Вопросы и ответы (глава 11)

Чем определяются права пользователя?

Все права конкретного пользователя на сервере образуются суммированием прав всех групп, членом которых он является, и прав, данных ему лично.

Права могут предоставляться пользователю и через назначение его эквивалентности по защите другим объектам (пользователям или группам). При этом наследуются все права доступа и привилегии - администрирование бюджета, рабочей группы, оператора консоли, очереди печати и привилегии супервизора - поэтому эквивалентность следует использовать весьма осмотрительно и, в основном, как временный способ предоставления ресурсов.

Как создать новых пользователей?

В NetWare 3.x создание, обслуживание и удаление пользователей из базы осуществляется с рабочей станции утилитой SYSCON.EXE.

Утилита SYSCON.EXE обеспечивает управление пользователями и группами, взаимодействуя с Bindery. С ее помощью задаются все их свойства (кроме относящихся к системе печати):

Имя пользователя (группы) - может быть модифицировано по клавише F3;

Имена пользователей и групп могут использоваться в условных операторах процедур регистрации для ветвления, имя пользователя может использоваться как переменная в командах WRITE и в качестве части имени каталога или файла. Последнее обстоятельство делает целесообразным 8-символьное ограничение длины имени регистрации, хотя допустима длина до 47 символов.

• Полное имя (Full Name) пользователя (группы) - произвольное символьное поле;
• Идентификатор (User ID, Group ID) - восьмиразрядное шестнадцатеричное число, назначаемое системой при создании объекта. User ID используется как имя почтового каталога пользователя в каталоге SYS:MAIL (с отброшенными начальными нулями);

SUPERVISOR всегда имеет идентификатор 00000001 (каталог SYS:MAIL/1).

• Отношения подчиненности по управлению бюджетом задаются двумя списками: Managed Users and Groups (кому является менеджером) и Managers (кого имеет менеджером);
• Вхождения пользователей в группы задается для групп списком членов, для пользователей - списком принадлежности к группам;
• Ограничения регистрации (защита);
• Ограничение бюджета (временный запрет регистрации, введенный менеджером);
• Дата истечения бюджета - со следующего за ней дня регистрация под данным именем запрещается;
• Ограничения на время работы (задается график разрешенного времени в получасовых интервалах на все дни недели);
• Ограничение на количество станций, на которых можно одновременно зарегистрироваться под данным именем;
• Процедура регистрации;
• Опекунские назначения в файлы и каталоги;

Установка ограничений и изменение балансов бюджетов по умолчанию в опциях администратора SYSCON позволяет управлять созданием личного каталога, балансом (при установленной системе учета) и ограничениями бюджета для вновь создаваемых пользователей.

Для создания большого числа равноправных пользователей удобны утилиты MAKEUSER.EXE и USERDEF.EXE.

В NetWare 4.x обслуживание пользователей выполняется утилитами NETADMIN или NWADMIN. Возможные права и ограничения аналогичны NetWare 3.x с поправкой на систему имен.

Создание типовых пользователей облегчается применением шаблонов (User Template) и утилиты UIMPORT.

Как запускать утилиту NWADMIN?

Утилита NWADMIN.EXE работает в среде Windows и для ее запуска имеет смысл в какой-либо программной группе (на рабочем столе или в папке Windows 95) создать программный элемент, выполняющий команду d:\PUBLIC\NWADMIN. Здесь d: - имя сетевого диска, спланированного на том SYS:, рабочий каталог указывать не требуется.

Когда в Каталоговых именах применяются точка перед именем, точка в конце имени и кавычки?

Точка, предшествующая Каталоговому имени объекта, указывает на то, что имя является полным и содержит все элементы, вплоть до расположенных под самым корнем (Country или Organisation, если Country отсутствует).

Точка в конце имени означает, что указанное имя начинается от вышестоящего (по отношению к текущему контексту) контейнера. Несколько точек означают подъем на соответствующее количество уровней.

Кавычки обязательно используются, если имя содержит пробелы, что вполне допустимо по правилам именования.

В принципе возможно задание имен, содержащих только пробелы (причем разное их количество), но такие объекты при просмотре будут выглядеть весьма странно, и при работе с утилитами возможны проблемы обращения к этим объектам. Для удобства пользователей следует избегать нагромождения "хитростей" в именах, но если перед вами стоит задача запутывания противника, NDS предоставляет для этого некоторые возможности.

Какие ограничения накладываются на Каталоговые имена?

Имя (Common Name) любого объекта, кроме двухсимвольного объекта-страны Country, может содержать от 1 до 64 символов. Имена всех объектов в пределах одного контекста должны быть уникальными (Bindery допускала совпадение имен объектов разных классов).

В именах допустимо применение любых букв и цифр, а также некоторых спецсимволов. Запрещено применение скобок, точек и знаков процентов. Некоторые спецсимволы (плюс (+), точка (.), знак равенства (=)) можно использовать, предваряя их обратным слэшем (\). Для облегчения запоминания, спецсимволами, кроме безобидных минусов и подчеркиваний, лучше не пользоваться.

Имена нечувствительны к регистру, однако выводятся в том виде, в котором записаны.

При использовании символов национальных языков возможны сюрпризы перекодировки, если на сервере и станции установлены разные кодовые страницы.

NetWare 4.1 позволяет удалять контейнеры, но предварительно из них должны быть удалены (или перемещены в другие контейнеры) все вложенные объекты (как листья, так и контейнеры)

Какие действия возможны над объектами Каталога?

После создания объекта его при необходимости можно переименовать, переместить в другой контейнер, изменить его атрибуты и, наконец, удалить. Эти действия можно выполнить с помощью утилиты NETADMIN в среде DOS или, что удобнее, утилитой NWADMIN в среде Windows.

Для выполнения этих действий необходимо иметь соответствующие права в данном объекте, а при перемещении - и в новом целевом контексте.
С корневым объектом [Root] невозможны никакие действия. Его можно только создать при инсталляции сервера.

Как ориентироваться в дереве Каталогов, используя NWADMIN?

Утилита позволяет просматривать структуру каталога, представляя контейнеры как в сжатом, так и в развернутом виде, причем в одном окне могут присутствовать и те, и другие отображения. Чтобы развернуть контейнер (показать все вложенные в него объекты) или его свернуть, достаточно двойного щелчка по его изображению, можно также в меню View выбрать пункт Expand или Collapse соответственно. Допускается выводить не все типы объектов, а только выбранные с помощью пункта Include меню View. Начальный контекст дерева выбирается пунктом Select Context меню View. С помощью пункта Browse меню Tools можно открыть новое окно для просмотра.

Поиск какого-либо объекта в Каталоге позволяет произвести пункт Search меню Object. Здесь можно задать имя контекста, с которого начнется поиск (вниз по перевернутому дереву), тип(ы) и атрибуты, по которым ищется объект. Для указания всех типов выбирается "Top", атрибуты (имя также является атрибутом) могут проверяться как на совпадение с условием поиска, так и просто на заданность его значения (некоторые атрибуты объектов могут не иметь значений).

Для действий над подсвеченным объектом и доступа к его свойствам можно выбрать меню Object или щелкнуть правой кнопкой по данному объекту.

Как ориентироваться в дереве Каталогов, используя NETADMIN?

Утилита позволяет просматривать структуру каталога в текстовом режиме, что не так удобно, как в NWADIN. Для перемещения по дереву используются клавиши вертикального управления курсором, чтобы войти в подсвеченный контейнер (показать все вложенные в него объекты), надо нажать Enter (две точки обозначают вышестоящий контейнер).

Можно выводить не все типы объектов, а только выбранные с помощью пункта Manage According to Search Pattern главного меню. Начальный контекст дерева выбирается пунктом Change Context главного меню View.

Для действий над подсвеченным объектом и доступа к его свойствам служит меню Acctings, которое появляется при нажатии клавиши F10.

Как создать объект Каталога?

В утилите NWADMIN необходимо выбрать контейнер (переместить на него подсветку), в котором создается объект, после чего нажать Insert или выбрать пункт Create в меню Object или в меню, раскрывающемуся при щелчке правой кнопкой мыши по интересующему контейнеру. Далее, необходимо в раскрывшихся меню описать объект.

В утилите NETADMIN в главном меню выбирается управление объектами (Manage Objects, и в нужном контексте объект создается по клавише Insert (или пунктом Create меню Acctings, появляющемуся при нажатии F10).

Как удалить объект Каталога?

Удаление аналогично созданию (см. предыдущий вопрос), только подсветка устанавливается на удаляемый объект, а клавиша Insert или пункт Create заменяется на Delete.

Как переименовать объект Каталога?

В утилите NWADMIN необходимо выбрать объект (переместить на него подсветку), и выбрав пункт Rename в меню Object, ввести новое имя.

В утилите NETADMIN, установив подсветку на данный объект, нужно нажать F10 для вызова меню действия над объектами (Acctings), и, выбрав пункт Rename, ввести новое имя.

Как переместить объект Каталога?

Для перемещения объекта-листа он помечается подсветкой, после чего в меню Object (Acctings в NETADMIN) выбирается опция Move и новый контекст для этого объекта.

Перемещать можно и несколько помеченных объектов одновременно.

Для перемещения объекта-контейнера необходимо, чтобы он являлся начальной точкой раздела и этот раздел не имел разделов-потомков. В этом случае его можно перемещать средствами обслуживания разделов (и только ими). Добиться удовлетворения данным требованиям можно теми же средствами обслуживания разделов (см. следующие вопросы).

Что такое Unknown Object?

Unknown Object - неизвестный объект NDS, класс которого невозможно определить. В утилитах Windows он обозначается иконкой с вопросительным знаком. Эти объекты могут появляться в результате повреждения базы NDS. При переименовании сервера неизвестными объектами становятся объекты его томов, имеющие ссылки на старое имя сервера. B ранних версиях NetWare 4 неизвестными объектами становились псевдонимы удаленных объектов, в 4.1 при удалении объекта автоматически удаляются и все его псевдонимы.

Как получить доступ к серверам разных деревьев Каталогов?

В NetWare 4.x пользователь может быть зарегистрирован только в одном дереве, что может быть использовано в целях повышения безопасности. При этом к серверу другого дерева можно обратиться только в режиме эмуляции Bindery, если, конечно, она на нем включена и требуемые ресурсы определены в контексте Bindery.

Для чего NDS разбивают на разделы и создают множество их дубликатов?

Множество дубликатов устраняет единую точку отказа NDS - сервер, хранящий базу. Отказ сервера с одним из дубликатов может снизить производительность сети, но не вывести ее из строя. Кроме того, множество дубликатов позволяет локализовать трафик внутри отдельных локальных сетей при обращениях к базе NDS, что существенно повышает быстродействие системы. Разбиение дерева на разделы позволяет оптимизировать размещение и размеры хранимых дубликатов.

Какими средствами обслуживаются разделы Каталога и их дубликаты?

Обслуживание - добавление, объединение, перемещение разделов; добавление, удаление и изменение типа дубликата - выполняется с помощью диспетчера разделов (Partition Manager) меню инструментов (Tools) утилиты NWADMIN. В среде DOS эти операции производятся опцией Manage Partitions утилиты PARTMGR.EXE.

Операции с разделами могут занимать от нескольких минут до нескольких часов, в зависимости от количества объектов в разделе, количества дубликатов и типа операции, о чем выдается предупреждение. Во время выполнения этого процесса все серверы-участники операции должны быть включенными и доступными по сети. Если во время операции какой-то из серверов останавливается, для предотвращения зависания может потребоваться прекращение операции. В этом случае используется кнопка (пункт меню PARTMGR) Abort Partition Operation.
Операция может быть прервана не на всех ее этапах, возможность прерывания зависит от состояния дубликатов-участников операции. Их состояние выводится в окне при попытке прерывания процесса.

Как добавить и удалить раздел Каталога?

Для добавления нового раздела нужно выбрать подсветкой контейнер, принятый за его начальную точку, и нажать кнопку Create as New Partition (в PARTMGR - клавишу F10). Это самое быстрое действие с разделами, которое уложится в десяток минут.
Удалить раздел нельзя, его можно только объединить с вышестоящим, для чего служит кнопка Merge Partitions (в PARTMGR - пункт Merge With Parent Partition из меню, вызываемого по клавише F10). Этот процесс может затянуться до часа.

Как переместить раздел?

Для того, чтобы раздел можно было переместить, он не должен содержать разделов-потомков. Если они есть, их предварительно объединяют с родительскими до самого перемещаемого раздела. Перемещение раздела является перемещением контейнера, и в отличие от других операций с разделами, может быть заметно для пользователей, поскольку изменяются полные каталоговые имена всех его объектов. Этот процесс самый долгий, он может занимать до нескольких часов.
Переместить раздел позволяет только NWADMIN. Пометив контейнер, соответствующий началу перемещаемого раздела, с помощью кнопки Move Partition пользователь попадает в меню выбора контейнера места назначения. По возвращении из этого меню предлагается на месте перемещаемого контейнера создать его псевдоним (кнопка Create Aliace In Place of Moved Container), что весьма полезно для обеспечения доступа к нему пользователей, еще не отследивших данной революции.

Больше всего в псевдониме заинтересованы пользователи, у которых в клиенте (в файле NET.CFG строка NAME CONTEXT) перемещенный контекст был текущим.

Возможно добавление нового дубликата, изменение типа, удаление и синхронизация дубликатов. Эти действия выполняются в окне Partition Replicas, доступного по кнопке Replicas меню Partition Manager (в PARTMGR - пункт View/Edit replicas из меню, вызываемого по клавише F10). В окне появляется список дубликатов, их типов и состояния. Для добавления нового дубликата выбранного раздела задается его тип и сервер, на котором он должен храниться.

Удаляя дубликат или изменяя его тип, следует помнить следующие правила:

• Для каждого раздела должен существовать один главный дубликат (им становится первый созданный, а если этот тип вручную присваивается другому - бывший главный автоматически становится дубликатом чтения-записи). При изменении структуры раздела (создании в нем нового или объединения разделов) он должен быть доступен. При необходимости его удаления главным должен предварительно быть назначен другой дубликат.
• Дубликатов чтения-записи может быть несколько, для операций по созданию или изменению объектов внутри раздела достаточно доступности хотя бы одного из них.
• Дубликаты только для чтения могут использоваться только как резервные копии дубликатов чтения-записи и главного, а также для доступа к его объектам пользователей других разделов.

Для входа в сеть пользователя должен быть доступен дубликат чтения-записи или главный.

Синхронизация дубликатов позволяет восстанавливать их путем рассылки информации из признанного верным дубликата во все остальные (Send Updates) или наоборот, принимать в дубликат информацию от главного (Receive Updates).

Как переименовать дерево Каталогов?

Для переименования дерева на сервере, несущем главный дубликат его корневого раздела, загружается утилита DSMERGE.NLM, имеющая пункт Rename This Tree в главном меню. Для переименования необходимо знать имя и пароль пользователя, имеющего право SUPERVISOR в корневом разделе.

Переименование дерева должно отражаться в установке PREFERRED TREE клиента (см. табл. 2.6).

Можно ли объединять деревья Каталогов?

Два дерева могут быть объединены, при этом объекты (контейнеры и листья) одного - исходного (Source Tree) - дерева переносятся в другое - целевое (Target Tree). Объединяемые деревья должны иметь несовпадающие имена и не иметь одноименных контейнеров, расположенных под корнем.

Перед объединением серверы, несущие главные дубликаты корневого раздела, должны быть доступны и синхронизированы относительно общего источника времени. Желательно объединение деревьев производить при всех включенных серверах и при отсутствии в сети работающих пользователей.

Объединение производится утилитой DSMERGE, запускаемой на сервере с главным дубликатом корневого раздела исходного дерева. Утилита позволяет проверять доступность и временную синхронизацию серверов. Для этой проверки перед объединением она должна запускаться и на сервере целевого дерева. Для объединения необходимо знать имена и пароли пользователей, имеющих право SUPERVISOR в корневых разделах объединяемых деревьев.

Для исправления ошибок распределенной базы данных Каталога служит утилита DSREPAIR.NLM. Она позволяет выполнять автоматическую проверку и восстановление базы (Unattended Full Repair), временную синхронизацию серверов (Time Synchronization), синхронизацию дубликатов (Replica Synchronization), просмотр файлов отчетов и дополнительные режимы восстановления.

Что делать, если DSREPAIR не может восстановить дубликаты разделов на каком-либо сервере?

Если на этом сервере расположен не главный дубликат какого-либо раздела, на нем можно удалить и снова установить NDS с помощью опций утилиты INSTALL.NLM. Если обычным способом удаление произвести не удается, то можно потребовать принудительного удаления командой

LOAD INSTALL -DSREMOVE

Как работать с атрибутами объекта Каталога?

Для работы с атрибутами объекта в NWADMIN достаточно нажать Enter на подсвеченном объекте или выбрать пункт Details в меню Object или в меню, раскрывающемуся при правом щелчке по данному объекту.

В утилите NETADMIN, установив подсветку на данный объект, нужно нажать F10 для вызова меню действия на д объектами (Acctings), и выбрать пункт View or Edit Properties of This Object.

Что такое шаблоны (User_Template) и профили (Profile) пользователей?

Шаблон USER_TEMPLATE представляет собой объект Каталога, который создается почти так же, как и пользователи, и имеет те же свойства. Эти свойства можно будет использовать по умолчанию при создании новых пользователей в том же контексте, где создан данный шаблон.

Профиль Profile является объектом своего специального класса и предназначен для хранения общей процедуры регистрации, которую можно назначить для любых пользователей (в отличие от личной и контейнерной, привязанных к конкретным пользователям и их положению в Каталоге).

Изменения в шаблоне могут действовать только на свойства создаваемых после этого пользователей данного контейнера, а изменения в профиле - на всех пользователей любых контейнеров, которым назначено его использование.

Для создания шаблона создается объект класса USER с именем USER_TEMPLATE и фамилией (Last Name) TEMPLATE. В личном каталоге ему отказывают, и от переноса в него информации из USER_TEMPLATE также следует отказаться (он не барон Мюнхаузен).

Как создаются разделы и дубликаты Каталога?

Разделы и дубликаты создаются системой автоматически при инсталляции. Если при инсталляции (обновлении) сервера утилитой INSTALL для него создается новый объект-контейнер, то при этом автоматически создается и раздел, начинающийся от этого контейнера (к этому случаю относится и начальная установка NDS в сети). Если при инсталляции сервер включается в уже существующий объект-контейнер, то на нем автоматически создается дубликат чтения-записи для существующего раздела.

По каким причинам можно получить отказ в регистрации ("Access denied")?

Если вы набрали существующее имя пользователя, то могут сработать следующие устанавливаемые ограничения регистрации (нарушение любого из них приведет к отказу при попытке регистрации):

• неверный или устаревший пароль;
• попытка регистрации в неразрешенное время;
• запрет (временный) бюджета оператором;
• истечение срока действия бюджета;
• недопустимый адрес станции для входа под данным именем;
• все разрешенные подключения под данным именем использованы;
• достигнут минимально допустимый баланс бюджета (при установленном учете ресурсов);
• разрушение Bindery или Каталога (редкий и неприятный случай).

С помощью SYSCON каждому пользователю могут быть установлены ограничения регистрации:

• требование пароля с заданием его минимальной длины, требования периодической смены и уникальности, количества разрешенных регистраций со старым паролем по истечении срока его действия, возможности самостоятельной смены пароля пользователем (при этом ему разрешается и модификация своей процедуры регистрации);
• задание списка физических станций (адресов сетей и узлов), с которых возможна регистрация под данным именем;
• ограничения на время регистрации.

Администратор может установить и общие для всех пользователей ограничения на время регистрации с помощью "Опций администратора" SYSCON.

В NetWare 4.x аналогичные функции выполняют утилиты NETADMIN и NWADMIN.

На сервере может быть установлена система учета используемых ресурсов с целью взимания платы. Учету поддается:

• количество считанных блоков (Blocks Read);
• количество записанных блоков (Blocks Written);
• количество сервисных запросов (Service requests) (таких, как просмотр каталога и т. д.);
• использование дисковой памяти (Disk Storage) в блоко-днях (интеграл по времени количества хранимых блоков);
• время соединения (Connect Time).

Общий подсчет ресурсов сервера, используемых всеми пользователями за отчетный период, осуществляется утилитой ATOTAL.EXE.

Общая стоимость использованных ресурсов подсчитывается с учетом коэффициентов оплаты для каждого ресурса. Коэффициенты оплаты для каждого из ресурсов устанавливаются для каждого получасового интервала в течении суток на каждый день недели.

Установка и управление системой учета в NetWare 3.x выполняется утилитой SYSCON, а в NetWare 4.x - управлением свойствами (Accounting) объекта-сервера с помощью NWADMIN (NETADMIN).

Для пользователя, которому устанавливается плата за ресурсы, назначается его баланс бюджета, уменьшающийся по мере расходования ресурсов. Отрицательное значение баланса означает задолженность клиента по оплате. Если пользователю не разрешен неограниченный кредит, то по снижении бюджета ниже заданной границы, регистрация пользователя запрещается. При внесении платы администратор бюджета пользователя корректирует его текущий баланс бюджета. Информация о расходе учитываемых ресурсов каждым пользователем выводится утилитой PAUDIT.EXE.

Как получить доступ к ресурсам сети?

Ресурсы сети предоставляются клиентам после регистрации. Для регистрации рабочая станция должна установить соединение с сервером, что происходит при успешной загрузке ее сетевой оболочки, когда она дает широковещательный запрос ближайшего сервера (Get Nearest Server, GNS) или указанного как предпочтительного (Preferred server). Соединение устанавливается с первым откликнувшимся сервером.

На станции с сетевого диска запускается утилита LOGIN.EXE, которая запрашивает имя пользователя. Имя в специальном пакете передается на сервер, с которым установлено соединение, или указанный явно в команде LOGIN (предварительно производится попытка установить с ним соединение).

На сервере NetWare 3.x имя пользователя (Login_Name) ищется в базе данных Bindery, и, если данному пользователю не установлен беспарольный вход, делается запрос на ввод пароля. Если система не обнаружит противопоказаний, выполняется процедура регистрации пользователя на сервере. Если регистрация по каким-либо причинам не разрешена, пользователь получает отказ в доступе (Access Denied) и соединение остается в состоянии Not-Logged-In.

Клиент на сервере может зарегистрироваться только под именем (login_name), предварительно занесенным в базу данных Bindery этого сервера администратором сети. В многосерверной сети NetWare 3.x для того, чтобы получить доступ к ресурсам любого сервера, надо на нем зарегистрироваться. Рабочая станция может одновременно быть подключена не более чем к 8 серверам. В NetWare 4.x для получения доступа ко всей сети пользователь входит в Каталог под именем объекта "пользователь", предварительно созданном в одном из его контекстов. Имя контекста, отличного от контекста по умолчанию, должно явно указываться при входе в сеть.

Можно ли копировать Bindery обычными средствами DOS?

Рабочие файлы Bindery недоступны для чтения (и, тем более, для записи) с рабочих станций, как неразделяемые и всегда занятые системой, и их нельзя просто скопировать, даже и сетевой утилитой NCOPY.

Запуск утилиты BINDFIX.EXE копирует рабочие файлы базы в резервные (NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD) и создает новые рабочие файлы. Резервные файлы могут копироваться любыми средствами DOS, а при необходимости восстановления эти файлы копируют в SYS:SYSTEM и запускают утилиту BINDREST.EXE, которая переименовывает файлы .OLD в файлы .SYS.

Штатным средством копирования Bindery является утилита SBACKUP.NLM, которая, для версий 3.12 и старше работает только со стримерами SCSI (до версии 3.11 включительно базу можно было копировать и утилитой NBACKUP.EXE, которая исключена из 3.12, но может с ней работать).

Как создать базу Bindery?

База данных создается автоматически при создании каталога SYS:SYSTEM во время инсталляции сервера.
В работающем (инсталлированном) сервере при ручном создании нового тома SYS: или переименовании другого тома в том SYS: (штатный SYS: при этом размонтирован, недоступен физически или переименован) также автоматически создается каталог SYSTEM, а в нем чистая Bindery с беспарольными пользователями SUPERVISOR и GUEST. Этим свойством можно пользоваться в критических ситуациях с утерей пароля супервизора для восстановления Bindery с резервной копии.

Как контролировать состояние базы Bindery и ее соответствие объектам?

Теоретически, при исправно работающей TTS, бесперебойном питании сервера, соблюдении правил запуска и остановки сервера база не требует вмешательства. В жизни это не всегда так, и периодически рекомендуется проверять целостность базы. Кроме того, сигналом к этому действию являются необъяснимые отказы в регистрации, в работе системы печати и другие загадочные неприятные явления.

Проверку целостности и коррекцию Bindery осуществляет утилита BINDFIX.EXE, которая, предварительно копируя рабочие файлы базы в резервные (NET$OBJ.OLD, NET$PROP.OLD и NET$VAL.OLD), создает новые рабочие файлы. На действия по удалению лишних объектов (например, почтовых каталогов несуществующих пользователей) утилита запрашивает у оператора подтверждение. Для отмены действий BINDFIX имеется утилита BINDREST.EXE, которая переименовывает файлы .OLD в файлы .SYS. Файлы .OLD могут быть скопированы на любой диск станции, сохранены и впоследствии восстановлены и переименованы посредством BINDREST, что можно использовать для архивации Bindery.

Имейте всегда хотя бы одну копию Bindery на внешнем носителе.

Если вы случайно восстановите базу не от того сервера, то опекунские назначения для файлов и каталогов окажутся, мягко говоря, некорректными, поскольку они ссылаются на идентификаторы пользователей и групп, а связь их с именами хранится в Bindery. Заметив признаки этой ошибки, сразу разрегистрируйте всех пользователей и найдите подходящую для восстановления копию Bindery.

Что такое обаружение и захват нарушителя ("Intruder Detection/Lockout")?

Это средство усиления защиты от попыток подбора пароля при регистрации, которое может быть специально включено с помощью опций администратора SYSCON или NWADMIN (NETADMIN). Когда оно включено, после заданного числа (по умолчанию 7) безуспешных попыток входа под одним и тем же именем бюджет пользователя с данным именем блокируется на заданное время (15 минут), в течение которого нельзя войти даже с правильным паролем. Кроме того, это событие с указанием адреса станции регистрируется на консоли и в файле NET$ACCT.DAT.

Счетчик неверных попыток сбрасывается при успешной регистрации или через установленное время (30 минут), прошедшее с момента последней попытки.

Если попытки входа под одним именем "разбавлять" попытками с другим именем, обнаружение все равно будет срабатывать.
В сетях с NDS захват включается отдельно в каждом контейнере, в сетях с базой Bindery - на каждом сервере.

Эта функция может заблокировать бюджет администратора, что является одной из причин, по которым имеет смысл создать запасной бюджет администратора с эквивалентностью ему по защите с другим именем.

Почему менеджер рабочей группы не может управлять свойствами пользователей, в них входящих?

Потому, что для управлением свойствами конкретных пользователей надо являться менеджером их бюджетов. Управление только группой этого не предусматривает, что правильно, поскольку пользователь может являться членом многих (или никаких) групп, коллекционируя права, предоставляемые каждой группе.

Какие ресурсы доступны пользователям в режиме эмуляции связей (Bindery Emulation)?

В режиме эмуляции Bindery доступны пользователи, тома, очереди печати контекстов, внесенных в список эмуляции. Этот список изначально включает в себя только имя контекста, в котором находится сам сервер. Список можно изменить командой консоли сервера

SET BINDERY CONTEXT = ou_name[;ou_name]

перечислив в нем до 16 имен контекстов.

На данном сервере должны находится главные дубликаты (или дубликаты чтения-записи) разделов, в которых находятся элементы данного списка.

Режим эмуляции Bindery с данным списком контекстов доступен только пользователям, включенным в контекст, в котором находится сам сервер. Пользователи других контекстов к данному серверу могут подключиться только через сервис Каталогов.

Какие сюрпризы возможны при эмуляции Bindery?

При наличии одноименных объектов в разных контекстах, помещенных в список контекстов эмуляции, доступен будет только объект контекста, который стоит в списке раньше.
Кроме этого действуют следующие ограничения для пользователей с оболочкой NETx:

• псевдонимы не могут использоваться как точное подобие реальных объектов;
• из процедур регистрации выполняются только созданные утилитой SYSCON (текстовые файлы) личные и системные процедуры;
• из атрибутов объектов доступны только те, у которых имеются прямые аналоги в NetWare 3.x;
• конфигурации заданий на печать, созданные в NetWare 4.x, недоступны - работают только старые.

Что такое Bindery Synchronisation (синхронизация связей)?

Это средство позволяет включить объекты сервера с Bindery в контекст NDS таким образом, что они будут доступны в обеих системах защиты, а изменения их свойств, выполняемые с помощью сервиса Каталогов (и создание новых объектов) будет автоматически отражаться и в базе Bindery. На сервере NetWare 4.x для этих целей доступен первый контекст списка BINDERY EMULATION, в него можно включить до 12 серверов NetWare 3.x со своими объектами. Совокупность этих серверов (включая и сервер NetWare 4.x) называется кластером синхронизации Bindery (Bindery Synchronization Cluster).

При установленной синхронизации изменения объектов кластера (создание пользователей и изменение их параметров) можно выполнять только с помощью NWADMIN или NETADMIN, использование SYSCON приведет к потере синхронизации. Эти изменения следует производить при работающих серверах 3.x.

Новые объекты, созданные при отключенном сервере NetWare 3.x, скопируются в его Bindery при последующей загрузке, а изменения свойств и удаление существующих объектов в этом случае в Bindery не отразятся.

Как установить Bindery Synchronisation?

Для установки синхронизации Bindery на сервере NetWare 4.x загружается меню-утилита NETSYNC4.NLM. В ходе инсталляции определяются серверы NetWare 3.x, включаемые в кластер; для них определяются пароли запуска модуля синхронизации и предлагается установка файлов поддержки и копирование их Bindery-объектов в NDS.

Перед переносом информации из Bindery проверьте уникальность имен: NDS, в отличие от Bindery, не допускает совпадения имен объектов разных типов. Кроме того, не должно быть совпадающих имен на серверах NetWare 3.x, объединяемых в кластер.

Для установки необходимо использовать имена доступа к серверам NetWare 3.x, дающие все права в системных каталогах SYS:SYSTEM, SYS:PUBLIC и SYS:LOGIN, в эти каталоги загружаются и обновляются некоторые модули, в файлы AUTOEXEC.NCF добавляются команды
LOAD REMAPID.NLM
LOAD NETSYNC3 serv4_name

Модуль REMAPID.NLM предназначен для согласования обработки паролей NetWare 3.x и 4.x.

Серверы NetWare 3.x будут включены в кластер после их перезагрузки и ввода пароля, заданного при конфигурировании.

На сервере NetWare 4.x в файл AUTOEXEC.NCF добавляется команда

LOAD NETSYNC4

С помощью меню модуля NETSYNC3.NLM с консоли сервера NetWare 3.x возможно перенести в NDS и принт-сервер, что явится первым шагом модернизации системы печати.

Что такое объект-псевдоним?

Псевдоним (Aliace) - специальный тип объекта NDS, фактически определяющий только ссылку на реальный объект, обычно расположенный в другом месте каталога. Все действия с псевдонимом возможны в пределах прав, предоставляемых в реальном объекте и в точности отражаются на реальном объекте. Псевдонимы служат средством сокращения имен (при "дальнем" доступе к объекту другого контекста пришлось бы указывать его полное имя, а для псевдонима - "соседа" по контексту достаточно его краткого имени CN.

Для файловой системы приблизительным аналогом псевдонима является объект Directory Map, связанный с каталогом тома любого контекста. На этот объект возможна ссылка в сетевых именах каталогов (например, в командах MAP), причем как прямая, так и через псевдонимы.

Распространяется ли ли неограниченная власть пользователя SUPERVISOR на сервис Каталогов после обновления версии NetWare?

Нет, более того, в отличие от остальных пользователей, SUPERVISOR в NetWare 4.x не переносится вообще.

Полный объем прав при первоначальной установке NetWare 4.x получает автоматически создаваемый пользователь ADMIN, но, в отличие от SUPERVISOR, он может быть и удален. Перед этим, конечно, необходимо создать пользователей-администраторов подразделений и наделить их соответствующими паролями.

Как перенести старые процедуры регистрации пользователей Bindery в NDS?

Для копирования процедур регистрации пользователей, перенесенных в NDS при обновлении старого сервера, необходимо войти в контекст, содержащий этих пользователей, и, сделав текущим каталог SYS:SYSTEM обновленного сервера, выполнить команду

UIMPORT UIMPORT.CTL UIMPORT.DAT

Системная процедура регистрации преобразуется в процедуру регистрации данного контейнера.

Старые процедуры, хранящиеся в текстовых файлах, будут выполняться только при входе клиента со старой оболочкой NETx (или VLM с отключенным протоколом NDS).

Что происходит с паролями при модернизации NetWare?

При модернизации NetWare 2.x в 3.x и 3.x в 4.x с помощью утилиты MIGRATE пароли пользователей не сохраняются. Процедура предлагает выбор: или установить всем беспарольный вход, или создать всем случайные пароли, список которых формируется в файле при обновлении.

При обновлении на месте с помощью утилиты INSTALL пароли сохраняются.

Когда в утилите SYSCON необходимо проделывать однотипные операции над множеством пользователей (например, установку требования пароля), используйте клавишу F5 для их пометки и выполняйте действие один раз.

Какие возможности аудита имеются в NetWare 3.x?

В версиях NetWare до 4 возможности аудита весьма скромны: на сервере в каталоге SYS:SYSTEM накапливается двоичный файл-протокол NET$ACCT.DAT, в котором фиксируются регистрации и разрегистрации пользователей на сервере, факты срабатывания системы захвата нарушителя и некоторые другие события. Этот файл в текстовом виде выводится на консоль или в файл (командой PAUDIT -C fname) утилитой PAUDIT.EXE. После вывода отчета файл NET$ACCT.DAT можно удалить, а система по первому событию автоматически создаст новый.

Что делать, если утилита PAUDIT не может до конца прочитать файл NET$ACCT.DAT из-за ошибки считывания, а система не позволяет его удалить даже супервизору?

Запрет удаления системных файлов NetWare из каталога SYS:SYSTEM можно обойти, зарегистрировавшись как SUPERVISOR и временно переименовав каталог SYS:SYSTEM в любое другое имя. В переименованном каталоге средствами DOS можно делать все, но соблюдая осторожность. После восстановления штатного имени можно продолжать регулярную работу с сервером. Во время этих манипуляций необходимо запретить работу и регистрацию пользователей на данном сервере. Ответсвенность за возможные побочные эффекты неосторожных действий ляжет на администратора.

Как устанавливаются пароли для аудита?

Первоначальные пароли для каждого контейнера, в котором устанавливается наблюдение за событиями NDS, и для каждого наблюдаемого тома устанавливаются администратором. Эти пароли, как обычно, невидимы, и при задании требуется повторный ввод для подтверждения, пустые пароли не допускаются (должен быть хотя бы один символ). Начальные пароли сообщаются аудитору, который в процессе конфигурирования доверенных ему объектов наблюдения устанавливает свои пароли.

Забытый пароль невозможно переустановить. Потеря пароля приводит к необходимости переустановки NetWare.

С помощью опций настройки (пункт главного меню AUDITCON) возможно задать двухуровневые пароли аудита (Force Dual-Level Audit Passwords), при этом один пароль используется для просмотра к аудиторской информации, а другой - для изменения конфигурации.

Как хранятся протоколы аудита и что происходит при их переполнении?

Система хранит два типа файлов - история аудита (Audit History), отражающая все запуски AUDITCON и протоколы аудита (Audit File).
Протоколы аудита событий NDS каждого контейнера и тома записываются в отдельные файлы. Эти файлы (даже их имена) не просматриваются никакими средствами, кроме AUDITCON. При достижении ими порогового размера на консоль сервера и на станции пользователей (у которых не запрещен прием сообщений) выдается предупреждение. При достижении максимально допустимого размера файл архивируется в старый (Old file) и очищается. Старые файлы хранятся в архиве, а когда их количество достигает заданного предела, архив преобразуется в отключенный (Old offline) и начинается новый.
Реакция системы на переполнение файлов аудита задается в опциях конфигурирования AUDITCON, там же возможны и ручные действия с файлами.
Пороговый размер и предупреждение всех пользователей задается параметрами Audit File Treshold Size и Broadcast Errors to All Users, час начала архивирования (0-23) и количество хранимых в архиве старых файлов (1-15) задается параметрами Hour of Day to Archive и Number of Old Audit Files to Keep, максимальный размер рабочего файла - Audit File Maximum Size.
При достижении максимального размера система может по выбору автоматически архивировать файл (Archive Audit File) или прекращать регистрацию событий (Disable Event Recording). Для аудита томов можно установить и автоматическое размонтирование тома при переполнении его файла аудита (Dismount Volume), что несколько противоречит провозглашенному принципу пассивности аудита.

При установленной системе аудита иногда самопроизвольно размонтируется том, почему?

Вероятно, переполнился файл аудита данного тома, а в конфигурации AUDITCON установлено автоматическое размонтирование тома при переполнении его файла аудита (Dismount Volume). Помочь здесь может только аудитор.

Вопросы и ответы (глава 12) | Содержание