16.1 控制对服务的访问

OES 2 支持许多针对服务访问的访问选项,包括

可以通过提供的服务以及配置这些服务的方式控制所使用的选项。

本节可以帮助您详细了解访问控制,这样您就可以对这些服务进行规划、实施并控制对这些服务的访问。有关讨论项的更多详细内容,请参见各自的服务指南。

下面将介绍以下主题:

16.1.1 访问控制概述

以下章节简要介绍访问 Open Enterprise Server 2 服务的方法。

访问 OES 2 服务

图 16-1介绍的是 OES 2 服务支持的访问方法。Novell® eDirectory™ 提供到每种服务的鉴定。

图 16-1 访问接口及其可以访问的服务

每种服务适用的接口在很大程度上取决于这些服务所支持的协议。

  • 浏览器和个人数字助理要求支持 HTTP 协议。

  • 每种工作站类型都有与其相关联的文件访问协议。Linux 将 NFS 作为它文件服务访问的本机协议,Macintosh 工作站使用 AFP 或 CIFS 进行通讯,而 Windows 工作站则将 CIFS 协议用于文件服务。

  • Windows 和 Linux 的 Novell Client 软件都使用 NetWare® Core Protocol™ (NCP™) 软件提供 Novell 众所周知的文件服务。

了解 OES 2 服务所支持的协议有助于您开始规划 OES 实施。有关更多信息,请参见匹配协议和服务以检查访问要求

OES 2 中的访问控制选项

OES 2 提供了传统的 Novell 访问控制和 POSIX 访问控制,因此您可以采用多种方法,包括结合这两种模型来满足网络服务的各个方面。

表 16-1提供了介绍 OES 2 访问控制功能的文档链接。

表 16-1 常用的文件系统访问控制

功能

了解内容

参见

Linux 中的访问控制列表 (ACL)

如何在最常用的 Linux 传统文件系统上支持 ACL,以及如何将文件和目录权限指派给没有文件或目录的用户和组。

《SLES 10 SP1 安装和管理指南》中的Linux 中的访问控制列表

调整 NCP 和 POSIX 访问权限

如何模拟 POSIX 文件系统上的 NCP(或 NetWare)访问控制模型。

部分 17.4, 调整 NCP 和 POSIX 文件访问权限

目录和文件特性

OES 2 NetWare 上的目录和文件特性。

《OES 2:文件系统管理指南》中的NSS 卷或 NetWare 传统卷的目录和文件特性

文件系统受托者权限

NetWare(NSS 和传统卷)上的文件系统受托者权限,包括 NetWare 如何确定有效的文件系统受托者权限。

《OES 2:文件系统管理指南》中的文件系统受托者权限

NetWare 连接管理器

NetWare 连接管理器如何跟踪活动的用户连接,以及如何提供 NetWare 上 NSS 和传统卷的访问权限信息。

《OES 2:文件系统管理指南》中的NetWare 的连接管理器

Novell Client 和 NetWare 连接管理器

Novell Client 如何与连接管理器协同工作,以确保用户拥有正确的文件系统访问权限。

《OES 2:文件系统管理指南》中的Novell Client

NetWare 受托者权限以及目录和文件特性

如何控制谁可以查看哪支文件,以及他们对文件进行的操作。

《OES 2:文件系统管理指南》中的使用受托者了解文件系统访问控制

Linux 中的 POSIX 文件系统权限和特性

如何在 OES 2 Linux 服务器上配置文件系统特性。

《SLES 10 SP1 安装和管理指南》中的Linux 中的访问控制列表

在 NetWare 上安装应用程序的权限

在 NetWare 文件系统上安装应用程序所需的访问权限。

《OES 2:文件系统管理指南》中的安全性准则

eDirectory 中的安全等效性

eDirectory 中的安全等效性概念。

《OES 2:文件系统管理指南》中的eDirectory 对象和安全等效性

传统的 Novell 访问控制模型

NetWare 的特点是具有多种访问控制方法。通过支持 NSS 卷,OES 可以让这些控制方法用于 Linux。另外,通过创建 NCP 卷,有些控制方法还可用于 Linux 传统文件系统。由于 Linux 传统系统仅提供一个 NSS 提供的目录和文件特性的子集,因此限制了 NCP 卷。

在 NetWare 访问控制模型中,会指派 eDirectory 对象(如用户和组)对 NSS 和 NCP 卷上目录和文件的文件系统受托者权限。这些受托者权限可以决定,用户或组在目录或文件特性允许的情况下可对目录或文件执行的操作。

图 16-2对此进行了说明。

图 16-2 NetWare 访问控制模型中的目录和文件访问

表 16-2介绍了图 16-2中说明的有效访问权限。

表 16-2 访问权限说明

eDirectory 对象

文件系统受托者权限

目录和文件特性

目录和文件

通过 eDirectory,eDirectory 对象(大多数情况下指用户和组)可以获取文件系统的访问权限。

文件系统受托者权限可通过为目录或文件(向它们授予该权限)指定的 eDirectory 对象来控制访问和用法。

目录和文件特性会覆盖受托者权限。

例如,尽管 Nancy 对目录(及其包括的文件)拥有主管级(所有)受托者权限,但由于 File2 设置了“只读”特性,因此她无法删除 File2。

当然,Nancy 可以修改文件特性,然后就可以删除 File2 了。

每个目录和文件都有与之相关联的特性。一般情况下,无论对象拥有哪一种受托者权限,这些特性对所有受托者均有效。

例如,具有“只读”特性的文件对所有的用户而言都是“只读”的。

任何对目录或文件拥有修改受托者权限的受托者都可以设置特性。

本示例中的 eDirectory 用户和组可以执行的操作如下:

  • Nancy 对目录级拥有主管级受托者权限,即她可以执行任何操作而不会受到目录或文件特性的限制。

    除非 Nancy 先修改 目录 A 的特性,否则 Di(禁止删除)和 Ri(禁止重命名)特性会阻止她删除或重命名该目录。对于 File2,同样如此。

  • 由于 Joe 是记录员组的成员,因此他可以查看目录 A 中的文件和目录名称,还可以查看直到根目录的目录结构。

    Joe 还可以打开和读取目录 A 中的所有文件,以及执行目录 A 中的所有应用程序。

  • 由于 Bert 是记录员组的成员,因此他可以查看目录 A 中的文件和目录名称,还可以查看直到根目录的目录结构。

    Bert 还可以打开和读取 File1,如果该文件是应用程序,则还可以执行它。

    同时,Bert 还可以授权任何一位 eDirectory 用户访问 File1。

  • 由于这三位用户都是记录员组的成员,因此他们都可以授权任何一位 eDirectory 用户访问 File2。

    当然,对 Nancy 而言这是多余的,因为她对目录级拥有主管级权限。

OES Linux 上的 NSS 访问控制

表 16-3提供了一些文档的链接,这些文档介绍了各种 NSS 特定的访问控制功能。

表 16-3 NSS 访问控制文档链接汇总

功能

了解内容

参见

独立方式与 NetWare 方式

仅适用于 Linux 服务器。

独立方式访问与 NetWare 方式访问之间的区别。

《OES 2:文件系统管理指南》中的Linux 中的 NSS 访问控制

OES 2 Linux 中 NSS 卷上的 NetWare 目录和文件特性

仅与显示的内容有关。不使用 POSIX 权限对 NSS 卷进行访问控制。

如何在 Linux 目录中反映 NSS 文件特性以及如何通过 POSIX 查看文件权限。

《OES 2:文件系统管理指南》中的根据 Linux POSIX 权限显示主 NSS 目录和文件特性

Novell Client(NCP 文件服务)访问

如果您还没有决定是否在网络中使用 Novell Client,我们建议您考虑以下信息:

关于 Novell Client

Novell Client 通过访问 NetWare 和 OES 2 Linux 服务器扩展了 Windows 和 Linux 桌面的功能。

Novell Client 软件安装完成后,用户可尽情享受全面的 Novell 服务,如

  • 通过 Novell eDirectory 执行鉴定

  • 网络浏览和服务解析

  • 安全可靠的文件系统访问

  • 支持业界标准协议

Novell Client 支持传统的 Novell 协议(NDAP、NCP 和 RSA),并可与开放式协议(LDAP、CIFS 和 NFS)进行互操作。

Novell Client 适合您的网络吗?

虽然 Novell 提供了一些不需要 Novell Client 的服务(如 NetStorage、Novell iFolder® 3.6 和 iPrint),但是许多网络管理员由于以下原因还是喜欢将 Novell Client 作为网络用户的访问选择:

  • 他们认为 eDirectory 鉴定更安全,所以他们更喜欢 eDirectory 鉴定而不是 LDAP 鉴定。

  • 他们认为 CIFS 更容易传播网络病毒,所以他们更喜欢 NetWare 核心协议 (NCP),而不是 Microsoft CIFS 协议。

相反,其他网络管理员同样也坚信他们的用户会表现得更好,并且不会因为在每个工作站上运行 NCP 客户程序而增加管理费用。

我们无法确定哪种最适合您的网络,但是我们肯定可以向您提供可行的选择。

Linux 和 Windows 的区别

Linux 和 Windows 客户程序有一些区别。请参见《Novell Client 2.0 for Linux 管理指南》(Novell Client 2.0 for Linux Administration Guide) 中的了解 Novell Client for Linux 与 Novell Client for Windows 2000/XP 之间的区别

eDirectory 用户访问 OES 2 Linux 服务器

OES 2 Linux 服务器上运行的某些服务要求访问它们的用户是(或至少让 Linux 系统感觉是)具有 Linux 用户身份凭证(如用户 ID (UID) 和主组 ID (GID))的标准 Linux 用户。

这样 eDirectory 用户才可以访问这些服务,Novell 提供了 Linux 用户管理 (LUM) 技术。这种技术对身为网络管理员的您的影响是,必须对这些用户和组启用到本地服务器的 eDirectory LDAP 鉴定。有关更多信息,请参见Linux 用户管理:eDirectory 用户对 Linux 的访问

16.1.2 规划服务访问

了解了适用于网络用户的访问选项后,您就可以决定哪些选项最适合于您的网络。

有关规划网络服务的提示,请参见以下章节:

规划文件服务访问

规划要提供哪些文件服务时,需要了解以下章节中总结的文件服务/卷和功能支持限制。

卷类型限制的服务访问

表 16-4中总结了受支持的组合。

表 16-4 针对卷类型的服务访问

文件服务

Linux 传统卷

Linux 中的 NSS 卷

NetWare 传统卷

NetWare 上的 NSS 卷

AFP

已规划 OES 2 SP1

是 - NFAP

CIFS

是 - Samba

是 - Samba

是 - NFAP

NetStorage

NetWare 核心协议 (NCP)

NFS

是 - NFSv3

是 - NFAP

Novell iFolder 2.1 x

Novell iFolder 3.6

Samba

有关每个文件服务所支持的文件系统的详细信息,请参见各个服务的相应文档。

注意,文件服务支持不同的访问协议集合。有关可用于访问各个 OES 文件服务的协议摘要,请参见匹配协议和服务以检查访问要求

功能支持

表 16-5 每个卷类型支持的功能

功能

Linux 传统卷

Linux 上的 NSS 卷

NetWare 传统卷

NetWare 上的 NSS 卷

目录定额

登录底稿

是(如果也定义为 NCP 卷)

映射的驱动器

是(如果也定义为 NCP 卷)

NetWare 目录和文件特性

是(如果也定义为 NCP 卷)

NetWare 扩展特性

清除/挽回

受托者权限

是(如果也定义为 NCP 卷)

用户空间定额

规划打印服务访问

Novell iPrint 具有访问控制功能,因此您可以指定每个 eDirectory 用户、组或树枝对象所拥有的访问打印资源的权限。

您还可以使用 iPrint 来设置不需要鉴定的打印服务。

注:只有 Windows iPrint 客户程序才支持对打印机的访问控制。

有关访问控制和 iPrint 的更多信息,请参见以下内容:

匹配协议和服务以检查访问要求

图 16-3说明了 OES 用户可用的访问接口,以及每个接口可以连接到的服务。它还显示了使用网络服务连接访问接口的协议。

要使用该图来规划:

  1. 查看左列中不同的访问接口。

  2. 检查第二列中靠右列出的每个协议的信息。

  3. 在最右列中,查看每个服务支持的协议。

图 16-3 访问接口和服务,以及连接它们的协议

16.1.3 访问服务的共存和迁移

由于 NetWare 核心协议 (NCP) 现在可用于 Linux,因此 Novell Client 用户可以像挂接到 NetWare 服务器一样轻松地挂接到 OES 2 Linux 服务器。事实上,他们可能不会注意到任何变化。

NCP Server for Linux 支持登录底稿、将驱动器映射到 OES 2 Linux 服务器,以及其它通常与 Novell Client 访问相关的服务。这意味着安装了 Novell Client 的 Windows 用户现在可以无缝转换到 OES 2 Linux 上的文件服务。使用 Novell Client for Linux,可以在不中断 NCP 文件服务的情况下将 Windows 用户移动到 SUSE Linux Enterprise Desktop。

有关更多信息,请参见《OES 2:NCP Server for Linux 管理指南》

16.1.4 访问实施建议

在规划并安装完 OES 2 服务后,请确保向网络用户提供明确的访问说明。有关访问方法的摘要,请参见部分 D.0, OES 2 用户服务的快速参考

16.1.5 配置和管理对服务的访问

以下各节讨论服务的访问权限管理。

口令管理

许多网络管理员允许用户管理他们自己的口令。有关口令自助管理的更多信息,请参见《Novell 口令管理管理指南》(Novell Password Management Administration Guide) 中的口令自助服务

Linux (POSIX) 文件系统访问权限

通过 POSIX 文件系统访问权限或与目录和文件相关联的特性,可以控制对 Linux 传统文件系统的访问权限。通常,可通过三种 POSIX 实体访问目录和文件:

  • 拥有该目录或文件的用户

  • 拥有该目录或文件的组

  • 在系统中定义的所有其他用户

将向每个用户或受影响的组指派(或不指派)每个目录和文件的三种特性的组合:

属性

指派后对目录的影响

指派后对文件的影响

允许用户或组查看该目录的内容。

允许用户或组打开和读取该文件。

允许用户或组创建或删除该目录中的文件和子目录。

允许用户或组修改该文件

执行

允许用户或组通过使用 cd 命令访问该目录。

允许用户或组将该文件作为程序运行。

有关更多信息,请参见《OES 2:文件系统管理指南》中的配置文件系统受托者、受托者权限、继承权限过滤器和特性

NSS(和 NetWare)文件和目录受托者管理

《OES 2:文件系统管理指南》配置文件系统受托者、受托者权限、继承权限过滤器和特性一节中深入讨论了文件和目录受托者管理。

以下各节介绍了有关在 NSS 卷上管理受托者的概要信息。

使用 NetStorage 更改文件和目录的特性和受托者

您可以使用 NetStorage 万维网浏览器界面更改 NSS 卷上目录和文件的特性和受托者,但是您无法使用连接到 NetStorage 的 WebDAV 更改它们。

您无法使用 NetStorage 更改 NetWare 传统卷上的特性或受托者。

使用 Novell Client 更改文件和目录的特性和受托者权限

您可以使用 Novell Client 来更改 NSS 文件和目录的特性,以及授予受托者对 OES 2 Linux 服务器上 NSS 卷的访问权限。有关更多信息,请参见《Novell Client 4.91 for Windows XP/2003 安装和管理指南》中的NetWare 文件安全性《Novell Client 2.0 for Linux 管理指南》中的管理文件安全性

使用 iManager 2.7 更改文件和目录的特性和受托者权限

您可以使用 iManager 2.7 文件和文件夹插件来管理 NCP 和 NSS 卷上的目录和文件。有关更多信息,请参见插件帮助。

在 Linux 命令提示符下更改文件特性

使用 attrib 命令更改 NSS 卷上文件和目录的特性。

attrib 命令还记录在《OES 2:文件系统管理指南》Linux 的特性实用程序中。

或者,您可以在命令提示符下输入以下命令:

attrib --help

在 Linux 命令提示符下更改受托者权限

若要向 NSS 卷授予 NSS 受托者权限,请输入以下命令:

rights -f /full/directory/path -r rights_mask trustee full.object.context

其中,/full/directory/path 是指向 NSS 卷上的目标目录的路径,rights_mask 是 NSS 权限的列表,而 full.object.context 是其完整 eDirectory 环境(包含树名)中的对象(用户或组)。

例如,可能输入以下命令:

rights -f /data/groupstuff -r rwfc trustee mygroup.testing.example_tree

有关命令选项的完整列表,请在命令提示符下输入 rights

权限命令也记录在《OES 2:文件系统管理指南》中的Linux 的受托者权限实用程序