15.2 Linux 使用者管理:eDirectory 使用者的 Linux 存取權

雖然在 NetWare® 伺服器上的使用者與群組是透過 eDirectory 來管理,不過在 Linux 伺服器上的使用者與群組是根據可攜式作業系統介面 (Portable Operating System Interface,POSIX*) 標準來管理。

因為 Open Enterprise Server 提供可在 Linux 與 NetWare 上執行的服務,所以 Novell® 開發了可讓 eDirectory 使用者也能在 Linux 伺服器上以「本地」POSIX 使用者身分來運作的技術。這個技術稱為「Linux 使用者管理」或 LUM。

下列小節概述在 Novell LUM 中所牽涉的基本原則,其中涵蓋下列主題:

15.2.1 綜覽

本節中的主題是設計來協助您瞭解何時需要啟用 LUM 的存取,以便讓網路服務可以存取並如預期運作。如需有關「Linux 使用者管理」的詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 綜覽

這個綜覽小節討論下列主題:

Linux 使用者管理的圖形化預覽

圖 15-1 說明 Linux 使用者管理如何控制 OES 2 伺服器的存取權。

圖 15-1 LUM 爲 eDirectory 使用者提供 POSIX 存取權

下表說明在圖 15-1 中提供的資訊。

有效的 POSIX 使用者

驗證

eDirectory 受驗證的服務

在 OES 2 Linux 伺服器上的某些服務只有 POSIX 使用者才可以存取。

如果啟用 eDirectory 使用者的 Linux 存取權,則這些使用者也可以用 POSIX 使用者的身分運作。

當系統收到動作申請時,它可以同時驗證本地 POSIX 使用者與已啟用 Linux 存取權的使用者。

使用者可能可以用本地或 eDirectory 使用者的身分來存取啟用 PAM 的服務、Samba 共用以及「Novell 遠端管理員」。

eDirectory 存取權並沒有啟用 passwd 指令,因為 eDirectory 密碼是在 eDirectory 中而不是在本地伺服器上維護。

Linux 需要 POSIX 使用者

Linux 需要所有的使用者都由標準 POSIX 屬性定義,例如使用者名稱、使用者 ID (UID)、主要群組 ID (GID)、密碼以及其他類似的屬性。

Linux 使用者可以是本地使用者或遠端使用者

您可以用兩種方式建立存取 Linux 伺服器的使用者:

  • 在本地 (伺服器上) 建立: 本地使用者是在指令提示符 (使用諸如 useradd 等指令) 或是在 YaST 中管理。(請參閱 useradd(8) 線上文件以及 YaST 線上說明以取得詳細資訊)。這些本地使用者是儲存在 /etc/passwd 檔案中。(請參閱 passwd(5) 線上文件以取得詳細資訊)。

    重要:根據一般的規則,在 OES 2 Linux 伺服器上,唯一應該存在的使用者帳戶是 root。所有其他的使用者帳戶都應該在 eDirectory 中建立,然後啟用 Linux 存取權 (LUM)。您永遠都不應該建立重複的本地與 eDirectory 使用者帳戶。

    若需要更多的資訊,請參閱節 6.2, 避免 POSIX 與 eDirectory 重複

  • 在遠端 (伺服器外) 建立: 其他系統 (例如 LDAP 相容的目錄服務) 可以管理遠端使用者。遠端使用者存取權是透過在 Linux 上的「可外掛驗證模組」 (PAM) 結構來啟用。

Linux POSIX 相容的介面可以驗證這兩種的使用者,不論儲存它們的位置和管理它們的方式為何。

root 使用者永遠不能啟用 LUM

OES 2 使用者管理工具會防止您建立名為 root 的 eDirectory 使用者,從而取代在 OES 2 Linux 伺服器上的 root 使用者。如果 root 曾經是 LUM 使用者,而且 eDirectory 因為某些理由而變成無法使用,則系統會沒有根的存取權。

即使無法使用 eDirectory,您仍然可以使用 NRM 登入伺服器,並以 root 使用者的身分執行其他系統管理任務。

有關在 OES 2 Linux 上的服務存取權

Novell Linux 使用者管理 (LUM) 可讓您使用 eDirectory 集中管理遠端使用者以存取一或多個 OES 2 Linux 伺服器。

也就是說,LUM 可讓 eDirectory 使用者在 OES 2 Linux 伺服器上以本地 (POSIX) 使用者的身分來運作。透過利用 Linux 可外掛驗證模組 (PAM) 結構來啟用存取權。PAM 可讓 eDirectory 使用者得以在 OES 2 Linux 伺服器上透過 LDAP 來驗證。

在 OES 中,「啟用 LUM」和「啟用 Linux」這兩個詞彙是用以說明將標準 Linux (POSIX) 屬性與值新增至 eDirectory 使用者與群組的程序,從而可讓它們以伺服器上的 POSIX 使用者及群組的身分運作。

您可以使用 iManager 啟用 Linux 的 eDirectory 使用者。如需指示,請參閱有關啟用 eDirectory 使用者的 Linux 存取權

在 OES 2 Linux 中需要啟用 LUM 存取權的服務

在 OES 2 Linux 伺服器上的某些服務需要 eDirectory 使用者是啟用 LUM 的使用者:

  • 啟用 LUM 的核心 Linux 公用程式: 這些是您在 OES 安裝期間指定透過 eDirectory LDAP 來驗證而啟用的核心公用程式與其他外圍程序指令。在 Linux 中,這些又稱為啟用 PAM 的公用程式。

    重要:在您接受預設啟用 PAM 的服務設定之前,請務必瞭解在節 21.2.2, 使用者限制--某些 OES 2 Linux 限制中說明的安全性含意。

    表 15-1 摘要了可啟用 LUM 的核心公用程式。

    表 15-1 由 LUM 控制之啟用 PAM 的服務。

    指令

    執行的位置

    任務

    ftp

    其他主機

    與 OES 2 伺服器 (在此例中是遠端主機) 來回傳送檔案。

    登入

    • OES 2 伺服器

    • OES 2 伺服器的 SSH 會期

    直接登入或是使用伺服器的 SSH 會期來登入 OES 2 伺服器。

    openwbem

    本地主機

    iPrint、NSS、SMS、Novell 遠端管理員與 iManager 所需。

    gdm

    • 本地主機

    • 遠端主機

    使用 XDMCP 來執行和管理 X 伺服器。

    gnomesu-pam

     

     

    sshd

    其他主機

    使用 OES 2 伺服器 (在此例中為遠端主機) 建立安全加密的連接。

    su

    • OES 2 伺服器

    • OES 2 伺服器的 SSH 會期

    暫時變成另一個使用者。

    暫時變成 root 使用者是最常使用的,它並不是 LUM 使用者,因此不會受到 LUM 的影響。

    附註:透過啟用 PAM 的服務第一次登入 OES 2 Linux 伺服器會建立主目錄。

  • 在伺服器上的 Novell Samba (CIFS) 共用: 需要存取在伺服器上定義之 Samba 共用的 Windows 工作群組使用者,也必須是啟用 LUM 且設定成可存取伺服器的 eDirecotry 使用者。這是因為 Samba 需要 POSIX 識別才能存取。

    擴大來看,需要存取指向伺服器的「CIFS 儲存位置」物件之 NetStorage 使用者,也必須是啟用 LUM 且具有伺服器存取權的 eDirecotry 使用者。

    附註:雖然 Linux 必須有啟用 Samba 使用者,不過 Samba 不是啟用 PAM 的服務。透過 Samba 登入 OES 2 Linux 伺服器並不會建立主目錄。

  • 在 Linux 上的 Novell 遠端管理員 (NRM): 您可以使用下列身分來存取 NRM:

    • 具有可查看 Linux 伺服器上所有內容的 root 使用者。

    • 具有 POSIX 存取權限所管理的本地 Linux 使用者。(在 OES 2 伺服器上除了 root 之外不建議有本地使用者)。

    • 啟用 LUM 的 eDirectory 使用者,例如在安裝期間建立的 Admin 使用者。

  • 在 Linux 上的 Novell 儲存管理服務 (SMS) 您可以使用下列身分存取 SMS 公用程式

    • 具有可查看 Linux 伺服器上所有內容的 root 使用者。

    • 具有 POSIX 存取權限所管理的本地 Linux 使用者。(在 OES 2 伺服器上除了 root 之外不建議有本地使用者)。

    • 啟用 LUM 的 eDirectory 使用者,例如在安裝期間建立的 Admin 使用者。

不需要啟用 LUM 的存取權但是有一些 LUM 需求之服務

某些服務並不需要 eDirectory 使用者啟用 Linux 就能取得服務存取權:

  • NCP 伺服器: 已經轉換至 Linux 的 NCP™ 伺服器仍然會與 eDirectory 緊密整合,並不需要 eDirecotry 使用者啟用 Linux。

    不過,當建立指向伺服器上 NSS 以外分割區的 NCP 卷冊時,如果 eDirectory 使用者沒有啟用 Linux,就無法使用所有的特性。例如,如果使用者沒有啟用 Linux,就無法進行交叉協定存取。

  • NetStorage: NetStorage 使用者通常不需要啟用 Linux。不過,只有啟用 Linux 的使用者才能透過在 NSS 卷冊上的 NetStorage 來救回和清除檔案。

    附註:雖然 NetStorage 並不需要啟用 LUM 的存取權,不過服務本身以 POSIX 相容的系統使用者身分執行,並以代表存取服務的終端使用者來運作。

    如果 NetStorage 必須存取 NSS 卷冊,則系統使用者必須啟用 Linux,因為只有 eDirectory 使用者可以存取 NSS 卷冊。

    若需要更多的資訊,請參閱節 H.0, OES 2 系統使用者與群組

  • NSS: 直接使用 NCP (Novell Client™) 存取 NSS 卷冊的 eDirecotry 使用者並不需要啟用 Linux。

    有個情況例外,如果使用「救回」特性,除非該使用者啟用 Linux,否則預設將不會追蹤誰刪除檔案的資訊。如果非啟用的使用者刪除檔案,「救回」會報告伺服器刪除了檔案。

    此外,如果透過會讓 NSS 看起來是 POSIX 相容檔案系統的虛擬檔案系統層,使用任何其他檔案存取協定來存取 NSS,則使用者必須啟用 Linux。

不需要啟用 LUM 存取權的服務

下列終端使用者服務不需要啟用 LUM 的存取權:

Linux 存取無法全域存取 OES 2 Linux 伺服器

當您計劃為使用者啟用 Linux 以取得這些服務的存取權時,請記住啟用 LUM 的使用者需要存取的每部 OES 2 Linux 伺服器必須與使用者所屬之啟用 LUM 的群組關聯。

換句話說,如果啟用 Linux 的使用者需要多部伺服器的存取權,它就不足以供啟用 Linux 的使用者存取單一 OES 2 Linux 伺服器。必須使用 iManager 為使用者需要存取的每部伺服器,建立使用者所屬之啟用 LUM 的群組以及與伺服器關聯的 eDirectory UNIX 工作站物件之間的關聯。使用讓使用者存取多個 OES 2 Linux 伺服器中說明的程序,就可以為多部伺服器完成這個動作。

如需有關 LUM 的詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》。

15.2.2 規劃

下列幾節摘要 LUM 規劃考量。

自動啟用 eDirectory 管理員使用者的 Linux 存取權

當您在 OES 2 Linux 伺服器上安裝「Linux 使用者管理」時,會自動啟用安裝 LUM 的「管理員使用者」物件,以便在伺服器上進行 eDirectory LDAP 驗證。

規劃要啟用哪些使用者的存取權

您需要識別需要擁有 OES 2 Linux 伺服器之 eDirectory LDAP 存取權的使用者 (與群組)。

執行下列動作可以輕易地判斷出來:

  1. 查看在 OES 2 Linux 中需要啟用 LUM 存取權的服務中的資訊。

  2. 識別將執行所提及服務的伺服器。

  3. 在您的規劃紙張上,記下您需要啟用的使用者與群組以及您需要啟用以進行存取的伺服器。

請注意系統建立的使用者與群組

您需要識別需要擁有 OES 2 Linux 伺服器之 eDirectory LDAP 存取權的使用者 (與群組)。

執行下列動作可以輕易地判斷出來:

  1. 查看在 OES 2 Linux 中需要啟用 LUM 存取權的服務中的資訊。

  2. 識別將執行所提及服務的伺服器。

  3. 在您的規劃紙張上,記下您需要啟用的使用者與群組以及您需要啟用以進行存取的伺服器。

15.2.3 共存和移轉

如需共存和移轉的資訊,請參閱《Novell 伺服器彙總與移轉工具套件管理指南》中的 瞭解啟用 Linux 之使用者的需求

15.2.4 LUM 執行建議

下列小節摘要 LUM 執行考量。

有關啟用 eDirectory 使用者的 Linux 存取權

您可以使用 iManager 2.7 或是 nambulkadd 指令為 eDirectory 使用者啟用 Linux 使用者管理。

  • iManager: 您可以使用在 iManager 中的 Linux 使用者管理任務來啟用現有 eDirectory 使用者的 Linux 存取權。

    只要可以將使用者指定到啟用 LUM 的相同主要群組,您就可以在同一個操作中啟用多名使用者。啟用程序可讓您將建立群組與一或多個 OES 2 Linux 伺服器或是 Linux 工作站的關聯。若需要更多的資訊,請參閱讓使用者存取多個 OES 2 Linux 伺服器

    在 Samba 啟用程序中,也會啟用 Samba 使用者的 Linux 存取權。

UNIX 工作站Linux 工作站 的情況相同

使用 iManager 管理 OES 2 Linux 存取權時,您可能會注意到在命名上的一些不一致。

OES 2 Linux 伺服器建立後,會在 eDirectory 中建立 UNIX Workstation - server_name 物件,其中 server_name 是 OES 2 Linux 伺服器的 DNS 名稱。在某些地方,iManager 說明將這些伺服器物件稱為 Linux 工作站 物件。

UNIX 工作站Linux 工作站 都是指相同的 eDirectory 物件。

讓使用者存取多個 OES 2 Linux 伺服器

重要:使用者透過其啟用 LUM 的群組指定而不是透過直接指定給 UNIX 工作站物件本身來取得伺服器存取權。

您可以透過將使用者所屬之啟用 LUM 的群組關聯至您要使用者擁有存取權的 UNIX 工作站物件,來啟用使用者的多個 OES 2 Linux 伺服器存取權。

啟用 eDirectory 群組的 Linux 存取權

有兩種方法可以啟用 eDirectory 群組的 Linux 存取權:

使用 iManger

下列步驟假設 eDirectory 群組物件已經存在,而且您要啟用 Linux 的任何使用者物件也都已經存在,並且已指定到群組。

  1. 以 eDirectory Admin 使用者或同等權限的身分登入 iManager。

  2. 按一下「Linux 使用者管理」>「啟用群組的 Linux 功能」。

  3. 瀏覽並選取一或多個群組物件,然後按一下「確定」。

  4. 如果您要將所有使用者指定到啟用 Linux 功能的群組,請確定選取「啟用這些群組中所有使用者的 Linux 功能」選項。

  5. 按兩次「下一步」。

  6. 瀏覽至並選取一或多個 UNIX 工作站 (OES 2 Linux 伺服器) 物件,然後按一下「確定」。

  7. 依序按一下「下一步」與「完成」,然後按一下「確定」。

在指令提示符使用 LUM 公用程式來啟用/建立多個群組

「Novell Linux 使用者管理」包括用以建立啟用 LUM 之新群組的公用程式,以及用以啟用現有 eDirecotry 群組之 Linux 存取權的公用程式。

nambulkadd 公用程式可讓您使用文字編輯器來建立要啟用 Linux 存取權的群組清單。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 nambulkadd

重要:請務必在每個文字檔案結尾包括一行空白行。否則,將無法正確處理檔案的最後一行。

namgroupadd 公用程式可讓您建立啟用 LUM 的新群組或是啟用現有 eDirecotry 群組的 Linux 存取權。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 namgroupadd

啟用 eDirectory 使用者的 Linux 存取權

有兩種方法可以啟用 eDirectory 使用者的 Linux 存取權:

使用 iManger

下列步驟是假設 eDirectory 使用者物件已經存在。

  1. 以 eDirectory Admin 使用者或同等權限的身分登入 iManager。

  2. 按一下「Linux 使用者管理」>「啟用使用者的 Linux 功能」。

  3. 瀏覽至並選取一或多個使用者物件,然後按一下「確定」。

  4. 「下一步」

  5. 如上述所指出,您可以執行下列動作:

    • 選取和啟用現有 eDirectory 群組的 Linux 功能。

    • 選取已經啟用 Linux 功能的 eDirectory 群組。

    • 指定要建立和啟用 Linux 功能之 eDirectory 新群組的名稱與網路位置。

    選取符合您需求的選項。

  6. 「下一步」

  7. 瀏覽至並選取一或多個 UNIX 工作站 (OES 2 Linux 伺服器) 物件,然後按一下「確定」。

  8. 依序按一下「下一步」與「完成」,然後按一下「確定」。

在指令提示符使用 LUM 公用程式來啟用/建立多個使用者

「Novell Linux 使用者管理」包括用以建立啟用 LUM 的新使用者之公用程式,以及用以啟用現有 eDirecotry 使用者之 Linux 存取權的公用程式。

nambulkadd 公用程式可讓您使用文字編輯器來建立要啟用 Linux 存取權的使用者清單。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 nambulkadd

重要:請務必在每個文字檔案結尾包括一行空白行。否則,將無法正確處理檔案的最後一行。

namgroupadd 公用程式可讓您建立啟用 LUM 的單一使用者或是啟用現有 eDirecotry 使用者的 Linux 存取權。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 namuseradd