10. SIECIOWY SYSTEM OPERACYJNY NOVELL NETWARE

Systemy Novell NetWare są serwerami plików zaprojektowanymi pod kątem

obsługi użytkowników

sieci lokalnej pracujących przy komputerach wyposażonych w systemy

operacyjne firmy Microsoft

(DOS, Windows w dowolnej wersji), ale mogącymi również współpracować z

programami klienckimi

dla systemów OS / 2, Macintosh i Unix (programy te nie są dostarczane przez

firmę Novell wraz

z oprogramowaniem serwera i muszą być zakupione oddzielnie).

Wszystkie wersje systemów NetWare umożliwiają dostarczanie nie tylko usług

dostępu do sieciowego

systemu plików, ale również podstawowych usług internetowych, takich jak FTP,

DNS, DHCP czy

udostępnianie stron domowych (www).

Systemy te stanowią w pewnym stopniu konkurencję dla systemów Windows NT

Server, gdyż ceny

są porównywalne, a pod wieloma względami oba serwery są funkcjonalnie

równoważne. Według

danych z 1998 r., serwery NetWare stanowiły około 38 procent wszystkich

serwerów na świecie,

serwery zgodne z systemem Unix - około 21 procent, zaś serwery Windows NT -

około 16 procent.

Firma Novell poza serwerem NetWare dostarcza programy klientów Novell
Client (zarówno w wersji

16-bitowej, przeznaczonej dla DOS-a i Windows 3.*, jak i w wersji 32-bitowej,
przeznaczonej dla

wszystkich nowszych systemów Windows). Firma Microsoft również dostarcza
własne programy

klienckie przeznaczone do komunikowania się z serwerami NetWare dołączone
do oprogramowania

systemów Windows 32-bitowych, ale nie są one w stanie wykorzystać wszystkich
możliwości

nowszych wersji serwerów NetWare.

Dla serwerów NetWare do wersji 4.* standardowym protokołem sieciowym
służącym do komuniko-

wania się z klientami jest protokół IPX. Jest to protokół przeznaczony dla sieci
lokalnych, nietraso-

walny (bazuje na systemie adresów fizycznych urządzeń sieciowych). Serwery
NetWare w wersjach

5.* mogą komunikować się zarówno przy użyciu protokołu IPX, jak i przy użyciu
protokołu

internetowego IP, przy czym ten drugi jest dla nich protokołem domyślnym.
Wykorzystanie IP

umożliwia (jeśli administrator sieci przydzieli takie uprawnienia i odpowiednio
skonfiguruje serwer)

zdalny dostęp (spoza sieci lokalnej) klientów do sieciowego systemu plików.

Systemy operacyjne Novell NetWare są systemami wielozadaniowymi z
wywłaszczaniem, natomiast

nie oferują wielodostępu (użytkownicy nie mogą otwierać na nich sesji pracy).
Administrator systemu

komunikuje się z nim z konsoli serwera, która dysponuje zarówno interfejsem
tekstowym (zestaw

poleceń jest inny, niż zestaw poleceń systemów firmy Microsoft), jak i
interfejsem graficznym. Jeśli

w sieci lokalnej jest wiele serwerów Netware, administrator może pracować przy
którymkolwiek

z nich. W przypadku nowszych wersji serwera Netware (mogących komunikować
się przy użyciu

protokołu IP), administrator może również zdalnie zarządzać całą siecią.

Nowsze wersje systemów Netware mają większe wymagania sprzętowe, niż
starsze wersje, ale też

oferują dużo większe możliwości. Są w stanie wykorzystywać wieloprocesorowe
płyty główne

komputerów i posiadają funkcje wyrównywania obciążenia procesorów
serwerów. System plików

NSS korzysta z 64-bitowego systemu adresowania, w związku z czym górne
ograniczenie rozmiaru

pliku wynosi 8 TB (takie samo jest górne ograniczenie rozmiaru jednego dysku
logicznego),

a maksymalna liczba dysków logicznych - 256.

Wewnętrzna baza danych systemów Netware 5.* oparta jest na systemie Oracle.

Wersje systemu NetWare do 3.* były serwerocentryczne, co oznacza, że
poszczególne serwery

w sieci lokalnej były obiektami logicznymi dostrzegalnymi dla użytkowników tej sieci
- mieli oni

konta na konkretnych serwerach i dostęp do kont jednego użytkownika na różnych
serwerach był

zabezpieczany oddzielnymi mechanizmami autoryzacji.

Nowsze wersje NetWare (od 4.*) są określane jako sieciocentryczne, co oznacza,
że użytkownik sieci

lokalnej nie musi być świadomy liczby i nazw serwerów w tej sieci - posługując się
jednym kontem

(i jednym hasłem) uzyskuje on dostęp do całego rozproszonego systemu plików,
fizycznie rozmiesz-

czonego na różnych dyskach różnych serwerów.

Wersje sieciocentryczne NetWare operują na rozmaitych rodzajach obiektów
logicznych (ponad 20

klas obiektów). Wszystkie obiekty są zarejestrowane w jednej wspólnej rozproszonej
bazie danych

o nazwie Katalog NDS

(Novell Directory Services)

. Katalog ten jest

wykorzystywany przez funkcje

serwera Netware nazywane usługami katalogowymi. Taka organizacja systemu
znacznie ułatwia

jego administrowanie - wyróżnianie grup użytkowników, przydzielanie uprawnień
itp.

Starsze wersje NetWare używały oddzielnych baz danych (segregatorów) na
poszczególnych serwerach.

Ogólny podział klas obiektów Novell NetWare:

- obiekt korzeń [Root];

- obiekty pojemniki

(container)

, nazywane też kontenerami;

- obiekty liście

(leaf)

.

Katalog NDS ma organizację drzewa, które posiada korzeń (jest on zawsze
oznaczany jako [Root],

tworzony w czasie instalacji systemu i nie może być usuniety ani zmienić nazwy),
węzły wewnętrzne

(pojemniki) oraz węzły końcowe (liście).

[Root]

pojemniki

liście

Uwaga

Katalog NDS jest strukturą organizującą różne rodzaje obiektów systemowych i
nie powinien być

mylony z żadnym z systemów plików (które też mają drzewiastą organizację).

Rodzaje obiektów w dużym stopniu zostały zaprojektowane pod kątem
wykorzystania w typowych

firmach.

Przykłady klas obiektów - pojemników:

- [Root] ;

- Country (kraj) - stosowane są dwuliterowe oznaczenia według standardu
X.500 - na przykład

US, FR, PL, DE, RU, ... ( jeśli jest, musi wystąpić
bezpośrednio pod [Root] );

- Locality (mniejsza jednostka administracyjna - stan, region, województwo, ...);

- Organization (firma, instytucja, organizacja, ...);

- Organizational Unit (jednostka organizacyjna - dział, filia, wydział, ...).

Przykłady klas obiektów - liści:

- User (użytkownik) - osoba posiadająca konto na serwerze;

- Group (grupa) - grupa użytkowników (zazwyczaj wykonujących wspólne
zadanie i posiadających

jednakowe uprawnienia);

- NetWare Server - pojedynczy serwer pracujący we wspólnej sieci NetWare;

- Volume (tom) - system plików na jednym z dysków logicznych jednego z
serwerów;

- Printer (drukarka udostępniona w sieci).

Uwaga

Wszystkie wyżej wymienione klasy obiektów są widoczne dla administratora
systemu, który ich

nazwami posługuje się w swoich poleceniach dla serwera. Użytkownicy nie muszą
być świadomi całej

struktury Katalogu NDS.

Każdy obiekt w Katalogu NDS posiada swój zbiór właściwości (właściwy dla jego
klasy). Niektóre

właściwości są wymagane, niektóre mogą być opcjonalne.

Przykład

Właściwościami wymaganymi obiektu klasy User są: Login Name (nazwa konta) i
Last Name (nazwisko).

Właściwościami opcjonalnymi są: Title (tytuł) i Telephone Number (numer
telefonu).

Większość właściwości jest jednowartościowa (każdy obiekt może mieć
przyporządkowaną tylko jedną

wartość takiej właściwości), ale niektóre mogą być wielowartościowe (obiekt może
mieć całą listę

właściwości takiego rodzaju - na przykład pojedynczy użytkownik może mieć
przyporządkowaną całą listę

numerów telefonów).

Poszczególne obiekty w Katalogu NDS posiadają swoje nazwy. Podobnie, jak w
systemach plików,

wszystkie obiekty w obrębie jednego pojemnika muszą mieć nazwy unikalne,
natomiast w różnych

pojemnikach nazwy mogą się powtarzać. Pojęciem analogicznym do ścieżki
dostępu do pliku (lub

katalogu) jest pojęcie kontekstu w Katalogu NDS. Podobnie, jak w systemach
plików wyróżniamy

względne oraz bezwzględne nazwy ścieżkowe obiektów (nazwy poprzedzone
względnymi lub

bezwzględnymi ścieżkami dostępu, które jednoznacznie identyfikują obiekt w
obrębie całego systemu

plików), w przypadku Katalogu NDS mówimy o bezwzględnych nazwach
jednoznacznych (krótko:

nazwach jednoznacznych) i względnych nazwach jednoznacznych.

Notacja kontekstów i nazw jednoznacznych jest, niestety, dość odmienna od
zapisu stosowanego

w przypadku systemów plików (co bywa mylące).

Poszczególne elementy zapisu kontekstu (nazwy kolejnych pojemników na
ścieżce) są wymieniane

w odwrotnej kolejności, niż w przypadku systemów plików (czyli poczynając od
pojemnika najniższe-

go poziomu), z pominięciem [Root], i są oddzielone kropkami.

Przykład ELBLAG . WARMINSKO_MAZURSKIE . PL

Nazwy jednoznaczne obiektów zaczynają się od kropki, po której następuje
nazwa obiektu, a po

kolejnej kropce - kontekst.

Przykład

. KOWALSKI . PRACOWNICY . PWSZ . EDUKACJA . PL

Względne nazwy jednoznaczne określane są względem kontekstu bieżącego.
Zaczynają się od

nazwy obiektu, po której następuje kropka i ciąg nazw kolejnych pojemników - od
pojemnika, w

którym bezpośrednio jest umieszczony dany obiekt, aż do wspólnego pojemnika
kontekstu tego

obiektu i kontekstu bieżącego wyłącznie, po którym (na końcu) umieszczonych
jest tyle kropek, ile

poziomów do góry trzeba przejść z kontekstu bieżącego.

Przykład

Jeśli kontekstem bieżącym jest

STUDENCI . PWSZ . EDUKACJA . PL

to względną nazwą jednoznaczną obiektu podanego w poprzednim przykładzie
będzie

KOWALSKI . PRACOWNICY .

Jednymi z podstawowych czynności wykonywanych w czasie pracy z systemami
sieciowymi są

operacje na uprawnieniach

(rights)

. W systemie Novell NetWare większość

obiektów może otrzymać

uprawnienia do większości innych obiektów. Obiekt, który otrzymał jakieś
uprawnienia, nazywany

jest powiernikiem

(trustee)

. Powiernicy są przeważnie obiektami z następujących

klas:

- [Root] ;

- Organization;

- Organizational Unit;

- Organizational Role;

- Group;

- User;

- [Public] (umożliwia nadawanie uprawnień wszystkim użytkownikom sieci,
również niezalogo-

wanym, co z kolei może umożliwić im zalogowanie się).

W systemie Netware inne rodzaje uprawnień związane są z dostępem do
pojedynczych plików lub

katalogów, a inne z dostępem do obiektów w Katalogu NDS.

Rodzaje uprawnień do plików i katalogów:

- Read [R] - prawo do odczytu zawartości pliku;

- Write [W] - prawo do zapisu do istniejącego pliku;

- Create [C] - prawo do tworzenia nowego pliku lub podkatalogu w katalogu;

- Erase [E] - prawo do usuwania istniejącego pliku lub katalogu;

- Modify [M] - prawo do zmiany nazwy i atrybutów pliku;

- File Scan [F] - prawo do przeglądania zawartości katalogu;

- Access Control [A] - prawo do nadawania powyższych uprawnień do pliku
lub katalogu innym

obiektom ;

- Supervisor [S] - wszystkie prawa.

Uwaga

Obiekt mający tylko uprawnienie A do pewnego pliku lub katalogu nie może
nadawać innym

obiektom prawa A do tego pliku (katalogu).

Jeżeli obiekt posiada uprawnienia do pewnego katalogu, to domyślnie posiada te
same uprawnienia do

wszystkich podkatalogów tego katalogu, wszystkich podkatalogów tych
podkatalogów, i tak dalej -

takie przenoszenie uprawnień na niższe poziomy w drzewie katalogów nazywane
jest dziedziczeniem

(inheritance)

uprawnień. Z każdym katalogiem jest związany filtr dziedziczenia

uprawnień

(Inherited Rights Filter, IRF)

, w starszych wersjach NetWare nazywany maską

dziedziczenia

uprawnień

(Inherited Rights Mask, IRM)

, który może ograniczać możliwości

dziedziczenia uprawnień

z nadkatalogu. Domyślny filtr pozwala na dziedziczenie wszystkich uprawnień.

Uprawnienia obiektu do katalogu mogą być uprawnieniami nadanymi
bezpośrednio lub prawami

odziedziczonymi z nadkatalogu. Ostateczny zestaw uprawnień do katalogu jest
obliczany następująco:

(prawa nadane bezpośrednio)  (prawa odziedziczone  IRF)

gdzie symbole  i  mają interpretację operacji bitowych. Obliczony zestaw praw

nazywany jest

zestawem praw efektywnych

(effective rights)

.

Uwaga

Uprawnienie S nigdy nie podlega filtrowaniu przez IRF.

Innym rodzajem zabezpieczeń plików i katalogów są ich atrybuty

(attribute)

.

Zbiór rodzajów

atrybutów stosowany w systemie NetWare jest nadzbiorem zbioru rodzajów
atrybutów stosowanych

w systemach firmy Microsoft. Niektóre atrybuty ustawiane są przez właściciela
pliku (katalogu) lub

administratora, niektóre zaś są ustawiane automatycznie przez system - te
drugie nazywane są

znacznikami statusu

(status flag)

. Niektóre atrybuty są specyficzne dla

plików, niektóre dla

katalogów, a niektóre mogą być stosowane do obu rodzajów obiektów.

Przykłady

A (Archieve) - znacznik statusu informujący, że zawartość pliku zmieniła się (w
związku z czym

może wymagać zrobienia kopii zapasowej);

H (Hidden) - atrybut powodujący, że dany plik lub katalog będzie traktowany
jako ukryty (domyślnie

jego nazwa nie będzie wyświetlana w spisie nazw);

P (Purge) - atrybut uniemożliwiający odzyskanie pliku lub katalogu po jego
skasowaniu;

Ro (Read only) - atrybut zabezpieczający plik przed usunięciem, zmianą
zawartości i zmianą nazwy

(przesłania działanie uprawnień Write, Erase i Modify);

X (Execute only) - atrybut ustawiany przez administratora, uniemożliwia
wykorzystanie pliku do

czegokolwiek innego, niż wykonanie (np. uniemożliwia jego
skopiowanie).

W starszych wersjach systemu Netware użytkownicy systemu plików operowali
na uprawnieniach

przy użyciu poleceń trybu tekstowego:

RIGHTS nazwa - wyświetlenie swoich uprawnień do danego pliku lub
katalogu

GRANT uprawnienia FOR nazwa TO użytkownik - przyznanie praw
wybranemu użytkownikowi

do danego pliku lub
katalogu

REVOKE uprawnienia FOR nazwa TO użytkownik - odbiera przyznane
uprawnienia

ALLOW nazwa uprawnienia - ustawia maskę dziedziczenia praw dla katalogu o
podanej nazwie

Do odebrania użytkownikowi wszystkich praw do pliku lub katalogu może też
posłużyć polecenie:

GRANT NO RIGHTS FOR nazwa TO użytkownik

W nowszych wersjach systemu Netware do operowania na uprawnieniach służą
programy posiadające

interfejs graficzny (na przykład program Filer).

System uprawnień związany z obiektami w Katalogu NDS ma podobny charakter,
jak system upraw-

nień do plików i katalogów, ale jest bardziej skomplikowany. Uprawnienia te
ogólnie dzielimy na

uprawnienia do obiektów i uprawnienia do właściwości. Podział ten jest
odzwierciedleniem ogólnej

idei obiektowości w oprogramowaniu: uprawnienia do obiektów są związane z
czynnościami, jakie

można wykonywać na całych obiektach (metodami), zaś uprawnienia do
właściwości - z dostępem do

poszczególnych właściwości (pól) obiektu.

Rodzaje uprawnień do obiektów:

Browse - prawo do dostrzegania danego obiektu przy przeglądaniu Katalogu
NDS;

Create - prawo do tworzenia nowych obiektów wewnątrz danego obiektu (tylko
dla pojemników);

Delete - prawo do usunięcia danego obiektu;

Rename - prawo do zmiany nazwy danego obiektu;

Inheritable - prawo do przekazywania w dziedzictwie uprawnień do obiektów
wewnątrz danego

obiektu (tylko dla pojemników, w wersjach 5.* NetWare);

Supervisor - wszystkie powyższe prawa oraz wszystkie niżej wymienione prawa
do właściwości

danego obiektu.

Rodzaje uprawnień do właściwości:

Read - pozwala odczytać wartość danej właściwości;

Write - pozwala dodawać, usuwać i modyfikować wartości właściwości;

Compare - pozwala porównywać wartość właściwości z wartością zadaną
(implikowane przez Read);

Add Self - pozwala dodawać, usuwać i modyfikować swoje własne właściwości
(implikowane przez

Write);

Inheritable - pozwala przekazywać w dziedzictwie prawa do własciwości
obiektów wewnątrz

danego obiektu (tylko dla pojemników, w wersjach 5.* NetWare);

Supervisor - wszystkie prawa do danej właściwości.

Uwaga

Jedną z właściwości każdego obiektu w Katalogu NDS jest lista praw dostępu

(Access Control List)

.

Należy zachować dużą ostrożność w przyznawaniu uprawnień do tej właściwości.

Podobnie, jak z każdym katalogiem, z każdym obiektem w Katalogu NDS
związany jest filtr

dziedziczenia uprawnień. Filtr ten wpływa zarówno na uprawnienia do danego
obiektu, jak i na

uprawnienia do jego właściwości. W odróżnieniu od filtrów dla katalogów, filtry
dla obiektów są

w stanie zablokować przekazywanie uprawnień Supervisor.

Stosowanie praw (przefiltrowanych przez IRF) do obiektów zawartych w danym
obiekcie-pojemniku

nazywamy dziedziczeniem, natomiast przekazywanie praw posiadanych przez
pewien obiekt-

pojemnik zawartym w nim obiektom nazywamy odpowiedniością pośrednią.
Należy pamiętać, że

prawa wynikające z odpowiedniości pośredniej nie są filtrowane przez IRF
danego obiektu-pojemnika.

Każdy użytkownik (czyli obiekt klasy User) może ponadto otrzymać uprawnienia
w drodze

odpowiedniości bezpośredniej. Może to nastąpić na trzy sposoby:

- jeśli użytkownik jest właścicielem obiektu klasy Organizational Role, otrzymuje
wszystkie prawa

tego obiektu;

- jeśli użytkownik należy do obiektu klasy Group, otrzymuje wszystkie prawa tego
obiektu;

- użytkownik otrzymuje wszystkie prawa obiektów wpisanych na listę w jego
własności Security

Equal To.

Obliczanie praw efektywnych w Katalogu NDS jest bardziej skomplikowane, niż
w systemie plików.

Odbywa się według następujących reguł:

- jeżeli prawa do jakiegoś obiektu lub właściwości zostały przypisane
bezpośrednio, tylko one są

obowiązujące;

- jeżeli nie ma praw przypisanych bezpośrednio, prawa efektywne obliczamy
nastepująco:

(prawa odziedziczone  IRF)  (prawa z odpowiedniości bezpośredniej)

 (prawa
z odpowiedniości
pośredniej)

Ze względu na stopień komplikacji obliczania efektywnych praw w Katalogu
NDS zalecane jest

sprawdzanie prawidłowości ich wyznaczenia przy pomocy programów
narzędziowych.