16.1 控制服務的存取
OES 2 支援一些服務存取的存取選項,包括
-
網頁瀏覽器。
-
在 Linux、Macintosh 以及 Windows 工作站上的檔案管理員與應用程式。
-
Novell Client™ 軟體。
-
個人數位助理 (PDA) 以及其他啟用 Web 存取的電子設備。
您可以透過提供的服務以及設定這些服務的方式來控制可以使用的這些選項。
本節可以協助您瞭解高層次的存取控制,以利您規劃、執行和控制服務的存取。在個別的服務指南中包含有關所討論項目更詳細的資訊。
接下來的主題是:
16.1.1 存取控制的綜覽
下列小節提供存取 Open Enterprise Server 2 服務的方法綜覽。
存取 OES 2 服務
圖 16-1 說明 OES 2 服務支援的存取方法。Novell® eDirectory™ 為每個服務提供驗證。
圖 16-1 它們可以存取的存取介面與服務
每個服務可以使用的介面大部分都是由服務支援的協定所決定。
-
瀏覽器與個人數位助理需要 HTTP 協定的支援。
-
每個工作站類型都有關聯的檔案存取協定。Linux 使用 NFS 做為其檔案服務存取的本地協定,Macintosh 工作站使用 AFP 或 CIFS 來通訊,而 Windows 工作站則使用 CIFS 協定提供檔案服務。
-
適用於 Windows 與 Linux 的 Novell Client 軟體都使用 NetWare® Core Protocol™ (NCP™) 軟體來提供 Novell 已知的檔案服務。
瞭解 OES 2 服務支援的協定可以協助您開始規劃 OES 的執行。若需要更多的資訊,請參閱比對協定與服務以檢查存取需求。
OES 2 中的存取控制選項
因為 OES 2 提供傳統 Novell 存取控制與 POSIX 存取控制,所以有各種方法可供您使用,包括結合兩種模型以服務各種層面的網路服務。
表 16-1 提供討論 OES 2 存取控制特性的文件連結。
表 16-1 一般檔案系統存取控制
|
特性 |
若要瞭解 |
請參閱 |
|---|---|---|
|
Linux 上的存取控制清單 |
在最常用的 Linux 傳統檔案系統上如何支援 ACL,以及如何讓您將檔案與目錄許可指定給未擁有檔案或目錄的使用者與群組。 |
|
|
校準 NCP 與 POSIX 存取權限 |
如何使 POSIX 檔案系統接近 NCP (或 NetWare) 存取控制模型。 |
|
|
目錄與檔案屬性 |
OES 2 NetWare 上的目錄與檔案屬性。 |
|
|
檔案系統託管者權限 |
在 NetWare (NSS 與傳統卷冊) 上的檔案系統託管者權限,包括 NetWare 如何決定有效的檔案系統託管者權限。 |
《OES 2:檔案系統管理指南》中的 |
|
NetWare 連接管理員 |
NetWare 連接管理員如何追蹤使用中的使用者連接,以及如何提供存取許可資訊給 NSS 與在 NetWare 上的傳統卷冊。 |
|
|
Novell Client 與 NetWare 連接管理員 |
Novell Client 如何與「連接管理員」搭配運作,以確保使用者對檔案系統有正確的存取權限。 |
|
|
NetWare 託管者權限以及目錄與檔案屬性 |
如何控制誰可以查看哪些檔案以及他們可以對檔案執行哪些動作。 |
|
|
Linux 上的 POSIX 檔案系統權限與屬性 |
如何在 OES 2 Linux 伺服器上設定檔案系統屬性 |
|
|
在 NetWare 上安裝應用程式的權限 |
在 NetWare 檔案系統上安裝應用程式所需的存取權限。 |
在《OES 2:檔案系統管理指南》中的 |
|
在 eDirectory 中的安全性等值 |
在 eDirectory 中安全性等值的概念。 |
傳統 Novell 存取控制模式
NetWare 以其豐富的存取控制著名。OES 透過 NSS 卷冊支援在 Linux 上提供這些控制。此外,有些控制是透過建立 NCP 卷冊而提供在 Linux 傳統檔案系統上使用。NCP 卷冊是受到限制的,因為 Linux 傳統系統只提供 NSS 提供的目錄與檔案屬性的子集。
在 NetWare 存取控制模式中,會將使用者與群組等 eDirectory 物件的「檔案系統託管者權限」指定給 NSS 與 NCP 卷冊上的目錄與檔案。只要目錄或檔案屬性允許動作,這些託管者權限可決定哪些使用者或群組可以處理目錄或檔案。
在圖 16-2 中說明這個模式。
圖 16-2 在 NetWare 存取控制模式之下的目錄與檔案存取
表 16-2 存取權限說明
OES Linux 上的 NSS 存取控制
表 16-3 提供討論各種 NSS 特定存取控制特性的文件連結。
Novell Client (NCP 檔案服務) 存取權
如果您尚未決定是否要在網路上使用 Novell Client,我們建議您考慮下列資訊:
關於 Novell Client
Novell Client 透過對 NetWare 與 OES 2 Linux 伺服器的存取來擴充 Windows 與 Linux 桌面的功能。
在安裝 Novell Client 軟體之後,使用者就可以享受完整範圍的 Novell 服務,例如:
-
透過 Novell eDirectory 的驗證
-
網路瀏覽與服務解決方案
-
安全和可靠的檔案系統存取
-
業界標準協定的支援
Novell Client 支援傳統的 Novell 協定 (NDAP、NCP 和 RSA) 以及與開放式協定 (LDAP、CIFS 和 NFS) 的相互操作。
Novell Client 是否適用於您的網路?
雖然 Novell 提供的服務不需要 Novell Client (例如 NetStorage、Novell iFolder® 3.6 以及 iPrint),不過許多網路管理員仍然基於下列原因而持續偏好使用 Novell Client 做為其網路使用者的存取選擇:
-
跟 LDAP 驗證比起來,他們比較偏好 eDirectory 驗證,因為他們相信它比較安全。
-
他們偏好 NetWare 核心協定 (NCP) 勝於 Microsoft CIFS 協定,因為他們認為 CIFS 更易於受到網路上病毒傳播的威脅。
相反的,其他的網路管理員則同樣地堅持在每部工作站上沒有執行 NCP 用戶端的額外負擔之下,他們的使用者運作地更好。
我們無法決定什麼對於您的網路是最好的,但是我們確實提供您可行的選擇。
Linux 與 Windows 之間的差異
在 Linux 與 Windows 用戶端之間有一些差異。這些差異記錄在《適用於 Linux 的 Novell Client 2.0 管理指南》中的 瞭解適用於 Linux 的 Novell Client 與適用於 Windows 2000/XP 的 Novell Client 之間有什麼差別
。
eDirectory 使用者的 OES 2 Linux 伺服器存取權
在 OES 2 Linux 伺服器上執行的某些服務需要存取伺服器的使用者是 (或至少對 Linux 系統看起來是) 具有 Linux 使用者身分證明 (例如使用者 ID (UID) 與主要群組 ID (GID)) 的標準 Linux 使用者。
這樣 eDirectory 使用者就可以存取這些服務,Novell 提供 Linux 使用者管理 (LUM) 技術。這對於身為網路管理員的影響是,您必須啟用這些使用者與群組的本地伺服器之 eDirectory LDAP 驗證。若需要更多的資訊,請參閱Linux 使用者管理:eDirectory 使用者的 Linux 存取權。
16.1.2 服務存取的規劃
在您瞭解網路使用者可以使用的存取選項之後,就可以決定哪些選項將最適合您的網路。
在下列小節中包含網路服務的規劃秘訣:
規劃檔案服務存取
當您規劃要提供哪些檔案服務時,請注意在下列小節中所述的檔案服務/卷冊與特性支援限制。
存取卷冊類型的服務限制
在表 16-4 中說明了支援的組合。
表 16-4 存取卷冊類型的服務
在每個服務的文件中提供每個檔案服務所支援的檔案系統詳細資料。
另外請注意檔案服務支援不同的存取協定組合。在比對協定與服務以檢查存取需求中提供各種 OES 檔案服務可存取的協定摘要。
規劃列印服務存取
Novell iPrint 具有存取控制特性,可讓您指定每個 eDirectory User、Group 或容器物件擁有的列印資源存取權。
您也可以使用 iPrint 來設定不需要驗證的列印服務。
附註:只有在 Windows iPrint Clinet 上才支援印表機的存取控制。
如需有關存取控制與 iPrint 的詳細資訊,請參閱下列主題:
比對協定與服務以檢查存取需求
圖 16-3 說明在 OES 中使用者可用的存取介面以及每個介面可以連接的服務。它也會顯示連接存取介面與網路服務的協定。
若要使用這個來規劃:
-
檢視在左欄中的不同存取介面。
-
檢查列在第二欄中每個協定右邊的資訊。
-
在最右欄中,檢視每個服務支援的協定。
圖 16-3 存取介面與服務以及連接它們的協定
16.1.3 存取服務的共存與移轉
因為 NetWare 核心協定 (NCP) 現在可以在 Linux 上使用,所以您的 Novell Client 使用者可以像附加到 NetWare 伺服器一樣容易地附加至 OES 2 Linux 伺服器。事實上,他們可能不會注意到有任何變化。
適用於 Linux 的 NCP 伺服器提供對登入程序檔、將磁碟機映射到 OES 2 Linux 伺服器,以及其他通常與 Novell Client 存取關聯之服務的支援。這表示安裝了 Novell Client 的 Windows 使用者現在可以順暢地轉換到 OES 2 Linux 上的檔案服務。而且透過適用於 Linux 的 Novell Client,Windows 使用者可以不中斷 NCP 檔案服務即可移到 SUSE Linux Enterprise Desktop。
如需詳細資訊,請參閱《OES 2:適用於 Linux 的 NCP 伺服器管理指南》。
16.1.4 執行存取的建議
在您規劃和安裝 OES 2 服務之後,請確定提供網路使用者明確的存取指示。如需存取方法的摘要,請參閱節 D.0, OES 2 使用者服務的快速參考。
16.1.5 設定和管理服務的存取
下列小節討論管理服務的存取。
密碼管理
許多網路管理員讓使用者管理自己的密碼。如需有關密碼自我管理的詳細資訊,請參閱《Novell 密碼管理指南》中的 密碼自助服務
》。
Linux (POSIX) 檔案系統存取權限
Linux 傳統檔案系統的存取控制是透過 POSIX 檔案系統存取權限或是與目錄和檔案關聯的屬性來控制。一般而言,目錄與檔案可以由三個 POSIX 實體來存取:
-
擁有目錄或檔案的使用者
-
擁有目錄或檔案的群組
-
在系統上定義的所有其他使用者
這些使用者以及受影響的群組將被指定 (或不指定) 每個目錄與檔案之三個屬性的組合:
|
屬性 |
指定時對目錄的影響 |
指定時對檔案的影響 |
|---|---|---|
|
讀取 |
讓使用者或群組檢視目錄的內容。 |
讓使用者或群組開啟和讀取檔案。 |
|
寫入 |
讓使用者或群組建立或刪除在目錄中的檔案與子目錄。 |
讓使用者或群組修改檔案。 |
|
執行 |
讓使用者或群組透過使用 cd 指令來存取目錄。 |
讓使用者或群組像程式一樣執行檔案。 |
如需詳細資訊,請參閱《OES 2:檔案系統管理指南》中的 設定檔案系統託管者、託管者權限、承襲的權限過濾器以及屬性
。
NSS (與 NetWare) 檔案與目錄託管者管理
《OES 2:檔案系統管理指南》在其 設定檔案系統託管者、託管者權限、承襲的權限過濾器以及屬性
小節中包含檔案與目錄託管者管理的完整討論。
下列小節提供關於管理 NSS 卷冊上託管者的簡短資訊。
使用 NetStorage 變更檔案與目錄的屬性和託管者
您可以使用 NetStorage 網頁瀏覽器介面來變更在 NSS 卷冊上的目錄與檔案,但是您無法使用連至 NetStorage 的 WebDAV 連接來變更它們。
您無法使用 NetStorage 來變更在 NetWare 傳統卷冊上的屬性或託管者。
使用 Novell Client 變更檔案與目錄的屬性和託管者權限
您可以使用 Novell Client 來變更 NSS 檔案與目錄的屬性,並將託管者權限授予 OES 2 Linux 伺服器上的 NSS 卷冊。如需詳細資訊,請參閱《適用於 Windows XP/2003 的 Novell Client 4.91 安裝與管理指南》中的 NetWare 檔案安全性
以及《適用於 Linux 的 Novell Client 2.0 管理指南 》中的 管理檔案安全性
。
使用 iManager 2.7 變更檔案與目錄的屬性和託管者權限
您可以使用 iManager 2.7 檔案與資料夾外掛程式來管理 NCP 與 NSS 卷冊上的目錄與檔案。如需詳細資訊,請參閱外掛程式的說明。
在 Linux 指令提示符變更檔案屬性
使用 attrib 指令來變更在 NSS 卷冊上的檔案與目錄屬性。
在《OES 2:檔案系統管理指南》的 Linux 的屬性公用程式
中也可以找到 attrib 指令的說明。
或者您可以在指令提示符輸入下列指令:
attrib --help
在 Linux 指令提示符變更託管者權限
若要將 NSS 託管者權限授予 NSS 卷冊,請輸入下列指令:
rights -f /full/directory/path -r rights_mask trustee full.object.context
其中 /full/directory/path 是 NSS 卷冊上目標目錄的路徑,rights_mask 是 NSS 權限的清單,而 full.object.context 是在其完整的 eDirectory 網路位置中的物件 (User 或 Group),包括網路樹名稱。
例如,您可能會輸入下列指令:
rights -f /data/groupstuff -r rwfc trustee mygroup.testing.example_tree
如需指令選項的完整清單,請在指令提示符輸入 rights。
在《OES 2:檔案系統管理指南》的 Linux 的委託權利公用程式
中也可以找到 rights 指令的說明。