HELIOS EtherShare 2.6 Benutzerhandbuch

13 Der Administrationsserver

13.1 Generelle Bemerkungen

Dieses Kapitel beschreibt die Funktion und Konfiguration des Administrationsservers. In Verbindung mit dem Programm EtherShare Admin ermöglicht der Administrationsserver die Konfiguration des EtherShare Systems von jeder Macintosh-Arbeitsstation im Netzwerk auf eine sichere und bequeme Weise.

13.2 Das Programm des Administrationsservers

Das EtherShare Administrationsserver-System besteht aus dem Programm "admsrv". Es wird während der Installation automatisch im Verzeichnis "$ESDIR" angelegt. EtherShare ist so konfiguriert, dass es das Programm "admsrv" automatisch startet, wenn das UNIX-Betriebssystem hochgefahren wird.

admsrv

"admsrv" implementiert die Administrationsserver-Funktionen auf dem Host und verwaltet die Kommunikation mit dem Programm EtherShare Admin, welches auf Macintosh Arbeitsstationen läuft. Jeder neue Anmeldevorgang von EtherShare Admin führt dazu, dass ein neuer "admsrv"-Prozess erzeugt wird. Dementsprechend laufen gleichzeitig mehrere "admsrv"-Prozesse, wenn mehrere Benutzern das Programm EtherShare Admin zur selben Zeit nutzen.

13.3 Die Parameter des Programms "admsrv"

Beim Start greift das Administrationsserver-Programm "admsrv" zuerst auf die zentrale Konfigurationsdatei "atalk.conf" zu, um seine Konfiguration auszulesen. Das Programm "install" legt diese Datei automatisch mit vorgegebenen Werten an. Diese können bei Bedarf mit einem Editor wie beispielsweise vi geändert werden. Wir empfehlen Ihnen jedoch dringend, dies stattdessen mit EtherShare Admin auszuführen. Lesen Sie bitte auch 5.14 "Manuelles Bearbeiten von "atalk.conf"".

Die unten beschriebenen Parameter können für das Programm "admsrv" in der Datei "atalk.conf" definiert werden (bitte beachten Sie, dass der Programmname "admsrv" der Parameterliste vorangestellt wird).

name

name=netname1,name=netname2,name=netname3
netname ist der AppleTalk-(NVE)-Name des Administrationsservers. Dies ist der Name, unter dem er im Netzwerk bekannt ist. Sie sehen diesen Namen in der Auswahl des Programms EtherShare Admin, wenn Sie sich für Administrationszwecke an dem Server anmelden wollen. Es können optional mehrere Namen in einer Reihe durch Komma getrennt angegeben werden.

Die Vorgabe für netname ist der Name des UNIX-Hosts.

Hinweis: Der AppleTalk-Typ des Administrationsservers kann nicht verändert werden. Der Typ ist immer AdminServer.

zone

zone=zonename1,zone=zonename2,zone=zonename3
zonename ist der Name der AppleTalk-Zone, der der Administrationsserver zugeteilt sein sollte. Dieser Parameter bestimmt die Zone, in der der Administationsserver in der Auswahl des Programms EtherShare Admin zu finden ist. Die gewählte Zone muss eine der lokalen Zonen sein, mit denen der Host verbunden ist. Sie können dies mit dem Programm "zones -l" testen.

Die Vorgabe für zonename ist "*". Gemeint ist damit die Zone des ersten Eintrags des ersten Netzwerkadapters in der Datei "atalk.conf". Optional können mehrere Namen in einer Reihe durch Komma getrennt angegeben werden, z.B.:

admsrv: zone="marketing", zone="support",
zone="developer"

sessions

sessions=maxclients
maxclients legt die maximale Anzahl der Arbeitsplätze (Clients) fest, die gleichzeitig auf dem Administrationsserver arbeiten dürfen. Dieser Wert kann mit der Gesamtanzahl der mit dem AppleTalk-Netzwerk verbundenen Arbeitsstationen übereinstimmen, er ist jedoch üblicherweise kleiner.

Die Vorgabe für maxclients ist 4.

yppasswd

yppasswd=file
file legt den Namen und Pfad der Datei fest, in der die Benutzerdaten für das "Yellow Pages"-System gespeichert werden (eine Beschreibung folgt später).

Es gibt keine Vorgabe für file.

ypgroup

ypgroup=file
file legt den Namen und Pfad der Datei fest, in der die Gruppendaten für das "Yellow Pages"-System gespeichert werden (eine Beschreibung folgt später).

Es gibt keine Vorgabe für file.

ypafppasswd

ypafppasswd=file
file legt den Namen und Pfad einer optionalen AFP-
Benutzerliste zur Verwendung mit dem "Yellow Pages"-System fest.

Es gibt keine Vorgabe für file.

savepasswd

[no]savepasswd
Als zeitsparende Eigenschaft beim Anmelden können Sie in der AppleShare-Variante der Auswahl am Macintosh Ihren (Benutzer) Namen und/oder Ihr Kennwort für den Dateiserver auf der lokalen Festplatte des Macintosh sichern.

Um die Sicherheit zu erhöhen, geben Sie den Schalter
nosavepasswd an, damit die Sicherung von Kennworten auf diese Weise verhindert wird. So müssen alle Benutzer bei jeder Anmeldung bei EtherShare Admin ihr Kennwort manuell eingeben. Tip: Sie können Ihr Kennwort für den Dateiserver noch immer auf die übliche Art in der Auswahl verändern (mit dem Befehl Kennwort ändern-).

Die Vorgabe (wenn dieser Schalter nicht gesetzt wird) ist savepasswd.

Hinweis: Die Einstellung [no]savepasswd funktioniert nur mit Mac OS Version 7.0 und neuer.

fontdir

fontdir=file
file ist der Pfad des Hostverzeichnisses, das die Server-Schriftenliste "FontDirectory" enthält. Die Schriften selbst sind in den Unterverzeichnissen von file in alphabetischer Reihenfolge enthalten.

Die Vorgabe für file ist "$ESDIR/psfonts".

fontdir ist auch als globaler Parameter für den Druckserver verfügbar. Sie sollten sicherstellen, dass Sie keine unterschiedlichen Schriftverzeichnisse für den Administrationsserver und den Druckserver festlegen.

unprotected

[un]protected
Dieser Schalter kann mit dem Wert protected gesetzt werden, um alle Konfigurationsdaten gegen Veränderungen zu schützen. Dann ist nur noch die Wartung von Drucker-Warteschlangen möglich.

Die Vorgabe für diesen Schalter ist unprotected.

sysadmgroup

sysadmgroup=groupname
Mit dem Programm EtherShare Admin können Benutzer, die über entsprechenden Rechte verfügen, das EtherShare Admin-System von jeder Macintosh-Arbeitsstation im Netzwerk aus auf bequeme und sichere Weise einrichten. So ist es beispielsweise möglich Benutzer, Gruppen, Volumes und Drucker anzulegen oder Druckaufträge neu zu disponieren. Normalerweise ist es nur dem Systemadministrator erlaubt solche Veränderungen vorzunehmen. Normale Benutzer ohne weitergehende Rechte können lediglich die Konfiguration und die Drucker-Warteschlangen ansehen. Es ist ihnen nur erlaubt, die eigenen Druckaufträge zu löschen.

Die Mitglieder der Systemadministrator-Gruppe können EtherShare Admin dazu verwenden, um jede von ihnen gewünschte Änderung im HELIOS-System vorzunehmen. Dies schließt die Konfiguration von Drucker-Warteschlangen und das Senden von AFP-Nachrichten (über Listen > Aktive Benutzer und dann Menü Nachricht > Nachricht An Alle-) an alle am EtherShare-Server angemeldeten AppleShare-Benutzer ein. Trotzdem dürfen die Mitglieder dieser Gruppe keine Informationen von Benutzern mit einer ID unter 100 ändern (Hinweis: der Systemadministrator ("root") hat die Benutzer-ID 0). Der Parameter groupname gibt den Namen der speziellen Gruppe "SysAdm" an.

Die Vorgabe für groupname ist "SysAdm".

prnadmgroup

prnadmgroup=groupname
Die Mitglieder der Druckeradministrator-Gruppe können EtherShare Admin verwenden, um Druckaufträge von einem Macintosh-Arbeitsplatz aus zu disponieren.
D.h. Sie dürfen:

• Einen Druckauftrag löschen
• Einen Druckauftrag in eine andere Warteschlange schieben
• Die Priorität eines Druckauftrags ändern
• Eine Warteschlage auf Nur spoolen bzw. Spoolen und drucken setzen
• Eine Drucker-Warteschlange mit der Befehlssequenz Menü Listen, Drucker, Menü Drucker, Drucker neustarten neustarten

Der Parameter groupname gibt den Namen der speziellen Gruppe "PrnAdm" an.

Die Vorgabe für groupname ist "PrnAdm".

queueadmgroup

queueadmgroup=groupname
Die Mitglieder der Warteschlangenadministrator-Gruppe können EtherShare Admin verwenden, um Druckaufträge und Warteschlangenkonfigurationen von einer Macintosh-Arbeitsstation zu modifizieren. Sie haben also noch mehr Rechte als die Mitglieder der Gruppe "Druckeradministrator", die oben beschrieben wurde. Warteschlangenadministratoren dürfen:

• Jede Aufgabe ausführen, die auch den Mitgliedern der Gruppe "PrnAdm" erlaubt ist
• Drucker-Warteschlangen anlegen, modifizieren, löschen
• Schriften für Warteschlangen aktualisieren
• Schriften auf dem EtherShare-Server installieren
• "PDF-Vorgaben" anpassen
• "OPI/ICC Einstellungen" anpassen
• Die Einstellungen in "Initialisierung bearbeiten" anpassen
• PPDs für Warteschlangen festlegen

Der Parameter groupname gibt den Namen der Gruppe "QueAdm" an.

Die Vorgabe für groupname ist "QueueAdm".

Hinweis: Die vorgegebenen Bezeichnungen "SysAdm", "PrnAdm" und "QueueAdm" werden bei der Installation automatisch angelegt.

daemonuid

daemonuid=idnumber
Wenn Drucker mit EtherShare Admin angelegt werden, wird mit Hilfe des Befehlskürzels "du#0" dem Druckerdaemon in der Datei "/etc/printcap" standardmäßig der Benutzer mit der ID 0 ("root") zugewiesen. Dies erleichtert Überlegungen bezüglich der Zugriffsrechte beim Drucken, besonders wenn der Druckauftrag Verweise auf externe OPI-Bilder oder "%%Include-"-Kommentare enthält. Diese Eigenschaft ist mit einem kleinen Sicherheitsrisiko verbunden. Geben Sie den Parameter daemonuid an, um EtherShare Admin anzuweisen, den Besitzer des Druckerdaemons auf die ID eines anderen Benutzers einzustellen beispielsweise auf die ID 1 (Benutzer "daemon"). Eine alternative Vorgehensweise für den Systemadministrator ist die manuelle Vorgabe des Wertes für das Befehlskürzel "du" für alle Druckereinträge in der Datei "/etc/printcap" einzeln.

Die Vorgabe für idnumber ist 0 (die ID des Benutzers "root").

13.4 Hilfsprogramm des Administrationsservers

Neustart des Admin-Servers

Wenn unglücklicherweise ein Systemabsturz auftritt, bleiben gelegentlich die folgenden temporären Dateien des Programms "admsrv" in den Verzeichnissen "/etc" oder "$ESDIR/conf" bestehen: "ptmp", "gtmp", "atmp" und "vtmp".

Diese Dateien müssen gelöscht werden, bevor Sie das Programm "admsrv" erneut starten, damit die korrekte Funktion dieses Programms sichergestellt wird. Dieses Aufräumen wird von dem Skript "start-atalk" automatisch ausgeführt.

13.5 Konfiguration mit Yellow Pages

Der Administrationsserver wurde so entwickelt, dass er das UNIX-Yellow Pages-(NIS)-System unterstützt. Dieses System ermöglicht in einem Netzwerk mit mehreren UNIX-Hosts die zentrale Speicherung von Benutzernamen, Gruppennamen und Kennworten sowie anderer Konfigurationsdetails auf dem so genannten "Yellow Pages Master"-Host. Dies vereinfacht das Anlegen neuer Benutzer beachtlich, besonders wenn jeder von ihnen auf mehr als einen Host zugreifen muss. Bitte beachten Sie, dass die Konfigurationsdaten eines Benutzers, die von dem Yellow Pages-
System gepflegt werden, nur auf dem Master-Host gespeichert sind. Daher können Sie diese nur dann mit EtherShare Admin ändern, wenn Sie sich am Administrationsserver des Master-Host und nicht bei einem der Yellow Pages-Slaves anmelden.

Die speziellen Yellow Pages-Kennwort- und Gruppendateien (z.B. "/var/yp/passwd" und "/var/yp/group") werden üblicherweise auf dem Master-Host in einem Unterverzeichnis von "/etc" gespeichert. Wenn Sie also EtherShare auch auf dem Master-Host installiert haben, können Sie in einem Konfigurationseintrag für den Administrationsserver den Namen und den Speicherort der Yellow Pages Kennwort- und Gruppendateien über die Parameter yppasswd und ypgroup in der Datei "atalk.conf" festlegen. Diese Parameter müssen nur auf dem Master-Host angegeben werden.

Wenn Sie EtherShare nicht auf dem Yellow Pages Master-Host installiert haben, können Sie lokale Yellow Pages Kennwort- und Gruppendateien editieren, um Benutzer auf Slave-Hosts anzulegen. Dies kann auf übliche Weise mit den Standard-UNIX-Yellow Pages-Werkzeugen erfolgen. Wir möchten Sie trotzdem darauf hinweisen, dass das Anlegen von Yellow Pages-Benutzern und -Gruppen mit EtherShare Admin einfacher zu realisieren ist als durch die Verwendung der Standard-UNIX-Werkzeuge. Sie können EtherShare Admin nicht nur zum Anlegen von EtherShare-Benutzern sondern auch zum Anlegen von normalen UNIX-Benutzern verwenden.

Die optionale AFP-Benutzerliste ("$ESDIR/conf/afppasswd") kann auch mit dem Yellow Pages-System genutzt werden, indem eine zweite "afppasswd"-Datei auf dem Master-Host eingerichtet wird (z.B. /var/yp/afppasswd). Letztere enthält die Namen aller Benutzer des Master-Rechners und seiner verbundenen Slaves-Rechner. Sie müssen den Namen und Pfad dieser Datei in dem Administrationsserver-Parameter ypafppasswd angeben. Die Datei "$ESDIR/conf/afppasswd" des Master-Hosts sollte nur den Benutzer "root" und die Systemanmeldungen enthalten und mit dem Zeichen "+:" in der letzten Zeile enden.

Zu der Installation der HELIOS Software gehört im Verzeichnis "$ESDIR/etc" das Skript "ypMakefile". Dieses enthält die notwendigen Änderungen, um die
AFP-Benutzerliste unter Yellow Pages zu implementieren. Es muss mit dem Namen "Makefile" in das Verzeichnis "/var/yp" kopiert werden.

Da Kennwort- und Gruppendateien im Yellow Pages-System meist in das Verzeichnis "/var/yp" statt in "/etc" gespeichert werden, sieht eine typische Konfiguration für den Administrationsserver auf dem Master-Host wie folgt aus:

admsrv: name="AdminServer", sessions=8,
yppasswd=/var/yp/passwd,
ypgroup=/var/yp/group,
ypafppasswd=/var/yp/afppasswd

Die Datei "$ESDIR/conf/afppasswd" jedes Hosts im Yellow Pages-System (Master und Slaves) muss an der Stelle, wo die Benutzer- und Gruppendaten von Yellow Pages eingefügt werden soll, eine Zeile enthalten, in der nur das Zeichen "+:" steht. Vor den einkopierten Einträgen stehen üblicherweise nur die Einträge für den Benutzer "root" und die Systemanmeldungen. Diese Einträge stellen sicher, das es auch dann noch möglich ist, sich an einem Rechner anzumelden, wenn die Netzwerkverbindung zum Master-Host unterbrochen ist:

root:8c9373c57a229c7a
+:

Wenn das Yellow Pages-System verwendet wird, ruft der Administrationsserver bei Veränderungen von Benutzer- oder Gruppendaten automatisch das Programm "$ESDIR/etc/yp-update" auf, um die Yellow Pages-Dateien zu aktualisieren. Aufgrund der Netzwerkverbindung treten leichte Zeitverzögerungen auf, wenn solche Änderungen vorgenommen werden.

Wenn Sie bei der Installation Ihrer Yellow Pages andere Verzeichnisse verwendet haben als die, die weiter oben nach dem Eintrag "admsrv:" aufgeführt sind, dann müssen Sie auch das Skript "$ESDIR/etc/yp-update" entsprechend modifizieren.