Services For Unix 3.5Services For Unix 3.5
L’integrazione di piattaforme e applicazioni UNIX con Windows Server 2003
L’integrazione di piattaforme e applicazioni UNIX con Windows Server 2003
Malusardi PierGiorgio
AgendaAgenda Come sfruttare le risorse esistenti
NFS client, server, gateway, Semplificare la gestione utenti
NIS Server, NIS migration wizard, Password synch, User Name Mapping
Semplificare l’amministrazione della rete Migrare applicazioni
Interix subsystem
Dalle Yellow Pages a NISDalle Yellow Pages a NIS
Necessità di condividere file Mantenimento di UID/GID consistenti Sviluppato da Sun Microsystems Basato su RPC/UDP Uso di comandi YP
Server for NISServer for NIS Permette la migrazione delle mappature NIS
in Active Directory™ usando un wizard passwd, group, e hosts mappati su utenti, gruppi e computer
Dati NIS archiviati in Active Directory Estende lo schema di Active Directory
per le proprietà UNIX Esegue server NIS su Windows
Server 2003 Supporta NIS v2.0 Modifica mappature NIS via
Active Directory Supporta molteplici domini NIS
Supporto per yppasswd Sincronizzazione password
Server for NISServer for NIS
NIS Domain
subnet 2subnet 3
UNIX NIS Primary
UNIX NIS Secondary
subnet 1
Windows Server 2003 Domain
Windows Server 2003 DC
Server for NISServer for NIS
UNIX NIS Secondary
subnet 1
Windows Server* 2003 DC (NIS Primary)
subnet 3
UNIX NIS Secondary
subnet 2
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
NIS Clients
Master
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
NIS Clients
Master
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
Slave Slave
NIS Clients
SFU NIS
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
Slave Slave
NIS Clients
Slave
SFU NIS
Master
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
Slave Slave Master
NIS Clients
Slave
SFU NIS
Master
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
Slave Slave Master
NIS Clients
Slave
SFU NIS
Master
Server for NISServer for NIS
UNIX NIS Server Windows Server 2003 Server
Slave Slave Master Slave
NIS Clients
Slave
SFU NIS
NIS - MigrazioneNIS - Migrazione Metodi
Via linea di comando: NIS2AD Usando il Wizard NIS Server Migration
Prova Genera un log dei conflitti: Nis2ad.log Permette di risolvere i conflitti prima di
effettuare realmente la migrazione Fasi
Una mappa per volta Migrare e Rivedere
NIS – MigrazioneNIS – Migrazione
Domini Multipli NIS Possono essere migrati in un unico dominio
AD Viene mantenuto lo spazio dei nomi NIS Vengono gestiti più domini NIS
Utenti Speciali Durante la migrazione vengono trattati in
modo speciale gli utenti: Con UID < 20 root
NIS – Percorso di migrazioneNIS – Percorso di migrazione
Nome di dominio NIS Autenticazione dell’Amministratore Selezione delle mappe NIS Mappe NIS non-Standard Nome in Directory delle mappe NIS Dominio di destinazione Gestione dei conflitti durante la migrazione Localizzazione dei file di Log File
AD vs NISUtilizziAD vs NISUtilizzi
NIS e AD sono concettualmente simili Entrambi permettono la disponibilità
globale di dati interessanti Entrambi permettono la centralizzazione
dei dati utente Entrambi sono estensibili Entrambi hanno un insieme di API La differenza è l’implementazione
AD vs NISRisoluzione dei nomiAD vs NISRisoluzione dei nomi
AD usa i record SRV di DNS, i Siti e le Subnet IP per determinare la località
Permette ai client di trovare il DC più vicino Si può usare AD per replicare dati DNS NIS usa broadcast, hosts o DNS Il broadcast può essere usato per restringere i
client alla sottorete locale Si può usare NIS per propagare i file hosts
AD vs NISData StorageAD vs NISData Storage
AD usa il database NTDS.DIT
Può essere visto con ADSIEDIT
Le entità in AD sono oggetti: instanze di una classe
Gli oggetti hanno attributi
AD permette l’ereditarietà attraverso il Subclassing
NIS usa le mappe NIS
Può essere visto con makedbm
I dati sono righe e colonne
Sono possibili solo relazioni semplici tra i dati
AD vs NISModifica dei datiAD vs NISModifica dei dati
AD è multi-master AD è aggiornata ovunque:
replica ai partner La granularità degli
aggiornamenti è a livello di Elemento
AD permette l’uso di DSA per modificare gli oggetti su ogni DC
Gli utenti possono cambiare la propria password usando la Security Dialog Box
NIS è aggiornato al Master e replica verso gli Slave
NIS è single-master con 0 o più slave
È replicata l’intera mappa Gli amministratori NIS
cambiano le informazioni sul NIS Master e chiamano make
Gli utenti devono usare yppasswd per cambiare la loro password
AD vs NISDomini MultipliAD vs NISDomini Multipli
NIS e AD supportano domini multipli AD supporta domini multipli interconnessi
chiamati Foresta I domini AD sono confini di sicurezza e di replica C’è una scarsa interconnessione tra i domini NIS Un dominio NIS è propriamente una collezione
di mappe
AD vs NISAmbiente UtenteAD vs NISAmbiente Utente
Entrambi possono essere usati per impostare l’ambiente utente
AD usa le Group Policy per forzare la configurazione del Desktop, la mappatura dei dischi e la redirezione delle cartelle
NIS usa la mappa passwd per impostare la shell utente e la home directory
AD vs NIS: EstensibilitàAD vs NIS: Estensibilità
NIS e AD supportano dei dati di “default” Entrambi possono essere estesi per
supportare dati definiti dall’utente: Per AD attraverso la modifica dello schema
(schmmgmt.dll) Per NIS attraverso la costruzione e
compilazione di nuove mappe (makedbm)
User Name Mapping - UNMUser Name Mapping - UNM
Mappatura centralizzata degli account Permette a utenti Windows l’accesso a server
NFS usando credenziali Windows Permette a utenti UNIX l’accesso a NFS server
su Windows Assicura il corretto
accesso su tutti i client e i server NFS
Facilita le attività di mantenimento delle mappature
Servizi che Usano UNMServizi che Usano UNM
Server for NFS Client for NFS Gateway for NFS CRON e RSHSvc
UNM – Sorgenti degli AccountUNM – Sorgenti degli Account
Windows Server 2003/2000/NT Account Locali Account di Dominio Active Directory
UNIX PCNFS NIS
UNM – Mappe SempliciUNM – Mappe Semplici
Relazioni Uno a Uno per Utenti Gruppi
Proprietà identiche Automatica/Dinamica
>>>>>>>>>USER1USER1<<<<<<<<<
UNM – Mappe AvanzateUNM – Mappe Avanzate
Relazioni Uno a Molti Da Windows Server a UNIX
Relazioni Uno a Uno Da UNIX a Windows Server
È possibile usare Account diversi Statiche
Sincronizzazione PasswordSincronizzazione Password
Cambiamento password da Windows a UNIX e viceversa (two-way)
Propagazione criptata basata su MD5 Sincronizzazione mirata su alcuni
computer Possibilità di filtro basata sugli utenti
Piattaforme supportatePiattaforme supportate
Da Windows a UNIX Compaq Tru64 5.0 Hewlett-Packard
HP-UX 10.20 RedHat Linux 5.2 Sun Microsystems
Solaris 2.6 e 7 IBM AIX 4.2
Da UNIX a Windows Hewlett-Packard
HP-UX RedHat Linux Sun
Microsystems Solaris
Compaq Tru64
Demone Single Sign-on (SSOD)Demone Single Sign-on (SSOD) Da Windows a UNIX Per le diverse piattaforme (\unix\bins)
ssod.d40 (Tru64) ssod.h10 (HP-UX) ssod.l52 (RH Linux) ssod.so7 (Solaris) ssod.a42 (AIX)
Rinominare Sso.cfg in sso.conf
Password Authentication Module (PAM)Password Authentication Module (PAM)
Da UNIX a Windows Server Per le diverse piattaforme (\unix\bins)
Pam_sso.h11 (HP-UX) Pam_sso.so7 (Solaris)
Pam.conf
Pam_sso.l25 (RH Linux) /etc/pam.d/passwd
Per Compaq Tru64 Security Integration Architecture (SIA) Libsia.so (\unix\bins)
Componenti per WindowsComponenti per Windows
Installabile su tutte le piattaforme supportate eccetto che sui BDC Windows NT 4.
Quando viene installato crea il Local Group PasswordPropDeny
Installabile con SFUSetup o via linea di comando (msiexec /I sfusetup.msi /qb addlocal="passwdsync")
Configurazioni di DefaultConfigurazioni di Default
Direzione della Sincronizzazione Chiave di criptatura/decriptatura Configurazione della Porta Tentativi di sincronizzazione Logging
Configurazioni Specifiche per ComputerConfigurazioni Specifiche per Computer
Abilitazione UNIX->Windows Chiave di criptazione Configurazione
della Porta
Supporto NFS Supporto NFS
UNIX NFS Clients
UNIX NFS Servers
Supporto NFS Supporto NFS
SFU NFS Clients UNIX NFS Clients
UNIX NFS Servers
Supporto NFS Supporto NFS
SFU NFS Clients
SFU NFS Servers
UNIX NFS Clients
UNIX NFS Servers
Supporto NFS Supporto NFS
SFU NFS Clients
SFU NFS Servers
UNIX NFS Clients
UNIX NFS Servers
SFU NFSGateway
Client NFSClient NFS Accesso a NFS server
Accesso a NFS server con credenziali Windows
Mappatura utenti Windows su UNIX UID
Integrazione di NFS con l’interfaccia di Windows Browsing rete NFS, server e condivisioni
Standard Windows Case sensitivity, formato nomi 8.3, accesso
a NFS via DFS, nomi UNC, commandi ‘net’
Autenticazione – User Name MappingAutenticazione – User Name Mapping
Non serve login su UNIX User Name Mapping provede i corretti
UID/GID per l’account attivo su Windows Utente Anonymous
Usato se non esiste mappatura per l’utente attivo
Permessi UNIX di DefaultPermessi UNIX di Default
Tripletta dei permessi UNIX User Group Others
Default Client Opzioni Client
Browsing delle RisorseBrowsing delle Risorse
Usando la GUI Network Neighborhood o My Network Place
NFS NetworkDefault LANFavorite LANAdd/Remove LAN
Command Line Net View Showmount Dir LS
Mappatura delle RisorseMappatura delle Risorse
Sono usabili le sintassi UNC NFS/UNIX
È possibile Da GUI
ExplorerStart/RunNetwork Neighborhood
Via Command Line Con Net Use Con Mount/Umount
Attributi NFSAttributi NFS
Permessi dei File Statistiche sui File Attributi
Set UID Set GID RWX RWX RWX UID/GID Attuali
Server NFSServer NFS
Permette a client UNIX di accedere a file su server Windows
File access usando UNIX UID/GID Mappatura UID a utenti di dominio Privilegi di accesso rispettati
Accesso NFS con il solo logon UNIX NFS standard
Supporto v2/v3, TCP/UDP, locking
Protocolli SupportatiProtocolli Supportati
NFS v3 NFS v2 TCP UDP
Condivisioni NFSCondivisioni NFS
Per le condivisioni NFS si devono indicare
Nome dello Share Tipo di Codifica Accesso anonimo
Permessi per Share NFSPermessi per Share NFS
Permessi di Share Gruppi Client Accesso come Root Accesso Anonimo
Gateway NFSGateway NFS
SMB da un lato e NFS dall’altro Esporta device NFS come condivisioni SMB Accesso a NFS senza client NFS su ogni PC
Riduzione dei costi di amministrazione Buona soluzione per piccole realtà Accesso NFS a PC Windows 95/98
Accesso Autenticato Ogni utente Windows mappato a utente UNIX Privilegi basati sull’utente rispettati Ogni utente autenticato sul client
ConfigurazioneConfigurazione
La configurazione viene eseguita da: SFU Administration
NFS Gateway Administrator
Da questo tool si gestiscono:
Permessi sui file Mappature Utenti
SFU AdministratorSFU Administrator
Da questo tool si gestiscono: Permessi sui file Mappature Utenti
Creazione di un GatewayCreazione di un Gateway
Assegnazione di un Nome allo ShareDefinizione di una lettera disco Indicazione della risorsa di rete da
collegare Tree View
Tipo di CodificaGestione degli utenti
Maximum Allowed Allow Unmapped
Users
PermessiPermessi
Permessi a livello di Share Sono gli stessi di SMB
Change No Access Read Full Control
Microsoft InterixMicrosoft Interix
Il sottosistema Interix UNIX gira in modo nativo in Windows Server 2003
Accesso diretto ai file system NTFS e FAT
Ambiente UNIX completo Shells, utilities, librerie di
API UNIX, tools di sviluppo, librerie e client per X11, Servizi UNIX Hardware Abstraction Layer
Windows Server 2003 Kernel
Win32 Subsystem
INTERIXSubsystem
UNIXAPIs
Win32APIs
Unix Applications
Win32Applications
Microsoft Interix – Sottosistema ApplicativoMicrosoft Interix – Sottosistema Applicativo
tideUNIX C
Application
Windows Server 2003 Kernel
INTERIX Subsystem Win32 Subsystem
XtideUNIX X11 CApplication
VBTIDE.EXEVisual Basic GUI
Front-end Application
TIDEWRAP.DLLINTERIX COM DLL Module
Applicazioni X11
Esistenti
Applicazini UNIXa caratteriesistenti
New Windows Server
GraphicalApplication
Microsoft InterixMicrosoft Interix Conoscenze di
amministrazione e applicazioni legacy possono essere facilmente migrate a Windows Server
Ambiente di scripting altamente funzionale sh, ksh, csh Più di 300 comandi standard UNIX Supporto per 1900 API UNIX/95
Riuso ed estensione di applicazioni UNIX compile-and-go UNIX/95, UNIX/98 APIs gcc, gdb, make, ecc…
© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.