- 目的 -

全社、あるいは多くの部署で読み書き可能だったファイルサーバーのフォルダのアクセス権を特定の部署、あるいはグループに特定できるように変更したい。

- OES Linux での操作 -

次の OES ファイルサーバーのフォルダ VOL:test には O=ACE(組織全部)と Yoiko.Uses.Osaka.Ace(グループ)に権限が与えられています。

既に O=ACE に [ RWCEFM ] の権限が与えられているため、全社 O=ACE がこのファイルサーバーのフォルダを読み書きできる状態です。グループオブジェクト Yoiko.Osaka.Ace にもトラスティが与えられていますが、この権限はこの場合は余分です。
a0056607_11070253.jpg
したがって、OES ファイルサーバーの VOL:test には グループに関係なくすべてのユーザに権限が与えられています。

これを Users.Tokyo.ACE の OU にのみ解放したい場合 ....

いったんすべてのファイルサーバーの権限を削除して、
a0056607_11072836.jpg

特定の部門、グループにだけ権限を与えます。ここでは Users.Tokyo.Ace に権限が与えられ、Osaka.Ace には与えられていません。全社からではなく、一部の部署がファイルサーバーの特定のフォルダにアクセスできるようになります。

a0056607_11075388.jpg
これで Osaka.ACE のユーザには権限が与えられなくなります。

※ただし、ログインスクリプトで map f:=VOL: などの記述があると、全くボリュームに権限がないと、マップエラーになります。本来であれば、権限がない時点で map のスクリプトを削除するのがベストですが、何か理由があって、ログインスクリプトに手を加えたくない場合は、dummy ファイルを置いて、[ F ] 権だけを与えたファイルを作っておくと良いでしょう。

試しに VOL:dummy.txt のユーザに [ F ] 権のみ与えてみると、東京では見えるフォルダは見えませんし、F権のみなのでフォルダを見ることはできても中身を確認することができません。

a0056607_11081955.jpg
Windows のファイル共有と違って、OES のファイルサーバーのアクセス権(トラスティ)の割り当ては、一か所変えるだけで、メタファイルを一か所変えるだけなので、一瞬で終わります。フォルダの中にどれほどサブフォルダやファイルがあっても、ディレクトリとファイル全体の権限をスキャンして変更しませんので、ファイルサーバーの負荷はほとんど0%です。Windows ファイルサーバーでは数分から数時間かかり、ほとんどその間は、ファイルサーバが利用できない激重状態になります。

次のデモビデオでは、数万ファイルの大量のデータのアクセス権を変える操作を Novell OESでは一瞬、 Windows ファイルサーバーでは30分以上かかり、その間、ほとんどサーバーが使えなくなっている様子を比較したビデオクリップです。

Novell versus Microsoft: Granting Access Rights



また、権限のない不可視のフォルダ共有はエクスプローラにも表示されないため、共有サーバー上に数百、数千の読み書き不可の共有ディレクトリがあっても、ファイルサーバーが返すディレクトリ情報のポケットは「権限のある」ディレクトリだけなので、ネットワークの負荷が少なく高速に表示されます。



- keyword -

ファイルサーバー アクセス権限 変更 共有フォルダを見せない フォルダのアクセス権限を変える 遅い 重い ファイルサーバーの負荷100%

[PR]
by islandcenter | 2017-07-19 11:23 | OES Linux | Trackback | Comments(0)

ここでは Novell Open Enterprise Server (OES11sp1) を使った Novell Samba の導入方法を説明します。

マニュアルはこちら
http://www.novell.com/documentation/oes11/

file_samba_cifs_lx.pdf に従い作業を行います。

こちらの方が詳しいかも
Installing and Configuring Samba on Open Enterprise Server 2

この文書も親切です
Troubleshooting Samba On Open Enterprise Server (OES)

-前提-
-
SUSE Linux 11 上に仮想ディスクを3台定義しました。一つは / パーティション、他は NSS ボリューム用と ext3 用です。

※ iManager と YaST2 の表示は英語にしています。iManager は初期設定画面で Japanese にローカライズすることができます。

- Novell Open Enterprise Server (OES11sp1) をインストールします。ここではいきなり全てをインストールせず、NTP などの設定を終わらせてから Novell OES コンポーネントを導入しました。 yast2 の Novell OES Configuration アイコンを実行し、 明示的に NSS と iManager を選択します。自動的に関連する eDirectory パッケージがインストールされます。

この時点では Novell Samba はインストールしていません。
a0056607_14551023.jpg


ユーザとグループを作りました。
a0056607_10501918.jpg


ユーザのホームディレクトリと、各グループの共有ディレクトリがあります。
a0056607_10521981.jpg


-インストール-

yast2 > OES Configuration

Novell Samba を選択すると LUM(Novell User Management) も同時にインストールされます。このコンポーネントは eDirectory と UNIX ユーザとを関連付けるコンポーネントです。

a0056607_110438.jpg

Accept > インストールが開始されます.


a0056607_1134137.jpg


Novell Samba を有効にするためには更に設定項目があります。 >  Novell Samba の行をクリックして Admin のパスワードをセットしてログイン。

デフォルトで "servername_W" が NetBios 名となります。他に Novell Samba のプロクシユーザの設定などの項目があります。サーバ名は NetBios の制限で最大15文字なので、はみ出した部分は削除する必要があります。
a0056607_132690.jpg


ここではそのまま Next > 前の画面に戻って Next, インストールが終わりました Finish.

Organization Unit (o=company) 直下に MyServerName-W.company オブジェクトが作成されます。このオブジェクトは任意の場所に作成できます。ポリシーにより、 O=company 直下に作らず、Ou=MyLocation.O=MyCompany などに作成することも検討します。
a0056607_11201757.jpg


もう一つ、サーバーコンテナに UNIX Workstation - MyServerName.system.tokyo.company オブジェクトが作成されます。

この時点で Client 側には MyServer_W の Samba サーバが表示されます。
a0056607_1132372.jpg


-ここからが難問、ユーザとパスワード-

LUM(Linux User Management) より利用する Linux ユーザを選択して追加します。
a0056607_11374458.jpg


ユーザを選択した後、ユーザが所属するグループを指定します。
ここでは新規に LinuxUsers というグループを作成していますが、既に存在する eDirectory のグループも選択することができます。
a0056607_11403998.jpg


Password > Password Policies > "Samba Default Password Policy" を確認し、
a0056607_11534066.jpg


このポリシーに適合させるユーザを指定します。
a0056607_11584090.jpg


このユニバーサルパスワードのポリシーは、「パスワードを忘れた時のリセット方法」「大文字小文字を区別する」「長さの制限」などさまざまな設定が行えます。
a0056607_1225718.jpg


例えば、グループを指定して「マル秘情報」にアクセスできるグループは厳しいパスワードを設定したり、一般的なオペレータであれば、3ヶ月に一度8文字以上のパスワードを設定するなどですね。

次に File Protocol > Samba より、サーバを選択肢、Samba のユーザを指定します。
a0056607_12810100.jpg

おっ、エラーが出てしまいました。

User_name_xxxx: Could not Samba enable the user for group, MyOes11-W-SambaUserGroup. Received an error when checking for a universal password. Error: Cannot continue because the user does not appear to have a universal password.

See help for possible causes.

と出てしまいました。

もう一度この文書で確認しましょう。この文書も親切です
Troubleshooting Samba On Open Enterprise Server (OES)

As an administrator you have the option of setting the password manually for individual users by going to Passwords and clicking on Set Universal Password, but it is not necessary. Once the policy has been assigned to a user or container, all the user(s) should have to do is to login though through NCP (example: Novell Client) or using LDAP (example: iManager) and it will automatically attempt to synchronize the eDirectory password to the Universal Password. If the Universal Password doesn't exist but the eDirectory password does exist, then they system will synchronize the two passwords to be the same as the eDirectory password. If the Universal Password does exist, but it doesn't match the eDirectory password or if the eDirectory password doesn't match the new policy assignment then the password will expire and the user will be prompted to enter in a new password.
Note: You will not be able to add any users to the Samba configuration until their Universal Password has been set.


ここに書かれていることを簡単に説明すると

- Administrator はユーザの Universal Password を明示的に設定できる。(初期値が必要)
- Universal Password が設定されていない場合、NCP か LDAP を使って変更(Novell Client で設定できる、逆に言えば Novell Client が必要)
- 設定されていない場合は eDirectory のパスワードと同期する。(これはこれで便利)
- Universal Password と eDirectory のパスワードが同期していない場合、お互いのポリシーが異なれば一致させることはできない。(非常に当たり前なこと、どんなシステムでも使えるパスワードポリシーを考慮すべきである)

と、こんなところです。

ということで、既に Novell Client でログインしたユーザを追加してみます。
a0056607_122189.jpg

無事 Samba ユーザとして登録できました。

ついでに Share タブで「共有フォルダ」を作ってみます。
a0056607_12261713.jpg

この「共有」は NSS ボリューム上にユーザからは Read Only で作成しました。従って Novell Samba で R/W の設定を行ってもユーザは書き込みができません。
a0056607_12312256.jpg

設定を変更した場合、 General Tab にある Restart リンクをクリックします。忘れやすいのでご注意ください。
a0056607_14295517.jpg


通常の Linux ファイルシステム上の Samba の共有も iManager から設定します。
a0056607_17161163.jpg


File Protocol > Samba > Share から NSS ボリュームに「共有」を設定した場合、 NSS で与えられたトラスティが適用されるため、[SRWCEFMA] のF権のないディレクトリは表示されません。
a0056607_13294921.jpg

表示されないのは Novell Samba 自体が表示を行わないからで、 /home を開いたときに「ズラーリ」と表示される各ユーザのホームディレクトリの参照のための余分なパケットロスもないということです。


-大変よくできました-

- パスワードの変更が容易である。
これは重要なことです。
a0056607_13392681.jpg

通常の samba であれば、 smbpasswd コマンドで定期的にパスワードを変更するよう「管理者は指導」できますが、強制はできません。何らかのUIを工夫している方もいらしゃるでしょう。パスワードの変更のルールは明文化できても強制させるためにはさまざまなテクニックが必要です。まして SSH で入ってコマンドで変更しろというのでは、まずユーザが自主的にパスワード管理を行うことはないと言って良いでしょう。

しかし、この機能は NCP 接続を要求された時に実施されることであって、Novell Samba が要求するところではないのが残念です。

-必要のないフォルダは見えなくてもよろしい
これも NSS ボリューム上に作成した Novell Samba の優れた点です。ユーザのアクセサビリティからも、見えても関係ないよというフォルダが見えないことは、余計な詮索もなく、非常に便利なことです。また、ディレクトリの一覧を取得する場合、CIFS の悪いマナーの一つである問い合わせのパケットが大幅に削減できます。

-右ボタンで共有設定
NCP で利用している場合、右ボタン > Novell 権限で容易に他人にアクセス権を設定できます。自分の作品を他人に「公開」するため、 chown や chmod などのコマンドを使う必要はありません。あくまでも NCP (Novell Client for Windows)の中での話しですが、NCP で設定した内容はそのまま Samba の利用者にも適用されます。

-ファイルの圧縮とシュレッディング
Novell Open Enterprise Server 上の NSS ボリュームには、ディスクのクォータ、ファイル圧縮、データシュレッディング(乱数での自動上書き)などの機能が備わっています。 ext3 などで作成したボリューム上でユーザの利用制限をかけたり、自動的に圧縮させるような機能は知りません。

-大変がっかりしました-

これは、Novell Samba の仕様というより CIFS と Windows の仕様そのものの問題でしょう。パスワードを変更するためには NCP (ポート 524) での接続が必要だということです。Novell Samba を使うことで eDirectory との連携、パスワード管理は容易になりますが、そもそも Samba のパスワードを管理するためのツールというもの自体が Windows にはありません。

ということで、多少の手間(と言っても難しいことではないのですが) Novell Client for Windows は必要なものです。しかし、 Novell Client for Windows を導入してしまえば、なぜそこまで Samba を使うのか、という理由が見つかりません。

考えられるケースとしては、通常は NCP 接続をしているユーザが、「持ち込みPC」を使って情報にアクセスできないこともない、というケースです。もちろんそれが許されるポリシーであることが前提です。

OES ファイルサーバーを Samba 主体で利用するべきではないと考えています。単純に「高価なだけの」Samba サーバーとなってしまいます。その「高性能さ」を生かしきることはできません。

もともと閉じた LAN 内での利用を前提とした CIFS と WAN を考慮した NCP (Novell Core Protocol) との違いもあり、CIFS での利用は限定的にすべきだと私は考えます。

--
システムはシンプルであるべきです。CIFS の効率の悪さは色々悪評が多く、WAN越しのアクセスが遅いとか、使い物にならないといった話はよく聞きます。仕方がないので高価なCIFSアクセラレータを導入してみたけど、100ユーザ程度でも全然効率は上がらず、諦めたというケースもよく聞きます。何しろ 「CIFS + 効率」で検索すると Cisco などの WAFS アプライアンス製品がずらりと紹介されるのもその証拠でしょうか。これらのアプライアンスも内部に故障しやすいキャッシュ用のHDDやSSDなどの「消耗品」を抱えている以上、「ファイルサーバー」そのものに近い存在です。サーバーの集約化を目的として逆にサーバーを増やしているのが、SIビジネスということです。

シンプルで使いやすいプロトコルを選ぶなら NCP (Port 524) を選ぶべきなのですが、残念ながら Windows やLinux では標準サポートされていません単純に Novell Client を導入し Port 524 の通信を行えば問題は解決できるのですが、どうもそういった動きはお客様にないようで残念です。


islandcenter.jp
[PR]
by islandcenter | 2013-09-19 08:00 | OES Linux | Trackback | Comments(0)

常時 Novell Login を行う

デフォルトで Novell Logon を有効にする

Novell Client Windows 7 sp2 はデフォルトでは「ワークステーションログイン」画面がデフォルト表示されます。これをノベルログインをデフォルトにします。


タスクバーのNアイコン、もしくはネットワークのプロパティから Novell Client の設定を選びます。「カスタムログイン」から「コンピュータのみにログインをデフォルトにする」を「自動」から「配布しない」に
a0056607_13572358.gif


パスワードを間違えるなどでログオンに失敗したとき、明示的に「コンピュータのみにログオン」を押さない限りログオンできないようにします。
a0056607_13581186.gif

「コンピュータのみにログオン」は残しておかないと、ノートPCなどはログオンできなくなるためチェックしないほうがいいでしょう。

「システムログインのプロファイル」 > default > Windows Tab
a0056607_14102949.gif

Widnwos アカウントと接続ができるようこの部分もチェック


ネットワークと共有センター > 左側の「アダプタの詳細」

「詳細設定」メニューの「詳細設定」

a0056607_1505422.gif


「プロバイダーの順序タブ」
a0056607_151523.gif

Netware Service が上になっていること、デフォルトでは一番上になっているはずです。


ソース
Configuring the Novell Client for Windows 7 / Windows 2008 Server to authenticate against DSFW or Microsoft AD


-Keyword-

NOvell ログイン デフォルト Windows ログオン Novell Client Vista 7

islandcenter.jp
[PR]
by islandcenter | 2012-04-02 14:00 | Windows | Trackback | Comments(0)

世の中には「はぁなるほどなぁ!」という奇妙な事を見つけ出すヒトがいらっしゃるようです。

こちらに Windows 7 で IPX を動かす方法が書かれています。
http://www.techtalkz.com/windows-7/518344-windows-7-ipx.html

といっても、もちろん、私もテストしませんし、ノベルもマイクロソフトも認めた方法ではありません。

「試しにやってみた」という方がいらっしゃいましたが、やっぱりうまく動かなかったそうです。

簡単に言うと、 Windows XP から NWlink 関連のドライバを拾ってきてインストールすれば良さそうだということなのですが。いくつか問題が想定されます。

1) OES2/Linux には IPX/SPX のサポートやバインダりエミュレーションがない。そのため、現状では SLES11+XEN 上で OES/NetWare カーネルを仮想化して IPX 通信するしかありません。もっともデュアルスタックで IP も使えば使えないこともなさそうです。

2) XPの 64 ビット版は出荷されなかった(?)ハズなので、この手段は使えません。つまり 64 ビット阪では不可ということです。

--
ただし、サポート切れの NetWare 3x/4x のサーバからデータ移行したいというのであれば、必要となるかもしれません。

もっとも
「それまでどんなクライアントPC使っていたの?」

という疑問がありますが。

どうしても NetWare 3x/4x から OES へのデータ移行が必要な場合は、 Windows XP が必要なようです。もっとも非常にまれなケースだと思うのですが、未だにNEC PC9801を使って機械制御を行っている製造業のお客様はいます。しかも、大電力を使う機器の横に配線するため「10-base2」 という懐かしい物理配線をおこなっています。

製造業で使用する機械は「固定資産」として償却期間が10年や15年と長いため、制御するためにはまだ PC98 シリーズが必要だというケースです。ということもあるのか中古市場ではPC98用のパーツなんかは結構な値段で取引されているようですね。そういった企業さんでは同軸HUBや同軸付きNICは貴重品です。

もっともサーバに関しては既にリースが切れたり、リプレースが必要で、それでも IPX を使いたいというのであれば、 SUSE + XEN で OES/NetWare に IPX を走らせてバインダりエミュレーションをすることをおすすめします。(100%のサポートは期待市ないでください)

ついでに Windows XP もXEN仮想化してインストールしてしまう。

関連記事

NetWare 6.5 へアップグレードする方法をお勧めします。
http://www.islandcenter.jp/il/
NetWare 3x をリプレース、甦らせる方法
SUSE + XEN で NetWare 3 + ipx + バインダリ接続

問い合わせは
islandcenter.jp

もしくはノベル株式会社さんへ


NetWare Windows Vista/7 IPX SPX OpenEnterprise Server OES
Windows 7 Windows 8 NetWare に繋がらない。IPX バインダリ接続 PC9801 サーバー NetWare IP





[PR]
by islandcenter | 2010-06-12 02:36 | Windows 7 | Trackback | Comments(3)

-Linux のカーネル 2.6 以降 LVM(Logical Volume Manager) などの論理ボリュームマネージャが登場し、複数のデバイスを使ってパーティションを作ったり、パーティションのリサイズなどが自由に行えるようですが、残念ながら、あまり一般的ではありません

-一般的ではない証拠に LVM に関しての非常にわかりやすい説明があまりにも少なすぎるということがあります。また例えあったとしても、私のような Linux 初心者が触れるような簡単なものではありません。どのテキストをどうやって書き換え、どうすればよいか、があるだけで、まず読む前にあきらめてしまう方がほとんどではないでしょうか。多分 Linux を長年やっているヒトでも LVM はきいたことあるけど全然知らないのがほとんどではないでしょうか。

-また、多くのケースでは fstab を書き換え云々しているうちに再起動が必要になり、結局マウントに失敗して起動できなくなるケースも少なくありません。

-まだ、Linux の管理者にとっては、「パーティションは最初に作るモノ」であり、後で自由にサイズを変更したり、ドライブを連結してひとつのパーティションにすることはできないもの、と思ってかかって当然ですね。

-Novell の SUSE Linux をベースにした Open Enterprise Server 2 (OES2) に搭載されている NSS (Novell Storage Service)は EVMS(Enterprise Volume Management System) を使った論理デバイスマネージャを採用しているため、複数の物理(論理)ドライブを連結したボリュームを自由に連結したり、ディスククォータを自由に設定できたり、自動圧縮を行ったり、ユーザごとに「見えない」ディレクトリをつくったりと、

まさにSLES OES2 は「ファイルサーバーとして最適化されたLinux」オペレーティングシステムです。

NSS自体が 1990 年代の後半から開発されたシステムですから、すでに NetWare の管理者にとってはおなじみで当たり前のデバイス管理システムで充分な実績に裏づけられています。おそらく NetWare 5.x 以降を扱ってきたヒトにとってはおなじみの機能でしょう。他のディストリビューションで samba の管理テクニックの分厚い本を読んでいる方には全く同情するしかありません。

-NSSで使われる EVMS って何だ?ってことになるのですが、 EVMS について非常にわかりやすい説明が日本語で行われているサイトがあればぜひ紹介してほしいところです。数年前 OES1 が登場したとき、初めて EVMS について解説してくれたサイトは IBM と Novell にしかありませんでした。

-実際に試してみるのもよいのですが、最低3台以上のディスクを準備しなければならないので結構準備が大変です。ここでは XEN 仮想化された OES2 を例に、二つのディスク(仮想ディスクですが)を連結して、OES で大きなボリュームを作成する手順を説明しましょう。

※注 Novell のドキュメントには NSS は /, /boot と明らかに異なる論理(あるいは物理)ボリュームに作成すべし( Strongly Recommend )とあるので実際にサーバを構築する場合には、SLES10 のインストールしたディスクと異なるディスク(大抵は Raid の論理ディスクでしょう)を NSS として定義しなければならないことになります。

-大型のデータセンターでは Host で raiserFS やext3 を使い、NSSは iSCSI や 別筐体のストレージラックに組み込むことになるでしょう。


-まずは1台目のディスクに SLES10 をインストールして、 OES のアドオンをインストールします。インストールしたら、 iManage から ひとつ目のデータプールとボリュームを作成します。ここでは2Gのドライブに 2G のボリュームが作成されています。

a0056607_2513511.gif


-2台目の xvdb デバイスに DATA Pool と VOL が作成されています。
a0056607_2541094.gif


-iManager > Device > Devices を見ると xvdc にドライブがあるので Initialize ボタンを押して初期化します。このドライブは 2G のサイズがあります。

-DATA Pool を Select した状態で Increase Sise ボタンを押すと

a0056607_342290.gif


-Initialie された3つめの xvdc ドライブに2Gの空きがあることがわかります。ここに数字、つまりどれだけ Pool を増やしたいかの数字をセットします。ここでは2Gを丸々増設するので2Gに近い数字を入れいていますが。これは、任意でも結構でしよう。

a0056607_2575487.gif


-この操作により DATA Pool は二つのディスク(今回はイメージですが)4Gバイトに増加したことがわかります。

-次に Volumes メニューを開き、Properties ボタンを押します。Quota が 1.9xG バイトだったところを任意に4G バイト以下の数字をセットします。
a0056607_3492270.gif


もちろん Allow quota to grow pool size にチェックを入れて、プール全部をボリュームにしてしまってもかまいません。
a0056607_383163.gif


-それでは、PCからマウントしたボリュームのプロパティをチェックしてみましょう

a0056607_315196.gif


2Gだったボリュームの要領が4Gに増えています。
ちなみに fdisk の p コマンドで見ると NetWare 386 パーティションとして扱われます。


--
-
Open Enterprise Server (OES2) の NSS パーティションは、ブラウザインターフェースにより簡単に構築ができ、 LVM, EVMS の知識がなくても利用ができるファイルシステムです。この流れの中では、サーバーの再起動もなく、また、ユーザがログアウトすることもありません。もし、ホットスワップとオンラインのRAID構成ができるハードウェアであれば、システムを完全に停止することなく作業ができるはずです。

-システムがオンラインのまま自由にネットワークストレージのサイズを変えることができます。

-iSCSI と組み合わせて利用すると、SAN 上に分散した空きストレージをまとめて利用したり、 Move したりが簡単に(私はやったことがないけど)行うこともできます。

他の Linux のファイルシステムにない特徴として

- Disk の Quota
- Data の Compression
- Data の shulleding
- User と Directory への Quota
- [SRWCEFMA] のアクセス制御

といった特徴があります。一度 NSS を使った管理者が転職先で ext3 や NTFSの使いづらさを嘆くことは良く聞くことです。

-キーワード-

NSS, EVMS, LVM, Novell Storage Service, SUSE Linux, SLES10. OES1. OES2.
論理ボリューム、物理ディスク、パーティションの連結、Quota クォータ. Linux Compression データ圧縮、パーティションのサイズ変更

この他の情報はこちらを参考にしてください。
非番のエンジニア
[PR]
by islandcenter | 2008-08-23 03:25 | OES Linux | Trackback | Comments(0)

サイボウズ・ガルーンと、 Novell eDirectory 8.8 との Ldap 認証連携がうまく行きました。

日本では人気のある製品なのですが、国産品はどうしてもドメスティックで世界的にはマイナーな製品なので、英語で事例や情報、レポートが検索できないのが悩みです。

Garoon 側の設定

LDAPサーバの情報

認証データベース名: eDirectory
認証データベース形式: Ldap
サーバ名: IP or host_name
ポート番号: 389 ( clear text )
アカウント名 : Proxy となる管理用アカウント( eg. cn=admin,o=MyOrg)
    ※ ( 区切りはdot ではなくcomma )
パスワード: Proxy Account の Password
検索基点 DN : o=MyOrg
検索フィルター:(&(objectClass=user)(uid=%s)) <- これ大事!
認証方式: 平文パスワード( simple authentication )

a0056607_22433016.gif


LDAP サーバ側の設定

ConsoleOne > LDAP Group – MyServer のプロパティ

Proxy User > 代理アカウント名 > 空欄(Empty)でOK
クリアテキストパスワードの許可:チェックを外す(uncheck)

a0056607_22435068.gif


NLDAP の再起動(Reflesh NLDAP)
LDAP Server - MyServer オブジェクト > プロパティ(一般) LDAP サーバをすぐリフレッシュ)

a0056607_2244126.gif


デバックの方法

LDAPサーバ側のデバック を参考に LDAP の表示を DStrace スクリーンに表示させます。

サーバコンソールより

: set dstrace=off
: set dstrace=on
: set dstrace=+LDAP
: set ttf=on

 -この間にテストを行います-

: set ttf=off

SYS:SYSTEM\dstrace.dbg テキストデータでトレースを確認します

47CF8CE3:755:95d1d420:179 New cleartext connection 0x9cde9440 from 192.168.1.238:1313, monitor = 0x11b, index = 5
47CF8CE3:755:609a5180:179 (192.168.1.238:1313)(0x0001:0x60) DoBind on connection 0x9cde9440
47CF8CE3:755:609a5180:179 (192.168.1.238:1313)(0x0001:0x60) Bind name:cn=admin,o=MyOrg, version:3, authentication:simple
47CF8CE3:757:609a5180:179 (192.168.1.238:1313)(0x0001:0x60) Sending operation result 0:"":"" to connection 0x9cde9440
47CF8CE3:758:609a5180:179 (192.168.1.238:1313)(0x0002:0x63) DoSearch on connection 0x9cde9440
47CF8CE3:758:609a5180:179 (192.168.1.238:1313)(0x0002:0x63) Search request:
base: "o=MyOrg"
scope:2 dereference:0 sizelimit:1 timelimit:60 attrsonly:1
filter: "(&(objectClass=user)(uid=YamadaT))"
attribute: "dn"
47CF8CE3:758:609a5180:179 (192.168.1.238:1313)(0x0002:0x63) Sending search result entry "cn=YamadaT,ou=User,o=MyOrg" to connection 0x9cde9440
47CF8CE3:758:609a5180:179 (192.168.1.238:1313)(0x0002:0x63) Sending operation result 0:"":"" to connection 0x9cde9440
47CF8CE3:759:609a5180:179 (192.168.1.238:1313)(0x0003:0x60) DoBind on connection 0x9cde9440
47CF8CE3:759:609a5180:179 (192.168.1.238:1313)(0x0003:0x60) Bind name:cn=YamadaT,ou=User,o=MyOrg, version:3, authentication:simple
47CF8CE3:760:609a5180:179 (192.168.1.238:1313)(0x0003:0x60) Sending operation result 0:"":"" to connection 0x9cde9440
47CF8CE3:761:609a5180:179 (192.168.1.238:1313)(0x0004:0x42) DoUnbind on connection 0x9cde9440
47CF8CE3:761:609a5180:179 Connection 0x9cde9440 closed


-参考-
LDAP認証について

なお、Windows+apache より Linux+apache の方が数倍高性能だそうなので、今度 SUSE + XEN の環境で比較したいものです。

-検索キーワード-
サイボウズ,ガルーン, Cybozu, Garoon, eDirectory 8.8, Ldap, 認証, Authentication, OES2 Linux, OES NetWare, DStrace

非番のエンジニア
[PR]
by islandcenter | 2008-03-06 23:18 | Identity Management | Trackback | Comments(0)

Policy の適用方法

ZENworks が Active Directory とは一番異なる点は、

ポリシーをグループ、個人、OU単位で細かく設定できる点にあります。 AD の場合は OU 全体にポリシーを適用することが出来ません。したがってOUの設計は必ずポリシーの設計を考えた上で考慮しなければならないところです。

これに対してZENworks のポリシーは、グループオブジェクトやOU、さらには個人に対して適用できるため、OUのどこにユーザが居ようと任意のポリシーを自由に与えることができるのです。

a0056607_13215883.gif


例えば、General Policy を Users 全体に与えた上で、HelpDesk 用の管理者ポリシーを HelpDesk グループに与えるということが容易に出来ます。Active Directory の大雑把な管理方法とは異なり、非常に細やかな管理ができる(ある意味では煩雑になる場合もあり得る)点は大いに評価していいでしょう。

連結子会社が多かったり、グループ企業が複雑な組織の都合などにより、全社的なポリシー運用ができない組織においては、単一のポリシー運用ができ、さらに細かなポリシー例外を設けることができる ZENworks は充分検討するに値するシステムなのです。

a0056607_1334176.gif


この方法はワークステーション管理にも有効です。登録されたワークステーションをグループ化して、グループに対してワークステーションポリシーを適用させることにより、利用者や内部のデータに応じたポリシーを適用させることができるのです。

Active Directory を導入したいが、全体のポリシー設計が難しい、あるいはAD導入自体が難しい、全体をワークグループ運用している、連結対象の企業をひとつのポリシーで運用したいといった組織にはぜひ ZENworks の導入をお勧めしたいところです。

非番のエンジニア
[PR]
by islandcenter | 2007-07-14 13:36 | ZENworks | Trackback | Comments(0)

あるフリーウェアの作者さんのページに面白い情報が載っていた。

32bit Windowsのファイル名に関して

ノベルのファイルサーバのシステムは Windows のロングファイル名、Macファ
イルシステム、NFSなどさまざまなファイルシステムに対応しています。

で、よくあるんですよ。「アクセスできないファイル」ってのが

バックアップシステムでバックアップしてリストアができるのに、エクスプロー
ラからアクセスできないなんてのはしょっちゅうありますね。バックアップシス
テムは TSA 経由でアクセスできるため、問題なくバックアップとリストアがで
きてしまいます。

-ショートカットが壊れる-

あと、よく、古いシステムからデータ移行して「C:\Documents」 が開けません、っ
て経験はあります。特に Accsess なんかは良く見るような気がします。一体ど
こテストしてるんでしょうか。それとも Access ってやっぱりどこか別な会社か
ら買ってきたものだというウワサは本当なんでしょうね。

サーバを移行したあとに、よくショートカットが壊れていて動かないってケース
は見ますね。ショートカットをダブルクォーテーションで””括るとちゃん直る
ようですけど。


-255文字の謎-

よく言われていますが Windows は255文字のパスを含めたファイル名が利用
できます。これも結構ウソで、APIを経由するとそれ以上のファイル名を作成
できてしまいます。そういったアプリケーションで出来てしまったファイルは二
度とエクスプローラからアクセスできなくなります。

また、255文字ってのもちゃんとチェックしていないのが当たり前で、例えば
ディレクトリの深いところでギリギリ255文字になるファイル名を作ったとし
ても、その上のディレクトリの入り口の名前を変えてしまうと、容易に255文
字を超えるパスのファイルができてしまうんですね。何しろそういったチェック
を Windows は一切やりません。何しろ上位のディレクトリのアクセス権ちょっ
といじっただけで、ディレクトリの内側にある全部のファイルを舐めて変更する
わけですから、一体どういったファイルシステムの仕様になっているんでしょう
か。

少なくともこういう仕様にしたヤツはさっさとコンクリートの靴履かせて英仏海
峡を泳いで渡るくらい勇気があるヤツに決まっています。

長すぎるファイル名があって検索なんかすると見事にエクスプローラがハングアッ
プしてしまいます。

もっとも、最近のWindows だと、割とちゃんと動いてくれるケースがあるんだけ
ど、システムを移行するときのトンでもないボトルネックになってくれます。

大抵、長すぎるパスの場合、フォルダごと上のディレクトリに移動するとちゃん
とアクセスできるようになります。

一番よく引っかかるのはIEからwebの完全保存やってしまったヤツの尻拭い
です。どうして "sp2brows.mspx"というページを保存すると"Windows XP Service Pack 2 セキュリティ強化機能搭載 での機能の変更点 ‐ 第 5 部 ブラウズのセキュリティ強化.files"と"Windows XP -以下略 .htm"
という長ったらしいディレクトリをこさえてくれるんでしょうか。

この仕様を決めたヤツは、ルーマニアのドラキュラ伯爵の手にかけてケツの穴か
ら棒通してドナウ川の河原で串刺しの刑にしてしまいたいところですわ。

-IBM拡張文字-
Windows は IBM 拡張文字使いますから、特殊記号使ったファイル名でよくトラ
ブルになってくれます。特にいやらしいのがローマ数字ですね。
逆にNECの拡張文字は面倒起こしてくれたことがありません。

どっちにしろ、共有スペースでこういった特殊文字使うユーザは三条河原で処刑
して晒し者にしたい気分になります。そうは言ってもエンドユーザって基本的に
無知にそういうことやるもんですから、いっそのこと使えないようにしてほしい。
AAは禁止だな。

もし、平気でメールに丸付き数字だとか、ローマ数字だとか2バイトにお(株)
なんてなんて文字使っているバカがいたら3年間メール使用禁止くらいのご処分
を検討してください。特にメールのヘッダに使うなよ。こういうバカなヘッダ付
けてメールを普通に送ってくるヤツがいたら、どこかの掲示板に晒し者にすべき
です。


-不思議と MACだとアクセスできる -

これも良く聴く話ですね。どうしても消せないファイルがあるんだけど Mac の
ファインダからだと平気でアクセスできるらしいです。もっとも私も確認したこ
と無いんだけど、よくあるのはマカーの皆様が作ったファイルを Windows がア
クセスできなくなったというのはよく聞きます。

割とMacはファイル名に関しては寛容です。だから逆に困った事態を引き起こ
してくれるんですけど、最近あんまりMac使う人少ないんでね。

Mac混在のシステムの場合、ファインダからデータをコピーしたほうが確実だっ
たってのはよくあった話でした。

Native NetWare の場合、次のコマンドで、ディレクトリの深さを制限すること
ができるんですが、トータルの長さを制限することはできません。

SET Maximum Subdirectory Tree Depth (デフォルトは25)
[PR]
by islandcenter | 2006-01-25 07:59 | Windows | Trackback | Comments(0)