Wenn Sie einen Linux-Server als “Backend” für die Dateispeicherung und den Dateizugriff von ZENworks verwenden, müssen Sie den Server so konfigurieren, dass ZENworks später auf die dort gespeicherten Dateien zugreifen kann. Dies kann vor der Installation von ZENworks Desktop Management Server oder danach geschehen.
HINWEIS:Die Einrichtung des Linux-Servers für den Dateizugriff ist optional. Sie können auch NetWare®- oder Windows-Server für den Dateizugriff einrichten und weiterhin den Linux-Server als Backend verwenden.
Dieser Abschnitt enthält Informationen zur Konfiguration von SUSE® Linux Enterprise Server (SLES) anstelle von Novell Open Enterprise Server (OES) für den ZENworks-Dateizugriff. OES Linux beinhaltet bereits Novell eDirectory™ und bietet NSS-Zugriff (Novell Storage Services) auf sein Dateisystem. Daher können auf dem OES Linux-Server gespeicherte Richtlinien- oder Anwendungsdateien einfach den UNC-Pfad (d. h. \\OES_Servername/sys/public/....) verwenden. Weitere Konfigurationsschritte für den ZENworks-Dateizugriff sind damit überflüssig.
Für die Konfiguration eines SLES-Servers zur Aktivierung des Dateizugriffs ist es erforderlich, dass Sie die Samba-Serversoftware so konfigurieren, dass sie Beglaubigungsinformationen entweder von der Active Directory*-Domäne oder dem eDirectory-Baum erhält. Erstellen Sie anschließend eine oder mehrere Samba-Freigaben auf dem Server. Auf diese Weise wird die Verwaltung der Freigabe durch das Verzeichnis ermöglicht.
In diesem Abschnitt wird ein Basisverfahren vorgestellt, das zur Ausstellung der erforderlichen Beglaubigung führt. Für die Konfiguration von Samba gibt es zahlreiche Möglichkeiten. Weitere Informationen hierzu finden Sie in der Samba Documentation Collection (Samba-Dokumentationssammlung).
Der Abschnitt enthält folgende Informationen:
Wenn Sie beabsichtigen, Active Directory auf dem SLES 9- oder SLES 10-Server zu verwenden, auf dem Sie ZENworks Management Server installieren möchten, müssen Sie den verzeichnisbasierten CIFS-Zugriff auf die Anwendungen und weitere Dateien aktivieren, die Sie auf diesem Server zur Verwendung durch ZENworks speichern möchten.
WICHTIG:Auch wenn dies nicht empfohlen wird, können Benutzer auf eine OES-Server/Samba-Freigabe von einer Windows-Arbeitsstation aus zugreifen, auf der Novell Client™ installiert ist. Sie müssen jedoch Samba so konfigurieren, dass ein netBIOS-Name bereitgestellt wird, der nicht mit dem Namen des OES-Severs identisch ist.
Dieser Abschnitt enthält folgende Informationen.
Mit den folgenden Schritten konfigurieren Sie den SLES 9-Server so, dass Kerberos* für die Beglaubigung verwendet wird:
Geben Sie in der Konfigurationsdatei von Kerberos (heimdal-lib - Version 0.6 oder höher) den Namen der Active Directory-Domäne an, der Sie beitreten möchten (d. h. bearbeiten Sie die Datei entsprechend).
Öffnen Sie die Datei /etc/krb5.conf in einem Texteditor auf dem Linux-Server.
Suchen Sie in der Datei nach den folgenden Zeilen:
[libdefaults]
default_realm = IHR.KERBEROS.BEREICH
[realms]
IHRE.KERBEROS.BEREICHE = {
kdc = ihr.kerberos.server
}
Ändern Sie die Zeilen wie folgt:
[libdefaults]
default_realm = DOMÎENNAME
[realms]
DOMÎENNAME = {
kdc = wins_name
admin_server = wins_name
kpasswd_server = wins_name
}
Der in dem Beispiel angegebene Wert DOMÄNENNAME stellt den vollständigen qualifizierten Namen der Active Directory-Domäne dar, der Sie beitreten möchten (z. B. FORSCHUNG.MEINSTANDORT.DIGITALAIRLINES.COM). Geben Sie diesen Namen unbedingt in Großbuchstaben ein.
Der Wert wins_name in der überarbeiteten kdc-Zeile sowie in den neu hinzugefügten Zeilen (admin_server und kpasswd_server) stellt den primären Domänencontroller oder einen beliebigen Domänencontroller in der Domäne dar (beispielsweise DC1).
Bearbeiten Sie die Konfigurationsdatei für den Samba-Server und geben Sie an, dass Kerberos zur Beglaubigung von Benutzern bei der Active Directory-Domäne verwendet wird.
Öffnen Sie die Datei /etc/samba/smb.conf in einem Texteditor auf dem Linux-Server.
Suchen Sie die folgende Zeile im Abschnitt "Global" der Datei:
security = user
Ändern Sie diese Zeile wie folgt und fügen Sie diese weiteren Zeilen hinzu:
security = ADS realm = IHR.KERBEROS.BEREICH encrypt passwords = yes netbios name = bekannt_gegebener_Name
Der Wert IHR.KERBEROS.BEREICH in dem Beispiel stellt den in der Datei krb5.conf angegebenen Domänennamen dar (siehe Schritt 1.c).
Der Wert bekannter_Name in der Zeile für "netbios name" stellt den bekannt gegebenen Netzwerknamen des Samba-Servers sowie seinen Namen in Active Directory dar (z. B. meinserver_smb).
Fügen Sie den Namen des Servers in einen Active Directory-Container ein:
Geben Sie an der Befehlszeile des Linux-Servers den folgenden Befehl ein:
kinit administrator@IHR.KERBEROS.BEREICH
Der Wert IHR.KERBEROS.BEREICH in diesem Beispiel stellt den in der Datei krb5.conf angegebenen Domänennamen dar.
Geben Sie an der Befehlszeile des Linux-Servers den folgenden Befehl ein:
net ads join
Das Erstellen einer Samba-Freigabe ist erforderlich, damit Windows-Arbeitsstationen auf Dateien auf dem SLES 9- oder SLES 10-Server zugreifen können.
Öffnen Sie die Datei /etc/samba/smb.conf in einem Texteditor auf dem Linux-Server und fügen Sie der Datei die folgenden Zeilen hinzu:
[sharename] path = lokales_Verzeichnis guest ok = no read only = no
Der Wert Freigabename in der ersten Zeile stellt den bekannt gegebenen Netzwerknamen der Samba-Freigabe dar (Beispiel: zenfiles).
Der Wert lokales_Verzeichnis in der zweiten Zeile stellt das lokale Verzeichnis auf dem Server dar, in dem sich die Freigabe befinden soll.
Ordnen Sie alle Benutzer, die auf die Freigabe zugreifen, einem einzelnen Linux-Konto zu.
Geben Sie an der Befehlszeile des Linux-Servers den folgenden Befehl ein:
/usr/sbin/useradd Neuer_Kontoname
Der Parameter neuer_Kontoname stellt das Linux-Konto dar, das Sie gerade erstellen (Beispiel: smbuser).
Suchen Sie auf dem Linux-Server nach der Datei /etc/samba/smbusers.
Fügen Sie der Datei die folgende Zeile hinzu:
Neuer_Kontoname = *
Der Wert neuer_Kontoname in dieser Zeile ist der Kontoname, den Sie in Schritt 2.a angelegt haben.
Geben Sie an der Befehlszeile des Linux-Servers die folgenden Befehle ein, um das Eigentum an dem Pfad zu der Freigabe zu ändern:
mkdir -p Verzeichnisname
chown -R Linux_Kontoname Verzeichnisname
chmod 755 Verzeichnisname
Der Wert Verzeichnisname stellt den Pfad zu dem in Schritt 1 angegebenen lokalen Verzeichnis dar.
Der Wert Name_des_Linux-Kontos stellt den “neuen Kontonamen” dar, den Sie in Schritt 2.a zugewiesen haben.
Geben Sie an der Befehlszeile des Linux-Servers den folgenden Befehl ein, um den Samba-Server neu zu starten. Daraufhin wird die Konfigurationsdatei mit den neuen Parametern ausgeführt:
/etc/init.d/smb restart
Wenn Sie beabsichtigen, eDirectory auf dem SLES 9- oder SLES 10-Server zu verwenden, auf dem Sie ZENworks Management Server installieren möchten, müssen Sie den verzeichnisbasierten CIFS-Zugriff auf die Anwendungen und weitere Dateien aktivieren, die Sie auf diesem Server zur Verwendung durch ZENworks speichern möchten.
Dieser Abschnitt enthält Informationen, die Sie benötigen, um den SLES 9- oder SLES 10-Server für die Verwendung mit ZENworks Desktop Management in einer eDirectory-Umgebung zu konfigurieren:
In diesem Abschnitt werden die Schritte erläutert, die durchgeführt werden müssen, um einen SLES 9- oder SLES 10-Server (agiert als LDAP-Client) und Novell eDirectory (agiert als LDAP-Server) für die Umleitung der Beglaubigung über LDAP an Novell eDirectory zu konfigurieren. Dabei wird davon ausgegangen, dass Novell eDirectory 8.7.3 (oder höher) bereits auf dem SLES 9- oder SLES 10-Server installiert wurde.
Nach Abschluss der Serverkonfiguration können sich alle Benutzer mit ihrem eDirectory-Berechtigungsnachweis bei einem SLES 9- oder SLES 10-Server anmelden.
Führen Sie die folgenden Verfahren in der angegebenen Reihenfolge durch:
Zur Konfiguration des SLES 9- oder SLES 10-Servers für die eDirectory-Beglaubigung ist die Erweiterung des vorhandenen eDirectory-Schemas erforderlich (das Schema auf einem OES-Server wird bereits durch die Installation von ZENworks erweitert).
Die Erweiterung des Schemas kann mit dem Dienstprogrammen "ndsschema" oder "ICE" durchgeführt werden. Beide Dienstprogramme sind auf dem SLES 9- oder SLES 10-Server enthalten. Die Befehlszeilensyntax der beiden Dienstprogramme finden Sie in diesem Abschnitt.
WICHTIG:Bevor Sie das Dienstprogramm ICE verwenden, müssen Sie in ConsoleOne die Eigenschaften des LDAP-Gruppenobjekts in dem von Ihnen verwendeten eDirectory-Baum überprüfen.
Klicken Sie mit der rechten Maustaste auf das LDAP-Gruppenobjekt, klicken Sie auf , dann auf und deaktivieren Sie die Option .
Das für die Linux-Kontobeglaubigung definierte Schema ist in RFC 2307 definiert. Novell bietet Schemaimportdateien im herkömmlichen eDirectory-Schemaformat und im LDIF-Format (Lightweight Data Interchange Format) für die Erweiterung des Novell eDirectory-Schemas.
Mit den folgenden Schritten erweitern Sie das eDirectory-Schema in Ihrer Umgebung:
Melden Sie sich bei dem Linux-Server, auf dem Novell eDirectory ausgeführt wird, als Benutzer "root" an.
Geben Sie an der Bash-Eingabeaufforderung Folgendes ein: cd /usr/lib/nds-schema.
Führen Sie ein Dienstprogramm zur Erweiterung des Schemas aus.
Methode bei Verwendung von ndschema: Geben Sie an der Bash-Eingabeaufforderung den folgenden Befehl ein, um das Schema zu erweitern:
ndssch cn=Adminname.o=Admin_Container_Name rfc2307-usergroup.sch
Methode bei Verwendung von ICE: Geben Sie an der Bash-Eingabeaufforderung den folgenden Befehl ein, um das Schema zu erweitern:
ice -S LDIF -f rfc2307-usergroup.ldif -D LDAP -s localhost -d cn=Adminname,o=Admin_Container_Name -W
Geben Sie an der Bash-Eingabeaufforderung den folgenden Befehl ein:
cd /usr/share/doc/packages/samba/examples/LDAP
Dieser Standort wird vom RPM-Paket "samba-doc" bereitgestellt. Alternativ können Sie den folgenden Befehl für die Suche nach der Schemadatei im RPM-Paket "samba-client" verwenden:
cd /usr/share/samba/LDAP
Geben Sie den folgenden Befehl ein, um das Dienstprogramm ICE zur Erweiterung des eDirectory-Schemas für Samba zu verwenden:
ice -S LDIF -f samba-nds.schema -D LDAP -s localhost -d cn=Adminname,o=Admin_Container_Name -W
Mit den folgenden Schritten richten Sie einen Proxybenutzer in eDirectory für anonyme Bindungen ein:
Erstellen Sie in ConsoleOne ein neues Benutzerkonto und setzen Sie das Passwort auf Null. Klicken Sie nicht auf , wenn Sie dazu aufgefordert werden. Klicken Sie stattdessen auf , damit öffentliche/private Schlüssel generiert werden.
Klicken Sie mit der rechten Maustaste auf das neue Benutzerobjekt, klicken Sie auf , dann auf und deaktivieren Sie die Option .
Klicken Sie am Stammobjekt des Baums mit der rechten Maustaste auf das Objekt, wählen Sie aus und erteilen Sie dem neuen Benutzer Eintragsrechte vom Typ "Durchsuchen". Erteilen Sie dem neuen Benutzer anschließend Eigenschaftsrechte zum Lesen und Vergleichen für die folgenden Attribute:
Stellen Sie beim Konfigurieren der Attribute sicher, dass für jedes dieser Attribute ausgewählt ist.
Entfernen Sie aus der Liste der Attributrechte für dieses Benutzerobjekt.
Klicken Sie mit der rechten Maustaste auf das LDAP-Gruppenobjekt, klicken Sie auf , dann auf und wählen Sie den neuen Benutzer als Proxybenutzer aus.
TIPP:Die Registerkarte ist in der auf der ZENworks 7 Companion 1-CD enthaltenen Version von ConsoleOne nicht verfügbar. Damit Sie ZENworks Desktop Management richtig verwenden können, müssen Sie ZENworks 7 Desktop Management-Snapins für ConsoleOne 1.3.6 von der Download-Website von Novell herunterladen.
Befolgen Sie die Anweisungen auf der Download-Site zum Installieren der Snapins.
Klicken Sie mit der rechten Maustaste auf das LDAP-Serverobjekt, klicken Sie auf , dann auf und wählen Sie aus.
Starten Sie das YaST2-Kontrollzentrum.
Starten Sie /sbin/yast2.
Geben Sie den Befehl menu ein.
Wählen Sie im Menü den Eintrag , dann und anschließend aus.
Alternativ zu den oben beschriebenen Schritten 1 und 2 können Sie einfach /sbin/yast2 ldap von der Befehlszeile ausführen, um das Fenster für die Konfiguration des LDAP-Clients zu öffnen.
Fügen Sie den LDAP-Server in dem Serverfeld sowie in der Suchbasis, wo sich Benutzer befinden, hinzu. Beispiel:
Basis-DN: ou=Benutzer, ou=Novell
Adressen von LDAP-Servern: 127.0.0.1
Wählen Sie aus und klicken Sie dann zum Speichern der Änderungen auf .
Mit den folgenden Schritten fügen Sie einem Benutzerkonto die Zusatzklasse "posixAccount" hinzu und richten die erforderlichen Felder ein.
Wählen Sie in ConsoleOne ein Benutzerkonto aus und klicken Sie mit der rechten Maustaste darauf.
Wählen Sie aus.
Klicken Sie auf .
Wählen Sie in der Liste aus und klicken Sie dann auf .
Klicken Sie im Dialogfeld "Allgemeine Bearbeitung" auf .
Füllen Sie im Dialogfeld für die neue posixAccount-Erweiterung die Felder aus. Die folgende Tabelle enthält die Feldnamen, den Zweck der Felder sowie ein Beispiel der Daten, die in die Felder eingegeben werden.
Zu den Attributen, die erforderlich sind und auf der Seite "Sonstiges" des Benutzerobjekts hinzugefügt werden können, zählt unter anderem:
Klicken Sie auf , um die Änderungen zu speichern.
Der Samba-Berechtigungsnachweis für verwaltete Benutzer wird getrennt von dem standardmäßigen Linux-Berechtigungsnachweis bereitgestellt. Mit den folgenden Schritten fügen Sie einen Samba-Berechtigungsnachweis für ein beliebiges Benutzerkonto hinzu.
Melden Sie sich auf dem SLES 9- oder SLES 10-Server als Root an und geben Sie an der Bash-Eingabeaufforderung folgenden Befehl ein:
smbpasswd -a Benutzername
Bei dieser Konfiguration werden Benutzer, die sich bei dem Server anmelden, zur Angabe des Samba-Passworts für den Server aufgefordert: In dieser Syntax steht Benutzername für den eDirectory-Benutzernamen des Benutzers. Benutzer müssen in dem Kontext als Basis-DN angegeben werden, wenn sie den Server als LDAP-Client konfigurieren. Weitere Informationen hierzu finden Sie in Konfigurieren des SLES 9- oder SLES 10-Servers (LDAP-Client).
HINWEIS:Dies ist ein Basisverfahren für die Kontoerstellung in Samba. Es stehen zahlreiche Dienstprogramme und Methoden zur Verfügung, mit denen sowohl die Linux- als auch die Samba-Passwörter mit nur einem Befehl verwaltet werden können. Weitere Informationen hierzu erhalten Sie in der Samba Documentation Collection (Samba-Dokumentationssammlung).
Das Erstellen einer Samba-Freigabe ist erforderlich, damit Windows-Arbeitsstationen auf Dateien auf dem SLES 9- oder SLES 10-Server zugreifen können.
Öffnen Sie die Datei /etc/samba/smb.conf in einem Texteditor auf dem Linux-Server und fügen Sie der Datei die folgenden Zeilen hinzu:
[sharename] path = lokales_Verzeichnis guest ok = no read only = no
Der Wert Freigabename in der ersten Zeile stellt den bekannt gegebenen Netzwerknamen der Samba-Freigabe dar (Beispiel: zenfiles).
Der Wert lokales_Verzeichnis in der zweiten Zeile stellt das lokale Verzeichnis auf dem Server dar, in dem sich die Freigabe befinden soll.
Geben Sie an der Befehlszeile des Linux-Servers die folgenden Befehle ein, um das Eigentum an dem Pfad zu der Freigabe zu ändern:
mkdir -p Verzeichnisname
chown -R Name_des_Adminbenutzers
chmod 755 Verzeichnisname
Der Wert Name_des_Adminbenutzers stellt den Namen des Benutzers dar, den Sie beim Erstellen von Richtlinien und Anwendungen in ZENworks verwenden. Dieser Benutzername wird für den Zugriff auf die Samba-Freigabe verwendet.
Der Wert Verzeichnisname stellt den Pfad zu dem in Schritt 1 angegebenen lokalen Verzeichnis dar.
Geben Sie an der Befehlszeile des Linux-Servers den folgenden Befehl ein, um den Samba-Server neu zu starten. Daraufhin wird die Konfigurationsdatei mit den neuen Parametern ausgeführt:
/etc/init.d/smb restart
Wenn Sie mit der eDirectory-Methode auf mit einer Arbeitsstation verknüpfte Richtlinien- und Anwendungsdateien auf einem SLES 9-Server zugreifen müssen, muss für die Samba-Freigabe der Gastzugriff zulässig sein. Mit den folgenden Schritten kennzeichnen Sie die Samba-Freigabe entsprechend:
Öffnen Sie die Datei /etc/samba/smb.conf mithilfe eines Texteditors auf dem Server.
Suchen Sie nach der folgenden Zeile im Abschnitt [sharename] der Datei:
guest ok = no
Der Wert sharename stellt den bekannt gegebenen Netzwerknamen der Samba-Freigabe dar (Beispiel: zenfiles).
Ändern Sie die Zeile wie folgt:
guest ok = yes
Wenn Sie mithilfe der eDirectory-Methode von einem Windows Middle Tier-Server aus auf mit einer Arbeitsstation verknüpfte Richtlinien- und Anwendungsdateien zugreifen möchten, die sich auf einem SLES 9- oder SLES 10-Server befinden, muss die Samba-Freigabe nicht mit “World-read” gekennzeichnet sein (siehe Schritt 3), damit Gastzugriff zulässig ist. Mit den folgenden Schritten lassen Sie den Zugriff auf die Dateien zu:
Stellen Sie sicher, dass der Freigabeberechtigungsnachweis für den Windows Middle Tier-Server eingegeben wurde, wenn Sie während der Installation den Middle Tier erstellen. Dieser kann auch mithilfe des Dienstprogramms NSAdmin (LMAUTH-Berechtigungsnachweis) auf dem Middle Tier erstellt werden.
Stellen Sie sicher, dass der Middle Tier-Server lokal denselben Berechtigungsnachweis hat.
Selbst wenn Sie eine Firewall haben, kann der Middle Tier für die Arbeitsstation auf die ZENworks-Dateien zugreifen.
In der Datei smb.conf können Sie die Benutzer definieren, deren Rechte zum Ändern von Dateien eingeschränkt werden sollen. Mit den folgenden Schritten definieren Sie Benutzer mit eingeschränkten Rechten.
Öffnen Sie die Datei /etc/samba/smb.conf mithilfe eines Texteditors auf dem Server.
Suchen Sie nach der folgenden Zeile im Abschnitt [sharename] der Datei:
read only = no
Der Wert sharename stellt den bekannt gegebenen Netzwerknamen der Samba-Freigabe dar (Beispiel: zenfiles).
Ändern Sie die Zeile wie folgt:
read only = yes
Geben Sie an der Bash-Eingabeaufforderung den folgenden Befehl ein:
write list = Name_des_Adminbenutzers
HINWEIS:Der Wert Name_des_Adminbenutzers stellt den Benutzernamen (oder eine kommagetrennte Liste der Benutzernamen) dar, der nur über Leserechte für die Dateien auf der Samba-Freigabe verfügt.