| Novell Account Management使用 |
|
|
| 罗振文 新浪网 2001-10-23 |
作为一个管理员,我的主要任务之一就是建帐号。单位里的系统不断增加,NetWare、NT、Unix、Oracle、Lotus……网络规模越来越大,上网的人越来越多,有时候,我需要为同一个人在各系统里建立不同的帐号,并维护它们,使其保持一致。不用问,工作相当繁琐,用户也经常被多个帐号搞得晕头转向,没完没了地向我提重复性的问题,并经常让我废除那些他们自己已经忘了的口令,另给一个新的。
这些的琐碎、重复的工作几乎使我丧失了作管理员的兴趣,有时我不禁问自己,我到底是这个网络的主人还是它的奴隶呢?直到一天,我知道了其实工作可以变得简单。我使用了Novell的Account Management。
目前的Account Management版本是2.1(以下简称AM2.1),它是一个基于NDS eDirectory的跨平台帐户管理应用软件。AM2.1分为两部分:NDS eDirectory8.51和Account Management。
下面是本人使用AM2.1的经历和体会。
我管理的环境里有3台服务器,其操作系统分别为:1台NetWare5.0中文版、1台Windows NT4.0(SP6)和1台Solaris2.6。
配置Account Management
Account Management安装完毕后,需要一些手工操作来配置它,如果你稍微了解一些UNIX PAM(可插拔验证模块)的原理,配置将十分简单。Solaris支持PAM(Pluggable Authentication Modules),可以使用多种验证方法,如passwd文件、NIS、NIS+或NDS。这些验证方法可以单独使用,也可以叠加使用。/etc/pam.conf文件的内容决定了验证的次序(列在文件前面的先验证)和方式。另一个与验证有关的配置文件是/etc/nsswitch.conf,它决定系统采用那种名字服务(name service)。
最简单的配置方法是用AM2.1提供的范本配置文件替换原有的配置文件。运行如下命令即可:
cp pam.conf.nds pam.conf
cp nsswitch.conf.nds nsswitch.conf
文件复制完成后,立即生效,无需重启动应用程序。
帐户管理
有三种方法来生成NDS帐户:
◆使用ConsoleOne或NWAdmin(需要相应的插件)
ConsoleOne和NWAdmin是通用的管理工具,可以完成帐户管理的任何操作。
◆使用NT的User Manager
这是NT的域用户管理工具,用此工具在NT中建立帐户的同时会建立NDS用户对象,其位置由域对象的“Default User Creation Context”属性设定。“Default User Creation Force Password Sync”属性决定由User Manager的帐户的NT和NDS口令是否同步。
◆使用AM2.1提供的Solaris帐户迁移工具migrate2nds和unix2nds
migrate2nds和unix2nds可以把Solaris帐户迁移到NDS中。
User Manager和mireate2nds功能有限,要进行帐户管理,而且作为Java应用程序,有着跨平台的天然优势。另外,ConsoleOne在一般配置的微机上运行时,速度令人满意。
管理NT帐号
使用ConsoleOne,可以完成几乎全部的NT帐户管理任务。如:
创建全局/本地组
选中域对象,点右键,选择“新建”〉“对象”。在弹出的“新对象”窗口中,选择“NDS for NT Global Group”或“NDS for NT Local Group”后点击“确定”按钮。
向NT域添加NDS用户
右击域对象,选择“属性”〉“Domain”,在列表中选择“Members”。
点“Add”按钮,出现选择对象窗口,选择对象,点击“确定”按钮。
从NT域中删除NDS用户
从NT域中删除NDS用户的过程与添加过程相反,在“Domain>Members”列表中选择对象后,点击“Delete”按钮。
从全局/本地组中删除NDS用户
右击相应的全局/本地组〉“属性”〉在“Members”中选择对象,点“Delete”按钮。
使用NT工具
如果在NT Server/Workstation上运行ConsoleOne,你可以使用NT管理工具远程管理NT服务器。
右击域对象〉“属性”〉“Domain”〉“NT Tools”。
可供使用的工具有:文件和文件夹共享、服务器管理器、用户管理器、事件纪录。
使用Replica Advisor
可以使用Replica Advisor跟踪域对象在NDS分区中的分布情况。
管理UNIX帐号
把UNIX帐户迁移到NDS
请注意确保NDS名字服务关闭,/etc/nsswitch.conf中的passwd和groups条目只能设为file、file nis或files nisplus,不能设为NDS。如果这种情况出现,可以在nds前加注释符号“#”,将其屏蔽。
运行pwconv命令使/etc/shadow和/etc/passwd文件保持一致。
创建migrate2nds.inp文件。
需要注意的选项是:
◆DeleteMigratedAccounts:如果设为Yes,已经迁移到NDS的帐户将在Solaris的文件中删除。
◆PromptIfDuplicateAccounts:如果发现帐户重名,是否给予提示。
◆CreateBackups:是否创建备份。如果设为Yes,AM2.1会在/var/ndsuam目录下创建revfiles_passwd、revfiles_shadow和revfiles_group三个与/etc下passwd、shadow和group相对应的备份文件,以便将来恢复。
迁移
运行migrate2nds命令。由于没有设置“UserContext”和“GroupContext”两项,migrate2nds在NDS中建立“unix-users”和“unix-groups”两个容器对象,把UNIX用户和组分别导入其中。
激活被迁移的帐户
将nsswitch.conf文件中被屏蔽的nds条目中的注释符号“#”删除,使其激活。
删除已经迁移的用户
如果必要,可以删除已经迁移到NDS的帐户,以确保唯一性。方法很简单,migrate2nds把未迁移的用户/组存放在/var/ndsuam/files_passwd、files_shadow和files_group三个文件中,只要用它们替换/etc下的passwd、shadow和group文件即可。
如果帐户迁移影响了UNIX系统和应用程序,可以把系统恢复到以前的状态。其前提是已经把migrate2nds.inp中的CreateBackups参数设为Yes。此时,只要把在/var/ndsuam目录下的revfiles_passwd、revfiles_shadow和revfiles_group备份文件恢复为/etc下passwd、shadow和group文件即可。当然,已经迁移到NDS的帐户,还需要手工删除。
创建一个通用帐户
帐户管理的理想目标是每个用户拥有一个通用帐户,独立于任何操作系统,但又适用于任何操作系统。下面,我要建立一个NDS帐户,使其可以适用于NetWare、Solaris和NT,过程如下:
1.建立或选择一个NDS组,例如“am21”。
2.为该组对象建立“UNIX Profile”。
3.将am21加入到一个UNIX Workstation,如:ysrefinery。
4.建立或选择一个NDS用户对象,如“uni”。
5.为该用户对象建立一个“UNIX Profile”。
6.继续为该用户设置“Domain Access”属性。将其加入一个域的用户组,如“Domain users”。
7.在工作站上运行telnet ysrefinery。
8.输入用户名uni及口令,登陆成功!
9.运行NT的域用户管理器,检查是否有新用户uni存在。
10.在NT中为uni用户设置一定的文件权限。
11.以uni用户身份登录NT服务器,检查权限是否有效。
归纳起来,AM2.1的作用是:简化了NT的域管理;提升UNIX帐户管理及其安全性;提高网络的安全性、可靠性;全面提升效率。总之,AM2.1的出现,无论是对管理员还是对用户,都是一种解放。
|
|
|
|
|
 |
|
|
|
|
|
|
|
