NDS


NetWare Verzeichnis-Services (NDS, NetWare Directory Services) dienen als Teil des Betriebssystems in NetWare 4.1 zur Organisation und Steuerung von Netzwerk-Ressourcen sowie dem Zugriff auf diese Ressourcen einschließlich diesbezüglicher Informationen und Dienste. NDS bietet durch ein einmaliges Anmelden den Zugriff auf das gesamte Netzwerk sowie den transparenten Zugriff auf alle Ressourcen.

NDS entspricht dem internationalen Standard X.500. Die Spezifikation des Standards X.500 wurde von der IEEE- Kommision entwickelt, um ein Standardverfahren für die Organisation von Informationen einzuführen, auf die weltweit ein transparenter Zugriff erfolgt. Fast alle Entwicklungsprojekte für den Zugriff auf Services der Informations-Datenautobahn folgen der Spezifikation X.500.

Ein einziges Verzeichnis dient zur Verwaltung des gesamten Netzwerks. NDS arbeitet mit einer verteilten Datenbank die sich über das gesamte Netzwerk erstreckt ("global"). Sie enthält Daten zu allen Netzwerkressourcen wie beispielsweise Benutzern, Gruppen, Druckern, Datenträgern und Computern. Da sie reproduziert und gespiegelt werden kann, wird eine außergewöhnliche Verfügbarkeit, Stabilität und Fehlertoleranz gewährleistet.

Die Datenbank ist global, d.h. die Datenbank wird im Normalfall von Servern im Netzwerk verteilt vorgehalten.

Die NDS verstehen und das Wissen wie diese Verzeichnisdienste zu handhaben sind, ist eine fundamentale Grundlage für die Administration eines Novell NetWare 4.11 Netzwerks.

NDS setzt unter anderem leistungsfähige GUI-Dienstprogramme ein, durch die Netzwerkbenutzer und -verwalter z.B. mit einfachem "Ziehen und Ablegen" auf Netzwerk-Ressourcen zugreifen können.

Aus diesen Gründen ermöglicht die NDS den Netzwerkverwaltern und den Benutzern jederzeit eine konsistente und zusammenhängende Übersicht über das Netzwerk und bietet unabhängig vom Standort Zugriff auf alle vorhandenen und verfügbaren Netzwerk-Services. Mit der NDS ist damit endlich eine einheitliche einfache Verwaltung des unternehmensweiten Netzwerks möglich geworden.

 

Funktionsweise der NDS

Die NDS behandelt alle Netzwerkressourcen wie Objekte in einer verteilten Datenbank. In der Datenbank sind die Ressourcen unabhängig vom tatsächlichen Standort in einer hierarchischen Baumstruktur (Verzeichnisbaum) angelegt. Benutzer und Verwalter können auf Netzwerk-Services global zugreifen, ohne immer den tatsächlichen Standort desjenigen Servers zu kennen, der den Service bereitstellt. Der globale Zugriff auf alle Netzwerk-Ressourcen, für die die entsprechenden Rechte zur Verfügung stehen, erfolgt also unabhängig davon, wo sich die Ressourcen befinden.

Die NDS ersetzt die Bindery, die in früheren NetWare-Versionen(bis 3.12) als Systemdatenbank diente. Die Bindery unterstützt den Betrieb eines einzelnen NetWare Servers, während die NetWare Directory-Services ein ganzes Netzwerk mit Servern unterstützen. Anstatt also alle Daten auf einem Server zu speichern und bei einem Ausfall große Verluste zu riskieren, können die Daten über eine globale Datenbank verteilt werden. Die Kompatibilität mit früheren NetWare Versionen wird über einen Bindery-Emulator gewährleistet.

 

Zugriff auf die NetWare Directory-Services

Anstelle einer Anmeldung an einen einzelnen Server melden sich die Benutzer von NetWare Directory-Services im Netzwerk an. Die Benutzer benötigen nur ein Paßwort, um Zugriff auf alle für sie verfügbaren Ressourcen zu erhalten.

Wenn ein Benutzer auf Ressourcen im Netzwerk zugreift, wird mit - im Hintergrund laufenden - Authentisierungsprozessen überprüft, ob der Benutzer zur Verwendung dieser Ressourcen berechtigt ist. Diese Beglaubigung ermöglicht angemeldeten Benutzern den Zugriff auf jeden Server, Datenträger oder Drucker, für den sie Rechte besitzen. Die Benutzer-Trustee-Rechte regeln den Zugriff des Benutzers im Netzwerk.

Man sieht als Benutzer von NDS das gesamte Netzwerk als einziges Informationssystem. Der Vorteil, den die NDS Verzeichnisdatenbank somit auch für das jetzt möglich gewordene zentralisierte Management bietet, wird hier besonders deutlich.

 

Vorteile von NDS

Alle Benutzer, Anwendungen und Server haben zentralen Zugriff auf die Daten dieser gemeinsamen Datenbank (d.h. auf Ressourcen, Informationen und Dienste). Der Zugriff erfolgt immer auf die gleiche, einfache Weise. Erwartungsgemäß ist also auch zentralisiertes, einfaches Management möglich geworden. Die einfachere Verwaltung des Netzwerks ist als eine wesentliche Errungenschaft der neueren NetWare Versionen (ab 4.0) besonders hervorzuheben.

Verbindungen werden auf transparente Weise hergestellt, ohne daß die Benutzer die komplexen Zusammenhänge des Netzwerks verstehen müssen. Die Netzwerktopologie, Protokolle, Medien und Kommunikationsverbindungen bleiben bei NetWare Directory- Services verborgen, da die Adressierungsaufgaben im Hintergrund bearbeitet werden (dynamic mapping). Dadurch wird eine benutzeradäquate logische Organisation der Netzwerkressourcen ermöglicht, unabhängig von der realen physikalischen Gestaltung des Netzwerks.

Eine den Erfordernissen des Unternehmens angepaßte effiziente Gestaltung der Netzinfrastruktur wird somit besser planbar und leichter realisierbar.

Es wurden in die NDS ein neuer, netzwerkweiter Anmeldeprozeß und ein im Hintergrund ablaufender Authentisierungsprozeß implementiert, der den Zugriff durch unberechtigte Benutzer verhindert und gleichzeitig die Benutzung des Netzwerks für die berechtigten Benutzer erleichtert.

Beispiel: Ein Benutzer A möchte auf einem Netzwerkdrucker B drucken. A sendet die Daten also an den gewählten Drucker. Die Aufgabe wird von NDS durchgeführt, indem die Zugriffsberechtigung als Benutzer allgemein sowie für diesen Wunsch jetzt geprüft wird. Weiterhin wird Verfügbarkeit und Ort des Druckers B geprüft und schließlich der Netzwerkzugang bereitgestellt. NDS holt sich diese Informationen aus der NDS-Datenbank.



Objekte

NDS behandelt alle Netzwerk-Ressourcen als Objekte der verteilten NetWare-Verzeichnisdatenbank.

Ein Objekt der NetWare Directory-Services (NDS) besteht aus Informationskategorien, sogenannten Eigenschaften manchmal auch "Attribute" genannt, und den darin enthaltenen Daten (Werte). Jedes Objekt hat eine Trustee-Liste in der festgehalten wird, wer wie worauf zugreifen darf. Diese Informationen werden in der Directory-Datenbank gespeichert.

Mit einem gesondert zu erhaltenden API-Satz von Novell wird die Erstellung weiterer Objekte zusätzlich zum Basisschema ermöglicht.


Objekteigenschaften

Jeder Objekttyp ist durch einen Regelsatz definiert, den man Objektklassendefinition nennt. Jede Klassendefinition enthält eine Anzahl von Eigenschaften (oder Attributen). Das Benutzerobjekt z.B. repräsentiert einen bestimmten Netzwerkbenutzer und ihm sind bestimmte Eigenschaften zugeordnet. Ein Benutzerobjekt kann beispielsweise die folgenden Eigenschaften enthalten: Anmeldename, Postanschrift, Telefonnummer, E-Mail-Adresse, Paßwortbeschränkungen, Gruppenmitgliedschaft u.a.. Die in den Eigenschaften enthaltenen Informationen bezeichnet man als Werte.

Hiermit können z.B. die authentisierten Benutzer identifiziert und verwaltet werden. In den Objekteigenschaften befindet sich das große Informationsreservoir von Benutzern, Geräten und Netzwerken, das durch die NDS organisiert und verwaltet wird.

In der folgenden Abbildung wird dargestellt, wie Objekt, Eigenschaft und Wert zusammenhängen:

 


Organisation von Objekten

Die Objekte einer NDS-Datenbank werden in einer hierarchischen Baumstruktur gespeichert. Diese logische Struktur wird Verzeichnisbaum (Directory-Baum) genannt. Er beginnt beim Stammobjekt [Root] und verzweigt sich von da aus weiter.

Der NDS-Baum, beginnend bei [Root], muß einen eindeutigen Namen im physikalischen Netzwerk besitzen, da der Name des Baums über das Netzwerk bekannt gemacht wird. Er wird mit dem Service-Angebotsprotokoll (SAP, Service Advertising Protokoll) ausgestrahlt. Der einmal vergebene Name kann später nicht mehr geändert werden!

[Root] kann nur die Objekte "Land", "Organisation" und "Alias" enthalten.

Hier sehen Sie die grafische Darstellung dieser Objektklassen im NWAdmin-Tool:

C = O = Alias =




Behälter- und ihre Blattobjekte

Verzeichnis-Bäume bestehen aus zwei Arten von Objekten:

Ein Zweig des Verzeichnis-Baums besteht aus einem Behälterobjekt und allen darin enthaltenen Objekten (wozu auch andere Behälterobjekte gehören können). Blattobjekte befinden sich an den Zweigenden und enthalten keine weiteren Objekte. Die folgende Abbildung zeigt, wie ein Verzeichnisbaum aus Behälterobjekten und Blattobjekten aufgebaut ist:



Behälterobjekte

In den drei verfügbaren Behälterobjekten sind wiederum andere Objekte enthalten:

Das Organisationsobjekt (O) stellt im allgemeinen das betreffende Unternehmen dar und stellt das erste Objekt im zu erstellenden Baum unter dem [Root]-Objekt dar. Mehrere O-Objekte sind bei getrennt arbeitenden Geschäftsbereichen möglich.

Das Objekt Organisatorische Einheit (OU Organizational Unit) kann geographische Standorte und Abteilungen darstellen, z.B. das Büro in Berlin (OU=Berlin) oder die Abteilung A (OU=A). Im allgemeinen sind die OU-Objekte verschachtelt, um die weitere Aufgliederung der Firmenstandorte und Abteilungen zu ermöglichen.

Behälterobjekt

Beschreibung

Verwendung

Land

(C)







C=FR

C=US

Bezeichnet die Länder, in denen sich Ihr Netzwerk befindet, und ermöglicht die Gruppierung anderer Objekte in den einzelnen Ländern. ("Organisation", "Alias") Wenn Sie das Behälterobjekt Land im Verzeichnisbaum hinzufügen, müssen Sie in Version 4.0 bei vollständigen Namen immer die Namensart des Objekts angeben; Sie müssen dort den Namenstyp (CN, OU oder O) auch dann angeben, wenn Sie Objekte referenzieren, die sich in demselben Behälterobjekt befinden.

Dieses Objekt ist optional. Sie müssen kein Länderobjekt erstellen. Wenn Sie ein Länderobjekt erstellen, können Sie es als Repräsentation des Landes verwenden, in dem sich der Hauptsitz Ihrer Firma befindet. Erstreckt sich Ihr Netzwerk über mehrere Länder, so können Sie die einzelnen Länder mit Länderobjekten im Verzeichnisbaum repräsentieren.

Ein Länderobjekt kann nur direkt unter [Root] erstellt werden.
Länderobjekte dürfen nur zwei Zeichen als Objektname haben. Sie sollten jeweils die entsprechenden zweistelligen ISO Länder-Codes auf der Grundlage der X.500 Spezifikation verwenden.

Organisation

(O)



O=Novell

 

Eine Ebene unter dem Länderobjekt (sofern Sie ein Länderobjekt benutzen). Dieses Objekt ermöglicht: die Gruppierung anderer Objekte im Verzeichnis (z.B. "Organisatorische Einheit", alle möglichen Blattobjekte), die Einstellung von Standardwerten für Anmeldeskripten und die Erstellung einer Benutzerschablone für Benutzerobjekte, die in diesem Behälter erstellt werden. Mit einem Organisationsobjekt können Sie beispielsweise eine Filiale bezeichnen.

Das Behälterobjekt Organisation ist obligatorisch. Der Verzeichnisbaum muß mindestens ein Organisationsobjekt enthalten. Ein Organisationsobjekt kann nur unterhalb eines Stamm- oder Länderobjekts erstellt werden.

Organisatorische

Einheit

(OU)

OU=MARKETING

OU=VERTRIEB

Ein Objekt, das sich eine Ebene unter dem Organisationsobjekt befindet und die genauere Gruppierung anderer Objekte (alle möglichen Blattobjekte, auch weitere Organisatorische Einheiten) im Verzeichnis ermöglicht. Dieses Objekt erlaubt die Gruppierung von Blattobjekten im Verzeichnisbaum, die Einstellung von Standardwerten für Anmeldeskripten und die Erstellung einer Benutzerschablone für Benutzer, die in diesem Behälterobjekt erstellt werden.

Mit einem organisatorischen Einheitsobjekt können Sie beispielsweise eine Abteilung oder ein Projektteam bezeichnen. Organisatorische Einheiten können in mehreren Ebenen erstellt werden. Sie können in Organisationsobjekten und in anderen organisatorischen Einheitsobjekten erstellt werden.

 

 

Blattobjekte

Blattobjekte enthalten im Gegensatz zu Behälterobjekten keine weiteren Objekte. Sie stehen für tatsächliche Netzwerkressourcen und -elemente, wie Benutzer, Computer, Drucker und Listen. Der Objekt-Namenstyp hierfür lautet CN (Common Name).

Blattobjekt

Beschreibung und Verwendung

AFP-Server

Dieses Objekt repräsentiert einen Server, der mit dem AppleTalk-
Dateiprotokoll als Knoten in einem NetWare Netzwerk arbeitet (möglicherweise auch als NetWare Router zu und als AppleTalk
Server für Apple Macintosh Arbeitsstationen).

Speichern Sie in diesem Objekt Informationen zum Server: Beschreibung, Standort, Netzwerkadresse usw. Dieses Objekt hat keinen Einfluß auf den Netzwerkbetrieb, es dient lediglich zum Speichern von Informationen zum AFP- Server.

Alias

Zeigt auf den Standort eines Objekts im Verzeichnis.

Es wird dann im Baum so angezeigt, als würde es sich am Standort befinden, an dem sich tatsächlich nur das Alias-Objekt befindet. Wenn Sie einen Alias löschen oder umbenennen, wird nur der Alias selbst gelöscht oder umbenannt. Das betreffende Objekt wird nicht verändert.

Verwenden Sie dieses Objekt, um den Zugriff auf ein Objekt in einem anderen Kontext zu ermöglichen. Sie können einen Alias beispielsweise als Repräsentation eines speziellen Druckers verwenden, auf den die meisten Benutzer im Baum zeitweise zugreifen müssen.

Computer

Dieses Objekt repräsentiert einen Computer im Netzwerk, beispielsweise eine Arbeitsstation oder einen Router.

Verwenden Sie dieses Objekt zum Speichern von Informationen zu Computern, die keine Server sind. Sie können z. B. eine Netzwerkadresse, eine Seriennummer oder den Benutzer dieses Rechners speichern.

Dieses Objekt hat keinen Einfluß auf den Netzwerkbetrieb, es dient lediglich zum Speichern von Informationen zu dem Computer.

Verzeichniszuordnung

Dieses Objekt repräsentiert ein bestimmtes Verzeichnis im Dateisystem.

Verzeichniszuordnungsobjekte sind insbesondere in Anmeldeskripten hilfreich, da sie auf Verzeichnisse verweisen können, die Anwendungen oder andere häufig benötigte Dateien enthalten.

Gruppe

Dieses Objekt ordnet einer Liste von Benutzerobjekten einen Namen zu. Die Benutzerobjekte können sich an beliebiger Position im Verzeichnisbaum befinden.

Man sollte eine Gruppe erstellen, wenn man für mehrere Benutzerobjekte identische Trustee-Zuordnungen benötigt. man muß dann nicht viele Trustee-Zuordnungen, sondern nur eine einzelne für alle Benutzer durchführen, die zu der Gruppe gehören.

NetWare Server

Dieses Objekt repräsentiert einen Server im Netzwerk, auf dem das Betriebssystem Novell läuft.

In den Eigenschaften des NetWare Server-Objekts können Sie Informationen zum Server speichern: Server-Adresse, Standort des Servers, bereitgestellte Services usw.

Verwenden Sie das NetWare Server-Objekt, um den physischen Server im Netzwerk in den Verzeichnisbaum einzubinden. Ohne dieses Objekt können Sie nicht auf die Dateisysteme zugreifen, die sich auf den Datenträgern des Servers befinden.

Organisatorische Funktion

Dieses Objekt definiert eine Funktion oder Position in einer Organisation.

Sie können ein organisatorisches Funktionsobjekt erstellen, um Rechte einer bestimmten Position im Unternehmen zu gewähren, die an eben diese Position und nicht an die innehabende Person gebunden sind. Sie können jeden Benutzer als Träger der im organisatorischen Funktionsobjekt definierten Position zuweisen. Der Benutzer erhält dann die Rechte, die der organisatorischen Funktion gewährt wurden.

Druckerwarteschlange

Dieses Objekt repräsentiert eine Druckerwarteschlange im Netzwerk.

Druck-Server

Dieses Objekt repräsentiert einen Druck-Server im Netzwerk.

Sie müssen für jeden Druck-Server im Netzwerk ein Druck-Server-Objekt erstellen.

Drucker

Dieses Objekt repräsentiert einen Drucker im Netzwerk.

Sie müssen für jeden Drucker im Netzwerk ein Druckerobjekt erstellen.

Profil

Dieses Objekt enthält ein Profil-Skript (Anmeldeskript). Wird das Profil-Objekt als Eigenschaft eines Benutzerobjekts angegeben, so wird das Anmeldeskript des Profil-Objekts ausgeführt, wenn sich der Benutzer anmeldet.

Sie sollten Profil-Objekte für Benutzergruppen erstellen, die sich z.B. nicht im gleichen Behälter des Verzeichnisbaums befinden und identische Anmeldeskripte benötigen.

Benutzer

Dieses Objekt repräsentiert einen User, der im Netzwerk arbeitet.

Mit Hilfe der Eigenschaften von Benutzerobjekten können Sie beispielsweise Anmeldebeschränkungen, Eindringlingserkennungsgrenzen, Paßwörter, Paßwortbeschränkungen, Sicherheitsäquivalenzen usw. einrichten.

Sie müssen für jeden Benutzer, der auf das Netzwerk zugreifen soll, ein Benutzerobjekt erstellen.

Beim Erstellen eines Benutzerobjekts können Sie ein Homeverzeichnis für den Benutzer erstellen und ihm Standardrechte für dieses Verzeichnis gewähren.

Die Benutzer müssen jedoch ihren Kontext kennen, um sich anmelden zu können. Sie sollten die Benutzerobjekte deshalb in dem Behälter erstellen, in dem sich die Benutzer normalerweise anmelden.

Datenträger

Dieses Objekt repräsentiert einen Datenträger im Netzwerk.

In den Eigenschaften des Datenträgerobjekts können Sie Identifikationsinformationen speichern: Servernamen, Datenträgerstandort usw.

Sie können außerdem Beschränkungen für die Benutzung des Datenträgers einrichten, beispielsweise Platzbeschränkungen für Benutzer.

Sie können mit dem Datenträgerobjekt Informationen zu den Verzeichnissen und Dateien auf diesem Datenträger anzeigen.

 


Sicherheitaspekte

 

NDS bietet vielfältige Möglichkeiten für die Sicherheit des Netzwerks zu sorgen. Durch das NDS-Sicherheitssystem ist der Zugriff auf die Objekte und Eigenschaften in der NDS-Datenbank geregelt.

Es wird dort festgelegt, wer Zugriff auf welche gespeicherten Informationen hat, und wie auf diese Informationen zugegriffen werden kann. Dies schließt selbstverständlich mit ein, daß unerlaubte Zugriffe gezielt und erfolgreich abgewendet werden sollen.

So kann z.B. die zugeteilte Möglichkeit, bestimmte Werte in den Objekteigenschaften erst überhaupt zu sehen (Browse, Read) entscheidend dafür sein, einen Netzwerkdienst nutzen zu können. Ein Benutzer muß in erster Linie in der Lage sein, bestimmte Eigenschaften, beispielsweise eines Datenträgerobjekts, sehen zu dürfen, um Zugang, beispielsweise zur Netzwerk-Dateispeicherung, zu haben.

Auch bei der Anmeldung am Netzwerk ist für Sicherheit gesorgt: NDS enthält die erweiterten RSA-Sicherheitsfunktionen, mit denen eine verschlüsselte Einzelanmeldungs-Beglaubigung der Netzwerk-Ressourcen möglich ist.

Die Sicherheit von NDS basiert auf einer Top-Down-Architektur.

Alle Rechte für Netzwerk-Ressourcen werden in den Zugriffssteuerungslisten (ACL Access Control List) festgelegt. Hiermit ist eine differenzierte, aber einfach zu verwaltende Rechtevergabe möglich.

Die NDS-Sicherheit (Directory Services Security) und die Sicherheit des NetWare Dateisystems (File System Security) sind nicht identisch (obgleich sie beide z.B. mit dem Hilfsprogramm NWAdmin verwaltet werden können). Die NDS-Sicherheit ist sehr komplex und mächtig: Der Zugang zu den Informationen der NDS-Datenbank liefert den Zugang zu den meisten anderen Diensten (services) im Netzwerk.

Auch die Zugangsbeschränkungen (User Login Restrictions), welche das wann, wo und wie des Netzwerkzugangs (login) regeln, werden mit NDS kontrolliert. Eingerichtet und verwaltet werden sie mit den hierzu in Novell bereitgestellten Tools.

Die Elemente zur Erhöhung der Systemsicherheit, mit denen der Zugriff auf das Netzwerk oder auf bestimmte Informationen im Netzwerk gesteuert wird, lassen sich in sechs Funktionskategorien aufteilen:

 


Anmeldesicherheit

Der Befehl LOGIN steuert, wer auf das Netzwerk zugreifen darf, indem festgestellt wird, ob sich ein gültiger Benutzer anmeldet. Zur Anmeldung muß der Benutzerobjektname und das richtige Paßwort (falls erforderlich) angegeben werden. Der Netzwerkadministrator richtet die Anmeldesicherheit ein, indem er zunächst ein Benutzerobjekt in NDS erstellt und dann den Eigenschaften des Benutzers Werte zuweist. Diese Werte legen fest, wie der Benutzer auf das Netzwerk zugreifen kann.

Dazu gehören:

Um die Anmeldesicherheit zu erhöhen, können z.B. folgende Paßwortoptionen eingesetzt werden:

Zudem kann in Behältern optional eine Eindringlingserkennung angeschaltet werden.

Trustees

Ein Trustee ist ein Benutzer- oder Gruppenobjekt, dem Zugriffsrechte für ein Verzeichnis, eine Datei oder ein Objekt erteilt wurden. Der Zugriff wird durch eine Trustee-Zuordnung im entsprechenden Objekt erteilt.

Jedes Objekt mit ausreichenden Rechten kann Trustee-Zuordnungen mit Hilfe der Dienstprogramme RIGHTS, NETADMIN oder NetWare Administrator vornehmen.

Trustee-Liste: Alle Verzeichnisse, Dateien und Objekte verfügen über eine Liste mit den Trustee-Zuordnungen, die festlegt, wer auf das Verzeichnis, die Datei oder das Objekt zugreifen kann. Die Trustee-Liste eines Objekts wird in seiner ACL-Eigenschaft gespeichert.

Trustee-Gruppen: Um bei mehreren gleichrangigen Benutzern nicht für jeden einzelnen Benutzer eine Trustee-Zuordnung einrichten zu müssen, können Sie ein Gruppenobjekt erstellen, dann die gewünschten Benutzer in dieses Gruppenobjekt aufnehmen, und anschließend mit einer einzigen Trustee-Zuordnung der ganzen Gruppe den entsprechenden Zugriff ermöglichen.

[Public]-Trustee: [Public] ist ein spezieller Trustee, der vom System vorgegeben wird. Der Trustee [Public] kann zu einem Objekt, einem Verzeichnis oder einer Datei hinzugefügt werden. Die von Ihnen an [Public] zugewiesenen Rechte (Standard: "Browse", d.h. das Objekt wird angezeigt) werden jedem Benutzer gewährt, der keine Rechte für die Datei, das Verzeichnis oder das Objekt besitzt.

Die gewährten Rechte werden an untergeordnete Objekte vererbt, wenn sie nicht durch Filter (IRF) blockiert werden. Was dann ein Benutzer wirklich mit dem Objekt und seinen Eigenschaften machen kann, stellen seine "effektiven Rechte" dar.



Rechte

Rechte legen fest, über welche Arten von Zugriff auf Verzeichnisse, Dateien oder Objekte ein Trustee verfügt. Wenn einem Trustee durch eine Trustee-Zuordnung beispielsweise das Erstellungsrecht für ein Verzeichnis erteilt wird, kann der Trustee in dem Verzeichnis Dateien erstellen.

Eine Trustee-Zuordnung erteilt einem Objekt, z.B. einem "Benutzer", Rechte für das jeweilige Objekt (bzw. für andere Objekte). Standardmäßig beinhaltet jede Trustee-Zuordnung das Objektrecht "Browse" und zusätzlich das (Eigenschaftsrecht) Leserecht für alle Eigenschaften.

Rechte werden innerhalb des Objekts erteilt, für das der Trustee Rechte haben soll, nicht innerhalb des Objekts, das den Trustee selbst meint.

Wenn Sie beispielsweise dem Benutzer das Recht erteilen möchten, ein Druckerobjekt zu löschen, so machen Sie den Benutzer zu einem Trustee des Druckerobjekts und nehmen das Löschrecht dort in die Zuordnung auf. Machen Sie nicht das Druckerobjekt zu einem Trustee zum Benutzer.

Die Rechte werden in verschiedenen verfügbaren Teilbereichen der Dienstprogramme gesteuert.

Vier Arten von Rechten

Es gibt vier Arten von Rechten für Verzeichnisse, Dateien und Objekte in NetWare 4.11. In unserem Zusammenhang sind primär die Objektrechte und die Eigenschaftsrechte von Bedeutung:

Die Verzeichnisrechte gelten auch für die Dateien des Verzeichnisses, wenn keine Dateirechte erteilt sind, und der Filter für vererbte Rechte der Datei die Verzeichnisrechte nicht blockiert.

 

Objektrecht

Beschreibung

Supervisor

S - Supervisor

Gewährt alle Zugriffsprivilegien. Ein Trustee mit dem Supervisor-Recht besitzt ebenso unbeschränkten Zugriff auf alle Eigenschaften. Das Supervisor-Recht kann mit einem Filter (IRF) blockiert werden

Browse

B - Browse

Gewährt das Recht zur Anzeige des Objekts im Verzeichnisbaum. Übliche Nutzer haben nur das B-Recht.

Erstellen

C - Create

Gewährt das Recht zum Erstellen neuer Objekte unterhalb des Objekts im Verzeichnisbaum. Ist nur für Behälter verfügbar.

Löschen

D -Delete

Gewährt das Recht zum Löschen des Objekts aus dem Verzeichnisbaum.

Umbenennen

R - Rename

Gewährt das Recht zum Ändern des Objektnamens. Diese Operation ändert die Eigenschaft "Name" des Objekts.

 

Mit "Alle Eigenschaften" zugewiesene Rechte betreffen alle vorhandenen Eigenschaften auf gleiche Weise.

Die mit der Option "Ausgewählte Eigenschaften" zugewiesene Rechte wirken sich nur auf die dort jeweils explizit angesprochenen einzelnen Eigenschaften aus.

Alle diejenigen Benutzer die das Schreibrecht für die ACL-Eigenschaft eines Objekts, genannt "Objekt-Trustees (ACL)" (bzw. Recht Zugriffssteuerung bei Verzeichnis- und Dateirechten) haben, können für dasselbe anderen Objekten beliebige Objekt- bzw. Eigenschaftsrechte gewähren (d.h. sie können Trustees ernennen oder löschen sowie Rechte gewähren oder entziehen [!]).

Ein Benutzer, der z.B. für ein Objekt "Organisation" in den Eigenschaftsrechten das Schreibrecht mit der Option "Alle Eigenschaften" erhalten hat kann sich das Objektrecht "Supervisor" gewähren und ist damit Administrator (Container-Manager) dieses Zweiges.

Wie die Eigenschaftsrechte gesetzt sind, kann entscheidend für das Funktionieren Ihres Netzwerks sein.

Eigenschaftsrecht

Beschreibung

Supervisor

S - Supervisor

Gewährt alle Rechte für die Eigenschaften. Das Supervisor-Eigenschaftsrecht kann durch Filter (IRF) blockiert werden.

Vergleichen

C - Compare

Gewährt das Recht zum Vergleich eines Werts mit dem Wert der Eigenschaft. Wurde das Vergleichsrecht gewährt, kann eine Anfrage Wahr oder Falsch zurückgeben, der Wert der Eigenschaft wird jedoch nicht angezeigt.

Das Leserecht schließt das Vergleichsrecht ein.

Lesen

R - Read

Gewährt das Recht zum Lesen der Werte der Eigenschaft.

Das Vergleichsrecht ist Bestandteil des Leserechts.

Schreiben

W - Write

Gewährt das Recht zum Hinzufügen, Ändern, Löschen der Werte der Eigenschaft.

Das Schreibrecht schließt das Recht "Eigenen Namen hinzufügen/löschen" ein. Das Schreibrecht für die ACL-Eigenschaft entspricht der Gewährung des Supervisor-Rechts für das Objekt.

Eigenen Namen hinzufügen/löschen

A - Add self

Gewährt einem Trustee nur das Recht, sich selbst als Wert der Eigenschaft hinzuzufügen. Dieses Recht ist nur für Eigenschaften von Bedeutung, die Objektnamen als Werte verwenden, z.B. Listen mit Gruppenmitgliedschaften oder E-Mail-Adressen.

Das Schreibrecht schließt das Recht "Eigenen Namen hinzufügen/löschen ein.

 

Rechte werden durch die Erstellung von Trustee-Zuordnungen mit den Dienstprogrammen RIGHTS, NETADMIN oder NWAdmin gewährt oder entzogen.




Vererbung und IRF

Vererbung

Das Erstellen einer Trustee-Zuordnung für jeden Benutzer und jedes Objekt wäre eine mühselige Arbeit. Die Vererbung soll diese Aufgabe vereinfachen.

Durch Vererbung sind die in einer Trustee-Zuordnung erteilten Rechte auch für die Objekte unterhalb der Zuordnung gültig. Die Rechte ändern sich, wenn explizit eine andere Trustee-Zuordnung vorgenommen wird oder weiter unten die Rechte durch einen Filter für vererbte Rechte (IRF Inherited Rights Filter) blockiert werden.

Bei den Eigenschaftsrechten der Objekte des NDS-Baumes werden nur die mit "Alle Eigenschaften" zugewiesenen Rechte vererbt. Gewährte Rechte für bestimmte einzelne Eigenschaften eines Objekts vererben sich also nicht!

Die den NDS-Objekten zugewiesenen Rechte wirken sich bis auf eine Ausnahme nicht auf Dateisystemrechte aus. So beeinflussen beispielsweise die einem Datenträgerobjekt zugewiesenen Rechte nicht die Verzeichnis- und Dateisystemrechte auf dem physischen Datenträger.

Ausnahme: Jedem Trustee mit dem "Supervisor-Recht" für ein NetWare Server-Objekt oder mit dem "Supervisor-Recht" für dessen ACL-Eigenschaft wird gleichzeitig auch das Supervisor-Recht für alle an den Server angeschlossenen physischen Datenträger erteilt.

Diesem Umstand sollte man im Interesse der Sicherheit auf jeden Fall immer ganz besondere Aufmerksamkeit widmen.

 

IRF - Filter für vererbte Rechte

Alle Verzeichnisse, Dateien und Objekte besitzen einen IRF. Durch einen IRF wird das Vererben von einzelnen Rechten gestoppt. Ein IRF verfügt über all die gleichen Einstellmöglichkeiten wie die Trustee-Zuordnung, aber der Filter erteilt nicht, sondern entzieht Rechte. Die Weitervererbung von Rechten, die durch einen IRF blockiert sind, ist nicht möglich.

Der IRF eines Objekts und seiner Eigenschaften kann auch das Supervisor-Objektrecht blockieren. Dadurch wird eine dezentrale Verwaltung des Verzeichnisbaums möglich!

Ein großer Vorteil der IRF besteht in dem folgenden Tatbestand: Wenn in den sensiblen Bereichen alle Rechte durch einen IRF blockiert sind, besitzen dort immer nur Benutzer mit der entsprechenden Trustee-Zuordnung den Zugriff.

Sie dürfen auf keinen Fall mit einem Filter für vererbte Rechte etwa die Rechte aller Benutzer für ein Objekt blockieren, da sonst für einen bestimmten Bereich des Verzeichnisbaums u.U. keinerlei Zugriffsmöglichkeit mehr besteht.

Attribute

Attribute, auch Flags genannt, beschreiben die Merkmale eines Verzeichnisses oder einer Datei und zeigen NetWare an, welche Aktionen erlaubt sind und in wenigen Fällen, welche Aktionen durchgeführt worden sind. (Sie werden für Objekte nicht verwendet und daher an dieser Stelle nicht diskutiert.)

Effektive Rechte

Effektive Rechte sind die Rechte, die ein Benutzer für ein Objekt tatsächlich besitzt. NetWare ermittelt immer dann, wenn Sie eine Aktion durchführen, Ihre effektiven Rechte. Die effektiven Rechte werden von NetWare anhand der folgenden Angaben bestimmt:

Sollte ein Benutzer über eine Trustee-Zuordnung für ein Verzeichnis auf einer bestimmten Ebene der Verzeichnisstruktur und zusätzlich über eine weitere Trustee-Zuordnung auf einer höheren Ebene verfügen, hat die aktuelle Trustee-Zuordnung gegenüber der höheren Vorrang.

Trustee-Zuordnungen für Gruppen werden zu den Trustee-Zuordnungen für Einzelbenutzer hinzuaddiert.



Verwaltung der NetWare Directory-Services

Benutzerobjekt ADMIN

Wenn sich der Netzwerk-Supervisor zum erstenmal anmeldet, geschieht dies als das Benutzerobjekt ADMIN. Dieses wird bei der Installation von NetWare 4.1 automatisch erstellt.

Wenn das Benutzerobjekt ADMIN erstellt wird, erhält es die standardmäßigen Trustee-Zuordnungen für das Stammobjekt. Mit diesen Zuordnungen erhält das Benutzerobjekt ADMIN alle Rechte für alle Objekte und alle Datenträger (Directory und Dateien) im gesamten Directory-Baum. Das bedeutet, daß das Benutzerobjekt ADMIN alle Objekte im Baum erstellen und verwalten kann.

Unabhängige Container-Manager

Wenn andere Benutzerobjekte im Directory-Baum erstellt werden, können einige das Supervisor-Objektrecht zum Erstellen und Verwalten anderer Behälterobjekte und ihrer Blattobjekte erhalten. Die Kontrolle über das Netzwerk ist so dezentral oder so zentral, wie es im Einzelfall gewünscht wird.

Verwaltungsdienstprogramme

Verwaltungsaufgaben werden in der NDS-Datenbank am besten entweder mit Hilfe von NetWare Administrator (NWAdmin für Windows) oder NETADMIN durchgeführt.

Einzelne Komponenten des Netzwerks können zusammengeführt bzw. aufgeteilt werden (darauf wird im vorliegenden Rahmen nicht näher eingegangen). Sie können Objekte von einem Teil des Verzeichnisbaums in einen anderen Teil verschieben.