Upload
hampe-andrae
View
107
Download
1
Embed Size (px)
Citation preview
Musterlösung
IT-Struktur an Schulen
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
zwei
Benutzerverwaltung mit der NDS
Teil 1: Theoretische GrundlagenTeil 2: Manuelle Erzeugung einzelner BenutzerTeil 3: PassworteTeil 4: Serienmäßige Erzeugung vieler BenutzerTeil 5: Vorbereitung auf den Serienimport
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
2
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Teil 1: Theoretische Grundlagen
• Verzeichnisrechte• NDS-Datenbank Struktur• NDS-Volume Struktur• Vererbung von Verzeichnisrechten• Vererbung von Rechten in der
NDS• Standardmäßig vorhandene
Rechte
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
3
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Verzeichnisrechte
\\KServer\docs\home\schueler\ klasse1a\GrossA\lösung.doc
\\KServer\ docs\home\schueler\ klasse1a\MuellerF\lösung.doc
lesen verboten
Lehrer-Arbeitsstation
lesen erlaubt
gemeinsam genutzterServer
GrossA
MuellerF
Schüler-Arbeitsstationen
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
4
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Verzeichnisrechte
• Lehrer SpechtB ist angemeldet
• NetWare Dateirechte können im Explorer angeschaut werden
• dazu: rechte Maustaste auf Verzeichnis, z.B. Lehrertool
• im Popup-Menü Eigenschaften
• Karteikarte NetWare Rights
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
5
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Verzeichnisrechte
• Im oberen Teil werden die Trustees (Berechtigten) angezeigt!
• Im mittleren Teil würde eine Liste von Benutzern erscheinen, wenn man das A-Recht hätte
• Im unteren Teil werden die effektiven Rechte auf das Verzeichnis Lehrertool angezeigt (RF)
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
6
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Verzeichnis-/Dateirechte
Es gibt folgende Verzeichnisrechte [S R W C E M F A ]
S Supervisory Alles
R Read Öffnen, Lesen, Starten
W Write Schreiben
C Create Neu anlegen
E Erase Löschen
M Modify Attribute u. Namen
ändern
F File Scan Anzeigen, Sichten
A Access Control Zugang kontrollieren
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
7
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• 1. Problem:– Rechtevergabe an einzelne Benutzer
(z.B 500 Schüler) viel zu aufwendig
• Lösung:– Benutzer werden in der OU (Organisation
Unit – organisatorische Einheiten) zusammengefasst.
– Die notwendigen Rechte werden einmal an die org. Einheit Schueler vergeben u. gehen automatisch auf alle 500 Schüler über
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
8
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• 2. Problem:– Woher “weiß” der Server, wem er welche
Rechte geben soll?• Lösung:
– Jeder Benutzer muß sich über das Login identifizieren
– Der Server benötigt eine Datenbank, in der alle Benutzer und deren Rechte erfaßt sind.
– Diese Datenbank heißt NDS Novell Directory Services
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
9
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• Schulbaum02 als Wurzel
• Die Einheiten in der NDS heißen Container-Objekte
• zwei Stück:– Organisation (O)
z.B. Unterricht– OU (Organizational Unit)
(Organisatorische Einheit )z.B. Lehrer
• Die einzelnen Benutzer werden repräsentiert durch– Benutzerobjekte (USER)
z.B. SpechtB
• andere Objekte dienen der einfacheren Verwaltung– Benutzerschablone
(Template)z.B.user_template
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
10
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• Die Rechte, die die Schüler GrossA und MuellerF auf bestimmte Verzeichnisse erhalten, wurden der OU Schueler zugewiesen
• Durch Vererbung gehen sie von der OU nach unten auf beliebig viele Schüler über!
• Die Objekte in der NDS Datenbank sind in einer Baumstruktur organisiert objektorientierte, hierarchische Datenbank
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
11
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• Die Wurzel des Datenbankbaums heißt– Root-Objekt (Schulbaum02)
• Unterhalb der Wurzel können sich mehrere Organisationsobjekte befinden
• In der Musterinstallation sind es insgesamt drei,– Dienste (Netzwerkverwaltung)
– Unterricht (Benutzerverwaltung)
– Workstations (Netzwerkmanagement)
ConsoleOne:
NWAdmin:
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
12
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Datenbank Struktur
• Die Organisation Dienste wurde bereits bei der Installation des Servers und der Erzeugung der NDS erstellt alle NDS-Objekte, die bei der Serverinstallation erzeugt werden landen im Container Server.Dienste
• wichtige Objekte in Server.Dienste :– Das Serverobjekt repräsentiert den
Server– Die Volumeobjekte präsentieren
Partitionen und Festplatten des Servers
In Verwalter.Dienste liegen:• Benutzerobjekt Admin:
der Netzwerkadministrator• Weitere spezielle Verwalter
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
13
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Struktur
Übung 3.1.1
• Aus welchem Grund gibt es Containerobjekte?• Was bedeutet der Begriff “Vererbung” im
Zusammenhang mit Containerobjekten?• Erläutern Sie den Begriff „hierarchische Datenbank”!
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
14
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS-Struktur
Containerobjekte ermöglichen die Rechtevergabe für viele Benutzer an einer Stelle!Die Rechte des Containers gehen an die Benutzer über!
Eine hierarchische Datenbank ist aus Übersichtsgründen in Form einer Baumstruktur organisiert!
(Lösung Übung 3.1.1)
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
15
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Erste Schritte mit ConsoleOne
Übung 3.2.1• Melden Sie sich als Netzwerkverwalter ADMIN mit dem
Anmeldenamen .admin.verwalter.dienste bei Ihrem Server an. Das Passwort lautet „1234“.
• Starten Sie die ConsoleOne.• Klappen Sie die NDS-Datenbank „Schulbaum02“ auf.
(Einfachklick auf das Zeichen oder Doppelklick auf das Wort „Schulbaum02“).Was bewirkt ein Einfachklick auf das Wort „Schulbaum02“?(Zuvor bitte anderes Objekt anklicken).
• Suchen Sie die OU (Organizational Unit) „Lehrer“.In welchem Container liegt sie?
• Klappen Sie die OU „Lehrer“ auf (Doppelklick auf „Lehrer“). Wie viele Kollegen gibt es und wie lautet der jeweilige Login-Name?
• Wie viele Schüler gibt es in der Klasse 1b? Und in der Klasse 2a?
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
16
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS Volume Struktur
• Das Volume GServer02_data enthält statische Daten, – Programme (im Verzeichnis data:pgm), die auf dem Server
zur Nutzung durch die Arbeitsstationen installiert sind (serverbasierte Programminstallationen),
– Programminstallationpakete (im Verzeichnis data:pgmpacks), die über ZEN-Works im Netz verteilt werden,
– Festplattenimages von Musterarbeitsstationen (im Verzeichnis data:images) zur vollautomatischen Restaurierung der Schülerarbeitsplätze und schließlich
– Kopien von CDRoms (im Verzeichnis data:cdroms), die der Fileserver im Netz zur Verfügung stellt (CDRom-Server!).
Das Volume GServer02_docs enthält die persönlichen Verzeichnisse aller Benutzer des Schulnetzes, also sämtliche Dateien und Dokumente der Lehrer und Schüler. - Diese dynamischen (sich häufig verändernden Daten)
befinden sich im Verzeichnis docs:home.
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
17
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
NDS Volume Struktur
Das Volume GServer02_INTERNET enthält die - vom Mail- und Groupware-System “Novell Groupwise”
benötigten Verzeichnisse (im Verzeichnis internet:MAIL), - das Document-Root Verzeichnis des Webservers
(internet:webdocs), in dem sämtliche html-Seiten liegen, die intern im Schul-IntraNet veröffentlicht werden.
• Das Volume GServer02_CACHE ist das Cache-Verzeichnis des Proxy-Servers “Novell-Bordermanager”, in dem einmal aus dem Internet geladene Seiten zwischengespeichert werden
Im Volume GServer02_SYS befinden sich - sämtliche Dateien und Verzeichnisse, die der eigentliche
Fileserver und dessen Arbeitsstationen benötigen (sys:system und sys:etc, sowie sys:public und sys:login für häufig auf der Arbeitsstation benötigte Programme) sowie
- Verzeichnisse für den Novonyx Webserver (sys:novonyx, sys:perl, sys:netbasic)
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
18
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Vererbung von Rechten in der NDS
Die OU (Organizational Unit) Lehrer hat [-R----F-] auf das Verzeichnis GServer02/SYS:public Die Benutzer unterhalb von Lehrer haben ebenfalls [-R----F-] auf das Verzeichnis GServer02/SYS:public
Diese Art der Ver-erbung findet in der NDS statt
Vererbungin der NDS
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
19
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Vererbung von Verzeichnisrechten
• SpechtB hat [-R----F-] Recht auf Novell Utility-Verzeichnis SYS:public, d.h. er kann alle *.exe Dateien in public starten
• Rechteanzeige für public sollte über ConsoleOne erfolgen
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
20
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Vererbung von Verzeichnisrechten
• SpechtB hat die Rechtekombination [-R----F-] auf sys:Public
• Durch Vererbung der Rechte auf sämtliche Unterverzeichnisse hat SpechtB automatisch auch [-R----F-] Rechte auf z.B. sys:Public\win32
• Er kann also auch Programme in \Public\win32 ausführen
Zusatz: Inherited Rights Filter
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
21
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Vererbung von Rechten in der NDS
Die OU Lehrer hat [-R----F-] auf das VerzeichnisGServer02/SYS:public
Die Benutzer unterhalb von Lehrer haben ebenfalls [-R----F-] auf das Verzeichnis GServer02/SYS:public
Vererbungin der NDS
[-R----F-]
[-R----F-] Vererbung im Dateisystem
Außerdem erhalten die Benutzer die gleichen Rechte auf alle Unterverzeichnisse von public
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
22
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Vererbung von Rechten in der NDS
• Die Datenbankstruktur ist hierarchisch aufgebaut.• Wird der OU Lehrer das R+F-Recht z.B. auf das
Verzeichnis public gegeben, dann bedeutet das:– Alle Benutzerobjekte (alle Benutzer vom Typ
Lehrer) der OU Lehrer haben ebenfalls das R+F-Recht auf das Verzeichnis public.
– Die Vererbung von Rechten gilt also auch bei Objekten!
– Da sich das R+F-Recht auch auf alle Unterverzeichnisse von public vererbt, haben alle Lehrer das R+F-Recht auf sämtliche Unterverzeichnisse von public.
– Durch einmalige Rechtevergabe an eine OU und durch Vererbung bekommt eine ganze Klasse von Objekten Rechte auf einen ganzen Teil des Verzeichnisbaums!
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
23
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Ende des 1. Teils
Bei Bedarf folgen einige Folien als Anhang
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
24
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Standardmäßig vorhandene Rechte
Trustee Zugriffsrecht auf den NDS-Verzeichnisbaum Admin Objektrecht SUPERVISOR [S ] auf das Stammobjekt [Root] des NDS-
Verzeichnisbaums [Public] Objektrecht BROWSE [ B ] auf das Wurzelobjekt [Root] des NDS-
Verzeichnisbaums
• Admin erhält mit der Zuweisung des Objektrechts SUPERVISOR auf das Wurzelobjekt [Root] die Berechtigung, den gesamten NDS -Verzeichnisbaum zu verwalten.
• Insbesondere erhält Admin auch das Eigenschaftsrecht SUPERVISOR für alle Eigenschaften des Server Objekts - mit der Folge, dass er ebenfalls über das Zugriffsrecht SUPERVISOR für das NetWare-Dateisystem dieses Netware-Server verfügt.
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
25
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Standardmäßig vorhandene Rechte
ADMIN
[ROOT]
Objektrecht
[S----]
ConsoleOne-Ansicht: NWAdmin-Ansicht:
ADMIN
Schulbaum02
Objektrecht
[S----]
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
26
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Standardmäßig vorhandene Rechte
• Die Zuweisung des Objektrechts BROWSE für das Wurzelobjekt [Root] an den virtuellen Trustee [Public] ermöglicht es allen Usern, alle im gesamten NDS-Verzeichnisbaum vorhandenen Objekte zu sehen.
• Jedes im NDS-Verzeichnisbaum vorhandene Objekt wird [Public] sozusagen als Mitglied zugeordnet und bekommt auf diese Weise alle Zugriffsrechte auf den NDS-Verzeichnisbaum (und auch auf das NetWare-Dateisystem), die an [Public] vergeben worden sind
• Ist das aus Sicherheitsgründen nicht gewünscht, kann diese Zuweisung gelöscht und durch die Zuweisung von BROWSE an den Trustee [Root] für das Stammobjekt [Root] ersetzt werden.
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
27
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Unterbrechung der Vererbung
Eingangsrechte [-R----F-]
Ausgangsrechte
[-R------]
zurück
Stand: 25.3.2003
© M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
28
Musterlösung
zwei
Installation von ZfD 4Benutzerverwaltung in der NDS - Theoretische Grundlagen
Objekt- und Eigenschaftsrechte
• Neben Rechten auf Verzeichnisse und Dateien unterscheidet NetWare noch zwischen Objekt- und Eigenschaftsrechten.
• Objektrechte geben an, ob / wie ein Benutzer Objekte in der Datenbank selbst verändern / neu erzeugen darf.
• Schüler u. Lehrer sollen die Netzwerkdatenbank nicht manipulieren können, deshalb erhalten sie nur das Anzeige (Browse) Objektrecht.
• Eigenschaftsrechte geben an, ob / wie ein Benutzer die zu einem bereits vorhandenen Datenbankeintrag (etwa einem Benutzerobjekt) gehörigen Eigenschaften manipulieren kann (z.B. die Eigenschaft “Passwort” eines Benutzers).
• Schüler u. Lehrer sollen die Netzwerkdatenbank nicht manipulieren können, deshalb bekommen Sie keine expliziten Eigenschaftsrechte und sind damit auch nicht Gegenstand unseres Kurses.
• Näheres finden Sie in Ihren Schulungsunterlagen.