Mit Sharity 3 arbeiten
Konfiguration
Die wichtigsten Konfigurations-Daten wurden schon während der Installation abgefragt. Mehr ist üblicherweise nicht notwendig um Netzwerk-Ressourcen zu durchsuchen, bei Servern oder Freigaben einzuloggen und auf freigegebene Dateien zuzugreifen.Alle Konfigurations-Daten, die während der Installation abgefragt wurden (ausgenommen die Datei-Pfade der Installation), können jederzeit in der grafischen Benutzeroberfläche im Abschnitt "Optionen" geändert werden. Detail-Informationen über die einzelnen Optionen lesen Sie bitte in der Hilfe des Programms nach. Klicken Sie die Schaltfläche mit dem Fragezeichen (Hilfe) um das Hilfe-Fenster zu öffnen.
Ein- und Ausloggen
Um auf Dateien zugreifen zu können, müssen Sie zuerst Ihre Identität gegenüber dem Computer nachweisen, der die Dateien bereitstellt. Dieser Vorgang wir "Authentifizierung" genannt und wird üblicherweise mit Hilfe eines Login-Namens und eines Passwortes durchgeführt. Wenn Die grafische Benutzeroberfläche läuft, müssen Sie sich nicht explizit vor dem Zugriff bei einem Server oder für eine Freigabe anmelden. Sharity zeigt bei Bedarf automatisch einen Login-Dialog und fragt nach Ihren Login-Daten. Diese Daten werden für weitere Zugriffe im Hauptspeicher gehalten. Da der Hauptspeicher bei einem Neustart gelöscht wird, muss Sharity erneut nach dem Passwort fragen. Um Ihre Login-Daten permanent zu speichern, verwenden Sie den Schlüsselbund (siehe weiter unten).
Der Abschnitt "Logins" in der Benutzeroberfläche zeigt alle Server und Freigaben, für die Sharity Login-Daten im Speicher hält. Wenn Sie die Schaltfläche "Logout" klicken, werden Ihre Login-Daten aus dem Hauptspeicher gelöscht (nicht aber aus dem Schlüsselbund).
Authentifizieren mit Kerberos
Die Windows 2000 Domäne (dieser Begriff schliesst auch Windows 2003 und XP ein) verwendet das Kerberos-System zur Authentifizierung. Als Anwender haben Sie dabei den Vorteil, dass Sie sich nur ein Mal anmelden müssen (üblicherweise wenn Sie Ihre Sitzung am Computer beginnen) und dann auf alle Dienste in der Kerberos-Domäne ohne Passwort zugreifen können. Alle dazu notwendigen Authentifizierungs-Schritte werden automatisch im Hintergrund erledigt.Kerberos funktioniert nur dann wie oben beschrieben, wenn es richtig konfiguriert ist und Ihr System es auch verwendet. Wenn Sie sich am Computer anmelden, verwendet er Ihren Namen und Ihr Passwort dazu, ein sogenanntes "Kerberos-Ticket" beim "Key Distribution Center" (das ist normalerweise der Windows Domänen-Controller) anzufordern. Dieses anfägliche Ticket, das "Ticket Granting Ticket", hat die selbe Funktion wie sonst Ihr Passwort und steht ab nun allen Ihren Programmen zur Verfügung (im Gegensatz zu Ihrem Passwort, das keinem Ihrer Programme zugänglich ist).
Wenn Ihr System Kerberos benutzt und Sie bereits ein Ticket Granting Ticket haben, das ein Login bei einem Server ermöglicht, dann fragt Sharity Sie nicht mehr nach Ihren Login-Daten. Stattdessen benutzt es den Kerberos-Mechanismus um das für ein Login am Server notwendige Ticket zu erlangen. In der Benutzeroberfläche erkennen Sie Logins auf Basis von Kerberos-Tickets an der Bezeichnung "Kerberos" in der rechtesten Spalte der Login-Liste.
Kerberos ist ein recht komplexes System und erfordert eine korrekte Konfiguration. Bitte fragen Sie Ihren Systemadministrator, wie Sie Ihren Computer in die Kerberos-Domäne einbinden können. Weitere Informationen zu Kerberos und eine gute Link-Sammlung finden Sie bei Wikipedia (englischsprachig).
Wenn Sie mit Kerberos authentifizieren und die Unix Computer in die Windows Domäne integrieren wollen, dann empfehlen wir Ihnen Centrify's DirectControl. DirectControl ist ein einfach zu installierendes und einfach zu wartendes Software-Paket, das auch Kerberos enthält.
Der Schlüsselbund
Es kann lästig sein, wenn Sie bei jedem Server, zu dem Sie sich verbinden wollen, Ihr Passwort tippen müssen. Oder es kann Ihnen sogar unmöglich sein, es zu tippen, weil ein Hintergrund-Prozess (z.B. ein Web-Server) auf Netzwerk-Dateien zugreift, während Sie nicht anwesend sind. In diesen Fällen bietet der "Schlüsselbund" Abhilfe. Hier können Sie Passworte permanent speichern und sogar zum Default-Passwort für die Domäne oder auch für andere Anwender machen.Um Login-Daten zum Schlüsselbund hinzuzufügen, loggen Sie sich zunächst wie üblich ein. Ihr Login wird in der Benutzeroberfläche im Abschnitt "Logins" gelistet. Selektieren Sie nun dieses Login und klicken Sie die Schaltfläche "-> Schlüsselbund". Sharity schaltet gleich zum Abschnitt "Schlüsselbund" um, wo Sie den neu angelegten Eintrag prüfen können.
Gespeicherte Login-Daten gelten zunächst nur für einen Server oder eine Freigabe. Der Server oder die Freigabe wird in URL-Notation für jeden Eintrag angezeigt. Wenn Sie nun einen Eintrag auswählen, können Sie ihn über das "Aktionen"-Menü zum Default für die Domäne machen oder anderen Anwendern zur Verfügung stellen. Login-Daten für Server werden mit dem URL-Schema "smb://servername" angezeigt. Zur Unterscheidung werden Login-Daten für Domänen mit Grossbuchstaben als "smb://DOMÄNENNAME" angezeigt.
Informationen im Schlüsselbund werden verschlüsselt auf der Festplatte Ihres Computers gespeichert. Während der Installation von Sharity wurden Sie nach einem Generalpasswort gefragt, das für diese Verschlüsselung verwendet wird. Sie können das Generalpasswort jederzeit mit dem Menüpunkt "Generalpasswort für den Schlüsselbund setzen..." im "Aktionen"-Menü oder mit dem Befehl "sharity keychain setpass" aus der Kommandozeile ändern.
Damit Sharity auf die verschlüsselten Passworte ohne Eingabe des Generalpassworts zugreifen kann, wird auch das Generalpasswort verschlüsselt gespeichert. Für diese Verschlüsselung kann allerdings (aus offensichtlichen Gründen) nicht das Generalpasswort selbst verwendet werden. Stattdessen verwendet Sharity dazu ein Maschinen-Passwort, das aus maschinenspezifischen Informationen gewonnen wird. Solange sich diese Information nicht ändern, kann Sharity auf den Schlüsselbund ohne Hilfe des Anwenders zugreifen. Nach einem Upgrade oder dem Einspielen eines Backups kann es allerdings notwendig sein, das Generalpasswort erneut einzugeben.
Ressourcen durchsuchen
Während der Installation mussten Sie entscheiden, in welchem Verzeichnis der "Netzwerk Browser" im Dateisystem verfügbar sein soll. Per default ist dieser Pfad /CIFS. Wir verwenden den default-Wert /CIFS im weiteren Verlauf dieser Dokumentation. Sollten Sie eine andere Wahl getroffen haben, so denken Sie sich /CIFS durch Ihre Wahl ersetzt.Das /CIFS Verzeichnis hat die selbe Funktion wie die "Netzwerkumgebung" in Windows. Nach einem Neustart enthät es nur ein oder zwei Unterverzeichnisse: "entire_network" und "active_directory" (letzteres nur, wenn Sie auch das Kerberos-Modul installiert haben). Das Verzeichnis "entire_network" zeigt alle Netbios-Domänen und Arbeitsgruppen an, die in Ihrem Netzwerk-Segment bekannt sind. Tiefer in der Verzeichnis-Hierarchie finden Sie dann die Computer, die Mitglieder der jeweiligen Domäne oder Arbeitsgruppe sind, darunter die Freigaben des ausgewählten Computers. Die Freigaben werden als symbolische Links implementiert, die auf Verzeichnisse verweisen, auf denen die Freigaben beim Zugriff automatisch gemountet werden. Ein Beispiel:
# ls -l /CIFS/
total 0
dr-xr-xr-x 2 root root 16 2 Jun 22:48 active_directory
dr-xr-xr-x 3 root root 24 2 Jun 22:48 entire_network
# ls -l /CIFS/entire_network/
total 0
dr-xr-xr-x 4 root root 32 2 Jun 22:50 workgroup
# ls -l /CIFS/entire_network/workgroup/
total 0
dr-xr-xr-x 2 root root 16 2 Jun 22:51 ibook
dr-xr-xr-x 7 root root 56 2 Jun 22:51 server
# ls -l /CIFS/entire_network/workgroup/server/
total 6
lrwxrwxrwt 1 root root 1024 2 Jun 22:52 docs -> /CIFS/docs[server]
lrwxrwxrwt 1 root root 1024 2 Jun 22:52 ftp -> /CIFS/ftp[server]
lrwxrwxrwt 1 root root 1024 2 Jun 22:52 web -> /CIFS/web[server]
Das "active_directory" Verzeichnis in /CIFS funktioniert nur, wenn Kerberos auf Ihrem Computer korrekt konfiguriert und in eine Windows 2000 Domäne eingebunden ist. Es zeigt in der ersten Ebene die Domänen, die Ihr Domänen-Controller kennt. Von dort aus können Sie die Ressourcen der Domäne weiter inspizieren...
Das Auflisten von Domänen, Arbeitsgruppen und Servern im "entire_network" Verzeichnis basiert auf Netbios Sammelrufen. Dieses Verfahren kann fehlschlagen, wenn in Ihrem Netzwerk-Segment kein Computer über die notwendigen Informationen verfügt oder wenn Ihr Administrator das Netbios-Protokoll abgeschaltet hat. In diesem Fall können Sie auf das "active_directory" Verzeichnis umsteigen oder die Ressourcen, die Sie Benötigen, händisch in der Sharity Benutzeroberfläche anlegen. Wechseln Sie dazu in den Abschnitt "Ressourcen" und klicken dort die "Hilfe"-Schaltfläche um weitere Informationen zum Anlegen von Ressourcen bekommen.
/CIFS als magisches Verzeichnis
Das /CIFS Verzeichnis ist mehr als nur der Einstiegspunkt zum Durchsuchen der Netzwerkumgebung. Wenn Sie von einer Freigabe Name und Server bereits kennen, können Sie diese Freigabe ganz einfach automatisch mounten, z.B.:ls -l /CIFS/docs\[server\]/(Achtung: Der umgekehrte Schrägstrich ist bei den meisten Shells notwendig um die eckige Klammer als normales Text-Zeichen zu markieren. Alternativ können Sie auch einfache oder doppelte Anführungszeichen um den Pfad verwenden.)
Der obige Befehl mountet die Freigabe (in Windows-Notation) \\server\docs auf dem Verzeichnis /CIFS/docs[server] und zeigt ihren Inhalt an. Von nun an wird docs[server] als Unterverzeichnis von /CIFS angezeigt. Oder in anderen Worten: /CIFS enthält auch automatisch gemountete Freigaben. Das ist übrigens auch das Verfahren, nach dem die Browser in "entire_network" und "active_directory" die Freigaben verfügbar machen.
Statt eine Freigabe explizit mit "sharity mount" oder mit der Benutzeroberfläche zu mounten, können Sie auch den automounter über einen symbolischen Link benutzen. Ein Beispiel: Nehmen wir an, Sie wollen die Freigabe \\server\docs in Ihrem eigenen Verzeichnis unter dem Namen "freigabe" verfügbar haben. Erzeugen Sie einfach einen symbolischen Link:
ln -s /CIFS/docs\[server\] ~/freigabeAlle Mounts und Automounts werden in der Benutzeroberfläche im Abschnitt "Mounts" angezeigt. Um einen Mount wieder los zu werden, wählen Sie ihn in der Liste aus und klicken die Schaltfläche "Unmount".
Einloggen und Schlüsselbund-Verwaltung aus der Kommandozeile
Bisher haben wir immer angenommen, dass Sie die grafische Benutzeroberfläche zu Sharity laufen haben. Das kann Ihnen jedoch unmöglich sein (z.B. wenn Sie kein X11 installiert haben) oder es kann nicht wünschenswert sein (z.B. bei Fernbedienung über ssh oder telnet). Wenn die Oberfläche nicht läuft, hat Sharity keine Möglichkeit, Sie nach Passworten zu fragen. Sie müssen daher die notwendigen Passworte vor dem Zugriff angeben. Das kann auf eine der folgenden Arten erfolgen: (1) Mit dem Befehl "sharity login", (2) durch Abspeichern im Schlüsselbund oder (3) mit Kerberos. Für weiterführende Informationen zum Befehl "sharity login" geben Sie bitte "sharity login -h" oder "sharity man login" ein.Die Meisten Funktionen der grafischen Benutzeroberfläche haben analoge Kommandozeilen-Befehle. Mit dem Befehl "sharity -h" erhalten Sie eine Liste aller verfügbaren Befehle. Weitere Informationen zu einem Befehl bekommen Sie mit "sharity Befehl -h" oder "sharity man Befehl".
Einige gebräuchliche Beispiele:
Um sich bei einem Server einzuloggen:
sharity login smb://myserverUm Ihr Passwort für Server "myserver" im Schlüsselbund zu speichern:
sharity login -s smb://myserverUm den Inhalt des Schlüsselbundes anzuzeigen:
sharity keychainUm das Passwort für Server "myserver" aus dem Schlüsselbund zu löschen:
sharity keychain delete smb://myserverUm Ihr Generalpasswort zu ändern:
sharity keychain setpass
Mounten von Freitaben aus der Kommandozeile
Die bevorzugte Methode Freitaben zu mounten ist über symbolische Links, die nach /CIFS verweisen, so wie das weiter oben beschrieben wurde. Dadurch ist sichergestellt, dass jedes Objekt nur ein Mal gemountet wird, unabhängig davon, von wievielen Stellen im Dateisystem es referenziert wird.Wenn Sie allerdings wirklich einen Mount einer Freigabe auf einem bestimmten Verzeichnis wünschen, können Sie das wie folgt erreichen (z.B.):
sharity mount smb://server/docs /mountpointDas Verzeichnis /mountpoint muss existieren, wenn das Kommando durchgeführt wird und es muss jenem Anwender gehören, der das Kommando durchführt. Für weiterführende Informationen über sharity mount geben Sie bitte sharity man mount ein.
Mounts, die auf die gerade beschriebene Weise hergestellt wurden, sind nicht permanent: Nach einem Reboot oder Neustart von Sharity sind sie weg. Für permanente Mounts muss sharity mount beim Systemstart aufgerufen werden. Sharity bietet dafür einen Mechanismus an: Der Inhalt der Datei /usr/local/sharity3/var/fstab wird beim Start Zeile für Zeile an sharity mount übergeben.
Zugriff auf ACLs
Sharity kann Windows Zugriffskontrolllisten (ACLs für Access Control Lists) mit Kommandozeilen-Befehlen anzeigen und modifizieren. Da es keine allgemeinen Unix-Befehle zum Manipulieren von ACLs gibt, bietet Sharity eigene Befehle. (Es kann solche Befehle auf einzelnen Unix Betriebssystemen geben, sie sind aber kein Unix Standard.)Zum Anzeigen von ACLs für eine Datei oder ein Verzeichnis verwenden Sie den Befehl
sharity acl get PfadUm einen Eintrag zu einer ACL hinzuzufügen, verwenden Sie (zum Beispiel):
sharity acl add allow friend@domain.com "Read data" datei.txt
Mehr Informationen über den Befehl "sharity acl" und wie man damit ACLs manipuliert bekommen Sie mit "sharity acl -h" oder "sharity man acl".
Zur bearbeitung von ACLs in menschenlesbarer Form (statt SID-Nummern) muss das Sharity Kerberos-Modul installiert sein.
Normalerweise sind die Unix Dateiattribute von den Windows ACLs unabhängig. Sie werden aus den DOS Dateiattributen wie "System" oder "Schreibschutz" berechnet. Datei-Besitzer und -Gruppe sind dabei immer die des gerade zugreifenden Anwenders.
Wenn ein Dienst zur Umsetzung von Windows Security-IDs (SIDs) auf Unix Benutzer- und Gruppen-IDs verfügbar ist (etwa DirectControl von Centrify), dann kann Sharity die Dateiattribute auch aus den Windows ACLs berechnen; siehe dazu die Option "Windows ACLs konvertieren" im Abschnitt "Optionen" der Sharity Benutzeroberfläche.
Allgemeine Informationen
Der Abschnitt "Sharity" in der Benutzeroberfläche zeigt die genaue Versionbezeichnung der installierten Sharity Software sowie die Eigenschaften des Lizenzschlüssels an. Hier können Sie auch einen neuen Lizenzschlüssel eingeben.| Copyright © 2004 - 2007 by OBJECTIVE DEVELOPMENT Software GmbH | Druckversion |