Integracja Windows NT
z innymi sieciowymi
systemami operacyjnymi
h
Najczęstsze problemy ochrony insta-
lacji wieloplatformowych
Niezależnie od stosowanego sieciowego
systemu operacyjnego, administracja
nim wymaga rozwiązania wielu tych
samych problemów. Najważniejsze
spośród nich są treścią niniejszego roz-
działu.
W
indows NT w szybkim tempie podbija
dzisiejszy rynek systemów operacyjnych,
zdobywając pozycje innych współzawodni-
ków, takich jak Banyan, Novell, czy różni
dostawcy systemów UNIX-owych. Wraz ze
wzrostem popularności Windows NT, nabiera
znaczenia potrzeba zrozumienia problemów,
jakie rodzi jego integracja z istniejącymi insta-
lacjami sieciowymi. Odmiennym zagadnie-
niem jest ukazanie Windows NT, jako syste-
mu wykorzystywanego do nadbudowy nad
istniejącymi rozwiązaniami typu „każdy
z każdym”, takimi jak LANtastic lub nawet
sieciowe usługi Windows 95. Niniejszy roz-
dział omawia integrację Windows NT
z sieciami LANtastic, Banyan i Novell NetWa-
re. Ochrona wieloplatformowego środowiska
sieciowego tworzy wyzwania nieznane
w homogenicznym środowisku Windows NT
Poruszymy niektóre problemy ochrony zwią-
zane z instalacjami wielosystemowymi. Inte-
gracja z UNIX-em będzie omawiana nieco
później.
h
Ochrona środowiska wieloplatfor-
mowego
Integracja z
siecią wieloplatformową
wymaga analizy, wykraczającej poza
system operacyjny Windows NT.
h
Windows NT a systemy operacyjne
typu „każdy z każdym”
Systemy sieciowe „każdy z każdym”
mają własne, specyficzne problemy
ochrony. Dołączenie do sieci Windows
NT wymaga uwzględnienia dodatko-
wych rozwiązań.
h
Windows NT a Banyan VINES
Banyan VINES był pierwszym system
operacyjny, który wprowadził pojęcie
usług katalogowych. System dostarcza
licznych narzędzi, ułatwiających
współpracę z Windows NT.
h
Windows NT a Novell NetWare
NetWare jest jednym z
najbardziej
popularnych systemów operacyjnych,
co powoduje, że coraz częściej zacho-
dzi potrzeba jego integracji z Windows
NT.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
382
Najczęstsze problemy ochrony instalacji
wieloplatformowych
Jednym z kluczowych problemów, które wymagają rozwiązania podczas
posługiwania się siecią wieloplatformową jest synchronizacja haseł.
W zależności od roli, jaką Windows NT pełni w sieci oraz typu klientów,
wprowadzenie jednolitej strategii stosowania haseł wymaga dużej zręcz-
ności. Przykładowo: StreetTalk for Windows systemu Banyan, serwery
Windows NT oraz serwery Banyan VINES współistnieją na tym samym
drzewie katalogów. Hasła dostępu do zasobów serwerów Windows NT
i Banyan VINES są takie same, gdyż użytkownicy korzystają bezpośred-
nio ze struktury kartotek, a nie z indywidualnych serwerów. Usługi kata-
logowe zajmują się kontrolą dostępu do wszystkich zasobów drzewa.
Z drugiej strony użytkownicy potrzebujący dostępu do serwera NetWare
3.12 i domeny Windows NT muszą być przeszkoleni do ręcznej zmiany
haseł. Również wyłączanie haseł musi się odbywać ręcznie. Do chwili
obecnej nie istnieje proste rozwiązanie synchronizacji haseł między sys-
temami.
Innym problemem wymagającym analizy jest obsługa wielu haseł. Roz-
ważmy na przykład sytuacje, kiedy użytkownicy mają do dyspozycji
domenę Windows NT przeznaczoną dla całego przedsiębiorstwa. Dodat-
kowo, jeden z wydziałów posługuje się serwerem Banyan VINES, który
w najbliższym czasie nie będzie przenoszony na platformę Windows NT.
Ponieważ serwery wydziałowe są często administrowane przez personel
wewnętrzny, to nie istnieje prosta metoda synchronizacji czasu posługi-
wania się hasłem, a wymagania wobec haseł w systemie przedsiębior-
stwa różnią się od stosowanych na serwerze wydziału. Łatwo sobie wy-
obrazić, jak trudne jest posługiwanie się wieloma hasłami. Jedno do pocz-
ty elektronicznej, drugie do Internetu, trzecie do stacji mainframe itd.
W wielu przypadkach jedynym rozwiązaniem staje się zapisanie haseł na
kartce i przyklejenie jej na obudowie monitora..
Podobnego rodzaju problemy związane są z koordynacją identyfikato-
rów. Jeśli przedsiębiorstwo posługuje się różnymi systemami, to pamię-
tanie różnych nazw może być poważnym utrudnieniem dla użytkowni-
ków. Przypuśćmy, że administrator sieci przedsiębiorstwa wprowadził
obowiązujący wzorzec nazwy składający się z siedmiu pierwszych liter
nazwiska oraz pierwszej litery imienia, na przykład: CrensonC, HarrisH
itp. Na serwerze wydziałowym obowiązują z kolei nazwy, złożone
z imienia i pierwszej litery nazwiska, na przykład: JohnD, TedN itd. Naj-
lepszym rozwiązaniem jest wymuszenie standardowego wzorca w skali
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
383
całego przedsiębiorstwa. Jest to jedyny sposób na ułatwienie życia użyt-
kownikom oraz likwidację kartek z hasłami na monitorach.
Kolejnym zagadnieniem polityki ochrony sieci wieloplatformowych jest
zapewnienie bezpiecznego dostępu do różnych systemów. W niektórych
przypadkach wygodny dostęp do różnych systemów jest okupiony po-
ważnymi zagrożeniami bezpieczeństwa, czego przykładem może być
wykorzystanie Windows Gateway Services for NetWare w środowisku
NetWare 3.12. Program będziemy omawiać szczegółowo w dalszej części
rozdziału, ale już teraz zwracamy uwagę na związane z nim problemy
ochrony. Wszyscy użytkownicy mający dostęp do woluminu NetWare
posiadają takie same uprawnienia. Nie istnieje sposób różnicowania
uprawnień dostępu; tymczasowo zatrudniony współpracownik ma takie
same uprawnienia jak kierownik wydziału.
Następny problem to buforowanie haseł, które oznacza, że stacje robocze
klientów przechowują hasła ostatnich użytkowników na lokalnych sta-
cjach dysków. Rozwiązanie zapobiega co prawda konieczności wielo-
krotnego wprowadzania hasła, ale z drugiej strony umożliwia dostęp do
zasobów systemu osobom, znającym identyfikator ostatniego użytkow-
nika. Zagrożenia stwarza również przechowywanie haseł na twardym
dysku. Jeśli hasła składowane są w jawnej postaci, to każdy kto zna ich
lokalizację może je przeczytać lub wydrukować. Problemu nie rozwiązuje
również szyfrowanie, gdyż w dzisiejszych czasach każdy zestaw hakera
zawiera silne narzędzia łamania kodów haseł.
Na koniec należy wspomnieć o problemach, związanych z różnymi po-
ziomami ochrony stosowanymi w każdym systemie operacyjnym. Nie-
które rozwiązania sieciowe zezwalają na przesyłanie haseł w jawnej po-
staci, a inne nie. Decydując się na koordynację haseł w całej sieci, nara-
żamy wszystkie segmenty na zagrożenie związane z możliwością prze-
chwycenia hasła, przesyłanego przez jeden z elementów otwartym tek-
stem. Z każdym systemem operacyjnym związane są specyficzne metody
ataku ze strony hakerów. Jeśli któryś z segmentów sieci posiada lukę
w systemie ochrony, wszyscy użytkownicy powinni zostać zabezpieczeni
przed jej skutkami. Konieczność śledzenia wszystkich chwytów, jakie
wymyślili hakerzy do infiltracji każdego z systemów sieciowych, może
przyprawić administratora o ból głowy.
Dodatkowo, środki zaradcze na różne zagrożenia systemu trzeba stoso-
wać oddzielnie. Na przykład kilka lat temu pojawiła się metoda podra-
biania pakietów sieciowych. Dostawcy każdego systemu opracowali wła-
sne programy naprawcze. Aby zabezpieczyć całą sieć, trzeba znać
i umieć zastosować odpowiedni moduł ładowalny NetWare, pakiet ser-
wisowy Windows NT (Service Pack lub Hot Fix) oraz jeszcze inne roz-
wiązanie dla Banyan. Administrowanie wieloplatformową siecią przed-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
384
siębiorstwa wymaga od personelu informatycznego dużych kwalifikacji
i konieczności nieustannego wspierania użytkowników.
Ochrona wieloplatformowego środowiska sieciowego
Integracja Windows NT z innymi systemami operacyjnymi jest z punktu
widzenia ochrony relatywnie prosta. Windows NT współpracuje
z najbardziej popularnymi modelami ochrony opartymi o hasła, kontrolę
dostępu do plików i zasobów współdzielonych oraz profilach użytkow-
nika. Kluczem pozwalającym zapewnić kompatybilność układu zabez-
pieczeń Windows NT z innymi systemami jest wdrożenie jednolitej stra-
tegii ochrony w całej sieci. Jeśli w domenie Windows NT hasło należy
zmieniać co 45 dni, to z tą samą częstotliwością powinno być zmieniane
w Novell NetWare. Jeśli hasło dla Banyan VINES musi się składać z co
najmniej siedmiu znaków, tę samą długość powinny mieć hasła Windows
NT. Optymalną strategię można streścić trzema słowami: przejrzysta,
sprawdzalna i znana. Aby wszyscy użytkownicy stosowali się do strategii
ochrony musi być przejrzysta. Jeśli administratorzy mają adekwatnie
reagować na problemy techniczne oraz trudności użytkowników, muszą
otrzymywać odpowiednią informację zwrotną. Wreszcie najlepsza strate-
gia na świecie nie jest nic warta, jeśli nie jest znana wszystkim użytkow-
nikom.
Istnieją duże organizacje, posiadające opasłe tomy, opisujące strategie
ochrony, które spoczywają w biurku dyrektora do spraw bezpieczeń-
stwa. Administratorzy biur branżowych nie maja o nich zielonego poję-
cia. Podstawowe dyrektywy są podawane jedynie na zebraniach ścisłego
kierownictwa pionu informatyki i nie są przekazywane dalej. W efekcie,
z chwilą podjęcia decyzji o przejściu do modelu scentralizowanego
wsparcia, trzeba poświęcić mnóstwo godzin pracy wielu ludzi na rekon-
figurację serwerów całej instytucji. Szybki i przejrzysty obieg informacji
między wszystkimi ogniwami przedsiębiorstwa pozwala zaoszczędzić
wiele czasu i pieniędzy.
Najważniejsze zadanie to wprowadzenie jednolitych reguł stosowania
haseł. Jak już wcześniej mówiono, w miarę możliwości należy eliminować
przesyłanie haseł otwartym tekstem. Odradzamy również korzystanie
z buforowania haseł.
Integracja Windows NT z Banyan VINES lub Novell NetWare jest moż-
liwa bezpośrednio na poziomie katalogów. Kluczowym warunkiem dla
zapewnienia spójności całej istniejącej infrastruktury jest bezpieczne
skonfigurowanie Windows NT Server, przez osobę mająca doświadcze-
nie w udanych przedsięwzięciach integracyjnych. Nie należy się bać ko-
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
385
rzystania z usług zewnętrznych konsultantów, ani oszczędzać na eksper-
tyzach potwierdzających bezpieczną konfigurację systemu. Integracja
instalacji nie jest dobrym polem zdobywania doświadczeń dla personelu,
zwłaszcza jeśli dotyczy systemu wymagającego wysokiego poziomu bez-
pieczeństwa. Należy jeszcze wspomnieć, że bardzo pomocne w integracji
systemów są aplikacje laboratoryjne. W miarę możliwości technicznych
i finansowych, wskazane jest korzystanie z tego typu implementacji.
Współpraca LANtastic i Windows NT
Zanim rozpoczniemy dyskusję o problemach specyficznych dla integracji
obu systemów, przyjrzymy się ogólnym zagadnieniom sieci typu „każdy
z każdym”. W takich instalacjach zasoby każdej stacji roboczej są współ-
dzielone przez pozostałe komputery sieci. Zbiór wszystkich połączonych
tym sposobem komputerów jest nazywany grupą roboczą. Stacje dzielą
wspólnie takie zasoby jak: drukarki, modemy, pliki, napędy CD itp. Ry-
sunek 15.1 ilustruje typową grupę roboczą{ XE "grupa robocza" }, składa-
jącą się z czterech komputerów wraz z ich zasobami.
Rysunek 15.1
Prosta sieć „każdy
z każdym”.
Jak widać na rysunku, każdy komputer grupy roboczej ma dostęp do
twardego dysku stacji 4. Podobnie komputer nr 1 udostępnia swoją dru-
karkę wszystkim elementom grupy.
Wiedząc z grubsza, na czym polegają systemy operacyjne typu „każdy
z każdym”, pomówmy chwilę o ich wadach.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
386
Uwaga
Wszystko, o czym mówimy, dotyczy dowolnej konfiguracji typu „każdy
z każdym”, począwszy od Windows for Workgroup, poprzez Windows NT a na
LANtastic skończywszy.
Najważniejszy problemem, związanym z systemami operacyjnymi typu
„każdy z każdym” polega na tym, że wszyscy użytkownicy mogą udo-
stępniać poprzez sieć część zasobów swoich stacji roboczych, czyli mają
na biurku serwer plików. Każdy użytkownik pełni więc funkcję admini-
stratora systemu. Jeśli któryś z nich lubi eksperymentować z konfiguracją
swojej stacji roboczej, stanowi potencjalne zagrożenie bezpieczeństwa.
Udostępnienie obszarów, które powinny być chronione lub nawet zezwo-
lenie na dopisywanie danych w miejscach niedozwolonych może być
przyczyną wielu kłopotów lub nieporozumień. Wyobraźmy sobie, że
pracownica wydziału kadr omyłkowo udostępniła pliki z tabelami pla-
nowanej regulacji płac. Wszyscy mogą porównać swoje wynagrodzenie
z apanażami kolegów. Szef będzie miał przyjemność długich pertraktacji
płacowych, a administrator będzie się musiał rozejrzeć za nową pracą.
A co się stanie w przedsiębiorstwie, jeśli zatrudniony na praktykę student
umieści na twardym dysku dyrektora generalnego swoje zawirusowane
pliki XXXJPEG?
Kolejnym wyzwaniem, związanym z sieciami omawianego typu, jest
zapewnienie integralności danych. Ze względu na rozproszenie, regular-
na archiwizacja wszystkich zasobów stanowi poważny problem. Można
sobie nieco pomóc stosując napędy taśmowe i wydajne oprogramowanie
archiwizujące w połączeniu z rygorystycznym testowaniem archiwów.
Nieumyślne wyłączenia stacji roboczych podczas automatycznych archi-
wizacji mogą jednak zepsuć sporo krwi, podobnie jak brak laptopa, który
chory pracownik zatrzymał w domu. Tylko dobry i konsekwentnie reali-
zowany plan archiwizacji może ograniczyć liczbę takich problemów.
Powyższe uwagi nie mają na celu dyskredytowania systemów „każdy
z każdym”. Dobrze skonfigurowana sieć tego typu może być skrajnie
bezpiecznym, tanim i elastycznym rozwiązaniem dla wielu wydziałów
lub małych przedsiębiorstw. Sporo osób uważa, że systemy operacyjne
„każdy z każdym” są wręcz niezastąpione dla małych biur (do 25 osób),
a ze względu na niski koszt zakupu i mały nakład pracy potrzebny do
administrowania są przynajmniej atrakcyjne w stosunku do scentralizo-
wanych systemów sieciowych. Graniczna liczba określająca kiedy system
„każdy z każdym” spełnia jeszcze swoje zdania zależy od eksperta. Jedni
mówią, że już dziesięć stacji roboczych stanowi barierę dla tej architektu-
ry, inni zgadzają się że liczba 100 jest zdecydowanie maksymalną liczbą
użytkowników w sieci tego typu.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
387
Zdobywszy ogólne informacje o sieciach „każdy z każdym”, powinniśmy
przestudiować najbardziej popularny na rynku przykład tej technologii,
jakim jest system operacyjny LANtastic firmy Artisoft. LANtastic szczyci
się ponad pięcioma milionami użytkowników. Kilka lat temu pozostawił
w tyle takie produkty jak Personal NetWare firmy Novell i aktualnie jest
najważniejszym spośród systemów operacyjnych „każdy z każdym”,
jakie są dostępne na rynku. Ponadto Artisoft dołącza do produktów swo-
jej linii licencje na oprogramowanie NetWare 4.x. Rozwiązania firmy
Artisoft zdobywają popularność możliwością korzystania z modemów,
wspólnego dostępu do Internetu, szybkością i łatwością użycia. Na zasa-
dzie „wszystko w jednym” umożliwiają współużytkowanie plików
i drukarek pomiędzy Windows 95, Windows 3.x oraz DOS.
Aby skutecznie zintegrować Windows NT ze środowiskiem LANtastic,
należy wziąć pod uwagę kilka spraw. Pierwsza sprawa to, czy istnieje
długofalowy plan przejścia od sieci typu „każdy z każdym” do modelu
z centralnym serwerem? Często rozważa się bowiem zastąpienie instala-
cji działającej na platformie LANtastic systemem Windows NT Server.
W takim przypadku, należy zaprojektować i zaimplementować Windows
NT. Konta użytkowników powinny zostać przeniesione do grupy robo-
czej lub domeny Windows NT. Również dane rozproszone na różnych
komputerach trzeba przemieścić na centralny serwer. Na tym etapie po-
prawia się zdecydowanie kontrola dostępu oraz możliwość archiwizacji
danych. LANtastic obsługuje zasoby współdzielone, takie jak drukarki
i lokalne stacje CD, a Windows NT pełni rolę serwera plików dla wydzia-
łu lub całego przedsiębiorstwa.
Jeśli Windows NT i LANtastic współistnieją już w tym samym środowi-
sku, to kluczem do integracji sieci są wyłącznie systemy klientów. Aktu-
alnie Windows NT nie współpracuje bezpośrednio z siecią LANtastic. Do
współdziałania klienci muszą korzystać z systemów operacyjnych Win-
dows 95 lub Windows for Workgroups, które mają zdolność obsługi wie-
lu klientów. Ponieważ Windows NT zapewnia znacznie większe możli-
wości niż LANtastic, współistnienie obu systemów, należy traktować jako
etap przejściowy do sieci opartej całkowicie o Windows NT.
Ochrona Banyan VINES
Banyan VINES jest sieciowym systemem operacyjnym silnie zakorzenio-
nym w UNIX System V. Projektanci zaczerpnęli z systemu UNIX dosko-
nałą współpracę protokołów i skalowalność, dodając silne programy
usługowe do nazewnictwa katalogów oraz przesyłania wiadomości.
Użytkowany przez ponad 4 miliony osób system jest podstawą kilku
największych w świecie sieci komputerowych. Oryginalna usługa katalo-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
388
gowa o nazwie StreetTalk jest podstawą strategii sieciowej Banyan.
Ostatnia wersja VINES 7.0 oferuje liczne rozszerzenia tego dojrzałego
systemu, z których najważniejsze to nowe narzędzie do administrowania
o nazwie StreetTalk Explorer. Eksplorator ułatwia zarządzanie plikami
i drukarkami, ochroną i administracją zasobów w heterogenicznych sie-
ciach zawierających Windows NT i Novell NetWare. Banyan zawiera
również liczne aplikacje do obsługi zbiorów, typu archiwizacja lub prze-
syłanie wiadomości, które uzupełniają ofertę sieciowego systemu opera-
cyjnego. Ponieważ w centrum zainteresowania tej książki są zagadnienia
ochrony, skupimy się na usłudze katalogowej StreetTalk.
Struktura usługi katalogowej StreetTalk
StreetTalk była pierwszą na rynku usługą katalogową. Zgodnie
z deklaracją firmy Banyan, która około dziesięć lat temu wprowadziła
jako pierwsza ideę usług katalogowych, jest to rozwiązanie trzeciej gene-
racji, wyprzedzające konkurencję o całe lata. Nowel zaprezentował swoją
propozycję Novell Directory Services zaledwie kilka lat temu. Microsoft -
trzeci potężny gracz na arenie sieciowych systemów operacyjnych - adap-
tował i porzucił kilka różnych strategii zaimplementowania rzeczywi-
stych usług katalogowych, ale wciąż jeszcze stawia na architekturę do-
men Windows NT. Usługa katalogowa StreatTalk pozwoliła korporacji
Banyan na przejęcie wielu ważnych implementacji rozległych sieci kom-
puterowych (WAN), włączając w to United States Marine Corps.
Na czym polega siła usług katalogowych, zwłaszcza w kontekście bez-
pieczeństwa? Prawdziwa, rozproszona usługa katalogowa oferuje sku-
teczniejsze metody sterowania od innych rozwiązań dostępnych na ryn-
ku. W systemie StreetTalk każdy obiekt w sieci ma unikatową nazwę,
taką jak Dave Hatter@Marketing@Ajax Construction Company lub Laser-
JetIV@Dispatch@Ajax Construction Company. Układ nazw StreetTalk
tworzy hierarchiczną strukturę katalogów, co oznacza, że „Marketing”
jest logicznym układem obiektów znajdującym się poniżej „Ajax Con-
struction Company”. StreetTalk składuje informacje o wszystkich użyt-
kownikach i urządzeniach w ich własnych katalogach, tworząc rozpro-
szoną bazę danych o obiektach. Każde urządzenie w strukturze Street-
Talk jest obiektem, posiadającym specyficzne parametry, takie jak poło-
żenie w sieci, parametry zabezpieczeń, pola opisowe, jak również wszel-
kie atrybuty opisujące konkretny obiekt. Oczywiście atrybuty użytkow-
nika będą się różniły od atrybutów urządzenia lub serwera.
Potęga usług katalogowych polega na zastąpieniu informacji, typu: ser-
wer wydziału marketingu ma adres sieciowy 10.44.55.66, zapisem posta-
ci: Marketing Server@Marketing@Ajax Construction Company. Takie
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
389
rozwiązanie nie tylko ułatwia życie użytkownikom, ale również uprasz-
cza administrowanie siecią, zwłaszcza pod kątem ochrony. Administrator
zarządza systemem z jednego miejsca. Nie ma potrzeby zatrudniania
administratorów w każdej filii przedsiębiorstwa. Osoby zarządzające
instalacją mają możliwość projektowania i wdrażania strategii ochrony
i standardów na poziomie całej organizacji, co podnosi poziom bezpie-
czeństwa systemu. Ponadto mniejsza liczba administratorów oznacza
również mniejszą liczbę ludzi mających uprzywilejowany dostęp do sys-
temu.
Jeżeli administrator sieci VINES potrzebuje dodać nowego użytkownika,
wyznacza po prostu identyfikator, który staje się obiektem struktury
katalogów StreetTalk. Obiekt posiada unikatową nazwę, taką jak Henry
Jones@Headquarters@Ajax Construction Company. Następnie obiekt
zostaje wyposażony w atrybuty, określające między innymi hasło, po-
zwolenia dostępu, numer telefonu. lokalizację itp.
Inną zaletą, na która należy zwrócić uwagę, jest realizacja koncepcji jed-
norazowej rejestracji w całej sieci. Użytkownik musi pamiętać zaledwie
jeden zestaw identyfikatora i hasła. W architekturze, takiej jak Novell 3.x
użytkownik zmuszony był pamiętać identyfikator i hasło, umożliwiające
dostęp do każdego serwera. W Windows NT użytkownik rejestruje się
w domenie, która ma strukturę płaską. Wszyscy użytkownicy i wszystkie
urządzenia znajdują się na tym samym poziomie domeny. Takie rozwią-
zanie komplikuje administrowanie przy dużej liczbie użytkowników
i drukarek.
Inną zaletą centralnej rejestracji, jest dostęp do systemu z dowolnego
miejsca sieci. Jeżeli użytkownik jest członkiem Global Area Network (sie-
ci o zasięgu globalnym), to rejestrując się w sieci VINES ma zawsze do-
stęp do tych samych zasobów, bez względu czy jest Singapurze, Bombaju
czy Warszawie.
Windows NT jako klient Banyan VINES
Pierwsza metoda integracji obu systemów operacyjnych polega na umoż-
liwieniu pracy Windows NT w charakterze klienta sieci Banyan Street-
Talk, przy użyciu oprogramowania Enterprise Client for Windows NT.
Aktualnie zarówno NT 3.5, jak i NT 4.0 są prawomocnymi klientami sieci
VINES. Wszystko czego potrzeba, to 32 bitowe oprogramowanie klienta
i użytkownik komputera z Windows NT ma dostęp do zasobów VINES,
jako zwykły klient. Programiści Banyan spędzili wiele czasu, aby silnie
wyposażyć klientów Windows NT. Rozwiązania, które są aktualnie do-
stępne, oferują pełny dostęp do środowiska VINES, włączając w to struk-
turę katalogów StreetTalk, usługi plikowe, drukarek i wymiany wiado-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
390
mości, narzędzia zarządzania systemem VINES, takie jak eksplorator
StreetTalk oraz współpracę z systemami wieloprocesorowymi. Dodatko-
wym rozwiązaniem, niezwykle pożytecznym z perspektywy ochrony,
jest układ wspomagający synchronizację procesów rejestracji w obu sys-
temach operacyjnych.
Taka siła wsparcia dla klientów powoduje często rezygnację z pełnej in-
tegracji obu systemów, gdyż w praktyce wymaga zignorowania możli-
wości Windows NT albo skonfigurowania grupy roboczej lub domeny
jako dodatku do sieci VINES. Bardziej użytecznym narzędziem integracji
jest opracowany przez Banyan StreetTalk Access for Windows NT File
and Print (dostęp StreetTalk do plików i drukowania w Windows NT).
StreetTalk Access for Windows NT File and Print
Narzędzie umożliwia użytkownikom Banyan VINES pełnoprawny do-
stęp do zasobów Windows NT. Kiedy analitycy Banyan uświadomili
sobie, że coraz więcej komputerów Windows NT zostaje dołączanych do
istniejących sieci VINES, dostrzegli korzyści wynikające z udostępnienia
ich zasobów z poziomu sieci VINES. Dostrzegli również, że możliwa jest
prosta realizacja tego pomysłu, która nie będzie wymagała od admini-
stratorów istniejącej sieci żadnej reorganizacji. Z takich idei zrodził się
StreetTalk Access for Windows NT File and Print.
Jedna z zalet omawianego rozwiązania polega na udostępnieniu użyt-
kownikom wszystkich usług VINES, zamiast oryginalnych narzędzi
Windows NT, co eliminuje konieczność tworzenia i obsługi domen Win-
dows NT, kont w domenie oraz pozwala na wykorzystanie wszystkich
cech rozproszonych usług katalogowych StreetTalk. Obejmuje to również
jednorazową rejestrację w systemie, scentralizowaną rejestrację, hierar-
chiczną strukturę zasobów oraz rozwiązania ochronne architektury Ba-
nyan, które pozwalają przyznawanie praw na zasadzie „obiekt do obiek-
tu”, aż do poziomu pliku.
Kolejnym oczywistym etapem takiego postępowania jest całkowite wy-
eliminowanie systemu operacyjnego VINES. Ponieważ siłą systemu są
usługi katalogowe StreetTalk, to dlaczego nie udostępnić ich systemowi
Windows NT? Tak narodził się Banyan StreetTalk for Windows NT.
Banyan StreetTalk for Windows NT
Udostępniony w roku 1996 StreetTalk for Windows NT jest pierwszą
usługą katalogową działającą naturalnie na serwerze Windows NT.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
391
Uwaga
Novell ogłosił plany implementacji oryginalnej wersji swoich usług
katalogowych dla Windows NT (Novell Directory Services), przewidując
wypuszczenie towaru na rynek w końcu 1997 r. Produkt ma się różnić od
Banyan StreetTalk for Windows NT położeniem w strukturze katalogów
StreetTalk.
Program StreetTalk Acces udostępniał zasoby Windows NT z katalogów,
które były składowane na serwerach VINES. StreetTalk for Windows
przenosi wszystkie te usługi bezpośrednio do systemu operacyjnego
Windows NT. Takie podejście eliminuje potrzebę projektowania, imple-
mentacji i utrzymywania struktury domen Windows NT, umożliwiając
administratorom wykorzystanie potężnej, hierarchicznej struktury Bany-
an oraz jej usług do weryfikacji uprawnień. Pozostałe rozwiązania obej-
mują pełne współdziałanie ze StreetTalk for VINES, współpracę
z systemami plików NTFS oraz FAT, włącznie z obsługą długich nazw,
integrację ze standardowymi narzędziami pomocniczymi Windows NT,
takimi jak kontroler działania i przeglądarka zdarzeń, a także współpracę
z eksploratorem StreetTalk, który znakomicie upraszcza konfigurację
i utrzymanie katalogów StreetTalk. Wszystkie wymienione usługi, jeśli są
stosowane prawidłowo, wzmacniają ochronę i skalowalność Windows
NT, ograniczając znacznie nakład pracy związany z utrzymaniem domen
Windows NT.
Analiza specyficznych problemów ochrony mieszanych środowisk Win-
dows NT i Banyan VINES zależy od rodzaju implementacji obu syste-
mów. Jeśli Windows NT jest klientem sieci VINES, nie ma w istocie mo-
wy o mieszanym środowisku. Standardowa strategia ochrony VINES
połączona z solidnymi regułami stosowania haseł, powinna być skutecz-
nym zabezpieczeniem tego typu sieci. System ochrony VINES umożliwia
udostępnianie użytkownikom jedynie potrzebnych im zasobów, wyga-
szanie ważności kont po określonym czasie oraz stosowanie przejrzystej,
sprawdzalnej i znanej strategii ochrony (Tak, mówimy jeszcze raz
o strategii: „przejrzysta, sprawdzalna i znana”).
W środowisku, w którym korzystamy ze StreetTalk Access for Windows
NT File and Print, rzeczą niezwykle ważną jest zapewnienie odpowied-
nich ustawień oprogramowania. Spróbujmy wyobrazić sobie instalację,
w której zachodzi potrzeba wykorzystania takiej konfiguracji. Prawdo-
podobnie mamy do czynienia z siecią VINES, w której jedną z ustano-
wionych wspólnot użytkowników interesuje udostępnienie usług Win-
dows NT. Przyjąwszy, że sieć VINES jest z punktu widzenia ochrony
skonfigurowana prawidłowo, miejscem ewentualnych luk w ochronie
może być oprogramowanie łączące VINES z Windows NT. Najbardziej
prawdopodobne przyczyny kłopotów to: małe doświadczenie admini-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
392
stratorów, brak struktury domen, nieuważnie lub w złej intencji określe-
nie uprawnień do zasobów. Konfiguracja StreetTalk Access for Windows
NT powinna być starannie przetestowana, pod kątem ustawień
i realizacji założeń strategii ochrony.
Ostatni sposób integracji obu systemów polega na wykorzystaniu opro-
gramowania Banyan StreetTalk for Windows NT. Zaskakującą rzeczą
będzie zapewne pełna analogia z pierwszym z omawianych scenariuszy,
kiedy to Windows NT był klientem VINES. Kluczowym problemem
ochrony jest konfiguracja struktury katalogów StreetTalk. W istocie nie
rozważamy bowiem środowiska mieszanego. W rzeczywistości mamy do
czynienia z siecią Windows NT, w której technologię domen zastąpiono
usługami katalogowymi innego producenta. Jak zwykle trzeba stale pa-
miętać, aby strategia ochrony systemu realizowana środkami StreetTalk
posiadała atrybuty „przejrzysta, sprawdzalna i znana”, a możemy być pew-
ni, że sieć pozostaje bezpieczna.
Integracja z NetWare
Dzięki NetWare oraz IntranetWare, firma Novell jest aktualnie liderem
na światowym rynku sieciowych systemów operacyjnych. Chcąc zacho-
wać zwięzłość, będziemy w dalszej części określać oba systemy jako Ne-
tWare. Dominacja firmy Novell, który szczyci się 55 milionami użytkow-
ników jest jednym z
powodów uwzględniania jego systemów
w produktach serii Windows NT Server. Jeden ze sposobów integracji
Windows NT z siecią Novell NetWare polega na zastosowaniu MS Gate-
way Services for NetWare (Usługi bramy do NetWare). Program usłu-
gowy pozwala udostępnić zasoby NetWare wszystkim użytkownikom
Windows NT z domeny oraz grup roboczych Windows NT. Dostęp
wszystkich klientów NT jest realizowany przez pojedyncze połączenie
z serwerem NetWare lub Novell Directory Services. Graficzną ilustrację
tej architektury przedstawia rysunek 15.2.
Rysunek 15.2
Architektura „bramy do serwera NetWare”.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
393
Instalacja oraz konfiguracja bramy związana jest z kilkoma problemami.
Pierwsza słabość rozwiązania to niska wydajność. Ponieważ Windows
NT wykorzystuje do udostępniania pojedyncze łącze, przeto jeśli duża
liczba użytkowników próbuje skorzystać z usług NetWare, wydolność
układu ponosi dramatyczny uszczerbek. Dostęp jest realizowany poprzez
tłumaczenie protokołu SMB (Server Message Block), który jest protokołem
służącym Windows NT i jego klientom na wywołania NPC (NetWare Core
Protocol), wykorzystywane przez serwery NetWare. Translacja ta ma
również wpływ na obciążenie jedynego kanału łączności.
Drugi problem polega na tym, że połączenie korzysta z jednego łącza
serwera. Wymagania licencyjne Novell nie zezwalają, aby jeden użyt-
kownik mógł korzystać z większej liczby połączeń. Usługa ”bramowa”
Windows NT starannie wypełnia ten warunek.
Trzeci problem wynika z faktu, że wszyscy klienci Windows NT mogą
korzystać z jednego konta do rejestracji w NetWare. Mówiąc dokładniej,
każdy użytkownik, który dostanie uprawnienie dostępu do zasobów
NetWare ma do nich takie same przywileje dostępu jak wszyscy pozosta-
li. Jeśli na przykład wydział księgowości składuje swoje dane na wolu-
menach NetWare, to jedynym sposobem udostępnienia tych zasobów
użytkownikowi domeny Windows NT jest przyznanie odpowiednich
uprawnień dostępu wszystkim osobom korzystającym z NetWare. Jeśli
w systemie wydzielono do wspólnego korzystania drukarkę NetWare,
wszyscy użytkownicy będą mieli dostęp do list płac umieszczonych na
serwerze wydziału księgowości. Takie rozwiązanie jest zdecydowanie
złym pomysłem.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
394
Z wymienionych wyżej powodów, korzystanie z Gateway Services for
NetWare jest najczęściej etapem pośrednim, poprzedzającym całkowitą
migrację z sieci NetWare do Windows NT. Windows NT zawiera dosko-
nałe narzędzie do realizacji takiego planu.
Instalacja us³ug Gateway (and Client) Services for NetWare
Instalacja i konfiguracja usług bramy do NetWare składa się z dwóch
części. Pierwsza musi się odbyć po stronie serwera NetWare. Aby Gate-
way Services mógł funkcjonować, należy utworzyć drogę, umożliwiającą
Windows NT rejestrację na serwerze NetWare lub Novell Directory Se-
rvices. Przede wszystkim, usługa potrzebuje konta użytkownika, udo-
stępniającego zasoby NetWare. Omówimy szczegółowo tworzenie tego
konta w środowisku NetWare 4.x. Ponieważ NetWare 3.x jest coraz po-
wszechniej uaktualnianym na nową wersję, jego środowisko opiszemy
mniej dokładnie.
Przygotowanie NetWare do przyjęcia Gateway Services.
Aby przygotować NetWare 4.x, należy wykonać opisane niżej czynności:
1. Utworzyć nowego użytkownika.
Załadować program narzędziowy NetWare Administrator, który znajduje
się w podkatalogu PUBLIC, woluminu SYS:, serwera NetWare. Program
nosi nazwę NWADMIN.EXE. W wersji NetWare 4.11 istnieje 32 bitowa
wersja narzędzia, która znajduje się w podkatalogu WIN95 kartoteki
PUBLIC i nosi nazwę NWADMN95.EXE. Domyślnie wolumin SYS: jest
odwzorowany na napęd Z:.
Uwaga
Aby utworzyć nowe konto, trzeba być zarejestrowanym jako użytkownik
z prawem Create do zasobnika (container), na którym będzie rezydować nowy
obiekt
Na drzewie katalogów odnaleźć zasobnik potrzebny do utworzenia
obiektu Gateway Services. Wybrać opcje
Object\Create
oraz obiekt
User
(por. rysunek 15.3).
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
395
Rysunek 15.3
Aby utworzyć nowego
użytkownika, należy wybrać
pozycję User. Upewnić się,
że pracujemy
w odpowiednim kontekście
NDS.
Otworzy się okno dialogowe
Create User
(por. rysunek 15.4). Wypełnić
pozycje
Login Name
(Windows NT) oraz
Last Name
(Gateway) i wybrać
opcję
Define Additional Properties
. Wypełnić własności zgodnie ze stan-
dardowymi wymaganiami identyfikatora użytkownika. Jedna rzecz,
o której trzeba pamiętać: jeśli wybierzemy opcję czasu ważności hasła
(password aging), to będziemy zmuszeni do ręcznych zmian hasła. Aktual-
nie Gateway Services nie zawiera mechanizmu automatycznej zmiany ha-
sła. Odpowiednio często, trzeba będzie kontrolować informacje dotyczące
rejestracji usług. Mniej bezpiecznym rozwiązaniem jest wyłączenie opcji
określającej czas ważności hasła. Chociaż taka konfiguracja nie jest zale-
cana ze względu na ochronę, to w niektórych środowiskach może być do-
puszczalna. Wcisnąć przycisk
OK
, aby powrócić do głównego ekranu.
Rysunek 15.4
Okno dialogowe Create User
Uwaga
Użycie frazy „Windows NT” jako nazwy konta jest bardzo dobrym wyborem dla
celów przykładu, w
prawdziwej implementacji, lepiej wybrać coś mniej
oczywistego. Jeśli stosujemy konwencję nazewniczą opartą na nazwiskach,
można nazwać konto NowakN lub PawlakS. Chodzi o ukrycie prawdziwego
znaczenia konta, przez nadanie mu nazwy nieodbiegającej od pozostałych.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
396
2. Utworzyć grupę Windows NT Gateway.
3. Wybrać opcję Object\Create oraz pozycję Group, celem otwarcia okna
Create Group
(por. rysunek 15.5). Zaznaczyć pole wyboru Define
Additional
Properties i wcisnąć przycisk Create. Otworzy się okno dialo-
gowe opisujące właściwości nowo tworzonego obiektu.
Rysunek 15.5
Aby utworzyć obiekt grupy,
należy wybrać pozycję
Group. Pamiętajmy, że
nazwa grupy powinna
brzmieć NT Gateway.
Na tym etapie, należy wybrać opcję
Members
i dołączyć identyfikator użyt-
kownika
Gateway Services
do nowej grupy. Następnie wyznaczyć upraw-
nienia dostępu do plików, korzystając z opcji
Use Rights to Files and
Directories
. Aby przyznać uprawnienia dostępu do drukarek, należy przejść
do obiektu
Print Queue
i dołączyć grupę
Windows NT Gateway
do własności
użytkownika (por. rys. 15.6).
Rysunek 15.6
Tworząc obiekt grupy dla
usług Windows NT Gateway,
należy pamiętać, aby upraw-
nienia przyznane grupie
odpowiadały poziomowi
uprawnień użytkowników,
korzystających z tej usługi.
Nie wolno zapominać
o zasadzie minimalnych
uprawnień.
Aby przygotować NetWare 3.x do przyjęcia obsługi NT Gateway, należy
wykonać opisane niżej czynności:
1. Utworzyć nowego użytkownika.
Załadować program narzędziowy DOS o nazwie SYSCON.EXE, który znaj-
duje się w podkatalogu PUBLIC, woluminu SYS:, serwera NetWare. Domyśl-
nie wolumin SYS: jest odwzorowany na napęd Z:.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
397
Uwaga
Aby utworzyć nowe konto użytkownika lub grupy, trzeba być zarejestrowanym
jako Supervisor lub posiadać równoważne uprawnienia.
Wybrać pozycję
User Information
z menu
Available Topics
i wcisnąć
ENTER
, co otworzy listę użytkowników. Wcisnąć klawisz
INSERT
i wpisać
nazwę użytkownika do otwartego pola edycji. Jeśli stosujemy konwencję na-
zewniczą opartą na nazwiskach, można nazwać konto NowakN lub PawlakS,
celem ukrycia prawdziwego znaczenia konta, przez nadanie mu nazwy, nie-
odbiegającej od pozostałych. Wcisnąć
ENTER
, aby utworzyć konto użyt-
kownika. Zostaniemy zapytani, czy zamierzamy utworzyć katalog użytkow-
nika. Na podstawie przyjętych standardów zdecydować o potrzebie lub po-
łożeniu katalogu,
Wybrać z listy
User List
nazwę nowo utworzonego konta i wcisnąć
ENTER
,
co otworzy okno
User Information
, wyświetlające listę informacji, które moż-
na zmodyfikować dla danego konta. Skonfigurować konto według normal-
nych zasad, mając na uwadze, że potencjalnie wszyscy użytkownicy Win-
dows NT będą z niego korzystać za pośrednictwem Gateway Services. Jedna
rzecz, o której trzeba pamiętać: Jeśli wybierzemy opcję czasu ważności hasła
(password aging), to będziemy zmuszeni do ręcznych zmian hasła. Aktualnie
Gateway Services nie zawiera mechanizmu automatycznej zmiany hasła. Od-
powiednio często trzeba będzie kontrolować informacje dotyczące rejestracji
usług. Mniej bezpiecznym rozwiązaniem jest wyłączenie opcji określającej
czas ważności hasła. Chociaż taka konfiguracja nie jest zalecana ze względu
na ochronę, to w niektórych środowiskach może być dopuszczalna. Wcisnąć
przycisk
OK
, aby powrócić do głównego ekranu.
2. Utworzyć grupę Windows NT Gateway.
Wybrać pozycję
Group Information
z menu
Availabe Topics
, co otworzy listę
grup. Wcisnąć
INSERT
i wpisać NTGateway. Taka nazwa jest niezbędna dla
usługi
Gateway Services
. Wcisnąć
ENTER
, aby utworzyć grupę. Wybrać
z listy nowo utworzoną grupę i dodać do niej konto użytkownika stworzone
w poprzednim kroku. Wyznaczyć prawa dostępu do katalogów i grup, zgod-
nie z wymaganiami. Jeśli zachodzi potrzeba wyznaczenia dostępu do
drukarek, wykorzystać standardowy program narzędziowy 3.x .
Instalacja Gateway Services na serwerze Windows NT
Instalacja Gateway Services wymaga jeszcze wykonania kilku czynności
w systemie Windows NT. Jest to stosunkowo proste zadanie, zwłaszcza
dla osób mających doświadczenie w instalacji usług Windows NT. Zacząć
należy od rejestracji w systemie z uprawnieniami administratora. Na-
stępnie trzeba się upewnić, że z systemu są usunięte wszystkie programy
świadczące usługi klienta NetWare, takie jak Client32 for NetWare lub
Microsoft NetWare Client. Ponieważ Gateway Services ustanawia połą-
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
398
czenie z NetWare, posiadanie dodatkowych klientów może być powo-
dem problemów.
1. Wcisnąć przycisk Start z paska zadań i otworzyć Panel sterowania.
2. W otwartym oknie Panelu sterowania (por. rysunek 15.7) wybrać iko-
nę Network.
Rysunek 15.7
Wybrać ikonę Network.
Upewnić się, że wszystkie
pozostałe aplikacje są za-
mknięte, gdyż po zakończe-
niu instalacji trzeba będzie
zrestartować system.
3. Wybrać zakładkę Services w oknie dialogowym Network (por. rys.
15.8) i wcisnąć przycisk Add.
Rysunek 15.8
Pamiętajmy, aby po zainsta-
lowaniu każdej nowej usługi
przeinstalować ostatnią
wersję Windows NT Service
Pack!
4. Wybrać pozycję Gateway (and Client) Services for NetWare z listy do-
stępnych usług (por. rysunek 15.9) i wcisnąć przycisk OK. Windows
NT zapyta o ścieżkę do plików instalacyjnych (por. rysunek 15.9). Za-
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
399
zwyczaj będzie to katalog i386 na ścieżce CD-ROM. Jeśli oprogramo-
wanie znajduje się w innym miejscu, należy wpisać adres lub wyszu-
kać odpowiedni katalog za pomocą przeglądarki.
Rysunek 15.9
Upewnić się, że urządzenie
udostępniające oprogramo-
wanie jest dostępne dla
systemu. Windows NT
zażąda wskazania odpo-
wiedniego katalogu.
Rysunek 15.10
Jeśli w biurze nie ma odpo-
wiedniego napędu CD-ROM,
przed instalacją należy
skopiować podkatalog i386
(lub właściwy dla serwera
z procesorem innym niż
Intel). W takim przypadku
w dialogu należy wpisać
odpowiednią ścieżkę dostę-
pu.
Uwaga
Jeżeli w
komputerze jest zainstalowane kilka adapterów sieciowych, to
w przypadku, gdy serwer jest routerem IPX, należy określić unikatowe,
wewnętrzne adresy IPX każdej karty (por. rysunek 15.11). Kluczowe znaczenie
ma unikatowość nie tylko między kartami komputera, ale również w całej sieci
Novell. Wybranie tego samego numeru, jaki ma działający serwer spowoduje
zakłócenia w pracy sieci.
Rysunek 15.11
Ten komunikat błędu poja-
wia się na serwerach wypo-
sażonych w kilka kart sie-
ciowych. Spowodowany jest
faktem, że serwer może
działać jako router IPX. Jeśli
komunikat nie pojawi się
podczas instalacji, oznacza
to, że wszystko jest
w porządku.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
400
Adresy ustawia się w oknie NWLink IPX/SPX Properties (por. rysunek
15.12). Wybrać zakładkę General i ustawić adres dla każdego adaptera.
Chcąc uruchomić routing IPX/SPX, należy wybrać zakładkę Routing
i zaznaczyć pole wyboru RIP Routing.
Rysunek 15.12
W przypadku, kiedy system
poprosi o zmianę adresów
IPX lub chcemy dostosować
je do konwencji obowiązują-
cej w przedsiębiorstwie,
należy wprowadzić odpo-
wiednie numery.
W przeciwnym razie system
przyjmie ustawienia domyśl-
ne.
5. Po skompletowaniu instalacji, serwer zaproponuje restart systemu
(por. rysunek 15.13).
Rysunek 15.13
Jeśli przed restartem systemu
zachodzi potrzeba zamknię-
cia aplikacji, należy wybrać
je z paska zadań i wyłączyć.
6. Po ponownym uruchomieniu systemu Panel sterowania powinien
otworzyć się automatycznie (chyba że został zamknięty przed zgasze-
niem). W
razie potrzeby otworzyć ponownie Panel sterowania
i dwukrotnie kliknąć na ikonie GSNW, aby otworzyć okno Gateway
Service for NetWare
(por. rysunek 15.15). Jeśli pracujemy w środowisku
NetWare 3.x, należy wypełnić górną sekcję Prefered Server.
W środowisku NetWare 4.x wypełnić sekcję Default Tree and Context -
odpowiednio do utworzonego wcześniej obiektu. Uzupełnić pozostałe
opcje w oknie.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
401
Rysunek 15.14
Odmiennie od wielu innych,
usługa Gateway Services for
NetWare tworzy swoją
własną ikonę w Panelu
sterowania.
Rysunek 15.15
W zależności od systemu,
z którym nawiązujemy
współpracę, dostosować
Gateway Services do kontek-
stu drzewa NDS lub serwera
pliku NetWare 3.x.
7. Wcisnąć przycisk Gateway w oknie Gateway Service for NetWare, co
otworzy kolejne okno Configure Gateway i umożliwi dokończenie kon-
figuracji (por. rysunek 15.16). Wypełnić pola Gateway Account
i Password, wpisując nazwę i hasło konta utworzonego na serwerze
Novell. Okno w dolnej części ekranu służy do tworzenia współdzielo-
nych wolumenów i drukarek oraz ustalania uprawnień dostępu Win-
dows NT do zasobów NetWare.
Rysunek 15.16
Wykorzystując nazwę i hasło
konta utworzonego na serwe-
rze NetWare, dostosować
Gateway Services do komu-
nikacji z serwerem NetWare.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
402
Problemy ochrony związane z Gateway Service for NetWare
Jak już mówiliśmy, w związku z korzystaniem z bramy do NetWare,
pojawia się ważny problem. Nie ma bowiem możliwości różnicowania
uprawnień dostępu dla użytkowników korzystających z usługi. Gateway
Service korzysta z jednego konta i jednej grupy udostępniających zasoby
drzewa NDS lub serwera NetWare. Oznacza to, że ktokolwiek otrzyma
prawo posługiwania się kontem, może korzystać ze wszystkich udostęp-
nionych mu zasobów. Jeśli na serwerze NetWare składowane są poufne
informacje problem staje się bardzo poważny. Korzystając z usługi, nale-
ży zachować daleko idącą ostrożność. Brama jest niezwykle pożyteczna
podczas przechodzenia z NetWare do Windows NT, ale w codziennej
pracy cechuje ją zbyt swobodny dostęp do zasobów.
Migracja użytkowników NetWare do środowiska
Windows NT
Gateway Services for NetWare jest uważany za dobre narzędzie na etapie
przejściowym zmiany sieciowego systemu operacyjnego z NetWare na
Windows NT. Umożliwia łagodne konfigurowanie infrastruktury Win-
dows NT, utrzymując pewien poziom dostępu do danych, pozostających
jeszcze w sieci NetWare. Po zaprojektowaniu i implementacji Windows
NT jesteśmy gotowi do odejścia od NetWare. Osoby, które nie lubią eta-
pów przejściowych, mogą go oczywiście pominąć.
Windows NT jest sprzedawany wraz z programem narzędziowym
o nazwie Windows NT Server Migration Tool for NetWare, który umoż-
liwia przejście z systemu NetWare bezpośrednio do Windows NT Server.
Aplikacja pozwala na elastyczny transfer kont użytkowników i grup,
woluminów, folderów oraz plików, umożliwia określanie haseł dla prze-
noszonych kont i obsługę istniejących praw NetWare, a także generuje
obszerne dzienniki, opisujące przebieg migracji. Bardzo pożyteczną wła-
snością jest zdolność do przeprowadzenia próbnej migracji, co zapobiega
ewentualnym niespodziankom podczas rzeczywistego przebiegu.
Usługi katalogowe NetWare a domeny Windows NT
Jedną z najważniejszych różnic między sieciowymi systemami operacyj-
nymi NetWare 4.x (również IntranetWare), a Windows NT jest sposób
obsługiwania identyfikatorów użytkowników oraz dostępu do sieci.
Aby zapewnić klientom scentralizowany punkt rejestracji w sieci, Win-
dows NT wykorzystuje model domen (w przypadku dużych lub rozpro-
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
403
szonych środowisk model wielodomenowy). Funkcję „biura rejestracyj-
nego” pełni baza danych, składowana na głównym i zapasowych kontro-
lerach domeny, które są serwerami Windows NT i przeprowadzają wery-
fikację uprawnień dostępu do domeny.
Z drugiej strony, NetWare korzysta z rozproszonej, hierarchicznej bazy
danych, przechowującej informacje katalogowe. System nosi nazwę
„Usługi katalogowe Novell” (NDS- Novell Directory Services). NDS jest
podstawą strategii sieciowej firmy Novell, która ma zapewnić przetrwa-
nie jej systemom operacyjnym.
Usługi katalogowe Novell
Zanim zajmiemy się analizą najważniejszych cech NDS, kilka słów należy
poświęcić ostatniej wersji NetWare - flagowemu systemowi operacyjne-
mu firmy Novell. Próbując wskoczyć do robiącego furorę internetowego
pociągu, Novell rzucił na szalę najnowszą wersję NetWare. Zmieniając
nazwę na IntranetWare podkreśla, że jest to pierwszy system operacyjny
zbudowany z myślą o rozwoju i współpracy połączeń intranetowych oraz
internetowych. Łącząc jądro systemu z serwerem Web, routerem wielo-
protokołowym (Multi-Protocol Router) oraz bramą z IPX do IP umożli-
wia przeglądarkom sieciowym eksplorację NDS. Ponadto, wobec zapo-
wiedzi współpracy systemu z nowym protokołem Internet Lightweight
Directory Access Protocol (LDAP), Novell stwarza wrażenie, że dokonuje
olbrzymiego wysiłku, celem odzyskania pola straconego w ostatnich
miesiącach na korzyść Windows NT.
Sercem NetWare 4.x oraz IntranetWare jest NDS. System usług katalo-
gowych umożliwia jednorazową rejestrację i uprawniony dostęp do
wszystkich zasobów sieci z dowolnego miejsca. NDS jest rozproszoną,
hierarchiczną bazą danych do składowania wszystkich obiektów sieci.
Mówiąc to mamy najczęściej na myśli użytkowników, woluminy, dru-
karki i serwery plików, ale nowe rozwiązanie NDS umożliwia włączenie
do struktury również aplikacje, fax serwery oraz ewentualnie serwery
i stacje robocze Windows NT.
Inna zaleta NDS polega na łatwym dołączaniu i organizacji zasobów
sieciowych. Można je grupować ze względu na lokalizację fizyczną,
strukturę wydziałów, kody ZIP lub jakikolwiek inny klucz
wykorzystywany przez organizację. Ponadto, ze względu na
rozproszony charakter NDS, cała struktura może być zarządzana
centralnie. Zmiany dokonane przez centralnych administratorów są
szybko rozsyłane poprzez sieć. System umożliwia łatwe sterowanie, kon-
trolę kont i ogranicza koszty eksploatacji.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
404
Spośród innych rozwiązań IntranetWare i NDS, należy wymienić zinte-
growane narzędzia do zarządzania, zawierające 32 bitową wersję Ne-
tWare Administrator oraz nową aplikację o nazwie Partition Manager,
przeznaczoną specjalnie do obsługi partycji bazy NDS. Bezpieczeństwo
systemu usług katalogowych należy uznać za doskonałe, ze względu na:
zdolność do szczegółowego sterowania dostępem każdego użytkownika
aż do poziomu plików, certyfikat C2 dla projektu sieci zaufanej
i standardy kodowania haseł. Wraz z nadejściem ery IntranetWare, od-
chodzą w niepamięć czasy, gdy hasła hulały w jawnej postaci po sieci
NetWare.
Kolejną ważną inicjatywą, podjętą przez firmę Novell, jest rozpaczliwy
wysiłek, aby uczynić z NDS usługę katalogową dla wszystkich systemów
operacyjnych. Ostatnie doniesienia dotyczące NDS zawierają zobowiąza-
nie opracowania do końca 1997 r. rozwiązania NDS działającego
w Windows NT jako usługa systemowa, adaptację NDS dla najważniej-
szych systemów UNIX-owych, włączając Sun oraz HP i na koniec zapo-
wiedź darmowych licencji NDS. Nowe produkty Novell-a oczekiwane są
z dużym zainteresowaniem.
Dostęp stacji roboczych do serwera NetWare
Kluczowe pytanie dotyczące sieciowych systemów operacyjnych brzmi:
W jaki sposób użytkownicy mogą korzystać z systemu? W tej części roz-
działu odpowiemy na nie w zakresie stacji roboczych DOS, Windows 3.x,
Windows 95 oraz Windows NT. Warto wiedzieć, że w NetWare mogą
również pracować klienci UNIX-a, OS/2 oraz Macintosh-a, ale omawia-
nie zagadnień z nimi związanych, wykracza poza ramy tego podręczni-
ka.
Dostêp Windows NT Workstation do serwera NetWare
Istnieją trzy podstawowe sposoby dostępu do zasobów NetWare
z platformy Windows NT. O pierwszym, wykorzystującym Gateway
(and Client) Services for NetWare, mówiliśmy we wcześniejszej części
rozdziału.
Druga metoda polega na wykorzystaniu oprogramowania Windows NT
NetWare Client. W wersji Windows NT 4.0 jest to silna aplikacja, którą
można zainstalować z Panelu sterowania (ikona Network). Program
umożliwia bezproblemowy dostęp zarówno do zasobów sieci NetWare
3.x , jak i 4.x. Drzewo NDS jest wybierane i przeglądane w ten sam spo-
sób jak domena Windows NT, a napędy są odwzorowywane przez Eks-
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
405
plorator Windows w sposób podobny do metody udostępniania zasobów
współdzielonych, w grupach roboczych i domenach Windows NT. Apli-
kacja umożliwia konfigurację większości standardowych atrybutów
klienta, łącznie z wykonywaniem skryptów rejestracyjnych. Interesująco
rozwiązano przebieg procesu rejestracji. W sposób typowy dla Windows
NT, należy wcisnąć kombinację klawiszy Ctrl+Alt+Del i wprowadzić
identyfikator i hasło właściwe dla sieci Novell; rejestracja na serwerze
NetWare zachodzi automatycznie. Windows NT NetWare Client jest
oprogramowaniem silnym i stabilnym, godnym rozważenia w razie ko-
nieczności korzystania z sieci NetWare.
Ostatnim narzędziem dostępu do sieci NetWare jest IntranetWare Client
for Windows. Program zawiera kilka nowych rozwiązań, co sprawia, że
jest nieco bardziej atrakcyjny w środowisku NetWare. Po pierwsze, przy
zachowaniu pełnego bezpieczeństwa procesu rejestracji, oprogramowa-
nie klienta zostało umieszczone pomiędzy ekranem rejestracyjnym,
a mechanizmem weryfikacji Windows NT. Mając zainstalowanego klien-
ta NetWare, po wciśnięciu kombinacji klawiszy CTRL+ALT+DEL, system
może weryfikować uprawnienia dostępu zarówno poprzez NDS jak
i bazę kont Windows NT. Po drugie, program może korzystać z aplikacji
narzędziowych, takich jak Novell Application Launcher (NAL) oraz Au-
tomatic Client Update (ACU). NAL umożliwia administratorowi tworze-
nie w NDS obiektów aplikacji. Użytkownicy mają przyznany dostęp do
aplikacji poprzez strukturę NDS i mogą ją uruchamiać bez konieczność
zdawania sobie sprawy z jej lokalizacji oraz parametrów środowiska.
Aplikacje mogą być jednak przenoszone między serwerami. Jedyną rze-
czą, którą trzeba zrobić w takim przypadku, jest uaktualnienie odpo-
wiedniego obiektu NDS. Program narzędziowy ACU umożliwia admini-
stratorom aktualizację skryptów klienta, w tym zarówno skryptów reje-
stracyjnych, wywoływanych przez użytkownika, jak również urucha-
mianych przy pomocy terminarza systemowego Windows NT. Takie
rozwiązanie znakomicie ogranicza nakład pracy, związany z obsługą
oprogramowania klienta oraz wprowadza jednolity standard w całym
przedsiębiorstwie.
Dostarczane przez Microsoft oprogramowanie klienta jest wystarczające
do korzystania z sieci NetWare. Tym niemniej klienci Novell-a posiadają
atrakcyjne funkcje dodatkowe oraz wiele obietnic na przyszłość. Novell
uznając rynkową popularność Windows NT sprawia wrażenie zdetermi-
nowanego, by zapewnić mu byt znakomitego klienta sieci NetWare.
Część IV Integracja systemu ochrony Windows NT
z produktami BackOffice, Internetem i innymi platformami sieciowymi
406
Dostęp klientów Windows 95 do sieci NetWare
Klienci Windows 95 również mają kilka dróg dostępu do sieci Novell.
Pierwsza to omawiana już brama do NetWare, która jest raczej rozwiąza-
niem przeznaczonym do migracji ze środowiska NetWare do Windows
NT.
Druga metoda wymaga zainstalowania aplikacji VLM. Jest to kiepski
sposób dostępu do zasobów NetWare, gdyż 16 bitowe aplikacje VLM
mogą być niestabilne w 32 bitowym środowisku Windows 95.
Kolejne narzędzie to Windows 95 Client for NetWare, będące elementem
pakietu Windows 95. Program działa wystarczająco dobrze w środo-
wisku NetWare 3.x, ale nie współpracuje z NDS, co czyni go mało uży-
tecznym w środowisku NetWare 4.x.
Czwartym i najbogatszym w środki rozwiązaniem jest Novell NetWare
Client 32. Ta 32 bitowa aplikacja nie wymaga już żadnych zmagań, zna-
nych z wcześniejszych wersji. Program w pełni współpracuje z NDS
i umożliwia pracę w charakterze silnego i dobrze wyposażonego klienta
sieci NetWare. Oprogramowanie można zdalnie otrzymać od firmy
Novell. Na stacji roboczej, należy przeprowadzić instalację za pomocą
jego własnym programem instalacyjnym, nie korzystając z panela stero-
wania. Novell NetWare Client 32 umożliwia konfigurowanie skryptów
rejestracyjnych, charakterystyki drukarek oraz posiada wiele zaawanso-
wanych instrumentów. Prawdopodobnie jest to najlepsze na rynku opro-
gramowanie klienta dla Windows 95.
Diagnozowanie problemów ochrony w sieci
wieloplatformowej
Dobrze, będąc już ekspertami w ochronie sieci mieszanych, co mamy
robić, jeśli wystąpią problemy? Jakiego rodzaju kłopotów należy się spo-
dziewać?
Najczęstszym powodem bólu głowy jest w takich środowiskach synchro-
nizacja haseł. Użytkownicy będą zmieniać hasła, nie uświadamiając so-
bie, że zmiana nie dotyczy całej sieci. Napotykając następnie na kłopoty
dostępu, będą oczekiwali pomocy administratorów. Najlepszą metodą
zapobiegania takim problemom jest odpowiednie wprowadzenie użyt-
kownika do pracy pozwalające na dobrą orientację w sieci. Ciągle w zbyt
wielu organizacjach, taki elementarz składa się ze skrawka papieru
z identyfikatorem i hasłem. Jeśli brakuje personelu mogącego prowadzić
trening, to można zastosować metodę polegającą na udostępnieniu
w intranecie listy najczęściej zadawanych pytań wraz z odpowiedziami.
Integracja Windows NT z innymi sieciowymi systemami operacyjnymi
407
Co robić, jeśli ktoś próbuje uzyskać nielegalny dostęp do systemu? Czy
w swoim wieloplatformowym środowisku sieciowym dysponujemy do-
statecznymi narzędziami, personelem i umiejętnościami by chociaż za-
uważyć, że ktoś podejmuje niedozwolone działania? Problemy bezpie-
czeństwa sieci mieszanych komplikują różne narzędzia nadzoru
i ochrony każdego systemu operacyjnego. Kluczem do sukcesu jest umie-
jętność czytania sygnałów. Czy w naszej sieci zdarzają się często skargi
użytkowników na utratę lub zniekształcenie plików? Czy obserwujemy
aktywność użytkowników poza godzinami ich normalnej pracy? Czy
odnotowujemy przypadki korzystania z cudzych komputerów? Trzeba
nieustannie obserwować swoją sieć i kontrolować ją w sposób planowy
oraz bez ostrzeżenia. Wiele instytucji korzysta z konsultantów, którzy
specjalizują się w zewnętrznej kontroli bezpieczeństwa. Jeśli w naszej
organizacji bezpieczeństwo sieci ma wymiar strategiczny, należy rozwa-
żyć możliwość skorzystania z takiego rozwiązania.
W innych rozdziałach...
Najlepsza rada dla odpowiedzialnych za ochronę sieci to, aby byli konse-
kwentni w realizacji swojej strategii ochrony. Muszą być pewni, że ich
personel ma wystarczające umiejętności, trening i doświadczenie, żeby
zapewnić odpowiednią konfigurację wszystkich elementów systemu.
Najwięcej zależy nie od rozwiązań technicznych, lecz od przyjętych reguł
i procedur postępowania. Uważne śledzenie wszystkiego, co dzieje się
w sieci, powinno jej zapewnić spokojną pracę.
Następujące rozdziały dostarczają ważnych informacji związanych
z ochroną sieci Windows NT:
Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem -
analizuje wiele aspektów ochrony systemu Windows NT, podłączo-
nego do najbardziej wieloplatformowej sieci na świecie - Internetu.
Rozdział 16 - Udostępnianie zasobów Windows NT klientom na kompute-
rach Macintosh
Rozdział 17 - Integracja Windows NT ze środowiskiem UNIX - wyjaśnia,
jak kierować współpracą Windows NT z siecią UNIX.