OES 2は、次のような多数のサービスアクセスのアクセスオプションをサポートします。
Webブラウザ。
Linux、Macintosh 、およびWindowsワークステーションのファイルマネージャおよびアプリケーション。
Novell Client™ソフトウェア
Webアクセスが可能なPDA (Personal Digital Assistant)や他の電子デバイス。
提供するサービスおよびこれらのサービスを設定する方法により、どのオプションを使用可能にするかを制御します。
この節はアクセス制御をより広い範囲でとらえるのに役立つため、サービスへのアクセスを計画、実装、および制御できます。説明する項目の詳細については、サービスガイドを個別に参照してください。
次にトピックを示します。
次の節では、Open Enterprise Server 2のサービスへアクセスする方法を概説します。
図 16-1はOES 2サービスでサポートされているアクセス方法を示します。Novell® eDirectory™は、各サービスへの認証を提供します。
図 16-1 アクセスインタフェースおよびそれらを介してアクセス可能なサービス
各サービスで使用可能なインタフェースは、主にサービスでサポートされているプロトコルに基づいて決定されます。
ブラウザやPDA (Personal Digital Assistants)は、HTTPプロトコルをサポートしている必要があります。
各ワークステーションのタイプには、ファイルアクセスプロトコルが関連付けられています。Linuxは、ファイルサービスアクセス用のネイティブプロトコルとしてNFSを使用し、Macintoshワークステーションは、AFPまたはCIFSを使用して通信します。またWindowsワークステーションは、ファイルサービス用にCIFSプロトコルが使用されます。
WindowsおよびLinuxの両方のNovellクライアントソフトウェアは、Novell製品として定評のあるNCP™ (NetWare® Core Protocol™)ソフトウェアをファイルサービス機能に使用します。
OES 2サービス用のプロトコルサポートを理解すると、OESの実装を計画するのに役立ちます。詳細については、アクセス要件をチェックするプロトコルとサービスのマッチングを参照してください。
OES 2では従来型Novellアクセス制御とPOSIXアクセス制御の両方が使用できるため、ネットワークサービスの多様な機能を提供するためにその2つのモデルを組み合わせるなど、さまざまな使用形態を選択できます。
表 16-1には、OES 2のアクセス制御機能を説明するマニュアルへのリンクが記載されています。
表 16-1 一般的なファイルシステムのアクセス制御
機能 |
確認内容 |
次のトピックを参照してください。 |
---|---|---|
Linuxのアクセス制御リスト(ACL) |
最も一般に使用される従来型のLinuxファイルシステムでのACLのサポート状況、および、ファイルやディレクトリの所有者でないユーザとグループに対する、ACLによるファイルやディレクトリのパーミッション割り当て方法。 |
『SLES 10 SP1 Installation and Administration Guide』の |
NCPおよびPOSIXアクセス権の調整 |
NCP(またはNetWare)アクセス制御モデルをPOSIXファイルシステムへ近づける方法。 |
|
ディレクトリとファイルの属性 |
OES 2 NetWareのディレクトリとファイルの属性。 |
『OES 2: File Systems Management Guide』の |
ファイルシステムトラスティ権 |
NetWare (NSSと従来型のボリューム)のファイルシステムトラスティ権。NetWareでの有効なファイルシステムトラスティ権の決定方法を含む。 |
『OES 2: File Systems Management Guide』の |
NetWare Connection Manager |
NetWare Connection Managerが、どのようにアクティブなユーザ接続を追跡して、NSSボリュームと従来型のNetWareボリュームのアクセスパーミッション情報を提供するか。 |
『OES 2: File Systems Management Guide』の |
Novell ClientとNetWare Connection Manager |
ファイルシステムへの正しいアクセス権をユーザに持たせるために、Novell ClientがConnection Managerとどのように連携するか。 |
|
NetWareトラスティ権およびディレクトリとファイルの属性 |
ユーザと参照できるファイルの関係およびファイルに対して実行できる操作を設定する方法。 |
『OES 2: File Systems Management Guide』の |
LinuxのPOSIXファイルシステムの権利と属性 |
OES 2 Linuxサーバでファイルシステム属性を設定する方法。 |
『SLES 10 SP1 Installation and Administration Guide』の |
NetWare上にアプリケーションをインストールする権利 |
NetWareファイルシステム上にアプリケーションをインストールするために必要なアクセス権。 |
|
eDirectoryでの同等セキュリティ |
eDirectoryでの同等セキュリティの概念。 |
『OES 2: File Systems Management Guide』の |
NetWareはその豊富なアクセス制御で知られています。OESでは、NSSボリュームのサポートにより、Linuxでこれらのアクセス制御を使用できます。さらに、NCPボリュームを作成することにより、Linuxの従来型ファイルシステム上でも一部の制御が使用可能になります。Linuxの従来型システムは、NSSが提供するディレクトリ属性およびファイル属性の1つのサブセットのみを提供するため、NCPボリュームは制限されます。
NetWareアクセス制御モデルでは、ユーザやグループのようなeDirectoryオブジェクトに、NSSボリュームおよびNCPボリューム上のディレクトリおよびファイルに対する、ファイルシステムのトラスティ権が割り当てられます。このトラスティ権で、ディレクトリやファイルを操作できるユーザまたはグループが決定されます。ただし、ディレクトリやファイルの属性で操作が許可されているという条件が付きます。
詳細については、図 16-2を参照してください。
図 16-2 NetWareアクセス制御モデルにおけるディレクトリおよびファイルアクセス
表 16-2では、図 16-2に示す有効なアクセス権について説明します。
表 16-2 アクセス権の説明
表 16-3には、NSS固有の各種アクセス制御機能を説明するマニュアルへのリンクを記載しています。
表 16-3 NSSアクセス制御に関するマニュアルへのリンクの概要
機能 |
確認内容 |
次のトピックを参照してください。 |
---|---|---|
独立モードとNetWareモード これは、Linuxのみに該当します。 |
独立モードのアクセスとNetWareモードのアクセスの相違点。 |
『OES 2: File Systems Management Guide』の |
OES 2 LinuxのNSSボリュームのNetWareディレクトリとファイルの属性 これは、表示内容のみが該当します。POSIXパーミッションは、NSSボリュームのアクセス制御には使用されません。 |
NSSファイル属性が、POSIXを介して表示可能なLinuxディレクトリやファイルのパーミッションにどのように反映されるか。 |
『OES 2: File Systems Management Guide』の |
ネットワーク上でNovell Clientを使用するかどうかがまだ決定していない場合は、次の情報を考慮することをお勧めします。
Novell Clientは、NetWareサーバとOES Linuxサーバにアクセスすることで、WindowsデスクトップおよびLinuxデスクトップの機能を拡張します。
Novell Clientソフトウェアをインストールすると、ユーザは、次のNovellサービスをすべてにわたって利用できます。
Novell eDirectoryを介した認証
ネットワーク参照とサービスの解決
保護された信頼性の高いファイルシステムアクセス
業界標準のプロトコルのサポート
Novell Clientは、従来型のNovellプロトコル(NDAP、NCP、およびRSA)をサポートし、オープンなプロトコル(LDAP、CIFS、およびNFS)と相互運用できます。
Novellは、Novell Clientを必要としないサービス(NetStorage、Novell iFolder® 3.6、iPrintなど)を提供していますが、次の理由から、多くのネットワーク管理者が、ネットワークユーザのアクセス手段にNovell Clientを選んでいます。
ネットワーク管理者がLDAP認証よりeDirectory認証を選択するのは、eDirectoryがより安全と考えているためです。
ネットワーク管理者がMicrosoft CIFSプロトコルよりNCP (NetWare Core Protocol)を選択するのは、CIFSではネットワークでウィルスが増殖しやすいと考えているためです。
逆に、それ以外のネットワーク管理者は、一様に、各ワークステーションでNCPクライアントを実行するオーバーヘッドを増やさずにユーザが問題なく作業できることにこだわっています。
Novellは、なにがユーザのネットワークにとって最適なのかを判断することはできませんが、ユーザには実行可能な選択肢を提供します。
LinuxクライアントおよびWindowsクライアントには、いくつかの相違点があります。これらの相違点については、『Novell Client 2.0 for Linux Administration Guide』のUnderstanding How the Novell Client for Linux Differs from the Novell Client for Windows 2000/XP
で説明しています。
OES 2 Linuxサーバで実行する一部のサービスの場合、そうしたサービスにアクセスするユーザは、Linuxユーザ資格情報(ユーザID (UID)、プライマリグループID (GID)など)を持つ標準のLinuxユーザであるか、少なくともLinuxシステムに対してそのようなユーザであると認識されなければなりません。
eDirectoryユーザがこうしたサービスにアクセスできるように、Linuxユーザ管理(LUM)テクノロジが用意されています。このため、ネットワーク管理者は、このようなユーザやグループがローカルサーバのeDirectory LDAP認証に有効になるようにしておく必要があります。詳細については、LUM (Linux User Management): eDirectoryユーザのためのLinuxへのアクセスを参照してください。
ネットワークユーザが使用可能なアクセスオプションを理解したら、ネットワークで最も効果を発揮するオプションを決定できます。
ネットワークサービスの計画のヒントについて、次のセクションで取り上げます。
提供するファイルサービスを計画するときは、次のセクションで説明するファイルサービス/ボリュームおよび機能サポートの制限に注意してください。
サポートされている組み合わせは、表 16-4で説明しています。
表 16-4 ボリュームタイプへのサービスアクセス
各ファイルサービスでサポートされているファイルシステムの詳細については、各サービスのマニュアルを参照してください。
また、ファイルサービスがさまざまなアクセスプロトコルセットをサポートすることにも注意してください。各種OESファイルサービスにアクセスする場合に利用できるプロトコルの概要については、アクセス要件をチェックするプロトコルとサービスのマッチングを参照してください。
表 16-5 各ボリュームタイプでサポートされている機能
Novell iPrintにはアクセス制御機能が用意されており、この機能により、各eDirectoryユーザ、グループ、またはコンテナオブジェクトからプリントリソースにアクセスするように指定できます。
また、iPrintを使用すれば、認証を必要としないプリントサービスを設定することもできます。
メモ:プリンタのアクセス制御は、WindowsのiPrintクライアントのみでサポートされます。
アクセス制御とiPrintの詳細については、次を参照してください。
図 16-3は、OESでユーザが使用できるアクセスインタフェースおよび各インタフェースが接続できるサービスを示しています。この図には、アクセスインタフェースとネットワークサービスとを接続するプロトコルも示しています。
これを使用して計画するためには、次を行います。
左側の列のさまざまなアクセスインタフェースを確認します。
2番目の列に示されている各プロトコルの右側の情報をチェックします。
右端の列には、各サービスでサポートされているプロトコルが表示されます。
図 16-3 アクセスインタフェースとサービス、およびそれらを接続するプロトコル
LinuxでNCP (NetWare Core Protocol)を利用できるようになったため、Novell Clientユーザは、NetWareサーバに接続する場合と同様に、簡単にOES 2 Linuxサーバに接続できます。実際、変化に気がつくことはほとんどありません。
NCP Server for Linuxは、ログインスクリプト、OES 2 Linuxサーバへのドライブのマッピング、および一般にNovell Clientアクセスに関連付けられている他のサービスにも対応しています。つまり、Novell ClientをインストールしているWindowsユーザは、今後、OES 2 Linuxのファイルサービスへシームレスに移行できるようになりました。また、Novell Client for Linuxを使用することで、NCPファイルサービスを中断することなく、WindowsユーザをSUSE Linux Enterprise Desktopへ、移動することができます。
詳細については、『OES 2: NCP Server for Linux Administration Guide』を参照してください。
OES 2サービスを計画し、インストールしたら、ネットワークユーザにわかりやすいアクセス手順を示してください。アクセス方法の概要については、セクション D.0, OES 2ユーザサービスのクイックリファレンスを参照してください。
次の節では、サービスへのアクセスの管理について説明します。
多くのネットワーク管理者が、パスワードの管理をユーザに任せています。パスワードの自己管理の詳細については、『Novell Password Management Administration Guide』のPassword Self-Service
を参照してください。
従来型のLinuxファイルシステムへのアクセス制御は、ディレクトリやファイルに関連付けられたPOSIXファイルシステムのアクセス権または属性を介して制御されます。一般に、次の3つのPOSIXエンティティが、ディレクトリやファイルにアクセスできます。
ディレクトリまたはファイルを所有するユーザ
ディレクトリまたはファイルを所有するグループ
システムで定義された他のすべてのユーザ
こうしたユーザや関連するグループには、ディレクトリやファイルごとに3つの属性の組み合わせがそれぞれ割り当てられます(または割り当てられません)。
詳細については、『OES 2: File Systems Management Guide』のConfiguring File System Trustees, Trustee Rights, Inherited Rights Filters, and Attributes
を参照してください。
『le Systems Management Guide 』のonfiguring File System Trustees, Trustee Rights, Inherited Rights Filters, and Attributes
に、ファイルとディレクトリのトラスティ管理の詳細が記載されています。
以降のセクションで、NSSボリュームのトラスティの管理について簡単に説明します。
NetStorage Webブラウザインタフェースを使用すると、NSSボリュームのディレクトリやファイルの属性とトラスティを変更できますが、NetStorageへのWebDAV接続を使用した場合、それらを変更することはできません。
また、NetStorageを使用して従来型のNetWareボリュームの属性またはトラスティを変更することはできません。
Novell Clientを使用して、NNSのファイル属性およびディレクトリ属性を変更できます。また、OES 2 Linuxサーバ上のNSSボリュームに、トラスティ権を付与することができます。詳細については、『Novell Client 4.91 for Windows XP/2003 Installation and Administration Guide』のNetWare File Security
および『Novell Client 2.0 for Linux Administration Guide』のManaging File Security
を参照してください。
iManager 2.7ファイルおよびフォルダのプラグインを使用して、NCPボリュームおよびNSSボリューム上のディレクトリおよびファイルを管理できます。詳細については、プラグインのヘルプを参照してください。
attribコマンドを使用して、NSSボリューム上のファイル属性およびディレクトリ属性を変更します。
attribコマンドについては、『OES 2: File Systems Management Guide』のAttributes Utility for Linux
も参照してください。
あるいは、コマンドプロンプトから次のコマンドを入力してヘルプを表示できます。
attrib --help
NSSボリュームにNSSトラスティ権を与えるには、次のコマンドを入力します。
rights -f /full/directory/path -r rights_mask trustee full.object.context
/full/directory/pathは、NSSボリュームのターゲットディレクトリへのパスです。rights_maskは、NSS権利のリストです。full.object.contextは、ツリー名を含む完全なeDirectoryコンテキストでのオブジェクト(ユーザまたはグループ)です。
たとえば、次のように入力できます。
rights -f /data/groupstuff -r rwfc trustee mygroup.testing.example_tree
コマンドオプションの詳細なリストについては、コマンドプロンプトで「rights」と入力します。
rightsコマンドについては、『OES 2: File Systems Management Guide』のTrustee Rights Utility for Linux
を参照してください。