Existe la posibilidad de definir siete grupos de directivas en SunLink Server:
Examen de equipos
Asignación de nombres de archivos
NetBIOS
Integración de la seguridad y permisos de sistemas de archivos de Solaris
Notificación de fallo de alimentación de la UPS
Asignación de cuentas de usuario
Seguridad de SunLink Server Manager
Recuerde que las instrucciones de esta guía para la administración de estas directivas sólo se aplican al programa SunLink Server, no a la red Windows NT. Deberá seguir administrando las directivas de Windows NT de la misma forma y con las herramientas habituales. Las directivas de Windows NT que no se cubren en esta guía incluyen:
Contraseña de usuario (cuenta)
Auditoría
Relaciones de confianza
El examen de equipos es el proceso por el cual se exploran los dominios, grupos de trabajo y equipos en busca de directorios e impresoras compartidas. Las redes, dominios, grupos de trabajo, equipos y directorios compartidos se organizan mediante una estructura en forma de árbol. Esto significa que, si se elige una red, pueden verse los dominios y grupos de trabajo disponibles, si se elige un dominio o grupo de trabajo, se ven los equipos que contiene y si se elige un equipo, pueden verse sus directorios compartidos.
El examinador principal es responsable de mantener la lista de la estructura del árbol y actualizar los examinadores secundarios. Los usuarios de los equipos cliente ven esta lista cuando miran su Entorno de red.
La directiva de examen de equipos del programa SunLink Server implica definir la frecuencia con que el examinador principal actualiza su lista, la frecuencia con que el examinador secundario copia esta lista y el nivel de detalle de los sucesos de examen que deben anotarse en el registro del sistema.
En los directorios y sistemas de archivos de Solaris, los nombres pueden tener hasta 255 caracteres, muchos más que los permitidos por el estándar 8.3 del sistema operativo MS-DOS. Mientras que los usuarios de Windows NT Workstation y Windows NT Server pueden ver los nombres de archivo largos de Solaris en un directorio de SunLink Server, los usuarios de clientes Windows para trabajo en grupo (que incluye la convención de asignación de nombres 8.3 del MS-DOS) no pueden. Para garantizar el acceso a los archivos Solaris por parte de todos los usuarios, el programa SunLink Server proporciona la función de asignación de nombres, por la que cada archivo o directorio cuyo nombre no sea conforme con la norma 8.3 del MS-DOS, recibe automáticamente otro nombre que sí se ajusta a esta norma.
Los usuarios de Microsoft Windows 3.1 y Windows para trabajo en grupo que se conecten al archivo o directorio a través de la red verán el nombre con formato 8.3. Los usuarios de Windows NT Workstation y Windows NT Server lo verán con su formato largo (recuerde, sin embargo, que el programa SunLink Server no genera nombres cortos para los nombres de recursos compartidos que no son conformes con las normas del MS-DOS, sino sólo para archivos y directorios que poseen nombres largos. Al asignar un nombre a un recurso compartido, utilice las convenciones de la norma 8.3 para evitar posibles coincidencias entre nombres de archivos).
La asignación de nombres de SunLink Server también permite a las aplicaciones que no admiten nombres de archivo largos acceder a archivos que poseen este tipo de nombres. Estas aplicaciones hacen referencia al archivo por su nombre corto.
Si una aplicación que no admite nombres de archivo largos abre un archivo que tiene un nombre largo y luego lo guarda, el nombre largo se pierde y sólo permanece la versión abreviada.
La asignación nombres de archivos de SunLink Server se compone de tres elementos:
Soporte de mayúsculas y minúsculas.
Asignación de los nombres de archivo de los sistemas Solaris según la convención 8.3.
Cambio de los nombres de archivo de los sistemas Solaris que contengan caracteres no aceptados en Windows NT por nombres sí aceptados en este entorno.
Solaris resuelve el problema de compaginar varios espacios de nombre truncando el nombre del archivo y agregándole un pseudosufijo exclusivo que se genera dinámicamente a partir del número de inode del archivo del sistema Solaris.
La transformación de nombres de archivos de Solaris en nombres del tipo 8.3 utiliza las siguientes reglas predeterminadas:
Se eliminan los espacios del nombre.
Se eliminan todos los puntos excepto el último, que debe ir seguido de, al menos, un carácter.
Los caracteres no permitidos se sustituyen por caracteres de subrayado (_).
El nombre, sin incluir el sufijo se trunca y se le agrega una tilde (~) de separación y una combinación de números (0 - 9) y (A - Z).
El sufijo (los caracteres que siguen a la tilde) se trunca con tres caracteres.
Por ejemplo, el nombre nombrelargo.txt y el número de inode 11455, daría como resultado un nombre asignado de nomb~8u7.txt.
La transformación de nombres de archivos de Solaris en nombres para Windows NT utiliza las siguientes reglas predeterminadas:
Los caracteres no permitidos se sustituyen por caracteres de subrayado (_).
Al final del nombre, sin incluir la extensión, se agrega un carácter de separación (la tilde es el predeterminado) y una combinación de números (0 - 9) y letras (A - Z).
Se mantiene la extensión.
Por ejemplo, el nombre de archivo k<l<m.expresion y el número de inode 8461 daría como resultado el siguiente nombre k_l_m~6j1.expresion.
La decisión de si el servidor debería admitir archivos con combinación de mayúsculas y minúsculas (que es la opción predeterminada en el programa SunLink Server) debe tomarse con precaución. El soporte de mayúsculas y minúsculas permite a los clientes acceder a nombres de archivos de sistemas Solaris que contienen caracteres en mayúsculas, pero la desactivación de esta función mejora el rendimiento del servidor.
No es conveniente activar y desactivar con frecuencia el soporte de mayúsculas y minúsculas en el mismo servidor. Mientras esta función se encuentre activada, los clientes podrán crear archivos con nombres que contengan esa combinación de letras, pero no podrán acceder a ellos si se desactiva la función. Si el soporte de mayúsculas y minúsculas se desactiva, deberían ponerse en minúsculas todos los nombres de archivo existentes.
No cree en un mismo directorio nombres de archivos iguales que sólo se diferencien por las mayúsculas y minúsculas. Aunque el sistema Solaris sí tiene en cuenta esta diferencia, el soporte de mayúsculas y minúsculas que realiza SunLink Server hace que el servidor mantenga las letras originales, pero hace caso omiso de la diferencia, del mismo modo que Windows NT. Los usuarios de productos Microsoft no son conscientes de la posibilidad de tener nombres iguales pero con variaciones en las mayúsculas y minúsculas porque Windows NT no permite este tipo de archivos. Como resultado, puede crearse cierta confusión si acceden a los archivos incorrectos o se les deniega el acceso a los archivos que necesitan.
NetBIOS, acrónimo de Network Basic Input/Output System, es una interfaz del nivel de sesión utilizada para la comunicación entre aplicaciones. Su sistema de asignación lógica de nombres permite a las interfaces de los equipos establecer una conexión y, una vez hecho, transmitir correctamente los datos.
Los números de adaptador de LAN (Lana) forman parte del sistema de asignación de nombres establecido por NetBIOS. El software de SunLink Server asigna automáticamente los números Lana a cada interfaz de red eligiendo un número que es exclusivo dentro de cada equipo en particular.
Puede configurarse un número Lana de NetBIOS por cada tarjeta de red disponible. Deberá decidir con antelación qué interfaces de red desea que ejecuten dichos números Lana.
Un servidor de Servicio de nombres de Internet para Windows (WINS) es una máquina que contiene una base de datos de los recursos de red disponibles y de los equipos que los poseen. Si un equipo necesita un recurso, "pide" al servidor WINS que busque la dirección de la máquina propietaria de ese recurso.
Una red puede carecer de servidor WINS o tener todos los que precise. Si precisa más información sobre WINS, consulte el Capítulo 5, Capítulo 5.
El software de SunLink Server inicia las interfaces de red en modo broadcast (denominado "difusión" en terminología de Windows NT) de forma predeterminada. Con este modo, si un equipo busca un determinado servicio o recurso de red, transmite una petición generalizada a la red buscando una respuesta de la máquina propietaria del recurso o servicio. Cada equipo que recibe esta petición responde con su dirección.
Este modo tiene la ventana de no necesitar servidores WINS, pero genera gran cantidad de tráfico en la red. El modo broadcast no transmite la peticiones fuera de cada subred.
Los servidores WINS utilizan el modo híbrido de NetBIOS (h-node). Con él, si un equipo busca un servicio o recurso de red, envía la petición directamente a un servidor WINS especificado, que, a su vez, busca la dirección de la máquina que posee ese recurso.
Los proxies de WINS resultan útiles en redes que contienen varias subredes con equipos que funcionan en modo broadcast. El proxy de WINS recibe peticiones locales de servicios ubicados en otra subred, almacena las direcciones de red y se comunica con el servidor WINS si es necesario.
También se puede configurar el servicio NetBIOS de forma que utilice los servidores WINS para establecer las correspondencias con los nombres de NetBIOS introduciendo la dirección IP de los servidores WINS principal y secundario. Es posible configurar sólo el servidor WINS principal o ambos. Las direcciones del servidor WINS pueden ser la dirección IP del sistema SunLink Server local que ejecuta el servicio WINS u otro sistema SunLink Server que ejecute este servicio, o bien un servidor Windows NT que ejecute el servicio WINS.
Si hay un servidor WINS principal o secundario configurado, es posible utilizar el valor de proxy de WINS para que el sistema SunLink Server proporcione el servicio proxy de WINS a otros equipos que no están configurados para utilizar servidores WINS que resuelvan nombres de NetBIOS. Utilice esta opción con precaución, ya que une los espacios de nombres de NetBIOS para los modos broadcast e híbrido en la subred local y puede provocar conflictos inesperados de nombres.
El alcance de NetBIOS es una función que se utiliza en raras ocasiones y que limita los equipos con los que puede comunicarse un determinado dispositivo de red.
El principal uso de esta función se da en redes de área amplia (WAN) u otras redes de grandes dimensiones donde puede evitar los conflictos creados por la presencia de varias interfaces de red que tengan el mismo nombre NetBIOS.
Imagine una red perteneciente a un fabricante de calzado donde el personal de ventas accede a dos máquinas en la misma subred.
Una máquina la utilizan los comerciales de calzado deportivo y la otra los comerciales de botas. Si ambas máquinas tienen el mismo nombre NetBIOS, por ejemplo "ventas", se producirán problemas, pero si una de ellas recibe el nombre de alcance "deportivo" y la otra "botas", las dos podrán conservar su nombre NetBIOS "ventas" sin generar conflictos. Conviene tener en cuenta, sin embargo, que estas máquinas sólo podrán comunicarse con otras máquinas que tengan su mismo alcance.
Existe la posibilidad de controlar el acceso de los usuario a los archivos y directorios de los sistemas SunLink Server protegiendo éstos mediante permisos.
Cada permiso definido especifica el acceso que un grupo o un usuario puede tener al directorio o al archivo. Por ejemplo, si establece el permiso de lectura (R) para el grupo denominado Grupotrabajo sobre el archivo MIS_IDEAS.DOC, los usuarios de ese grupo podrán ver los datos y atributos del archivo, pero no modificarlo ni suprimirlo.
El programa SunLink Server proporciona los siguientes permisos que pueden tener los usuarios y grupos sobre directorios y archivos:
Lectura (R) - Permite a los individuos o grupos ver el contenido de una carpeta o un archivo, pero no editarlo, eliminarlo o ejecutarlo.
En el entorno operativo Solaris, el permiso de lectura es mucho más restrictivo que el permiso del mismo nombre en el entorno Windows NT. En éste, el permiso de lectura es meramente indicativo, es decir, un cliente Windows NT puede seguir modificando un archivo designado como de "sólo lectura". En el entorno Solaris, en el que se encuentran almacenados y se administran los archivos y directorios de SunLink Server, el usuario no podría editar un archivo de sólo lectura. En cualquier caso, es posible anular los permisos más restrictivos de Solaris para hacerlos totalmente compatibles con los de Windows NT. Consulte "Definición de las directivas de integración de los sistemas de archivos" para obtener más información.
Escritura (W) - Permite a los individuos o grupos ver y modificar un archivo o el contenido de una carpeta.
Ejecución (X) - Permite a los individuos o grupos ejecutar programas, pero no ver ni editar su código.
Acceso total (RWX) - Permite a los individuos o grupos ver, editar y ejecutar archivos, directorios o programas ejecutables.
Sin acceso (NoAccess) - Deniega cualquier tipo de acceso (se obtiene si no se define ninguno de los permisos anteriores).
Los permisos se establecen sobre los archivos y directorios, pero quienes disfrutan de ellos son los usuarios de los equipos. El entorno operativo Solaris hace distinciones entre los sujetos que poseen los permisos:
Usuario - Si un usuario es propietario de un archivo o un directorio del sistema Solaris, ese usuario puede definir los permisos de acceso a ese archivo o directorio. Por ejemplo, para impedir que usuarios no autorizados ejecuten un programa, puede establecer el permiso de ejecución sólo para sí mismo.
Grupo - Este valor, en el contexto del programa SunLink Server no equivale a los permisos de grupo del entorno operativo Solaris. En el sistema de archivos Solaris, los permisos de grupo otorgan a otros miembros del grupo Solaris al que pertenece un usuario acceso a los archivos y directorios que son propiedad de ese usuario. En el entorno de SunLink Server, se crean grupos de Windows NT (no grupos Solaris) y los permisos de grupos Solaris no tienen ningún efecto sobre ellos.
Otros - Un usuario puede asignar permisos de acceso a los archivos y directorios de su propiedad para todos los usuarios del sistema Solaris excepto él mismo y los usuarios de su grupo. En función de las necesidades, puede permitir a esos otros usuarios leer o cambiar sus archivos y directorios o no permitírselo. La restricción del acceso a otros grupos no afecta a su propio acceso a sus archivos y directorios.
Los permisos estándar son combinaciones de los permisos individuales que dependen de la naturaleza de los archivos y directorios, y de la composición de los grupos. Para trabajar adecuadamente con la seguridad de archivos y directorios de SunLink Server, tenga presentes las siguientes consideraciones sobre el establecimiento de permisos:
Los usuarios no pueden utilizar un directorio o archivo a menos que tengan permiso para hacerlo o pertenezcan a un grupo que dispone de ese permiso.
Los permisos son acumulables, excepto en el caso del permiso NoAccess (establecido al no indicar permiso de lectura, escritura o ejecución sobre un archivo o un directorio), que prevalece sobre todos los demás permisos. Por ejemplo, si el grupo Grupotrabajo posee permiso de escritura sobre un archivo, el grupo Finanzas sólo tiene permiso de escritura, y Juan es miembro de ambos grupos, tendrá permisos de lectura y escritura. Pero si se suprime el único permiso del grupo Finanzas sobre el archivo, de forma que queda sin permisos de acceso, Juan no podrá utilizar el archivo, aunque sea miembro de un grupo que tiene permiso de acceso.
Al crear archivos y subdirectorios en un directorio de SunLink Server, éstos heredan los permisos del directorio. Por ejemplo, si agrega un archivo a un directorio que proporciona a los miembros del grupo Grupotrabajo permiso de escritura y a los del grupo Finanzas permiso de lectura, esos mismos permisos se aplican al archivo.
El usuario que crea un archivo o directorio es habitualmente su propietario (aunque este valor predeterminado puede cambiarse). El propietario puede controlar el acceso al archivo o al directorio cambiando los permisos que tienen definidos.
La forma más sencilla de administrar la seguridad es definir los permisos para grupos, no para cada usuario en particular. Normalmente, un usuario necesita acceder a muchos archivos. Si ese usuario es miembro de un grupo que posee acceso a esos archivos, es más fácil suprimir tal acceso eliminando al usuario de ese grupo en lugar de cambiar los permisos de cada archivo. Recuerde que definir un permiso para un usuario en particular, no sustituye el acceso que recibe ese usuario a través de los grupos a los que pertenece.
Al copiar los archivos o directorios de SunLink Server, no se copian los permisos de seguridad que tienen definidos, ni tampoco la información de propiedad y auditoría. Los archivos heredan un nuevo grupo de permisos del directorio en el que se han copiado. Si el nuevo directorio no especifica permisos para los archivos, sólo el propietario del archivo (la persona que lo ha copiado) tendrá permiso para utilizarlo.
Además de los archivos y directorios, también los recursos compartidos poseen sus propios permisos en el entorno Windows NT. En caso de que exista conflicto de permisos entre archivos, directorios y recursos compartidos, los clientes se atienen a los permisos más restrictivos de los distintos conjuntos que entran conflicto.
Cada archivo y directorio posee un propietario que controla la forma en que se establecen los permisos sobre su archivo o directorio y concede permisos a otros usuarios.
Cuando se crea un archivo o un directorio, la persona que lo crea se convierte automáticamente en su propietario. Es de esperar que la mayoría de los archivos existentes en los servidores de la red sean creados por los administradores, por ejemplo al instalar nuevas aplicaciones. Por tanto, la mayoría de los archivos de un servidor serán propiedad de administradores, a excepción de los archivos de datos creados por los usuarios y de los archivos que éstos poseen en su directorio particular.
La propiedad se puede transferir de las formas siguientes:
El propietario actual puede otorgar una propiedad implícita a otros usuarios definiendo el permiso de escritura sobre los archivos o directorios para el Grupo u Otros. Esto permite a otros usuarios copiar el archivo y "heredar" la propiedad del duplicado.
Un administrador puede asumir la propiedad de cualquier archivo del sistema en cualquier momento. Por ejemplo, si un empleado deja repentinamente una empresa, el administrador puede tener el control de los archivos de ese empleado, con independencia de los permisos que tuviera definidos.
Aunque un administrador puede asumir la propiedad, no puede transferirla a otros. Con esta restricción, es posible mantener el control sobre la cuenta del administrador.
El administrador también puede asumir la propiedad de los archivos utilizando el comando net perms. Para obtener más información, escriba net help perms en la línea de comandos de SunLink Server.
Además de los archivos y directorios, los procesos de los equipos también tienen propietario. Un proceso se inicia cada vez que se ejecuta un programa y, al hacerlo, recibe un identificador exclusivo por parte del sistema. En el entorno Solaris, ésto se denomina Identificador de proceso o PID.
Al revés de lo que ocurre con la propiedad de archivos y directorios, la "propiedad" de los procesos cambia cada vez que se ejecuta el programa. Mientras un programa ejecutable (por ejemplo, una hoja de cálculo) es inicialmente propiedad de la persona que lo ha instalado en la red, la propiedad del PID de usuario y grupo cambia con la persona que lo ejecuta. El proceso de la hoja de cálculo que era propiedad del usuario root después de la instalación, ahora será propiedad del usuario y el grupo del usuario que la ejecutan. Dado que este cambio en la propiedad de los procesos tiene sus implicaciones en cuanto a la seguridad, el programa SunLink Server ofrece la posibilidad de regularlo.
El bloqueo de archivos también es un aspecto importante de la seguridad, especialmente en entornos heterogéneos Windows NT y Solaris. Aunque el software de SunLink Server sigue las mismas normas de bloqueo de archivos y directorios de red que Windows NT, las cuentas de equipos Solaris pueden seguir accediendo a los archivos bloqueados. SunLink Server permite impedir esto, aunque no de forma predeterminada, ya que puede degradar el rendimiento global del sistema. Si la red incluye usuarios que accederán a los archivos desde clientes Windows NT y Solaris, debería definir el valor de bloqueo de forma que las cuentas Solaris respeten el bloqueo de archivos de Windows NT. Consulte "Definición de las directivas de integración de los sistemas de archivos".
Durante la instalación de SunLink Server, los usuarios y grupos que se asociarán a este programa se agregan a los archivos de grupos y contraseñas locales del sistema. Si la instalación utiliza un servicio de nombres de Solaris del tipo NIS o NIS+ en el entorno Solaris, deberá incluir la información de grupo en los mapas de servicios de nombres. Al crear archivos desde un sistema Windows NT Workstation y escribir en un directorio del sistema Solaris, el propietario es el usuario que ha creado el archivo y el grupo predeterminado es DOS---. Aunque los mapas de servicios de nombres recuperan la información de usuario, la información de grupo sólo se muestra correctamente si la visualización del archivo se efectúa desde el propio sistema SunLink Server (predeterminado: files nis). Si estos archivos se ven desde otro sistema Solaris, el id de grupo no se resolverá correctamente. Poner la información de grupo en los mapas de servicios de nombres posibilita que los archivos del mapa se correspondan con los del sistema local.
Otras consideraciones relativas a la seguridad se refieren a los privilegios de los usuarios para administrar el programa SunLink Server mediante la herramienta SunLink Server Manager. Puede definir valores que afectarán a la seguridad de las sucesivas sesiones de SunLink Server Manager. La integridad de datos utiliza firmas de clave pública para proteger los datos transmitidos entre el servidor y el cliente. La autentificación tiene lugar como procesos ocultos e implica la comprobación de las credenciales en cada transacción. Consulte "Protección de las transacciones de SunLink Server Manager".
Existe la posibilidad de enviar un mensaje de fallo de alimentación de SAI (UPS) a todos los usuarios conectados a la red Windows NT utilizando el comando Enviar mensaje del Administrador de servidores de Windows NT. Esto puede realizarse antes de desconectar uno o varios usuarios o antes de detener el servicio Servidor en ese equipo.
Si funciona el servicio SAI (sistema de alimentación ininterrupida), puede utilizarse SunLink Server Manager para advertir a los usuarios de la caída del servidor debido a la pérdida de energía.
Para poder enviar los mensajes advertencia, tiene que estar en ejecución el servicio de Alerta en el equipo SunLink Server en el que se haya originado el mensaje (consulte "Inicio de un servicio de forma independiente"). Para que los clientes reciban las alertas, tiene que estar en ejecución el servicio Mensajería de Microsoft Windows.
Las cuentas de usuario de SunLink Server pueden asociarse con las cuentas de usuario de Solaris en los sistemas Solaris que estén ejecutando el software de SunLink Server. Para crear este tipo de asociación, puede utilizarse la herramientas SunLink Server Manager o el comando mapuname (si precisa más información sobre este comando, escriba man mapuname en la línea de comandos de SunLink Server). Después de asociar una cuenta de usuario de SunLink Server a una cuenta de usuario Solaris, cualquier archivo creado por el usuario de un equipo SunLink Server también será propiedad del usuario de la cuenta Solaris.
Esta opción sólo resulta útil en instalaciones que usan el comando mapuname para asociar cuentas Windows NT a cuentas Solaris y que guardan sus cuentas Solaris en un archivo /etc/passwd local (p. ej. aquéllas que no utilizan servicios de nombres NIS o NIS+). Si es éste el caso y se elige esta opción, al utilizar la herramienta Administrador de usuarios de Windows NT para cambiar el directorio particular del usuario en Windows NT a un directorio compartido en el sistema SunLink Server, modifica el archivo /etc/passwd para que la cuenta Solaris del usuario tenga el mismo directorio particular en el servidor.
Al tener ambas cuentas de usuario asociadas, la de SunLink Server y la de Solaris, el usuario de la cuenta Solaris propietario de los archivos del sistema Solaris puede acceder a esos archivos desde la cuenta de usuario de SunLink Server. La asignación de las cuentas Solaris a cuentas de usuario del software SunLink Server debería efectuarse en los sistemas Solaris donde residen sus directorios particulares (éste es el valor predeterminado, aunque puede cambiarse).
La asignación de cuentas de usuario Solaris a cuentas de usuario de SunLink Server, garantiza que las cuentas de usuario del sistema Solaris sólo se crean cuando es necesario y da a los administradores control total sobre la asignación de cuentas de usuario SunLink Server a cuentas de usuario de sistemas Solaris.
Para asignar automáticamente las cuentas Solaris a las nuevas cuentas de usuario de SunLink Server se utiliza la herramienta SunLink Server Manager. Consulte "Edición de las directivas de asignación de cuentas de usuario". El nombre de cuenta de Solaris que se asigne a la cuenta SunLink Server será igual o parecido al de la cuenta SunLink Server. Las diferencias pueden producirse si el nombre de cuenta de SunLink Server es largo, está duplicado o contiene caracteres especiales.
Si necesita asignar una cuenta de usuario de SunLink Server a una cuenta de usuario de sistema Solaris inexistente, o si la cuenta Solaris de un usuario de SunLink Server se elimina, el usuario de SunLink Server no tendrá acceso a ningún recurso compartido del sistema Solaris. Para garantizar que dicho usuario puede seguir accediendo al sistema, elimine la asignación de cuentas o cambie la asignación del usuario a otra cuenta de usuario Solaris.
Como administrador, también tiene la posibilidad de activar o desactivar el inicio de sesión de usuarios de cuentas Solaris en sistemas Solaris y determinar si deben sincronizarse los directorios particulares de usuarios de SunLink Server con los directorios particulares de los usuarios de Solaris.
El software de SunLink Server proporciona dos utilidades de administración de las cuentas de usuario Solaris: passwd2sam y sam2passwd.
La utilidad passwd2sam sitúa la información de cuentas de usuario almacenada en un servicio de nombres Solaris (por ejemplo FILES, NIS y NIS+) en la base de datos Administrador de cuentas de servidor (SAM) de SunLink Server. Si el sistema SunLink Server está configurado como BDC en un dominio de Windows NT existente, las operaciones de passwd2sam se transfieren al PDC del dominio.
Esta utilidad no agrega las contraseñas de los usuarios a la base de datos SAM porque las contraseñas están cifradas en una sola dirección, es decir, no pueden descifrarse para transferirse de una cuenta a otra.
La utilidad passwd2sam admite tres modos de funcionamiento:
Agrega las cuentas de usuario Solaris a la base de datos Administración de cuentas de seguridad de SunLink Server. Es el modo predeterminado. Las cuentas Solaris pueden agregarse desde el servicio de nombres Solaris que se esté ejecutando o mediante un archivo de entrada formateado /etc/passwd especificado por el usuario.
Elimina las cuentas de usuario Solaris de la base de datos Administrador de cuentas de seguridad de SunLink Server. Las cuentas Solaris se eliminan del programa SunLink Server mediante un archivo de entrada formateado /etc/passwd especificado por el usuario.
Localiza y desactiva las cuentas de usuario del dominio Windows NT agregadas por passwd2sam y, por tanto, eliminadas del servicio de nombres de Solaris. Este modo localiza y desactiva las cuentas de usuario de SunLink Server que se han suprimido de un servicio de nombres de Solaris.
Es preciso formatear todos los archivos de entrada de passwd2sam como entradas de /etc/passwd. Consulte la página del comando man de passwd2sam(1) para obtener información sobre las opciones de ejecución y los argumentos.
La otra utilidad de administración de cuentas de usuario que proporciona SunLink Server es sam2passwd, que registra las cuentas de usuario de SunLink Server y luego crea el siguiente archivo /etc/passwd formateado donde almacena las cuentas de usuario de SunLink Server:
/var/opt/lanman/dirsync/sam2passwd.passwd
Este archivo contiene cuentas de usuario de SunLink Server sin privilegios que pueden agregarse a los mapas de servicios de nombres de Solaris o a un archivo /etc/passwd local (en el que a continuación se ejecuta el comando /user/bin/pwconv).
La utilidad sam2passwd se suministra para facilitar la migración de cuentas de usuario al servicio de nombres que se esté ejecutando, pero no efectúa la operación en sí. Consulte la página del comando man de sam2passwd(1) para obtener más información sobre las opciones y argumentos de ejecución.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server cuyas propiedades de examen desea cambiar.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Examen de equipos.
Aparece la pantalla siguiente.
Utilizando las listas desplegables y las casillas de selección, realice los cambios oportunos en los intervalos de recuperación y actualización de Examinador principal y Examinador secundario, y en la lista de sucesos de examen que deberían incluirse.
Si selecciona "Registrar todos los sucesos de examen de equipos", la lista se hace aún más general que la predeterminada.
Recuerde que debe introducir un valor mayor que "0" para los intervalos de actualización de los examinadores principal y secundario.
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.
Si hace clic en Aceptar para aplicar los cambios, SunLink Server Manager detendrá y reiniciará automáticamente el servicio de examen para hacer efectivos los cambios.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server en el que desea definir o modificar las directivas de asignación de nombres de archivos.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Asignación de nombres de archivos.
Aparece la pantalla siguiente.
Cree o cambie las directivas de asignación de nombres de archivos según estas directrices:
Seleccione "Activar asignación a sistemas de archivos de tipo 8.3" si alguna de las máquinas cliente ejecuta Windows para trabajo en grupo.
Seleccione "Activar asignación a sistemas de archivos de tipo Windows NT" para que los nombres de archivos Solaris con caracteres no permitidos en Windows NT se sustituyan por caracteres "legales".
Introduzca otro valor en el campo de texto Separador de sufijo si tiene algún motivo para cambiar el separador predeterminado, la tilde ( ~ ).
Introduzca otro valor en el campo Longitud del sufijo si tiene algún motivo para cambiar el valor predeterminado, el tres. Este valor no incluye el separador.
Seleccione "Activar soporte de mayúsculas/minúsculas" si desea que los nombres de archivos puedan contener caracteres en mayúsculas y minúsculas, y que la búsqueda de archivos distinga entre mayúsculas y minúsculas. Recuerde que la selección de esta opción puede provocar una disminución global del rendimiento.
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server en el que desea definir la directivas de NetBIOS.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en NetBIOS.
Aparece la pantalla siguiente.
El asistente Propiedades de NetBIOS muestra una tabla de dispositivos de red disponibles, de los números Lana asignados automáticamente y su alcance (si se ha asignado). El asistente permite agregar, editar o suprimir entradas de números Lana de interfaces Ethernet.
En la tabla Interfaz Ethernet, haga clic para resaltar el nombre del dispositivo que desea configurar.
Si precisa información básica sobre NetBIOS, consulte "NetBIOS".
Especifique si desea agregar, editar o suprimir alguna interfaz y su entrada Lana.
Si desea agregar una interfaz y su entrada Lana, vaya al paso siguiente.
Si desea editar una interfaz y su entrada Lana, vaya al Paso 7.
Si desea suprimir una interfaz y su entrada Lana, vaya al Paso 8.
Haga clic en Agregar.
Aparece la pantalla siguiente.
Haga clic en la lista desplegable Interfaz para elegir la interfaz que desea agregar.
(Optativo) En el campo Alcance, escriba el nombre del alcance que debe tener el dispositivo agregado.
El nombre de alcance puede contener un máximo de 63 caracteres, entre los que se admiten letras mayúsculas y minúsculas de la A a la Z, números del 0 al 9 y todos los símbolos estándar.
Haga clic en Aceptar.
Haga clic en Editar.
Aparece la pantalla siguiente.
Haga clic en la lista desplegable Interfaz para asignar otra interfaz disponible al sistema local.
(Optativo) En el campo Alcance, escriba el nombre del alcance que debe tener el dispositivo agregado.
El nombre de alcance puede contener un máximo de 63 caracteres, entre los que se admiten letras mayúsculas y minúsculas de la A a la Z, números del 0 al 9 y todos los símbolos estándar.
Haga clic en Aceptar.
Haga clic en Suprimir.
Si intenta suprimir la única interfaz disponible para esta máquina, aparece la siguiente ventana.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server en el que desea configurar el servicio WINS.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en NetBIOS.
Aparece la pantalla siguiente.
El asistente propiedades de NetBIOS muestra una tabla de opciones de configuración de WINS:
Determine si el Servicio de nombres de Internet para Windows (WINS) debe estar activo.
Determine si el sistema que está configurando actuará como proxy de WINS.
Identifique, mediante direcciones IP, los servidores WINS principal y secundario.
Para activar WINS en el sistema local, haga clic en la casilla de sección Activar WINS.
La pantalla cambia para permitir la activación de tres opciones de configuración de WINS:
Servidor WINS principal
Servidor WINS secundario
Actuar como proxy de WINS
En los campos de texto correspondientes, escriba las direcciones IP de los servidores WINS principal y secundario.
Consulte "Proxy de WINS" si precisa una descripción de los servidores WINS principal y secundario.
Indique si el sistema debe actuar como proxy de WINS.
Consulte "Proxy de WINS" si precisa una explicación al respecto.
Haga clic en Aceptar.
Aparece la ventana siguiente para indicar que el programa SunLink Server y el controlador de NetBIOS deben reiniciarse para que los cambios tengan efecto:
Indique si desea detener y reiniciar el programa de forma inmediata, reiniciarlo más adelante o cancelar los cambios efectuados.
Ninguno de los cambios especificados tendrán efecto hasta que reinicie el programa SunLink Server.
La opción Activar WINS no inicia el servicio WINS automáticamente después de reiniciar el programa SunLink Server. Es necesario iniciar el servicio manualmente escribiendo net start wins en la línea de comandos del sistema o utilizando SunLink Server Manager. Si precisa instrucciones para hacerlo, consulte "Inicio de un servicio de forma independiente". Es posible configurar el programa SunLink Server para que inicie WINS automáticamente editando el archivo lanman.ini. Consulte "Inicio automático del servicio WINS".
Edite el archivo lanman.ini para incluir wins en el parámetro srvservices.
Consulte la sección "Entradas del archivo lanman.ini" para obtener instrucciones de edición de los parámetros y "Parámetros del archivo" para conocer la ubicación del parámetro srvservices.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server en el que desea definir las directivas de integración de los sistemas de archivos Solaris.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Integración de sistemas de archivos de Solaris.
Aparece la pantalla siguiente.
Establezca las directrices de creación de archivos de SunLink Server de acuerdo con las directrices siguientes y utilizando las fichas Seguridad, Permisos o Avanzado:
Seguridad - Para establecer las directivas de creación de archivos en las carpetas de SunLink Server:
No tener en cuenta los permisos de Solaris - Deje desactivada la opción "Utilizar la seguridad de carpetas y archivos de Solaris" para que no se tengan en cuenta los permisos de Solaris. Con esta opción desactivada, los permisos de archivos y directorios de Windows NT son los únicos permisos que prevalecerán en la creación y el acceso de lectura a archivos y directorios. Los usuarios del software de SunLink Server con los permisos adecuados de Windows NT pueden crear archivos en las carpetas de SunLink Server.
Respetar los permisos de Solaris - Seleccione "Utilizar la seguridad de carpetas y archivos de Solaris" y "Una carpeta de SunLink Server" para que los usuarios que creen archivos en carpetas de SunLink Server (no afecta a otras carpetas del sistema de archivos de Solaris) necesiten permiso de escritura de Solaris. Seleccione "Cualquier carpeta con permiso de escritura en Solaris" para que los usuarios del software de SunLink Server puedan crear archivos en las carpetas de SunLink Server y en cualquier otra carpeta de sistemas de archivos Solaris. Active "Cualquier carpeta con permiso de lectura en Solaris" para que tengan que existir sólo los permisos mínimos de Solaris en las carpetas de SunLink Server o en cualquier carpeta de Solaris (en efecto, esta opción otorga permiso de escritura a cualquier carpeta basada en el entorno operativo Solaris).
Permisos - Para establecer los permisos Usuario, Grupo y Otro sobre los archivos y carpetas, seleccione la casilla adecuada junto a los permisos de desea establecer.
Avanzado - Para que el software de SunLink Server respete el bloqueo de archivos de Windows NT (e impedir, por tanto, que los usuarios de cuentas Solaris accedan a los archivos bloqueados) seleccione la casilla Bloqueo de archivos (recuerde que si activa esta opción, puede que disminuya el rendimiento).
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema de SunLink Server desde el cual desea enviar la notificación de fallo de alimentación de SAI.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Notificación de fallo de alimentación de SAI.
Aparece la pantalla siguiente.
Seleccione "Enviar mensajes de fallo de la alimentación".
Seleccione en la lista desplegable los nombres NetBIOS de todos los usuarios o sistemas a los que desea enviar la notificación o especifique esos nombres directamente en el campo de texto.
Seleccione Todos los usuarios, si va a enviar los mensajes a cada uno de los usuarios.
Seleccione en la lista desplegable la frecuencia con que debe repetirse la notificación.
En el campo Mensaje, escriba el texto de la notificación que desea enviar.
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server para el que desea establecer las directivas de asignación de cuentas de usuario.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Asignación de cuentas de usuario.
Aparece la pantalla siguiente.
Establezca o edite las directivas de asignación según las directrices siguientes (consulte "Asignación de cuentas de usuarios en archivos /etc/passwd" si precisa información básica sobre estas directivas):
Seleccione "Asignar las cuentas nuevas de SunLink Server a cuentas Solaris" para crear una cuenta Solaris para el usuario al mismo tiempo que se crea su cuenta en el dominio Windows NT con servidor SunLink Server. Si activa esta opción, se ponen a disposición otras opciones que se describen en esta lista.
Elija la opción de crear siempre una cuenta nueva Solaris para el usuario o bien la de utilizar una cuenta Solaris existente. Recuerde que la cuenta Solaris existe con independencia de los sistemas Windows NT y SunLink Server.
Si selecciona la opción "Crear siempre una cuenta Solaris nueva" hace que el sistema cree una cuenta Solaris sólo mediante un archivo /etc/passwd local. Si la instalación utiliza un servicio de nombres de Solaris como NIS o NIS+, no active este opción.
Determine si un usuario con una cuenta Solaris podrá utilizar esa cuenta con independencia del software de NT y SunLink Server. Para ello active o desactive la opción "Permitir sesiones Solaris". Si selecciona esta opción, utilice la lista desplegable "Shell de Solaris" para elegir un shell de comandos o introduzca el nombre del shell en el campo de texto de la opción Otro.
Seleccione "Sincronizar directorios particulares" para que los directorios particulares de usuario de SunLink Server se sincronicen automáticamente con los de Solaris (lea la nota siguiente).
La opción "Sincronizar directorios particulares" resulta útil sólo en aquellos entornos que utilizan el comando mapuname para asociar las cuentas Windows NT a las cuentas Solaris y que mantienen sus cuentas Solaris en un archivo /etc/passwd local (es decir, aquéllos que no utilizan los servicios de nombres NIS o NIS+). Si es éste el caso y selecciona esta opción, al utilizar la herramienta Administrador de usuarios de Windows NT para cambiar el directorio particular del usuario en Windows NT a un directorio compartido en el sistema SunLink Server, edita /etc/passwd para que la cuenta Solaris del usuario tenga el mismo directorio particular en el servidor.
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.
Utilice SunLink Server Manager para iniciar la sesión y abrir el sistema SunLink Server en el que desea establecer directivas de seguridad de SunLink Server Manager.
Si precisa instrucciones para hacerlo, consulte "Inicio de la sesión con SunLink Server Manager". Para poder realizar cambios, debe iniciar la sesión como usuario root.
Haga doble clic en Directivas.
Haga doble clic en Seguridad de SunLink Server Manager.
Aparece la pantalla siguiente.
Lleve a cabo una de estas operaciones:
Seleccione la casilla Seguridad de las transacciones para activar la autentificación obligatoria de los usuarios en las transacciones de SunLink Server Manager e incluir firmas de clave pública que protejan los datos transmitidos entre el servidor y los clientes.
Haga clic en la casilla Tiempo permitido de conexión para especificar un periodo de tiempo después del cual vencen las conexiones con SunLink Server Manager. Indique el periodo en el campo de texto correspondiente.
Haga clic en Aceptar, Cancelar o Restablecer predeterminados.