Задачи, стоящие перед администраторами и супервизорами
В следующих нескольких главах вы более подробно узнаете о защите
NetWare и управлении объектами. Вы увидите также, как создаются
объекты для пользователей, групп и супервизоров. Кроме того, вы
узнаете, как можно изменять характеристики этих пользовательских
объектов, например сценарий регистрации или ограничения рабочей
станции и увидите, как предоставлять пользователям или группам
полномочия доступа к объектам, каталогам и файлам.
Задачи управления разделами
В следующих разделах описываются задачи, которые вы можете выполнять
с помощью утилит Windows Partition Manager и PARTMGTR. Для планирования
раздела вы должны иметь полномочия супервизора на объект контейнера.
Не удаляйте серверные объекты, содержащие разделы NDS или копии.
Если нужно выполнить такую процедуру, свяжитесь со службой технической
поддержки Novell.
Создание раздела
Разделы создаются на уровне объектов-контейнеров дерева NDS.
Чтобы найти объект дерева NDS, где вы хотите создать новый раздел,
вы можете перемещаться по дереву NDS.
При разбиении существующего раздела выполняется та же процедура,
что и при создании нового. Для разделов используется память сервера,
поэтому разделив разделы на более мелкие вы можете сократить потребности
в памяти.
Использование для создания разделов Windows Partition Manager
Чтобы создать раздел с помощью Windows Partition Manager, найдите
сначала объект-контейнер, где требуется создать новый раздел.
Подсветите этот контейнер, затем щелкните "мышью" на
Create As New Partition. Новый раздел создается автоматически,
а основная копия автоматически сохраняется на сервере. Перед именем
контейнера появляется пиктограмма раздела.
Просмотреть информацию об основном разделе вы можете путем выбора
включенного в раздел объекта и щелкнув "мышью" на пиктограмме
Replicas. В списке выводятся сервер и его раздел.
Использование для создания раздела PARTMGR
Набрав PARTMGR, запустите администратор разделов текстового режима,
затем выберите в меню Partition Administration Manage Partition.
Просмотрите дерево NDS и найдите контейнер, где вы хотите создать
новый раздел. Выделите его и нажмите F10, затем для создания нового
раздела ответьте Yes. Справа от объекта-контейнера появляется
метка (Partition). После этого вы можете создать дополнительные
копии.
Объединение разделов
Вы можете слить раздел с разделом более высокого уровня в дереве
NDS, Сливайте только те разделы, информация которых необходима
одним и тем же пользователям. Большие разделы создавать не стоит.
Это приведет к тому, что значительная часть информации таких разделов
будет для пользователей ненужной.
Объединение разделов с помощью Windows Partition Manager
Найдите в поле Partitions контейнер, который вы хотите слить с
родительским контейнером, затем щелкните кнопкой "мыши"
на кнопке Merge Partitions. Раздел сливается с вышерасположенным
разделом.
Объединение разделов с помощью PARTMGR
Просмотрите дерево NDS и найдите объединяемый контейнер. Подсветите
имя контейнера и нажмите F10, чтобы выделить его. В
меню выберите Merge with the parent partition. Раздел и его копии
сливаются в вышерасположенным родительским разделом.
Создание копий разделов
Для создания копии раздела на другом сервере (это будет резервная
копия на случай выхода сервера из строя) воспользуйтесь описанными
ниже процедурами.
Создании копии раздела с помощью Windows Partition Manager
Для создании копии раздела с помощью Windows Partition Manager
просмотрите дерево NDS и найдите копию на другом сервере. Выделите
объект контейнера, затем щелкните "мышью" на командной
кнопке Add Replica и найдите сервер, куда вы хотите поместить
копию. Для выполнения операции вам нужно подсветить пиктограмму
сервера. Когда появится сервер, щелкните на нем "мышью".
Затем выберите тип копии (доступная только по чтению или чтению-записи)
и щелкните "мышью" на OK.
Создании копии раздела с помощью PARTMGR
Выберите в меню Partition Administration пункт Manage Partition,
затем просмотрите дерево каталогов и найдите контейнер, который
вы хотите скопировать на другой сервер. Подсветите объект-контейнер
и нажмите F10. Выберите в меню Partition Management команду View/Edit.
Нажатие Ins выводит следующее меню:
+======================================================+
¦ Add replica ¦
¦======================================================¦
¦ Replica type: ¦
¦ Read Write ¦
¦ Store on server: ¦
¦ ¦
+======================================================+
Для выбора из списка другой копии раздела нажмите в поле Replica
клавишу Enter. Затем для выбора сервера, куда вы хотите поместить
копию, нажмите Enter в поле Store. Чтобы вывести для сервера меню
Object, Class, нажмите Ins. Когда найдете сервер, нажмите Enter&
Его имя появится в Replica. Чтобы ввести это имя, нажмите Enter.
Изменение типа раздела
Вы можете изменить тип копии раздела. Например, вместо доступной
по чтению/записи копии вы можете создать копию, доступную только
по чтению. Если вы измените копию на основную, старая основная
копия становится доступно по чтению/записи. Если основная копия
запорчена, вам может потребоваться преобразовать существующую
доступную по чтению/записи копию в основную, а затем удалить
старую основную копию.
Изменение типа раздела с помощью Windows Partition Manager
Просмотрите дерево NDS и найдите контейнер, содержащий подлежащую
изменению копию. Щелкните "мышью" на кнопке Replicas,
выделите копию и щелкните на кнопке Change Type. Выводится диалоговое
окно Replica Type. Выберите в нем тип копии и щелкните "мышью"
на OK. При выборе Master текущая копия становится доступной по
чтению/записи.
Изменение типа раздела с помощью PARTMGR
В меню Partition Administration пункт Manage partitions, затем
найдите контейнер, содержащий подлежащие изменению копии. Нажмите
Enter и выберите в меню Partition Management пункт View/Edit.
Выберите подлежащую изменению копию и нажмите F10. Затем выберите
тип копии и снова нажмите F10. Если вы выбрали Master, текущая
основная копия становится доступной по чтению/записи.
Удаление разделов
Если по каким-то причинам вам нужно удалить основную копию (из-за
ее порчи), сначала сделайте доступную только по чтению копию (основную
копию) доступной по чтению/записи, изменив для этого тип копии.
Затем удалите старую основную копию, которая будет изменена на
доступную только по чтению.
Удаление раздела с помощью Windows Partition Manager
Просмотрите дерево каталога и подсветите контейнер удаляемого
раздела. Щелкните "мышью" на кнопке Replicas. В списке
Server подсветите удаляемую копию и щелкните "мышью"
на Delete Replica.
Удаление раздела с помощью PARTMGR
Выберите в меню Partition Administration пункт Manage. Просмотрите
дерево каталога и найдите подлежащий удалению раздел, затем подсветите
контейнер раздела и нажмите F10. Выберите пункт View/Edit, затем
подсветите удаляемую копию и нажмите DEL для удаления копии.
Восстановление раздела
В случае порчи основной копии может потребоваться ее восстановление.
Для этого на другом сервере нужно иметь другую основную копию
раздела.
Восстановление раздела с помощью Windows Partition Manager
Просмотрите дерево каталога и найдите копию, которую вы хотите
использовать для восстановления. Выберите раздел, затем щелкните
"мышью" на командной кнопке Replicas. Когда выведется
диалоговое окно Partition Replicas, выберите копию в списке серверов
и щелкните "мышью" на командной кнопке Update Other
Replicas. Выведется запрос на подтверждение операции.
Восстановление раздела с помощью PARTMGR
Выберите в меню Partition Administration пункт Mamage. Просмотрите
дерево NDS и найдите раздел, который требуется восстановить, затем
нажмите F10 и выберите из меню Repair replica time stamp. Выводится
список копий разделов. Выберите нужную копию и для восстановления
нажмите Enter.
Задание администратора сети
При инсталляции первого сервера вы должны задать имя и пароль
администратора. INSTALL рекомендует вам имя ADMIN. Чтобы изменить
имя и пароль, просто наберите в нижней части окна Directory Services
Server Context. В процессе работы вы можете в любой момент изменить
это имя с помощью утилиты NETADMIN. Запишите для справки контекст
каталога (например, CN=ADMIN. O=AST_Software). Если вы хотите
задать пользователя как администратора для других пользователей,
то вы должны зарегистрироваться в качестве администратора.
- AST_Software
¦
+- - Moscow
¦ ¦
¦ +- - Administration
¦ ¦ +- - MAIN_SYS
¦ ¦ ¦
¦ ¦ +- - MAIN_VOL1
¦ ¦ ¦
¦ ¦ +- - MAIN
¦ ¦
¦ +- - Programming
¦ ¦
¦ +- - Marketing
¦
+- - Novgorod
¦ ¦
¦ +- - Sales
¦ ¦
¦ +- - SECOND_SYS
¦ ¦
¦ +- - SECOND_VOL1
¦ ¦
¦ +- - SECOND
¦
+- - ADMIN
Задание частичных имен
Итак, мы познакомились с важным принципом и узнали о том, как
операционная система получает контекст на основе набираемого вами
имени. Отметим следующее:
Старшее частичное имя всегда интерпретируется как организация
(O).
Младшее частичное имя всегда интерпретируется как общее имя
(CN).
Частичные имена между O и CN рассматриваются как подразделения
организации (OU).
Поэтому, если в имени Mike.Administation.Moscow.AST_Soft вы опустите
AST_Soft, то операционная система сделает вывод, что организацией
является Moscow. Для переключения из любого контекста в контекст
"OU=Moscow.O=AST_Soft" вы можете использовать команду:
CX .MOSCOW.AST_SOFT
Задание драйверов диска
При инсталляции вы должны задать драйверы, обеспечивающие передачу
данных между платой контроллера и сервером NetWare. Если установлено
несколько плат, то драйвер нужно задать для каждой из них. Приведем
список драйверов, которые перечисляются при инсталляции:
| Файл | Драйвер |
| ADAPTAPE.DSK | TAPE DAI. |
| AHA1540.DSK | ADAPTEC AHA-1540/1542 ASPI Manager и SCSI Disk Module. |
| AHA1640.DSK | ADAPTEC AHA-1640 ASPI Manager и SCSI Disk Module. |
| AHA1740.DSK | ADAPTEC AHA-1740/1744 ASPI Manager и SCSI Disk Module. |
| ALWAYS.DSK | Always Technology IN-2000 Disk Driver. |
| ASPITRAN.DSK | UltraStor NetWare 4 ASPI Administration Driver V1.00. |
| BT40.DSK | BusLoogic (ISA/EISA/MCA) NetWare 4 SCSI. |
| BTASPI.DSK | BusLogin ASPI Support Manager v1.0. |
| CDNASPI.DSK | Meridian Data NetWare CD-ROM Device Driver. |
| DCB.DSK | ADIC SCSI DCB, Disk Driver v.4.0 (ISA). |
| DCB3200.DSK | ADIC BusMASTER SCSI DCB, Disk Driver v4 (EISA, MCA, ISA). |
| DCBASPI.DSK | ADIC BusMASTER SCSI DCB, ASPI Driver v4. |
| DCBASPI2.DSK | ADIC BusMASTER SCSI DCB, Alternative ASPI Driver. |
| DSKSHARE.DSK | NetWare for OS/2 Disk-Sharing Device Driver. |
| DTC80AS4.DSK | DTC3280 ASPI Manager for NetWare 4. |
| DTC80HD4.DSK | DTC3280 Disk Driver. |
| DTC90AS4.DSK | DTC3290 ASPI Manager for NetWare 4. |
| DTC90HD4.DSK | DTC3292 Disk Driver. |
| FUTD40.DSK | Future Domain Future/CAM Disk Driver. |
| FUTXPT.DSK | Future Domain Future/CAM Transport Layer (XPT). |
| IDE.DSK | Novell IDE (AT-compatible) Driver. |
| ISADISK.DSK | Novell ISADISK (AT-compatible) Driver. |
| SCSINW4A.DSK | Quantum CAM Disk Driver. |
| SCSINW4B.DSK | Quantum CAM Transport Layer (XPT). |
| SCSINW4C.DSK | Quantum TMC-1800 CAM SIM Module. |
| SIM1800.DSK | Future Domain TMC-1800 Future/CAM SIM Module. |
| SIM7000E.DSK | Future Domain TMC-7000ex Future/CAM SIM Module. |
| SIM950.DSK | Future Domain TMC-950 Future/CAM SIM Module. |
| TAPEDAI.DSK | Tape Driver. |
| U14_40X.DSK | UltraStor U14F SCSI Host Adapter. |
| U22_40X.DSK | UltraStor 22X EISA ESDI Controllers. |
| U24_40X.DSK | UltraStor U24F SCSI Host Adapter. |
Если вы не видите в этом списке драйвера для вашего контроллера,
то при инсталляции можете загрузить с дискеты драйвер независимого
разработчика. Для вывода запроса драйвера нужно просто нажать
клавишу Ins. Программа INSTALL просит вам вставить в дисковод
дискету и выводит список имеющихся на диске драйверов. Рекомендуемые
для различных контроллеров и шин сервера драйверы перечислены
в следующей таблице. Возможные установки для нескольких из этих
драйверов описаны ниже. Вы можете выбрать эти установки при указании
драйвера в процессе инсталляции.
Задание файла конфигурации рабочей станции - NET.CFG
Файл конфигурации NET.CFG содержит установки, используемые при
загрузке OS/2 Requester и другими утилитами. Вносить изменения
в файл NET.CFG не обязательно. В большинстве случаев такие изменения
не требуются. Однако включение команд в файл может настроить операционную
среду рабочей станции и преодолеть проблемы с программным и аппаратным
обеспечением.
Файл NET.CFG - это стандартный текстовый файл ASCII, который вы
можете изменить с помощью текстового редактора. Однако лучше изменять
его с помощью утилиты Installation в группе NetWare. Чтобы изменить
этот файл, сделайте следующее:
Откройте группу Novell и дважды щелкните "мышью"
на пиктограмме Install.
Выберите в меню Configuration пункт "This workstation".
Выводится используемое по умолчанию расположение файла NET.CFG
(корневой каталог). Для выбора этого файла щелкните "мышью"
на Edit.
После этого вы увидите окно с перечисленными справа параметрами
NET.CFG. Чтобы просмотреть описание любого параметра, щелкните
на нем "мышью".
Чтобы добавить параметр в файл NET.CFG, после просмотра параметров
и требований в окне Help наберите его справа.
Чтобы сохранить изменения, щелкните "мышью" на командной
кнопке Save, а затем для выхода из окна - на кнопке Cancel.
Файл NET.CFG содержит команды, устанавливающие параметры конфигурации
для рабочих станций NetWare. Каждая рабочая станция может иметь
свой собственный файл NET.CFG, который содержит записи для изменения
операционной среды этой рабочей станции. Однако многие рабочие
станции имеют общие параметры, поэтому вы можете просто скопировать
рабочий файл с одной рабочей станции на другую. Файл NET.CFG аналогичен
файлу SHELL.CFG, который использовался в предыдущих версиях NetWare.
NET.CFG - это стандартный текстовый файл ASCII, который можно
изменить с помощью текстового редактора. Например, в секции Linkj
driver вы можете параметры для запуска драйвера платы сетевого
интерфейса. Секции (разделы) файла имеют следующие заголовки:
Link driver имя_драйвера
Link support
NetBIOS
Protocol IPXODI
NetWare DOS Requester
NetWare shell
TBMI2
В файле не обязательно должны присутствовать все эти разделы,
но должна существовать хотя бы одна секция Link driver, включающая
в себя установки прерываний и другие параметры платы, заданные
при установке программного обеспечения рабочей станции. При расширении
этого файла строки нужно добавлять под соответствующими заголовками.
Из-за недостатка места мы не будем здесь полностью описывать команды
файла NET.CFG, а перечислим их кратко. Более полную информацию
вы можете найти в документации "NetWare Workstation for DOS"
и в справочной базе данных NetWare. Многие из перечисленных команд
можно выполнять и из командной строки.
Задание файла Wordstation Type
Цель LAN WorkGroup - избавить администратора от необходимости
индивидуально обслуживать каждую станцию клиента. Хотя эта цель
реализована достаточно хороша, вы все равно должны конфигурировать
клиентов для получения вместо старой программы IPX.COM драйверов
IPXODI и обновленной оболочки. В руководстве упоминается, что
этот процесс можно выполнить автоматически в ходе обычного процесса
регистрации.
В последние несколько лет Novell пытается вежливо ввести пользователей
в мир IPXODI. Это мир микропротокола, однако IPX.COM представляет
собой однопротокольный интерфейс между компьютером и интерфейсной
платой. Не возмущайтесь обилием обновлений, лучше займитесь работой
по обновлению своих оболочек. В NetWare 4.0 драйверы клиента изменены
еще больше, но сердцем программ связи клиента все еще остается
драйвер IPXODI.
Задание фильтров наследуемых полномочий
Фильтр наследуемых полномочий (Inherited Rights Filter) позволяет
вам блокировать полномочия, наследуемые из родительских каталогов.
Вы можете блокировать их на уровне файлов и на уровне каталогов.
Если вы выделили один каталог или файл, выберите в меню Subdirectory
options или File options пункт View/Set directory information
или View/Set file information. Прокрутите список до Current effective
rights и нажмите Enter. Если вы выделили несколько файлов или
каталогов, выберите в меню Multiple file operations или Multiple
directory operations пункт Set inherited rights и нажмите Enter.
Выводится меню Inherited rights. В этом меню выводятся полномочия,
которые могут наследоваться. Чтобы блокировать наследование полномочий,
подсветите каждое полномочие или отметьте их с помощью F5, затем
нажмите Del. Чтобы добавить доступные полномочия, нажмите клавишу
Ins, затем затем отметьте полномочия в списке с помощью F5. Для
добавления полномочий нажмите Enter.
Задание группы пользователей LAN WorkGroup
Каждый пользователь, собирающийся реализовать преимущества продукта
LAN WorkGroup, должен быть членом пользовательской группы LANWORKGROUP
на файловом сервере BOOTP. Для внесения добавлений используйте
утилиту настройки конфигурации NetWare SYSCON (SYStem CONfiguration).
В маршруте поиска каждого члена LANWORKGROUP должен присутствовать
каталог SYS:\NET\BIN. Novell рекомендует добавлять эту строку
в системный сценарий регистрации:
include sys:public/syslogin.lwg
Это приведет к обработке указанного текстового файла сценария.
Можно использовать и альтернативный путь, добавив непосредственно
к файлу сценария регистрации файл SYSLOGIN.LWG. Файл SYSLOGIN.LWG
содержит следующее:
if mebmer of "LANWORKGROUP" then begin
map f:=SYS
map ins s1=SYS:net/bin
end
При этом оператор PATH компьютера PC включается (с помощью команды
ins) путь доступа к диску, где выполняется поиск (s1 означает
первый диску поиска). После включения этого диска при окончании
сеанса на PC исходный маршрут поиска будет восстанавливаться правильно.
Группа пользователей LANWORKGROUP создается автоматически, но
строку "include" нужно вставить вручную. Если предпочитаете,
можете записать (вручную) файл SYSLOGIN.LWG в сценарий регистрации
в системе. Запись его в сценарий регистрации в системе сохранит
все инструкции регистрации в одном месте. Файл SYSLOGIN.LWG следует
сохранить в безопасном месте. После установки файл находится в
общедоступном каталоге (к которому могут обращаться все пользователи)
и отмечается как доступный только по чтению. Если вам требуется
хранить файлы отдельно, запишите его в каталог SYS:SYSTEM. К этому
каталогу обращаться могут немногие пользователи.
Задание хост-системы
Чтобы задать хост-систему, хост-имя NFS Gateway и адрес IP должны
быть включены в файл /etc/hosts на удаленном NFS-сервере. Для
системы NFS Unix машина NetWare NFS Gateway должна выглядеть как
любой другой NFS-клиент. Система Unix должна знать об NFS Gateway
и иметь ее адрес.
Если ваша система Unix не имеет файла /etc/hosts, для справки
вы можете обратиться к соответствующему руководству по NFS Gateway.
Unix System V будет модифицировать этот файл с помощью утилиты
sysadm. В системах SCO и SunOS этот файл придется модифицировать
с помощью текстового редактора.
В другой части задания хост-системы серверу NFS Gateway сообщается,
какие хост-системы присутствуют в вашей сети. Чтобы задать эту
информацию, выберите в основном меню Administer Services и введите
в блоке Host Address Management имя хост-системы и адрес IP. Здесь
вы можете указать также физические адреса, псевдонимы, другие
адреса IP этой машины, тип машины и тип операционной системы.
Эти данные не являются обязательными, однако поле IP Adresses
может оказаться полезным.
В сети Unix системы с несколькими связями с сетью должны иметь
несколько адресов IP. Реально адреса задают подключение конкретного
узла сети, а не обязательно саму машину. Если имеется два подключения
к сети, то этому будет соответствовать два адреса IP, по одному
для каждой подсети. В результате такой ситуации в системе Unix
часто поддерживаются имена-псевдонимы; каждая подсеть имеет для
конкретных целей конкретное имя.
Задание хост-системы и сервера
В другом текстовом окне, которое выводится под вводящим в заблуждение
заголовком Workstation IP Address в подменю Configuration, вы
добавляете имена хост-систем Unix. Следовало бы указать заголовок
HOSTS File Editing, но смысл ясен. В этом экране вы можете добавить,
удалить или отредактировать имена хост-систем.
Далее задайте экспортируемый каталог NetWare-cервера. Здесь всплывают
все вопросы, касающиеся полномочий доступа и атрибутов DOS. Если
вы предпочитаете настраивать эту конфигурацию вручную, отредактируйте
файл SYS:\ETC\EXPORTS. Ниже показана схема экрана и рекомендуемые
атрибуты установки полномочий.
+---------------------------------------------------------------+
¦ Exports File Options ¦
+---------------------------------------------------------------+
¦ ¦
¦ Filename : /sys/mike ¦
¦ Trusted Hosts : sparc1 altos486 ¦
¦ Root Access : sparc2 ¦
¦ Read-Only Access : No---- ¦
¦ Anonymous Access : Yes ¦
¦ Read-Write Access : sparc2 altos486 ¦
¦ DOS Attributes : Modify attributes from NFS ¦
¦ Trustee Rights : Create trustee rights from NFS¦
¦ ¦
+---------------------------------------------------------------+
В поле Trusted Hosts указываются имена систем, которым разрешен
доступ к NetWare-серверу. Следующее поле, Root Access, более специализировано.
Указанная в этом поле система имеет полномочия доступа к файловой
системе супервизора NetWare. Это несколько опасно. Не указанные
в этом поле системы имеют те же полномочия, что и пользователь
NetWare NOBODY. Этого пользователя можно конфигурировать со строгим
доступом к определенному каталогу, однако чрезмерное ослабление
контроля за полномочиями гостевых систем NFS - это брешь в защите.
Чтобы предоставить каждому NFS-клиенту полный доступ, независимо
от имени пользователя и профиля, атрибуты файла можно изменить.
Чтобы были доступны все файлы, нужно задать All Rights for All
Users and All Groups (установить полномочия доступа в 777). Пусть
это определит тот уровень защиты, с которым вы себя комфортно
чувствуете. Если ваша система подключена к Internet и доступна
из тысяч других систем, то следует соблюдать большую предосторожность.
Если связаны только системы Unix и NetWare, то защиту можно ослабить.
Задание информации NetWare Directory Services
В ходе инсталляции вы должны задать для сервера временной пояс
и информацию о времени. Нужно также задать имя корневого каталога
NetWare Directory Services (NDS) и контекст. Контекст это включающая
организация и подразделение, в котором находится сервер. При установке
дополнительных серверов NetWare v.4 INSTALL просматривает сеть
и находит первый сервер, а затем дает рекомендуемый контекст для
того сервера, для которого вы выполняете установку. Конечно, если
вы хотите задать другой контекст, то можете это сделать. При инсталляции
вы можете также задать администратора сети.
Задание используемых по умолчанию параметров утилиты FILER
Чтобы внести изменения в работу FILER, вы можете выбрать в меню
Set default options. Выводится меню со следующими параметрами:
Confirm Deletion. При установке в Yes вы должны подтвердить
удаление каждого файла, что при удалении больших групп файлов
может потребовать много времени. Однако Yes защищает от случайных
удалений.
Confirm file overwrites. Установка этого параметра
в Yes предотвращает запись файлов без предупреждения. No следует
устанавливать только временно, когда вы уверены, что хотите затереть
файлы при копировании.
Preserve file overwrites. Выбор Yes сохраняет при копировании
файлов расширенные атрибуты. При выборе No эти параметры устанавливаются
в Normal.
Notify if extended attributes (long names) are lost.
Установите этот параметр в Yes, если вы хотите получать предупреждение
при копировании файлов с расширенными атрибутами и длинными именами.
Обычно при копировании таких файлов расширенные атрибуты и длинные
имена теряются.
Задание контекста сервера
Следующим шагом в инсталляции является задание контекста сервера.
Как уже говорилось, программа INSTALL будет предлагать для дополнительных
серверов ту же информацию, что была введена для первого сервера
NetWare v.4. При инсталляции для сбора информации о сервере выводится
следующее меню:
+------------------------------------------------------------+
¦ Directory Services Server Context ¦
+------------------------------------------------------------+
¦ Company or Organization: ¦
¦ Level 1 (Sub)Organizational Unit (optional): ¦
¦ Level 2 (Sub)Organizational Unit (optional): ¦
¦ Level 3 (Sub)Organizational Unit (optional): ¦
¦ ¦
¦ Server Context: ¦
¦ ¦
¦ Administrator Name: ¦
¦ Password ¦
+------------------------------------------------------------+
В поле Company or Organization вы можете ввести название своей
организации. Следующие три строки можно использовать для задания
того подразделения, где установлен сервер. Вы можете задать один,
два или три уровня (например, отдел и группу). Если контекст требует
больше уровней, вы можете задать соответствующий уровень в строке
Server Context. Эта строка выводит контекст, заданный в предыдущих
строках.
На следующем рисунке показан пример дерева каталога для гипотетической
фирмы AST Software с тремя подразделениями: администрации (Administration),
программирования (Programming) и маркетинга (Marketing).
- AST_Software
¦
+- - Administration
¦
+- - Programming
¦
+- - Marketing
Предположим, вы инсталлируете сервер в подразделении Administration.
Чтобы создать этот контекст при инсталляции, вам следует заполнить
Directory Services Server Context следующим образом:
+------------------------------------------------------------+
¦ Directory Services Server Context ¦
+------------------------------------------------------------+
¦ Company or Organization: AST_Software ¦
¦ Level 1 (Sub)Organizational Unit (optional) Administration ¦
¦ Level 2 (Sub)Organizational Unit (optional) ¦
¦ Level 3 (Sub)Organizational Unit (optional) ¦
¦ ¦
¦ Server Context: OU.=Administration.O=AST_Software ¦
¦ ¦
¦ Administrator Name: ¦
¦ Password ¦
+------------------------------------------------------------+
Поле Server Context заполняется автоматически. Если вы хотите
задать страну, добавьте ее в конец поля Server Context. Однако
Novell не рекомендует использовать коды стран.
Следующий рисунок показывает, как будет выглядеть каталог после
установки сервера на объекте Administration. Заметим, что именем
сервера является MAIN, и он имеет тома SYS и VOL1, которые выводятся
как объекты, входящие в Administration.
- AST_Software
¦
+- - Administration
¦ +- - MAIN_SYS
¦ ¦
¦ +- - MAIN_VOL1
¦
+- - Programming
¦
+- - Marketing
¦
+- - ADMIN
В качестве другого примера предположим, что ваша фирма имеет
отделения в Москве и Новгороде. Каждое отделение имеет два отдела
- административный (Administration) и отдел продаж (Sales). Предположим,
что вы хотите инсталлировать первый сервер как объект отдела Administration,
который сам является подразделением московского отделения. Меню
Directory Services Server Context следует заполнить следующим
образом:
Company or Organization: AST_Software
Level 1 (Sub)Organizational Unit (optional) Moscow
Level 2 (Sub)Organizational Unit (optional) Administration
- AST_Software
¦
+- - Moscow
¦ +- - Administration
¦ ¦
¦ +- - Programming
¦ ¦
¦ +- - Sales
¦
+- - Novgorod
¦
+- - Sales
Если вы затем инсталлируете сервер в новгородском отделении Sales,
то меню Directory Services Server Context следует заполнить следующим
образом:
Company or Organization: AST_Software
Level 1 (Sub)Organizational Unit (optional) Novgorod
Level 2 (Sub)Organizational Unit (optional) Sales
Дерево каталога будет выглядеть, как показано на следующем рисунке.
Предполагается, что новый сервер называется SECOND, и к нему добавлены
тома SYS и VOL1.
Задание контекста вспомогательного сервера
Если вы инсталлируете вспомогательный сервер (не первый сервер
NetWare v.4), то выводится следующее меню, в котором вы можете
задать администратора сервера:
+--------------------------------------------------------+
¦ Administrator Name: CN=Admin.0= ¦
¦ Password ¦
+--------------------------------------------------------+
Если вы являетесь пользователем ADMIN для первого пользователя
и хотите быть администратором для этого пользователя, наберите
название организации высшего уровня, которое вы задали на первом
сервере. Чтобы изменить поле, начните набирать в нем текст.
Если вы хотите предоставить другому пользователю права супервизора,
задайте полный контекст его имени, например:
+----------------------------------------------------------+
¦ Enter the Administration Name: ¦
+----------------------------------------------------------+
¦ >CN=AColgan.OU=Administration.OU=Novgorod.O=AST_Software ¦
+----------------------------------------------------------+
^ ^ ^ ^
¦ ¦ ¦ ¦
Имя пользователя ¦ Филиал Название фирмы
Отдел
Следующий выводимый экран рекомендует контекст первого сервера
NetWare, но вы можете изменить любое поле. В следующем примере
в качестве местонахождения сервера задается отдел Sales новгородского
отделения фирмы AST Software. Заметим, что внизу выводится полный
контекст. Если вы задаете более трех уровней, добавьте их непосредственно
в поле Server Context.
+------------------------------------------------------------+
¦ Directory Services Server Context ¦
+------------------------------------------------------------+
¦ Company or Organization: AST_Software ¦
¦ Level 1 (Sub)Organizational Unit (optional): Novgorod ¦
¦ Level 2 (Sub)Organizational Unit (optional): Sales ¦
¦ Level 3 (Sub)Organizational Unit (optional): ¦
¦ ¦
¦ Server Context: OU=Sales.OU=Novgorod.O=AST_Software ¦
+------------------------------------------------------------+
Если задаваемое здесь подразделение еще не существует, оно добавляется
в дерево NDS.
Задание корня дерева NetWare Directory Services
Каждое дерево каталога имеет имя корня. Имя корня не следует путать
с именем включающей организации первого уровня. Корневое имя -
это просто имя дерева NDS. После наименования дерева вам редко
приходится снова ссылаться на корневое имя.
Дерево NetWare Directory Services содержит собственную базу данных
объектов, и объекты в одном дереве невидимы для объектов в другом.
Данные не могут совместно использоваться в различных деревьях.
Большинство компаний имеют только одно дерево, и, таким образом,
задается только одно имя корня.
При инсталляции первого сервера вам выведется запрос для ввода
имени корня дерева. Вы можете назвать его просто ROOT или указать
имя своей фирмы. Пробелы в этих именах не допускаются, но вы можете
использовать подчеркивания. При установке в той же сети дополнительных
серверов вам выводится имя корня, заданное для первого сервера.
Задание маршрутизации
NetWare обеспечивает внутреннюю маршрутизацию. Это означает, что
на сервере вы можете установить несколько сетевых интерфейсных
плат. Например, на одном сервере можно установить платы Ethernet,
Token Ring и ArcNet. NetWare выполняет задачи конвертирования
и направления пакетов, которые нужно передавать между этими сетями.
Если рабочие станции используют протоколы, отличные от SPX/IPX,
на сервере нужно установить поддержку для этих протоколов. Обычно
это означает просто установку NLM-модуля.
Операционная система NetWare может поддерживать неограниченное
число сетевых интерфейсных плат (их число определяется числом
доступных на сервере гнезд). Как уже упоминалось ранее, сегментирование
большой локальной сети на более мелкие сегменты, каждый из которых
подключается к собственной интерфейсной плате, может улучшить
производительность. Однако на стандартном компьютере невозможно
установить столько плат. Для этого нужен суперсервер. В системе
с шиной ISA проблемой может быть даже установка более 4 интерфейсных
плат (из-за конфликта прерываний и адресов ввода-вывода).
Чтобы задать на сервере NetWare маршрутизацию, сначала установите
каждую плату сетевого интерфейса, избегая конфликтов прерываний
и ввода-вывода. Затем при установке операционной системы NetWare
задайте драйвер и сетевой номер для каждой из установленных плат.
Два сегмента сети не могут использовать один и тот же сетевой
номер.
В больших сетях с интенсивным межсетевым трафиком и многопротокольной
маршрутизацией сервер лучше избавить от функций маршрутизации.
В глобальных коммуникациях сервер в любом случае лучше освободить
от этих функций, так как если сервер не сможет предоставлять эти
услуги, то данные функции для пользователей будут не доступны,
и они не смогут взаимодействовать друг с другом в сети. Именно
для этого предусмотрены такие продукты, как многопротокольный
маршрутизатор Novell NetWare MultiProtocol Router.
Задание параметров файловой системы
В данном разделе перечислены возможности изменения заданных при
запуске или в процессе работы параметров файловой системы. Вы
можете изменить эти параметры, загрузив утилиту SERVMAN и выбрав
в меню Available Options пункт Console Set Commands. Параметры
файловой системы задаются в меню под следующими заголовками:
* File Caching * Directory Caching * File System * Locks * Transaction
Tracking * Disk
Задание параметров VREPAIR
Чтобы задать параметры VREPAIR, выберите в меню VREPAIR второй
параметр. В верхней части экрана перечисляются текущие параметры,
а в нижней - другие возможные установки. Опишем заданные по умолчанию
параметры.
Name Space Problem
Если только что добавленное к тому пространство имен не загружается,
значит для монтирования тома не хватает памяти. Если файлы еще
не сохранены в пространстве имен, выберите альтернативных параметр.
При этом пространство имен и вся связанная с ним расширенная информация
о файлах удаляется. Однако информация DOS сохраняется.
Default option - выход, если требуемый VREPAIR MLM поддержки
пространство имен не загружен.
Alternate option - удаляет с тома поддержку пространства
имен.
Forsed Update Option
При аварийном останове сервера во время обновлении важных файлов
альтернативный параметр для данной записи выбирать не следует.
Используйте этот заданный по умолчанию параметр только в том случае,
если не удалась первая попытка восстановление тома и если том
находится на зеркально отображаемом диске.
Defaul option - записывает на диск только измененную запись
каталога и FAT.
Alternate option - записывает на диск все записи каталога
и FAT.
Save in Memory Option
VREPAIR работает быстрее, если вы сохраняете изменения в памяти,
а затем (после завершения изменения) записываете их на диск. Если
изменений много, то VREPAIR может не хватить памяти. В этом случае
выберите альтернативный параметр.
Default option - сохраняет в памяти изменения для последующего
использования.
Alternate option - немедленно записывает изменения на диск.
Deleted File Handling
Вы можете также выбрать, хотите ли вы, чтобы VREPAIR уничтожала
удаленные файлы (обычно удаленные файлы можно восстановить). Если
вы хотите сохранить эти файлы, то оставьте параметр, заданный
по умолчанию. Для удаления файлов выберите альтернативный параметр.
Это улучшает производительность VREPAIR.
Default option - сохраняет удаленные файлы.
Alternate option - удаляет все удаленные файлы.
Задание пользователей и групп
После считывания файлов службы имен выберите в меню Perform File
Operations параметр Initialize Nameservices. Это позволит преобразовать
системные файлы Unix к формату, используемому NFS Gateway. После
завершения инициализации вы можете задать пользователей.
Вот когда начинает давать отдачу вся проведенная ранее работа
по предварительному заданию пользователей NetWare и Unix. Здесь
будут перечислены все пользователи Unix, указанные в импортированных
системных файлах Unix, а звездочки будут указываться соответствующего
пользователя NetWare. Задайте их согласно инструкциям руководства
- и работа с пользователями будет закончена.
При задании групп предварительная работа также принесет свои плоды.
Группы NetWare и Unix должны соответствовать друг другу, и для
преобразования их к формату NFS Gateway используется та же процедура,
что и при преобразовании пользователей.
Здесь могут выводиться несколько "странных" имен групп,
таких как nfs_gateway_manager и nfs_host_manager. Они создаются
программным обеспечением NFS Gateway, и беспокоиться о них не
нужно.
Задание рабочей станции с помощью WGSETUP
После настройки конфигурации с помощью параметров Workstation
Type (по одному на каждую рабочую станцию), нужно конфигурировать
каждого клиента. Эта программа должна выполняться с рабочей станции
обычным пользователем или по крайней мере тем, кто имеет имя пользователя,
связанное с PC. Команда настройки имеет следующий формат:
WGSETUP тип_рабочей_станции
где "тип_рабочей_станции" должен совпадать с одним
из типов, конфигурированных ранее с помощью экрана Workstation
Type.
Эта команда будет некоторое время работать, выводя на экран все
копируемые ей файлы, а затем поздравит вас с выполнением всей
трудной работы. Однако, это не обязательно означает конец задания
конфигурации, так как после окончания копирования файлы NET.CFG,
AUTOEXEC.BAT и CONFIG.SYS могут иметь не тот вид, который вам
нужен. В общем случае процесс установки работает достаточно хорошо.
Проблема возникает лишь при неправильном выборе в команде WGSETUP
типа рабочей станции.
Другая задача состоит в том, чтобы найти помещенные в ваш файл
AUTOEXEC.BAT записи и снова загрузить все эти драйверы в старшую
память. Все поставляемые с LAN WorkGroup драйверы могут загружаться
в старшую память, но делать это нужно вручную.
Задание разделов диска
При установке вы можете создать разделы вручную или сделать это
автоматически с помощью программы INSTALL. Установку вручную нужно
выбирать в следующих случаях:
Для задания зеркального отображения или дублирования.
Для установки NetWare for OS/2.
Для удаления раздела или изменения его области оперативной
коррекции (Hot Fix), которую при использовании старого диска иногда
желательно увеличить.
Если вы выбираете автоматическое создание, INSTALL использует
для разделов все доступное пространство диска (исключая раздел
DOS). Расширенные разделы DOS уничтожаются. Раздел создается на
каждом диске. Каждому разделу присваивается уникальный номер устройства
и логический номер (как описывалось в предыдущей главе). Логические
номера идентифицируют разделы на основе порядка, в котором были
загружены диски. Сообщения об ошибках обычно указывают на неверные
номера устройств для дисков. Логические номера используются для
идентификации зеркально отображаемых и дублируемых дисков (см.
предыдущую главу).
Каждому разделу присваивается область оперативной коррекции Hot
Fix, размер которой составляет 2% размера раздела. По умолчанию
NetWare проверяет все записываемые на диск данные, обеспечивая
соответствие этих данных данным в памяти. Если верификация указывает
на неверную запись, NetWare считает, что блок на диске дефектный,
записывает данные в область оперативной коррекции и отмечает блок
как не используемый. При работе со старым диском область оперативной
коррекции желательно увеличить, так как этот диск может давать
больше сбоев, чем новый диск.
Зеркальное отображение дисков и его отмена
При зеркальном отображении информация одного раздела дублируется
в другом разделе. Дублирование (дуплексирование) дисков выполняется
при наличии двух контроллеров дисков. Для простоты мы будем называть
эти два процесса просто дублированием.
Дублирование жестких дисков
Чтобы задать дублирование для пары или группы разделов NetWare,
выполните следующие шаги. Предварительно нужно задать разделы
физических дисков.
Набрав в ответ на подсказку консоли команду LOAD INSTALL,
загрузите модуль INSTALL.
В основном меню выберите Disk Options.
В меню Available Disk Options пункт Mirroring.
Выводится окно, аналогичное следующему:
+=====================================+
¦ Available Disk Partition ¦
¦=====================================¦
¦ ¦Not Mirrored: Logical Partition #1 ¦
¦ ¦Not Mirrored: Logical Partition #2 ¦
¦ ¦Not Mirrored: Logical Partition #3 ¦
¦ ¦Not Mirrored: Logical Partition #4 ¦
+=====================================+
Статус разделов говорит от следующем:
Not Mirrored - раздел в данное время не дублируется. Mirrored
- раздел дублируется в другой раздел. Out of Sync - раздел дублировался
в другой раздел, но в данное время дублирование не выполняется.
Подсветите один из разделов, который должен быть основным
разделом в дублируемой паре, и нажмите Enter. Выводится следующее
меню, указывающее, что раздел синхронизирован сам с собой, и отсутствуют
проблемы с данными.
+=====================================================+
¦ Mirrored NetWare Partitions ¦
¦=====================================================¦
¦ ¦In Sync - NetWare partition 1 on Device #0 (21000) ¦
+=====================================================+
Чтобы задать раздел для дублирования для устройства, выбранного
на предыдущем шаге, нажмите Ins. Выведется окно со списком имеющихся
возможностей. Можно задать только те разделы, которые имеют размер,
больший или равный разделу, выбранному на предыдущем шаге.
NetWare синхронизирует разделы.
Все текущие таблицы дублирования
обновляются, и операционная система уведомляется о новых дублируемых
компонентах. Затем операционная система проверяет выбранные разделы
на совпадение блоков, даты/времени и разрядов синхронизации. На
этом этапе будьте внимательны. Синхронизация дисков с большим
числом каталогов и файлов может потребовать некоторого времени.
Однако, пока в фоновом режиме происходит синхронизация, пользователи
могут продолжать работать с сервером. После завершения синхронизации
статусом обоих дисков будет "In Sync".
Отмена дублирования жестких дисков
Отменить дублирование диска может потребоваться при добавлении
нового диска, замене диска или его ремонте. NetWare обычно отменяет
дублирование неисправного диска автоматически, так что вам нужно
будет просто заменить диск и вновь задать дублирование. Отменить
дублирование дисков может понадобиться для удаления разделов,
проведении тестирования или изменения области оперативной коррекции.
Для отмены дублирования выполните следующую процедуру:
Если вам нужно заменить внутренний диск, отмените регистрацию
всех пользователей на сервере. Если это внешний диск, его часто
можно заменить без остановки сервера, но нужно демонтировать подключенные
к нему тома.
Демонтируйте все тома, имеющие сегменты на диске, введя на
консоли сервера команду DISMOUNT том.
Загрузите INSTALL, затем выберите Disk Options для выбора
меню Available Disk Options. Выберите в меню Mirror/Unmirror Disk
Partitions.
Подсветите раздел, дублирование которого нужно отменить, и
нажмите клавишу Del. Начинается процесс отмены отображения.
После завершения процесса отмены дублирования вы можете заново
смонтировать том, чтобы пользователи могли получить к нему доступ.
Доступные разделы отмечаются как "Not Mirrored", а запрещенный
диск - как "Out of Sync" (этот дисковод будет недоступен).
После замены неисправного диска, чтобы снова сформировать пару
дублирования, выполните описанную выше процедуру.Восстановления
дублирования будет выполняться в фоновом режиме.
Задание сервера типа времени
Служба каталога NetWare Directory Services синхронизацию времени
на серверах объединенной сети, что обеспечивает точность всех
временных меток в сети. Синхронизация времени очень важна, так
показания внутренних часов компьютеров могут отличаться друг от
друга. Это обеспечивает корректность времени во всей системе,
так что обновление одних и тех же данных в различных частях объединенной
сети будет выполняться по-разному. Существует четыре типа времени
сервера:
Сервер с единым временем (справочный сервер времени) используется
в географически замкнутых сетях. Это единственный источник времени
в сети. Любые изменения времени на данном сервере приводят к изменению
времени на других. Это сервер должен использоваться как главный
сервер времени.
Основной сервер в географически распределенной сети. Время
синхронизируется с остальными серверами времени или справочным
сервером времени, что обеспечивает корректное время на вспомогательных
серверах времени. При наличии в сети нескольких основных серверах
общее время сети определяется процедурой "голосования".
Справочный сервер получает свое время из внешнего источника
(например, радиочасов). Справочный сервер не изменяет и не использует
внутренних часов. Он помогает основным временным серверам установить
общее время с помощью процедуры "голосования". В итоге
на всех серверах устанавливается время, установленное на справочном
сервере из внешнего источника.
Вспомогательный сервер. Все другие серверы в сети могут быть
вспомогательными серверами времени. Они просто получают время
из единого источника - основного или справочного сервера и не
участвуют в установке общего времени сети.
При инсталляции в зависимости от географического распределения
вашей сети задайте тип сервера времени. Основным критерием является
стоимость протяженных линий глобальной сети: вспомогательные серверы
могут получать свое время от локального основного сервера или
использовать линии глобальной сети для доступа к времени удаленного
сервера.
В географически распределенных объединенных сетях используйте
несколько основных серверов времени. Это обеспечит отказоустойчивость
и резервные пути для вспомогательных серверов времени. Размещайте
основные серверы времени в каждой географически удаленной зоне.
Это не потребует использования дорогих линий глобальных сетей.
Все прочие серверы, не участвующие в установке общего времени
объединенной сети, следует задать как вспомогательные серверы
времени.
В небольших сетях используйте единственный справочный сервер.
При этом задавать основной сервер не нужно.
Задание TCP/IP
Перед тем как вы сможете установить NFS Gateway, NetWare-сервер
нужно правильно конфигурировать для TCP/IP. Теперь настало время
проверить используемый на сервере адрес IP и сравнить его с адресами
IP систем Unix. Так как NetWare NFS Gateway новый участник сети,
то лучше изменить этот адрес, чем адреса систем Unix. Перейдите
к файлу AUTOEXEC.NCF и поместите туда новый адрес TCP/IP, пока
вы его не забыли. Если вы запустите NFS Gateway с дублирующимся
адресом IP, то быстро столкнетесь с неприятностями.
Задание томов NFS Gateway
Используемый в NFS Gateway для представления удаленных файловых
систем метод разумно построен и удобен для пользователя. Каждая
удаленная файловая система представляется в виде тома NetWare.
Большинство NetWare-серверов имеют более одного тома (первым идет
SYS, затем обычно следуют VOL1, VOL2 и т.д.), так что пользователям
знакомо отображение дисководов на несколько томов. Некоторые пользователи
могут никогда и не узнать, что один из томов, который они видят,
на самом деле представляет собой файловую систему Unix.
Это преобразование файловой системы Unix в том NetWare является
полным. Утилита NetWare VOLINFO показывает каждую файловую систему
как том. Утилита NetWare PERFORM, измеряющая производительность
и пропускную способность путем записи и/или чтения с тома NetWare,
будет прекрасно работать с этими томами Unix/NetWare.
Чтобы сопоставить эти тома NetWare с удаленными файловыми системами
NFS, выберите в меню Administer Services утилиты NFSCON NFS Gateway
пункт Configure Volumes. В процессе установки тома не выводятся,
поэтому вам нужно помнить о приеме Novell: в случае сомнения нажмите
клавишу Ins. Это позволит вывести экран, где вы можете конфигурировать
новые тома.
Данная установка состоит из двух частей. Во-первых, вы должны
набрать имя тома NetWare и соответствующий ему маршрут удаленной
NFS. Том NetWare будет создаваться на основе этой информации.
Его можно здесь также удалить, но только если этот том в данный
момент не смонтирован. После задания имени этого тома и удаленной
точки монтирования нажмите Enter. Это переместит вас к экрану
NFS Gateway Volume Information.
Экран Volume Information в NFS Gateway показывает имя удаленной
хост-системы, маршрут (точку монтирования) и соответствующий том
NetWare. Эта информация (как и другая) изменяться здесь не может.
Если в имени тома или в точке монтирования вы обнаружите ошибку,
или точку монтирования по какой-то причине нужно изменить, вам
не повезло. Придется удалить том и затем создать его заново.
Вся
задача удаления и воссоздания информации тома может занять всего
несколько секунд.
Нужно заполнить только два важных пробела - первое и второе поле,
то есть UID Used for Mouting и GID Used for Mounting. По умолчанию
они оба имеют нулевое значение, идентифицируя UID как root, а
GID как wheel. Оба предполагают, что удаленная хост-система предоставляет
файловые системы с наибольшими доступными привилегиями, доступом
корню и общей группой. Если системе Unix с помощью команды exports
даны конкретные инструкции по монтированию, то эти инструкции
будут переопределять то, что вы здесь запрашиваете.
Остальная часть экрана также полезна, но пока она нас не касается.
Запустите NFS Gateway и пусть он поработает несколько недель,
прежде чем вы начнете вносить здесь какие-то изменения. Задаваемые
по умолчанию значения полей RPC Retry Count, RPC Inter-Packet
Timeout и остальных вполне подойдут для работы. Убедитесь однако,
что поле Remote Lock Manager Required установлено в заданное по
умолчанию значение Yes. Это значение позволяют NetWare и NFS на
удаленной хост-системе выявлять возможные конфликты файлов. Запись
параллельной блокировки файла NFS и NetWare в NFS Gateway неоднородна,
поэтому лучше задать максимальное отслеживание.
Задание удаленных принтеров
Так как один сервер печати NetWare может обслуживать до 256 принтеров,
вы можете создать один сервер печати для обслуживания всех принтеров
сети (если их не более 256). Пять принтеров вы можете подключить
к самому серверу печати. Оставшиеся совместно используемые принтеры
можно конфигурировать на рабочих станциях или на других серверах
печати. Перечислим основные шаги, необходимые для определения
удаленного принтера:
Подключите принтер к порту LPT или COM на рабочей станции
или на файловом сервере.
Для создания одного или более объектов очередей для принтера
используйте утилиту PCONSOLE или Netware Administrator или определите,
какая из существующих очередей будет обслуживать принтер.
Используйте PCONSOLE или NetWare Administrator для создания
для принтера объекта принтера. Убедитесь, что принтер задан как
удаленный.
Если вы используете PCONSOLE Quick Setup, выберите в поле
Location Manual Load.
Если вы конфигурируете принтер с помощью PCONSOLE, но не используете
Quick Setup, выберите в поле Printer type или меню конфигурации
принтера Remote, OTHER.
Чтобы выполнить описанные выше в данной главе шаги для назначения
очередей новому объекту принтера, используйте NetWare Administrator
или PCONSOLE.
С помощью PCONSOLE или NetWare Administrator присвойте объекту
сервера печати новый принтер (эти шаги описываются в данной главе
выше).
Если PSERVER.NLM на файловом сервере уже работает, наберите
на консоли сервера команду UNLOAD PSERVER а затем выполните процедуру
сохранения (архивизации). Имя нового принтера должно распознаваться.
После инсталляции PSERVER удаленные принтеры не будут доступны,
пока вы не загрузите на рабочей станции или на сервере INPRINTER.EXE.
Статус удаленного принтера можно просмотреть выбором Printer Setup.
Если вы инсталлируете удаленный принтер, подключенный к рабочей
станции, убедитесь, что вы зарегистрировались в сети, и каталогу
SYS:PUBLIC назначен логический диск. Затем загрузите NPRINTER.EXE
(командой NPRINTER). Выводится список текущий серверов печати.
Выберите сервер печати, затем принтер, и задайте, подключен он
к последовательному или параллельному порту. После выполнения
всех установок для завершения инсталляции нажмите F10.
Если вы инсталлируете удаленный принтер, подключенный к файловому
серверу, наберите LOAD NPRINTER и имя сервера печати, к которому
вы хотите подключиться, и имя, присвоенное сетевому принтеру.
(См. Printer Status на консоли PSERVER файлового сервера, что
позволит вам определить, какой номер NetWare присвоила принтеру.)
После того как NPRINTER загрузит поддержку подключенного к рабочей
станции принтера, другие пользователи смогут использовать сетевые
приложения или команды печати NetWare.
Задание утилит Windows
В данном разделе поясняется, как создавать инструментальную группу
Windows (если она не существует) и как добавить к ней пиктограммы
программ NetWare. Перед запуском Windows убедитесь, что вы зарегистрировались
в сети. Здесь предполагается, что диск Z задан в качестве диска
поиска и представляет каталог PUBLIC NetWare. Предполагается также,
что при установке на рабочей станции сетевых файлов вы инсталлировали
Windows. Если группа инструментальных средств NetWare Tools не
существует, запустите Windows и для создания группы выполните
перечисленные ниже шаги. (Если эта группу уже существует, и вы
хотите создать пиктограммы запуска для NetWare User и NetWare
Administrator, см. следующий раздел.)
Выберите в меню File пункт New.
Щелкните "мышью" на командной кнопке Program Group
диалогового окна New Program Object, а затем на командной кнопке
OK.
В поле Description наберите NetWare Tools, затем щелкните
"мышью" на OK.
Появляется новая группа. После этого вы можете создавать пиктограммы
запуска для NetWare User и NetWare Administrator. Необходимые
для этого шаги перечислены ниже. Выполните эти шаги для пиктограммы
NetWare User, а затем снова для пиктограммы NetWare Administrator,
заменив, там где указывается, соответствующие характеристики.
Щелкните "мышью" на группе NetWare Tools и убедитесь,
что она выбрана.
Выберите в меню File пункт New.
Поле Program Item должно подсвечиваться. Щелкните "мышью"
на OK.
Когда выведется диалоговое окно Item Properties, наберите
в поле Description NWUser или NWAdmin (в зависимости от того,
какую пиктограмму вы создаете).
Щелкните "мышью" на командной кнопке Browse и с
помощью диалогового окна найдите выполняемый файл программы. Для
NetWare User найдите в локальном каталоге Windows файл NWUSER.EXE.
Для NetWare Administrator найдите в каталоге PUBLIC NetWare-сервера
файл NWADMIN.EXE (в списке дисков выберите букву логического диска
каталога PUBLIC).
Щелкните "мышью" на командной кнопке изменения пиктограммы
Change Item, затем на OK (для вывода возможных сообщений). Когда
появится диалоговое окно Change Icon, щелкните "мышью"
на командной кнопке просмотра Browse и используйте для поиска
тех же файлов методы, указанные в предыдущем шаге. Пиктограммы
для приложений Windows находятся в их выполняемых файлах.
Выводимая в нижнем углу пиктограмма уже выделена. Для возврата
в диалоговое окно Program Item Properties просто щелкните "мышью"
на OK, а затем для создания пиктограммы запуска снова щелкните
на OK.
Выводится сообщение, которое говорит, что заданный диск в
последнем сеансе может быть недоступен. Это сообщение может просто
напоминать вам, что Windows не может гарантировать ваше подключение
к сетевым дискам, и в случае их недоступности ссылки на них работать
не будут. Для выполнения операции щелкните "мышью" на
кнопке Yes.
Описанная продедура предполагает, что файл NWADMIN.INI находится
в вашем каталоге Windows. Если это не так, скопируйте их из каталога
SYS:PUBLIC на сервере.
NetWare Administrator можно также выполнять в OS/2 как приложение
Windows. Для переноса файла NWADMIN.EXE в каталог SYS:PUBLIC/OS2
на сервере следуйте инструкциям в руководстве по OS/2.
Задание временного пояса
При инсталляции вам нужно задать информацию о временном поясе
сервера. Выводится экран, в котором вы можете выбрать нужный временной
пояс. После выбора пояса выводится меню со всей информации о временном
поясе. Поскольку эта информация касается в основном временных
зон США, мы не будем здесь подробно на этом останавливаться.
Задание зеркального отображения и дуплексирования
Чтобы задать зеркальное отображение или дуплексирование дисков,
следуйте одной и той же процедуре. Если диски подключаются к различным
контроллерам, вы можете дублировать их. В пункте Disk Partitions
and Mirroring Options выберите Mirror and unmirror disk partition
sets. Здесь мы предполагаем, что ваш диск и разделы аналогичны
тем, которые описывались в предыдущей главе (к двум контроллерам
диска присоединено по два дисковода). Вы увидите меню со списком
разделов:
+-------------------------------------+
¦ Available Disk Partition ¦
+-------------------------------------+
¦ ¦Mot Mirrored: Logical Partition #1 ¦
¦ ¦Mot Mirrored: Logical Partition #2 ¦
¦ ¦Mot Mirrored: Logical Partition #3 ¦
¦ ¦Mot Mirrored: Logical Partition #4 ¦
+-------------------------------------+
Раздел DOS здесь не перечисляется и отображаться не может. Предположим,
что разделы #1 и #2 связаны с первым контроллером диска, а разделы
#3 и #4 - со вторым контроллером. Вы будете отображать раздел
#3 в #1 и #4 в #2. Подсветите Partition #1 нажмите Enter. Вы увидите
следующий экран, указывающий, что раздел #1 синхронизирован (сам
с собой), но не отображается.
+----------------------------------------------------------+
¦ Mirrored NetWare Partitions ¦
+----------------------------------------------------------+
¦ ¦In Sync - NetWare partition 1 on Device #0 (21000) ¦
+----------------------------------------------------------+
Чтобы снова увидеть список разделов снова, нажмите клавишу Ins.
Это позволит вам выбрать дополнительное отображение разделов.
В этом списки выводятся только разделы того же или большего размера,
чем первый раздел.
Подсветите раздел на другом контроллере и нажмите Enter. Если
второй (дополнительный) раздел больше основного, вы увидите предупреждающее
сообщение. Чтобы продолжить и зеркально отобразить раздел, нажмите
Esc. Лишнее пространство на используемом для отображения диске
будет неиспользуемым.
INSTALL начинает синхронизацию двух разделов. Когда это будет
сделано, вы можете нажать клавишу Ins и отобразить другие разделы.
Для сохранения конфигурации и продолжения установки со следующего
шага нажмите F10.
Задание зеркального отображения и дублирования дисков
Зеркальное отображение и дублирование дисков обеспечивает избыточность
в системе дисковой памяти для защиты от аппаратных сбоев. Зеркально
отображаемые диски подключаются к одному тому же контроллеру,
в то время как дублируемые диски подключаются к разным контроллерам
и обеспечивают более высокий уровень защиты. Поэтому здесь будем
говорить о дублировании, а не о зеркальном отображении, так как
дублирование более оправдано с точки зрения затрат. Если у вас
установлена система RAID или SFT Level III, то можете игнорировать
инструкции по зеркальному отображению и дублированию.
Чтобы задать дублирование, установите для каждого диска или набора
дисков контроллер (как указывается в предыдущей главе). В зависимости
от интерфейса дисковода, вы можете подключить к каждому контроллеру
несколько дисков. Каждый диск разбивается на разделы индивидуально,
но разделы могут комбинироваться с другими разделами и образовывать
тома.
В каждом отображаемом или дублируемом наборе существует основной
диск и вспомогательный диск. Обычно разделы этих дисков совпадают.
NetWare настраивает размеры разделов таким образом, что они занимают
на диске одно и то же пространство. Например, основной диск обычно
содержит раздел DOS размером в 5 мегабайт. Если основной и вспомогательный
диски имеют одну и ту же модель, то 5 мегабайт дискового пространства
на вспомогательном диске не используется, так как NetWare настраивает
размер раздела таким образом, чтобы он соответствовал основному
диску.
Два контроллера с одним диском каждый. Пример такой конфигурации
показан на приведенном ниже рисунке. Первый контроллер и его диск
являются основными и представляются как логический раздел #1.
Это подразумевает, что раздел DOS это логический раздел #0, и
диск не содержит других разделов.
+-- Раздел DOS 0
-------- ¦
Основной -------- +-++---------+
контроллер --------------+ v¦ ^ ¦ Диск
-------- +--+---+-----+
-------- Раздел NetWare #1
--------
Вспомогательный-------- +------------+
дублируемый --------------+ ^ ¦ Диск
контроллер -------- +------+-----+
-------- Раздел NetWare #2
Два контроллера с двумя диском каждый. Пример такой конфигурации
можно видеть на следующем рисунке. Если на сервере установлены
два контроллера, и к каждому подключены два диска, то диски на
первом контроллере являются основными и представляются как логический
раздел #1 и логический раздел #2 (предполагается, что раздел DOS
- это логический раздел #0). Диски второго контроллера представляются
как логический раздел #3 и логический раздел #4. Вы можете зеркально
отобразить раздел #3 в раздел #1, и раздел #4 в раздел #2. Вы
можете также изменить этот порядок на обратный и отобразить раздел
#3 в раздел #2, а раздел #4 - в раздел #1.
+-- Раздел DOS 0
¦
+-++---------+
-------- +--+ v¦ ^ ¦ Диск
Основной -------- ¦ +--+---+-----+
контроллер -----------+ Раздел NetWare #1
-------- ¦ +------------+
-------- +--+ ¦ Диск
+------------+
Раздел NetWare #2
+-- Не используемое
¦ пространство
¦ (отображаемый раздел #0)
+-++---------+
-------- +--+ v¦ ^ ¦ Диск
Вспомогательный-------- ¦ +--+---+-----+
дублируемый -----------+ Раздел NetWare #3
контроллер -------- ¦ +------------+
-------- +--+ ¦ Диск
+------------+
Раздел NetWare #4
Нумерацию логических разделов определяет порядок загрузки драйверов
диска. Если вы хотите, чтобы логическим разделом #1 был конкретный
диск, при инталляции загрузите его драйвер первым.
Загружаемые модули NetWare - NLM
Загружаемые модули NetWare, NLM (NetWare Loadable Module), представляют
собой фундаментальную часть многих версий операционной системы
NetWare. Многие из предусмотренных в NetWare базовых средств имеют
вид NLM-модулей.
Один из способов улучшения эффективности в NetWare состоит организации
работы без вытеснения. Это означает, что приложения и сама операционная
система работают в большинстве случаев без возможности прерывания
их другими приложениями. Предполагается, что приложения правильно
используют системные ресурсы.
NetWare не заботит проблема организации очередей готовых к выполнению
процессов и обеспечения механизмов плавного перехода от одного
процесса к следующему. Эта операционную систему беспокоят следующие
вопросы:
Планирование.
Стеки протоколов передачи данных.
Управление памятью.
Доступ к файловой системе.
Блокировка файлов и записей.
Обработка протокола NCP (NetWare Core Protocol).
Функции маршрутизации.
Управление системным кешем.
Интерфейс с драйверами устройств.
Отслеживание транзакций.
Используя преимущества адресации процессоров 386 и 486 и многозадачные
возможности, NetWare работает также в защищенном режиме ЦП. В
защищенном режиме память адресуется как один непрерывный диапазон
адресов. Такая простая модель памяти делает управление памятью
и ее распределение более гибким и эффективным. Так как вся память
представляет собой один сегмент, отпадает необходимость переключаться
между сегментами памяти. Выделение частей памяти ограничивается
только объемом доступной памяти. При работе в реальной режиме
(в отличие от защищенного) единичное выделение памяти ограничивается
64К, так как сегмент имеет ограничение размера в 64К.
Другим преимуществом защищенного режима является возможность одновременного
запуска нескольких программ. Это часто называется многозадачностью.
В операционной среде NetWare каждая задача или процесс называется
"нитью", и NetWare использует все преимущества многозадачности,
допуская и даже поощряя мультинитевое программирование.
Однонитевый
модуль NLM найти очень трудно.
В своей выполняемой форме модуль NLM представляет собой файл,
загружаемый и выполняемый на NetWare-cервере операционной системой
NetWare. Он может называться также, как любой другой выполняемый
файл DOS, но имеет расширение .NLM, .DSK, .NAM или .LAN. NLM с
расширением .NLM обычно обеспечивает какое-то служебное средство
или представляет собой утилиту. Именно такой вид NLM чаще используется
при программировании. NLM с расширением .DSK это драйверы диска,
файлы .NAM - это NLM пространства имен, а файлы .LAN - это драйверы
сетевых интерфейсных плат. Исходный код NLM аналогичен любому
другому исходному коду на языке Си. Требуемые для NLM файлы включают
в себя:
PRELUDE.OBJ;
файл определений (.DEF);
Исходные файлы на языке Си.
Файл PRELUDE.OBJ компонуется с NLM и обеспечивает код инициализации
и стандартную функциональность ANSI Си. Здесь обрабатываются такие
вещи, как аргументы этапа выполнения и идентификация процедуры
main().
Файл определений для NLM представляет собой текстовый файл, используемый
для указания директив компиляции и компоновки и задания для NLM
некоторой описательной информации.
Так как операционная система NetWare не использует вытеснения
или выгрузки, то она не особенно беспокоится об отслеживании поведения
работающего в данный момент NLM. NetWare избавлена от непроизводительных
издержек на отслеживания того, какой модуль NLM в данный момент
работает, с каким приоритетом и как долго. Она отслеживает такие
моменты, но не за исключение экстренных случаев не налагает ограничений.
В большинстве случаев операционная система NetWare полагается
на то, что все NLM ведут себя правильно, и что они использую ЦП,
периодически освобождая его. Это позволяет самой NetWare работать
более эффективно.
Один из самых общих моментов, которые вы должны знать об NLM,
это то, что они работают вместе с операционной системой NetWare.
Это означает, что они в большинстве случает имеют доступ к той
же памяти и используют тот же ЦП. Вы можете выделить свой собственный
стек, распределить переменные и память. Можно также использовать
набор библиотек, предлагающих многие функции, которые вы можете
выполнять. С их помощью вы можете запрашивать информацию ли услуги
операционной системы NetWare.
Загрузка DOS и создание на сервере раздела DOS
Первым шагом при установке NetWare v.4 является загрузка на новом
сервере с диска Install NetWare v.4 и создание раздела DOS. Если
раздел не существует, программа INSTALL NetWare рекомендует создать
раздел в 5 мегабайт, но вы можете изменить эту установку. Если
раздел уже существует, вы можете сохранить его. Раздел DOS содержит
файл запуска NetWare SERVER.EXE и связанные с ним файлы. Этот
раздел должен быть небольшим (около 5 мегабайт), так что остальную
память на диске вы можете использовать для операционной системы
NetWare. Однако он должен иметь достаточным объем, чтобы кроме
файлов запуска сервера вместить все будущие файлы, которые может
потребоваться туда поместить.
Если вы уже имеете раздел DOS и хотите сохранить его, то перейдите
на установочную дискету NetWare (Install) и наберите INSTALL.
Загрузочный диск Install содержит DR DOS 6.0, и эта операционная
система используется для создания раздела DOS. Если вы хотите
создать и отформатировать раздел DOS с помощью MS-DOS, запустите
сервер с помощью загрузочного диска MD-DOS. Создайте раздел диска
с помощью FDISK (около 5 мегабайт). Отформатируйте раздел DOS
и скопируйте в него все файлы DOS, которые могут (как вы считаете)
потребоваться вам в будущем. Затем для выполнения обычной установки
NetWare переключитесь на гибкий диск, установите дискету NetWare
Install и наберите Install.
Загрузка драйверов локальной сети
После инсталляции драйверов диска, создания томов и разделов,
а также копирования файлов NetWare, вы можете выбрать драйверы
для сетевых интерфейсных плат сервера. INSTALL выводит список
общих сетевых интерфейсных плат. Если ваша плата в данном списке
отсутствует, то вы можете нажатием клавиши Ins загрузить драйвер
с дискеты.
Вы должны загрузить драйвер для каждой сетевой интерфейсной платы.
Программа INSTALL дифференцирует платы по их прерываниям и адресам
ввода-вывода. Подготовьте эти значения для ввода в меню установки
драйвера.
Ниже перечислены типы кадров Ethernet. Эти различия существуют
потому, что различные разработчики по-разному реализуют стандарт.
Рабочие станции должны использовать тот же стандарт, что и применяемый
в сети или поддерживаемый сервером.
Ethernet_802.2 - стандарт, используемый в NetWare по
умолчанию.
Ethernet_802.3 - альтернативный стандарт Ethernet.
Не используйте его в сети, где применяются протоколы, отличные
от IPX.
Ethernet_II - используется для связи с мини-ЭВМ DEC.
Применяется также в сетях с TCP/IP или AppleTalk Phase I.
Ethernet_SNAP - стандарт кадра IEEE 802.2 с добавленным
к заголовку расширением для поддержки AppleTalk Phase II.
Программа INSTALL связывает протокол IPX с драйвером локальной
сети. К конце инсталляции INSTALL дает вам возможность связать
с драйверами другие протоколы, такие как TCP/IP.
Загрузка утилиты MONITOR
Чтобы загрузить модуль MONITOR с консоли файлового сервера или
с рабочей станции, наберите следующую команду:
LOAD маршрут\MONITOR параметры
где "маршрут" - это маршрут файла MONITOR.NLM (если
он находится не в каталоге SYS:SYSTEM). Параметрами могут быть:
| Параметр | Действие |
| ns (нет сохранения) | Отключает сохранение экрана. |
| nh (нет справки) | Позволяет сэкономить память, если вам не нужны справочные функции. |
Загрузка VREPAIR
В большинстве случаев монтировать том, который требует обработки
утилитой VREPAIR, не требуется. Однако, если сервер работает,
для отключения тома, на котором возникли проблемы, дайте команду:
DISMOUNT том
Если демонтируется том SYS, то запускать VREPAIR нужно из раздела
DOS. Запустите сервер командой SERVER, затем, чтобы задать для
VREPAIR маршрут поиска, наберите следующую команду:
SEARCH ADD C:\DOS
Перед выполнение VREPAIR нужно отменить дублирование (зеркальное
отображение) дисков.
Затем наберите команду загрузки:
LOAD VREPAIR
В данной главе вы познакомились
В данной главе вы познакомились с тем, что представляет собой
схема каталога, и как она используется. Здесь поясняется работа
с разделами, так что вы должны получить хорошее представление
об их природе и важности.
Познакомившись со средствами защиты и управления доступом к DIB,
вы можете более смело применять эти средства в своих NLM-приложениях.
Для программистов предусмотрен полный набор API, облегчающий программирование
службы каталогов NetWare 4.0.
Здесь поясняется, что такое контекст каталога. Это позволяет понять,
почему так важно уметь с ним работать. Мы рассказали о том, как
можно обращаться к DIB и управлять ей. Это включает в себя применение
к объекту защиты и уровней атрибутов, а также задание эквивалентов
защиты. Описываются методы и требования доступа к схеме.
В этой главе мы познакомили вас с наиболее ценным для изучения
инструментальным средством. Использование программы DSSCRIPT существенно
поможет вам в совершенствовании своих навыков программирования
с использованием службы каталога NetWare 4.0.
[]
[]
[]
Замечания по механизму пространства имен NetWare
Механизму пространства имен (пространству имен, потокам данных
и расширенным атрибутам) разработчики уделяли до сих пор достаточно
мало внимания. Когда доступ к конкретному пространству имен требуется
значительному числу разработчиком, Novell разрабатывает для этих
пространств имен специальные API, предоставив им полную поддержку.
Однако, в ближайшем будущем пространству имен, потокам данных
и расширенным атрибутам разработчики будут уделять все больше
внимание. Это связано с появлением в NetWare 4.0 некоторых новых
интерфейсов. Интерфейс файлового монитора, интерфейс переноса
данных и инсталлируемый монитор файловой системы требует от разработчиков
понимания механизма пространства имен.
В случае API устанавливаемой файловой системы и переноса данных
разработчики также должны иметь доступ к специальной документации,
которая не является общедоступной, включая Media Manager, и многим
внутренним структурам данных файловой системы. Novell указывает,
что она собирается выпустить документацию по этим элементам в
ближайшем будущем. Когда это произойдет, программирование пространств
имен станет частью стандартных инструментальных средств, необходимых
для эффективного программирования.
Запрещение и разрешение регистрации пользователей
Чтобы предотвратить регистрацию пользователей на сервере, используйте
команду консоли DISABLE LOGIN. Эту команду полезно применять,
когда сервер нуждается в обслуживании. Чтобы вновь разрешить регистрацию
пользователей, наберите команду ENABLE LOGIN.
Запуск процесса восстановления
После выбора одного из параметров вернитесь в основное меню и
выберите параметр 1 (Repair Volume из меню Options). Если смонтировано
несколько томов, выберите том для восстановления. Чтобы изменить
текущие параметр VREPAIR, вы можете в любое время нажать F1.
Работа VREPAIR
VREPAIR в попытке восстановить том делает несколько проходов.
Каждый проход основан на информации, накопленной во время предыдущих
проходов. VREPAIR проверяет сначала блоки FAT, затем подсчитывает
блоки каталогов, и наконец проверяет записи FAT. VREPAIR прекращает
работу, если не может определить допустимые записи FAT и DET.
В этом случае придется восстановить том с резервной копии.
Проверка блоков FAT
Если вы помните, существует две копии FAT. VREPAIR сравнивает
их, чтобы определить различия. Информация во второй копии FAT
используется, если эта копия не имеет ошибок или содержит меньше
ошибок, чем основная FAT. Если VREPAIR не может восстановить запорченную
FAT с помощью вспомогательной FAT, то выводится сообщение об ошибке,
указывающей на невозможность восстановление тома. В этом случае
его нужно восстановить с резервной копии. Если сравнение прошло
успешно, то VREPAIR проверяет таблицу DET.
Ошибка несоответствия отображаемых дисков
Если выводится "Error Mismatch>", то VREPAIR проверяет
соответствие основной и вспомогательной таблиц каталогов. В случае
несоответствия для восстановления используется наиболее допустимая
запись. В некоторых случаях для определения наиболее допустимой
записи DET VREPAIR используют информацию из модуля поддержки пространства
имен. После завершения данного шага таблицы будут в основном соответствовать
друг другу. Однако данный процесс несовершенен. Могут существовать
записи, которые невозможно перестроить, и какие-то файлы могут
потеряться. Эти файлы нужно будет восстановить из архива.
Проверка каталогов
При выполнении этого шага на экран выводится "Directories>".
VREPAIR проверяет допустимость записей DET.
Это записи каталогов
и подкаталогов для тома. Проверяются имя, атрибуты, начальный
блок и другая информация. Недопустимые записи по возможности исправляются,
а все записи, которые исправить нельзя, освобождаются и могут
позднее использоваться. Для проверки допустимости записей пространства
имен вызываются модули поддержки пространства имен. Важно, чтобы
модуль поддержки пространства имен находился на том же диске,
что и VREPAIR.NLM.
Проверка файлов
При выполнении этой фазы на экран выводится "Files>".
VREPAIR проверяет файловые записи таблицы DET. Проверяется цепочка
записей FAT, а также имена и атрибуты файлов. Несоответствия по
возможности корректируются. Цепочки связей проверяются по вспомогательной
копии FAT. В тех случаях, когда VREPAIR не может найти в основной
и вспомогательной FAT следующее звено цепочки, файл усекается.
В этом случае его потребуется восстановить из архива или резервной
копии. Для проверки записей в областях пространства имен вызываются
модули поддержки пространства имен. Если пространство имен удалено,
то выводятся сообщения "invalid name space".
Проверка полномочий
При выполнении данной файлы на экран выводится "Trustees>".
Операционная система NetWare сохраняет первые 8 назначений уполномоченных
объектов в самой файловой записи, а дополнительные записи сохраняются
в специальных таблицах tnode. VREPAIR обеспечивает допустимость
структуры tnode. В допустимой структуре файл указывает на таблицу
tnode, которая сама указывает на другую таблицу tnode (если она
существует) и т.д. Последний узел tnode должен указывать на файл.
Проверка удаленных файлов
Во время этой фазы на экран выводится "Deleted Files>".
Если вы помните, удаленные файлы на самом деле не удаляются с
диска, пока вы их не уничтожите. NetWare создает специальный список
удаленных файлов, содержащий информацию о расположении этих файлов.
Во время этой файлы VREPAIR просто проверяет допустимость удаленных
файлов.
Проверка недопустимых записей
Во время выполнения этой фазы на экране выводится "Invelid
Entries>". Когда на томе NeWare хранятся отличные от DOS
файлы, для этого используется запись в пространстве имен DOS,
которая указывает на другое пространство имен. Эти связи могут
стать недопустимыми. В этом случае на данной фазе VREPAIR пытается
их восстановить. Если VREPAIR не может исправить эти связи, то
они становятся допустимыми только для пространства имен DOS, а
связи с другим пространством имен теряются. Если вы сохраните
информацию VREPAIR в файле, то получите список, который можно
использовать для восстановления этих файлов из архива.
Проверка свободных блоков
При выполнении это фазы на экран выводится "Free Blocks>".
VREPAIR просто находит определенные в таблицах FAT и DET пустые
блоки и делает эти блоки доступными для использования в других
файлах.
Запуск удаленной консоли из AUTOEXEC.NCF
Любую из команд, перечисленных в предыдущих разделах, вы можете
включить в файл AUTOEXEC.NCF, но в целях защиты нужно предусмотреть
пароль. Пароль заменяется в файле кодированным ключевым словом.
Выполните описанную ниже процедуру (предполагается, что на сервере
вы уже загрузили REMOTE.NLM):
Для кодирования пароля наберите следующую команду:
REMOTE ENCRYPT
Наберите пароль, который вы хотите использовать для запуска
сеанса удаленной консоли.
На консоли выводится кодированное ключевое слово. Запишите
его.
Отредактируйте файл AUTOEXEC.NCF с помощью EDIT.NLM. Для загрузки
REMOTE.NLM добавьте файл следующую строку, подставив записанное
на предыдущем шаге ключевое слово:
LOAD REMOTE -E ключевое_слово
Защита доступа к DIB
Защита доступа к DIB определяет, кто может обращаться к информации
каталога, и в какой степени он может влиять на данные. Ваша возможность
добавлять объекты, считывать их и т.д. зависит от предоставленных
вам полномочий (привилегий). Вы можете обращаться к таким типам
данных как объекты, атрибуты и значения.
Тем, кто уже работал с базой объектов Bindery, полномочия доступа
могут быть знакомы. Bindery имеет пять уровней защиты: Attached,
Logged in, Object, Supervisor и Bindery. Эти уровни реализуют
полезную и простую системы защиты Bindery.
Защита доступа DIB служит тем же целям, но она гораздо более гибкая
и ориентированная на объекты, чем защита, реализованная для Bindery.
Она значительно более мощная и позволяет вам управлять доступом
практически любым нужным вам способом. Если вы знакомы с тем,
как в NetWare 4.0 реализована защита файловой системы, вам не
следует беспокоиться об изучении наследования полномочий доступа
к DIB. Нужно только не забывать о разделении двух типов защиты.
Защита каталога предназначена для ограничения доступа к каталогу,
а защита файловой системы - для ограничения доступа к файлам.
Bindery организует доступ по уровням защиты. Неважно, к какому
объекты вы пытаетесь обратиться, важно только, что этот объект
имеет определенный уровень защиты. Защита Bindery достаточно эффективна,
но она не такая гибкая как защита DIB. С помощью каталога отдельной
группе пользователей можно предоставить полномочия доступа к объектам,
отдельным атрибутам объекта или всем атрибутам.
Полномочия доступа DIB, допускающие обращение к объектам, отличны
от тек, которые допускают обращение к атрибутам. Для объектов
это следующие полномочия:
Просмотр (Browse)
Добавление (Add)
Удаление (Delete)
Переименование (Rename)
Супервизор (Supervisor)
а для атрибутов:
Сравнение (Compare)
Чтение (Read)
Запись (Write)
Сам (Self)
Супервизор (Supervisor)
Есть четыре способа получить любое из этих полномочий или их все:
с помощью прямого назначения, путем наследования от родителей
в дереве, из эквивалентных присваиваний полномочий и по членству
в группе (Group Membership). Существует процесс фильтрации, который
применяется к каждому из этих типов назначений для конкретного
объекта. Давайте познакомимся с каждым из них поближе.
Назовем в нашем обсуждении те объекты, которым присваиваются полномочия
доступа, субъектами. Субъект - это то, чему (или кому) дается
право на действие, и часто это объект пользователя, объект сервера
или объект группы, однако этом может быть любой объект в дереве.
Целью является то, над чем этот субъект выполняет действия. Целью
может быть заданный объект, конкретный атрибут объекта или все
его атрибуты. Полномочия доступа назначаются с помощью атрибута
целевого объекта, который называется списком управления доступом
- ACL (Access Control List). ACL содержит список назначений полномочий
доступа.
Прямое присваивание полномочий происходит, когда субъект специфицированный
по имени и цели, идентифицируется явным образом. Эти прямые присваивания
записываются в списки ACL. Прямое присваивание полномочий заменяет
другие полномочия, которые могут наследоваться или получаться
в противном случае. Если вы хотите быть уверенными, что субъект
имеет определенные права, то можете назначить их с помощью прямого
присваивания полномочий, которые требуются в ACL того объекта,
к которому требуется обращаться. Не включенные в эти присваивания
полномочия не разрешаются (блокируются).
Полномочия наследуются на основе структуры дерева каталога. Подчиненные
объекты наследуют привилегии, которые даны их родительским объектам.
На основе их взаимосвязей в древовидной структуре они используют
полномочия, предоставленные родительским объектам (независимо
от того, насколько удаленными они являются). Предположим, например,
что подчиненными объектами в дереве объектов Novell являются Olga
и Julia. Если мы предоставляем полномочия Novell, то Olga и Julia
также будут иметь эти полномочия. Как это работает, показано на
Рис. 3.2.
+----------------+
¦ Popurri ¦
+-----+-----+----+
+-----------+ +----------+
+--------+-------+ +--------+-------+
¦ Researching ¦ ¦ Marketing ¦
+--------+-------+ +-----+-----+----+
+-------+ +-----------+ +---+
+--------+-------+ +--------+-------+ +--------+-------+
¦ Olga ¦ ¦ Julia ¦ ¦ Kirill ¦
+----------------+ +----------------+ +----------------+
Access Control List =
права чтения Popurri
Olga и Kirill могут считывать атрибуты Julia
Некоторые типы объектов имеют атрибут равной защиты, который указывает,
что в смысле полномочий доступа один объект равен другому (или
другим). Таким образом, объект получит все назначения полномочий,
присвоенный тому объекту, к которому он приравнен. Аналогично,
объект получает все полномочия той группы, членом которой он является.
Если объект Dina равен по защите объекту Lina, которому присвоены
полномочия на Printserver, Dina имеет на Printserver те же полномочия,
что и Lina.
Присваивание всех этих полномочий различным субъектам выполняется
не только алгоритмом вычисления полномочий для данной цели. При
отсутствии некоторого метода присваивания полномочий по умолчанию
каждому объекту в дереве потребовались бы иметь конкретные присваивания
для каждого намеченного объекта. Вместо явных присваиваний для
каждого объекта в дереве лучше полагаться на привилегии, присвоенные
выше по дереву и допустить избирательное их ограничение.
Процесс ограничения полномочий, присвоенный в дереве на более
высоком уровне называется маскированием и реализуется через специальную
запись в ACL - маску наследования (IM). Каждому объекту можно
IM, которая будет использоваться в вычислении действующих полномочий.
IM действует как фильтр, предотвращая назначения выбранных привилегий
объекту на более низком уровне в дереве. Субъект может иметь полномочия
доступа к заданной цели, даже если ему для этого не присвоены
явные полномочия. Если субъекту даются полномочия доступа к объекту,
который является родительским для целевого объекта, то субъект
будет иметь те же полномочия доступа к цели, если фильтры IM не
запрещают некоторые из них. При фильтрации будет разрешен установленный
флаг полномочий IM.
Метод присваивания полномочий доступа предусматривает указание
имени защищенного атрибута и предоставляемых полномочий. Эти три
элемента образуют запись в списке ACL. Записи в ACL объекта ограничивают
доступ к этому объекту и атрибутам этого объекта и подчиненных
объектов.
Именем защищенного атрибута должно быть конкретное имя атрибута
или [Entry Rights], [All Attributes Rights], либо [SMS Rights].
Если используется [Entry Rights], то полномочия будут влиять на
объект и все подчиненные ему объекты. Если используется [All Attributes
Rights], то полномочия влияют на все атрибуты объекта и атрибуты
подчиненных ему объектов. При использовании [CMS Rights] полномочия
влияют на объект, все атрибуты объекта, а также на подчиненные
объекты и атрибуты подчиненных объектов. Если используется имя
конкретного атрибута, то затрагивается конкретный атрибут.
Записи ACL можно использовать для ограничения тех полномочий,
которые могут наследоваться. Это делается с помощью задания в
качестве имени субъекта маски наследования [Inheritance Mask].
В качестве имени субъекта могут использоваться и другие значения.
Эти значения применяют полномочия к определенным объектам, но
не именуют объекты конкретно. Возможные значения: [Public] - для
всех объектов, [Root] - для корня дерева каталога, [Creator] для
создателя объекта и [Self] - для самого объекта. После создания
объекта полномочия [Creator] и [Self] вы присваивать не можете.
Эти назначения возможны только при добавлении объекта к дереву
каталога.
К счастью, пошаговый процесс определения действующих полномочий
для данного субъекта может выполняться службой каталога. Если
вам нужно знать какие у вас действующие права, вы можете использовать
функцию API NWDSGetEffectiveRights для получения прав уровня объекта
и NWDSListAttrsEffectiveRights для получения действующих полномочий
для всех атрибутов объекта.
Защита доступа к Directory Information Base
Возможность доступа к объектам базы данных DIB (Directory Information
Base) и ее атрибутам непосредственно зависит от полномочий, предоставленных
каждому конкретному объекту. Для реализации и изменения средств
защиты, достаточных для стоящей перед вами задачи, можно использовать
Directory Access Services.
Защита и блокировка консоли файлового сервера
Вы можете защитить и блокировать консоль файлового сервера, чтобы
предотвратить доступ к серверу неуполномоченных пользователей.
Если сервер заблокирован, для получения доступа требуется пароль.
Защита консоли
Защитить консоль можно дав в ответ на подсказку консоли команду
SECURE CONSOLE. При этом реализуются следующие меры защиты:
NLM-модули не могут загружаться ни из какого каталога, кроме
SYS:SYSTEM.
Запрещается ввод в отладчике с клавиатуры.
Невозможно изменить дату и время.
Эта команда также удаляет из памяти сервера DOS, так что
сервер после команды выхода (EXIT) перезагружается.
Блокировка консоли с помощью утилиты MONITOR
Чтобы заблокировать консоль с помощью утилиты MONITOR, запустите
ее с помощью следующей команды:
LOAD маршрут\MONITOR
Когда выведется меню Available Options, выберите Lock File Server
Console. Наберите пароль, с помощью которого снова можно будет
получить доступ к консоли. (Чтобы вновь получить доступ к консоли,
просто наберите на ней пароль.)
Защита NFS Gateway
NFS Gateway использует средства защиты и NetWare, и Unix. Для
доступа к NetWare-серверу и отображения тома, соответствующего
файловой системе NFS, пользователь должен иметь пароль. Поскольку
файловые системы Unix отображаются на NetWare-cервере в виде различных
томов, то маловероятно, что пользователь увидит интересующее его
имя каталога и начнет "шарить" вокруг.
Чтобы отобразить под NetWare новый диск на том, пользователь должен
задать в самой команде MAP имя тома. Единственной ссылкой на этот
том будет вывод содержимого томов командой VOLINFO. В некоторых
сетях, где вопросы защиты имеют особое значение, многие подобные
VOLINFO утилиты Novell скрыты от пользователей. Описание возможностей
защиты NFS Gateway дается в инструкциях по установке.
На следующем рисунке показано отображение диска NetWare-клиентом
через том NetWare на хост-систему Unix. Фактически, расширение
средств защиты и упрощение управления этой защитой уже много лет
стоит в списке улучшений NFS. Сегодняшнее отношение можно часто
сформулировать так: "Вот вам файловая система, и будьте довольны!"
Это плохо соответствует хорошим процедурам защиты.
+----------+
¦+--------+¦
¦¦ ¦¦ -¦ SYS: ¦--- ¦
¦ ---+----------------+--- ¦
¦ DRIVE G:=Server-Name\SPARC2:---+----------------+--- ¦
¦ +----------------------------->-¦ SPARC2 ¦------
¦ ¦ ---+----------------+---
¦ ¦DRIVE H:=Server-Name\ALTOS: --------------------+---
¦ ¦ +--------------------------->-¦ ALTOS ¦-----+
¦ ¦ ¦ ---+-------------------- ¦
+---------+ ---+----------------+--- ¦
¦+-------+¦ ---¦ ¦--- ¦
¦¦ ¦¦ ---+----------------+--- ¦
¦¦ ¦¦ ------------------------ ¦
¦+-------+¦ ------Диск NetWare------ ¦
+--+---+--+ ---представляет тома---- ¦
+------+---+-------+ ---через NFS Gateway---- ¦
¦ - +--+ +--+¦ ------------------------ ¦
¦ +--+ +--+¦ ------------------------ ¦
+------------------+ +------+ ¦
NetWare-клиент ¦ +--+ ¦ +---------+ ¦
¦ +--+ ¦ ¦+-------+¦ ¦
¦ +--+ ¦ ¦¦ ¦¦ ¦
¦ +--+ ¦ ¦¦ ¦¦ <------------------
¦ ---- ¦ ¦+-------+¦
¦ ---- ¦ +--+---+--+
¦ ---- ¦+----+---+-----+
+------++--------------+
ALTOS
Другие пользователей NFS, как клиентов, так и серверов, это отношение
вполне удовлетворяет. Каждого из них заботит доступность информации,
пользователи же Unix будут знать, что должно, а что не должно
быть общедоступным в файловой системе Unix.
NFS Gateway управляет доступом пользователей PC к хост-системам
NFS. Вы можете определить, какие файловые системы должны быть
доступны, а какие нет. Вы можете обеспечить доступ к подкаталогам
официально экспортируемой точки монтирования на NFS-сервере и
держать несведущих в Unix пользователей подальше от системных
файлов. Это хорошая защита от добропорядочного, но неловкого гостя
системы Unix.
Защита NFS Server
Администраторы NetWare должны учитывать следующий важный факт:
NFS-клиенты на NetWare-cервере не регистрируются. Для этих NFS-клиентов
отсутствует управление, отслеживание и обслуживание. Фактически,
не обращаясь к экрану NFSADMIN, вы не можете знать, сколько NFS-клиентов
смонтировали файловую систему сервера. Команда USERLIST на NetWare-клиенте
здесь не поможет.
Если для NFS-сервера (как части NetWare-cервера) важное значение
имеют вопросы защиты, то нужно допускать только тех NFS-клиентов,
которые могут также работать с системой путем регистрации через
NetWare. Не следует разрешать групповой доступ, права доступа
следует назначать индивидуально.
Для этих индивидуальных пользователей для создания учетных записей
пользователя используйте обычные средства в рамках NFSADMIN. Специальный
пароль, который NFSADMIN присваивает NFS-клиентам, не позволит
им получить доступ к остальной части NetWare-сервера. Чтобы получить
к ней доступ, этим пользователям должен быть присвоен пароль утилитой
SYSCON. Пароль NFS можно для этого модифицировать или заменить.
Повторим наиболее важные момент: после монтирования файловой системы
NetWare-сервера реальная защита NFS отсутствует. NFS-клиент Unix
чаше всего является основным для одного или более других пользователей,
которые не связаны непосредственно с защитой NetWare. Любой клиент
NFS-сервера может получить доступа к серверу NetWare. Если важны
вопросы защиты, следует внимательно назначать полномочия доступа
клиентов. Защита NFS допускает большую свободу доступа, чем NetWare;
при защите системы не следует рассчитывать на помощь NFS.
Защита Novix
Спускаясь далее по меню NVCONFIG к экрану Host Service Definition,
вы можете в целях защиты задать поле Accessible via Novell User
Group, определяющее группы имеющих доступ пользователей. Переместив
подсветку на это поле и нажав клавишу Enter, вы получите список
выбора из всех определенных в групп NetWare. В этом нет ничего
магического - это жесткая интеграция в систему Novell Bindery.
Нажав на нужной группе Enter, вы измените список групп, которым
разрешен доступ к конкретному сеансу хост-системы, определенному
в экране Host Service Definition. Каждая определенная хост-система
может поддерживать группу, отличную от группы другой определенной
хост-системы. Более того, различные группы может поддерживать
каждое средство каждой хост-системы (например, Telnet или FTP).
Управление защитой для каждого отдельного пользователя и каждой
рабочей станции-адресата происходит точно также. Вы можете определить
до 200 описаний пользователей, рабочих станций или групп. Поскольку
попытка спонтанного формирования большого числа пользователей
легко может приводить к ошибках, здесь полезно воcпользоваться
планированием.
Используйте одно из основных правил NetWare: старайтесь избегать
детализации планирования до уровня пользователя. В NetWare администратору
удобно задать и использовать группы, число пользователей же слишком
велико и часто меняется. Хотя возможность Novix управлять защитой
вплоть до уровня пользователя и неплохое средство, злоупотреблять
им не стоит.
Если вам нужно полностью исключить нескольких пользователей из
сетевого интерфейса Novix, это можно сделать, не прибегая к созданию
гигантских TCP-групп для каждого работающего в сети. Создайте
группу NetWare с именем Barred и перечислите в качестве ее членов
тех пользователей, которые не должны иметь доступа к сетевому
интерфейсу TCP/IP. В поле Accessible via Novell User Group экрана
Host Definition укажите группу Barred. При этом Novix будет предотвращать
доступ к сетевому интерфейсу всех членов этой группы.
Так как Novix при его использовании обращается с запросами к NetWare
Bindery, установленные внутри NetWare профили защиты будут действовать
и в Novix. Уровень интеграции защиты Novix и NetWare выше, чем
у любых других существующих на сегодня продуктов.
Защита от кражи
Так как файловый сервер часто содержит ценные данные, его нужно
защитить от кражи. Хотя важное значение имеет архивизация данных,
сам сервер также необходимо защищать, так как он обеспечивает
средства доступа к данным:
Прикрепите шасси сервера к столу и заприте корпус. Это предотвратит
извлечение жесткого диска, который легко можно вынести из здания.
Заприте сервер в защитном корпусе с нужной системой охлаждения,
предотвращающей перегрев сервера.
Поместите сервер и соответствующее оборудование в стенную
нишу, где проходит сетевой кабель, и заприте ее. Обеспечьте соответствующее
охлаждение/вентиляцию.
Создайте центр данных, для входа в помещение которого требуется
предъявить идентификационную карту или отпечаток пальца.
Разместите сервер в центральном обслуживающем центре, где
круглые сутки присутствует персонал.
Ваши сотрудники должны быть проверены, быть компетентными
и знать процедуры защиты.
Защита от пожара и стихийных бедствий
Защита ценного оборудования от пожара имеет очень важное значение.
Размещать оборудование нужно в помещении, которое имеет систему
защиты от пожара. Такие системы уже имеют многие организации,
а кабель прокладывается в огнеупорном коробе.
Иногда необходимо предусмотреть и защиту от таких стихийных бедствий,
как землетрясение и наводнение (если наводнение вам не грозит,
то всегда есть опасность прорыва водопроводной или отопительной
сети). Можно также предусмотреть резервные генераторы питания
на случай выхода из строя электросети.
Защита от сбоев питания
Нельзя полагаться на надежность электросети. Следует предусмотреть
различные способы защиты от проблем с электропитанием. Подробнее
мы рассмотрим эти вопросы ниже.
Защита от вирусов
Компьютерные вирусы могут нанести большой ущерб вашей сети. Особенно
это важно учитывать, когда пользователи работают в локальных сетях,
расположенных далеко от тома или в дороге на портативных компьютерах.
Вирусы могут переноситься через электронные "доски объявлений",
общедоступные утилиты и демонстрационные диски. Поэтому важно
иметь и использовать обнаруживающее компьютерные вирусы программное
обеспечение, иначе можно поплатиться потерей программ и данных.
Вирусы можно иногда обнаружить даже в программном обеспечении,
которое поставляется в виде готовых пакетов. При установке любого
программного обеспечения и обновлении программ в системе нужно
делать проверку на вирусы. Чтобы предотвратить доступ пользователей
к выполняемым файлам в программных каталогах, можно использовать
полномочия доступа. Сейчас существует множество антивирусных программ,
а некоторые программные пакеты имеют встроенные средства защиты
от вирусов. Для защиты серверов NetWare от известных и неизвестных
вирусов можно использовать Untouchable Network NLM фирмы Fifth
Generation System. Это средство использует идентификационный процесс,
который позволяет распознать даже вирусы, которые изменяются при
выполнении (так называемые самомодифицирующиеся или мутирующие
вирусы). Кроме того, это позволяет регулярно выполнять проверку
на вирусы путем отслеживания изменений в выполняемых файлах. Для
самой себя и своей базы данных эта программа создает специальный
защищенный раздел диска.
Мутирующие вирусы - наиболее опасный и труднораспознаваемый тип
вирусов. Генератор мутаций впервые появился в вирусе, получившим
условное название Pogue. Сам вирус может быть резидентным или
нерезидентным и поражать только файлы .EXE или .COM, или те и
другие. Что же представляет собой генератор мутаций? Обычный вирус
имеет всегда один и тот же код, благодаря чему из этого кода можно
выделить характерный фрагмент - маску вируса, после чего по наличию
этой маски определять пораженные файлы и исправлять их.
Именно
так и работали антивирусные программы.
Однако потом появились шифрованные вирусы, которые искать по маске
стало невозможно. Два экземпляра одного вируса, зашифрованные
с разными ключами, не будут иметь практически ни одного совпадающего
байта (кроме шифрующего фрагмента). Такой вирус можно найти только
по расшифровщику, что очень затруднилось с появлением очень коротких
расшифровщиков и расшифровщиков, состоящих из разных команд. Однако
и здесь можно выделять отдельные биты.
В генераторе мутаций идея постоянного изменения расшифровщика
доведена до совершенства. Если в прежних расшифровщиках могли
встречаться два десятка различных команд, то генератор мутаций
использует более половины всех команд процессора. Длина генерируемого
расшифровщика - от 0 до 512 байт.
Расшифровщик расшифровывает вирус, который копирует свой код в
оперативную память. Бороться с мутирующими вирусами очень тяжело.
Антивирусная программа, которая определяет и исправляет файлы,
пораженные мутирующим вирусом, пытается найти в файле расшифровщик,
а затем расшифровывает тело вируса и записывает его в специальный
массив. Такая процедура требует большого объема вычислений и выполняется
медленно. Когда пораженных программ много, "лечение"
может занять несколько часов.
До последнего времени против компьютерных вирусов применялись
в основном программные средства. Однако стали появляется и аппаратные.
Например, существует специальная антивирусная плата Thunderbyte
(главный дистрибьютор этих плат - фирма NOVIX). Основное преимущество
антивирусных аппаратных средств в том, что в отличие от программ
антивирусов они начинают работать еще до загрузки операционной
системы, а следовательно, способны отслеживать и обезвреживать
в момент активизации даже загрузочные вирусы. Антивирусная программа
Thunderbyte записана в СППЗУ и не может быть модифицирована. Она
загружается в качестве расширения BIOS до других программ и занимает
1К ОЗУ. Плата устанавливается в восьмибитовый разъем шины ISA,
EISA или MCA и постоянно следит за специфической активностью,
характерной для компьютерных вирусов.
Защита от злоумышленников
Для получения доступа к сети злоумышленники могут использовать
различные методы. Предотвратить доступ таких лиц к локальной сети
можно с помощью регистрации пользователей и обеспечения их выхода
из сети. Вы можете установить регистрацию пользователя только
на определенной рабочей станции и в определенное время. Если злоумышленник
получи доступ к сети на уровне супервизора, то он может создать
другую учетную запись, а затем стереть ее, изменив регистрируемую
в систему информацию. Возможные "бреши" в защите позволяют
выявить аудиторские средства NetWare (о них будет рассказываться
в другой главе).
Другую угрозу представляет неуполномоченный доступ пользователей
с удаленных рабочих станций, но система с обратным вызовом может
обеспечить защиту от таких злоумышленников. Когда пользователи
выполняют подключение по номеру с удаленной рабочей станции, система
"вешает трубку" и в свою очередь проверяет номер абонента.
Однако, такое средство обратного вызова не может использоваться
для защиты удаленной локальной сети или постоянно подключенной
системы. Вы должны предотвратить раскрытие злоумышленниками паролей
и перекрыть все обходные методы вхождения в сеть.
Защита сервера
В ответ на подсказку наберите на консоли сервера следующую команду:
SECURE CONSOLE
Эта команда не полностью блокирует консоль: вы все равно можете
выгружать и загружать NLM. Однако эта команда обеспечивает следующие
меры защиты:
NLM-модули могут загружаться только в том случае, если они
находятся в каталоге SYS:SYSTEM. Это предотвращает загрузку злоумышленником
NLM-модуля, который может вывести из строя сервер или получить
доступ к секретной информации. Если SECURE CONSOLE не выполнена,
то кто-нибудь может загрузить NLM с дискеты, с тома на сервере,
к которому он имеет доступ, или с дисковода рабочей станции, если
работает программа RCONSOLE.
Предотвращает доступ к системному отладчику, который злоумышленники
могут использовать для просмотра данных сервера.
Обеспечивается защита учетной системы и целостности, поэтому
злоумышленники не могут изменить дату и время. Этим обеспечивается
также невозможность изменения даты и времени пользователями, которые
хотят обойти ограничения на время регистрации. Дату и время могут
изменять только пользователи с полномочиями оператора консоли.
DOS удаляется из памяти, и она становится доступной для процессов
NetWare.
Если удалить DOS из памяти, то злоумышленник не может вернуться
в DOS и загрузить программу, которая может получить доступ к секретным
данным сервера. Если на консоли набрать команду DOWN, то сервер
перезагружается, так как DOS в памяти нет. Чтобы предотвратить
загрузку злоумышленником DOS с дискеты, нужно задать также пароль.
Защита сети и ее данных
Наиболее важной частью вашей сети являются данные и устройства
их хранения. Все другое можно заменить. Вы можете заменить аппаратуру
сервера, но не сможете снова запустить сеть, если у вас нет резервных
копий данных. Кроме того, время простоя сети может обойтись в
круглую сумму. Иногда возникает необходимость в NetWare SFT Level
III (о чем мы уже говорили и будем говорить ниже). Следующие разделы
описывают шаги, которые необходимо предпринять для защиты дорогостоящего
оборудования и предотвращения потери данных.
Завершение работы VREPAIR
После завершения работы VREPAIR на экран выводится число исправлений
в FAT и каталоге. Чтобы записать эти исправления на диск, выберите
Yes и для возврата в меню Options нажмите любую клавишу. Для выхода
из VREPAIR наберите 0. Если том смонтировать невозможно, вы можете
снова запустить VREPAIR, выбрав другие параметры (см. выше). Если
VREPAIR не может исправить том, то вы должны удалить его, а затем
с помощью INSTALL создать заново и восстановить данные из архива
или с резервной копии.
Жесткие диски
Возможно совместно использовать на разных платформах память на
жестких дисках является менее общей, чем использование принтеров,
но более важной. Еще несколько лет назад мегабайт пространства
на диске в системе среднего размера почти всегда стоил в пять
или более раз дороже, чем тот же мегабайт на жестком диске PC.
С ростом емкости дисков для PC и NetWare-серверов цена мегабайта
сегодня для них еще ниже.
Эта тенценция падения стоимости дисков может затронуть также мир
Unix. Поскольку многие производители дисков используют на разных
системах одинаковые физические диски, общая стоимость PC положительно
отразится на ценах средних систем.
Многие системы Unix работают сегодня точно также, как файловый
NetWare-сервер PC. Это также помогает выровнять цену фактического
дискового оборудования.
Хотя все это так, но верно также, что открытое дисковое пространство
никогда не находится там, где нужно и когда нужно. С в мире PC
доли программ, требующих много места на диске, таких как новые
графические интерфейсы и реляционные базы данных масштаба предприятия,
доступные мегабайты всегда будут приветствоваться.
Совместно-используемое пространство на диске можно реализовать
таким образом, что пользователь не будет знать о том, что происходит.
Скопировав важные файлы на другие платформы и операционные системы
в сети, вы обеспечите целостность данных. Это обеспечивает надежность
хранения файлов, сохраняя их доступность.
Журнал ошибок
Сообщения об ошибках сервера сохраняются в файле, который называется
SYS$LOG.ERR и записывается в каталоге SYS:SYSTEM. Просмотреть
этот файл можно с помощью текстового редактора. Чтобы просмотреть
его с помощью EDIT.NLM, наберите следующую команду:
LOAD EDIT SYS:SYSTEM\SYS$LOG.ERR
В журнале указаны дата и время каждой записи, а также код, по
которому вы можете найти описание ошибки в руководствах Novell.
К этому журналу следует обратиться, если на сервере или в сети
возникают проблемы. По мере того как этот файл разрастается и
занимает пространство на диске, его следует периодически удалять.
Перед удалением его можно скопировать в архив.
Значения SET операционной системы NetWare
Утилита SERVMEN обеспечивает удобный способ изменения параметров
запуска сервера и других устанавливаемых параметров. Вы можете
запустить эту утилиту, набрав LOAD SERVMAN. Затем выберите в меню
Available Options пункт Console Set Commands. В этом разделе описываются
устанавливаемые параметры, которые можно найти в разделе Miscellaneous.
В данном разделе описываются только параметры, которые важны для
нормальной работы сервера. Некоторые параметры всегда должны быть
установлены, поэтому они не рассматриваются. Другие параметры
используются программистами для написания и тестирования NLML-модулей.
Они также не упоминаются.
Allow Unencrypted Passwords
В NetWare в целях защиты пароли кодируются. Однако кодирование
может вызвать проблемы, если вы работаете с серверами с версией
NetWare младше 3.0. По умолчанию параметр Allow Unencrypted Passwords
устанавливается в Off. Установка его в On позволяет пользователя
использовать как кодированные, так и некодированные пароли.
Automatically Repair Bad Volumes
По умолчанию этот параметр автоматического восстановления плохих
томов включен (On). В случае сбоя на томе NetWare выполняет утилиту
VREPAIR. Если вы предпочитаете сами запускать эту утилиту, то
можете выключить данный параметр.
Display Spurious Interrupr Alerts
Интерфейсная плата на сервере может давать ложные прерывания,
что указывает не ее неверную работу. По умолчанию параметр вывода
таких прерываний Display Spurious Interrupr Alerts включен (On).
Если появляется сообщение о таком прерывании, выньте из сервера
все платы и поочередно вставляйте их, пока сообщение не появится
снова. Сообщите о возникшей проблеме поставщику платы.
Display Lost Interrupt Alerts
В некоторых случаях плата можно обращаться к средствам сервера
с помощью прерываний и "терять" это прерывания до того
как сервер ответит. Такие потерянные прерывания указывают на проблемы
в аппаратном драйвере или неисправную плату. Если параметр Display
Lost Interrupt Alerts уставлен в On, то при обнаружении такого
