Sie können die folgenden sieben Gruppen von SunLink Server-Richtlinien definieren:
Durchsuchen von Computern
Dateinamenszuordnung
NetBIOS
Solaris-Dateisystemsicherheit und Berechtigungen
Meldung über Ausfall der unterbrechungsfreien Stromversorgung
Benutzerkontenzuordnung
SunLink Server Manager-Sicherheitsfunktionen
Beachten Sie, daß sich die Anweisungen zum Verwalten dieser Richtlinien in diesem Handbuch ausschließlich auf das Programm SunLink Server beziehen und nur dieses Programm beeinflussen. Auf das Windows NT-Netzwerk haben sie keine Wirkung. Die Windows NT-Netzwerkrichtlinien verwalten Sie weiterhin auf die übliche Art und Weise und mit den üblichen Hilfsprogrammen. Zu den Windows NT-Richtlinien, die dieses Handbuch nicht abdeckt, gehören:
Benutzerkennwort (Konto)
Überwachung
Vertrauensstellung
Beim Durchsuchen von Computern werden Domänen, Arbeitsgruppen und Computer auf freigegebene Verzeichnisse und Drucker durchsucht. Netzwerke, Domänen, Arbeitsgruppen, Computer und freigegebene Verzeichnisse sind in einer Baumstruktur organisiert. Sie wählen einen Netzwerknamen, um die verfügbaren Domänen und Arbeitsgruppen anzuzeigen, oder einen Domänen- bzw. Arbeitsgruppennamen, um verfügbare Computer anzuzeigen, oder einen Computernamen, um freigegebene Verzeichnisse anzuzeigen.
Ein Hauptsuchdienst verwaltet die Baumstrukturliste und aktualisiert die Sicherungssuchdienste. Die Benutzer von Netzwerk-Clients sehen diese Liste, wenn sie die Netzwerkumgebung anzeigen lassen.
Die Richtlinien für das Durchsuchen von Computern im Programm SunLink Server umfassen die Häufigkeit, mit der der Hauptsuchdienst die Liste aktualisiert, die Häufigkeit, mit der Sicherungssuchdienste die Liste vom Hauptsuchdienst kopieren, und die Angabe, welche Ereignisdetails im Zusammenhang mit dem Durchsuchen im Systemprotokoll notiert werden.
Auf einem Solaris-System können die Namen von Dateien und Verzeichnissen aus bis zu 255 Zeichen bestehen, also viel länger sein als die 8.3-Dateinamen im Betriebssystem MS-DOS. Die Benutzer von Windows NT Workstation und Windows NT Server sehen die langen Solaris-Dateinamen in einem SunLink Server-Verzeichnis, die Benutzer von Clients unter Windows für Workgroups dagegen nicht, denn diese Windows-Version arbeitet mit der 8.3-Dateinamenskonvention von MS-DOS. Damit alle Benutzer Zugriff auf alle Solaris-Dateien haben, bietet SunLink Server die Namenszuordnung: Jede Datei und jedes Verzeichnis mit einem Namen, der nicht dem 8.3-Standard von MS-DOS entspricht, erhält automatisch einen weiteren Namen, der dem Standard entspricht.
Die Benutzer von Microsoft Windows 3.1 und Windows für Workgroups, die über das Netzwerk eine Verbindung zu einer Datei oder einem Verzeichnis herstellen, sehen den Namen im 8.3-Format, die Benutzer von Windows NT Workstation und Windows NT Server den langen Namen. Beachten Sie jedoch bitte, daß das Programm SunLink Server keine kurzen Namen für Freigabenamen generiert, die den MS-DOS-Namenskonventionen nicht entsprechen, sondern nur für Dateien und Verzeichnisse mit langen Namen. Verwenden Sie beim Benennen von Freigaben daher den 8.3-Standard, um mögliche Dateinamenskonflikte zu vermeiden.
Die Dateinamenszuordnung von SunLink Server ermöglicht es auch Anwendungen, die keine langen Dateinamen unterstützen, auf Dateien mit langen Namen zuzugreifen. Diese Anwendungen identifizieren die Dateien mit langen Namen anhand der kurzen Namen.
Wenn in einer Anwendung, die keine langen Dateinamen unterstützt, eine Datei mit einem langen Namen geöffnet und dann gespeichert wird, geht der lange Name verloren. Die Datei wird unter dem kurzen Namen gespeichert.
Die Dateinamenszuordnung in SunLink Server besteht aus den folgenden drei Elementen:
Unterstützung für Groß- und Kleinschreibung
Zuordnen von Solaris-Dateinamen zu Namen nach der 8.3-Konvention
Zuordnen von Solaris-Dateinamen mit Zeichen, die in Windows NT nicht unterstützt werden, zu Namen, die in Windows NT akzeptiert werden
Die Namenszuordnung erfolgt auf Solaris-Systemen durch die Verbindung eines gekürzten Dateinamens mit einem pseudo-eindeutigen Suffix, das dynamisch aus der i-Knotennummer der Solaris-Datei erzeugt wird.
Bei der Zuordnung von Solaris-Dateinamen zu Dateinamen im 8.3-Format gelten standardmäßig die folgenden Regeln:
Leerzeichen werden gelöscht.
Punkte werden gelöscht, mit Ausnahme des letzten Punkts, sofern auf diesen noch mindestens ein Zeichen folgt.
Unzulässige Zeichen werden durch den Unterstrich (_) ersetzt.
Der Name wird mit Ausnahme des Suffix gekürzt. Es werden eine Tilde (~) als Trennzeichen und eine Kombination aus Zahlen (0 - 9) und Buchstaben (A - Z) angehängt.
Das Suffix (die Zeichen nach der Tilde) wird auf drei Zeichen gekürzt.
Der Dateiname langerdateiname.txt und die i-Knotennummer 11455 ergeben zum Beispiel den zugeordneten kurzen Dateinamen lang~8u7.txt.
Bei der Zuordnung von Solaris-Dateinamen zu Dateinamen nach Windows NT-Standard gelten standardmäßig die folgenden Regeln:
Unzulässige Zeichen werden durch den Unterstrich (_) ersetzt.
Ein Zuordnungstrennzeichen (standardmäßig die Tilde) und eine Kombination aus Zahlen (0 - 9) und Buchstaben (A - Z) werden an den Namen ausschließlich der Erweiterung angehängt.
Die Erweiterung bleibt erhalten.
Der Dateiname k<l<m.ausdruck und die i-Knotennummer 8461 ergeben zum Beispiel den zugeordneten Dateinamen k_l_m~6j1.ausdruck.
Die Entscheidung, ob der Server weiterhin Dateinamen unterstützen soll, die Groß- und Kleinbuchstaben enthalten (der Standard im Programm SunLink Server), sollte sorgfältig durchdacht werden. Bei aktivierter Unterstützung von Groß- und Kleinschreibung können Clients auf Solaris-Systemen auf Dateien zugreifen, deren Namen Großbuchstaben enthalten. Durch Deaktivieren dieser Funktion läßt sich jedoch möglicherweise die Serverleistung erhöhen.
Es empfiehlt sich nicht, die Unterstützung von Groß- und Kleinschreibung auf einem Server häufiger zu deaktivieren und wieder zu aktivieren. Solange die Unterstützung von Groß- und Kleinschreibung aktiviert ist, können Clients Dateien erstellen, deren Namen Groß- und Kleinbuchstaben enthalten. Wird die Unterstützung von Groß- und Kleinschreibung dann deaktiviert, stehen diese Dateien nicht mehr zur Verfügung. Wenn die Unterstützung von Groß- und Kleinschreibung aktiviert ist und Sie diese Funktion deaktivieren wollen, sollten alle vorhandenen Dateinamen zunächst in Dateinamen mit Kleinbuchstaben umgewandelt werden.
Erstellen Sie nicht in einem Verzeichnis Dateinamen, die bis auf die Groß-/Kleinschreibung identisch sind. Das Solaris-System unterscheidet zwar zwischen Groß-/Kleinschreibung, und dank der Unterstützung von Groß- und Kleinbuchstaben in SunLink Server behält der Server die Groß-/Kleinschreibung auch bei, unterscheidet aber wie Windows NT nicht zwischen Groß-/Kleinschreibung. Die Benutzer von Microsoft-Produkten sind sich nicht der Möglichkeit bewußt, das ein Verzeichnis Dateinamen enthalten kann, die bis auf die Groß-/Kleinschreibung identisch sind, da Windows NT solche Dateinamen nicht zuläßt. Dies kann zu Verwirrung führen, weil die Benutzer möglicherweise auf falsche Dateien zugreifen oder ihnen der Zugriff auf Dateien verweigert wird, die sie benötigen.
NetBIOS, die Abkürzung für Network Basic Input/Output System, ist eine Schnittstelle der Sitzungsschicht, die von Anwendungen zur Kommunikation verwendet wird. Ihr logisches Benennungssystem ermöglicht es den Netzwerkschnittstellen von Computern, Verbindungen herzustellen, und stellt die zuverlässige Datenübertragung zwischen den Computern sicher, sobald die Verbindungen hergestellt wurden.
LAN-Adapter-Nummern (LANA) sind Teil des logischen Benennungssystems von NetBIOS. SunLink Server weist jeder Netzwerkschnittstelle automatisch eine LANA-Nummer zu, wobei die Nummern innerhalb eines Computers eindeutig sind.
Für jede verfügbare Netzwerkschnittstellenkarte kann ein NetBIOS-LANA konfiguriert werden. Sie sollten die Netzwerkschnittstellen, die mit NetBIOS-LANAs arbeiten sollen, bereits bei der Planung auswählen.
Ein WINS-Server (Windows Internet Name Service) verwaltet eine Datenbank der verfügbaren Netzwerkressourcen und der Computer, die diese besitzen. Ein Computer, der eine Ressource sucht, "fragt" den WINS-Server nach der Adresse des Computers, der diese Ressource besitzt.
Ein Netzwerk kann ohne WINS-Server konfiguriert sein oder eine beliebige Anzahl von WINS-Servern umfassen. Detailliertere Erläuterungen zu diesem Thema finden Sie in Kapitel 5, Kapitel 5.
Standardmäßig startet SunLink Server alle Netzwerkschnittstellen im Broadcast-Modus. In diesem Modus sendet ein Computer, der einen Netzwerkdienst oder eine Ressource sucht, eine allgemeine Anforderung an das Netzwerk und wartet auf eine Antwort von dem Rechner, der diese Ressource oder diesen Dienst besitzt. Jeder Computer, der eine solche Anforderung erhält, antwortet mit seiner Adresse.
Dieser Modus bietet den Vorteil, auf WINS-Server verzichten zu können, erzeugt jedoch starken Netzwerkverkehr. Der Broadcast-Modus funktioniert nicht über Teilnetzgrenzen hinweg.
WINS-Server arbeiten im NetBIOS-Hybrid-Modus (H-Modus). In diesem Modus sendet ein Computer, der einen Netzwerkdienst oder eine Ressource sucht, die Anforderung direkt an einen festgelegten WINS-Server, der dann die Adresse des Rechners ermittelt, der diese Ressource besitzt.
WINS-Proxies bieten sich für Netzwerke mit mehreren Teilnetzen an, wenn einige der Computer in diesen Teilnetzen im Broadcast-Modus laufen. Ein WINS-Proxy fängt lokale Anforderungen nach Diensten in anderen Teilnetzen ab, speichert die Netzwerkadressen zwischen und fragt bei Bedarf beim WINS-Server nach.
Sie können den NetBIOS-Dienst so konfigurieren, daß WINS-Server zum Auswerten von NetBIOS-Namen verwendet werden, indem Sie die IP-Adressen des primären und des sekundären WINS-Servers angeben. Sie haben die Möglichkeit, nur einen primären WINS-Server oder beides zu konfigurieren. Als Adresse für einen WINS-Server können Sie die IP-Adresse des lokalen SunLink Server-Systems angeben, auf dem der WINS-Dienst läuft, oder eines anderen SunLink Server-Systems, auf dem der WINS-Dienst läuft, oder eines Windows NT-Servers, auf dem der WINS-Dienst läuft.
Wenn Sie primäre oder sekundäre WINS-Server konfiguriert haben, können Sie ein SunLink Server-System als WINS-Proxy definieren. Dieses System kann den WINS-Proxy-Dienst anderen Computern zur Verfügung stellen, die zum Auswerten von NetBIOS-Namen keine WINS-Server verwenden. Verwenden Sie diese Option wohlüberlegt. Sie führt dazu, daß die NetBIOS-Namensbereiche für NetBIOS-Knoten im B- und im H-Modus auf dem lokalen Teilnetz zusammengeführt werden, was zu unerwarteten Namenskonflikten führen kann.
NetBIOS-Bereich ist eine selten genutzte Funktion, mit der sich einschränken läßt, mit welchen Computern ein bestimmtes Netzwerkgerät kommunizieren kann.
Am häufigsten wird die Bereichsfunktion in WANs oder besonders großen Netzwerken eingesetzt, denn dort kann sie Konflikte durch zwei oder mehr Netzwerkschnittstellen mit demselben NetBIOS-Namen verhindern.
Angenommen, bei einem Schuhhersteller befinden sich zwei Rechner, die beide für die Verwendung durch das Vertriebspersonal gedacht sind, in demselben Teilnetz.
Ein Rechner wird vom Personal für den Vertrieb von Halbschuhen, der andere vom Personal für den Vertrieb von Stiefeln verwendet. Wenn beide Rechner den NetBIOS-Namen "Vertrieb" haben, treten Probleme auf. Erhält jedoch ein Rechner den Bereichsnamen "Halbschuhe" und der andere den Bereichsnamen "Stiefel", können beide den NetBIOS-Namen "Vertrieb" behalten, ohne daß es zu Konflikten kommt. Es ist jedoch zu beachten, daß die beiden Rechner in diesem Fall nur mit anderen Rechnern desselben Bereichs kommunizieren können.
Sie können den Zugriff der Benutzer auf Dateien und Verzeichnisse auf SunLink Server-Computer steuern, indem Sie Berechtigungen vergeben.
Jede Berechtigung, die Sie vergeben, legt die Art des Zugriffs fest, die eine Gruppe, ein Benutzer oder andere auf ein Verzeichnis oder eine Datei haben. Wenn Sie zum Beispiel der Gruppe Mitarbeiter Leseberechtigung für die Datei IDEEN.DOC erteilen, können die Benutzer in dieser Gruppe den Inhalt und die Attribute der Datei anzeigen. Bearbeiten oder löschen können sie die Datei dagegen nicht.
Das Programm SunLink Server unterstützt die folgenden Berechtigungen, die Sie Benutzern, Gruppen und anderen für Verzeichnisse und Dateien erteilen können:
Lesen (L) - Benutzer oder Gruppen können Dateien oder den Inhalt von Ordnern anzeigen. Sie können sie nicht bearbeiten, löschen oder ausführen.
In der Betriebssystemumgebung Solaris schränkt die Leseberechtigung den Zugriff weitergehend ein als die entsprechende Berechtigung in der Windows NT-Umgebung. In der Windows NT-Umgebung umfaßt die Leseberechtigung lediglich einen entsprechenden Hinweis, so daß ein Benutzer auf einem Windows NT-Client eine Datei, die eigentlich schreibgeschützt ist, weiterhin bearbeiten kann. In der Solaris-Umgebung, also der Umgebung, in der alle SunLink Server-Dateien und -Verzeichnisse gespeichert und verwaltet werden, kann ein Benutzer eine schreibgeschützte Datei nicht bearbeiten. Sie können die stärker einschränkenden Solaris-Berechtigungen jedoch außer Kraft setzen, so daß sie vollständig mit den Berechtigungen unter Windows NT kompatibel sind. Anweisungen dazu finden Sie unter "So legen Sie Richtlinien für die Solaris-Dateisystemeinbindung fest".
Schreiben (S) - Benutzer oder Gruppen können Dateien oder den Inhalt von Ordnern anzeigen und bearbeiten.
Ausführen (A) - Benutzer oder Gruppen können Programme ausführen, aber nicht den Code anzeigen oder bearbeiten.
Vollzugriff (LSA) - Benutzer oder Gruppen können alle entsprechend gekennzeichneten Dateien, Verzeichnisse oder Programme anzeigen, bearbeiten und ausführen.
Kein Zugriff - Es werden keine Berechtigungen erteilt. Dies erreichen Sie, indem Sie keine der oben genannten Berechtigungen vergeben.
Sie vergeben Berechtigungen für den Zugriff auf Dateien und Verzeichnisse, doch die vergebenen Berechtigungen beeinflussen eigentlich die Benutzer des Computers. In der Betriebssystemumgebung Solaris wird zwischen verschiedenen Personen/Personengruppen unterschieden, für die Berechtigungen vergeben werden:
Benutzer - Wenn Sie Besitzer einer Solaris-Datei oder eines Solaris-Verzeichnisses sind, können Sie selbst Zugriffsberechtigungen dafür vergeben. Wenn Sie z. B. verhindern wollen, daß nicht berechtigte Benutzer ein Programm ausführen, erteilen Sie die Berechtigung zum Ausführen nur sich selbst.
Gruppe - Diese Einstellung entspricht im Zusammenhang mit dem Programm SunLink Server nicht den Gruppenberechtigungen in der Betriebssystemumgebung Solaris. In einem Solaris-Dateisystem gewähren Gruppenberechtigungen den anderen Mitgliedern Ihrer Solaris-Gruppe Zugriff auf Dateien und Verzeichnisse, die Sie besitzen. In der SunLink Server-Umgebung werden jedoch nicht Solaris-Gruppen, sondern Windows NT-Gruppen angelegt, und die Solaris-Gruppenberechtigungen haben keine Auswirkung auf diese Gruppen.
Sonstige - Sie können Berechtigungen für den Zugriff auf Dateien und Verzeichnisse, die Sie besitzen, an andere Solaris-Benutzer außer Ihnen selbst und die Benutzer in Ihrer Gruppe vergeben. Je nach Bedarf können Sie den anderen Benutzern das Recht einräumen, Ihre Dateien und Verzeichnisse zu lesen oder zu ändern, oder Sie können solche Zugriffe unterbinden. Durch das Einschränken des Zugriffs anderer Benutzer bleibt Ihr Zugriff auf Dateien und Verzeichnisse unberührt.
Standardberechtigungen sind Kombinationen aus Einzelberechtigungen, die von der Art der Dateien und Verzeichnisse und der Zusammensetzung von Gruppen abhängen. Beachten Sie die folgenden Überlegungen zu Berechtigungen, damit Sie die SunLink Server-Sicherheitsfunktionen für Dateien/Verzeichnisse effektiv einsetzen können:
Benutzer können ein Verzeichnis oder eine Datei erst benutzen, wenn ihnen die Berechtigung erteilt wurde oder sie zu einer Gruppe gehören, der die Berechtigung erteilt wurde.
Berechtigungen sind kumulativ. Wenn Sie jedoch die Berechtigung Kein Zugriff einstellen, also keine Berechtigung zum Lesen, Schreiben oder Ausführen für eine Datei oder ein Verzeichnis vergeben, setzt diese Einstellung alle anderen Berechtigungen außer Kraft. Angenommen, die Gruppe Mitarbeiter hat Schreibberechtigung für eine Datei, während die Gruppe Finanzen nur Leseberechtigung hat. Da Susanne Mitglied beider Gruppen ist, erhält sie Lese- und Schreibberechtigung. Wenn Sie jedoch die einzige Berechtigung der Gruppe Finanzen aufheben und somit effektiv Kein Zugriff einstellen, kann Susanne gar nicht mehr auf die Datei zugreifen, obwohl sie Mitglied einer Gruppe ist, die darauf Zugriff hat.
Wenn Sie Dateien und Unterverzeichnisse in einem SunLink Server-Verzeichnis erstellen, erben diese die Berechtigungen des Verzeichnisses. Wenn Sie z. B. eine Datei zu einem Verzeichnis hinzufügen, für das die Gruppe Mitarbeiter Schreibberechtigung und die Gruppe Finanzen Leseberechtigung hat, gelten dieselben Berechtigungen auch für die neue Datei.
Der Benutzer, der eine Datei oder ein Verzeichnis erstellt, ist normalerweise auch der Besitzer der Datei oder des Verzeichnisses (diese Standardeinstellung können Sie jedoch auch ändern). Der Besitzer kontrolliert den Zugriff auf die Datei bzw. das Verzeichnis, indem er Berechtigungen dafür vergibt.
Am einfachsten läßt sich die Sicherheit gewähren, indem Sie Berechtigungen für Gruppen, nicht für einzelne Benutzer vergeben. Normalerweise benötigt ein Benutzer Zugriff auf viele Dateien. Ist der Benutzer Mitglied einer Gruppe, die Zugriff auf diese Dateien hat, können Sie die Zugriffsrechte des Benutzers deaktivieren, indem Sie den Benutzer aus der Gruppe nehmen, anstatt die Berechtigung für jede einzelne Datei zu ändern. Beachten Sie bitte, daß die für einen einzelnen Benutzer eingestellten Berechtigungen die Zugriffsrechte, die der Benutzer aufgrund seiner Mitgliedschaft in einer Gruppe hat, nicht außer Kraft setzen.
Wenn Sie SunLink Server-Dateien oder -Verzeichnisse kopieren, gehen die für sie vergebenen Berechtigungen wie auch Informationen zu Besitz und Überwachung verloren. Die Dateien erben neue Berechtigungen von dem Verzeichnis, in das Sie sie kopiert haben. Sind in dem neuen Verzeichnisse keine Berechtigungen für Dateien festgelegt, hat nur der Besitzer der Dateien (die Person, die die Datei kopiert hat) das Recht, die Dateien zu benutzen.
In einer Windows NT-Umgebung verfügen nicht nur Dateien und Verzeichnisse, sondern auch Freigaben über Berechtigungen. Bei Konflikten hinsichtlich der Berechtigungen für Dateien, Verzeichnisse und Freigaben gelten auf den Clients die restriktivsten Berechtigungen.
Jede Datei und jedes Verzeichnis hat einen Besitzer. Der Besitzer kontrolliert, welche Berechtigungen für seine Dateien und Verzeichnisse vergeben werden und kann anderen Benutzern Berechtigungen erteilen.
Beim Erstellen einer Datei bzw. eines Verzeichnisses wird die Person, die die Datei oder das Verzeichnis erstellt, automatisch der Besitzer. Es ist zu erwarten, daß die meisten Dateien auf Netzwerk-Servern von Administratoren erstellt werden, wenn sie zum Beispiel Anwendungen auf dem Server installieren. Die meisten Dateien auf einem Server befinden sich daher im Besitz von Administratoren, mit Ausnahme von Datendateien, die von Benutzern erstellt werden, und den Dateien in den Basisverzeichnissen der Benutzer.
Der Besitz kann auf folgende Weise übertragen werden:
Der aktuelle Benutzer gewährt anderen Benutzern faktisch Besitzrechte, indem er Gruppen oder Sonstigen die Schreibberechtigung für die Dateien oder Verzeichnisse gewährt. Dann können andere die Datei kopieren und "erben" damit das Besitzrecht an der Kopie.
Ein Administrator kann sich jederzeit zum Besitzer jeder Datei auf dem Computer machen. Wenn ein Mitarbeiter z. B. die Firma verläßt, kann der Administrator unabhängig von den vergebenen Berechtigungen frei auf die Dateien des Mitarbeiters zugreifen.
Ein Administrator kann sich zwar zum Besitzer machen, das Besitzrecht jedoch nicht an andere übertragen. Diese Einschränkung sorgt dafür, daß der Administrator verantwortlich bleibt.
Der Administrator kann auch mit Hilfe des Befehls net perms in den Besitz von Dateien gelangen. Weitere Informationen erhalten Sie, indem Sie an der SunLink Server-Befehlseingabeaufforderung net help perms eingeben.
Nicht nur Dateien und Verzeichnisse haben einen Besitzer, sondern auch Computerprozesse. Ein Computerprozeß wird initiiert, wenn ein Programm ausgeführt wird. Der Prozeß wird gegebenüber dem System mit einer eindeutigen Kennung identifiziert. In der Solaris-Umgebung wird diese Kennung als Prozeß-ID oder PID bezeichnet.
Im Gegensatz zum Besitzer von Dateien und Verzeichnissen ändert sich der Besitzer eines Prozesses jedesmal, wenn das entsprechende Programm ausgeführt wird. Ein Programm, wie z. B. eine Kalkulationstabelle, befindet sich anfangs im Besitz der Person, die es auf dem Netzwerk installiert hat. Das PID-Besitzrecht von Benutzern und Gruppen ändert sich jedoch, sobald ein Benutzer die Kalkulationstabelle ausführt. Der Kalkulationstabellenprozeß, der bei der Installation im Besitz von Root war, ist jetzt im Besitz des Benutzers und der Gruppe des Benutzers zum Zeitpunkt der Ausführung. Dies hat Auswirkungen auf die Sicherheit, und deshalb können Sie dieses Verhalten im Programm SunLink Server steuern.
Die Dateisperrung ist besonders in einer heterogenen Windows NT-/Solaris-Umgebung ebenfalls ein wichtiges Sicherheitsproblem. SunLink Server bietet dieselben Dateisperrungsfunktionen für Netzwerk-basierte Dateien und Verzeichnisse wie Windows NT, doch kann direkt von einem Solaris-Computerkonto aus auch auf gesperrte Dateien zugegriffen werden. Sie können dies in SunLink Server unterbinden, doch dies ist nicht standardmäßig eingestellt, da sich dadurch die Gesamtsystemleistung verringern kann. Wenn in Ihrem Netzwerk Benutzer von Windows NT- und Solaris-Client-Rechnern aus auf Dateien zugreifen, sollten Sie diese Einstellung ändern, damit die Windows NT-Dateisperrung auch beim Zugriff von Solaris-Konten aus gilt. Siehe dazu "So legen Sie Richtlinien für die Solaris-Dateisystemeinbindung fest".
Bei der Installation von SunLink Server werden Benutzer und Gruppen, die mit dem Programm SunLink Server zu tun haben werden, in die lokalen Kennwort- und Gruppendateien des Systems eingefügt. Wird an Ihrem Standort ein Solaris-Namensdienst wie NIS oder NIS+ in der Solaris-Umgebung verwendet, sollten Sie die Gruppeninformationen in die Namensdiensttabellen einfügen. Wird auf einem Computer unter Windows NT Workstation eine Datei erstellt und in ein Verzeichnis auf einem Solaris-System geschrieben, ist der Besitzer der Benutzer, der die Datei erstellt hat, und die Standardgruppe ist DOS---. Die Benutzerinformationen werden tatsächlich aus den Namensdiensttabellen abgerufen, aber die Gruppeninformationen werden nur richtig angezeigt, wenn das Auflisten der Datei auf dem SunLink Server-System selbst erfolgt (Standardabfrage: files nis). Werden diese Dateien von einem anderen Solaris-System aus angezeigt, wird die Gruppen-ID nicht richtig ausgewertet. Indem Sie die Gruppeninformationen in die Namensdiensttabellen einfügen, stellen Sie sicher, daß die Dateien auf dem lokalen System und in den Tabellen konsistent sind.
Ein weiteres Sicherheitsproblem hängt mit den Benutzerprivilegien zum Verwalten des Programms SunLink Server über SunLink Server Manager zusammen. Sie können Einstellungen wählen, die die Sicherheit in späteren SunLink Server Manager-Sitzungen beeinflussen. Zur Sicherstellung der Datenintegrität werden öffentliche Schlüsselsignaturen verwendet, die die zwischen Server und Client ausgetauschten Daten schützen. Die Echtheitsbestätigung läuft im Hintergrund ab und umfaßt das erneute Überprüfen von Referenzen bei jeder Transaktion. Siehe dazu "So sichern Sie SunLink Server Manager-Transaktionen".
Sie können Meldung über den Ausfall der Stromversorgung an alle Windows NT-Netzwerkbenutzer schicken, die mit einem Computer verbunden sind. Dazu verwenden Sie den Befehl "Nachricht senden" im Menü "Computer" des Windows NT Server-Managers. Dies können Sie zum Beispiel tun, bevor Sie die Verbindung für einen oder mehrere Benutzer trennen oder den Server-Dienst auf dem entsprechenden Computer stoppen.
Mit Hilfe von SunLink Server Manager können Sie die Benutzer warnen, daß der Server aufgrund eines Stromausfalls heruntergefahren wird, wenn ein unterbrechungsfreier Stromversorgungsdienst zur Verfügung steht.
Damit Warnungen gesendet werden können, muß der Warndienst auf dem SunLink Server-Computer aktiv sein, von dem die Warnung ausgeht (siehe "So starten Sie einzelne Dienste"). Damit die Warnung von den Clients empfangen werden kann, muß deren Microsoft Windows-Nachrichtendienst aktiv sein.
Sie können ein SunLink Server-Benutzerkonto einem Solaris-Benutzerkonto auf dem Solaris-System zuordnen, auf dem SunLink Server läuft. Für diese Art von Zuordnung verwenden Sie SunLink Server Manager oder den Befehl mapuname. Weitere Informationen zum Befehl mapuname erhalten Sie, indem Sie an der SunLink Server-Befehlseingabeaufforderung man mapuname eingeben. Nachdem Sie ein SunLink Server-Benutzerkonto einem Solaris-Benutzerkonto zugeordnet haben, wird das Solaris-Benutzerkonto zum Besitzer aller Dateien, die der Benutzer des SunLink Server-Computers erstellt.
Diese Option ist nur an Standorten nützlich, bei denen mit dem Befehl mapuname Windows NT- und Solaris-Konten einander zugeordnet werden und bei denen die Solaris-Konten in einer lokalen /etc/passwd-Datei stehen (also Standorte, die nicht mit dem Namensdienst NIS oder NIS+ arbeiten). Wenn dies der Fall ist und Sie diese Option wählen und dann mit dem Windows NT Benutzer-Manager das Windows NT-Basisverzeichnis eines Benutzers in einen freigegebenen Pfad auf dem SunLink Server-System ändern, wird die Datei /etc/passwd so modifiziert, daß für das Solaris-Konto des Benutzers auf dem Server dasselbe Basisverzeichnis gilt.
Wenn Sie mit SunLink Server- und Solaris-Benutzerkonten arbeiten, kann Ihr Solaris-Benutzerkonto Ihre Solaris-Dateien besitzen, und Sie können über das SunLink Server-Benutzerkonto darauf zugreifen. Sie sollten Solaris-Benutzerkonten SunLink Server-Benutzern auf den Solaris-Systemen zuordnen, auf denen sich ihre Basisverzeichnisse befinden. Diese Standardeinstellung können Sie jedoch ändern.
Indem Sie Solaris-Benutzerkonten SunLink Server-Benutzerkonten zuweisen, stellen Sie sicher, daß Solaris-Benutzerkonten nur bei Bedarf erstellt werden. Sie haben außerdem als Administrator vollständige Kontrolle über die Zuordnung der SunLink Server-Benutzerkonten zu Solaris-Benutzerkonten.
Verwenden Sie SunLink Server Manager, um Solaris-Benutzerkonten automatisch neuen SunLink Server-Benutzerkonten zuzuweisen. Siehe dazu "So bearbeiten Sie die Richtlinien für die Benutzerkontenzuordnung". Der Solaris-Benutzerkontenname, der dem SunLink Server-Benutzerkonto zugewiesen wird, ist mit dem SunLink Server-Benutzerkonto identisch oder ähnelt ihm. Unterschiede können bei langen und doppelt vorhandenen SunLink Server-Benutzerkontennamen auftreten sowie bei Namen, die Sonderzeichen enthalten.
Wenn Sie ein SunLink Server-Benutzerkonto einem nicht vorhandenen Solaris-Benutzerkonto zuordnen oder das Solaris-Konto für einen SunLink Server-Benutzer gelöscht wird, hat der SunLink Server-Benutzer keinen Zugriff auf die freigegebenen Ressourcen auf dem Solaris-System. Damit der SunLink Server-Benutzer weiterhin Zugriff auf das System hat, löschen Sie in diesem Fall die Kontenzuordnung oder ordnen Sie den Benutzer einem anderen Solaris-Benutzerkonto zu.
Als Administrator können Sie außerdem die Anmeldung von Benutzern mit Solaris-Konten am Solaris-System aktivieren und deaktivieren und festlegen, ob die SunLink Server-Basisverzeichnisse mit den Solaris-Basisverzeichnissen der Benutzer synchronisiert werden.
SunLink Server bietet zwei Hilfsprogramme für die Verwaltung von Solaris-Benutzerkonten: passwd2sam und sam2passwd.
Das Hilfsprogramm passwd2sam zur Verwaltung von Benutzerkonten schreibt Benutzerkonteninformationen, die in einem Solaris-Namensdienst, wie z. B. FILES, NIS und NIS+, gespeichert sind, in die SunLink Server-Sicherheitskontendatenbank (SAM). Wenn das SunLink Server-System in einer vorhandenen Windows NT-Domäne als BDC konfiguriert ist, werden die passwd2sam-Operationen an den PDC der Domäne übertragen.
Mit diesem Hilfsprogramm können Sie nicht Benutzerkennwörter zur SunLink Server-Sicherheitskontendatenbank hinzufügen, da für Kennwörter eine Ein-Wege-Verschlüsselung gilt. Sie lassen sich also nicht für die automatische Übertragung von einem Konto in ein anderes entschlüssen.
Das Hilfsprogramm passwd2sam zur Verwaltung von Benutzerkonten unterstützt drei Betriebsmodi:
Es dient zum Einfügen von Solaris-Benutzerkonten in die SunLink Server-Sicherheitskontendatenbank. Dies ist der Standardbetriebsmodus. Solaris-Benutzerkonten können vom aktiven Solaris-Namensdienst oder über eine vom Benutzer angegebene Eingabedatei im /etc/passwd-Format hinzugefügt werden.
Es dient zum Löschen von Solaris-Benutzerkonten aus der SunLink Server-Sicherheitskontendatenbank. Solaris-Benutzerkonten werden mittels einer vom Benutzer angegebene Eingabedatei im /etc/passwd-Format aus dem Programm SunLink Server gelöscht.
Es dient zum Suchen und Deaktivieren von Benutzerkonten in Windows NT-Domänen, die mit passwd2sam hinzugefügt und danach von einem Solaris-Namensdienst gelöscht wurden. In diesem Modus werden SunLink Server-Benutzerkonten gesucht und deaktiviert, die von einem Solaris-Namensdienst gelöscht wurden.
Sie müssen alle Eingabedateien für passwd2sam als /etc/passwd-Einträge formatieren. Näheres zu den Optionen und Argumenten finden Sie auf der Man-Page zu passwd2sam(1).
Das zweite Hilfsprogramm für die Benutzerkontenverwaltung in SunLink Server ist sam2passwd. Das Hilfsprogramm sam2passwd zeichnet SunLink Server-Benutzerkonten auf und erstellt dann die folgende Datei im /etc/passwd-Format mit den SunLink Server-Benutzerkonten:
/var/opt/lanman/dirsync/sam2passwd.passwd
Diese Datei enthält nicht-privilegierte SunLink Server-Benutzerkonten, die Sie zu Solaris-Namensdiensttabellen oder zu einer lokalen /etc/passwd-Datei (auf die Sie dann den Befehl /user/bin/pwconv anwenden) hinzufügen.
Das Hilfsprogramm sam2passwd soll Ihnen dabei helfen, Benutzerkonten in aktive Solaris-Namensdienste zu integrieren, führt diesen Vorgang jedoch nicht selbst durch. Einzelheiten zu den Optionen und Argumenten finden Sie auf der Man-Page zu sam2passwd(1).
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, dessen Sucheigenschaften Sie ändern wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "Rechnerdurchsuchung".
Der folgende Bildschirm wird angezeigt.
Stellen Sie mit Hilfe der Dropdown-Listen und des Kontrollkästchens das gewünschte Aktualisierungs- und Wiederherstellungsintervall für den Hauptsuchdienst und den Sicherungssuchdienst ein, und legen Sie die Suchereignisse fest, die berücksichtigt werden sollen.
Wenn Sie "Alle Rechnerdurchsuchungsereignisse aufzeichnen" auswählen, werden mehr Ereignisse in die Ereignisliste aufgenommen als bei der Standardeinstellung.
Beachten Sie, daß Sie als Aktualisierungsintervall für den Haupt- und den Sicherungssuchdienst einen Wert über "0" eingeben müssen.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".
Wenn Sie auf OK klicken, um die Änderungen zu bestätigen, stoppt SunLink Server Manager automatisch den Suchdienst und startet ihn dann neu, damit die Änderungen wirksam werden.
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, auf dem Sie die Richtlinien für die Dateinamenszuordnung einrichten oder bearbeiten wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "Dateinamenszuordnung".
Der folgende Bildschirm wird angezeigt.
Erstellen oder ändern Sie die Richtlinien für die Dateinamenszuordnung gemäß den folgenden Richtlinien:
Wählen Sie "Zuordnung zu 8.3-Dateisystemen aktivieren", wenn auf einigen Clients Windows für Workgroups läuft.
Wählen Sie "Zuordnung zu Windows NT-Dateisystemen aktivieren", damit Solaris-Dateinamen mit in Windows NT unzulässigen Zeichen in Dateinamen mit zulässigen Zeichen geändert werden.
Geben Sie einen neuen Wert in das Textfeld "Suffix-Trennzeichen" ein, wenn Sie die Standardeinstellung aus irgendeinem Grund ändern wollen. Standardmäßig ist die Tilde ( ~ ) als Trennzeichen eingestellt.
Geben Sie einen neuen Wert in das Textfeld "Suffix-Länge" ein, wenn Sie den Standardwert 3 aus irgendeinem Grund ändern wollen. Dieser Wert umfaßt nicht das Trennzeichen.
Wählen Sie "Groß-/Kleinbuchstaben-Unterstützung aktivieren", wenn es möglich sein soll, Dateinamen mit Groß- und Kleinbuchstaben zu erstellen und wenn die Groß-/Kleinschreibung bei der Dateisuche eine Rolle spielen soll. Beachten Sie bitte, daß sich die Systemleistung verringern kann, wenn Sie diese Option wählen.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, auf dem Sie die Richtlinien für NetBIOS einstellen wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "NetBIOS".
Der folgende Bildschirm wird angezeigt.
Der Assistent "NetBIOS-Eigenschaften" zeigt eine Tabelle der verfügbaren Netzwerkgeräte mit den automatisch zugewiesenen LANA-Nummern und dem Bereich (sofern zugewiesen) an. Mit Hilfe des Assistenten können Sie die LANA-Einträge für Ethernet-Schnittstellen hinzufügen, bearbeiten und löschen.
Heben Sie in der Tabelle "Ethernet-Schnittstelle" durch Klicken den Namen des Geräts hervor, das Sie konfigurieren wollen.
Hintergrundinformationen zu NetBIOS finden Sie unter "NetBIOS".
Der nächste Schritt hängt davon ab, ob Sie eine Schnittstelle und ihren LANA-Eintrag hinzufügen, bearbeiten oder löschen wollen.
Wenn Sie eine Schnittstelle und einen LANA-Eintrag hinzufügen wollen, fahren Sie mit dem nächsten Schritt fort.
Wenn Sie eine Schnittstelle und einen LANA-Eintrag bearbeiten wollen, fahren Sie mit Schritt 7 fort.
Wenn Sie eine Schnittstelle und einen LANA-Eintrag löschen wollen, fahren Sie mit Schritt 8 fort.
Klicken Sie auf "Hinzufügen".
Der folgende Bildschirm wird angezeigt.
Klicken Sie auf die Dropdown-Liste "Schnittstelle", um die verfügbare Schnittstelle auszuwählen, die Sie hinzufügen wollen.
(Wahlweise) Geben Sie in das Textfeld "Bereich" den Namen des Bereichs ein, an den das hinzugefügte Gerät angeschlossen werden soll.
Der Bereichsname kann aus maximal 63 Zeichen bestehen und die Groß- und Kleinbuchstaben A-Z, die Ziffern 0-9 und alle Standardsymbole enthalten.
Klicken Sie auf OK.
Klicken Sie auf "Bearbeiten".
Der folgende Bildschirm wird angezeigt.
Klicken Sie auf die Dropdown-Liste "Schnittstelle", um dem lokalen System eine andere verfügbare Schnittstelle zuzuweisen.
(Wahlweise) Im Textfeld "Bereich" bearbeiten oder erstellen Sie den Namen des Bereichs, an den das bearbeitete Gerät angeschlossen werden soll.
Der Bereichsname kann aus maximal 63 Zeichen bestehen und die Groß- und Kleinbuchstaben A-Z, die Ziffern 0-9 und alle Standardsymbole enthalten.
Klicken Sie auf OK.
Klicken Sie auf "Entfernen".
Wenn Sie versuchen, die einzige verfügbare Schnittstelle für den Rechner zu entfernen, wird die folgende Meldung angezeigt.
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, auf dem Sie den WINS-Dienst konfigurieren wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf NetBIOS.
Der folgende Bildschirm wird angezeigt.
Der Assistent "NetBIOS-Eigenschafen" zeigt eine Tabelle der verfügbaren WINS-Konfigurationsoptionen an:
Geben Sie an, ob der WINS-Dienst (Windows Internet Name Service) aktiviert ist.
Geben Sie an, ob Sie das System als WINS-Proxy konfigurieren wollen.
Geben Sie die IP-Adressen der primären und sekundären WINS-Server an.
Um den WINS-Dienst auf dem lokalen System zu aktivieren, klicken Sie auf das Kontrollkästchen neben "WINS aktivieren".
Auf dem Bildschirm sind jetzt die drei WINS-Konfigurationsoptionen verfügbar:
Primärer WINS-Server
Sekundärer WINS-Server
WINS-Proxy
Geben Sie in das jeweilige Textfeld die IP-Adresse für den primären und wahlweise auch den sekundären WINS-Server ein.
Erläuterungen zu primären und sekundären WINS-Servern finden Sie unter "WINS-Proxy".
Geben Sie an, ob das System als ein WINS-Proxy fungieren soll.
Erläuterungen dazu finden Sie unter "WINS-Proxy".
Klicken Sie auf OK.
Der folgende Bildschirm wird angezeigt. Sie werden darüber informiert, daß das Programm SunLink Server und der NetBIOS-Treiber erneut gestartet werden müssen, damit die Änderungen wirksam werden.
Geben Sie an, ob Sie das Programm sofort stoppen und wieder starten wollen, ob Sie das Programm später neu starten wollen, oder verwerfen Sie die vorgenommenen Änderungen.
Die Änderungen, die Sie vorgenommen haben, werden erst beim nächsten Start des Programms SunLink Server wirksam.
Die Option "WINS aktivieren" bewirkt nicht automatisch den Start des WINS-Dienstes nachdem das Programm SunLink Server neu gestartet wurde. Sie müssen den Dienst manuell starten, indem Sie in die Befehlszeile des Systems net start wins eingeben. Statt dessen können Sie dazu auch SunLink Server Manager verwenden. Anweisungen finden Sie unter "So starten Sie einzelne Dienste". Sie können das Programm SunLink Server jedoch auch so konfigurieren, daß der WINS-Dienst automatisch gestartet wird. Bearbeiten Sie dazu die Datei lanman.ini. Siehe "So starten Sie den WINS-Dienst automatisch".
Bearbeiten Sie die Datei lanman.ini, und fügen Sie wins in die srvservices-Parameter ein.
Anweisungen zum Bearbeiten der Datei finden Sie unter "Erläuterungen zu Einträgen in der Datei lanman.ini ". Erläuterungen zu den srvservices-Parametern finden Sie unter "Dateiparameter".
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, auf dem Sie die Richtlinien für die Einbindung des Solaris-Dateisystems festlegen wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "Einbindung des Solaris-Dateisystems".
Der folgende Bildschirm wird angezeigt.
Legen Sie die in SunLink Server gültigen Richtlinien für das Erstellen von Dateien gemäß den folgenden Richtlinien fest. Dazu stehen die Registerkarten "Sicherheit", "Berechtigungen" und "Erweitert" zur Verfügung:
Sicherheit - Richtlinien zur Dateierstellung in SunLink Server-Ordnern:
Solaris-Berechtigungen ignorieren - Wählen Sie die Option "Solaris Datei- und Ordnersicherheit berücksichtigen" nicht aus, wenn Solaris-Berechtigungen ignoriert werden sollen. Wird diese Option nicht ausgewählt, gelten für die Datei- und Verzeichniserstellung und den Lesezugriff ausschließlich Windows NT-Datei- und -Verzeichnisberechtigungen. Benutzer von SunLink Server mit den entsprechenden Windows NT-Berechtigungen können Dateien in SunLink Server-Ordnern erstellen.
Solaris-Berechtigungen respektieren - Wählen Sie die Option "Solaris Datei- und Ordnersicherheit berücksichtigen" und "SunLink Server-Ordner", um festzulegen, daß Benutzer zum Erstellen einer Datei in einem SunLink Server-Ordner eine Solaris-Schreibberechtigung benötigen. Dies hat keine Auswirkung auf Solaris-Dateisystemordner. Wählen Sie "Beliebige Ordner mit Solaris-Schreibberechtigung", um die Einschränkung zu lockern, so daß SunLink Server-Benutzer Dateien in SunLink Server-Ordnern und jedem Solaris-Dateisystemordner erstellen können. Wählen Sie "Beliebige Ordner mit Solaris-Leseberechtigung (Schreibberechtigung nicht erforderlich)", um festzulegen, daß für alle SunLink Server-Ordner und andere Solaris-Ordner nur minimale Solaris-Berechtigungen erforderlich sein sollen. Mit dieser Option wird im Prinzip die Schreibberechtigung für alle Ordner in der Solaris-Betriebssystemumgebung erteilt.
Berechtigungen - Um Standarddatei- und -ordnerberechtigungen für Benutzer, Gruppe und Sonstige festzulegen, aktivieren Sie das Kontrollkästchen neben der Berechtigung, die Sie vergeben wollen.
Erweitert - Damit SunLink Server die Windows NT-Dateisperrung respektiert und so verhindert, daß Benutzer mit Solaris-Konten auf gesperrte Dateien zugreifen, aktivieren Sie das Kontrollkästchen unter "Dateisperrung". Beachten Sie jedoch, daß sich die Leistung dadurch möglicherweise verringert.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, von dem aus Sie eine Meldung über den Ausfall der unterbrechungsfreien Stromversorgung schicken wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "Meldung über USV-Ausfall".
Der folgende Bildschirm wird angezeigt.
Wählen Sie die Option "Stromausfallmeldung senden".
Wählen Sie aus der Dropdown-Liste die NetBIOS-Namen aller Benutzer oder Systeme, die Sie benachrichtigen wollen, oder geben Sie die Namen direkt in das Textfeld ein.
Wählen Sie "Alle Benutzer", wenn die Meldung an alle Benutzer geschickt werden soll.
Wählen Sie über die Dropdown-Liste aus, wie oft die Benachrichtigung wiederholt werden soll.
Geben Sie in das Textfeld "Meldung" die Meldung ein, die Sie schicken wollen.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, für das Sie Richtlinien für die Benutzerkontenzuordnung festlegen oder bearbeiten wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "Benutzerkontenzuordnung".
Der folgende Bildschirm wird angezeigt.
Definieren oder bearbeiten Sie die Richtlinien für die Benutzerkontenzuordnung gemäß den folgenden Richtlinien. Hintergrundinformationen zu diesen Richtlinien finden Sie unter "Benutzerkontenzuordnung für /etc/passwd-Dateien":
Wählen Sie "Neue SunLink Server-Accounts den Solaris-Accounts zuordnen", wenn Sie für jeden Benutzer, für den ein neues Konto in der Windows NT-Domäne erstellt wird, die an das SunLink Server-System angeschlossen ist, gleichzeitig ein eindeutiges Solaris-Konto erstellen wollen. Wenn Sie diese Option wählen, stehen Ihnen weitere Optionen zur Verfügung, die im folgenden erläutert werden.
Legen Sie fest, ob für den Benutzer immer ein neues Solaris-Konto erstellt werden soll oder ob ein Solaris-Konto, das für den Benutzer eventuell bereits vorhanden ist, verwendet werden soll. Beachten Sie, daß ein Solaris-Konto unabhängig von Windows NT- und SunLink Server-Systemen ist.
Wenn Sie die Option "Stets neuen Solaris-Account erstellen" wählen, erstellt das System ein neues Solaris-Konto ausschließlich über eine lokale /etc/passwd-Datei. Wählen Sie diese Option daher nicht, wenn Sie an Ihrem Standort mit einem Solaris-Namensdienst wie NIS oder NIS+ arbeiten.
Legen Sie mit der Option "Solaris-Anmeldungen zulassen" fest, ob ein Benutzer mit einem Solaris-Konto dieses Konto unabhängig von NT und SunLink Server verwenden können soll. Wenn Sie Solaris-Anmeldungen zulassen, wählen Sie in der Dropdown-Liste "Solaris-Shell" eine Befehls-Shell, oder wählen Sie "Sonstige", und geben Sie den Namen der Shell in das Textfeld ein.
Wählen Sie "Basisverzeichnisse synchronisieren" wenn die SunLink Server-Basisverzeichnisse automatisch mit den Solaris-Basisverzeichnissen synchronisiert werden sollen. Siehe dazu den folgenden Hinweis.
Die Option "Basisverzeichnisse synchronisieren" ist nur an Standorten nützlich, bei denen mit dem Befehl mapuname Windows NT- und Solaris-Konten einander zugeordnet werden und die Solaris-Konten in einer lokalen /etc/passwd-Datei stehen (also Standorte, die nicht mit dem Namensdienst NIS oder NIS+ arbeiten). Wenn dies der Fall ist und Sie diese Option wählen und dann mit dem Windows NT Benutzer-Manager das Windows NT-Basisverzeichnis eines Benutzers in einen freigegebenen Pfad auf dem SunLink Server-System ändern, wird die Datei /etc/passwd so modifiziert, daß für das Solaris-Konto des Benutzers auf dem Server dasselbe Basisverzeichnis gilt.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".
Melden Sie sich über SunLink Server Manager an dem SunLink Server-System an, für das Sie SunLink Server Manager-Sicherheitsrichtlinien festlegen wollen, und öffnen Sie dann das System.
Anweisungen finden Sie unter "So melden Sie sich über SunLink Server Manager an". Um Änderungen vorzunehmen, müssen Sie als Root angemeldet sein.
Doppelklicken Sie auf "Richtlinien".
Doppelklicken Sie auf "SunLink Server Manager Sicherheit".
Der folgende Bildschirm wird angezeigt.
Führen Sie einen oder beide der folgenden Schritte aus:
Wählen Sie die Option "Transaktionssicherheit", wenn für SunLink Server Manager-Transaktionen die Benutzer-Echtheitsbestätigung erforderlich sein soll und um öffentliche Schlüsselsignaturen zum Schutz der zwischen Server und Clients ausgetauschten Daten zu verwenden.
Wählen Sie die Option "Verbindungsabbruch wegen Zeitüberschreitung", um die Zeitspanne festzulegen, nach der SunLink Server Manager-Verbindungen beendet werden. Geben Sie die Zeitspanne in dem entsprechenden Textfeld an.
Klicken Sie auf OK, "Abbrechen" oder "Standardwerte wiederherstellen".