AppleShare IP Server mit Mac OS 8.6 Clients und Macintosh Manager.
Ein Erfahrungsbericht zur Installation und Administration des Apple Servers






Inhaltsverzeichnis:
 
SEITE  I   SEITE  II   SEITE  III

Inhaltsverzeichnis

Aufgabenstellung

1. Der hier dokumentierte Anwendungsfall:
CAD Labor Architektur, HdK Berlin

2. Allgemeine Funktionsweise des AppleShare IP Servers und des Macintosh Managers

2.1 Funktionsweise des AppleShare IP Servers (ASIP)

2.2 Funktionsweise des Macintosh Managers (MM)

3. Installation

3.1 Systemvoraussetzungen bei Hardware und Software

3.2 Server: Partitionierung

3.3 Server: Installation von ASIP und MM

3.4 Clients: Partitionierung und Installation von MM

  Inhaltsverzeichnis

4. Grundkonfiguration von ASIP-Server und MM
(Referenz)

4.1 Grundkonfiguration des ASIP-Servers

4.1.1 ASIP /File- und FTP-Server
4.1.2 ASIP /Benutzer & Gruppen
4.1.3 ASIP /Zugriffsrechte
4.1.4 ASIP /Web-Server


4.2 Grundkonfiguration des Macintosh Managers (MM)

4.2.1 MM /Benutzernamen
4.2.2 MM /Gruppenmitglieder
4.2.3 MM /Zugriffsrechte
4.2.4 MM /gezeigte Volumes
4.2.5 MM /Drucker
4.2.6 MM /Speicherort, Optionen
4.2.7 MM /Computernamen
4.2.8 MM /allgemeine Einstellungen
4.2.9 MM /Serverauslastung

  Inhaltsverzeichnis

5. Administration des Servers im laufenden Betrieb (Tutorial)

5.1 neue Benutzer anlegen

5.2 Benutzer löschen

5.3 Benutzer deaktivieren

6. Empfehlungen zur Administration des Servers

6.1 Bedienbarkeit

6.2 Zuverlässigkeit

6.3 Systemsicherheit

7. Fazit

 
 

  
 
 
         

4. Grundkonfiguration (Referenz) von AppleShare IP-Server und Macintosh Manager


4.1 Grundkonfiguration des AppleShare IP Servers (ASIP)
 
Nach Installation und Neustart zeigt der Server folgenden Inhalt auf der obersten Hierarchie der Festplatte:        
 
 
 
 
Beim Starten des Programms "Mac OS Server Admin" wird Name und Password des Server-Eigentümers abgefragt ("root"). Nach dieser Anmeldung erscheint eine Iconleiste mit Pulldown-Menüs zur Konfiguration der einzelnen Serverdienste:        
 
 
 
         

4.1.1 ASIP / Grundkonfiguration von File- und FTP-Server
 
Durch Aufruf des Menübefehls "File Server konfigurieren" erscheint ein Einstellungsfeld mit 6 Karteikarten.
Unsere Konfiguration wird aus den Abbildungen ersichtlich.
  Die Speicherreservierung sollte, wie gezeigt, reduziert werden, um weitere Admin-Programme am Server starten zu können.    
 
 
 
 
Das erste Ankreuzfeld auf der Karte "Zugriff" sollte aus Sicherheitsgründen immer ausgeschaltet bleiben.        
 
 
 
 
"Gastzugriff erlauben" ist eine globale Einstellung und muss zudem ensprechend bei den Zugriffsrechten im File-Server eingestellt werden.        
 
 
 
 
Die Karteikarte "Windows" haben wir nicht verwendet.
"FTP Service aktivieren" ermöglicht die Einwahl in den Server über beliebige FTP-Programme der verschiedenen Betriebssysteme.
       
 
 
 
 
Die Einstellungen zur Trennung bei Interaktivität sollte nicht hier, sondern im Mac Manager (Computer, Sicherheit) eingestellt. werden. Dort kann entsprechend das automatische Abmelden nach einem bestimmten Zeitraum definiert werden.        
 
 
 
         

4.1.2 ASIP / Grundkonfiguration von "Benutzer & Gruppen" des File-Servers
 
Unsere Mustereinträge zu "Benutzer & Gruppen" des File-Servers zeigt das folgende Bild.
Alle vorhandenen Benutzer und Gruppen sind im selben Fenster sichtbar.
Die Benutzer legt man jedoch nicht hier an, sondern im Macintash Manager (MM).

Der File Server übernimmt vom MM automatisch die Benutzernamen, nicht jedoch die Gruppen. Gruppen sind im File Server manuell erneut und parallel zum MM anzulegen.
  Die übereinstimmende Benennung der Gruppen in MM und File-Server ist nicht unbedingt notwendig. Die Gruppen auf File-Server-Ebene fassen Zugriffsrechte zusammen, während die Gruppen im MM sämtliche Eigenschaften der User definieren.
Die übereinstimmende Benennung der Benutzer in MM und File-Server ist jedoch sinnvoll, da das Anmelden eines Benutzers am Client und dessen Einwahl in den Server mit Hilfe des MM parallel geschieht (bei identischem Namen automatisch)
(siehe 4.2.4 MM/automatische Anmeldung).
  Das Löschen von Benutzern oder das Ändern von Benutzernamen geschieht ebenfalls nicht bei "Benutzer & Gruppen" des File-Servers, sondern im MM und wird automatisch vom File-Server übernommen.
 
 
 
 
Nach Doppelklick auf einen Benutzernamen im obigen Fenster öffnet sich das folgende Fenster, in welchem sich die Benutzereigenschaften festlegen lassen.
Das Ankreuzfeld "Benutzer darf sei Kennwort ändern" ist sowohl im File-Server als auch im MM aktiv.
  Dadurch ist eine Kennwortänderung sowohl über Apfelmenü/Auswahl (Rechner ohne MM-Verwaltung) als auch über das Anmeldefenster des MM möglich.
   
 
 
 
 
Durch Doppelklick auf einen Gruppennamen im Fenster "Benutzer & Gruppen" lassen sich die Gruppenmitglieder wie im folgenden Bild anzeigen und um weitere Mitglieder erweitern.   Die Aufnahme weiterer Gruppenmitglieder erfolgt, indem man einen neuen Benutzernamen mittels "Drag & Drop" vom geöffneten Fenster "Benutzer & Gruppen" in das geöffnete Gruppenfenster zieht.    
 
 
 
         

4.1.3 ASIP / Grundkonfiguration der Zugriffsrechte am File-Server
 
Im Folgenden werden die Zugriffsrechte für die vier Hierarchien der Datenablage festgelegt:

Festplatten bzw. Benutzerpartitionen
Gesamtordner "Benutzer"
Ordner eines einzelnen Benutzers
  (z.B. der Ordner "Amustermann")
Ordner "Dokumente"
  (z.B. des Benutzers Amustermann).

Der MM schaltet von sich aus die Zugriffsrechte aller von ihm automatisch angelegten Benutzerordner auf den Status "Jeder: lesen & schreiben".
  Die Sicherheit mit Hilfe des MM ist dabei trotzdem gewährleistet, da nach dem Anmelden eines bestimmten Benutzers alle anderen Benutzerordner für ihn automatisch unsichtbar bleiben. Von Rechnern (Mac oder PC), die nicht vom MM verwaltet werden, könnte in der Standardeinstellung auf alle Benutzerordner und Daten zugegriffen werden.
Dies haben wir in unserer Konfiguration dadurch unterbunden, dass wir manuell die Zugriffsrechte wie folgt in File-Server modifiziert haben:

Als Eigentümer aller Partitionen haben wir den Eigentümer des Rechners ("root") gewählt.
  Nur die Einwahl als "root" gewährt somit sämtliche Rechte beim Zugriff.
Die Benutzerpartition (z.B. A-I) muss auf
"Jeder: lesen & schreiben" stehen, da dem MM sonst die Benutzerverwaltung nicht möglich ist.
Aus diesem Grund ist es absolut notwendig, eine Systempartition auf dem Server getrennt von den Benutzerpartitionen anzulegen.
Die Systempartition ist in unserer Einstellung als Netzwerkobjekt nicht freigegeben. Somit ist ein Zugriff auf das Serversystem von anderen Rechnern aus nicht möglich.
 
Zugriffsrechte in der obersten Ebene:
Festplatte bzw. Partition
 
 
 
Der im nächsten Bild gezeigte Gesamtordner "Benutzer", der die einzelnen Benutzerordner (z.B. den Ordner "Amustermann") enthält, braucht für die jeweilige Gruppe nur auf "lesen" gestellt werden. Dies unterbindet das unerlaubte Anlegen von Benutzerordnern.   Im Fall der "Gruppe A-I" ist zusätzlich die Einstellung "Jeder: lesen" gewählt.
Damit wird dem Benutzer "Gast" das Anmelden im Ordner "Gast" ermöglicht ("Gast" liegt alphabetisch im Bereich A-I.).
  Auf den Partitionen "J-Q" und "R-Z" sind in unserem Fall entsprechend die Zugriffe für "Jeder" bei den Ordnern "Benutzer" ausgeschaltet.
 
Zugriffsrechte in der zweiten Ebene:
Gesamtordner "Benutzer"
 
 
 
Der Benutzerordner "Amustermann" (Zugriffsrechte im folgendes Bild) ist nur für den Eigentümer Amustermann zugänglich:        
 
Zugriffsrechte in der dritten Ebene:
Ordner des einzelnen Benutzers
 
 
 
Im persönlichen Ordner "Dokumente" des jeweiligen Benutzers kann dieser beliebige weitere Ordner anlegen.
Die Zugriffsrechte für den Ordner "Dokumente" und für alle darin enthaltenen Ordner werden vom übergeordneten Ordner übernommen.
  Die Ordner sind somit nur individuell für den Eigentümer zugänglich. Der Ordner "Dokumente" wird von allen Anwendungsprogrammen automatisch als Zielordner für die Datensicherung des jeweiligen Benutzers gewählt.    
 
Zugriffsrechte in der vierten Ebene:
Dokumenteordner des einzelnen Benutzers
 
 
         

4.1.4 ASIP / Grundkonfiguration des Web-Servers
 
Durch Aufruf des Menübefehls "Web Server konfigurieren" erscheint ein Einstellungsfeld mit 3 Karteikarten.
Unsere Konfiguration ist aus der ersten Karteikarte des Dialogfeldes ersichtlich.
Die beiden wieteren Karten ("Plug-Ins" und "MIME-Type") sind von uns nicht konfiguriert.
  "Gastzugriff erlauben" ist eine globale Einstellung und muß zusätzlich zum hier gezeigten Feld bei den Zugriffsrechten des Web-Ordners eingestellt werden.
Als Web-Ordner kann ein beliebiger Ordner ausgewählt werden. Man sollte auch hier aus Sicherheitsgründen einen Ordner in einem zugänglichen Bereich ausserhalb der Systempartition auswählen.
  Nach einer Änderung der Einstellung muss der Server neu gestartet werden.
 
 
 

  
 
 
         

4.2 Grundkonfiguration des Macintosh Managers (MM)
 
Beim Starten des Programms "Macintosh Manager" wird Name und Password des Server-Eigentümers ("root") abgefragt. Nach dieser Anmeldung erscheint ein Konfigurationsfeld mit 5 Karteikarten, die im folgenden besprochen werden.        
 

4.2.1 MM / Benutzer (Namensvergabe und -änderungen)
 
Im Karteifeld "Benutzer" werden die Benutzer und Passwörter angelegt bzw. deren Namen verändert.
Alle wichtigen weiteren Eigenschaften werden im nachfolgenden Karteifeld "Arbeitsgruppen" vorgenommen.
Der Benutzer "Gast" ist vorgegeben, allerdings nur als Name. Das Wesentliche am "Gast", nämlich die Einschränkung seiner Rechte, muss erst definiert werden. Dies geschieht ebenfalls im nachfolgenden Karteifeld "Arbeitsgruppen".
  Im Karteifeld "Benutzer" kann lediglich noch entschieden werden, ob es sich bei dem Benutzer um einen Administrator oder einen einfachen Benutzer handelt.
Der Administrator kann zusätzlich bei der Anmeldung den Systemzugriff wählen, was einen uneingeschränkten Zugriff auf den lokalen Client-Rechner bedeutet.
Über das Ankreuzfeld "Benutzer darf sich anmelden" kann man ggf. das Anmelden für einzelne Benutzer bequem sperren, ohne diese Benutzer löschen zu müssen.
  Das unterste Ankreuzfeld ist sinnvoll, um bei der ersten Einwahl des Benutzers eine persönliche Passwortänderung zu erzwingen.
Das Anlegen der Benutzer "-Standardbenutzer A-I" etc. bringt den Vorteil, diesen mitsamt dem Kennwort, der Gruppenzugehörigkeit und den Rechten duplizieren zu können (Button "Duplizieren").
Nach dem Duplizieren ist entsprechend nur der Name zu überschreiben (siehe 5.1 Anlegen von Benutzern).
 

 
 
         

4.2.2 MM / Arbeitsgruppen - Mitglieder
 
Im Karteifeld "Arbeitsgruppen" werden zunächst verschiedene Gruppen angelegt, denen dann Mitglieder, Objekte, Zugriffsrechte, Volumes und Drucker zugewiesen werden.
Für die Benutzer "Admin" und "Gast" wird jeweils eine eigene Gruppe erzeugt, die dann nur diesen einen Benutzer enthält. Nur über ihre Gruppe können den speziellen Benutzern "Admin" und "Gast" ihre speziellen Rechte zugewiesen werden.
  Im Pulldown-Menü "Arbeitsumgebung" lässt sich zwischen 3 Arbeitsoberflächen (mit entsprechenden 3 Sicherheitsstufen) wählen.
Wir haben für alle Arbeisgruppen die freieste Oberfläche "Finder" gewählt und als Sicherheitsausgleich im Karteifeld "Zugriffsrechte" den Systemordner geschützt (siehe 6.3 Systemsicherheit).
   
 

 
 
         

4.2.3 MM / Zugriffsrechte des Clients
 
Je nach Wahl der Arbeitsumgebung ändern sich die Konfigurationsmöglichkeiten im Karteifeld "Zugriffsrechte".
In unserem Fall sollte der lokale Systemordner der Clients geschützt werden.
Der wesentliche Teil der Zugriffsrechte wird in unserer Konfiguration über Festlegungen des File-Servers (Progamm "Mac OS Server Admin") getroffen.
  Die Karteikarte "Objekte" (hier nicht abgebildet) ist für uns nicht relevant, da wir die Programme lokal auf den Client-Festplatten installiert haben.
Andernfalls ist hier eine Einschränkung des Zugriffs auf Anwendungsprogramme des Servers möglich.
   
 

 
 
         

4.2.4 MM / Auswahl der am Client gezeigten Festplatten / automatische Anmeldung bei Volumes
 
Im Karteifeld "Volumes" können für die Gruppe Serverpartitionen definiert werden, die beim Anmelden am Server zusätzlich gemountet werden.

Die später unter "4.2.6 MM/Optionen" einzustellende Benutzerpartition wird neben den hier gewählten Volumes immer auch gemountet.
  Im unteren Teil des Karteifeldes kann entschieden werden, wie für das entsprechende Volume die Anmeldung erfolgt.   Unsere Einstellung bedeutet, dass kein separates Anmelden am Server notwendig ist, sondern dass der Server (ASIP) automatisch Benutzername und -passwort vom Anmeldefenster des MM übernimmt.
(siehe 4.1.2 ASIP/Benutzernamen)
Die gleiche Option gilt später für das Mounten der Benutzerpartitionen (Karteifeld "4.2.6 MM/Optionen").
 

 
 
         

4.2.5 MM / Auswahl der am Client gezeigten Drucker
 
Über das Karteifeld "Drucker" können für die Arbeitsgruppe der Standarddrucker (•) und weitere verwendbare Drucker eingestellt werden.        
 

 
 
         

4.2.6 MM / Festlegen des Speicherortes für Benutzerdokumente (Optionen)
 
Im Karteifeld "Optionen" kann für die Arbeitsgruppen definiert werden, wo die Daten der Benutzer gespeichert werden (z.B. in der Partition A-I).
Für jeden einzelnen Benutzer werden dort entsprechend die eigenen Daten im persönlichen Ordner (z.B. im Ordner "Amustermann") abgelegt.
Existiert dieser Benutzerordner noch nicht, wird er automatisch vom MM angelegt (Benutzerordner siehe 4.1.3 ASIP/ Zugriffsrechte , Benutzer siehe 5.1 Anlegen von Benutzern).
  Die Auswahl im Pull Down-Menü "Gruppenelemente / Sichern auf dem Volume:" ist somit eine der wesentlichsten Einstellungen des gesamten Karteikartenfeldes.
Auch wenn diese Volumeauswahl in der hintersten Rubrik "Optionen" untergebracht ist, handelt es sich keinesfalls um eine Option, sondern um eine unumgehbar nötige Einstellung.
  Das untere Ankreuzfeld bietet theoretisch die Möglichkeit, im Ordner des jeweiligen Benutzers individuelle Benutzereinstellungen (Voreinstellungen, Kontrollfeldeinstellungen) zu speichern.
Diese werden dann beim Anmelden des Benutzers automatisch wieder aufgerufen.
In der Praxis hat dieses Verfahren jedoch lange Wartezeiten bei der Anmeldung zur Folge. Wir haben deshalb davon Abstand genommen.
 

 
 
         

4.2.7 MM / Listeneintrag der im Netzwerk vorhandenen Comuternamen
 
In dem Karteifeld "Computer" können Listen mit den Rechnern, auf denen der MM installiert ist, angelegt werden. Diesen Listen können dann bestimmte Arbeitsgruppen zugewiesen werden.
Somit besteht die Möglichkeit, bestimmten Arbeitsgruppe den Zugriff auf einzelne Rechner zu verweigern.
  Sofern der "Gast" einer speziell angelegten Gruppe zugewiesen ist, die nur den Gastbenutzer enthält, kann hier der "Gast" von der Nutzung bestimmter Rechner ausgeschlossen werden.
Ausserdem lässt sich das automatische Schliessen einer Anmeldung bei Inaktivität festgelegt werden.
  Auf eine Abbildung dieses Karteikartenfeldes wurde hier verzichtet.
 
 
         

4.2.8 MM / verschiedene Grundeinstellungen (Allgemein)
 
Im Karteifeld "Allgemein" kann die Kennwortsicherheit eingestellt werden. Der Gastzugriff muss auch hier eingeschaltet sein, um am Anmeldefenster des MM sich als Gast einwählen zu können.   Die unterste Einstellung empfiehlt sich, sofern bei
4.2.6 MM/Optionen die Einstellung "Benutzereinstellungen kopieren, ..." gewählt wurde.
Sie verringert die Wartezeit beim Einwählen.
   
 

 
 
       

4.2.9 MM / Monitoring der Auslastung (Server)
 
In der Karteikarte "Server" kann die Benutzeraktivität am File Server abgelesen werden. Zudem kann auch hier alternativ zur Einstellung im "Mac OS Server Admin" der File Server ausgeschaltet werden.   Die komplette Benutzeranmeldung über den MM kann ausserdem auf Knopfdruck blockiert werden.
Ist der File Server nicht angeschaltet, so ist im MM nur dieses Karteikartenfeld sichtbar.
  Auf eine Abbildung des Karteikartenfeldes kann hier verzichtet werden.