Einführung e-Directory
Einführung in die Grundlagen von e-Directory
Präsentation unter:
https://essentials.coufal.at/network_basics/eDirectory.html
Klaus Coufal
6.9.2021
e-Directory
Allgemeines
Aufbau
Objekttypen und deren Eigenschaften
Kontext
Partitionen und Replikationen
Zeitsynchronisation
Verwaltung
e-Directory: Allgemeines
NDS als Netware Directory Services im Jahr 1994 mit Netware 4 als Nachfolger des Bindery-Systems eingeführt
Später auf Novell Directory Services umbenannt, da auch auf Windows-Server und Unix-System lauffähig
Heute oft als e-Directory bezeichnet
e-Directory: AUfbau
Baumartig mit drei Klassen von Objekten
Rootobject (Wurzel des Baumes; bezeichnet mit dem Pseudonamen [Root])
Containerobjects (C, O und OU)
Leafobjects (Blattobjekte, CN)
e-Directory: Rootobject
Einmalig in einem Tree
Der Name des Trees ist mit diesem Objekt verbunden
Alle Eigenschaften für den gesamten Tree sind mit diesem Objekt verbunden (z.B.: B-Recht für [Public])
e-Directory: Containerobjects
Nur Containerobjekte können weitere Objekte beinhalten
Containerobjekte haben auch Eigenschaften für alle Objekte darin
C
Countryobject
O
Organisation Object
OU
Organizational Unit Object
e-Directory: Countryobject
Countryobjects können nur in [Root] existieren
Namen müssen den international üblichen Namen (ISO 3166-1) der Länder entsprechen
Countryobjects können nur Objekte des Types O beinhalten
e-Directory: Organisationobject
Organisationobjects können in [Root] oder in Objekten des Typs C existieren
Organisationobjects können OU- oder Leafobjects beinhalten
Die Namen entsprechen üblicherweise den Firmennamen
e-Directory: Organizational Unit Object
Diese Objekte können in Objekten der Typen O oder OU existieren
In diesen Objekten können weitere OU oder Leafobjekte untergebracht sein
Die Namen können frei gewählt werden, sollten aber "sprechend" sein
e-Directory: Leafobjects
Blatt- oder Endobjekte stellen die eigentlichen Elemente des Netzwerkes dar
Je nach Art des Objektes sind hier verschiedene Eigenschaften möglich (z.B.: Drucker hat einen Standort, Benutzer?)
e-Directory: Leafobjekttypen
Einige Standardtypen:
Alias
User (Benutzer)
Workstation (Computer)
Volume (Datenträger)
Group (Gruppe)
Server
Profile (Profil)
Directory (Verzeichniszuordnung)
Role (Organisatorische Funktion)
License (Lizenz)
Application (Anwendungsprogramm)
Printer (Drucker), Printserver (Druckserver), Queue (Warteschlange)
...
e-Directory: Leafobjekttypen (Nichtstandard)
Neben den Standardtypen sind noch beliebige Erweiterungen möglich:
fw1 User (Checkpoint Firewall-1)
Bagger
Kran
Flugzeug
Elternteil (spezieller Benutzertyp)
...
e-Directory: Kontext
Um ein Objekt korrekt zu beschreiben muß der DN verwendet werden
Der Kontext ist jener Teil des DN, der zum CN hinzugefügt werden muß
Ein "Default Context" (Standard Kontext) spart die Angabe des Kontexts für Objekte in diesem Kontext
e-Directory: Beispiel
e-Directory: Beispiel - Erläuterungen 1
Kein Countryobject
Ein Organisationobject names HTBLVA
Viele OU-Objects
Viele Leafobjects von denen nur drei Benutzer und ein Volume eingezeichnet ist
Der Name des Benutzers Admin:
<treename>/cn=admin.o=htblva oder kurz
<treename>/admin.htblva
e-Directory: Beispiel - Erläuterungen 2
Der RDN des Benutzers Admin:
im Kontext HTBLVA: cn=admin
im Kontext [Root]: cn=admin.ou=htblva
im Kontext Kolleg.EDV.HTBLVA: admin..
DN des Objektes MIRACULIX_PUPIL:
MIRACULIX_PUPIL.EDV.HTBLVA
RDN des Objektes:
Kontext EDV.HTBLVA: MIRACULIX_PUPIL
Kontext HDV.EDV.HTBLVA: MIRACULIX_PUPIL.
Kontext HTBLVA: MIRACULIX_PUPIL.EDV
e-Directory: Eigenschaften
Jedes Objekt im eDirectory hat Eigenschaften (Properties)
Containereigenschaften beziehen sich oft auf alle Objekte im Container
Mögliche Eigenschaften im Schema beschrieben
Eigenschaften können optional oder mandatory sein
e-Directory: Eigenschaften von Organizations
Name
Login Script
Rechte
...
e-Directory: Eigenschaften von Volumes
Name
Host Server
Host Volume Name
Version
...
e-Directory: Eigenschaften von Benutzern
First Name, Last Name, Full Name
UserID (Login Name)
Key Material (Verschlüsselung, Anmelden, ...)
e-Mail-Address
Title, Telephone Number, Address
Home Directory Volume, Home Directory Path
Password Parameter, Account Ablaufdatum, Beschränkung gleichzeitiger Verbindungen, Last Login
Gruppenmitgliedschaften
...
e-Directory: Eigenschaften von Gruppen
Name
Beschreibung
Mitglieder
Rechte auf Verzeichnisse und Dateien
...
e-Directory: Partitionen
Ein NDS-Baum kann in mehrere Partitionen aufgeteilt werden
Ein Aufteilung hat nur dann Sinn, wenn mehrere Server vorhanden sind
Von jeder Partition existieren standard-mäßig 2 Kopien (Replikationen) auf unterschiedlichen Servern
e-Directory: Replikationen
Replikationen sind Kopien aller Daten einer Partition
Automatische Erstellung beim Partitionieren
Manuelle Erstellung durch den Administrator
e-Directory: Replikationstypen
Masterreplikation (Masterreplica)
[Gefilterte] Schreiben/Lese-Replikation ([Filtered] Read-Write-Replica)
[Gefilterte] Nur-Lese-Replikation ([Filtered] Readonly-Replica)
Linkreplikationen (Subordinate Reference Replica)
e-Directory: Zeitsynchronisation
Damit mehrere Server korrekt mit e-Directory arbeiten können, muß(!) eine einheitliche Zeit im System herrschen
Alle Server haben daher intern UTC (gleich GMT = MEZ-1Stunde/2Stunden)
Zusätzlich wird die lokale Zeit für die Anzeige verwendet (aus UTC gebildet und Zeitzone)
e-Directory hat seine eigene Zeitsynchronisation, unterstützt aber auch ntp (siehe eigene
Präsentation
)
e-Directory: Zeitsynchronisation - Zeitservertypen
SINGLE REFERENCE
REFERENCE
PRIMARY
SECONDARY
e-Directory: Zeitsynchronisation - SINGLE REFERENCE
Die Uhrzeit dieses Servers wird als Referenz für das Netzwerk verwendet
Daneben nur SECONDARY Timeserver sinnvoll
Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt
e-Directory: Zeitsynchronisation - REFERENCE
Referenzzeitserver, der allerdings mit anderen Zeitservern die Netzwerkzeit abstimmt (seine eigene Zeit aber nicht daran anpaßt)
Daneben sind SECONDARY und PRIMARY Timeserver möglich
Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt
e-Directory: Zeitsynchronisation - PRIMARY
Zeitserver, der mit anderen Zeitservern (PRIMARY oder REFERENCE) die Netzwerkzeit abstimmt
Daneben sind SECONDARY, PRIMARY und REFERENCE Timeserver möglich
Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt
e-Directory: Zeitsynchronisation - SECONDARY
Zeitserver, der selbst seine Uhrzeit von anderen Zeitservern (PRIMARY, SINGLE REFERENCE oder REFERENCE) bekommt
Die Uhrzeit wird auch Clients bzw. auf Wunsch auch per NTP zur Verfügung gestellt
e-Directory: Verwaltung
Namensgebung
i-Monitor
i-Manager
e-Directory: Verwaltung - Namensgebung
In eDirectory-Namen sollten folgende Zeichen nicht verwendet werden:
. [ , ] + =
Möglich sind aber auch diese mit dem
\
(=Fluchtsymbol) davor
47 Zeichen maximale Länge für Namen, die SAP (Service Advertising) benötigen
Richtlinien für Namensgebung sinnvoll
e-Directory: Verwaltung - Richtlinien Namensgebung
Damit später der Baum einfacher durchsucht werden kann
Genaue Beschreibung der Namensbildung
Genaue Beschreibung der Schreibweise und der Trennzeichen
Strikte Einhaltung (!)
e-Directory: Verwaltung - Beispiele Namensgebung
Login Name
Erster Buchstabe Vorname
Familienname (z.B.: hhabicht)
Telefonnummer
Internationale Schreibweise (z.B.: +49 89 5475)
Full Name
Vorname Zuname (z.B.: Hugo Habicht)
e-Directory: Verwaltung - i-Monitor
Webbasierendes Monitoring und Diagnosetools
eDirectory Zustandsübersicht
Fehlermonitoring
Verbindungsübersicht der Replikationen
...
e-Directory: Verwaltung - i-Manager
Webbasierende Verwaltung des eDirectories
Durch PlugIns erweiterbar
Rollenbasierendes Management möglich
Unrestricted
Anzeige aller Rollen und Tätigkeiten
Assigned
Zugeordnete Rollen und Tätigkeiten für den Benutzer
Collection owner
Mehrere Rollen für eine Sammlung
Quellen
Seminarreihe Netzwerke
S5: A Simple Standards-Based Slide Show System
Mein Informationsportal (www.coufal.info)
Fragen
?
Danke für Ihre Aufmerksamkeit
