Netzwerkbetriebssysteme



Grundlagen

E: Erklärung
B: Beispiel
V: Vorteil
N: Nachteil
A: Anwendung

Prinzipielle Arten eines Netzwerkbetriebssystems

Peer-to-Peer Netzwerk

E: Jeder Rechner im Netzwerk kann Client und/oder Server sein.
B: Windows NT WS, Windows 3.11/95/98/ME, Apple Macintosh, Unix.
V: Es ist kein zusätzlicher Server erforderlich. Die Neuinstallation eines Netzes ist einfach ohne ein zentrales Konzept möglich.
N: Keine zentrale Benutzerverwaltung, hohe Störanfälligkeit.

Client-Server Netzwerk

E: Ein Rechner übernimmt spezialisiert die Server Aufgabe und verwaltet die Ressourcen. Alle anderen Rechner sind Clients.
B: Windows NT Server, Netware, Unix, Apple Macintosh.
V: Übersichtlicher, mehr Betriebssicherheit, mehr Systemsicherheit.
N: Mehr Hardwareaufwand, höherer Installationsaufwand.

Möglichkeiten von Benutzerverwaltung im Netzwerk

Arbeitsgruppe

B: DOS, Windows 95/98/ME, MacOS
E: keine zentrale Benutzerverwaltung vorhanden.
V: geringer Verwaltungsaufwand.
N: unübersichtlich, tendiert zum Chaos.

Domäne

B: Windows NT Server (mit Domain Controler), NIS, NIS+, NDS, LDAP
E: Benutzerverwaltung erfolgt zentral für alle Rechner.
V: übersichtlich, leichter zu warten. Hohe Sicherheit in Betrieb und Kontrolle.
N: Benutzung ist von zentralen Komponenten abhängig

Arten von (zentraler) Benutzerverwaltung

Jede Ressource wird durch ein Passwort abgesichert.

Es gibt keine eigentliche Benutzerverwaltung.
B: Windows 3.11/95/ME
A: Geeignet für bis zu 10 Rechner und eine überschaubare Benutzergruppe.

Flache Benutzerverwaltung.

Alle Benutzer/Gruppen/Rechner sowie Services und Shares (Freigaben) sind in einen einzigem Verzeichnis.
B: Windows NT 4.0, Unix, Netware 3.X
A: Geeignet für bis zu 100 Rechner und eine homogene Benutzergruppe.

Strukturierte (baumartige) Benutzerverwaltung.

B: Netware 4.x, 5.X, NDS on Unix, NDS on NT, NDS on SAA, Windows 2000 mit AD, LDAP (Leighweight Directory Access Protocol.)
A: Geeignet für beliebig viele Rechner und eine beliebige Benutzergruppe.

Arten der Autorisierung

Knowledge

B: Passwort, PIN
V: einfach zu implementieren, Passwörter und PINs können geändert werden.
N: Passwörter, PINs können unbemerkt und einfach kopiert werden. Sichere Passwörter müssen lang sein, oft geändert werden sind daher für die Benutzer schwer zu handhaben. Passwörter/PINs können vergessen werden.

Token

B: Schlüssel, Smartcard, Secure ID Card, Liste der Einmal-TANs, Kerberos, Gina.
V: Einfach in der Anwendung. Kombinierbar mit anderen Sicherungssystemen/Datenerfassungssystemen z.B. Zeiterfassung. Unbemerkte Kopien sind sehr schwierig bzw. unmöglich.
N: Kostenaufwand durch zusätzliche Hardware. Karten/Schlüssel können vergessen werden. Verlorene Karten/Schlüssel können auch von Unbefugten benutzt werden.

Biometric

B: Fingerabdruck, Gesichtserkennung, Tippverhalten, Irisscan (Abtastung des Augenhintergrunds)
V: Einfach in der Anwendung. Kann nicht vergessen werden.
N: Kostenaufwand durch zusätzliche Hardware. Kann schwer oder nicht geändert werden (wenn die Daten des Fingerabdrucks in falsche Hände geraten). Sind unter Umständen nicht 100% sicher.

Netzwerkprotokolle

Netbeui

Für nur Windows, DOS Netzwerke oder IBM Lan Manager
V: sehr einfach konfigurierbar, SMB (Server Message Blocks) braucht keine zusätzlichen Services (WINS, Nameserver, DHCP).
N: Nicht Routingfähig, hohe Broadcast Last.

IPX

Für Windows, DOS, UNIX oder IBM Lan Manager
V: einfach konfigurierbar, SMB (Server Message Blocks) braucht keine zusätzlichen Services (WINS, Nameserver, DHCP) einer der Clients wird "Nameserver" durch automatische Vergabe. Routingfähig. Durchschnittliche Broadcast Last.
N: Protokoll ist wenig geeignet für WAN (Wide Area Networks).

TCP/IP

Das Protokoll für weltweite Kommunikation. Das "Internet" basiert darauf.
V: Allgemein für alle Systeme verfügbar. Weltweit standardisiert. Routingfähig, WAN-fähig.
N: aufwendig zu konfigurieren. Braucht zusätzliche Dienste (Nameserver, WINS, DHCP).

Betriebsarten von Betriebssystemen (OS)

Echtzeitfähig

Aufgaben werden in vordefinierten Zeitabschnitten gelöst.
A: Multimedia (Video/Audio Streams), zeitkritische Anwendungen (Brennstabkontrolle im Kernkraftwerk), Ballerspiele :-), Simulationssysteme
B: DOS, QNX

Nicht Echtzeitfähig

Die Ausführungsdauer einer Aufgabe ist nicht Vorherbestimmbar.
A: Warteschlangen (Batchverarbeitung, Drucken)
B: Unix, Windows NT/2000

Single User OS

E: Nur ein Benutzer kann jeweils einen Rechner benutzen.
V: Exklusiver Zugriff auf alle Systemressourcen, Hohe Systemsicherheit. Echtzeitfähig.
N: Ressourcen stehen anderen Nutzern nicht zur Verfügung.
B: DOS, Windows 3.11/95/98/ME/NT/2000, MacOS

Multi User OS

E: Mehrere Benutzer können gleichzeitig einen Rechner benutzen.
V: Ressourcen stehen allen Nutzern transparent gleichzeitig zur Verfügung.
N: Systemleistung geht durch die notwendige Verwaltung verloren. Nur bedingt echtzeitfähig (Ausnahme: QNX).
B: Unix, Windows NT/2000 Terminal Server, MacOS-X

Multithreading

B: Linux, QNX, Windows 95/98/ME/NT/2000, Netware, OS2....
E: mehrere Instanzen (Teilaufgaben) eines einzigen (monolithischen) Programms können mehrfach ausgeführt werden und auf mehrere Prozessoren verteilt werden.
V: besseres Multitasking Verhalten, bessere Echtzeitfähigkeit.
N: massive Änderungen am Quellcode notwendig (Locking, Semaphore).

Singlethreading

B: Klassisches Unix (BSD), DOS, Windows 3.xx
E: Ein Programm kann nur als ganzes Objekt gleichzeitig ausgeführt werden.
V: kaum Programmänderungen für Multitasking Betrieb erforderlich.
N: hoher Ressourcen Verbrauch, Einschränkung der Echtzeitfähigkeit.

Multitasking Arten

Kooperatives Multitasking

B: Windows 3.x, DOS (TSR Programme (z. B. Treiber)), MacOS
E: Jeder Prozess erhält die volle Rechnerkontrolle bis er sie kooperativ (freiwillig) wieder abgibt.
V: geringster Overhead, Echtzeitfähig, exklusive Ressourcennutzung.
N: ein "gestorbener" Prozess bedeutet einen Neustart des Rechners.

Preemptives Multitasking

B: Unix, Windows 95/98/ME/NT/2000, MacOS-X
E: Das Betriebssystem überwacht das Wohlverhalten der Prozesse.
V: Betriebssicherheit des Gesamtsystems.



Rechte und Attribute auf Dateien und Verzeichnisse

Rechte und Attribute auf Dateien

Attribut/Recht DOS Windows NT Unix Netware
Lesen R r R
Schreiben kein R Flag W w W
Löschen kein R,S Flag D w E
Ausführen kein H,S Flag X x X
Rechte setzen P w (Verzeichnis) A
Besitzer ändern O w (Verzeichnis) A
Attribute ändern W w (Verzeichnis) M
Super-Rechte root-User S

Rechte und Attribute auf Verzeichnisse

Attribut/Recht DOS Windows NT Unix Netware
Schreiben kein R Flag W w W
Löschen kein R,S Flag D w E
Verzeichnis anzeigen kein H,S Flag X x F
Rechte setzen P w A
Besitzer ändern O w A
Attribute ändern W w M
Super-Rechte root-User S
Dateien anlegen C w C

Anmerkungen

Unter Windows NT können mit jeder Freigabe (Share) allgemeine rechte für Benutzer und Gruppen eingestellt werden. Dies ist eine Art von "Ersatz" für die fehlende Vererbung.
Das "x" unter Unix kennzeichnet ausführbare Dateien (Die Erweiterung ist hier NEBENSACHE). Das "X" unter Windows NT und Netware ist ein eXecute only Attribut. Unter Unix gibt es noch die Attribute: "l" Link (Ein Zeiger auf eine andere Datei), "s" SUID (zusammen mit dem "x" wird beim Ausführen die UID gewechselt), "m" Immutable (Datei ist nicht mehr veränderbar).

Vererbung von Rechten

keine Vererbung

E: Hier muss für jede Datei Verzeichnis ein eigener Rechte Eintrag (ACL, oder Trustee) gesetzt werden.
V: Die tatsächlichen Rechte können leicht ermittelt werden.
N: Es werden u.U. Millionen von ACLs gebraucht, Speicherplatz!, Schwer zu warten.
B: Unix, NT

Vererbung

E: Hier vererben sich Rechte in untergeordnete Verzeichnisse. Es existierten zusätzlich Mechanismen um die Vererbung zu steuern.
V: Es werden nur sehr wenige ACLs gebraucht. Einfach zu warten.
N: Es ist u.U. nicht einfach die tatsächlichen Rechte festzustellen.
B: Netware

Eigenschaften von Betriebsystemen im Überblick

Eigenschaft/BS DOS Windows 95 (A) Windows 98/ME Windows NT 4.0 Windows 2000 Windows XP (Pro) Linux (Kernel 2.6)
Massenspeicher FAT 16, 2GByte FAT 16, vFAT, 2GByte FAT 16, FAT 32, vFAT, 128 GByte FAT 16, vFAT, NTFS 3.0, 17GByte FAT16, FAT32, vFAT, NTFS, 2TB FAT16, FAT32, vFAT, NTFS 5, 2TB alle FAT, NTFS, ufs, ext2, ext3, ReiserFs, usw.
Kernel Single Tasking, Echtzeitfächig, Single User, 1Meg Speicher, 1*16 Bit CPU Multi Tasking, Nicht Echtzeit, Single User, 256 MB, 1*32 Bit CPU (Teile 16 Bit) Multi Tasking, Nicht Echtzeit, Single User, 512 MB, 1*32 Bit CPU (Teile 16 Bit) Multi Tasking, Nicht Echtzeit, Single User (WS), Multi User (Terminal-Server), 2 GB, 16*32 Bit CPU Multi Tasking, Nicht Echtzeit, Single User (WS), Multi User (Terminal-Server), 2-User (Server), 4 GB, 32*32 Bit CPU Multi Tasking, Nicht Echtzeit, 2-User, 4 GB, 2*32 Bit CPU Multi Tasking, Nicht Echtzeit, Multi User, Speicher was die Hardware hergibt., 64*64 (oder 32 Bit) CPU
Sonst. I/O kein PnP, kein Hot-PnP, kein USB PnP, kein Hot-PnP, kein USB PnP, Hot-PnP, USB kein PnP, kein Hot-PnP, kein USB PnP, Hot-PnP, USB PnP, Hot-PnP, USB PnP, Hot-PnP, USB

Benutzerverwaltung in einer Windows NT Domäne

Prinzipien

Benutzerprofile

Benutzerkonto Richtlinien

Diese Richtlinien gelten global für eine ganze Domäne.

Benutzerverwaltung in einem Novell NDS Baum

Beschrieben wird hier Novell NDS (=Novell Directory Services) in der Version 8.6 oder 8.7. Alle Aussagen gelten mit Einschränkungen auch für frühere Novell NDS Versionen (6.x und 7.x). Mit Einschränkungen auch für Microsoft Active Directory (in Windows 2000 eingebaut). Ich hoffe persönlich, das sich auch MS-AD in die Richtung und zu dem Funktionsumfang entwickelt, den Novell NDS heute schon hat. Deshalb hier zum Anfang eine kurze Gegenüberstellung von Novell NDS und Microsoft AD (künftig als MAD abgekürzt).

Was ist NDS?

Eine X.500 kompatible Datenbank, die Replizierung und Partitionierung beherrscht.
Es gibt in NDS drei verschiedenen Typen von Objekten:

Partitionen

Die Datenbank kann in verschiedene Teile geteilt werden. Die einzelnen Teile können sich NICHT überlappen.
Die einzelnen Teile nennt man Partitionen.
Partitionierung dient zum Anpassen der Datenbank an vorhandene Unternehmensstrukturen (WAN-Layout, Organigramm usw..)

Replikas

Eine Replika ist eine Kopie eines Teils der Datenbank. Es ist sinnvoll zwischen 3 und 5 Kopien anzulegen. Dadurch wird eine maximale Verfügbarkeit und Sicherheit gewährleistet (ohne daß die Performace leidet).
Es gibt 3 verschiedene Arten von Replikas:

Zeitsynchronisation

Nachdem in einem NDS Tree die Transaktionen mittels eines Zeitstempels (Timestamp) synchronisiert werden ist die Zeitsynchronisation enorm wichtig.
Es gibt 3 verschiedene Zeitsynchronisationsmodelle:

Die Treedesign-Baukastenanleitung

Dies ist sicher nicht unbedingt die ideale Lösung, aber diese Lösung funktioniert fast immer.
  1. Produkt wählen (NDS, ADS, iPlanet, OpenLDAP)
  2. Lizenzen benötigt?
  3. Baum designen ahängig von:
  4. Partitionierung (jeder Standort EINE Replika, Root-Replika nicht vergessen!)
  5. Replizierung (2 Server pro Replika, einer hat die Master Replika der andere eine R/W Replika) nur eine Replika pro Server dann klappt es auch mit MAD
  6. Bild (Treedesign) und Tabelle (Replizierung) aufzeichen!
  7. Zeitsynchronisation (extern ein GPS/DCF77 Empfänger pro Standort an einem Master-Server)

weitere Links zum Thema Filesysteme


weitere Links zum Thema X.500 und NDS





Edmund Weber, last modified: