Novell eDirectory の環境で認証 Proxy として非常に利用しやすいのが BlueCoat SG シリーズです。今までは Vorela Excelerator などいい製品があったのですが、ノベルは Volera をディスコンにしてしまったので代替のプロクシサーバを探していたのですが、やっと BlueCoat のプロキシが eDirectory と非常によい連携を取ってくれることがわかったのでお勧めでしょう。

a0056607_11731.gif


メニューの中には認証ソースとして eDirectory がデフォルトで入っています。あとは、どのコンテナ、グループ、ユーザを許可するかのルールを作るだけです。

a0056607_1195681.gif


eDirectory 環境ではプロキシーユーザ(代理ユーザ)の設定が必須です。つまり BlueCoat から代理でLDAP認証を要求するユーザの指定ですね。

ここでは .admin.MyOrg を指定して、Adminのパスワードをセットしてみましたが、セキュリティの問題があるようであれば、別なユーザを作って指定することも可能でしょう。 Winodows ドメインのように anonymous で問い合わせてパスワードを簡単に教えてくれるチャチなシステムではないので注意が必要です。 anonymous では認証は通りません。この辺の設計はしっかりしています。

ログは SYSLOG サーバや SUSE Linux の FTP のサーバなどに飛ばしましょう。かなりな量になります。

認証プロクシの最大の利点はこのURLを踏んだのがどのPC(IPアドレスか)ではなく「誰が」であるかがばっちりログに残ることです。IPだけ記録するプロクシだと実際にどのマシンかを特定するため、IPとMACアドレスを比較して、そのPCを特定して、誰がその時間PCを使っていたのか特定しなければならないわけです。だから並のプロクシでログ取っていてもほとんど意味ありません。重要なセキュリティを必要とする部門では少なくともユーザ認証プロクシは重要な機能となります。

また、eDirectory の柔軟性がありますから、 Microsoft の AD みたいに OU=User,O=MyOrg をザックりといった使えない機能ではなく、グループや個人単位でこまめに利用制限がかけられるのも AD を使わず eDirectory をつかってプロキシ認証をするメリットになります。

また、eDirectory を設計する上で重要なポイントにもなります。
[PR]
by islandcenter | 2007-04-28 01:32 | OES Linux | Trackback | Comments(0)

-現象-
プリンタがジャムを起こした後、ネットワーク印刷できない。

-原因-

不明。

問題のプリンタをリセットしたが症状が変わらず。


NDPSMをアンロードしてロードしなおしたところ復旧できた

-対策-

-NDPS の再起動

サーバコンソールから NDPSM(Novell Distributed Print Service Manager) のスクリーンに切り替え ESC を何度か押して、アンロードします。

: load NDPSM
or

: load NDPSM .MyNdps_Manager.Sytem.MyCompany

前者でマネージャを指定しない場合はマネージャをブラウズして指定できるスクリーンがでるので、マネージャをカーソルキーで選んで下さい。

非番のエンジニア
[PR]
by islandcenter | 2007-04-13 14:16 | Native Netware | Trackback | Comments(0)

Novell は死んだか

マイクロソフトは死んだ

かつての影響力と比べればノベルは死んでいる。

しかし、15年ほど前に既にブレードランナーのタイレル社みたいに君臨したIBMも既に死んでいる。今あるIBMはロゴこそ同じだが。93年に村上龍が描いた「愛と幻想のファシズム」の頃には既にビックブルーは病で瀕死だったのである。

ノベルもビックブルーを倒した一員だ。

誰もマイクロソフトが亡者になったとは信じられないだろう。IBMが亡者でないのと同じくらいに信じられない。hpやciscoがもはやハイテク企業ではなく単なるOEMメーカーでとして生き延びているように、ノベルもLinuxの名を借りたOEM企業として生き延びていくのだろう。勝者はいつもナンバーワンだけであるが、ナンバー2がいない限りナンバーワンは輝かないのである。ノベルという二流企業にはちゃんと役割を果たして欲しい。

信じられるのはブランドではなく技術であるし、数字ではなく顧客の支持である。
[PR]
by islandcenter | 2007-04-12 17:14 | Novell | Trackback | Comments(0)

LDAPサーバ側のデバック

OES サーバを LDAP として使用するとき、LDAPサーバがどのようなレスポンスを行っているかわからない場合があります。

ConsoleOne > LDAP Server オブジェクトのプロパティ > Screen Options を開き、全ての項目にチェックを入れます。(様子を見ながら不要なチェックを外します)

a0056607_14532698.gif


サーバコンソールで次のコマンドを実行します。

: set dstrace=on
: set dstrace=+LDAP

Alt+ESC で Directory Service のスクリーンをチェックします。LDAPのリクエストが発生するたびにスクリーンに情報が表示されます。
[PR]
by islandcenter | 2007-04-10 15:04 | OES Linux | Trackback | Comments(0)

ZENworks でマイコンピュータの隠しドライブを作る方法です。

ZENworks では従来利用できた Extensible Policy が利用できないため、GroupPolicy によりこの制限を行います。ただし、デフォルトでは、準備された隠しドライブレターしか利用できないため、必要に応じて、隠しドライブを準備する必要があります。

SYS:Public\mgmt\ConsoleOne\1.2\bin\zen\に作成するグループポリシーファイルの中で system.adm の次の箇所をカスタマイズします。

POLICY !!NoDrives
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif

EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!MyStudent VALUE NUMERIC 65798143 <---- Add this line
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY

中略

[strings]
ABCDOnly="A、B、C および D ドライブのみを制限する"
ABConly="A、B および C ドライブのみを制限する"
ABOnly="A および B ドライブのみを制限する"
MyStudent="隠しドライブ生徒用" <--- Add this line

VALU NUMERIC に設定する値は26 個のアルファベットをビットに見立てた2進数を10進に変換したものです。

11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA

詳細は以下の文書を参考にしてください。

Cannot restrict specific drives in ZENworks for Desktops 3 extensible policy

Using System Policies to Hide Specific Drive Letters
以下のリンクには NUMERIC を求めるためのツールがあります。

NT drive calculator

http://www.precedence.co.uk/nc/nodrive.php3

別にドライブを隠したところでDOS窓なんかではちゃんと見えるわけなんですが、マップしたドライブの中で余計なドライブを見せないことはユーザにとっては使いやすいし、ユーザが壊してはいけないファイルなどに、アプリケーションからアクセスさせたい場合などは便利です。

セキュリティ上、アクセスが容易なところにエクスプローラでファイルを簡単に置かれたり、コピーされることを避けるためにも隠しドライブは便利ですね。

非番のエンジニア
[PR]
by islandcenter | 2007-04-09 16:21 | ZENworks | Trackback | Comments(0)