雖然在 NetWare® 伺服器上的使用者與群組是透過 eDirectory 來管理,不過在 Linux 伺服器上的使用者與群組是根據可攜式作業系統介面 (Portable Operating System Interface,POSIX*) 標準來管理。
因為 Open Enterprise Server 提供可在 Linux 與 NetWare 上執行的服務,所以 Novell® 開發了可讓 eDirectory 使用者也能在 Linux 伺服器上以「本地」POSIX 使用者身分來運作的技術。這個技術稱為「Linux 使用者管理」或 LUM。
下列小節概述在 Novell LUM 中所牽涉的基本原則,其中涵蓋下列主題:
本節中的主題是設計來協助您瞭解何時需要啟用 LUM 的存取,以便讓網路服務可以存取並如預期運作。如需有關「Linux 使用者管理」的詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 綜覽
。
這個綜覽小節討論下列主題:
圖 15-1 說明 Linux 使用者管理如何控制 OES 2 伺服器的存取權。
圖 15-1 LUM 爲 eDirectory 使用者提供 POSIX 存取權
下表說明在圖 15-1 中提供的資訊。
Linux 需要所有的使用者都由標準 POSIX 屬性定義,例如使用者名稱、使用者 ID (UID)、主要群組 ID (GID)、密碼以及其他類似的屬性。
您可以用兩種方式建立存取 Linux 伺服器的使用者:
在本地 (伺服器上) 建立: 本地使用者是在指令提示符 (使用諸如 useradd 等指令) 或是在 YaST 中管理。(請參閱 useradd(8) 線上文件以及 YaST 線上說明以取得詳細資訊)。這些本地使用者是儲存在 /etc/passwd 檔案中。(請參閱 passwd(5) 線上文件以取得詳細資訊)。
重要:根據一般的規則,在 OES 2 Linux 伺服器上,唯一應該存在的使用者帳戶是 root。所有其他的使用者帳戶都應該在 eDirectory 中建立,然後啟用 Linux 存取權 (LUM)。您永遠都不應該建立重複的本地與 eDirectory 使用者帳戶。
若需要更多的資訊,請參閱節 6.2, 避免 POSIX 與 eDirectory 重複。
在遠端 (伺服器外) 建立: 其他系統 (例如 LDAP 相容的目錄服務) 可以管理遠端使用者。遠端使用者存取權是透過在 Linux 上的「可外掛驗證模組」 (PAM) 結構來啟用。
Linux POSIX 相容的介面可以驗證這兩種的使用者,不論儲存它們的位置和管理它們的方式為何。
OES 2 使用者管理工具會防止您建立名為 root 的 eDirectory 使用者,從而取代在 OES 2 Linux 伺服器上的 root 使用者。如果 root 曾經是 LUM 使用者,而且 eDirectory 因為某些理由而變成無法使用,則系統會沒有根的存取權。
即使無法使用 eDirectory,您仍然可以使用 NRM 登入伺服器,並以 root 使用者的身分執行其他系統管理任務。
Novell Linux 使用者管理 (LUM) 可讓您使用 eDirectory 集中管理遠端使用者以存取一或多個 OES 2 Linux 伺服器。
也就是說,LUM 可讓 eDirectory 使用者在 OES 2 Linux 伺服器上以本地 (POSIX) 使用者的身分來運作。透過利用 Linux 可外掛驗證模組 (PAM) 結構來啟用存取權。PAM 可讓 eDirectory 使用者得以在 OES 2 Linux 伺服器上透過 LDAP 來驗證。
在 OES 中,「啟用 LUM」和「啟用 Linux」這兩個詞彙是用以說明將標準 Linux (POSIX) 屬性與值新增至 eDirectory 使用者與群組的程序,從而可讓它們以伺服器上的 POSIX 使用者及群組的身分運作。
您可以使用 iManager 啟用 Linux 的 eDirectory 使用者。如需指示,請參閱有關啟用 eDirectory 使用者的 Linux 存取權。
在 OES 2 Linux 伺服器上的某些服務需要 eDirectory 使用者是啟用 LUM 的使用者:
啟用 LUM 的核心 Linux 公用程式: 這些是您在 OES 安裝期間指定透過 eDirectory LDAP 來驗證而啟用的核心公用程式與其他外圍程序指令。在 Linux 中,這些又稱為啟用 PAM 的公用程式。
重要:在您接受預設啟用 PAM 的服務設定之前,請務必瞭解在節 21.2.2, 使用者限制--某些 OES 2 Linux 限制中說明的安全性含意。
表 15-1 摘要了可啟用 LUM 的核心公用程式。
表 15-1 由 LUM 控制之啟用 PAM 的服務。
附註:透過啟用 PAM 的服務第一次登入 OES 2 Linux 伺服器會建立主目錄。
在伺服器上的 Novell Samba (CIFS) 共用: 需要存取在伺服器上定義之 Samba 共用的 Windows 工作群組使用者,也必須是啟用 LUM 且設定成可存取伺服器的 eDirecotry 使用者。這是因為 Samba 需要 POSIX 識別才能存取。
擴大來看,需要存取指向伺服器的「CIFS 儲存位置」物件之 NetStorage 使用者,也必須是啟用 LUM 且具有伺服器存取權的 eDirecotry 使用者。
附註:雖然 Linux 必須有啟用 Samba 使用者,不過 Samba 不是啟用 PAM 的服務。透過 Samba 登入 OES 2 Linux 伺服器並不會建立主目錄。
在 Linux 上的 Novell 遠端管理員 (NRM): 您可以使用下列身分來存取 NRM:
具有可查看 Linux 伺服器上所有內容的 root 使用者。
具有 POSIX 存取權限所管理的本地 Linux 使用者。(在 OES 2 伺服器上除了 root 之外不建議有本地使用者)。
啟用 LUM 的 eDirectory 使用者,例如在安裝期間建立的 Admin 使用者。
在 Linux 上的 Novell 儲存管理服務 (SMS) 您可以使用下列身分存取 SMS 公用程式
具有可查看 Linux 伺服器上所有內容的 root 使用者。
具有 POSIX 存取權限所管理的本地 Linux 使用者。(在 OES 2 伺服器上除了 root 之外不建議有本地使用者)。
啟用 LUM 的 eDirectory 使用者,例如在安裝期間建立的 Admin 使用者。
某些服務並不需要 eDirectory 使用者啟用 Linux 就能取得服務存取權:
NCP 伺服器: 已經轉換至 Linux 的 NCP™ 伺服器仍然會與 eDirectory 緊密整合,並不需要 eDirecotry 使用者啟用 Linux。
不過,當建立指向伺服器上 NSS 以外分割區的 NCP 卷冊時,如果 eDirectory 使用者沒有啟用 Linux,就無法使用所有的特性。例如,如果使用者沒有啟用 Linux,就無法進行交叉協定存取。
NetStorage: NetStorage 使用者通常不需要啟用 Linux。不過,只有啟用 Linux 的使用者才能透過在 NSS 卷冊上的 NetStorage 來救回和清除檔案。
附註:雖然 NetStorage 並不需要啟用 LUM 的存取權,不過服務本身以 POSIX 相容的系統使用者身分執行,並以代表存取服務的終端使用者來運作。
如果 NetStorage 必須存取 NSS 卷冊,則系統使用者必須啟用 Linux,因為只有 eDirectory 使用者可以存取 NSS 卷冊。
若需要更多的資訊,請參閱節 H.0, OES 2 系統使用者與群組。
NSS: 直接使用 NCP (Novell Client™) 存取 NSS 卷冊的 eDirecotry 使用者並不需要啟用 Linux。
有個情況例外,如果使用「救回」特性,除非該使用者啟用 Linux,否則預設將不會追蹤誰刪除檔案的資訊。如果非啟用的使用者刪除檔案,「救回」會報告伺服器刪除了檔案。
此外,如果透過會讓 NSS 看起來是 POSIX 相容檔案系統的虛擬檔案系統層,使用任何其他檔案存取協定來存取 NSS,則使用者必須啟用 Linux。
下列終端使用者服務不需要啟用 LUM 的存取權:
iFolder 3.6
iPrint
NCP 用戶端到 NSS 卷冊 (除了在不需要啟用 LUM 的存取權但是有一些 LUM 需求之服務中所說明的救回操作的刪除者追蹤)
QuickFinder™
當您計劃為使用者啟用 Linux 以取得這些服務的存取權時,請記住啟用 LUM 的使用者需要存取的每部 OES 2 Linux 伺服器必須與使用者所屬之啟用 LUM 的群組關聯。
換句話說,如果啟用 Linux 的使用者需要多部伺服器的存取權,它就不足以供啟用 Linux 的使用者存取單一 OES 2 Linux 伺服器。必須使用 iManager 為使用者需要存取的每部伺服器,建立使用者所屬之啟用 LUM 的群組以及與伺服器關聯的 eDirectory UNIX 工作站物件之間的關聯。使用讓使用者存取多個 OES 2 Linux 伺服器中說明的程序,就可以為多部伺服器完成這個動作。
如需有關 LUM 的詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》。
下列幾節摘要 LUM 規劃考量。
當您在 OES 2 Linux 伺服器上安裝「Linux 使用者管理」時,會自動啟用安裝 LUM 的「管理員使用者」物件,以便在伺服器上進行 eDirectory LDAP 驗證。
您需要識別需要擁有 OES 2 Linux 伺服器之 eDirectory LDAP 存取權的使用者 (與群組)。
執行下列動作可以輕易地判斷出來:
識別將執行所提及服務的伺服器。
在您的規劃紙張上,記下您需要啟用的使用者與群組以及您需要啟用以進行存取的伺服器。
您需要識別需要擁有 OES 2 Linux 伺服器之 eDirectory LDAP 存取權的使用者 (與群組)。
執行下列動作可以輕易地判斷出來:
識別將執行所提及服務的伺服器。
在您的規劃紙張上,記下您需要啟用的使用者與群組以及您需要啟用以進行存取的伺服器。
如需共存和移轉的資訊,請參閱《Novell 伺服器彙總與移轉工具套件管理指南》中的 瞭解啟用 Linux 之使用者的需求
。
下列小節摘要 LUM 執行考量。
您可以使用 iManager 2.7 或是 nambulkadd 指令為 eDirectory 使用者啟用 Linux 使用者管理。
iManager: 您可以使用在 iManager 中的 Linux 使用者管理任務來啟用現有 eDirectory 使用者的 Linux 存取權。
只要可以將使用者指定到啟用 LUM 的相同主要群組,您就可以在同一個操作中啟用多名使用者。啟用程序可讓您將建立群組與一或多個 OES 2 Linux 伺服器或是 Linux 工作站的關聯。若需要更多的資訊,請參閱讓使用者存取多個 OES 2 Linux 伺服器。
在 Samba 啟用程序中,也會啟用 Samba 使用者的 Linux 存取權。
nambulkadd: 如果有需要啟用 eDirectory 使用者與群組的 Linux 存取權,可以使用 nambulkadd 指令同時修改多個物件。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》。
UNIX 工作站與
Linux 工作站的情況相同
使用 iManager 管理 OES 2 Linux 存取權時,您可能會注意到在命名上的一些不一致。
OES 2 Linux 伺服器建立後,會在 eDirectory 中建立 UNIX Workstation - server_name
物件,其中 server_name 是 OES 2 Linux 伺服器的 DNS 名稱。在某些地方,iManager 說明將這些伺服器物件稱為 Linux 工作站
物件。
UNIX 工作站
與 Linux 工作站
都是指相同的 eDirectory 物件。
重要:使用者透過其啟用 LUM 的群組指定而不是透過直接指定給 UNIX 工作站物件本身來取得伺服器存取權。
您可以透過將使用者所屬之啟用 LUM 的群組關聯至您要使用者擁有存取權的 UNIX 工作站物件,來啟用使用者的多個 OES 2 Linux 伺服器存取權。
有兩種方法可以啟用 eDirectory 群組的 Linux 存取權:
下列步驟假設 eDirectory 群組物件已經存在,而且您要啟用 Linux 的任何使用者物件也都已經存在,並且已指定到群組。
以 eDirectory Admin 使用者或同等權限的身分登入 iManager。
按一下「
」>「 」。瀏覽並選取一或多個群組物件,然後按一下「
」。如果您要將所有使用者指定到啟用 Linux 功能的群組,請確定選取「
」選項。按兩次「
」。瀏覽至並選取一或多個 UNIX 工作站 (OES 2 Linux 伺服器) 物件,然後按一下「
」。依序按一下「
」與「 」,然後按一下「 」。「Novell Linux 使用者管理」包括用以建立啟用 LUM 之新群組的公用程式,以及用以啟用現有 eDirecotry 群組之 Linux 存取權的公用程式。
nambulkadd 公用程式可讓您使用文字編輯器來建立要啟用 Linux 存取權的群組清單。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 nambulkadd
。
重要:請務必在每個文字檔案結尾包括一行空白行。否則,將無法正確處理檔案的最後一行。
namgroupadd 公用程式可讓您建立啟用 LUM 的新群組或是啟用現有 eDirecotry 群組的 Linux 存取權。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 namgroupadd
。
有兩種方法可以啟用 eDirectory 使用者的 Linux 存取權:
下列步驟是假設 eDirectory 使用者物件已經存在。
以 eDirectory Admin 使用者或同等權限的身分登入 iManager。
按一下「
」>「 」。瀏覽至並選取一或多個使用者物件,然後按一下「
」。按
。如上述所指出,您可以執行下列動作:
選取和啟用現有 eDirectory 群組的 Linux 功能。
選取已經啟用 Linux 功能的 eDirectory 群組。
指定要建立和啟用 Linux 功能之 eDirectory 新群組的名稱與網路位置。
選取符合您需求的選項。
按
。瀏覽至並選取一或多個 UNIX 工作站 (OES 2 Linux 伺服器) 物件,然後按一下「
」。依序按一下「
」與「 」,然後按一下「 」。「Novell Linux 使用者管理」包括用以建立啟用 LUM 的新使用者之公用程式,以及用以啟用現有 eDirecotry 使用者之 Linux 存取權的公用程式。
nambulkadd 公用程式可讓您使用文字編輯器來建立要啟用 Linux 存取權的使用者清單。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 nambulkadd
。
重要:請務必在每個文字檔案結尾包括一行空白行。否則,將無法正確處理檔案的最後一行。
namgroupadd 公用程式可讓您建立啟用 LUM 的單一使用者或是啟用現有 eDirecotry 使用者的 Linux 存取權。如需詳細資訊,請參閱《OES 2:Novell Linux 使用者管理技術指南》中的 namuseradd
。