Beglaubigen mit dem ZfD-Verwaltungsagenten und dem ZfD Middle Tier-Server

Wenn sich die Benutzer über das Anmeldedialogfeld des ZfD-Verwaltungsagenten im Netzwerk anmelden sollen, müssen Sie den ZfD-Verwaltungsagenten anpassen können. Darüber hinaus müssen Sie die anderen Vorbereitungen treffen können, die für die Anpassung des gewünschten Anmeldevorgangs erforderlich sind.

Weitere Informationen zur Abfrage der Inventardatenbank finden Sie unter


Für ZfD-Richtlinien erforderlicher Berechtigungsnachweis

Dieser Abschnitt enthält Tabellen mit Informationen zu dem Berechtigungsnachweis, der für die Beglaubigung von ZfD-Benutzern und Arbeitsstationsrichtlinien bei eDirectory erforderlich ist. Dies gilt für Benutzer-Arbeitsstationen, auf denen der ZfD-Verwaltungsagent installiert ist und die über den ZfD Middle Tier-Server kommunizieren.

Hier erfahren Sie, wozu Sie diesen Berechtigungsnachweis während der Installation angeben. Die Abschnitte enthalten:


Erforderlicher Berechtigungsnachweis für Benutzerrichtlinien

Folgende Tabelle enthält die erforderlichen Berechtigungsnachweise für ZfD-Benutzerrichtlinien, die den ZfD-Verwaltungsagenten und den ZfD Middle Tier-Server für die Beglaubigung bei eDirectory verwenden. Es wird davon ausgegangen, dass der ZfD-Verwaltungsagent auf der Benutzer-Arbeitsstation installiert ist.

Arbeitsstationsplattform Dateisystem des eDirectory-Servers Erforderlicher Berechtigungsnachweis Kommentar

Windows 98

NetWare

eDirectory-Benutzer

 

Windows 98

Windows 2000

eDirectory-Benutzer und Domänenbenutzer

Wenn sich die Benutzer nicht bei einer Domäne (sondern bei der lokalen Arbeitsstation und dem lokalen eDirectory) anmelden, verwendet der Middle Tier-Server den eDirectory-Berechtigungsnachweis für die Beglaubigung bei der Domäne. Dies bedeutet, dass der eDirectory-Berechtigungsnachweis mit dem Domänen-Berechtigungsnachweis übereinstimmen muss.

Wenn sich Benutzer von einer Arbeitsstation bei einer Domäne anmelden, wird der jeweilige Domänen-Berechtigungsnachweis verwendet.

Windows NT/2000/XP

NetWare

eDirectory-Benutzer

 

Windows NT/2000/XP

Windows 2000

eDirectory-Benutzer und Domänenbenutzer

Wenn sich die Benutzer nicht bei einer Domäne (sondern bei der lokalen Arbeitsstation und dem lokalen eDirectory) anmelden, verwendet der Middle Tier-Server den eDirectory-Berechtigungsnachweis für die Beglaubigung bei der Domäne. Dies bedeutet, dass der eDirectory-Berechtigungsnachweis mit dem Domänen-Berechtigungsnachweis übereinstimmen muss.

Wenn sich Benutzer bei einer Domäne anmelden, wird der jeweilige Domänen-Berechtigungsnachweis verwendet.

Erforderlicher Berechtigungsnachweis für Arbeitsstationsrichtlinien

Folgende Tabelle enthält die erforderlichen Berechtigungsnachweise für ZfD-Arbeitsstationsrichtlinien, die den ZfD-Verwaltungsagenten und den ZfD Middle Tier-Server für die Beglaubigung bei eDirectory verwenden. Es wird davon ausgegangen, dass der ZfD-Verwaltungsagent auf der Benutzer-Arbeitsstation installiert ist.

Arbeitsstationsplattform Dateisystem des eDirectory-Servers Erforderlicher Berechtigungsnachweis Kommentar

Windows 98

NetWare

eDirectory-Arbeitsstation

 

Windows 98

Windows 2000

Proxy-Berechtigungsnachweis

Der Proxy-Berechtigungsnachweis wird während der Installation des ZfD Middle Tier-Servers eingegeben und in der Registrierung gespeichert.

Windows NT/2000/XP

NetWare

eDirectory-Arbeitsstation

 

Windows NT/2000/XP

Windows 2000

Proxy-Berechtigungsnachweis

Der Proxy-Berechtigungsnachweis wird während der Installation des ZfD Middle Tier-Servers eingegeben und in der Registrierung gespeichert.

Anpassen der Agentenanmeldung

Wenn bei der Installation des ZfD-Verwaltungsagenten Novell Client nicht auf der Arbeitsstation vorhanden ist, zeigt das Installationsprogramm die Seite "Arbeitsstations-Manager-Einstellungen" an. Auf dieser Seite können Sie angeben, welche Elemente dem Benutzer bei der Anmeldung angezeigt werden.


Screenshot des Dialogfelds für die Installation des ZfD-Verwaltungsagenten (Arbeitsstations-Manager-Einstellungen)

Wenn Sie die Option "Beglaubigungsdialogfeld für den ZfD Middle Tier-Server anzeigen" auswählen, wird dem Benutzer immer ein benutzerdefiniertes Novell-Anmeldedialogfeld angezeigt. In diesem Anmeldedialogfeld wird der Benutzer aufgefordert, eine Benutzer-ID und ein Passwort (d. h. einen Berechtigungsnachweis) für den ZfD-Server einzugeben. Dies ist der gleiche Berechtigungsnachweis wie der, den der Benutzer beim Herstellen der Verbindung zum Netzwerk (d. h. zu eDirectory) verwendet.

Sie können diese Option auswählen, wenn mehrere Middle Tier-Server, die die Benutzer für die Beglaubigung beim ZfD-Server verwenden können, im Netzwerk verfügbar sein sollen.

HINWEIS:  Wenn die Benutzer-Arbeitsstation eine Windows NT/2000/XP-Plattform ist, verwenden Sie diese Option, um Richtlinien für dynamische lokale Benutzer für diese Arbeitsstation festzulegen.

Wenn die Benutzer die ZfD Middle Tier-Serveradresse im Beglaubigungsdialogfeld ändern dürfen, können die Benutzer auf dieser Arbeitsstation den DNS-Namen und die IP-Adresse des ZfD Middle Tier-Servers bearbeiten, der für die Beglaubigung bei eDirectory verwendet wird. Die Benutzer können auch einen alternativen Anschluss für die Beglaubigung von Apache Web Server (NetWare) oder IIS Web Server (Windows) angeben. Dazu müssen die Benutzer auf die Schaltfläche "Optionen" im Dialogfeld für die Anmeldung des ZfD-Verwaltungsagenten klicken.


Anmeldedialogfeld für den ZfD-Verwaltungsagenten

Benutzer geben einen alternativen Anschluss an, indem sie einen Doppelpunkt und die Anschlussnummer am Ende der IP-Adresse oder des DNS-Namens eingeben. Beispielsweise:

151.155.155.000:5080


Synchronisierte Anmeldung im "Pass-Through"-Modus

Wenn Sie festlegen möchten, dass den Benutzern nie ein Novell-Anmeldedialogfeld angezeigt wird bzw. dass die Benutzer den ZfD-Verwaltungsagenten automatisch "passieren" und bei dem Standort der ZfD-Dateien beglaubigt werden können, vergewissern Sie sich zuerst, dass der Berechtigungsnachweis der lokalen Benutzer-Arbeitsstation dem Berechtigungsnachweis von eDirectory entspricht. Nach dieser "Synchronisierung" wird die Beglaubigung folgendermaßen ausgeführt:

  1. Der Benutzer gibt seinen Berechtigungsnachweis für die lokale Windows-Anmeldung im Windows-Anmeldedialogfeld ein.
  2. Der ZfD-Verwaltungsagent übergibt (im Hintergrund und ohne Benutzereingriff) den Berechtigungsnachweis für die Windows-Arbeitsstation an den Middle Tier-Server.
  3. Der Middle Tier-Server prüft die jeweiligen Berechtigungsnachweise der einzelnen eDirectory-Benutzer und führt die Beglaubigung bei eDirectory durch, sobald eine Übereinstimmung auftritt.
  4. Der Benutzer ist bei eDirectory beglaubigt, das auf Richtliniendateien verweist. Diese können an die Arbeitsstation übergeben werden, bei der der Benutzer angemeldet ist.

Um den ZfD-Verwaltungsagenten für die Pass-Through-Beglaubigung zu konfigurieren, wählen Sie im Dialogfeld "Arbeitsstations-Manager-Einstellungen", das während der Installation des ZfD-Verwaltungsagenten angezeigt wird, keine Optionen aus. Weitere Informationen hierzu finden Sie unter Anpassen der Agentenanmeldung .

Wenn sich der Benutzer mit einem für eDirectory ungültigen Berechtigungsnachweis bei Windows anmeldet, wird ein Anmeldedialogfeld für den Novell ZfD-Verwaltungsagenten angezeigt.


Anmeldedialogfeld für den ZfD-Verwaltungsagenten


Anmelden bei einem reinen Windows-Netzwerk

Wenn es sich bei dem Server, auf dem Sie ZfD installieren möchten, um einen Bestandteil eines reinen Windows-Netzwerks ohne Novell NetWare-Server handelt, ist möglicherweise Microsoft Active Directory im Netzwerk installiert, und die Benutzer sind Mitglieder von Microsoft-Domänen. Wie in Vorbereiten der Installation beschrieben, muss Novell eDirectory 8.0 (empfohlen 8.6.2) in das Netzwerk (in diesem Fall der Microsoft-Domäne) installiert werden, in dem Sie ZfD installieren möchten.

Folgende Szenarios enthalten Informationen zu der Methode, mit der ZfD die Beglaubigung nach der Anmeldung bei einem reinen Windows-Netzwerk ausführt:


Synchronisierte Anmeldung bei eDirectory

Wenn sich die Benutzer über das Anmeldedialogfeld des ZfD-Verwaltungsagenten und einen lokalen Computer-Berechtigungsnachweis anmelden sollen, müssen Sie den lokalen Arbeitsstations-Berechtigungsnachweis mit dem Berechtigungsnachweis von eDirectory synchronisieren. Nach dieser "Synchronisierung" wird die Beglaubigung folgendermaßen ausgeführt:

  1. Das Betriebssystem Windows 2000 öffnet beim Start der Arbeitsstation das Anmeldedialogfeld für den ZfD-Verwaltungsagenten.
  2. Der Benutzer klickt auf die Schaltfläche "Optionen", um optionale Anmeldefelder anzuzeigen.
    Anmeldedialogfeld für den ZfD-Verwaltungsagenten

  3. Der Benutzer gibt den Benutzernamen und das Passwort für eDirectory in die Felder "Benutzername" und "Passwort" ein.
  4. In der Dropdown-Liste "Von" wählt der Benutzer den Namen der Windows-Arbeitsstation aus, bei der er sich im Windows-Netzwerk anmelden möchte.
  5. Der ZfD-Verwaltungsagent übergibt den Berechtigungsnachweis für eDirectory an den ZfD Middle Tier-Server.
  6. Der ZfD Middle Tier-Server prüft den Berechtigungsnachweis der eDirectory-Benutzer und führt die Beglaubigung bei eDirectory aus, sobald eine Übereinstimmung auftritt.
  7. Der Benutzer ist bei eDirectory beglaubigt, das auf Richtliniendateien verweist. Diese können an die Arbeitsstation übergeben werden, bei der der Benutzer angemeldet ist.

Microsoft-Domänen-Anmeldung

Wenn sich Benutzer über das Anmeldedialogfeld des ZfD-Verwaltungsagenten und einen Berechtigungsnachweis für Microsoft-Domänen anmelden sollen, müssen der Windows 2000-Server, auf dem die ZfD Middle Tier-Server-Software installiert ist, und der Windows 2000-Server, auf dem die ZfD-Serversoftware installiert ist, Bestandteil der gleichen Microsoft-Domäne sein oder eine Vertrauensstellung haben. Die Arbeitsstation muss nur Mitglied dieser Domäne sein, wenn der ZfD-Server MSI-Anwendungen liefert.

Die Beglaubigung wird folgendermaßen ausgeführt:

  1. Das Betriebssystem Windows 2000 öffnet beim Start der Arbeitsstation das Anmeldedialogfeld für den ZfD-Verwaltungsagenten.
  2. Der Benutzer klickt auf die Schaltfläche "Optionen", um optionale Anmeldefelder anzuzeigen.
    Anmeldedialogfeld für den ZfD-Verwaltungsagenten

  3. Der Benutzer wählt in der Dropdown-Liste "Von" die Option für die Anmeldung von der Microsoft-Domäne aus.
  4. Der Benutzer gibt den Domänen-Berechtigungsnachweis in die Felder "Benutzername" und "Passwort" ein. Dieser Berechtigungsnachweis muss nicht mit dem Berechtigungsnachweis für eDirectory synchronisiert werden.
  5. Der ZfD-Verwaltungsagent übergibt den Berechtigungsnachweis an den ZfD Middle Tier-Server.
  6. Der ZfD Middle Tier-Server prüft den jeweiligen Berechtigungsnachweis der einzelnen eDirectory-Benutzer und führt die Beglaubigung bei der Domäne aus.
  7. Der Benutzer ist bei der Domäne beglaubigt. Der Benutzer hat anschließend Zugriff auf die Richtliniendateien, die gespeichert und über die Domäne verfügbar sind sowie auf die Arbeitsstation übertragen werden können, bei der der Benutzer angemeldet ist.

Lights-Out-Beglaubigung der Arbeitsstation

Wenn Sie den ZfD-Verwaltungsagenten bereits auf eine Arbeitsstation installiert haben und der Arbeitsstations-Manager auf dieser Arbeitsstation den Empfang einer Arbeitsstations-Gruppenrichtlinie plant, kann die Arbeitsstation weiterhin bei einem Windows-Netzwerk beglaubigt werden und die Richtliniendateien empfangen, sobald die Gruppenrichtlinie ausgeführt wird. Dies gilt auch dann, wenn der Benutzer nicht angemeldet ist. Dieser Vorgang wird auch "Lights-Out"-Beglaubigung genannt. Die Beglaubigung wird folgendermaßen ausgeführt:

  1. Zum Zeitpunkt der Ausführung der Richtlinie wird der ZfD-Verwaltungsagent mit dem ZfD Middle Tier-Server verbunden. Hierzu werden die DNS-Namen oder die IP-Adressen verwendet, die während der Installation des ZfD-Verwaltungsagenten angegeben wurden. Diese Informationen sind in der Windows-Registrierung auf der Arbeitsstation gespeichert.
  2. Der ZfD Middle Tier-Server verwendet den Berechtigungsnachweis des Domänenbenutzers, der im Registrierungsprogramm des ZfD Middle Tier-Installationsprogramms gespeichert ist, um sich als Domänenbenutzer mit Dateirechten für die entsprechenden Dateien zu beglaubigen.
  3. Die Richtliniendateien werden über den ZfD Middle Tier-Server auf die Benutzer-Arbeitsstation kopiert.