation oder Unterorganisation zwischen 20 und 100 Benutzer zu sammeln. So verhindert man die unpraktische Zerstückelung in allzuviele kleine Unterorganisationen.

2.3.2) Large Tree

Zum Beispiel internationale Konzerne:

Die Organisation kann bei Bedarf noch weiter aufgegliedert werden: Man teilt den Konzern in Einzelfirmen und diese Firmen in Abteilungen. Der Konzern wiederum setzt sich, nach Ländern untergliedert, aus den Firmen zusammen. Damit wird die Verwaltung großer Netze vereinfacht bzw. überhaupt erst möglich.

Alle Benutzerinformationen werden in einer zentralen Datenbank abgespeichert. Diese Datenbank kann über mehrere Server und in Kopien abgespeichert sein(das ist ein Extrembeispiel).

2.4) Verwaltung unterschiedlicher Organisationen

Die Administration der Daten und der Benutzer in den einzelnen Organisationsteilen kann voneinander getrennt bei unterschiedlichen Personen liegen. Die Verwaltungsebenen werden so korrekt von einander getrennt, der Supervisor einer Organisationsebene ist generell nicht befugt, Eintragungen einer anderen Ebene zu ändern. Die Verwaltung der Organisationsteile und andererseits die Verantwortung über die Struktur des Gesamt-systems sind ebenso voneinander zu trennen.

2.5) Benutzer einrichten

Um einen neuen Benutzer einzurichten, rufen Sie zuerst NETADMIN auf und gehen in den Unterpunkt Objekte verwalten.

Der Befehl SYSCON wurde durch den Befehl NETADMIN abgelöst und bietet umfangreiche Funktionen.

Dann müssen Sie angeben, in welche Organisation der Benutzer aufgenommen werden soll. Der Benutzer wird dann mit der (INS) - Taste unter Angabe der Objektklasse BENUTZER erzeugt.

Das Netware-Utility NWADMIN (NetWare Administrator) ist eine graphische Oberfläche zur Verwaltung des Netzwerkes innerhalb der Windows-Oberfläche (ist ähnlich wie in früheren NetWare- Versionen).

2.5.1) Mindestinformationen eingeben

Anmeldename

Nachname

Stammverzeichnis

Benutzerschablone (Profile bzw. Login-Scripts)

2.5.2) Identifikation

Unter Identifikation stehen mindestens der Anmeldename und der Nachname, außerdem eventuell sonstige Namen, Titel, Telefon- und Faxnummer, E-Mail-Adresse, Standort der Abteilung. Für einen technisch sauberen Betrieb sind diese Angaben nicht notwendig.

2.5.3) Umgebung

Sprache

Standardserver

Netzwerkadresse

Home-Directory (Stammverzeichnisinformationen)

2.5.4) Kontobeschränkung

Anmeldebeschränkungen

Zeitbeschränkungen

Beschränkung der Netzwerkadresse

Eindringlingssperrstatus

Kontostand

Datenträgerplatzbeschränkung

2.5.5) Welche Rechte kann ein Benutzer haben?

Supervisor

Erstellen

Dateiabfrage

Lesen

Löschen

Zugriffssteuerung

Schreiben

Modifizieren