Danksagung Arek Dreyer Vielen Dank an meine wunderbare Frau, Heather Jagman, für ihre Unterstützung bei meinen Bemühungen, die Termine für dieses Buch einzuhalten. Vielen Dank an Schoun Regan, David Pugh und weiteren Autoren früherer Versionen dieses Materials, an Simon Wheatley für seine Arbeit an den Übungen und Folien zu dieser Version des Lehrgangs und an David Colville für seine erstklassigen Vorschläge bei der technischen Redaktion. Vielen Dank an Becca Freed, Kim Saccio-Kent und Danielle Foster bei Peachpit, die das Unmögliche möglich gemacht haben. Vielen Dank an Ben, der mich immer wieder motiviert hat. Vielen Dank an Tip Lovingood bei TechIt, Geordie Korper bei GroupLogic, Charles Edge bei 318 und die folgenden Apple Mitarbeiter für ihre tatkräftige Unterstützung: Jason Deraleau, Michael Dhaliwal, André LaBranche, Timo Perfitt, Mike Reed, Joel Rennich, John Signa und Josh Wisenbaker. Und nicht zuletzt vielen Dank an die Mac OS X Server-Community, die immer bestrebt ist, ihren Benutzern noch bessere Dienste anzubieten. Ben Greisler Ohne die Unterstützung und Geduld meiner Frau, Ronit Greisler, und meiner Kinder, Galee und Noam, wäre ich nicht in der Lage gewesen, dieses Projekt zu realisieren. Besonderer Dank geht an Arek dafür, dass er mich in dieses Projekt einbezogen und in meine Leistungen vertraut hat. Dank an alle bei Apple und Peachpit, denen Arek bereits gedankt hat, für ihre große Hilfe. Dank geht auch an Ståle Bjørdal, Ken Holden, Ed Marczak und Josh Perlman für ihre Praxistests. Vielen Dank an meine Kunden, Studenten und Kollegen, die mich anspornen, ein besserer Berater, Trainer und Teilnehmer am OS X-Ökosystem zu werden. Ohne sie wäre dies ein vergebliches Unterfangen gewesen. iii
158 Lektion 2: Authentifizieren und Autorisieren von Accounts 10 Vergewissern Sie sich, dass die Liste der Benutzer und Gruppen leer ist. Sind Einträge vorhanden, wählen Sie diese aus und klicken Sie auf die Taste Entfernen ( ). 11 Klicken Sie auf Sichern. Fehlerbeseitigung Dateisystem-ACLs können schnell unverständlich und unübersichtlich werden. Bewahren Sie die Übersicht, indem Sie die Zugriffsrechte möglichst nach Gruppen und nicht nach einzelnen Benutzern verwalten. Besitzt ein Benutzer keinen Zugriff auf eine Datei oder einen Ordner, den er eigentlich verwenden können sollte, prüfen Sie mit dem Fenster Detailansicht tatsächlicher Zugriffsrechte von Server-Admin die Berechtigungen des Benutzers für das jeweilige Objekt. Wenn Sie eine ACL anlegen, wählen Sie Zugriffssteuerungsliste kanonisch sortieren aus, damit Mac OS X Server die ACEs logisch und konsistent sortiert. Versuchen Benutzer auf einen Dienst zuzugreifen, für den sie keine Berechtigung besitzen, ist der Grund für das Fehlschlagen der Verbindung bei SACLs u. U. nicht so einfach nachzuvollziehen. Auch wenn sie das Kennwort richtig eingegeben haben, sehen diese Benutzer möglicherweise eine Fehlermeldung, die auf eine falsche Kennworteingabe hinweist. In einem solchen Fall empfiehlt es sich, die Benutzer aufzufordern, sich bei einem Dienst anzumelden, auf den sie zugreifen können. Auf diese Weise können Sie sicherstellen, dass das Problem nicht das Kennwort ist.
Das haben Sie gelernt 159 Das haben Sie gelernt Durch die Authentifizierung erhält ein Benutzer Zugriff auf den Server. Durch die Autorisierung wird bestimmt, welche Schritte der Benutzer nach der Authentifizierung ausführen kann. Benutzeraccounts für Mac OS X Server werden im Arbeitsgruppenmanager eingerichtet. Sie können zwei Arten von Accounts mit dem Arbeitsgruppenmanager erstellen: Benutzer- und Administratoraccounts. Ein Administratoraccount ist mit einem Benutzeraccount identisch, ermöglicht aber zusätzlich die Verwaltung des Servers. Mithilfe von Gruppenaccounts können Administratoren mehreren Benutzern schnell verschiedene Berechtigungen zuweisen. Gruppenaccounts werden mit dem Arbeitsgruppenmanager erstellt und verwaltet. Sie können Benutzer zu Gruppen und Gruppenmitgliedschaften zu Benutzeraccounts hinzufügen. Sie verwenden Server-Admin, um Netzwerkordner zu erstellen und ihnen Berechtigungen zuzuweisen. Mac OS X Server bietet Unterstützung für Zugriffssteuerungslisten (ACLs), die eine höhere Granularität für die Festlegung von Berechtigungen bereitstellen. Diese ACLs sind mit ACLs der Windows-Umgebung kompatibel und werden zusätzlich zu den standardmäßigen POSIX-Berechtigungen (UNIX) von Mac OS X eingesetzt. Mac OS X Server bietet Unterstützung für Dienst-ACLs (SACLs), mit denen der Zugriff auf bestimmte Dienste für bestimmte Benutzer oder Gruppen eingeschränkt wird. Unter Mac OS X Server können Sie Benutzern und Gruppen bestimmte Administrator rechte für Dienste zuweisen (Verwalten oder Überwachen), ohne sie zur Gruppe admin hinzuzufügen.
160 Lektion 2: Authentifizieren und Autorisieren von Accounts Literatur In den folgenden Dokumenten finden Sie weitere Informationen zu Accounts, POSIX-Berechtigungen, ACLs und SACLs unter Mac OS X Server. Alle genannten und weitere Dokumente sind unter folgender Adresse verfügbar: http://www.apple.com/de/server/macosx/resources/. Mac OS X Server-Verwaltungshandbücher Dateidienste Administration Benutzerverwaltung Aktualisieren und Migrieren Dokumente in der Apple Knowledge Base Sie können unter http://www.apple.com/de/support nach neuen und aktualisierten Artikeln in der Apple Knowledge Base suchen. Das Gelernte überprüfen 1. Beschreiben Sie die Unterschiede zwischen Authentifizierung und Autorisierung und geben Sie jeweils ein Beispiel an. 2. Worin unterscheiden sich Benutzer- und Administratoraccounts unter Mac OS X und Mac OS X Server? 3. Mit welchem Programm können Sie Benutzer- und Gruppeneinstellungen unter Mac OS X Server konfigurieren? 4. Womit können Sie Eigentümer und Zugriffsrechte unter Mac OS X ändern? 5. Mit welchem Programm können Sie Netzwerkordner (Freigaben) für Mac OS X Server konfigurieren? 6. Mit welchem Programm können Sie die Berechtigungen für Ordner konfigurieren, einschließlich POSIX-Eigentümer und -Zugriffsrechte sowie ACLs? 7. Welcher Unterschied besteht zwischen Dienst-ACLs (SACLs) und Einstellungen für Administratoren mit eingeschränkten Rechten?
Das Gelernte überprüfen 161 Antworten 1. Bei der Authentifizierung fordert das System Informationen vom Benutzer an, bevor Zugriff auf einen bestimmten Account gewährt wird. Ein Beispiel ist die Eingabe von Name und Kennwort beim Zugriff auf einen Apple-Dateiserver. Bei der Autorisierung wird mithilfe von Berechtigungen der Zugriff eines Benutzers auf bestimmte Ressourcen wie Dateien und Netzwerkordner gesteuert, nachdem sich der Benutzer erfolgreich angemeldet hat. 2. Benutzeraccounts ermöglichen den grundlegenden Zugriff auf einen Computer oder einen Server, Administratoraccounts ermöglichen dagegen die Verwaltung des Systems. Unter Mac OS X wird ein Administratoraccount meist für die Änderung von Einstellungen oder das Hinzufügen neuer Software verwendet. Unter Mac OS X Server werden mit einem Administratoraccount in der Regel Einstellungen auf dem Server selbst geändert, meist mit den Servereinstellungen, Server-Admin oder dem Arbeitsgruppenmanager. 3. Sie können die Servereinstellungen oder den Arbeitsgruppenmanager verwenden, um die Benutzer- und Gruppeneinstellungen unter Mac OS X Server zu konfigurieren. 4. Sie können die Servereinstellungen oder das Fenster Informationen im Finder verwenden, um Eigentümer und Zugriffsrechte unter Mac OS X zu ändern. 5. Sie können die Servereinstellungen oder Server-Admin verwenden, um Netzwerkordner für Mac OS X Server zu konfigurieren. 6. Sie können Server-Admin verwenden, um die Berechtigungen für Ordner zu konfigurieren, einschließlich POSIX-Eigentümer und -Zugriffsrechte sowie ACLs. 7. SACLs bestimmen, welche Benutzer einen bestimmten Dienst verwenden dürfen. Die Einstellungen für Administratoren mit eingeschränkten Rechten steuern hingegen, welche Benutzer ohne Administratorrechte einen Dienst überwachen oder ändern dürfen.
3 Dauer Übungsziele Für dieses Lektion sollten Sie ungefähr 4 Stunden einplanen. Kennenlernen der vier Open Directory-Serverfunktionen, die Sie unter Mac OS X Server konfigurieren können Konfigurieren von Mac OS X Server als Open Directory-Server mithilfe des Serverassistenten, der Servereinstellungen und des Programms Server-Admin Verwenden der Systemeinstellung Benutzer, um einen Mac OS X-Computer an einen Open Directory-Server zu binden Suchen und Identifizieren von Protokolldateien, die zu Open Directory gehören Prüfen und Wiederherstellen des Inhalts eines Open Directory-Archivs Beschreiben von Authentifizierungsarten Verstehen der grundlegenden Kerberos-Infrastruktur
Lektion 3 Verwenden von Open Directory In dieser Lektion wird beschrieben, wie Sie mithilfe eines Verzeichnis diensts Benutzer und Ressourcen in Ihrem Netzwerk verwalten können. Sie lernen die Funktionen der Open Directory-Dienste von Apple kennen und erfahren, wie diese Dienste mit anderen Verzeichnisdiensten in einer gemischten Umgebung integriert werden können. Sie erfahren auch, wie Sie Verzeichnisse und Benutzeraccounts mit dem Programm Servereinstellungen, mit dem Programm Server-Admin und mit dem Arbeitsgruppenmanager einrichten und verwalten können. Abschließend erfahren Sie Näheres über gelegentlich auftretende Probleme bei Open Directory-Diensten und wie Sie diese beheben. Open Directory ist im Bezug auf die Verwendung mit verschiedenen anderen Verzeichnisdiensten wie Active Directory, edirectory und NIS (Network Information Service) äußerst vielseitig. In dieser Lektion wird ein Verzeich nisdienstszenario Mac OS X Server-zu-Mac OS X erörtert. Das Buch Mac OS X Directory Services v10.6 enthält weitere Informationen zu Verzeich nis dienstszenarien mit mehreren verschiedenen Plattformen. Wenn Sie zwei zusätzliche Mac OS X Server-Computer haben, können Sie in den Übungen einen davon als Open Directory-Replik und den anderen als mit der Open Directory-Replik verbundenen Server verwenden. Haben Sie keine zusätzlichen Server, lesen Sie diese Übungen einfach durch. 163
164 Lektion 3: Verwenden von Open Directory Konzepte der Verzeichnisdienste Erhält ein Benutzer mehrere Accounts auf verschiedenen Computern, kann das zu Problemen führen. Besitzt beispielsweise jeder Computer in einem Netzwerk eine eigene Datenbank für die Authentifizierung, muss sich der Benutzer u. U. für jeden Computer ein anderes Kennwort merken. Selbst wenn Sie dem Benutzer auf jedem Computer dasselbe Kennwort zuweisen, werden die Kennwörter im Laufe der Zeit möglicherweise inkonsistent, da der Benutzer das Kennwort auf einem Computer ändern, dies aber auf einem anderen Computer vergessen kann. Sie können dieses Problem lösen, indem Sie die Authentifizierungsdaten zentral auf einem einzelnen Computer speichern. Verzeichnisdienste bieten einen solchen zentralen Speicherort für Informationen zu den Computern, Programmen und Benutzern einer Organisation. Mithilfe von Verzeichnisdiensten können Sie dafür sorgen, dass die Informationen zu allen Benutzern etwa Namen, Kennwörter und Einstellungen sowie zu Druckern und anderen Netzwerkressourcen konsistent bleiben. Sie können diese Informationen an einem einzelnen Speicherort anstatt auf einzelnen Computern verwalten. Beispiel: Sobald Sie Mac OS X-Computer an einen Open Directory-Dienst binden (d. h. einen Computer so konfigurieren, dass er die von einem anderen Computer bereitgestellten Verzeichnisdienste verwendet), können sich die Benutzer nach Belieben an jedem gebundenen Mac OS X-Computer anmelden und ihre Sitzung unter Be rücksichtigung ihrer Identität, Gruppenzugehörigkeit, des Computers, an dem sie ange meldet sind, und dessen Computergruppenzugehörigkeit verwalten lassen. Bei Ver wen dung eines gemeinsam genutzten Verzeichnisdiensts besteht außerdem die Möglich keit, den Benutzerordner eines Benutzers auf einem anderen Server abzulegen und automatisch auf dem Computer zu aktivieren, an dem sich der Benutzer anmeldet. Voraus setzung ist lediglich, dass der Computer an das gemeinsam genutzte Verzeichnis gebunden ist. Informationen zu Open Directory Open Directory ist die erweiterbare Verzeichnisdienstarchitektur, die in Mac OS X und Mac OS X Server integriert ist. Open Directory funktioniert wie ein Mittler zwischen Verzeichnissen, die Informationen zu Benutzern und Ressourcen enthalten, und den Programmen und Systemsoftwareprozessen, die diese Informationen benötigen. Der Open Directory- Dienst umfasst eine Reihe von Diensten bei Mac OS X Server, die Identifizierung (Authentifizierung) und Clientverwaltung bereitstellen.
Überblick über die Komponenten des Open Directory-Diensts 165 Zahlreiche Dienste von Mac OS X benötigen für eine korrekte Funktionsweise Informa tionen von Open Directory-Diensten. Open Directory-Dienste können die Kennwörter von Benutzern sicher speichern und überprüfen, die sich an Client com pu tern im Netzwerk anmelden oder weitere Netzwerkressourcen verwenden möchten, für die eine Authentifizierung erforderlich ist. Sie können Open Directory-Dienste auch verwenden, um Richtlinien wie das Ablaufen und die Minimallänge von Kennwörtern umzusetzen und Benutzereinstellungen zu verwalten. Außerdem können mit Open Directory-Diensten Windows-Benutzer für Anmeldung, Dateidienste, Druckdienste und weitere Windows-Dienste authentifiziert werden, die von Mac OS X Server bereitgestellt werden. Open Directory verwendet Samba 3, mit dessen Hilfe ein Open Directory-Server als Windows-PDC (Primary Domain Controller) oder - BDC (Backup Domain Controller) genutzt werden kann. Überblick über die Komponenten des Open Directory- Diensts Open Directory ermöglicht eine zentrale Authentifizierung und Identifizierung. Zur Authentifizierung verwendet Open Directory OpenLDAP, eine Open-Source-Implementierung von LDAP (Lightweight Directory Access Protocol), bei dem es sich um ein Standardprotokoll für den Zugriff auf Verzeichnisdienstdaten handelt. Open Directory verwendet LDAPv3, um Lese- und Schreibzugriff auf die Verzeichnisdaten zu ermöglichen.
166 Lektion 3: Verwenden von Open Directory WEITERE INFORMATIONEN Unter Mac OS X Server 10.3 und 10.4 wurde LDAP wegen seiner gemeinsam genutzten Datenbank verwendet. In älteren Versionen von Mac OS X und Mac OS X Server wurde der NetInfo-Systemkonfigurationsdatenbankdienst für lokale und gemeinsam genutzte Verzeichnisdienste genutzt. Ab Mac OS X 10.5 wurde NetInfo durch einfache oder strukturierte (Text-) Dateien ersetzt. Dabei greift der Open Directory-Dienst auf weitere Open-Source-Technologien zurück, z. B. Kerberos und LDAP, und kombiniert diese mit leistungsstarken Serververwaltungs programmen. So werden zuverlässige Verzeichnis- und Authentifizierungsdienste bereit gestellt, die sich einfach konfigurieren und verwalten lassen. Da keine auf der Anzahl der Arbeitsplätze oder Benutzer basierenden Lizenzgebühren anfallen, kann Open Directory an die Anforderungen einer Organisation angepasst werden, ohne hohe Kosten zu verursachen. Nachdem ein Mac OS X-Computer an einen bestimmten Open Directory-Server gebun - den wurde, erhält der mit Mac OS X oder Mac OS X Server betriebene Com puter auto ma tisch Zugriff auf Netzwerkressourcen, einschließlich Diensten zur Benutzerauthentifizierung, Netzwerkbenutzerordnern, Netzwerkvolumes und Einstellungen. Überprüfen von DNS-Einträgen Ihr Mac OS X Server-Computer muss über DNS-Einträge zur Vorwärts- und Rückwärts auflösung verfügen, bevor Sie einen Open Directory-Master erstellen, sodass sämtliche Open Directory-Dienste bereitgestellt werden können. Zusätzlich muss der Computer, den Sie mit Server-Admin verwenden, auch über einen DNS-Eintrag für seine IP-Adresse verfügen. Überprüfen von DNS-Einträgen für Mac OS X Server Mit dem Mac OS X Server-Befehl changeip können Sie Änderungen am Hostnamen oder an der IP-Adresse Ihres Servers vornehmen oder überprüfen, ob der Hostname und die primäre IP-Adresse Ihres Servers mit den verfügbaren DNS-Einträgen übereinstimmen. Bevor Sie einen Server als Open Directory-Master oder -Replik definieren, sollten Sie sich mithilfe des Befehls changeip vergewissern, dass für den Hostnamen und die primäre IP-Adresse Ihres Servers geeignete DNS-Einträge verfügbar sind. Wenn Sie Mac OS X Server in einer Umgebung konfigurieren, in der ein DNS-Eintrag für die Ihrem Server bei der Konfiguration zugewiesene IP-Adresse verfügbar ist, wird der DNS-Dienst vom Serverassistenten nicht konfiguriert oder gestartet. Wenn Sie
Überprüfen von DNS-Einträgen 167 Mac OS X Server jedoch in einer Umgebung ohne DNS-Eintrag für die dem Server bei der Konfiguration zugewiesene IP-Adresse konfigurieren, erstellt der Serverassistent die erforderlichen DNS-Zonen und -Einträge für Hostname und IP-Adresse des Servers und startet dann den DNS-Dienst. HINWEIS Lesen Sie den Abschnitt Definieren von DNS-Einträgen am Ende dieser Lektion, wenn Ihre Umgebung keine DNS-Einträge für die Computer umfasst, die Sie in den Übungen für diese Lektion verwenden, und Sie Ihren Server zur Bereitstellung der geeigneten DNS-Einträge konfigurieren möchten. Bei den Übungen in diesem Buch wird davon ausgegangen, dass Ihr Mac OS X-Administratorcomputer Zugriff auf die DNS-Einträge Ihrer Mac OS X Server-Computer hat. In den Übungsschritten werden Sie angewiesen, die vollständig qualifizierten Domain- Namen ( FQDNs) Ihrer Server (wie server17.pretendco.com) zu verwenden. Sie können die Bonjour-Namen Ihrer Server (zum Beispiel Server-17.local ) verwenden, es ist jedoch ratsam, in Verbindung mit den Serverwerkzeugen immer den FQDN zu verwenden. Wenn Probleme mit der Verfügbarkeit von DNS-Einträgen auftreten, stellen Sie diese bei Verwendung der Werkzeuge eher fest und haben dann Gelegenheit, die DNS-Probleme zu beheben, bevor Sie fortfahren. WEITERE INFORMATIONEN In Lektion 7, Netzwerkkonfiguration, im Handbuch Apple Training Series: Mac OS X Support Essentials 10.6 finden Sie Informa tionen zur Verwendung des Netzwerkdienstprogramms zum Überprüfen von DNS-Einträgen. Vergewissern Sie sich mithilfe von changeip, dass Ihrem Server die erforderlichen DNS- Einträge zur Verfügung stehen: 1 Öffnen Sie auf Ihrem Clientcomputer Server-Admin und stellen Sie als ladmin eine Verbindung zu Ihrem Server (server17.pretendco.com) her. Wählen Sie Ihren Server in der Liste Quelle aus und wählen Sie anschließend Server > Auf Serverbildschirm zugreifen. 2 Authentifizieren Sie sich als ladmin, um den Bildschirm Ihres Servers freizugeben. 3 Melden Sie sich im Anmeldefenster des Servers als ladmin an (Kennwort: ladmin).
Copyright Daten, Texte, Design und Grafiken dieses ebooks, sowie die eventuell angebotenen ebook-zusatzdaten sind urheberrechtlich geschützt. Dieses ebook stellen wir lediglich als persönliche Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses ebooks oder zugehöriger Materialien und Informationen, einschliesslich der Reproduktion, der Weitergabe, des Weitervertriebs, der Platzierung im Internet, in Intranets, in Extranets, der Veränderung, des Weiterverkaufs und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags. Insbesondere ist die Entfernung oder Änderung des vom Verlag vergebenen Passwortschutzes ausdrücklich untersagt! Bei Fragen zu diesem Thema wenden Sie sich bitte an: info@pearson.de Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen. Hinweis Dieses und viele weitere ebooks können Sie rund um die Uhr und legal auf unserer Website http://www.informit.de herunterladen