[an error occurred while processing this directive] [an error occurred while processing this directive]  
NOVELL CONNECTION KEZDőLAP  
Novell conNection
A hálózati szakértők magazinja
 
 

Novell iManager

Hogyan a legegyszerűbb az eDirectory felügyelete?

Idén – ahogy tavaly és tavalyelőtt is – a Network Magazine a Novell eDirectory címtárat választotta az év termékének. 2002. májusi számában a folyóirat azzal érvel az eDirectory kiválósága mellett, hogy igen jól méretezhető, többplatformos és szabványokon alapul. Végül arra a következtetésre jut, hogy „&Eeacute;rett termék volta ellenére és a hálózati infrastruktúra változásai közepette tovább tudja növelni az eDirectory teljesítményét és alkalmazhatóságát a Novell.”

E megállapításait a Network Magazine a fejlesztések, a technikai eredetiség és az olvasók fontossági sorrendje alapján tette – az eDirectory 8.6.1-es változatáról. A következő, 8.7-es változat ugyanúgy támogatja a Network Magazine szerkesztőinek követelményeit, mégis, csak az idő a megmondhatója annak, vajon az eDirectory 8.7 elnyeri-e – sorban negyedszer is – az „&Eeacute;v Terméke” minősítést? Az biztos, hogy a Novell tovább növelte legfontosabb terméke teljesítményét és alkalmazhatóságát.

A május óta béta változatban létező, őszre tervezett megjelenésű eDirectory 8.7 számos új fejlesztést tartalmaz. Az említésre méltóbbak közé tartozik az új webes felügyeleti felület, a Novell iManager.

Állandóan szem előtt tartva az eDirectory elérésének és felügyeletének egy-szerűsítését, a Novell lehetővé tette a vállalati címtár kezelését webböngészőből, sőt, bizonyos esetekben ugyanerre mobil eszközök is használhatók lesznek. Az iManagerrel elérhetjük a címtárfát vezetékes vagy vezeték nélküli intra-, inter- avagy extranet kapcsolaton át.

A vezetékes és-vagy anélküli eDirectory-felügyelet lehetőségének biztosításán túl a Novell megvalósította a szerepalapú, illetve átengedett címtárkezelést. Ez alapvetően azt jelenti, hogy a rend-szergazda bizonyos feladatokat kiadhat bizonyos felhasználóknak. Ezek a felhasználók hozzáférhetnek az eDirectoryhoz, hogy elvégezhessék e feladatokat – anélkül, hogy alapos ismeretük lenne a címtár mibenlétéről.

i-lépcsők

Az eDirectory 8.7 két CD-n kerül forgalomba. Az egyik a szokásos komponenseket és a ConsoleOne-t tartalmazza. A másik, amelyet webalkalmazás CD-nek is neveznek, tartalmazza a Novell iManagert és a Novell eGuide-ot.

Akár ugyanarra a szerverre is lehet telepíteni a szokásos eDirectory 8.7 összetevőket és a Novell iManagert. De a Novell arra számít, hogy az alkalmazók az eDirectoryt inkább a normál kiszolgálókra, az iManagert pedig a webszerverekre telepítik majd. Ez az elrendezés tükrözi azt a háromlépcsős struktúrát, amelyre az iManagert alapozták:

  • az első lépcső a böngésző és a mobil eszköz;
  • a második lépcső a köztes szerver, ez esetben a Novell iManagert futtató webkiszolgáló;
  • a harmadik lépcső a normál Novell alapszerver, amely ez esetben az eDirectoryt futtató kiszolgáló.

Első lépcső

Az alábbi böngészők használatát teszi lehetővé a Novell iManager a rendszergazdák (valamint az arra feljogosított felhasználók) számára:

  • Windows NT, 2000, és 9x alatt használható a Microsoft Internet Explorer 5.5 a Support Pack 2-vel vagy későbbivel bővítve, vagy a Netscape 6.2 vagy későbbi;
  • Windows XP alatt használható a Microsoft Internet Explorer 6.0 (amely az XP-vel jár);
  • Solaris alatt használható a Netscape 6,1;
  • AIX alatt használható a Netscape 4.6.

Megjegyzés: Windows alatt is elérhető a Novell iManager a Netscape 4.6 és 4.7 változatokkal. De a 4.6 esetén (Windows és AIX alatt) valamint 4.7 esetén (Windows alatt) a Novell iManager automatikusan egyszerű (Simple) módban fog futni. Ugyanazokat a szolgáltatásokat nyújtja, mint normál működésekor, de kezelőfelülete Simple módban kevésbé látványos.

Néhány mobil eszközt is – PocketPC- és Windows CE eszközöket – lehet használni, hogy iManagerrel érjük el az eDirectory 8.6-ot és 8.7-et. A Novell tervei között szerepel webes iManager-alkalmazások fejlesztése Palm platformra, és már dolgoznak a mobiltelefonos iManager elérésen is.

Második lépcső

Az alábbi webkiszolgáló platformokat támogatja a Novell iManager:

  • Apache 1.3.20 vagy magasabb verziójú webszerver. (Ingyenesen letölthető a legfrissebb változat az Apache Soft-ware Foundation webhelyéről, a http://www.apache.org/dist webcímről.)
  • Tomcat 3.2.3 vagy újabb. (Ingyenesen letölthető a legfrissebb változat a Jakarta Project webhelyéről, a http://jakarta.apache.org webcímről.)
  • Microsoft Internet Information Server (IIS) 4.0 Windows NT alatt, vagy az IIS 5.0 Windows 2000 alatt.

Harmadik lépcső

Novell iManagerrel kezelhetünk eDirectory 8.7 háttérszervereket, és felügyelhetünk vele eDirectory 8.6-ot futtató kiszolgálót is, de több feladatot láthatunk el iManagerrel a 8.7-es verziójú címtárban, mint a 8.6-osban. Konkrétan, olyan szokásos eDirectory segédprogramokat, amilyen a DSREPAIR, csak eDirectory 8.7-es szerveren futtathatunk Novell iManager használatával. Az ok egyszerű: eDirectory 8.6-os szervereken nincs eDirectory Management Box (röviden eMBox), mert az egy új, eDirectory 8.7 komponens. C és C++ nyelven fejlesztették, és alapvetően eljáráshívási felületek (API-k) egy közös készletébe „csomagolja” a szokásos eDirectory segédprogramokat. Ezek a programcsatolók teszik lehetővé a segédprogramok szolgáltatásainak elérését webböngészőből, illetve adott esetekben, a segédprogramtól függően mobil eszközökről is.

Az eMBoxszal „fölszerelt” szokásos eDirectory segédprogramokat a Novell eMToolsnak nevezi. eMBox futhat a Novell NetWare 6 részeként, vagy egyéb, nem NetWare platformokon a Directory Host (Dhost) részeként.

Mire képes egy böngésző?

Amikor egy rendszergazda (vagy egy arra feljogosított használó) Novell iManageren és egy alkalmas böngészőn keresztül fér hozzá egy eDirectory 8.7-es vagy 8.6-os címtárfához, bármilyen címtárkezelő műveletet végrehajthat, amit a ConsoleOne-on át megtehetne – két kivétellel: nem kezelheti a szerver erőforrásait (bár a NetWare Remote Managert elindíthatja), és nem állnak rendelkezésre a jelentéskészítő képességek.


1. ábra: Novell iManager segítségével webböngészőből, sőt, egyes esetekben mobil eszközökről is lehet kezelni az eDirectoryt. Bejelentkezés után a baloldali listából választhatjuk ki a végrehajtani kívánt műveletet.

Konkrétan, a megfelelő jogosultságok birtokában az alábbi felügyeleti műveleteket lehet végrehajtani a Novell iManager segítségével egy böngészőből: eDirectory 8.6-os szervereken

  • dinamikus csoportok létrehozása és módosítása;
  • statikus csoportok létrehozása, módosítása és törlése;
  • eDirectory objektumok létrehozása, másolása, áthelyezése, átnevezése, és módosítása;
  • új felhasználó létrehozása, kizárások törlése, létező felhasználók jelszavainak visszaállítása;
  • LDAP objektumok létrehozása és törlése;
  • Novell moduláris hitelesítési szolgáltatásbeli (NMAS-) felhasználók, bejelentkezési eljárások, és –módszerek kezelése;
  • címtárpartíciók létrehozása, áthelyezése, összeolvasztása, partícióhelyzet áttekintése;
  • címtármásolatok (replikák) felügyelete;
  • szűrt replikák létrehozása a Filtered Replica Wizard (szűrtmásolat-varázsló) segítségével;
  • jelszavak kezelése;
  • a nyilvános kulcsú titkosítás (PKI, public key infrastructure) bizonyítványainak kezelése, beleértve a felhasználók, szerverek bizonyítványai és a bizonyítványforrások felügyeletét, bizonyítványok kiadása, megbízható alapok létrehozása stb.;
  • megbízottak, örökölt jogok szűrőinek, megbízottak más objektumokhoz fűződő jogosultságainak módosítása;
  • címtár szerkezetének kezelése (attribútumok létrehozása és törlése stb.);
  • a NetWare Remote Manager elindítása;
  • SNMP objektumok létrehozása és törlése;
  • WAN forgalom felügyelete eDirectory 8.7-os szervereken (a fentiek, továbbá:)
  • az új biztonságimásoló- és visszaállító segédprogram, a Backup eMTool futtatása (lásd még a „Van, aki forrón szereti..." című cikkünket az eDirectory 8.7 biztonsági másoló szolgáltatásairól);
  • DSMERGE segédprogram futtatása;
  • DSREPAIR segédprogram futtatása.

Mire képes egy mobil eszköz?

Windows CE vagy PocketPC eszközökkel használva az iManager csak kevesebb feladat elvégzését teszi lehetővé. Azért korlátozták a lehetőségeket a tervezők, mert úgy gondolták, hogy mobil eszközökről nem akarnak majd a rendszergazdák például címtárparticionálást végrehajtani. Inkább a jelszavak visszaállítása és hibák javítása a jellemző, távolról, PDA vagy mobiltelefon segítségével végzendő művelet. De a Novell nyitva áll bármilyen más javaslat előtt, várja a felhasználók visszajelzéseit arról, mit szeretnének még mobil eszköz segítségével végezni.


2. ábra: A Novell iManager támogatja a szerepalapú szolgáltatásokat, melyekkel egy adott használóra egy vagy több szerepet oszthatunk. Minden szerephez rendelhetünk egy vagy több felügyeleti feladatot. Amikor e felhasználók bejelentkeznek a Novell iManagerbe, csak az(oka)t a feladato(ka)t látják, amelyeket a szerepükhöz rendeltek.

Jelenleg az alábbi lehetőségek állnak rendelkezésre:
eDirectory 8.6-os szervereken

  • jelszavak visszaállítása;
  • A Service Manager elérése és használata, mellyel például elindíthatók és leállíthatók olyan eDirectory-szolgáltatások, mint az LDAP;

eDirectory 8.7-os szervereken (a fentiek, továbbá:)

  • felügyelet nélküli és helyi javítások futtatása;
  • a Backup eMTool futtatása.

A címtár bonyolultsága – itt a piros, hol a piros?

Akár böngészőből, akár mobil eszköz segítségével érjük el az iManagert, amikor bejelentkezünk, azonnal észrevesszük, hogy a kezelőfelület teljesen újszerű megközelítést alkalmaz az eDirectoryval kapcsolatban. Ahelyett, hogy egy hierarchikus fastruktúrát nyitna meg, a Novell iManager egy egy-szerű szereplistát nyit meg, amelybe kattintva különféle feladatok tárulnak föl. (Lásd az 1. ábrát)

Az eDirectory kezelésének egyszerűsítése a Novell egyik hosszú távú fejlesztési célkitűzése, amely felé az iManager hatalmas lépésnek számít. E célkitűzés részben onnan származik, hogy a Novell felismerte, egy újfajta eDirectory felhasználói osztály jön létre. Hagyományosan az eDirectory használói a rendszergazdák, akik rajonganak a technikai részletekért és a címtárszolgáltatásokért.

De az eDirectory újfajta használói nem érzik ezt. Kik is ezek a kevésbé „címtárfüggő" használók? Azok a számítógép-használók, akikre Önök át szeretnének hárítani néhány felügyeleti feladatot, hogy megosszák a hálózat üzemeltetésének terheit. Például el lehetne érni, hogy egy-egy részleg vezetője legyen felelős részlege dolgozóinak jelszavaiért. De ezek az ál-adminisztrátorok csak felületesen ismerik a címtárszolgáltatások rejtelmeit, ha egyáltalán ismerik.

Sajnos, az eDirectory felügyeletének jelenlegi kezelőfelülete, a ConsoleOne, ennél alaposabb címtárismeretet követel. Valójában a ConsoleOne használata az eDirectory-fák, megbízottak, hozzáférés-vezérlési listák és egyéb címtár-szolgáltatási részletek részletes ismeretét igényli. (James Whitchurch, a Novell eDirectory-fejlesztésének vezetője szóhasználata szerint a ConsoleOne-hoz a címtárszolgáltatásokkal „szexuális mélységben" meg kell ismerkedni. Elismeri, hogy e kifejezés hallatán az emberek elpirulnak, „de legalább felkelti a figyelmüket” – mondja.)

Osszunk szerepeket

A Novell iManager-rel a Novell szerepalapú szolgáltatások mögé rejtette a címtár bonyolultságát. Röviden, a szerepalapú szolgáltatások lehetővé teszik, hogy a rendszergazda egy-egy felhasználóra egy vagy több szerepet osszon. Minden szerephez hozzá lehet rendelni egy vagy több felügyeleti tevékenységet. Amikor a felhasználó a szerepéhez rendelt jelszóval jelentkezik

be a címtárba, csak azokat a tevékenységeket választhatja (mert csak azokat látja), amelyek a szerepéhez tartoznak.

Például Jakabnak két szerepe van, adminisztrátor és jelszófelügyelő. Amikor ADMIN-ként jelentkezik be, az Novell iManager egy hosszú tevékenységlistát hoz fel neki (1. ábra). Ha vi-szont Jakabként (jelszó-felügyelőként) jelentkezik be, csak egyetlen tevékenység árválkodik a Novell iManager ablakának bal oldalán: Password Management (lásd a 2. ábrát).

A szerepalapú szolgáltatások egyrészt könnyítik az eDirectory felügyeletét, vezérlést nyújtva afölött, ki mit csinálhat a címtárban, másrészt csökkentik a címtár bonyolultságát a felhasználók számára.

Valahol már hallottuk...

A Novell már nyújtott szerepalapú szolgáltatásokat. Például amikor ConsoleOne-on keresztül férünk hozzá az eDirectory 8.6.1-hez, a ManageWise-zal konfigurálhatunk szerepalapú szolgáltatásokat. De ezek a szerepvariációk termékhez kötöttek voltak, azaz ConsoleOne-nal hoztunk létre szerepeket bizonyos felhasználók számára, akik egy adott termék használatával (a ManageWise-zal) végezhették el azokat a felügyeleti tevékenységeket, amelyek a szerepükhöz tartoztak.


3. ábra: A Novell iManager az eDirectory Management Frameworkön (eMFrame-n) alapul. Az eMFrame a webszerverünkön fut és olyan beépülő modulokat tartalmaz, amelyek elérik az eMBoxot, vagy közvetlenül az eDirectory adatbázis különféle SDK-k (például az eMBox, LDAP és eDirectory SDK) segítségével.

Ezzel szemben a Novell iManager és az eDirectory 8.7 a szerepalapú szolgáltatásokat egyenesen a címtárhoz kötik. Más szóval a Novell iManager használatával kiosztjuk a szerepeket bizonyos felhasználóknak, majd azok a Novell iManageren át elvégezhetik a megfelelő felügyeleti tevékenységeket – az eDirectoryban.

A ConsoleOne nem kötődik szorosan a szerepekhez, ahogy a Novell iManager. A jogosultságok vagy hiányuk ellenére, amikor egy felhasználó bejelentkezik a ConsoleOne-on át a címtárfába, nemcsak azokat a lehetőségeket látja, amelyeket kiosztottak rá. Az tudja felmérni, mit jelent az eDirectory szerepalapú felügyelete, aki már megkísérelte a ConsoleOne-nal megtenni ugyanezt: különböző ConsoleOne-csomagokat hozott létre különböző felhasználóknak egyes modulok (snap-in-ek) eltávolításával, hogy felügyeleti feladatokat bízhasson rájuk, és megkönnyítse számukra az eDirectory használatát. A Novell iManager automatikusan megteszi mindezt.

Tevékenységek összekötése

Számos előre meghatározott szereppel érkezik az eDirectory 8.7-en belül a Novell iManager. E szerepek az eDirectory fában vagy rbsRole objektumokként vagy Schema Managementként szerepelnek. Hasonlóképpen alapértelmezésű felügyeleti feladatokat is rendeltek a szerepekhez. Például a következő hat feladat tartozik az eDirectory Administration szerephez: objektum létrehozása, másolása, áthelyezése, átnevezése, törlése, módosítása.

A szerepek és tevékenységek beépülő modulok (plug-in-ek) formájában állnak rendelkezésre. E beépülő modulok szoftvercsomagok, amelyek csatolót nyújtanak a felhasználók számára a tevékenységek végrehajtásához. Így a Novell tervezői létrehozták azokat a beépülőket is, amelyek a szokásos eDirectory segédprogramok megfelelői. Az eDirectory Repair modul automatikusan települ az eDirectory 8.7-tel. Hét tevékenységet tesz lehetővé, amelyek a DSREPAIR segédprogram parancssori opcióinak felelnek meg: Basic Repair, Repair via Monitor, Replica Repair, Replica Ring Repair, Schema Mintenance, Server Repair, Sync Repair.


4. ábra: Amikor az eMBox SOAP szolgáltatása eMFrame-eseményt fogad, kiadja azt egy eseménybuszra. Az eMTool, amely feliratkozott ilyen eseményre, fogadja azt, és végrehajtja a kért műveletet.

E tevékenységeket a Novell tervezői egy másik modulhoz is társították, amely egy másik szerephez tartozik: az eDirectory Maintenance Utilityhez. De ha egy felhasználó megkapja ezt a szerepet, nemcsak a DSREPAIR tevékenységeit végezheti el, hanem az e szerephez tartozó DSMERGE és Backup eMTool beépülőkét is.

Az eMFrame fejlesztőkészlet

A Novell iManager az alábbi beépülő modulokat tartalmazza:

  • DSREPAIR (mint beépülő modul),
  • DSMERGE (mint beépülő modul),
  • Backup eMTool,
  • Information and Content Exchange (ICE) beépülő modul,
  • LDAP beépülő modul,
  • Schema Manager beépülő modul.

A fenti és további modulok kifejlesztésére a Novell az eDirectory Management Framework, másnéven eMFrame szoftverfejlesztő készletet (SDK-t) használta. Magától értetődően ezt a fejlesztőkészletet bárki használhatja saját beépülő Novell iManager modulja(i) létrehozásához. Az eMFrame SDK-val Java, Javascript és HTML nyelven lehet Novell iManager beépülőket írni. De lehet használni a Novell iManager Task Builder nevű plug-in varázslóját is. Ez egy HTML állományt generál a felhasználó által megadott bemeneti adatok alapján anélkül, hogy kódolásra lenne szükség. E csatoló létrehozásán túl a Task Builder a (rendszergazda) használó utasításai alapján hozzárendeli az elvégezhető tevékenységet a csatolóhoz, és a kijelölt végfelhasználóhoz. A Novell szerint alig öt perc alatt létre lehet hozni egy modult, mellyel meg lehet tekinteni a címtárat, valamint olvasni és írni lehet a tartalmát.

A függöny felgördül

Kézenfekvően lehet használni az alapértelmezésű szerepeket és tevékenységeket, de módosíthatjuk is azokat. De akár az alapértelmezésű, akár a sajátos szerepeket használjuk, hozzá kell rendelni a szerepet egy taghoz. Tagok lehetnek egy konténer vagy csoport felhasználói, vagy különálló „Felhasz-náló"-objektumok. Minden taghoz meg kell határozni a szerep érvényességi területét – a címtárfa azon részét, amelyen az adott tevékenységek végrehajthatók.

Legyen képes például Frigyes nevű felhasználónk a biztonsági másolás beállítására, amihez egy Backup Administration nevű szerepet lehet létrehozni. Jelentkezzünk tehát be a Novell iManagerbe, és kattintsunk a Configure ikonon (az iManager ablak tetejének közepe közelében látható, asztal mögött álló embert ábrázoló képen... lásd az 1. ábrát). Erre megjelennek a szerepalapú szolgáltatások konfigurálására szolgáló opciók a baloldali panelben. Kattintás a Role Configuration soron, majd a


5. Amikor az eMTool végzett a kérés feldolgozásával, visszaadja az eseményt a SOAP szolgáltatásnak, amely továbbítja azt a HTTP veremnek. Az aztán visszaküldi a választ az eMFrame szervernek az eMBox SDK segítségével.

Create Novell iManager Role tételen, majd végre kell hajtani az alábbi lépéseket:

  1. Nevet kell adni a szerepnek (most: Backup Administrator) és meg kell határozni az rbsCollection objektumot, amelyben a szerep tárolódni fog (most: Role Based Service.xyzcorp). Kattintás a Next gombon.
  2. Rá kell kattintani az elérhető tevékenységek listájában a Backup Configuration és Backup and Restore tételekre, hogy hozzárendelődjenek a Backup Administration szerephez. Kattintás a Next gombon.
  3. Adjuk meg annak a konténernek, csoportnak vagy Usernek a nevét, amely e szerep tagja lesz. Ehhez kattinthatunk a Browse majd a Search gombon hogy megtaláljuk a user.Frigyes tételt.
  4. Minden szereptaghoz meg kell határozni azt a címtárfa-tartományt, amelyen a tevékenységeket végrehajthatja, például (az előzőhöz hasonlóan) Browse – Search, és felkeressük a Tokió konténert.

Két dolog történik, amikor egy tag szerepet kap: láthatóvá válik számára a szerep és a kapcsolódó tevékenységek, amikor bejelentkezik a Novell iMana-gerbe, valamint megkapja a tevékenységek végrehajtásához szükséges jogosultságokat. Frigyes esetében a szerep a Backup Administrator (megjelenik a bal oldali panelben), a tevékenységek: Backup Configuration, Backup and Restore, és ezeket a Tokió konténer eDirectory 8.7-es szerverein tudja elvégezni. (Nem kell emlékeznie a nevekre, mert a konkrét végrehajtás böngészőbeli ablakában is van Browse gomb.) Nyilván a biztonsági másolás vagy egyéb engedélyezett tevékenység elvégzéséhez be kell jelentkeznie böngészőn keresztül a Novell iManagerbe, megadva az őt és jogait azonosító adatokat (nevet, jelszót, ujjlenyomatot, írisz-rajzolatot stb.).

A kívánt tevékenység lefolyása közben Frigyes Novell iManager szervere és a Tokió konténerben kijelölt szerver kommunikál az iManager eMBoxa és a célszerver Dhost komponense (annak eMBoxa) segítségével a SOAP-on (simple object access protocolon) keresztül. A folyamatot Frigyes a saját gépén futó böngészőn kíséri figyelemmel, mert az iManager kézenfekvően HTTP adatokká formálja a célszerver Dhostjától érkező üzeneteket. (lásd a 3-6. ábrákat)

Legyenek a dolgok egyszerűek!

Számos módon könnyíti és egyszerűsíti az eDirectory felügyeletét a Novell iManager. Például el lehet osztani a felügyelet terheit: olyan szerepeket oszthatunk ki egyes felhasználóknak, amelyek feljogosítják őket bizonyos felügyeleti tevékenységek végrehajtására. A rendszergazda gyakorlatilag bárhonnan elláthatja feladatát, mert böngészőn át elvégezhet minden fel-ügyeleti tevékenységet, futtathatja a szokásos segédprogramokat.

A Novell iManager elrejti a felhasználók elől a címtár bonyolultságát. A ráosztott szerepben a felhasználó böngészőből (sőt, bizonyos esetekben mobil eszközről) hozzáférhet az eDirectory-fához – mert csak azokat a tevékenységeket látja és hajthatja végre a Novell iManagerben, amelyek a szerepéhez tartoznak.


6. ábra: Az eMFrame egy sor olyan minta- vagy stíluslapot tartalmaz, amelyeket az adatok megfelelő formázására használ attól függően, milyen eszköztől fogadta a kérést.

Ha ez a nagy egyszerűség a techno-zsenik számára nem hangzik túl jól, vigasztalódjanak: a Novell iManager továbbra is támogatja a parancssoros vezérlést helyben, vagy távolról. De minden rendszergazda azokat az eszközöket kedveli, amelyek egyszerűsítik az életét – a Novell iManager pedig pont ezt teszi.