Det kan finnas sju grupper av SunLink Server-policies:
Datorbläddring
Avbildning av filnamn
NetBIOS
Säkerhet och tillstånd för Solaris' filsystem
Information om strömavbrott från en UPS
Koppling av användarkonton
Säkerhet i SunLink Server Manager
Tänk på att de instruktioner i handboken som avser policyhantering bara gäller SunLink Server --inte själva Windows NT-nätverket. Policies för Windows NT-nätverk hanteras fortfarande på samma sätt och med samma verktyg som du är van vid. Windows NT-policies som inte tas upp i den här handboken är bl.a:
Användarlösenord (konton)
Granskning
Betroendeförhållanden
Datorbläddring innebär att man letar i domäner, arbetsgrupper och datorer efter delade kataloger och skrivare. Nätverk, domäner, arbetsgrupper och delade kataloger är organiserade i en trädstruktur. Du väljer ett nätverksnamn för att visa tillgängliga domäner och arbetsgrupper, ett domän- eller arbetsgruppsnamn för att visa tillgängliga datorer eller ett datornamn för att visa vilka delade kataloger den har.
En huvudbläddrare underhåller listan med trädstrukturen och uppdaterar reservbläddrarna. Användare med nätverksklientdatorer utnyttjar listan när de går in på Nätverket.
Policyn för datorbläddring i SunLink Server omfatttar inställningarna för hur ofta huvudbläddraren skall uppdatera sin lista, hur ofta reservbläddrarna skall hämta en kopia från huvudbläddraren, och vilka händelser från bläddringen som skall ingå i systemloggen.
Kataloger och filer under Solaris kan ha namn på maximalt 255 tecken, d.v.s. enormt mycket längre än 8.3-standarden i MS-DOS. Och även om användare med Windows NT Workstation och Windows NT Server kan se de långa filnamnen i en SunLink Server-katalog kan användare med Windows for Workgroups--där namngivning hanteras på samma sätt som i MS-DOS med 8.3--inte göra det. För att se till att alla användare kan komma åt alla filer de har tillstånd för har SunLink Server funktioner för avbildning av filnamn: varje fil eller katalog med namn som inte följer MS-DOS 8.3-standard får automatiskt ett andra namn som följer 8.3.
Många användare med Microsoft Windows 3.1 och Windows for Workgroups som ansluter till en fil eller katalog över nätverket ser namnet i 8.3-formatet; användare med Windows NT Workstation och Windows NT Server ser det långa namnet. (Lägg dock märke till att SunLink Server inte skapar korta motsvarigheter för delningsnamn som inte följer namnstandarderna i MS-DOS, utan bara för filer och kataloger med långa namn. När du namnger en delning bör du följa 8.3-standarden för att undvika potentiella filnamnskonflikter.)
SunLink Servers namnavbildning gör också att program som inte stöder långa filnamn kan komma åt filer med sådana namn. Dessa program använder de kortare namnen för att komma åt filer med långa namn.
Om ett program som inte stöder långa filnamn öppnar en fil med ett långt namn och sedan sparar filen, försvinner det långa namnet och bara det korta namnet finns kvar.
Avbildningen av filnamn i SunLink Server består av följande tre delar:
Stöd för kombinationer av gemener och versaler
Avbildning av filnamn i Solaris-system till 8.3-reglerna
Avbildning av filnamn i Solaris-system som innehåller tecken som inte tillåts under Windows NT till motsvarigheter som godtas
Problemet med koppling mellan olika namnsystem löses i Solaris genom att man tar en avhuggen variant av filnamnet och hänger på ett tillägg, som gör att filen inte kan blandas ihop med någon annan. Detta tillägg (ibland säger vi suffix för att du inte skall blanda ihop med filnamnstillägget efter punkten) är unikt inom katalogen så att inga filer kan blandas ihop och genereras dynamiskt med utgångspunkt i Solaris-filens i-nodsnummer.
När Solaris-filnamn avbildas till 8.3-namn används följande standardregler:
Eventuella mellanslag tas bort från namnet.
Punkter tas bort, utom den sista, som följs av minst ett tecken.
Otillåtna tecken ersätts med understrykningstecken (_).
Namnet (utan suffix) huggs av; ett tilde (~) används som skiljetecken och en kombination av siffror (0 - 9) och bokstäver (A - Z) läggs till.
Suffixet (tecknen efter tildet) får inte vara längre än tre tecken.
Exempelvis blir filen mycketlångtnamn.txt med i-nodsnummer 11455 avbildad till myck~8u7.txt.
Vid avbildning av Solaris-filnamn till Windows NT-varianter används följande standardregler:
Otillåtna tecken ersätts med understrykningstecken (_).
Ett avbildningsskiljetecken (som standard tilde) och en kombination av siffror (0 - 9) och bokstäver (A - Z) läggs till namnet, före filnamnstillägget.
Filnamnstillägget (inte suffixet) bevaras.
Exempelvis blir filen k<l<m.uttryck med i-nodsnummer 8461 k_l_m~6j1.uttryck.
Du bör tänka efter noga innan du bestämmer dig för att servern skall fortsätta att stödja filnamn med kombinationer av gemener och versaler, vilket är standard i SunLink Server. Genom stödet för kombinationer av gemener och versaler kan klienterna komma åt filnamn på Solaris-system som innehåller versaler, men om du stänger av den här funktionen kan serverns prestanda öka.
Vi rekommenderar att du inte växlar mellan att filnamn med kombinationer av gemener och versaler skall stödjas/inte stödjas på en och samma server. När stödet är aktiverat kan klienterna skapa filer med namn där både gemener och versaler ingår. Om du stänger av funktionen går det inte att komma åt dem. I detta fall måste därför alla befintliga filer få namn med bara gemener.
Skapa inte filer i samma katalog med namn som bara skiljer sig i fråga om kombinationen av gemener och versaler. Även om Solaris inte uppfattar filerna som identiska gör SunLink Servers stöd för filer med kombinationer av gemener och versaler i namn att den lagrar fördelningen, men inte skiljer på sådana skiftlägesskillnader när det gäller att hitta filer och liknande, precis som i Windows NT. Microsoft-användare är inte vana vid att det i samma katalog finns filer med namn som bara skiljer sig åt i fråga om kombinationen av gemener och versaler, eftersom Windows NT inte har den möjligheten. Därför kan användarna bli förvirrade om de kommer åt fel fil eller inte kan komma åt de filer de behöver.
NetBIOS betyder Network Basic Input/Output System och är ett sessionslagergränssnitt som används av program för att kommunicera. Det har ett logiskt namnsystem som låter nätverksgränssnittet hos datorer upprätta anslutningar och ge tillförlitliga dataöverföringar när anslutningarna är upprättade.
Lana-nummer (LAN Adapter) ingår i NetBIOS' logiska namnsystem. SunLink Server tilldelar automatiskt Lana-nummer till alla nätverksgränssnitt och ser till att det inte finns några dubbletter på samma dator.
Endast en NetBIOS-Lana kan konfigureras för varje tillgängligt nätverkskort. Du bör i förväg bestämma vilka nätverksgränssnitt du vill skall ha NetBIOS-Lana.
En WINS-server (Windows Internet Name Service) är en dator med en databas över tillgängliga nätverksresurser och de datorer som äger dem. En dator som letar efter en resurs "ber" WINS-servern att leta upp adressen till den dator där den finns.
Ett nätverk kan sakna WINS-servrar, eller också ha flera stycken. En längre diskussion om WINS finns i kapitel 5, Kapitel 5.
Som standard försätter SunLink Server alla nätverksgränssnitt i utsändningsläge. I detta läge skickar en dator som letar efter en nätverkstjänst eller -resurs ett massutsändningsmeddelande till nätverket och väntar på svar från den dator som har resursen eller tjänsten. Varje dator som tar emot en sådan begäran svarar med sin adress.
Det här läget har den fördelen att det inte behövs några WINS-servrar, men i gengäld blir det mycket nätverkstrafik. Utsändningsläge fungerar inte mellan delnät.
WINS-servrar använder NetBIOS' hybridläge (h-läge). I detta läge skickar en dator som letar efter en nätverkstjänst eller -resurs en fråga direkt till en i förväg angiven WINS-server, som sedan i sin tur tar reda på adressen till den dator som har resursen.
WINS-ombud är bra i nätverk som består av flera delnät, när en del av datorerna på delnäten använder utsändningsläge. Ett WINS-ombud tar emot lokala frågor om tjänster på ett annat delnät, mellanlagrar nätverksadresser och kommunicerar med WINS-servern om det behövs.
Du kan även konfigurera att NetBIOS-tjänsten skall använda WINS-servrar för att göra om NetBIOS-namn genom att mata in IP-adresserna för den primära WINS-servern och reserv-WINS-servrarna. Du behöver inte konfigurera båda, utan kan om du vill bara mata in den primära WINS-servern. WINS-serveradresserna kan vara IP-adresser till det egna SunLink Server-systemet med WINS-tjänsten, eller ett annat SunLink Server-system som kör WINS-tjänsten, eller en Windows NT-server som kör WINS-tjänsten.
Om du har angivit primär WINS-server och/eller reserv-WINS-server kan du använda inställningen för WINS-ombud för att låta SunLink Server-systemet fungera som ombud för andra datorer som inte har konfigurerats att använda WINS-servrar för att omvandla NetBIOS-namn. Var återhållsam med användningen av det här alternativet, eftersom det slår ihop NetBIOS-namnområdena för NetBIOS-noder med både b- och h-läge på det lokala delnätet och kan orsaka oväntade namnkonflikter.
NetBIOS-omfattning är en funktion som sällan används. Den begränsar vilka datorer en viss nätverksenhet kan kommunicera med.
Omfattningsfunktionen används främst i nätverk som sträcker sig över stora områden (WAN), eller andra stora nätverk. Den förhindrar konflikter orsakade av att två eller flera nätverksgränssnitt har samma NetBIOS-namn.
Tänk dig ett nätverk för en skotillverkare där det på samma delnät finns två datorer endast avsedda för säljare.
Den ena används av dem som säljer gymnastikskor, och den andra av dem som säljer kängor. Om båda datorerna hade samma NetBIOS-namn, t.ex. "salj", skulle det bli problem. Men om den ena datorn får omfattningsnamnet "gympa" och den andra "kangor", kan båda datorerna ha NetBIOS-namnet "salj" utan att det uppstår någon konflikt. Observera dock att de båda datorerna bara kan kommunicera med andra datorer med samma omfattningsnamn.
Du kan styra vilka användare som får komma åt filer och kataloger på SunLink Server-datorer genom att säkra dem med tillstånd.
Varje tillstånd du anger bestämmer vad användaren, gruppen eller övriga får göra med katalogen eller filen. Om du t.ex. anger att gruppen Kollegor skall ha tillståndet Read för filen MY_IDEAS.DOC kan användarna i den gruppen visa filens data och attribut, men inte redigera eller ta bort den.
SunLink Server använder följande tillstånd som du kan ge till användaren, gruppen eller övriga för kataloger och filer:
Läsning (Read, R) - Låter enskilda användare eller grupper se en fil eller innehållet i en mapp, men inte redigera, ta bort, eller köra den.
Under Solaris är tillståndet för läsning mycket mer begränsat än tillståndet med liknande namn i Windows NT. Under Windows NT är tillståndet bara rådgivande--en användare på en Windows NT-klientdator kan fortfarande redigera en fil som är angiven som skrivskyddad (Read-only). Under Solaris--den miljö där alla SunLink Server-filer och -kataloger lagras och hanteras--får användaren inte redigera en skrivskyddad fil. Du kan dock göra så att SunLink Server fungerar precis som Windows NT i fråga om tillstånd och går ifrån Solaris' regler. I "Gör så här för att ställa in policies för integration av Solaris' filsystem" finns instruktioner för detta.
Skrivning (Write, W) - Låter enskilda användare eller grupper se och redigera filen eller innehållet i mappen.
Execute (X) - Låter enskilda användare eller grupper köra program, men inte se eller redigera koden.
Full åtkomst (Full Access, RWX) - Låter enskilda användare eller grupper se, redigera och köra filer, kataloger och program.
Ingen åtkomst (No Access) - Tar bort alla tillstånd (utförs rent praktiskt genom att man inte anger något av tillstånden ovan).
Du anger tillstånd för filer och kataloger men de angivna tillstånden påverkar egentligen datoranvändarna. Solaris skiljer på för vilka tillstånden gäller på följande sätt:
Användare - Om du äger en fil eller katalog på ett Solaris-system kan du ge åtkomsttillstånd till bara dig själv. Om du t.ex. vill förhindra att icke auktoriserade användare skall kunna köra ett program ger du bara dig själv körtillstånd.
Grupp - Den här inställningen har i SunLink Server inte samma effekt som grupptillstånd i Solaris. I Solaris styr grupptillstånd hur andra medlemmar i din grupp kan komma åt filer och kataloger du äger. I SunLink Server skapas dock Windows NT-grupper, och inte Solaris-grupper, och därför påverkar Solaris-grupptillstånd inte dem.
Andra - Du kan ge åtkomsttillstånd för filer och kataloger som du äger till alla Solaris-användare utom dig själv och de andra användarna i din grupp. Beroende på vilka behov som föreligger kan du låta andra användare läsa eller ändra i dina filer och kataloger (eller förhindra det). Även om du minskar hur mycket andra kan komma åt dina filer och kataloger påverkas inte din egen åtkomst.
Standardtillstånd är kombinationer av enskilda tillstånd. Vilket tillstånd du väljer beror på naturen hos filerna och katalogerna och gruppsammansättningen. För att arbeta effektivt med säkerhet för filer och kataloger i SunLink Server, måste du tänka på följande när det gäller tilldelning av tillstånd:
Användare kan inte använda en katalog eller fil om inte de, eller den grupp de tillhör, har tillstånd att göra det.
Tillstånd läggs ihop. Dock gäller att No Access prioriteras jämfört med alla andra tillstånd, vilket innebär att inget av tillstånden Read, Write och Execute gäller för en fil eller katalog. Om t.ex. gruppen Kollegor har tillståndet Write för en fil medan gruppen Ekonomi har tillståndet Read och Karin är medlem i båda grupperna kommer hon att få tillstånden Read och Write. Om du emellertid tar bort det enda tillståndet för gruppen Ekonomi (vilket i praktiken motsvarar No Access) kommer Karin inte att kunna använda filen, även om hon tillhör en annan grupp (Kollegor), som har tillstånd att komma åt den.
När filer och underkataloger skapas i en SunLink Server-katalog ärver de moderkatalogens tillstånd. Om du t.ex. lägger till en fil i en katalog där gruppen Kollegor har tillståndet Write och Ekonomi tillståndet Read kommer samma tillstånd att gälla för filen.
Den användare som skapar en fil eller katalog är i allmänhet ägare till den. Denna standardinställning kan dock ändras. Ägaren kan styra vem som får komma åt filen eller katalogen genom att ändra dess tillstånd.
Det enklaste sättet att hantera säkerheten är att ge tillstånd till grupper och inte till enskilda användare. Oftast behöver en användare kunna komma åt många filer. Om användaren är medlem i en grupp, som får komma åt filerna, kan du hindra honom från att använda dem genom att ta bort honom från gruppen i stället för att ändra tillstånden för var och en av filerna. Tänk på att inställning av en enskild användares tillstånd inte används i stället för, utan tillsammans med, de tillstånd han fått via de grupper han tillhör.
När du kopierar filer eller kataloger i SunLink Server kopieras varken säkerhetstillstånd, ägar- eller granskningsinformation. Filerna ärver i stället tillstånd från den katalog de kopierades till. Om den nya katalogen inte har några säkerhetstillstånd för filer kommer bara ägaren till filerna (den som kopierade dem) att kunna använda dem.
I Windows NT har inte bara filer och kataloger utan även delningar sina egna tillstånd. Om olika tillstånd gäller för filen, katalogen och delningen används den kombination av tillstånd som är mest restriktiv.
Alla filer och kataloger har ägare. Ägaren styr vilka tillstånd som gäller för filen eller katalogen och kan ge tillstånd till andra.
När en fil eller katalog skapas blir den person som skapar filen eller katalogen automatiskt ägare till den. Oftast skapar administratörerna de flesta filerna på nätverksservrar, t.ex. när de installerar program på servern. Därför kommer de flesta filerna på servern att ägas av administratörerna utom de datafiler användarna skapar och filerna i användarnas hemkataloger.
Ägarskapet kan överföras på följande sätt:
Den nuvarande ägaren till en fil kan göra det möjligt för andra användare att ta över ägarskapet genom att ge tillståndet Write för filerna eller katalogerna till gruppen eller övriga. Därigenom kan andra kopiera filen och "ärva" ägarskapet till kopian.
En administratör kan när som helst ta över ägarskapet för en fil på datorn. Om t.ex. en anställd plötsligt lämnar företaget kan administratören ta över den anställdes filer, oavsett vilka tillstånd som tidigare har angivits.
Även om administratören kan ta över ägarskapet kan han inte överföra det till andra. Genom denna begränsning hålls administratören ansvarig.
Administratören kan även ta över ägarskapet genom att använda kommandot net perms. För mer information skriver du net help perms vid SunLink Servers kommandorad.
Inte bara filer och kataloger utan även processer på en dator har ägare. En datorprocess skapas varje gång ett program körs och processen identifieras av systemet med ett unikt värde. I Solaris kallas detta för processidentifierare, eller PID.
Till skillnad från ägarskap för filer och kataloger ändras dock "ägarskapet" varje gång programmet körs. Om ett program, t.ex. ett kalkylprogram, från början ägs av den användare som installerade det på nätverket ändras dess användar- och grupp-PID varje gång någon kör det. Kalkylbladsprocessen som ägdes av root vid installationen kommer då att ägas av användaren som kör det och dennes grupp. Eftersom denna förändring av ägarskapet får effekter på säkerheten innehåller SunLink Server funktioner för att styra den.
Låsning av filer är också en viktig del av säkerheten, särskilt i en miljö där både Windows NT och Solaris förekommer. Även om SunLink Server använder samma fillåsningssäkerhet på nätverksbaserade filer och kataloger som Windows NT, kan det hända att låsta filer går att komma åt om man använder ett Solaris-konto direkt. SunLink Server innehåller ett alternativ som gör även detta omöjligt, men det är inte aktiverat som standard, eftersom det kan ge en märkbar försämring av systemets prestanda överlag. Om det finns användare som både via Solaris och Windows NT kommer åt filer på servern över nätverket bör du ändra inställningen så att Solaris-konton skall påverkas av Windows NT-fillåsning. Se "Gör så här för att ställa in policies för integration av Solaris' filsystem".
Under installationen av SunLink Server lades de användare och grupper som skulle utnyttja SunLink Server till i systemets lokala lösenords- och gruppfiler. Om ni på ert företag använder en Solaris-namntjänst (t.ex. NIS eller NIS+) bör du placera gruppinformationen i namntjänstkartorna. När filer skapas från en dator med Windows NT Workstation i en katalog på ett Solaris-system blir ägaren den användare som skapade filen och standardgruppen blir DOS---. Även om användarinformationen egentligen hämtas från namntjänstkartorna visas gruppinformationen korrekt endast om listningen av filen utförs på SunLink Server-systemet (ett sätt att visa detta är: files nis). Om filerna visas från ett annat Solaris-system kommer grupp-id:n inte att kopplas korrekt. Genom att placera gruppinformationen i namntjänstkartorna gör du att de lokala systemfilerna och kartorna överensstämmer.
När det gäller säkerheten bör du även tänka på användarnas rättigheter att administrera SunLink Server från SunLink Server Manager. Du kan välja inställningar som påverkar säkerheten för kommande SunLink Server Manager-sessioner. Dataintegritet använder signaturer med öppna nycklar för att skydda de data som skickas mellan servern och klienten. Kontrollen av användarens identitet märks inte och ny kontroll av inloggningsinformationen sker vid varje överföring. Se "Gör så här för att säkra SunLink Server Managers överföringar".
Du kan skicka ett meddelande om strömavbrott till alla Windows NT-nätverksanvändare, som är anslutna till datorn, genom att välja Skicka meddelande från Dator-menyn i Serverhanteraren i Windows NT. Du kan t.ex. göra detta innan du kopplar från en eller flera användare eller innan du stannar tjänsten Server på datorn.
Om ni har en UPS (Uninterruptible Power Supply) installerad, kan du med SunLink Server Manager varna användarna innan du stänger av servern på grund av strömavbrott.
För att några informationsmeddelanden skall kunna skickas måste tjänsten Alerter vara igång på den SunLink Server-dator meddelandet skall skickas från (se "Gör så här för att starta enskilda tjänster"). För att klientdatorerna skall kunna ta emot meddelandena måste tjänsten Messenger i Microsoft Windows vara igång.
Du kan koppla ett SunLink Server-användarkonto till ett användarkonto i Solaris på den dator som kör SunLink Server. För att skapa denna koppling använder du SunLink Server Manager eller kommandot mapuname. (För mer information om kommandot mapuname skriver du man mapuname vid SunLink Servers kommandorad.) Efter det att du har kopplat ett SunLink Server-användarkonto till ett Solaris-användarkonto kommer alla filer som SunLink Server-användaren skapar att ägas av Solaris-användarkontot.
Det här alternativet är bara användbart i miljöer där mapuname används för att koppla Windows NT- och Solaris-konton med varandra och där Solaris-kontona ligger i en lokal /etc/passwd-fil (där alltså ingen av namntjänsterna NIS och NIS+ används). Om så är fallet och du väljer det här alternativet, och använder Kontohanteraren till Windows NT för att byta Windows NT-användarens hemkatalog till en delad katalog på SunLink Server-systemet, redigeras /etc/passwd automatiskt, så att användarens Solaris-konto får samma hemkatalog på servern.
Genom att du har användarkonton både i Solaris och SunLink Server kan filerna ägas av ditt Solaris-konto, men du kan komma åt dem genom SunLink Server-kontot. SunLink Server-användare bör få Solaris-användarkonton på det Solaris-system där deras hemkataloger ligger. (Denna standardinställning kan ändras.)
Kopplingen av Solaris-användarkonton till motsvarigheterna i SunLink Server gör att Solaris-användarkonton endast skapas när det är nödvändigt. Den ger även administratörerna fullständig kontroll över kopplingen mellan SunLink Server-användarkonton och Solaris-användarkonton.
Man använder SunLink Server Manager för att automatiskt koppla Solaris-användarkonton till nya SunLink Server-konton. Se "Gör så här för att redigera policies för avbildning av användarkonton". Namnet på Solaris-användarkontot blir samma som, eller liknar, det för SunLink Server-kontot. Skillnader kan uppstå om SunLink Server-kontonamnet är långt, sammanfaller med ett befintligt namn eller innehåller specialtecken.
Om du skulle koppla ett SunLink Server-konto till ett obefintligt Solaris-användarkonto, eller om Solaris-kontot för en SunLink Server-användare tas bort, kommer denne inte att ha tillgång till några delade resurser på Solaris-systemet. För att vara säker på att SunLink Server-användaren kan komma åt systemet även i fortsättningen tar du bort kopplingen eller kopplar användaren till något annat Solaris-konto.
Som administratör kan du även tillåta (eller förhindra) att användare med Solaris-konton loggar in på Solaris-systemet, och välja om SunLink Servers hemkataloger skall synkroniseras med användarens Solaris-hemkataloger.
SunLink Server-programvaran innehåller två verktyg för hantering av Solaris-användarkonton, passwd2sam och sam2passwd.
Verktyget passwd2sam placerar användarkontoinformation som lagras i en Solaris-namntjänst---t.ex. FILES, NIS och NIS+---i SunLink Servers SAM-databas (SAM = Security Accounts Manager). Om SunLink Server-systemet är konfigurerat som reservdomänkontrollant i en befintlig Windows NT-domän kommer passwd2sam-åtgärderna att överföras till domänens primära kontrollant.
Med det här verktyget läggs inte användarnas lösenord in i SunLink Servers SAM-databas, eftersom lösenord är envägskrypterade och inte kan dekrypteras för automatisk överföring mellan konton.
passwd2sam har tre funktionslägen:
Det kan lägga till Solaris-användarkonton i SunLink Servers SAM-databas. Detta är standardläget. Solaris-användarkonton kan kopieras från den aktiva Solaris-namntjänsten eller från en av användaren angiven fil i samma format som /etc/passwd.
Det kan ta bort Solaris-användarkonton från SunLink Servers SAM-databas. Solaris-användarkonton tas bort från SunLink Server genom en av användaren angiven fil i samma format som /etc/passwd.
Det kan hitta och stänga av användarkonton på Windows NT-domänen som har lagts till med passwd2sam och sedan tagits bort från Solaris' namntjänst. Detta läge hittar och stänger av SunLink Server-användarkonton som har tagits bort från en Solaris-namntjänst.
Du måste formatera alla instruktionsfiler till passwd2sam i /etc/passwd-format. Se man-sidan för passwd2sam(1) för mer information om alternativ och parametrar.
Det andra verktyget för användarkontohantering i SunLink Server är sam2passwd. Detta verktyg registrerar SunLink Server-användarkonton och därefter följande fil i /etc/passwd-format med SunLink Server-kontona:
/var/opt/lanman/dirsync/sam2passwd.passwd
Filen innehåller en lista med icke-privilegierade SunLink Server-användarkonton som du kan lägga till Solaris' namntjänstkartor eller till en lokal /etc/passwd-fil (som du sedan kan köra /user/bin/pwconv på).
sam2passwd är till för att underlätta överföring av användarkonton till en befintlig Solaris-namntjänst, men utför inte själva överföringen. Se man-sidan för sam2passwd(1) för information om alternativ och parametrar.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system vars bläddringsegenskaper du vill ändra.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på Datorbläddring.
Följande skärm visas.
Använd listorna och kryssrutorna om du vill ändra uppdaterings- och återställningsintervallen för huvudbläddrare och reservbläddrare och listan med vilka bläddringshändelser som skall tas med.
Om du kryssar i "Registrera alla datorbläddringshändelser" blir händelselistan ännu mer omfattande än standardlistan.
Uppdateringsintervallen för både huvud- och reservbläddrare måste vara ett värde större än "0".
Klicka på OK, Avbryt eller Återställ till standardvärden.
Om du klickar på OK för att göra ändringar kommer SunLink Server Manager automatiskt att stanna, och sedan starta om, bläddringstjänsten så att ändringarna börjar gälla.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system, vars policies för filnamnsavbildning du vill konfigurera eller ändra.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på Avbildning av filnamn.
Följande skärm visas.
Skapa eller redigera policies för avbildning av filnamn på följande sätt:
Kryssa för "Aktivera avbildning till filsystem med 8.3-filnamn" om det finns några klientdatorer på nätverket som kör Windows for Workgroups.
Kryssa för "Aktivera avbildning till filsystem av Windows NT-typ" så att tecken i Solaris-filnamn som inte får ingå i Windows NT-filnamn görs om till "tillåtna" tecken.
Skriv in ett nytt värde för Suffixskiljare om du vill byta från standardvärdet som är tilde ( ~ ).
Skriv in ett nytt värde i fältet Suffixlängd om du vill byta från standardvärdet tre tecken (räknat utan suffixskiljaren).
Kryssa för "Aktivera stöd för stora och små bokstäver blandade" om du vill tillåta filnamn med både gemener och versaler och att kombinationen av gemener och versaler skall ha betydelse när program letar efter filer. Om du kryssar för den här rutan kan prestanda minska.
Klicka på OK, Avbryt eller Återställ till standardvärden.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system vars NetBIOS-policies du vill ändra eller definiera.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på NetBIOS.
Följande skärm visas.
Guiden Egenskaper för NetBIOS visar en tabell med tillgängliga nätverksenheter, de Lana-nummer de tilldelats automatiskt och (i förekommande fall) deras omfattning. Guiden gör att du kan lägga till, redigera eller ta bort en Lana-post för ett Ethernet-gränssnitt.
I tabellen med Ethernet-gränssnitt klickar du för att markera namnet på den enhet du vill konfigurera.
För bakgrundsinformation om NetBIOS hänvisar vi till "NetBIOS".
Välj om du vill lägga till, redigera, eller ta bort ett gränssnitt och dess Lana-post.
Om du vill lägga till ett gränssnitt och tillhörande Lana-post fortsätter du med nästa steg.
Om du vill redigera ett gränssnitt och tillhörande Lana-post fortsätter du med steg 7.
Om du vill ta bort ett gränssnitt och tillhörande Lana-post fortsätter du med steg 8.
Klicka på Lägg till.
Följande skärm visas.
Klicka på listan Gränssnitt för att välja vilket av de tillgängliga gränssnitten du vill lägga till.
(Valfritt) Skriv i fältet Omfattning in den omfattning du vill att den enhet som läggs till skall finnas inom.
Namn på omfattningar kan vara upp till 63 tecken med bokstäverna A-Z (stora och små), siffrorna 0-9 och alla standardsymboler.
Klicka på OK.
Klicka på Redigera.
Följande skärm visas.
Klicka på listan Gränssnitt för att koppla ett annat tillgängligt gränssnitt till det lokala systemet.
(Valfritt) I fältet Omfattning redigerar eller skapar du namnet på den omfattning du vill att den redigerade enheten skall finnas inom.
Namn på omfattningar kan vara upp till 63 tecken med bokstäverna A-Z (stora och små), siffrorna 0-9 och alla standardsymboler.
Klicka på OK.
Klicka på Ta bort.
Om du försöker ta bort datorns enda gränssnitt visas följande skärm.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system där du vill konfigurera WINS-tjänsten.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på NetBIOS.
Följande skärm visas.
Guiden Egenskaper för NetBIOS visar en tabell med de tillgängliga konfigureringsalternativen för WINS:
Välj om WINS skall vara aktiverat (Windows Internet Name Service).
Välj om det system du konfigurerar skall vara WINS-ombud.
Identifiera, med IP-adress, WINS-servrarna, både den primära servern och reservservrarna.
För att aktivera WINS på det lokala systemet klickar du i rutan bredvid Aktivera WINS.
Skärmen ändras så att följande tre WINS-konfigureringsalternativ blir aktiva:
Primär WINS-server
Reserv-WINS-server
WINS-ombud
I respektive textfält skriver du in IP-adresserna till den primära WINS-servern, och till en reserv-WINS-server.
I "WINS-ombud" finns en beskrivning av primära WINS-servrar och reserv-WINS-servrar.
Välj om du vill att systemet skall vara WINS-ombud.
Se "WINS-ombud" för en beskrivning.
Klicka på OK.
Följande skärm visas. Där anges att SunLink Server och NetBIOS-drivrutinen måste startas om för att ändringarna skall börja gälla:
Välj om du vill stanna och starta om programmet omedelbart, starta om programmet senare eller helt låta bli att göra några ändringar.
Ingen av de gjorda ändringarna börjar gälla förrän du startar om SunLink Server.
Alternativet Aktivera WINS startar inte WINS-tjänsten automatiskt efter det att SunLink Server startats om. Du måste starta tjänsten manuellt genom att skriva net start wins vid systemets kommandorad, eller genom att använda SunLink Server Manager. Instruktioner finns i "Gör så här för att starta enskilda tjänster". Du kan konfigurera SunLink Server så att WINS-tjänsten startas automatiskt genom att redigera filen lanman.ini. Se "Gör så här för att starta WINS-tjänsten automatiskt".
Redigera filen lanman.ini så att wins står med i värdet för parametern srvservices.
I avsnittet "Om poster i filen lanman.ini" finns redigeringsinstruktioner och i "Filparametrar" information om var parametern srvservices står.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system där du vill ställa in policies för integration av Solaris' filsystem.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på Integrering av Solaris' filsystem.
Följande skärm visas.
Ställ in SunLink Servers policies för skapande av filer enligt följande rekommendationer med hjälp av flikarna Säkerhet, Tillstånd eller Avancerat:
Säkerhet - Du kan skapa en policy för skapande av filer i SunLink Server-mappar som...
...bortser från Solaris-tillstånd - Låt rutan "Iaktta Solaris' inställningar för fil- och mappsäkerhet" vara utan kryss för att bortse från Solaris' tillstånd. Om det här alternativet lämnas utan kryss är Windows NT:s fil- och katalogtillstånd de enda som kommer att styra vilka som får skapa och läsa filer och kataloger. SunLink Server-användare med rätt Windows NT-tillstånd kan skapa filer i SunLink Server-mappar.
...tar hänsyn till Solaris-tillstånd - Kryssa i rutan "Iaktta Solaris' inställningar för fil- och mappsäkerhet" och "En SunLink Server-mapp" för att kräva att användare skall ha Solaris' skrivtillstånd för att skapa en fil i enbart en SunLink Server-mapp. Detta påverkar inga andra mappar i Solaris' filsystem. Kryssa i "Vilken mapp som helst med skrivtillstånd för Solaris" för att lätta på begränsningarna och låta SunLink Server-användare skapa filer i SunLink Server-mappar och alla andra mappar i Solaris' filsystem. Kryssa i "Vilken mapp som helst med lästillstånd för Solaris" för att ange att det räcker att användaren har minsta tänkbara Solaris-tillstånd för vilken SunLink Server-mapp eller annan Solaris-mapp som helst (i själva verket ger det här alternativet skrivtillstånd för alla Solaris-baserade mappar).
Tillstånd - För att skapa standardtillstånd för mappar och filer för användaren, gruppen och övriga kryssar du i rutorna bredvid de tillstånd du vill använda.
Avancerat - Kryssa i rutan Fillåsning om du vill att SunLink Server-programvaran skall följa Windows NT:s regler för fillåsning och därigenom se till att användare med Solaris-konton inte kommer åt låsta filer. (Om du kryssar i den här rutan kan prestanda försämras.)
Klicka på OK, Avbryt eller Återställ till standardvärden.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system som du vill skicka meddelanden om UPS-strömfel från.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på Information om UPS-strömfel.
Följande skärm visas.
Kryssa för "Skicka meddelanden om strömfel".
Antingen väljer du NetBIOS-namnen på de användare eller system du vill informera från listan, eller skriver in dem själv.
Välj Alla användare om du vill skicka meddelandet till alla.
Ange med listan hur ofta du vill att meddelandet skall upprepas.
I textfältet Meddelande skriver du det meddelande du vill skicka.
Klicka på OK, Avbryt eller Återställ till standardvärden.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system där du vill skapa eller redigera policies för avbildning av användarkonton.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på Avbildning av användarkonton.
Följande skärm visas.
Skapa eller redigera policies för avbildning av användarkonton i enlighet med följande rekommendationer (i "Avbildning av användarkonton i /etc/passwd-filer" finns bakgrundsinformation om dessa policies):
Kryssa i "Koppla nya SunLink Server-konton till Solaris-konton" för att skapa ett unikt Solaris-konto för en användare, samtidigt som hans eller hennes nya konto skapas i den Windows NT-domän som SunLink Server-systemet hanterar. Om du har valt detta alternativ kan du sedan välja bland ytterligare inställningar, som beskrivs i resten av den här listan.
Du kan välja att alltid skapa ett nytt Solaris-konto för användaren, eller utnyttja ett redan befintligt konto. Lägg märke till att ett Solaris-konto existerar oberoende av både Windows NT- och SunLink Server-system.
Om du väljer "Skapa alltid ett nytt Solaris-konto" skapar systemet ett nytt Solaris-konto endast via en lokal /etc/passwd-fil. Om ni använder en Solaris-namntjänst som NIS eller NIS+ väljer du inte det här alternativet.
Du kan välja om en användare med Solaris-konto skall kunna använda detta konto oberoende av NT och SunLink Server genom att kryssa för "Tillåt Solaris-inloggningar" eller lämna rutan utan kryss. Om du väljer att tillåta Solaris-inloggningar använder du listan "Solaris-skal" för att välja ett kommandoskal. Du kan även välja Annat och sedan skriva in namnet på ett annat skal.
Välj "Synkronisera hemkataloger" för att automatiskt synkronisera SunLink Servers hemkataloger med Solaris' motsvarigheter. (Se Obs! nedan)
Alternativet "Synkronisera hemkataloger" kan endast användas i miljöer där mapuname utnyttjas för att koppla Windows NT- och Solaris-konton med varandra, och där Solaris-kontona ligger i en lokal /etc/passwd-fil (där alltså ingen av namntjänsterna NIS och NIS+ används). Om så är fallet och du väljer det här alternativet och använder Kontohanteraren till Windows NT för att byta Windows NT-användarens hemkatalog till en delad katalog på SunLink Server-systemet, redigeras /etc/passwd automatiskt, så att användarens Solaris-konto får samma hemkatalog på servern.
Klicka på OK, Avbryt eller Återställ till standardvärden.
Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system, där du vill skapa policies för SunLink Server Manager-säkerhet.
Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.
Dubbelklicka på Policies.
Dubbelklicka på SunLink Server Manager-säkerhet.
Följande skärm visas.
Gör ettdera eller båda av följande:
Kryssa i rutan Överföringssäkerhet för att kräva användaridentifiering vid SunLink Server Manager-överföringar och använda öppna nyckelsignaturer för att skydda de data som skickas mellan servern och klienterna.
Klicka i rutan Nedkoppling av anslutning för att ange hur lång tid som skall gå innan SunLink Server Manager-anslutningar kopplas ned automatiskt. Ange tiden i textfältet.
Klicka på OK, Avbryt eller Återställ till standardvärden.