Zentrale Benutzerverwaltung für heterogene Netzwerkumgebungen mit LDAP und Samba
- Art: Diplomarbeit
- Autor: Markus Wischnewski
- Abgabedatum: Mai 2004
- Umfang: 82 Seiten
- Dateigröße: 2,8 MB
- Note: 2,0
- Institution / Hochschule: Fachhochschule Fulda Deutschland
- ISBN (eBook): 978-3-8324-8156-8
-
ISBN (Paperback) :
978-3-8324-8156-8 P - ISBN (CD) :978-3-8324-8156-8 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Wischnewski, Markus Mai 2004: Zentrale Benutzerverwaltung für heterogene Netzwerkumgebungen mit LDAP und Samba, Hamburg: Diplomica Verlag
- Schlagworte: Netzwerk, Linux, Windows, Administration, Server
In den Warenkorb
74,00 €
Diplomarbeit von Markus Wischnewski
Einleitung:
In grossen Firmen und Institutionen müssen Tausende Arbeitsstationen mit Zehntausenden Benutzerkonten verwaltet werden. Es werden verschiedene Betriebsysteme eingesetzt, oft müssen die Benutzer sich an beliebigen Rechnern anmelden können (z.B. in Universitäten). Hier entsteht das Problem effektiver Benutzerverwaltung. Im Idealfall müssen alle Benutzerkonten zentral verwaltet werden, was bei heterogenen Umgebungen sich immer noch als schwierig erweist. Windows-Systeme haben eigene Besonderheiten, die sich mit Solaris- bzw. Linuxsystemen nur schwer koppeln lassen. Es wird noch zusätzlich dadurch erschwert, dass mehrere Ansätze für Benutzerverwaltung existieren, die zu einander nicht kompatibel sind. Grundsätzlich haben sich 3 Systeme für zentralisierte Benutzerverwaltung durchgesetzt:
- Microsoft Active Directory (als Nachfolger von Domain-Konzept).
- NIS, NIS+.
- Novells NDS und eDirectory.
Die ersten zwei verkörpern zwei unterschiedliche Welten im Desktop- bzw. Serverbereich, nämlich Windows- und Unixwelt. Die Techniken, die von diesen Systemen für zentralisierte Benutzerverwaltung eingesetzt werden, sind zueinander nicht kompatibel. Sie lassen sich gemeinsam mit einem einzigen Daten bestand nicht verwenden. Die Lösung von Microsoft funktioniert nur mit Microsoft-Produkten (Windows95/98/ME/2000/XP/2003). Im Gegensatz dazu wurde NIS aber für viele Unix-ähnliche Systeme implementiert. Novell dagegen hat schon immer plattformübergreifende Lösungen entworfen. Zum größten Teil setzte man Novells NetWare ein, um zentralisierte Benutzerverwaltung in einem Netzwerk bestehend aus DOS/Windows3.11/Windows95/Windows98 Systemen zu realisieren. Später wurde auch Clientsoftware für andere Betriebsysteme (nicht aus dem Hause Microsoft) entwickelt (z.B. MacOS, Linux). Für den Einsatz in anspruchsvollen heterogenen Umgebungen hat Novell spätere Directory entworfen. Mit eDirectory versucht Novell-, Microsoft- und Unixwelt unter ein Dach zu bringen. Dabei setzt Novell auf transparente Technologien. Es wird ein LDAP-Server für zentralisierte Benutzerverwaltung in heterogenen Netzwerken verwendet. EDirectory verfügt über offene Schnittstellen zum SOAP, XML und viele anderen Standards.
Inhaltsverzeichnis:
| 1. | Einleitung | 5 |
| 1.1 | Beschreibung der Thematik | 5 |
| 1.2 | Zielsetzung der Arbeit | 5 |
| 1.3 | Software | 6 |
| 1.4 | Beschreibung der Testumgebung | 7 |
| 1.4.1 | Testumgebung I – Labor | 7 |
| 1.4.2 | Testumgebung II – VMWare | 8 |
| 2. | Benutzerverwaltung | 9 |
| 2.1 | Benutzerverwaltung unter Windows | 9 |
| 2.1.1 | Workstation | 9 |
| 2.1.2 | Primary Domain Controller | 10 |
| 2.1.3 | Active Directory Server | 10 |
| 2.2 | Benutzerverwaltung unter Unix | 10 |
| 2.2.1 | shadow-System | 11 |
| 2.2.2 | NIS | 12 |
| 2.2.3 | NIS+ | 12 |
| 2.3 | Benutzerverwaltung unter Novell | 14 |
| 2.3.1 | NDS | 14 |
| 2.3.2 | eDirectory | 14 |
| 2.4 | Wichtige Anforderungen an die zentralisierte Benutzerverwaltung in heterogenen Netzwerkumgebungen15 | |
| 2.4.1 | Punkt 1 keine redundant gespeicherte Benutzerdaten | 16 |
| 2.4.2 | Punkt 2 keine Inkonsistenzen | 16 |
| 2.4.3 | Punkt 3 ein einziges Heimatverzeichnis | 16 |
| 2.4.4 | Punkt 4 o_ene und verbreitete Technologien | 16 |
| 2.4.5 | Punkt 5 Verwendbarkeit | 16 |
| 2.4.6 | LDAP und SAMBA | 16 |
| 3. | SSL | 18 |
| 3.1 | Zertifikate | 18 |
| 3.2 | RSA – Verschlüsselung | 18 |
| 4. | Verzeichnisdienste | 19 |
| 4.1 | eDirectory und Active Directory | 19 |
| 4.2 | X.500 und LDAP | 19 |
| 4.2.1 | Aufbau | 19 |
| 4.2.2 | Master-Slave Konzept | 21 |
| 4.2.3 | Replizierung | 21 |
| 4.2.4 | Die Partitionierung | 22 |
| 4.2.5 | Sicherheit | 22 |
| 4.2.6 | Administrator und Passwortkodierung | 23 |
| 5. | SAMBA | 25 |
| 5.1 | SMB-Protokoll | 25 |
| 5.1.1 | NetBIOS | 25 |
| 5.1.2 | WINS-Server | 27 |
| 5.2 | Benutzerverwaltung | 27 |
| 5.2.1 | Mögliche Einsatzszenarien für Benutzerverwaltung | 28 |
| 5.3 | Sicherheitsmodelle | 28 |
| 5.3.1 | share-Modus | 28 |
| 5.3.2 | user-Modus | 28 |
| 5.3.3 | server-Modus | 29 |
| 5.4 | LDAP-Unterstützung | 29 |
| 5.5 | SAMBA und Dateifreigaben | 29 |
| 5.6 | SAMBA und Druckerfreigaben | 29 |
| 5.6.1 | CUPS | 29 |
| 5.7 | ACLs | 30 |
| 5.7.1 | Kernel-Patch | 30 |
| 5.7.2 | Dateisysteme | 30 |
| 5.7.3 | Samba und ACLs | 30 |
| 5.8 | Samba 3.0 | 31 |
| 5.8.1 | Ausblick | 31 |
| 6. | Praxis | 32 |
| 6.1 | Arbeisplan | 32 |
| 6.2 | SuSE 9.0 | 33 |
| 6.2.1 | Yast | 33 |
| 6.2.2 | apt-get | 33 |
| 6.2.3 | Checkconfig | 34 |
| 6.3 | Einrichtung des LDAP-Servers | 35 |
| 6.3.1 | LDAP-Server installieren | 35 |
| 6.3.2 | SSL-Verschlüsselung, das Erstellen von Zertifikaten | 35 |
| 6.3.3 | Konfiguration des LDAP-Servers | 37 |
| 6.4 | Hilfsprogramme und Tools | 39 |
| 6.4.1 | smbldap-tools | 39 |
| 6.4.2 | Perl-Bibliotheken | 41 |
| 6.5 | smbldap-tools benutzen | 43 |
| 6.6 | mkntpwd | 48 |
| 6.7 | Einrichtung des Samba-Servers | 48 |
| 6.7.1 | Samba kompilieren | 48 |
| 6.8 | Linux/Unix Clients | 50 |
| 6.8.1 | Automatische Einrichtung mit Yast unter SuSE Linux 9.0 | .50 |
| 6.8.2 | nsswitch | 53 |
| 6.8.3 | pam-Schnittstelle | 55 |
| 6.8.4 | NFS-Server-Einrichtung | 55 |
| 6.9 | Windows Clients | 56 |
| 6.9.1 | Registry | 56 |
| 6.9.2 | Automatisches Anmelden von Arbeitsstationen | 56 |
| 7. | Diskussion | 60 |
| 7.1 | Produktiver Einsatz | 60 |
| 7.1.1 | Passwortänderung | 60 |
| 7.1.2 | Profiles | 61 |
| 7.2 | Zusammenfassung und Ausblick | 61 |
| 7.2.1 | Samba als PDC-Killer | 61 |
| 7.3 | Fazit | 62 |
| A. | Quellen aus dem Internet | 65 |
| B. | Softwareverzeichnis | 66 |
| C. | Dateilistings | 67 |
| C.1 | smbldap.conf | 67 |
| C.2 | smbldapbind.conf | 71 |
| C.3 | /etc/nsswitch.conf | 71 |
| C.4 | /etc/ldap.conf | 72 |
| C.5 | smb.conf | 73 |
nur einer IP-Adresse zugeordnet ist. Einzelne Dienste, die unter dieser IP-Adresse laufen, werden durch eindeutigen Suffix bestimmt. Typ «G» steht für Group. Wie der Name schon sagt, kann der NetBIOSName mehreren IP-Adressen zugeordnet werden. Jede Applikation kann für sich beliebig viele Namen reservieren und unter einem dieser Namen Verbindungen aufbauen und Daten austauschen. Diese Reservierung von Namen gilt sowohl für Server, die vom Netz aus erreichbar sein müssen, als auch für Clients, die die Server im Netz erreichen wollen. Der Datagrammdienst ist dafür verantwortlich, dass ein unzuverlässiger Zustand in einem Netzwerk an die Benutzerprogramme gemeldet wird. Ein Programm wird über die aufgetretenen Fehler benachrichtigt und muss selbst für wiederholtes Senden sorgen. Ein Netz arbeitet unzuverlässig, wenn z.B. die Pakete bei der Auslieferung zum Zielrechner: • dupliziert werden • verloren gehen • oder wenn die Reihenfolge der aufeinander folgenden Pakete nicht gewährleistet wird Dieser Dienst hat auch gewisse Vorteile. Zum einen ist der Aufwand für das Verschicken eines Paketes sehr gering. Es existiert auch die Möglichkeit ein Datagramm an mehrere Rechner gleichzeitig zu [...]
nitionen von NetBIOS. Eine davon ist von IBM und ihrer Ansicht nach, ist NetBIOS nur ein Protokoll. Andere bezeichnen NetBIOS als reine Softwareschnittstelle zur Kommunikation von Rechnern. Mit dieser Schnittstelle werden den Programmen unterschiedliche Dienste zur Kommunikation zur Verfügung gestellt. NetBIOS wurde entworfen, um in kleinen und lokalen Netzen die Kommunikation zu ermöglichen. NetBIOS stellt folgende Funktionen zur Verfügung. • Namensdienst • Sitzungsdienst • Datagrammdienst Der Namensdienst ermöglicht, dass sich die Rechner in einem Netzwerk gegenseitig identifizieren. Er hat nichts mit der Anzeige in der Netzwerkumgebung zu tun. Für die Identifizierung der Rechner nutzt NetBIOS bis zu 15 Zeichen lange Namen. Das 16. Zeichen wird für Typidentifizierung benutzt. Hier eine kleine Auflistung von möglichen Typen: Typ «U» steht für unique und bedeutet, dass NetBIOS-Name [...]
Die, zwischen Anwendung und TCP/IP angeordnete, NetBIOS-Schicht (Netword Basic Input Output) führt u. a. zu der Eigenschaft, dass die Rechner aus der Sicht der Anwendung mit so genannten NetBIOS - Namen bezeichnet werden (15 Zeichen lang). Üblicherweise wird die erste Komponente des DNS-Namens verwendet. NetBEUI wurde ursprünglich von IBM entwickelt und später von Microsoft übernommen. NetBEUI steht für NetBIOS Extended User Interface und spezifiziert, wie höhere Schichten die Nachrichten über das NetBIOS Frames Protokoll austauschen können. Die ersten Implementierungen von NetBEUI arbeiteten direkt mit Link Support Layer , d.h. das Protokoll war nicht internetfähig und konnte nur in lokalen Umgebungen eingesetzt werden. Später wurde die TCP/IPImplementierung von NetBEUI implementiert und standardisiert. Es gibt viele unterschiedliche Defi- [...]
In den Warenkorb
74,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832481568
Arbeit zitieren:
Wischnewski, Markus Mai 2004: Zentrale Benutzerverwaltung für heterogene Netzwerkumgebungen mit LDAP und Samba, Hamburg: Diplomica Verlag
Schlagworte:
Netzwerk, Linux, Windows, Administration, Server
Entdecken Sie mehr zum Thema
