15.2 Linux 用户管理:eDirectory 用户对 Linux 的访问

虽然 NetWare® 服务器上的用户和组是通过 eDirectory 管理的,但 Linux 服务器上的用户和组是根据 POSIX*(可移植操作系统接口)标准管理的。

由于 Open Enterprise Server 提供了运行在 Linux 和 NetWare 上的服务,Novell® 开发了一项技术,通过该项技术,eDirectory 用户也可以充当 Linux 服务器上的“本地”POSIX 用户。该项技术被称为 Linux 用户管理或 LUM。

以下各节概述了 Novell LUM 中所涉及的基本原理,包括以下主题:

15.2.1 概述

本节中的主题专用于帮助您了解何时需要使用启用 LUM 的访问,以便可访问您的网络服务并且它能够按照预期运行。有关 Linux 用户管理的更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》中的概述

本概述节讨论了以下主题:

Linux 用户管理的图形概览

图 15-1演示了 Linux 用户管理如何控制对 OES 2 服务器的访问。

图 15-1 LUM 为 eDirectory 用户提供了 POSIX 访问

下表解释了图 15-1中所显示的信息。

有效的 POSIX 用户

鉴定

eDirectory 鉴定的服务

OES 2 Linux 服务器上的某些服务必须由 POSIX 用户访问。

如果对 eDirectory 用户启用了 Linux 访问权限,则他们也可以充当 POSIX 用户。

当系统接收到操作请求时,它可以鉴定本地 POSIX 用户和已启用 Linux 访问的用户。

用户可以作为本地或 eDirectory 用户潜在地访问启用 PAM 的服务、Samba 共享和 Novell 远程管理器。

没有为 eDirectory 访问启用 passwd 命令,因为 eDirectory 口令保存在 eDirectory 中,没有保存在本地服务器上。

Linux 需要 POSIX 用户

Linux 要求根据标准 POSIX 特性定义所有用户,如用户名、用户 ID (UID)、主组 ID (GID)、口令和其它类似特性。

Linux 用户可以为本地或远程用户

可采用以下两种方式创建访问 Linux 服务器的用户:

  • 本地(在服务器上): 在命令提示符(使用诸如 useradd 的命令)下或在 YaST 中管理本地用户。(有关更多信息,请参见 useradd(8) 手册页和 YaST 联机帮助。)这些本地用户储存在 /etc/passwd 文件中。(有关更多信息,请参见 passwd(5) 手册页。)

    重要说明:通常,OES 2 Linux 服务器上只应存在本地用户帐户,即 root 用户。所有其它用户帐户都应在 eDirectory 中创建,然后为这些用户帐户启用 Linux 访问 (LUM)。请勿创建重复的本地和 eDirectory 用户帐户。

    有关更多信息,请参见部分 6.2, 避免 POSIX 和 eDirectory 重复

  • 远程(远离服务器): 可通过其它系统管理远程用户,如兼容 LDAP 的目录服务。远程用户访问是通过 Linux 上的可插入鉴定模块 (PAM) 体系结构启用的。

Linux POSIX 兼容的接口可鉴定这两种用户,与储存他们的位置和管理他们的方式无关。

root 用户永远不能启用 LUM

OES 2 用户管理工具不允许您创建名为 root 的 eDirectory 用户,因此会替换 OES 2 Linux 服务器上的 root 用户。如果 root 要成为 LUM 用户,并且由于某个原因,eDirectory 变为不可用,将不存在对系统的 root 访问。

即使 eDirectory 不可用,您仍然可以使用 NRM 登录到服务器并以 root 用户身份执行其它系统管理任务。

关于 OES 2 Linux 上的服务访问

通过 Novell Linux 用户管理 (LUM),可以使用 eDirectory 集中管理远程用户对一台或多台 OES 2 Linux 服务器的访问。

也就是说,通过 LUM,eDirectory 用户可以充当 OES 2 Linux 服务器上的本地 (POSIX) 用户。利用 Linux 可插入鉴定模块 (PAM) 体系结构可启用访问。PAM 使 eDirectory 用户可以通过 LDAP 使用 OES 2 Linux 服务器进行鉴定。

在 OES 中,术语启用 LUM启用 Linux 均用于描述将标准 Linux (POSIX) 特性和值添加到 eDirectory 用户和组的过程,以使他们可以充当服务器上的 POSIX 用户和组。

可以使用 iManager 为 Linux 启用 eDirectory 用户。有关指导,请参见关于启用 eDirectory 用户的 Linux 访问权限

OES 2 Linux 中需要启用 LUM 访问的服务

OES 2 Linux 服务器上的某些服务需要 eDirectory 用户启用 LUM:

  • 为 LUM 启用的核心 Linux 实用程序: 这些是您在 OES 安装期间指定的要启用的核心实用程序和其它内核命令,以便通过 eDirectory LDAP 进行鉴定。在 Linux 中,这些被称为启用 PAM 的实用程序。

    重要说明:在接受默认启用 PAM 的服务设置之前,请确保已经了解了部分 21.2.2, 用户限制 - 一些 OES 2 Linux 限制中所述的安全性含义。

    表 15-1总结了可用于启用 LUM 的核心实用程序。

    表 15-1 受 LUM 控制的启用 PAM 的服务

    命令

    执行位置

    任务

    ftp

    另一台主机

    在这种情况下,文件的传入和传出位置均为远程主机。

    login

    • OES 2 服务器

    • OES 2 服务器的 SSH 会话

    直接或利用服务器的 SSH 会话登录到 OES 2 服务器。

    openwbem

    本地主机

    iPrint、NSS、SMS、Novell 远程管理器和 iManager 需要使用。

    gdm

    • 本地主机

    • 远程主机

    使用 XDMCP 运行和管理 X 服务器。

    gnomesu-pam

     

     

    sshd

    另一台主机

    与 OES 2 服务器建立安全加密连接,OES 2 服务器在这种情况下是远程主机。

    su

    • OES 2 服务器

    • 与 OES 2 服务器的 SSH 会话

    暂时成为其他用户。

    此命令通常用于将当前用户暂时变为 root 用户,由于该用户不是 LUM 用户,因此不受 LUM 的影响。

    注:通过启用 PAM 的服务第一次登录到 OES 2 Linux 服务器上时,会导致创建一个主目录。

  • 服务器上的 Novell Samba (CIFS) 共享: 需要访问服务器上定义的 Samba 共享的 Windows 工作组用户,还必须是配置为访问该服务器的启用 LUM 的 eDirectory 用户。这是由于访问 Samba 时,需要提供 POSIX 标识。

    另外,需要访问指向该服务器的 CIFS 储存位置对象的 NetStorage 用户,还必须是可以访问该服务器的启用 LUM 的 eDirectory 用户。

    注:虽然 Samba 用户必须要启用 Linux,但 Samba 并不是启用 PAM 的服务。通过 Samba 登录到 OES 2 Linux 服务器不会创建主目录。

  • Linux 上的 Novell 远程管理器 (NRM): 您可以使用以下身份访问 NRM:

    • 有权查看 Linux 服务器上的所有内容的 root 用户。

    • 访问权限受 POSIX 访问权限控制的本地 Linux 用户。(除 root 用户之外,不建议在 OES 2 服务器上使用本地用户。)

    • 启用 LUM 的 eDirectory 用户,如安装期间创建的 Admin 用户。

  • Linux 上的 Novell 储存管理服务 (Storage Management Services, SMS): 可以使用以下身份访问 SMS 实用程序:

    • 有权查看 Linux 服务器上的所有内容的 root 用户。

    • 访问权限受 POSIX 访问权限控制的本地 Linux 用户。(除 root 用户之外,不建议在 OES 2 服务器上使用本地用户。)

    • 启用 LUM 的 eDirectory 用户,如安装期间创建的 Admin 用户。

不需要启用 LUM 访问但有一些 LUM 要求的服务

访问某些服务时不需要 eDirectory 用户启用 Linux:

  • NCP 服务器: 已移植到 Linux 的 NCP™ 服务器保持与 eDirectory 的紧密集成,因此不需要 eDirectory 用户启用 Linux。

    但是,当创建的 NCP 卷指向服务器上的分区而不是 NSS 时,如果 eDirectory 用户没有启用 Linux,则无法使用全部功能。例如,如果用户没有启用 Linux,则无法进行跨协议访问。

  • NetStorage: 通常,NetStorage 用户不需要启用 Linux。但是,只有启用 Linux 的用户才可以在 NSS 卷上通过 NetStorage 挽回并清除文件。

    注:虽然,NetStorage 不要求启用 LUM 访问,但该服务本身是以兼容 POSIX 的系统用户身份运行的,该系统用户与访问该服务的终端用户具有同样的功能。

    如果 NetStorage 必须访问 NSS 卷,则系统用户必须启用 Linux,因为只有 eDirectory 用户才可以访问 NSS 卷。

    有关更多信息,请参见部分 H.0, OES 2 系统用户和组

  • NSS: 直接使用 NCP (Novell Client™) 访问 NSS 卷的 eDirectory 用户无需启用 Linux。

    但是,如果使用挽回功能,则不会跟踪文件删除者的信息,除非该用户启用了 Linux。如果不是启用 Linux 的用户删除了文件,挽回将报告是服务器删除了该文件。

    另外,如果使用任何其它的文件访问协议通过虚拟文件系统层(使 NSS 看起来像是兼容 POSIX 的文件系统)访问 NSS,则用户必须启用 Linux。

无需启用 LUM 访问的服务

以下终端用户服务不需要启用 LUM 访问:

Linux 访问权限并不是 OES 2 Linux 服务器的全局访问权限

当您规划支持 Linux 的用户访问这些服务时,请记住,启用 LUM 的用户需要访问的每台 OES 2 Linux 服务器必须与这些用户所属的启用 LUM 的组相关联。

换言之,启用 Linux 的用户没有足够的权限访问单个的 OES 2 Linux 服务器,更不必说多台服务器了。用户所属的启用 LUM 的组与 eDirectory UNIX 工作站对象(与服务器相关联)之间的关联性,必须通过使用这些用户需要访问的每台服务器的 iManager 来建立。通过使用启用用户访问多台 OES 2 Linux 服务器的权限中介绍的过程,可以为多台服务器完成此操作。

有关 LUM 的更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》

15.2.2 规划

以下章节简要介绍了 LUM 规划的注意事项。

eDirectory Admin 用户自动启用 Linux 访问权限

当在 OES 2 Linux 服务器上安装 Linux 用户管理时,将自动启用安装 LUM 的 Admin 用户对象,以实现到该服务器的 eDirectory LDAP 鉴定。

规划启用哪个用户进行访问

您需要标识要对 OES 2 Linux 服务器进行 eDirectory LDAP 访问的用户(和组)。

通过执行以下操作可以很轻松地完成此操作:

  1. 查看OES 2 Linux 中需要启用 LUM 访问的服务中的信息。

  2. 标识将运行上述服务的服务器。

  3. 在规划表中,标注要启用的用户和组,以及这些用户和组要访问的服务器。

了解系统创建的用户和组

您需要标识要对 OES 2 Linux 服务器进行 eDirectory LDAP 访问的用户(和组)。

通过执行以下操作可以很轻松地完成此操作:

  1. 查看OES 2 Linux 中需要启用 LUM 访问的服务中的信息。

  2. 标识将运行上述服务的服务器。

  3. 在规划表中,标注要启用的用户和组,以及这些用户和组要访问的服务器。

15.2.3 共存和迁移

有关共存和迁移的信息,请参见《Novell 服务器合并和迁移工具包管理指南》中的了解启用 Linux 的用户的需求

15.2.4 LUM 实施建议

以下几节简要介绍了 LUM 实施的注意事项。

关于启用 eDirectory 用户的 Linux 访问权限

您可以通过使用 iManager 2.7 或 nambulkadd 命令,启用 eDirectory 用户进行 Linux 用户管理。

  • iManager: 您可以使用 iManager 中的 Linux 用户管理任务启用现有 eDirectory 用户的 Linux 访问权限。

    只要可以将多个用户指派到启用 LUM 的同一主组中,您就可以在同一操作中启用多个用户。启用过程可以将该组与一台或多台 OES 2 Linux 服务器或 Linux 工作站相关联。有关更多信息,请参见启用用户访问多台 OES 2 Linux 服务器的权限

    在启用 Samba 的过程中,还可以启用 Samba 用户的 Linux 访问权限。

UNIX 工作站Linux 工作站是同一种对象

使用 iManager 管理 OES 2 Linux 访问权限时,您可能会注意到在命名方面存在一些不一致性。

创建 OES 2 Linux 服务器时,在 eDirectory 中会创建UNIX 工作站 - 服务器名称对象,其中 服务器名称 是 OES 2 Linux 服务器的 DNS 名称。在某些情况下,iManager 帮助会将这些服务器对象作为Linux 工作站对象。

UNIX 工作站Linux 工作站引用的是相同的 eDirectory 对象。

启用用户访问多台 OES 2 Linux 服务器的权限

重要说明:用户获取服务器访问权限是通过他们的启用 LUM 的组指派,而不是通过直接指派到 UNIX 工作站对象本身。

您可以通过将用户所属的启用 LUM 的组与希望用户访问的 UNIX 工作站对象相关联,以启用用户访问多台 OES 2 Linux 服务器的权限。

启用 eDirectory 组的 Linux 访问权限

有两种方法可以启用 eDirectory 组的 Linux 访问权限:

使用 iManager

以下步骤假设 eDirectory 组对象已存在,且需要访问 Linux 的所有用户对象也存在,并均已指派到组。

  1. 以 eDirectory Admin 用户或等效用户身份登录到 iManager。

  2. 单击“Linux 用户管理”>“对 Linux 启用组”

  3. 浏览并选择一个或多个组对象,然后单击“确定”

  4. 如果要将所有用户都指派到有权访问 Linux 的组中,请确保选中“对 Linux 启用这些组中的所有用户”选项。

  5. 单击“下一步”两次。

  6. 浏览并选择一个或多个 UNIX 工作站(OES 2 Linux 服务器)对象,然后单击“确定”

  7. 单击“下一步”、“完成”,然后单击“确定”

在命令提示符处使用 LUM 实用程序启用/创建多个组

Novell Linux 用户管理包含的实用程序可用于创建新的启用 LUM 的组,并可启用现有 eDirectory 组的 Linux 访问权限。

nambulkadd 实用程序允许您使用文本编辑器创建能够访问 Linux 的组列表。有关更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》中的nambulkadd

重要说明:请确保在每个文本文件的最后包含一个空行。否则,将不能正确处理文件的最后一行。

namgroupadd 实用程序允许您创建新的启用 LUM 的组或启用现有 eDirectory 组的 Linux 访问权限。有关更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》中的namgroupadd

启用 eDirectory 用户的 Linux 访问权限

有两种方法可启用 eDirectory 用户的 Linux 访问权限:

使用 iManager

以下步骤假设已存在 eDirectory 用户对象。

  1. 以 eDirectory Admin 用户或等效用户身份登录到 iManager。

  2. 单击“Linux 用户管理”>“对 Linux 启用用户”

  3. 浏览并选择一个或多个用户对象,然后单击“确定”

  4. 单击“下一步”

  5. 如上所述,可执行以下操作:

    • 选择并对 Linux 启用一个现有的 eDirectory 组。

    • 选择一个已对 Linux 启用的 eDirectory 组。

    • 指定要创建并对 Linux 启用的新 eDirectory 组的名称和环境。

    选择符合要求的选项。

  6. 单击“下一步”

  7. 浏览并选择一个或多个 UNIX 工作站(OES 2 Linux 服务器)对象,然后单击“确定”

  8. 单击“下一步”、“完成”,然后单击“确定”

在命令提示符处使用 LUM 实用程序以启用/创建多个用户

Novell Linux 用户管理包含的实用程序可用于创建新的启用 LUM 的用户,并可启用现有 eDirectory 用户的 Linux 访问权限。

nambulkadd 实用程序允许您使用文本编辑器创建要能够访问 Linux 的用户的列表。有关更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》中的nambulkadd

重要说明:请确保在每个文本文件的最后包含一个空行。否则,将不能正确处理文件的最后一行。

namuseradd 实用程序允许您创建启用 LUM 的单个用户或启用现有 eDirectory 用户的 Linux 访问权限。有关更多信息,请参见《OES 2:Novell Linux 用户管理技术指南》中的namuseradd