| Red Hat Enterprise Linux 4: Einführung in die System-Administration | ||
|---|---|---|
| Zurück | Kapitel 6. Verwalten von Benutzer-Accounts und Ressourcen-Zugang | Nach vorne |
Benutzer-Accounts zu erstellen, ist nur ein Teil des Aufgabenbereiches eines Systemadminstrators. Die Verwaltung von Benutzer-Ressourcen ist ebenfalls ein essentieller Bestandteil. Deshalb müssen drei Punkte in Betracht gezogen werden:
Wer auf gemeinsam genutzte Daten zugreifen kann
Wo Benutzer auf diese Daten zugreifen können
Welche Beschränkungen sind eingeräumt worden, um den Missbrauch von Ressourcen zu verhindern
Die folgenden Abschnitte behandeln kurz jedes dieser Themen.
Der Zugang eines Benutzers zu einer Applikation, einer Datei oder einem Verzeichnis wird von den Berechtigungen bestimmt, die in Bezug auf diese Applikation, diese Datei oder dieses Verzeichnis Anwendung finden.
Zusätzlich ist es oft hilfreich, wenn verschiedene Berechtigungen für verschiedene Benutzerklassen Anwendung finden. Zum Beispiel sollte ein gemeinsam benutzter temporärer Speicher in der Lage sein, die unbeabsichtigte (oder auch böswillige) Löschung der Datei eines Benutzers durch alle anderen Benutzer zu verhindern, wobei dem Besitzer der Datei trotzdem voller Zugang gewährt wird.
Ein weiteres Beispiel ist die Zugriffsberechtigung zum Heimverzeichnis eines Benutzers. Nur der Besitzer des jeweiligen Heimverzeichnisses sollte in der Lage sein hierbei Dateien zu erstellen oder einzusehen. Allen anderen Benutzern sollte der Zugang verweigert werden (ausser der Benutzer gibt dazu seine Einwilligung). Dies erhöht den persönlichen Datenschutz des jeweiligen Benutzers und verhindert die mögliche Unterschlagung von persönlichen Dateien.
Es gibt jedoch viele Situationen, in denen mehrere Benutzer Zugang zu den selben Ressourcen auf einem Rechner benötigen. In diesem Fall ist eine vorsichtige Erstellung von gemeinsamen Gruppen eventuell notwendig.
Wie in der Einleitung bereits erwähnt, sind Gruppen logische Konstruktionen, welche dazu benutzt werden können, Accounts für spezielle Zwecke in Cluster zu verpacken.
Wenn Benutzer innerhalb eines Unternehmens verwaltet werden, ist es ratsam festzulegen, auf welche Daten von gewissen Abteilungen zugegriffen werden kann, auf welche Daten von anderen nicht zugegriffen werden sollte und welche Daten von allen benutzt werden sollten. Dies genauestens festzulegen ist höchsthilfreich in der Erstellung einer passenden Gruppenstruktur, gemeinsam mit den entsprechenden Rechten auf die gemeinsamen Daten.
Nehmen Sie zum Beispiel an, dass die Abteilung zur Einbringung von Außenständen eine Liste aller Konten führen muss, welche rückständig in deren Zahlungen sind. Diese müssen jene Liste auch gemeinsam mit der Inkassoabteilung benutzen können. Wenn beide Abteilungen zu Mitgliedern einer Gruppe genannt Accounts gemacht werden, so kann diese Information in einem gemeinsamen Verzeichnis abgelegt werden (welches der Accounts-Gruppe angehört), welches eine Gruppen-Lese-/Schreibberechtigung auf dieses Verzeichnis besitzt.
Einige der Herausforderungen, mit denen Systemadministratoren bei der Erstellung von gemeinsamen Gruppen konfrontiert sind:
Welche Gruppen sind zu erstellen
Wer wird einer bestimmten Gruppe zugeordnet
Welche Art von Berechtigungen sollten diese gemeinsamen Ressourcen besitzen
Eine vernünftige Vorgehensweise ist dabei von Nutzen. Eine Möglichkeit ist das Widerspiegeln der Unternehmensstruktur bei der Erstellung von Gruppen. Zum Beispiel, wenn es eine Finanzabteilung gibt, erstellen Sie ein Gruppe genannt Finanzen und machen alle Mitglieder dieser Abteilung zu Mitgliedern dieser Gruppe. Sollten die Finanzinformationen zu heikel für den Einblick durch das gesamte Unternehmen, jedoch von höchster Wichtigkeit für Vorgesetzte innerhalb der Organisation sein, so erteilen Sie allen Vorgesetzen Gruppen-Level-Berechtigungen auf alle Verzeichnisse und Daten zuzugreifen, welche von der Finanzabteilung genutzt werden, indem Sie alle Vorgesetzten zur Finanz-Gruppe hinzufügen.
Es hat sich auch bewährt auf Nummer sicher zu gehen, wenn gewisse Berechtigungen an Benutzer vergeben werden. Auf diesem Weg ist es höchst unwahrscheinlich, dass heikle Informationen in die falschen Hände geraten.
Durch diese Vorgehensweise bei der Erstellung der Gruppenstruktur in Ihrem Unternehmen kann der Bedarf nach Zugriff auf gemeinsame Daten innerhalb des Unternehmens sicher und effektiv gedeckt werden.
Wann immer Daten von verschiedenen Benutzern gemeinsam benutzt werden, ist es üblich einen zentralen Server (oder eine Gruppe von Servern) zu benutzen, welcher bestimmte Verzeichnisse für andere Rechner im Netzwerk zugänglich macht. Auf diese Art werden Daten an einem Ort gespeichert. Die Synchronisation von Daten zwischen mehreren Rechnern wird dadurch hinfällig.
Bevor Sie dementsprechend vorgehen, müssen Sie zuallererst festlegen, welche Systeme Zugriff auf die zentral gespeicherten Daten haben sollen. Dabei sollten Sie Notizen von den Betriebssystemen machen, die von den jeweiligen Systemen benutzt werden. Diese Information hat Einfluss auf Ihre Fähigkeit eine solche Vorgehensweise zu implementieren, da Ihr Speicherserver die Fähigkeit besitzen muss, dessen Daten an jedes einzelne Betriebssystem in Ihrem Unternehmen weitergeben zu können.
Unglücklicherweise können Konflikte bezüglich Datei-Eigentum auftreten, sobald Daten von mehreren Computern in einem Netzwerk gemeinsam benutzt werden.
Es hat Vorteile, wenn Daten zentral gespeichert werden und auf diese von verschiedenen Rechnern im Netwerk zugegriffen werden kann. Stellen Sie sich jedoch für einen Moment vor, dass jeder dieser Rechner eine logisch-verwaltete Liste von Benutzer-Accounts besitzt. Was passiert, wenn die Liste der Benutzer auf jedem dieser Systeme nicht einheitlich mit der Liste von Benutzern auf dem zentralen Server ist? Oder sogar noch schlimmer: Was wäre wenn die Liste von Benutzern auf jedem einzelnen dieser Systeme nicht einmal miteinander übereinstimmen?
Vieles hängt davon ab, wie Benutzer und Zugriffsrechte in jedem System implementiert sind. In einigen Fällen ist es jedoch möglich, dass Benutzer A eines Systems eigentlich als Benutzer B auf einem anderen System bekannt ist. Dies kann zu einem richtigen Problem werden, wenn Daten innerhalb dieser Systeme gemeinsam benutzt werden. Daten, auf die von Benutzer A zugegriffen werden kann, können plötzlich ebenso von Benutzer B von einem anderen Systemgelesen werden.
Aus diesem Grund benutzen viele Unternehmen eine Art Benutzerdatenbank. Dies garantiert, dass Benutzerlisten sich auf verschiedenen Systemen nicht überschneiden.
Ein weiteres Problem, mit dem sich Systemadministratoren auseinandersetzen müssen, ist die Frage, ob Benutzer zentral gespeicherte Heimverzeichnisse besitzen sollten.
Der hauptsächliche Vorteil zentralisierter Heimverzeichnisse auf einem netzwerkverbundenen Server liegt darin, dass ein Benutzer von jedem Rechner im Netzwerk aus auf seine Dateien in seinem Heimverzeichnis zugreifen kann.
Der Nachteil ist derjenige, dass wenn das Netzwerk ausfällt, sämtliche Benutzer nicht mehr auf deren Heimverzeichnisse und somit auf deren Dateien zugreifen können. In manchen Situationen (wie z.B. in Unternehmen, die vornehmlich Laptops verwenden) ist es nicht wünschenswert zentralisierte Heimverzeichnisse zu besitzen. Wenn es jedoch für Ihr Unternehmen sinnvoll erscheint, so kann der Einsatz von zentralisierten Heimverzeichnissen das Leben eines Systemadministrators um ein Vielfaches vereinfachen.
Die vorsichtige Organisation von Gruppen und Zuteilung von Berechtigungen für gemeinsame Ressourcen ist eines der wichtigsten Aufgaben eines Systemadministrators, um den Missbrauch von Ressourcen innerhalb eines Unternehmens zu verhindern. Auf diese Art wird denjenigen der Zugang zu heiklen Ressourcen verweigert, die keinen Zugang dazu haben sollten.
Ganz egal wie Ihr Unternehmen diese Dinge angeht, der beste Schutz gegen den Missbrauch von Ressourcen ist immer noch fortwährende Wachsamkeit auf Seiten des Systemadministrators. Ihre Augen immer offen zu halten, ist oft der einzige Weg eine unangenehme Überraschung zu vermeiden.
| Zurück | Zum Anfang | Nach vorne |
| Verwalten von Benutzer-Accounts und Ressourcen-Zugang | Nach oben | Red Hat Enterprise Linux-Spezifische Informationen |