M 2.151 Entwurf eines NDS-Konzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Eine der wichtigsten Neuerungen in Novell 4.x stellen die Novell Directory Services (NDS) dar, die im deutschen Sprachgebrauch als Novell Verzeichnis Dienste bezeichnet werden. Die NDS bezieht sich auf die logische Struktur des Netzes und aller darin vorhandenen Ressourcen wie z. B. Benutzer, Gruppen, Drucker oder Netware Server.

Die Technologie der NDS ersetzt die noch in Netware 2.x und Netware 3.x verwendete Bindery. In der Bindery sind alle Benutzer, Gruppen usw. in einer eindimensionalen Liste enthalten. Beim Einsatz mehrerer Netware 3.x Server steht der Administrator jedoch vor dem "Problem", daß jede Änderung (beispielsweise das Hinzufügen eines Benutzers) auf jedem Netware 3.x Server manuell ausgeführt werden mußte , d. h. auf allen Servern, für die einem Benutzer Zugriffsrechte gegeben werden sollten.

Die Novell Verzeichnis Dienste hingegen sind unabhängig von einem konkreten Server und orientieren sich ausschließlich am zugrundeliegenden Netz. Dies bedeutet, daß Administrationsarbeiten wie Änderungen oder Einrichtungen eines Benutzer-Accounts von den Novell Verzeichnis Diensten auf allen betroffenen Servern vollzogen werden, ohne daß ein manuelles Eingreifen des Administrators erforderlich ist.

Die Ressourcen werden in einer Datenbank baumförmig verwaltet, deshalb spricht man auch vom NDS-Tree bzw. NDS-Baum. Im NDS-Baum werden alle Benutzer, Gruppen, Drucker, Netware Server usw. als Objekte in der sogenannten NDS-Verzeichnisdatenbank verwaltet. Hierbei unterscheidet man zwei Arten von Objekten: Containerobjects (Behälterobjekte) und Leafobjects (Blattobjekte). Während sich ein Blattobjekt am Ende eines Zweiges befindet und keine weiteren Objekte mehr beinhaltet, kann ein Behälterobjekt weitere Behälter oder Blattobjekte enthalten.

Es existieren u. a. folgende Behälterobjekte:

• Root (Stammobjekt)

  Die Root stellt die Wurzel des NDS-Verzeichnisbaumes dar. Jeder NDS-Verzeichnisbaum hat genau ein solches Objekt, das bei der Installation angelegt wird und weder umbenannt noch gelöscht werden kann. In jedem NDS-Verzeichnisbaum kann sich nur ein solches Objekt befinden.

• Country (Land)

  Das Objekt Country ermöglicht eine geographische Unterteilung der gesamten Struktur des NDS-Verzeichnisbaumes, d. h. eine Einteilung des Netzes nach verschiedenen Ländern. Dieses Objekt ist jedoch optional und wird deshalb bei der Installation der NDS auch nicht vorgegeben.

• Organization (Organisation)

  Das Objekt Organization dient dazu, weitere Objekte im NDS-Verzeichnisbaum hierarchisch anzuordnen. Dabei gibt es keine festen Regeln, so daß ein Unternehmen beispielsweise sowohl den Firmennamen als auch verschiedene Niederlassungen als Bezeichnung der Organisation verwenden kann. Jeder NDS-Verzeichnisbaum muß mindestens eine Organisation beinhalten.

• Organizational Unit (Organisatorische Einheit)

  Die Organizational Unit kann nur unterhalb einer Organisation erstellt werden und dient zur weiteren Unterteilung der NDS. Beispielsweise lassen sich Niederlassungen, Abteilungen oder Projektgruppen in organisatorischen Einheiten anordnen. Die organisatorische Einheit ist optional und wird zur besseren Strukturierung je nach Anzahl der Blattobjekte eingesetzt.

Als Blattobjekte bezeichnet man z. B. Benutzer, Gruppen, Drucker, Server oder Datenträger. Es ist nicht möglich, unter Blattobjekten weitere Objekte anzulegen. Folgende Blattobjekte werden am häufigsten verwendet:

• Netware Server

  Dieses Objekt repräsentiert einen Netware Server im Netz, von dem es mindestens einen geben muß. Auf dieses Objekt wird von vielen anderen Objekten verwiesen, die die vom Server bereitgestellten Dienste verwenden. Dieses Objekt wird bereits durch das Installationsprogramm erstellt.

• Drucker

  Hiermit wird ein im Netz vorhandener Drucker dargestellt. Zu einem Drucker gehören immer die Objekte Druckerwarteschlange und Druckserver.

• Benutzer

  Dieses Objekt dient zur Verwaltung und Speicherung von Informationen über einen Benutzer des Netzes, insbesondere über seine Zugriffsrechte auf Netzressourcen.

• Gruppen

  Obwohl in einer Gruppe mehrere Benutzer zusammengefaßt werden können, stellt eine Gruppe ein Blattobjekt und kein Behälterobjekt dar. Sie dient zur einfacheren Administration, da die Rechte einer Gruppe auf deren Mitglieder übertragen werden.

• Volume

  Hiermit wird ein physikalisches Volume zum Speichern von Daten dargestellt. Volumeobjekte werden in der Regel vom Installationsprogramm erstellt.

Für eine detailliertere Beschreibung der weiteren Blattobjekte wird auf die Netware Handbücher verwiesen. Auch sind der Objektvielfalt keine Grenzen gesetzt, da z. B. Objekte von Applikationen hinzugefügt, aber auch entfernt werden können.

Die Verzeichnisobjekte und deren Attribute werden, wie bereits erwähnt, in einer Datenbank verwaltet, die wesentlicher Bestandteil der NDS ist. In Netzen mit WAN-Verbindungen empfiehlt es sich, diese Datenbank in logische Segmente aufzuteilen, welche auf verschiedene Netware-Server kopiert werden. Es ist hierbei wichtig beim Planen der Reproduktionen auf langsame WAN-Verbindungen zu achten.

Diese logische Segmentierung wird als Partitionierung bezeichnet. Der Kopiervorgang der logischen Segmente auf die Netware-Server wird als Reproduktion bezeichnet.

Jede Partition besteht aus mindestens einem Behälterobjekt und den darin enthaltenen Objekten. Zusätzlich kann es von einer Partition noch mehrere Lese- bzw. Schreib/Lese-Kopien geben, jedoch immer nur eine Haupt-Reproduktion.

Die physische Unterteilung der NDS in Partitionen ist für die Anwender transparent; d. h. die Netware-internen Mechanismen sorgen dafür, daß der Anwender nichts von der Aufteilung bemerkt.

Der Entwurf eines NDS-Verzeichnisbaumes unterliegt prinzipiell keinerlei Beschränkungen, so daß es zur Erzeugung der unterschiedlichsten Formen mit beliebiger Komplexität kommen kann. Dabei sollte jedoch eine gründliche und sorgfältige Planung durchgeführt werden, wobei folgende Grundsätze zu beachten sind:

• Eine übersichtliche NDS sollte maximal zwischen 4 und 8 Ebenen tief sein.
• Die maximale Anzahl aller Objekte in einer Organisation oder in einer organisatorischen Einheit sollte nicht mehr als 1.500 betragen.
• Mehrere kleinere Abteilungen sollten zu einer organisatorischen Einheit zusammengefaßt werden, um deren Anzahl zu reduzieren und die Übersichtlichkeit zu erhöhen.
• Es sollten aussagekräftige, aber nicht zu lange Namen verwendet werden (z. B. "F&E" statt "Forschung und Entwicklung"), da die gesamte Pfadangabe innerhalb des NDS-Baumes maximal 255 Zeichen lang sein darf. Diese Begrenzung kommt allerdings nur indirekt zustande, da DOS-Zeilenkommandos keine längeren Eingaben zulassen. Diese Pfadangabe wird Kontext genannt.
• Von jeder Partition sollten zusätzlich zur Hauptpartition zwei weitere Schreib/Lese-Partitionen erstellt werden. Durch die somit vorhandene Redundanz ist der Verlust von NDS-Informationen gering. Eine Sicherung der NDS bleibt trotzdem obligatorisch.
• Das Netware Loadable Module (NLM) Directory Service (DS.NLM) ist auf allen Netware Servern innerhalb eines NDS-Baumes, auf dem dieselben Netware Versionen installiert sind, in derselben Version zu benutzen, da sich verschiedene Versionen unter Umständen nicht miteinander synchronisieren. In NDS-Bäumen, in denen z. B. Netware Server der Versionen 4.10, 4.11 und 5.0 installiert sind, müssen sich die Versionen der DS.NLM auf den einzelnen Netware Servern sehr wohl unterscheiden. Nur die DS.NLM auf allen Netware Servern der Versionen 4.10, 4.11 und 5.0 muß, um unnötige Probleme zu vermeiden, in derselben Version installiert sein. Da prinzipiell Mischumgebungen erlaubt sind, zeigt die Praxis, daß eine homogene Serverlandschaft - entweder nur Netware Server der Versionen 4.10, 4.11 oder 5.0, die stabilsten und die am besten zu administrierenden NDS-Netze sind.

Bei der Planung der NDS ist nicht vorrangig die Größe des Netzes, sondern das Umfeld entscheidend, wie z. B. die Hardware, die Kommunikationsverbindungen, die LAN/WAN-Topologie und die Struktur der Organisation. Beispielsweise ist für ein kleines Netz mit mehreren WAN-Verbindungen ein größerer Aufwand für die Planung erforderlich als für ein großes Netz ohne WAN-Verbindungen, da mit den verschiedenen WAN-Architekturtypen eindeutige physische Attribute verknüpft sind. Eine Planung sollte zumindest die folgenden Punkte abdecken:

• Festlegung eines Standards für die Benennung von Objekten (insbesondere Namenskonventionen für Benutzer- und Druckerkennungen),
• Entwurf einer Verzeichnisbaumstruktur,
• Festlegung der Position von Netzressourcen (z.B. Drucker und Server) innerhalb des NDS-Baumes bzw. Container, um Benutzern und Administratoren eine transparente Sicht des Netzes zu ermöglichen,
• NDS-Baum sollte die Organisationsstruktur des abzubildenden Unternehmens widerspiegeln,
• Einheitliche sowie abgestimmte Positionierung von Netzressourcen an verschiedenen Standorten um Benutzern mit häufigen Standortwechsel ein möglichst kurze Einarbeitungszeit zu ermöglichen,
• Festlegung einer Partitions- und Reproduktionsstrategie , die unter anderem stark abhängig von WAN-Verbindungen ist.

Für weitergehende Informationen zur NDS-Planung sei an dieser Stelle auf das Handbuch zu Netware 4 Netzwerken von Novell verwiesen, welches die Implementierung eines Netware 4.x Netzes ausführlich beschreibt.

Ergänzende Kontrollfragen:

• Existieren regelmäßig Absprachen der einzelnen Administratoren der verschiedenen Standorten?
• Wurden alle Planungsgrundsätze eingehalten?
• Sind die NDS, Planungsgrundsätze und die Absprachen der Administratoren dokumentiert?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000