OES 2 Linux 伺服器可以由下列使用者存取
在伺服器本身建立的本地 (POSIX) 使用者。
透過 Linux 使用者管理員 (LUM) 而獲得本地存取權的 eDirectory 使用者。
在 POSIX 與 eDirectory 之間沒有交叉檢查,來防止建立重複名稱的使用者與群組。
當發生重複名稱時,所造成的問題將會很不容易疑難排解,因為在 eDirectory 端與 POSIX 端上的所有一切看起來設定都是正確的。最常見的問題是啟用 LUM 的使用者無法按照預期存取資料和服務,但是也可能出現其他的錯誤。
除非您清楚知道兩個系統中的使用者與群組,特別是系統所建立的使用者與群組,否則可能會很容易在 OES 2 Linux 伺服器上建立無效的組態。
下列範例說明此問題。
有一個名為 shadow 的系統建立群組,是由某些 Web 相關的服務 (包括 OES 2 QuickFinder™ 伺服器) 所使用,但是它與動態儲存技術 (DST) 以及陰影卷冊沒有關聯。
因為 shadow 是本地 POSIX 群組,所以沒有任何事情可以禁止您在 eDirectory 中建立也名為 shadow 且為啟用 LUM 的第二個群組。事實上,這對於許多管理員在為 Samba/CIFS 使用者設定陰影卷冊存取權時,可能是一個符合邏輯的名稱選擇。
不過,使用這個群組名稱會造成 POSIX 拒絕啟用 LUM 使用者的存取,因為 POSIX 會在決定存取權限時先尋找本地 shadow 群組,並且會在找不到本地群組時,才檢查 eDirectory 是否有名為 shadow 的群組。
另一個名為 users 的系統建立的群組,OES 2 服務並未使用它,但是還是在所有的 SLES 10 (以及 OES 2 Linux) 伺服器上建立它。
建立名為 users 的 eDirectory 群組對於許多管理員而言似乎是符合邏輯的。而且當使用 shadow 群組時,沒有任何事情可以阻止您使用這個名稱。
很不幸地是,名為 users 的啟用 LUM 的 eDirectory 群組,對於需要 POSIX 存取的服務並不是可行的組態。系統永遠都會先檢查本地的 users 群組,而且 POSIX 將看不到在 eDirectory 中啟用 LUM 的 users 群組。
附註:請勿混淆 eDirectory 群組物件與組織單位 (OU) 容器物件。
在 eDirectory 中建立名為 users 的 OU 容器是有效的選項,而且不會造成與 POSIX 的衝突。
當管理員建立同名的本地和 eDirectory 群組時,也會發生群組與使用者名稱之間的衝突。
例如,管理員在本地系統上建立了名為 myusers 的群組,而另一位管理員則在 eDirectory 中建立啟用 LUM 的同名群組。再次,屬於 eDirectory 群組成員且啟用 LUM 的使用者將不會透過 POSIX 而擁有存取權。
這也就是為什麼我們通常建議管理員不要在 OES 2 Linux 伺服器上建立本地使用者或群組。您應該只有在判斷出使用啟用 LUM 的使用者與群組不是可行的選項,以及未來將不會在 eDirectory 中建立與 POSIX 使用者和群組同名的物件時才破例這樣做。
請遵循下列指示來輕易地避免重複的使用者與群組:
我們建議您使用 YaST 群組管理/使用者管理模組來檢查可能不小心重複的名稱。
開啟 YaST 控制中心。
按一下「」或是「」。
按一下 > 。
選取兩個選項 (「」與「」),然後按一下「」。
如顯示所示的所有使用者或群組,包括那些只在 eDirectory 中以及啟用 LUM 的使用者或群組。
若要避免重複,請在建立 eDirectory 使用者與群組時記住此清單。
附註:在節 H.0, OES 2 系統使用者與群組中的使用者與群組之清單並不是完整的。例如,並未列出 users 群組。
對於 OES 2 Linux 服務而言,LUM 技術可消除對於本地使用者與群組的需求。因此,我們建議您不要建立本地使用者與群組以避免發生本節中所討論的問題。