NOVELL-
NetWare
http://www.sirius-net.de
Inhaltsverzeichnis
Was ist ein Netzwerk? | * |
Warum Netzwerk? | * |
Netzwerkarten: | * |
Peer to Peer | * |
Client-Server | * |
Host – Terminal | * |
Netzwerkarchitektur | * |
Peer to Peer | * |
Host – Terminal | * |
Client – Server | * |
Netzwerktopologie | * |
Busvernetzung | * |
Stern - Vernetzung | * |
Ring – Vernetzung | * |
Zugriffsverfahren | * |
Token – Passing – Verfahren | * |
Kollisionsverfahren | * |
Übertragungsmedien | * |
Koaxial - Kabel | * |
Twisted Pair - Kabel | * |
Glasfaser – Kabel | * |
Netzwerkstandards | * |
Arcnet | * |
Ethernet | * |
Netware 3.xx | * |
Hard- / Software Voraussetzungen: | * |
Hardwareinstallation | * |
Server Installation (Software) | * |
Festplattenaufbau bei Netware | * |
Verzeichnisstruktur von SYS | * |
Angaben zur Speicherkapazitäten unter Novell-Netware 3.12 (je FileServer) | * |
Installation des Netzkartentreibers (LAN-Treiber) | * |
Adressen | * |
Kommunikation | * |
Workstation Installation | * |
Hardware: | * |
Software: | * |
Aufgaben dieser 4 Programme | * |
USER und GROUP | * |
Standard-USER und GROUPs | * |
Zugangsbeschränkungen | * |
Anlegen von USERn und Gruppen | * |
MAP | * |
3 verschiedene Arten von MAPPING: | * |
DRIVE MAPPING | * |
FAKE ROOT MAPPING | * |
SEARCH MAPPING | * |
LOGIN - Scripts | * |
Zwei Arten von Scripts: | * |
System login-Script | * |
User login-Script | * |
Mögliche Inhalte: | * |
PrintServer einrichten | * |
Remote Console | * |
Register memory | * |
Remove DOS | * |
Zugriffsrechte | * |
Ebene des login | * |
Ebene der Rechte | * |
- Trustee Assignments | |
(weiterhin als TA bezeichnet) | * |
- Security Equivalences | |
(weiterhin als SE abgekürzt) | * |
- IRM (inherited right mask) | * |
Es gibt insgesamt 8 verschiedene Rechte: | * |
Dateien | * |
Verzeichnisse: | * |
Ebene der Attribute | * |
Attribute für Verzeichnisse | * |
Attribute für Dateien | * |
Utility SALVAGE | * |
Netzwerk allgemein
Verbindung mehrerer PC´s
Windows
Netware
Windows NT
UNIX/Linux
Nicht sehr leistungsfähig, daher geeignet zur Vernetzung von
3 – 5 PC´s.
Alle PC´s sind im Netz gleichberechtigt. Jeder kann auf die Ressourcen des anderen Rechners zugreifen und jedem was zur Verfügung stellen.
Nachteil: Alle PC´s müssen laufen, damit auf die Ressourcen zugegriffen werden kann.
Sicherheit ist sehr lückenhaft.
Multitasking – Multiuser – Betriebssysteme
Ein Rechner, an dem alle Terminals angeschlossen sind (dementsprechende
powermäßige Ausstattung mit Hardware). Alle Prozesse laufen
immer auf diesem zentralen Rechner, auch wenn der Terminal ein PC ist.
Die Verbindung läuft in der Regel über Netzwerkkarten, bzw. (veraltet) über serielle Schnittstelle.
Beim Client – Server – Netzwerk gibt es 2 Arten von Rechnern: Server und Workstations. Der Unterschied zwischen Server und Workstation ist die Software (Betriebsystem), das darauf läuft.
Bei Netware unterscheidet man zwischen File-Server und Print-Server. Der Unterschied dieser Server zur Workstation ist, dass hier Netware läuft, während auf den anderen Rechnern – Workstations – die reinen PC – Betriebssysteme z.B. DOS, Windows oder Macintosh, laufen.
Bei Workstations spricht man auch von Clients.
Bei Netware können File-Server und Print-Server durchaus die gleichen Rechner sein. Ab Netware 3.xx sind alle Server ausschließlich dedicated file-server. Das heißt, nicht mehr als Workstation zu nutzen.
In einem Netz können mehrere File- / Print-Server vorhanden sein. Außerdem können mehrere Netze über File – Server zu einem Netz verbunden.
Räumliche Anordnung der einzelnen PC´s (Knoten) Das heißt nicht, die räumliche Anordnung der einzelnen Knoten, sondern wie sie untereinander verbunden sind. Es gibt 3 verschiedene Arten der Netzwerktopologie:
Alle Knoten sind an einem durchgängigen kabel angeschlossen. Das Kabel muß an jedem Ende einen Abschlußwiderstand haben damit das Kabelende erkannt wird und um Datenreflektionen zu vermeiden.
Die Erweiterung einer Busvernetzung ist unproblematisch. Geht ein Kabelteil kaputt ist der ganze Strang außer Betrieb.
Knoten werden sternförmig über eine Vermittlungsstelle verbunden. Eine Erweiterung eines Sternes ist unproblematisch (Voraussetzung die Vermittlungsstelle hat freie Anschlüsse)
Ring – Vernetzung
Ähnlich wie bei Bus – Vernetzung, außer daß die Kabelenden miteinander verbunden sind.
Problem: Fällt ein Knoten aus ist das ganze Netz ausgefallen.
Alle Knoten müssen eingeschaltet sein. (z.B. Token-Ring)
Zugriffsverfahren
Unter Zugriffsverfahren versteht man Protokolle eines Netzwerks (Datenfluß in einem Netz).
Token – Passing – Verfahren
Verwendung bei Bus- und Ring-Topologie
Bitfolge (Token) läuft von einem Knoten zum anderen. Senden und Empfangen kann nur der Knoten, der aktuell über den Token verfügt.
Möglichkeit 1:
Token wird auf die Leitung gesetzt – Will ein Knoten
Daten senden hält er den Token fest und sendet die Daten – Senden
darf nur der Knoten, der den Token hat.
Möglichkeit 2:
Token kommt zum Knoten der senden will – Knoten
überprüft, ob Token frei ist – Wenn ja werden diesem die Daten
übergeben – Andere Knoten können Daten nicht senden, solange
Token belegt ist.
Datenkollision ist unmöglich. Geschwindigkeit ist eher gering, aber konstant (2,5 Mbit/sec wird von den Herstellern garantiert als Mindestgeschwindigkeit, tatsächliche Geschwindigkeit liegt meist etwas höher ~ 2,8 Mbit/sec).
Kollisionsverfahren
(CSMA/CD = Carrier Sense Multiple Access / Collision Detection) Ist heute faktisch der Standard.
Wird bei Bus-Topologie verwendet.
Jeder Knoten, der Daten senden möchte, muß zuerst prüfen, ob die Leitung frei ist, und darf erst -und nur- dann senden. Leider kann es passieren, daß mehrere Knoten gleichzeitig die Leitung überprüfen können, ob frei ist und dann auch gleichzeitig Daten senden, weil das Freizeichen gegeben ist. In dem Fall kommt es zu einer Datenkollision. Deswegen horcht jeder Knoten die Leitung ab, ob es zu einer Kollision gekommen ist oder nicht. Falls ja, wird eine Sendepause eingelegt (Pausenlänge wird per Zufallsgenerator festgelegt) und anschließend geht alles von vorne los, bis keine Kollision mehr zustande kommt.
Nachteil ist die Datenkollision, Vorteil sind Datenübertragungsgeschwindigkeiten von bis zu 10 Mbit/sec bis 100 Mbit/sec (je nach Karte).
Übertragungsmedien
Koaxial - Kabel
Twisted Pair - Kabel
Flexibel, mittlerweile ziemlich verbreitet. Wird auf Grund der Flexibilität und seines vergleichsweise geringen Preises heute fast als Standard benutzt.
Geht nur über Hub. Einzige Ausnahme: 2 PC´s über ein Kabel, dessen Leitungen gedreht werden müssen.
Glasfaser – Kabel
Vorteil: Hohe Datenübertragungsgeschwindigkeiten.
Nachteil: Sehr teuer. Brechen sehr leicht.
Netzwerkstandards
Es gibt passive (3+1 Anschlüsse – FileServer und 3 Workstations = ausschließlich Verteiler) und aktive HUBs (mindestens 8 Anschlüsse, bis zu 64 Anschlüsse. Mit Stromanschluß. Sind nicht nur Verteiler, sondern auch Signalverstärker)
Arcnet
1977 von der Firma DataPoint entwickelt.
Er nutzt das Token Passing - Verfahren. Der Token heißt hier ITT (Invitation To Transmit). Das Prinzip ist: Token festhalten – Daten senden – Token wieder freigeben.
Arbeitet mit Ring - / Bus – Topologie
Physikalischer Stern, logischer Ring:
Sternförmig aufgebaut (Kabel sternförmig aufgebaut), aber die Daten werden ringförmig behandelt. Das macht der Verteiler (Vermittlungstelle).
Fast ausschließlich mit Koaxial-Kabel (RG-62 - Durchmesser 6,2 mm)
Ethernet
Von den Firmen Xerox, INTEL und DEC 1972 entwickelt.
Ethernet verwendet Kollisionsverfahren (Bus-Topologie).
Arbeitet mit zwei verschiedenen Arten von Kabeln:
Hard- / Software Voraussetzungen:
1 Rechner als FileServer
1 oder mehrere Workstation PC´s
Netzwerkkarte in allen Rechnern
Verbindungskabel und eventuell HUBs
Hardwareinstallation
Empfehlenswert für Server sind SCSI-Rechner (weniger Probleme mit Treibern). Gute Karte kaufen um sicher zu gehen, daß ausreichende Treiber dabei sind, und eventuell auch Diagnoseprogramme.
Netzwerkkarte muß eingestellt werden: RAM-Adresse, Port und IRQ. (Eindeutig im PC)
Zusätzlich muß bei Arcnet die Knotenadresse eingestellt werden (Netzkarten-Adresse – eindeutig im Netz). Über Dip-Schalter mit 8 Dip-Schaltern (maximal 256 Möglichkeiten zum Einstellen).
Bei Arcnet richtet man das über Hardware ein (Dip-Schalter und Jumper)
Bei Ethernet über Software (wird im Karten-eigenen
BIOS gespeichert). Knotenadresse muß nicht eingestellt werden, weil
sie auf der Karte eingebrannt ist (12-stellige Hex-Zahl – 6 Byte). Der
Hersteller garantiert die weltweite Einmaligkeit.
Server Installation (Software)
Bsp.:
load c:\server.312\keyboard.nlm germany (Lädt den deutschen Tastaturtreiber)
unload c:\server.312\keyboard.nlm germany (Schmeißt den deutschen Tastaturtreiber raus)
load SCSI-Treiber (Lädt den SCSI-Kontroller)
Unterschied zwischen Kommandos und Utility: letztere sind meist Menü geführt.
Über dieses Utility kann die Festplatte partitioniert werden für Netware. Volumes können eingerichtet und Installation beendet werden.
Festplattenaufbau bei Netware
Novell erlaubt je physikalische Festplatte nur eine Netware-Partition, die anschließend in mehrere Volumes unterteilt werden müssen. (Mindestens 1 Volume um auf die Partition überhaupt zugreifen zu können; maximal
Volume ist eine logische Einheit der Partition
1 Volume kann sich über mehrere physikalische Festplatten erstrecken, bzw. kann eine Festplatte mehrere Volumes enthalten.
Das Volume ist die höchste Ebene der Verzeichnisstruktur eines FileServers.
Volumes können auf 2 Arten aufgeteilten werden:
Das Volume SYS: muß auf jedem FileServer
existieren, weil darauf Novell installiert wird. Minimale Größe
80 MB. Empfehlenswert sind aber 500 MB bis 1 GB.
Dieses Volume wird im Gegensatz zu den anderen Volumes
beim Hochfahren des Rechners automatisch gemountet.
Jedes Volume muß einen eindeutigen Namen (erlaubte Namen siehe bei Servername) haben und wird folgendermaßen angesprochen:
FS_NAME/VOL_NAME:
oder
VOL_NAME:
Verzeichnisstruktur von SYS
Angaben zur Speicherkapazitäten unter Novell-Netware 3.12 (je FileServer)
Installation des Netzkartentreibers (LAN-Treiber)
install.nlm beenden
LAN-Treiber laden (frame-Typ angeben):
Protokolltreiber an LAN-Treiber binden
Segmentadresse (net= ... ) angeben
Server ist fertig installiert !
Wird der Server runter- und wieder hochgefahren müssen alle Treiber wieder manuell gestartet werden (Sehr aufwendig) Deswegen gibt es bei Novell-Netware die Möglichkeit zwei Dateien zu erstellen, in denen unter anderem alle Treiber aufgenommen werden können. Diese Dateien werden beim booten des FileServers automatisch abgearbeitet.
Die ersten dieser Dateien ist die [C:\server.312\] startup.ncf und befindet sich in dem Verzeichnis auf DOS-Ebene, von wo der Server gestartet wird. Diese Datei beinhaltet alle Festplattentreiber.
Die zweite dieser Dateien ist die autoexec.ncf
und befindet sich im Verzeichnis /system des Volumes SYS. Hier sind
LAN-Treiber, FileServer-Name, keyboard.nlm, IPX-Nummer, Segmentadresse
usw.
Netzwerkadresse (Segmentadresse, bzw. NET-Adresse - 1 ... 8 stellige Hex-Zahl) Dient dem externen routen des FileServers im Netzwerk. Jeder physikalische Kabelstrang muß eine andere NET-Adresse haben.
Knotenadresse (Netzkarten-Adresse) Ist die Adresse, die bei Arcnet-Karten eingestellt werden muß und bei Ethernet-Karten eingebrannt ist. Muß in einem Netz, bzw. innerhalb eines Segmentes eindeutig sein.
Stationsadresse Wird vom FileServer als fortlaufende
Zahl an die Clients jeweils nach Anmeldereihenfolge vergeben.
(Knotenadressen von 1A bis 7A)
8 x Hex 12 x Hex (= 10 Byte)
Absender: 0000000A:00000000001A (NET:Knoten)
Empfänger: 00000001:000000000001 (IPX:Knoten)
Beispiel 2: (WS1 an FS2)
Absender: 0000000A:00000000001A
Empfänger: 00000002:000000000001
Beispiel 3: (FS1 an WS1)
Absender: 00000001:000000000001
Empfänger: 00000001:00000000001A
Beispiel 4: (WS2 an FS1)
Absender: 0000000C:00000000007A
Empfänger: 00000001:000000000001
Beispiel 5: (WS2 an FS3)
Absender: 0000000C:00000000007A
Empfänger: 00000003:000000000001
Hardware:
Wie Server
Software:
LAN-TREIBER.COM ausrufen (z.B. E100BODI.COM)
IPXODI.COM aufrufen Protokolltreiber
VLM.EXE aufrufen Netware DOS Requester
Aufgaben dieser 4 Programme
Ist die eigentliche Schnittstelle zwischen DOS und Netware. Alle
Anforderungen für den FileServer werden von VLM.EXE übernommen
und an IPXODI weiter geleitet. IPXODI stellt die Datenpakete her, die zum
FileServer gesendet werden sollen, bzw. entpackt die Daten, die vom FileServer
zur Arbeitsstation kommen.
Über den Binder LSL.COM wird das Ganze an den LAN-Treiber weiter
geleitet. Der LAN-Treiber sendet oder empfängt die Pakete.
(sind in der startnet.bat eingetragen, d.h. werden später automatisch
aufgerufen)
Sie werden als Objekte behandelt, die bestimmte Eigenschaften haben.
USER sind alle Personen, die im Netz arbeiten. Jede Person, die sich am FileServer anmelden möchte braucht einen gültigen Usernamen. Dieser wird vom Supervisor (Administrator) oder einem vergleichbaren User angelegt. Alle Objekte und ihre Eigenschaften werden von Netware in einer Datenbank "BINDERY" gespeichert und verwaltet. Dort befinden sich USER, GROUPS, Rechte, Paßwörter, Gruppenmitgliedschaften, usw. BINDARY enthält keine Verzeichnisnamen, Dateinamen und deren Attribute (Flags).
Auf jedem FileServer können beliebig viele USER angelegt werden. Es können sich aber nicht beliebig viele USER gleichzeitig anmelden. Das hängt von der Lizenz ab.
Jede Workstation, die mit einem FileServer über Netzkabel verbunden ist, und auf der LSL, LAN-Treiber, IPXODI und VLM aktiviert wurden, hat automatisch Zugriff auf das Verzeichnis SYS:\LOGIN des FileServers. Sonst könnte man das Programm login (Anmeldeprogramm) nicht aktivieren. Auf das Verzeichnis SYS:\LOGIN greift man über das erste für das Netzwerk zur Verfügung gestellte Laufwerk zu. Nach der Anmeldung kann man auf den Rest zugreifen, entsprechend seiner Rechte.
Will sich ein User vom FileServer abmelden, so muß er ein logout machen.
Neben den Objekten USER gibt es die Objekte GROUP. Zu einer Gruppe können mehrere User gehören. Sinn der Gruppen ist die einfachere und übersichtlichere Handhabung von Zugriffsrechten.
Ist ein User Mitglied einer Gruppe, kann er deren Rechte nutzen, ohne Verlust der eigenen Rechte. Die Gruppe kann also andere Rechte haben wie der User. Im Gegensatz zu UNIX addieren sich die Rechte. Die Mitgliedschaft in einer Gruppe kann also nur von Vorteil und nie von Nachteil sein.
Ein USER kann jederzeit Mitglied mehrerer Gruppen sein und kann dann gleichzeitig die Rechte aller Gruppen nutzen, inklusive der eigenen.
Standard-USER und GROUPs
Auf jedem FileServer werden beim installieren die User SUPERVISOR und GUEST, sowie die Gruppe EVERYONE angelegt.
Der SUPERVISOR ist der Administrator des FileServers. Er kann nie gelöscht werden und hat immer alle Rechte, die auch nie gelöscht oder verändert werden. Er kann auch nicht umbenannt werden.
Der User GUEST hat keine wesentlichen Rechte. Paßwort-Vergabe für GUEST soll nur vom SUPERVISOR möglich sein (muß eingestellt werden). Kann gelöscht werden, sollte aber nicht.
Gruppe EVERYONE hat keine wesentlichen Rechte, hat aber den großen Vorteil gegenüber jeder anderen Gruppe, daß jeder neue USER automatisch Mitglied dieser Gruppe ist. Deswegen sollten dieser Gruppe Standardrechte vergeben werden.
Jeder neu eingerichtete User verfügt über ein eigenes Userprofil, über das NetWare den jeweiligen User überwacht.
Ein Userprofil besteht aus mehreren Eigenschaften, die teilweise automatisch erteilt und teilweise zugewiesen werden können (vom SUPERVISOR oder entsprechend ausgestatteten Usern).
Einige dieser Eigenschaften sind:
- USER-ID 1 ..... 8 stellige Hex-Zahl
- Username 1 ... 47 Zeichen (0-9, A-Z, -_)
- FULL NAME Zusatzname, bzw. Zusatzbezeichnung
- GROUPS BELONGED TO Gruppenmitgliedschaften
- HOME DIRECTORY Persönliches Verzeichnis
- TRUSTEE ASSIGNMENTS Zugriffsrecht (direkte Rechte)
- SECURITY EQUVALENCE Gleichberechtigung mit anderen Usern und Gruppen
(bezogen auf Zugriffsrechte)
Zugangsbeschränkungen
NetWare ermöglicht die Definition sogenannter login-restrictions um es unautorisierten Benutzern zu erschweren sich an einem FileServer anzumelden. Dazu gehören:
Anlegen von USERn und Gruppen
Geschieht über das Utility SYSCON gemacht, daß von der Workstation aus aufgerufen wird. SYSCON darf standardmäßig jeder aufrufen, kann aber auch als Recht entzogen werden, wie bei allen anderen Programmen. USER, Gruppen verwalten darf aber nur der SUPERVISOR und USER die mit entsprechenden Rechten ausgestattet sind. SYSCON ist eines der wichtigsten Utilitys für die Netzwerkverwaltung (bezogen auf USER, GROUPs, Eigenschaften und Restrictions).
Generell gilt: Die gesamte Administration im Netzwerk wird immer und von jedem grund- sätzlich von einer Workstation. Auf dem FileServer wird nur der FileServer Ablauf geregelt, Massenspeicher zur Verfügung gestellt, Volumes verwaltet (angelegt, aktiviert, deaktiviert usw.). Unter Novell NetWare kann ein FileServer auch von einer Arbeitsstation aus gesteuert werden.
MAP
Novell NetWare arbeitet mit Volumes, DOS/Windows mit Laufwerksbuchstaben. Um von der Workstation mit DOS/Windows auf die Volumes zugreifen zu können, bzw. deren Verzeichnisse und Daten, bietet NetWare die Möglichkeit Laufwerksbuchstaben den Volumes und / oder Verzeichnissen zuzuweisen. Das meist verwendete Kommando dafür ist MAP. Es kann auch noch das Utility SESSION benutzt werden. Eine gemachte Laufwerksbuchstaben - Zuordnung kann jederzeit geändert oder gelöscht werden. Das gilt nur für den betreffenden USER, der sie macht und wird nach einem LOGOUT automatisch gelöscht. Das heißt, sie sind nur temporär, bzw. relevant für die aktuelle Sitzung und den aktuellen USER.
Damit ein MAPPING nicht temporär, sondern dauerhaft / permanent ist, muß es entweder in das System login-Script oder in das USER login-Script eingetragen werden.
Das System login-Script SYS:\PUBLIC\NET$LOG:DAT gilt für alle USER und kann nur von SUPERVISOR (oder entsprechend mit Rechten ausgestattetem USER) verändert werden.
Das USER login-Script LOGIN befindet sich in der Mailbox des jeweiligen USERs. Nach der Installation eines FileServers sind weder SYSTEM login-Script noch USER login-Script vorhanden und dann wird das im Programm LOGIN.EXE (Anmeldeprogramm) enthaltene Standard login-Script abgearbeitet. Diese ist unveränderbar und enthält minimale MAPPINGs und Begrüßungen. Nach dem Anlegen von SYSTEM login-Script wird das Standard login-Script nicht mehr abgearbeitet. (Sicherheitshalber die Programme MAP und LOGIN.EXE auf eine Diskette kopieren.
3 verschiedene Arten von MAPPING:
- Die oberste Ebene, die gemappt werden kann ist das Volume. Unterverzeichnisse eines Volumes werden nicht mit gemappt. Sie müssen jeweils mit eigenem Laufwerksbuchstaben gemappt werden.
FAKE ROOT MAPPING
- Syntax:
MAP root LW:=[FileServername/]Volumename:[\DIR\...] [= optional]
SEARCH MAPPING
- Syntax:
MAP SEARCHNr:=[FileServername/]Volumename:[\DIR\...] [= optional]
MAP SNr:=[FileServername/]Volumename:[\DIR\...]
(Nr = 1 - 16)
Vorsicht ! SEARCH-Laufwerke können auch als Sprunglaufwerke (DRIVE oder FAKE ROOT MAPPING) mißbraucht werden. Sollte nicht gemacht werden, weil sowohl DRIVE MAPPINGs, als auch SEARCH MAPPINGs können mit dem Befehl cd umgebogen werden. Dann zeigen die SEARCH MAPPINGs nicht mehr auf das gewünschte Ver- zeichnis.
Beispiel:
MAP S1:=data:\mein legt Pathvariable Z:. für DOS an auf dieses
Verzeichnis
Z: wechselt in data:\mein
cd .. wechselt in data:, das hierdurch als Z:\ umgebogen wird.
Den einzigen Unterschied macht ein FAKE ROOT MAPPING. Dies kann nicht mehr nach oben umgebogen werden.
SEARCHs kann man auch mit ROOT verwenden. Syntax:
SEARCH INS ROOT S1:=[FileServername/]Volumename:[\DIR\...] [= optional]
Mit MAP kann man sich alle belegten Laufwerksbuchstaben anzeigen lassen.
Möchte man ein MAP löschen schreibt man:
MAP DEL Laufwerksname:
Um eine sinnvolle Arbeitsumgebung für alle im NetWare-Netz arbeitenden USER zu schaffen, müssen LOGIN Scripts erstellt werden.
Kann nur vom Supervisor oder gleichgestelltem User angelegt und bearbeitet werden.
Das System login-Script sollte alles enthalten, was für alle User gültig sein soll. Es muß auf alle Fälle ein SEARCH MAPPING auf SYS:PUBLIC beinhalten, damit alle NetWare Kommandos und Utilitys durch die User aufgerufen werden können.
Erstellung des System login-Script durch:
SYSCON
SUPERVISOR OPTION
Kann nur von User erstellt werden.
Erstellung über SYSCON à User Eigenschaften
Aufbau ist der gleiche wie das System login-Script. Es gilt aber nur für den betreffenden User. Das heißt, dieses Script soll auch nur User spezifische Angaben beinhalten. Meldet sich ein User an den FileServer an, wird zuerst immer das System login-Script abgearbeitet und anschließend das User login-Script. (sicherheitshalber einen SEARCH MAP auf PUBLIC anlegen)
Ein login-Script kann auch eine Alternative beinhalten (IF, THEN, ELSE)
Syntax:
IF Bedingung then
Kommandoliste 1
ELSE
Kommandoliste 2
END
DAY_OF_WEEK liefert aktuellen Wochentag im Format Montag - Sonntag
MONTH liefert Monat im Format 01 - 12
MONTH_NAME liefert Monat im Format Januar - Dezember
YEAR Jahreszahl (vierstellig)
FILE_SERVER liefert Name des aktuellen FileServers
GREETING_TIME liefert morning, afternoon oder evening
FULL_NAME
LOGIN_NAME
P_STATION Knotenadresse (Netzkartenadresse)
STATION Rückgabe der Anmeldenummer
USER_ID ID Nummer des User
NETWOR_ADRESS Interne Netzwerkadresse (8 HEX-Zeichen)
Diese Variablen können nur aus dem shell-Script aufgerufen werden. Sie müssen immer groß geschrieben werden.
Beispiel:
WRITE "Text ... %P_STATION"
WRITE "Hallo %LOGIN_NAME" (= Hallo Username)
WRITE "Good %GREETING_TIME %LOGIN_NAME"
MAP root P:=SYS:\PUBLIC
MAP ...
MAP ...
MAP ROOT INS S1:=SYS:\PUBLIC
MAP ROOT INS S1:=SYS:\LOGIN
...
WRITE "text ..." (schreibt den Text auf Bildschirm)
#command.com /c DOS-Befehl
Beispiel für login-Script:
* Login-Script für USER
#c:\dos\command.com /c cls
* MAPPINGS anlegen:
MAP ROOT P:=SYS:\PUBLIC
MAP ROOT M:=SYS:\MAIL\%USER_ID
MAP ROOT R:=PROG:
MAP ROOT H:=DATA:\%LOGIN_NAME
* SEARCH Laufwerke anlegen:
MAP ROOT INS S1:=SYS:\LOGIN
MAP ROOT INS S1:=SYS:\PUBLIC
MAP ROOT INS S1:=PROG:
MAP ROOT INS S1:=DATA:\%LOGIN_NAME\PROGRAMM
MAP ROOT INS S1:=DATA:\%LOGIN_NAME\BATCH
MAP ROOT INS S1:=SYS:\NC
#C:\dos\command.com /c cls
* Begrüssung des Users:
WRITE " "
WRITE " "
WRITE "*******************************************************"
WRITE " "
IF GREETING_TIME = "morning" THEN
WRITE "Guten Morgen %LOGIN_NAME !"
WRITE "Ich wünsche Dir einen schönen Tag !"
ELSE
IF "%GREETING_TIME" = "afternoon" THEN
WRITE "Guten Tag %LOGIN_NAME !"
WRITE "Ich wünsche Dir einen schönen Nachmittag !"
ELSE
WRITE "Guten Abend %LOGIN_NAME !"
WRITE "Jetzt noch im Netzwerk ?"
WRITE " Wird es nicht langsam Zeit nach Hause zu gehen ?"
END
END
* Anzeige weiterer Informationen:
WRITE " "
WRITE "************************************************************"
WRITE "Heute ist %DAY_OF_WEEK, der %DAY.%MONTH."
WRITE "Im Jahr %YEAR - aber das trifft auch auf die weiteren Tage zu."
WRITE "Wir haben jetzt %HOUR24.%MINUTE.%SECOND Uhr"
WRITE " "
WRITE "Hier noch ein paar weitere Informationen"
WRITE " "
PAUSE
WRITE "***************************************************************"
WRITE " "
WRITE "Knotenadresse ist: %P_STATION"
WRITE "Ich sage Dir sicher nichts neues, aber"
WRITE "Dein voller Name ist: %FULL_NAME"
WRITE " "
WRITE "Du bist am Server %FILE_SERVER angemeldet"
WRITE "und Mitglied der Gruppe(n): %MEMBER"
WRITE " "
WRITE "--------------------------------------------------------------"
PAUSE
MAP
Zwei Möglichkeiten:
Wenn der PrintServer ein eigener Rechner ist, dann ist das auf jeden Fall ein dedizierter PrintServer. D.h. er kann keine weiteren Aufgaben übernehmen. Gilt auch für Kombination FileServer = PrintServer.
Wenn der Drucker physikalisch nicht an den PrintServer angeschlossen ist, dann spricht von einem Remote Printer, sonst von einem lokalen Drucker.
Jeder PrintServer kann maximal 16 Drucker verwalten. (0 ... 15)
Möchte man einen PrintServer einrichten, muß der FileServer zuerst vorhanden sein. Anschließend meldet man sich von einer Arbeitsstation als berechtigter User an dem FileServer an und startet das Programm pconsole.exe (Verzeichnis SYS:\PUBLIC).
Hierzu sind folgende Schritte nötig:
Ist der PrintServer nicht auf der gleichen Maschine wie der FileServer, dann muß eine Workstation zum PrintServer werden. Das heißt, man loggt sich von einer Workstation beim FileServer als berechtigter User ein und aktiviert den PrintServer mit
pserver PrintServer_name (DOS Befehl pserver.exe)
Sollte einer der Drucker des PrintServers ein Remote Drucker sein, dann muß auf dem Rechner, an dem in diesem Fall der Drucker physikalisch angeschlossen ist, das Programm
rprinter
aktiviert werden.
capture L=X Q=Warteschleifenname [weitere Optionen]
Sind an eine Warteschlange mehrere Drucker angeschlossen,
unabhängig davon wo sie physikalisch angeschlossen sind, so entscheidet
der PrintServer, an welchen der Drucker ein Druckauftrag ausgedruckt wird.
In der Regel nimmt er den ersten der frei ist. Der Anschluß mehrerer
Drucker an eine Queue macht nur dann Sinn, wenn die Drucker gleich sind,
da sonst die Texte oder Grafiken unterschiedlich formatiert werden.
capture L=2 Q=Q1 (LPT2 wird umgebogen auf die Q1 des PrintServers)
capture L=1 Q=Q2 (biegt den Druckeranschluß auf den Remote Drucker um. Der lokale Drucker steht dann nicht mehr zur Verfügung).
endcap L=2 (setzt Druckerschnittstelle wieder
zurück auf lokal)
Ist der FileServer gleichzeitig PrintServer, dann wird der PrintServer deaktiviert durch die Eingabe von
auf der Konsole des FileServers.
Man spricht von Remote Console, wenn man sich die Console des FileServers auf eine Workstation holt.
Das ganze wird über ein Utility gemacht: RCONSOLE.EXE
Wird es gestartet, kann man von der Workstation aus
alle Befehle eingeben (die entsprechenden Rechte vorausgesetzt), die man
sonst nur auf dem FileServer eingeben würde. Damit RCONSOLE
aktiviert werden kann, müssen vorher auf dem FileServer die Module
REMOTE.NLM
und RSPX.NLM aktiviert werden.
Normalerweise erkennt der FileServer nur 16 MB Hauptspeicher. Soll auch der Speicher darüber für den FileServer zur Verfügung gestellt werden, so kann man das machen mit Hilfe des Befehles:
REGISTER MEMORY
Syntax:
REGISTER MEMORY startadresse(in Hex) länge(in Hex)
16 MB = 16 * 1024 * 1024 = 1.000.000 h
Zusätzliche 16 MB werden zur Verfügung gestellt durch:
REGISTER MEMORY 1000000 1000000
Gesamter Speicherbereich von 128 MB wird zu Verfügung gestellt durch:
REGISTER MEMORY 1000000 7000000
Bei Erfolg kommt die Meldung: memory successfully added
Sind bereits 16 MB zugefügt worden und es sollen zusätzliche 96 MB im laufen Betrieb zugefügt werden, so werden sie mit folgendem Aufruf freigegeben.
REGISTER MEMORY 2000000 6000000
Gibt man auf dem FileServer den Befehl MEMORY ein, so erhält man als Meldung wieviel Speicher dem FileServer insgesamt zur Verfügung steht.
Damit REGISTER MEMORY automatisch beim Hochfahren des Rechners gestartet wird, kann man den Befehl in die Datei AUTOEXEC.NCF aufnehmen. Am besten geschieht dies an erster Stelle. Darf nicht in der STARTUP.NCF geladen werden!
Nachdem der File Server hochgefahren ist, wird DOS hier nicht mehr gebraucht. Er belegt jetzt nur noch unnötig Hauptspeicherplatz. Gibt man auf dem FileServer den Befehl
REMOVE DOS
ein, wird DOS aus dem Hauptspeicher entfernt und den frei gewordene Hauptspeicher verwendet NetWare für file caching.
Fährt der FileServer wieder runter (DOWN),
kann man mit EXIT natürlich nicht mehr auf die DOS Ebene kommen.
Gibt man EXIT ein, wird der Rechner neu gebootet.
NetWare kontrolliert den Zugang und Zugriff auf den FileServer über 3 Ebenen:
Ebene des login
Voraussetzung ist hier:
- gültiger Username
- Paßwort
- Wann darf sich welcher User von welcher Station anmelden
Ebene der Rechte
Über die Vergabe von Rechten an User und Gruppen wird festgelegt, welcher User, bzw. welche Gruppe, auf welche Verzeichnisse und Dateien, in welcher Art und Weise zugreifen kann.
Rechte werden addiert. Durch Mitglied in einer Gruppe werden die Rechte der Gruppe an den User erteilt. Seine eigenen behält er zusätzlich.
Rechte werden im Verzeichnisbaum nach unten übertragen. (außer IRM)
Die Ebene der Rechte wird bestimmt durch Erteilung von:
- Trustee Assignments (weiterhin als TA bezeichnet)
USER an USER (unabhängig von der Gruppenzugehörigkeit)
GROUP an Gruppenmitglieder (eigene Gruppe)
- Security Equivalences (weiterhin als SE abgekürzt)
Die Rechte, die ein User über SE erhält, bezeichnet man als indirekte Rechte. Sie können nicht vererbt werden. SE werden nur über eine Richtung vergeben.
Wenn User "A" dem User "B" gleichgestellt, so erhält User "A" die Rechte von User "B", allerdings nur die direkten Rechte.
- IRM (inherited right mask)
Jedes neu erstellte Verzeichnis und jede neu erstellte Datei erhält automatisch eine IRM. Diese IRM beinhaltet standardmäßig alle Rechte. Jeder User, der auf ein Verzeichnis oder eine Datei TA oder SE hat, kann IRM nicht nutzen. Hat ein User dagegen auf ein Verzeichnis oder eine Datei keine TA oder SE, dann tritt die IRM nach folgendem Muster in Kraft.
Wenn der User auf ein Unterverzeichnis nur weitergegebene Rechte hat (weder TA noch SE, dann gilt die Schnittmenge aus IRM und Userrechten)
Wenn der User dagegen auf ein Unterverzeichnis SE oder TA auf ein Unterverzeichnis hat, dann gelten weder IRM, noch die von oben weiter gegebenen Rechte.
IRM tritt also nur dann in Kraft, wenn keine expliziten (ausdrücklichen) Rechte für das jeweilige Verzeichnis, bzw. die jeweilige Datei, vergeben wurden.
Die IRM des Volumes ist immer leer, da es keine obere Ebene gibt, von der her Rechte weiter gegeben werden könnten.
Es gibt insgesamt 8 verschiedene Rechte:
Anzeige: [SRWCEMFA] alle Rechte
[ R F ] READ und FILE SCAN Recht
Der Platz für fehlende Rechte wird mit Leerzeichen aufgefüllt angezeigt, z.B. mit NDIR
Obwohl es bei NetWare die gleichen Rechte für Dateien und Verzeichnisse gibt, haben sie unterschiedliche Bedeutung.
Dateien
S - SUPERVISORY - alle Rechte auf die betreffende Datei. Beinhaltet auch das Recht die IRM der Datei zu ändern und alle Rechte für diese Datei an andere User weiter zu geben.
A - ACCESS CONTROL - Rechtezuweisung und IRM der Datei können verändert und an andere weiter gegeben werden.
R - READ - erlaubt das öffnen und lesen der betreffenden Datei.
W - WRITE - die vorhandene Datei kann geöffnet und verändert werden.
C - CREATE - erlaubt eine gelöschte Datei wieder herzustellen (voraus gesetzt, das PURGE Attribut war vor dem löschen für die Datei nicht gesetzt).
E - ERASE - Datei darf gelöscht werden.
M - MODIFY - Datei kann umbenannt und deren Attribute verändert werden.
F - FILE SCAN - erlaubt das Auflisten der Datei in einem Verzeichnis.
Verzeichnisse:
S - SUPERVISORY - erlaubt einem USER alle Rechte
in diesem Verzeichnis, und seinen Unterverzeichnissen und Dateien auszuführen.
Dieses Recht überschreibt alle Einschränkungen,
die in Unterverzeichnissen und Dateien durch die IRM resultieren.
Ein User, der das S-Recht besitzt, kann es an andere
User weitergeben. Es kann nur auf der Ebene wieder entzogen werden, auf
der es vergeben wurde.
A - ACCESS CONTROL - der User kann die TA der User und die IRM des Verzeichnisses und der Dateien dort verändern. Außerdem kann er TA an andere User weitergeben. auch solche, die er selbst nicht hat (außer S-Recht)
R - READ - erlaubt einem User Dateien zu öffnen und zu lesen in dem betref- fenden Verzeichnis. Programme können ausgeführt werden.
W - WRITE - erlaubt einem User vorhandene Dateien zu öffnen und zu verändern.
C - CREATE - erlaubt einem User Unterverzeichnisse und Dateien anzulegen. Wird aber eine erstellte Datei geschlossen, kann er mit diesem Recht alleine auf die Datei nicht mehr zugreifen.
E - ERASE - Dateien und Verzeichnisse können gelöscht werden.
M - MODIFY - Dateien und Verzeichnisse können umbenannt und deren Attribute können verändert werden.
F - FILE SCAN - erlaubt die Auflistung des Inhaltsverzeichnisses im betreffenden Verzeichnis.
Beispiel:
User1 [ R F ] (TA) [ WC ME ] (SE) auf DATA:\USER
explizit sind TA + SE, effektive
Rechte sind identisch. IRM spielen hier keine Rolle.
User1 [ R FA ] (TA) auf DATA:\USER
Grp1 [ RFWCME ] (TA) auf DATA:
User1 ist Mitglied von Grp1
[ RFAWCME ] auf DATA: , explizite und effektive Rechte sind gleich
[ RFA ] auf DATA:\ , explizit Rechte und
[ RFAWCME ] auf DATA:\User , effektive
Rechte
Ist die IRM für DATA:\User [ R F ], dann sind die effektiven Rechte
[ RFA ]
weil die Rechte der IRM und Gruppe eine Schnittmenge bilden. Das was daraus übrig bleibt, kumuliert mit den TA des Users.
Alles, was von oben weiter gegeben wird an Rechten schneidet sich mit der IRM !
Deshalb: Finger weg von den IRM !
Rechte auf Dateien möglichst wenig vergeben !
Für die User die persönliche Voreinstellung der Rechte möglichst lassen !
Ebene der Attribute
NetWare erlaubt die Vergabe von Datei- und Verzeichnisattributen. Diese Attribute hängen an den Verzeichnissen, bzw. Dateien, und sind unabhängig von User und Gruppen. Das heißt, sie entscheiden letztendlich wie der Zugriff auf das Verzeichnis, bzw. die Datei, erfolgen soll. Das heißt, sie können durch das Recht haben eine Datei zu löschen von den Rechten im Verzeichnis aus, aber wenn die Dateirechte auf nicht löschen gesetzt sind, gilt das nicht.
Attribute für Verzeichnisse
Verzeichnisattribute gelten für alle User und Gruppen und gelten für alle Dateien in dem Verzeichnis, außer die Dateiattribute sind anders gesetzt.
Verzeichnisattribute können mit dem Befehl FLAGDIR oder dem Utility FILER angezeigt und verändert werden.
Folgende 5 Attribute gibt es:
Di DELETE INHIBITE - verhindert, daß ein User das Verzeichnis löschen kann, auch wenn er das Recht ERASE hat.
H HIDDEN - Ein Verzeichnis ist für den dir-Befehl (DOS) versteckt, d.h. es wird nicht angezeigt. Das Verzeichnis kann auch nicht mehr gelöscht und kopiert werden.
P PURGE - alle Dateien eines Verzeichnisses werden physikalisch gelöscht.
Ri RENAME INHIBIT - Verzeichnisse mit diesem Attribut können nicht umbenannt werden, auch dann nicht, wenn der User das Recht MODIFY hat.
Sy SYSTEM - hat gleiche Funktion wie HIDDEN. Das Attribut zeigt nur an, daß es sich um ein Systemverzeichnis handelt.
Attribute für Dateien
Dateiattribute entscheiden letztendlich, wie auf eine Datei zugegriffen werden kann, bzw. welche Rechte ein User praktisch ausüben darf. Ein User mit dem Recht MODIFY kann die Attribute über den Kommando FLAG oder dem Utility FILER anzeigt und verändert werden.
Insgesamt gibt es 14 Dateiattribute:
A ARCHIV NEEDED - wird automatisch von NetWare nach dem verändern einer Datei gesetzt wird. Programme wie BACKUP oder NBACKUP können dieses Attribut auswerten und dementsprechend nur diese Dateien sichern.
Ci COPY INHIBIT - User, die sich von MacIntosh Arbeitsstationen einloggen, können die betreffende Datei nicht kopieren.
Di DELETE INHIBIT - Dateien mit diesem Atztribut können nicht gelöscht werden, auch wenn der User ERASE Recht hat.
X EXECUTE
ONLY - Kopierschutz für *.COM und *.EXE Dateien.
Vorsicht:
X-Recht kann nicht mehr gelöscht (entfernt)
werden !
Einige Programme funktionieren evtl. nicht mehr
richtig !
Vor Setzen dieses Attributs sollte von der betreffenden
Datei unbedingt eine Sicherheitskopie angelegt werden !
H HIDDEN - Datei wird mit dem dir (DOS Befehl) nicht
angezeigt. Außer- dem kann sie mit del und copy (DOS
Befehle) nicht gelöscht, bzw. kopiert werden.
Programme können trotzdem ausgeführt werden.
I INDEXED - bewirkt eine spezielle Indizierung in der FAT (Turbo FAT). Hat eine Datei mehr wie 64 Einträge in der FAT, so wird dieses Attribut automatisch gesetzt, um den Zugriff auf die einzelnen Fragmente schneller zugreifen zu können.
P PURGE - Datei mit diesem Attribut wird physikalisch gelöscht (ZERO FILLING) und kann nicht wieder hergestellt werden.
Ra READ AUDIT - unbenutzt
Ro READ ONLY - Datei kann nur gelesen, jedoch nicht verändert werden
Rw READ WRITE - Datei kann gelesen und verändert werden.
S SHAREABLE - Datei kann gleichzeitig von mehreren Usern geöffnet werden. Sinnvoll für *.EXE und .COM Dateien, aber nicht für Dateien, die bearbeitet werden müssen / können.
Sy SYSTEM - hat gleiche Funktion wie HIDDEN. Das Attribut zeigt nur an, daß es sich um eine Systemdatei handelt. Programme mit diesem Attribut können nicht mehr ausgeführt werden.
T TRANSACTIONAL - bewirkt eine Transaktionsfortschreibung (trantaction tracking - TTS) für diese Datei. Das Attribut wird bei Datenbanken benutzt. Es schützt die Datenbank vor Inkonsistenz in den Initialisierungsdateien. Datenbank kann im Crash-Fall aus alten Datenbeständen automatisch wieder hergestellt werden.
Wa WRITE AUDIT - unbenutzt
Wird ein Volume neu eingerichtet, legt NetWare automatisch das Verzeichnis DELETED.SAV an (versteckt). Wird eine Datei gelöscht (ohne Attribut PURGE), bleibt sie physikalisch weiterhin vorhanden, kann aber nicht mehr gesehen und vom Betriebssystem angesprochen werden. Sie landet sozusagen im Hintergrund des Verzeichnisses, in dem sie sich befand.
Mit Hilfe von SALVAGE kann die Datei im ursprünglichen Verzeichnis wieder hergestellt werden. Wird nicht nur die Datei, sondern auch das Verzeichnis der Datei gelöscht, dann landet diese im Verzeichnis DELETED.SAV. Über SALVAGE kann diese Datei wieder hergestellt und in einem beliebigen Verzeichnis abgelegt werden.
Gelöschte Verzeichnisse landen nicht in DELETED.SAV.
Eine Datei bleibt in DELETED.SAV solange erhalten bis der FileServer den Speicherplatz braucht.
DELETED.SAV kann auch manuell entleert werden. D.h. die Dateien werden dann faktisch gepurged.