Apple OS X Server: Hvordan administrere brukere og grupper

Kunden er en av Apples rådende oppdragsgivere, som gjennomsyrer alle aspekter av selskapet - på tvers av alle avdelinger. Hvordan de tenker, jobber, oppfatter, designer og fungerer. Alt dreier seg om brukerne.

Som avdøde Steve Jobs en gang sa: "Teknologi er ingenting. Det som er viktig er at du har en tro på mennesker, at de i utgangspunktet er gode og smarte, og hvis du gir dem verktøy, vil de gjøre fantastiske ting med dem." Denne grunnleggende troen går hånd i hånd med brukere og grupper av brukere i et Open Directory-nettverk. I hovedsak eksisterer nettverket for at sluttbrukere skal få tilgang til ressurser og produsere ting, så jeg følte det som relevant å gjøre brukerstyring i fokus for neste artikkel i denne serien. Så langt har vi dekket: Hvordan konfigurere Apple OS X Server.

Som standard er det ingen nettverkskontoer opprettet under Open Directory-konfigurasjonsprosessen, bare "diradmin" -kontoen for å administrere OD. Hvis du vil opprette en konto, klikker du på "+" -tegnet for å få frem New User * -skjermen og fyller ut de aktuelle feltene, og klikker deretter "ferdig" når du er fullført:

Gjenta trinn 3 til delen brukerkontoer er fullstendig befolket med alle ønskede bruker- og tjenestenivåkontoer:

* Merk : Det er fire typer kontoer som kan opprettes gjennom ruten Brukere:

  • Brukerkonto
  • Brukerkonto med administrativ tilgang
  • Servicekonto
  • Servicekonto med administrativ tilgang

Forskjellen mellom en bruker- og tjenestekonto ligger primært i å kunne logge på lokalt til noden. Tjenestekontoer beholder ikke en brukerprofilkatalog siden de hovedsakelig brukes til å starte tjenester (og / eller applikasjoner) med et spesifikt tilgangsnivå, vanligvis administrativt. En tjenestekonto vil bli brukt for å gi brukere tilgang til FTP- eller e-posttjenester, uten faktisk å overlate administratorens legitimasjon eller aktivere administratorrettigheter for sluttbrukerkontoen. Dette gir den spesifikke tjenesten eller appen tilgangen den krever for å kjøre innenfor konteksten av tjenestekontoen - men klarer likevel å holde et øye med sikkerheten ved å minimere antall brukere som kjører rundt med administrative rettigheter til nettverket.

Administrer brukerinnstillinger individuelt kontra globalt

En vesentlig del av brukerstyring er delen "management". Siden sluttbrukere er tilbøyelige til å glemme passord (eller noen ganger holde på dem lenger enn de burde), er det ikke et spørsmål om "hvis", men "når", vil du bli bedt om å endre en brukerkonto.

For de fleste endringer som skjer individuelt, for eksempel et glemt passord eller en navneendring, kan du bare gå til rullegardinmenyen Rediger ved å klikke på tannhjulet for å gjøre disse endringene:

Utheving av en brukerkonto og valg av Rediger bruker… fra menyen vil gi tilgang til å endre fullt navn, e-postadresse, avmerkingsbokser som kontrollerer administratorrettigheter, tilgang til innlogging, begrense diskplass (eller kvote), og til slutt, legge til / fjerne medlemskap til brukersikkerhetsgrupper:

Deretter lar valget Rediger tilgang til tjenester ... administratoren spesifikt velge og velge hvilke tjenester en sluttbruker vil få lov til å bruke. Som standard gis brukerkontoer tilgang til alle tjenester, men tilgang kan likevel oppheves like enkelt som å fjerne merket i avkrysningsruten ved siden av tjenesten og klikke OK når du er ferdig. Dette omtales ofte som scoping, da tilgangen er begrenset ut fra kontoens behov. (For eksempel begrense tilgangen til en e-posttjenestekonto til bare e-posttjenesten. Hvis kontoen skulle bli kompromittert, vil tilgang bare tillate endringer i e-posttjenesten - alle andre tjenester vil ikke bli tillatt fra endring.)

Den neste oppføringen på listen er Rediger postalternativer ... Denne innstillingen tillater bare to endringer: Angi om e-post skal lagres lokalt eller videresendes og begrense meldingslagring (i MB).

De fleste burde være kjent med følgende menypost, Reset Password ... Denne er ganske grei tverrplattform - fra Apple til Microsoft til Linux til omtrent ethvert OS! Du oppgir det nye passordet i feltet Nytt passord og igjen i Bekreft-feltet. For ytterligere sikkerhet på vegne av sluttbrukere, hvis du sjekker avkrysningsruten for å kreve endring av passord ved neste innlogging, vil brukeren kunne velge sitt eget passord etter den påfølgende vellykkede påloggingen, etter den første tilbakestillingen av passord.

Men hva skjer når det er 100- eller 1000-brukere som trenger tilbakestilling av passord? Eller hvordan kan jeg kontrollere hvilke passord brukere har valgt, så brukerne mine på administrasjonsnivå ikke har lett for å gjette "passord" som passord? To ord: Globale innstillinger.

Tittelen på denne delen - individuelle kontra globale innstillinger - er en indikasjon på dette dilemmaet. Som nettverks- / systemadministrator er målet å gjøre mer med mindre. Å vite å balansere arbeidsmengden i motsetning til tiden det tar å utføre oppgaven, tilsvarer å jobbe smartere, ikke vanskeligere (mitt personlige motto). Og som sådan, sette opp en passordpolicy med karakterkrav, tidligere passordhistorikk. og tidsbestemte tilbakestillingssykluser er bare noen få av endringene som kan gjøres fra Rediger global passordpolicy ... -menyen. Dette er langt på vei ikke en størrelse som passer til alle grupper av innstillinger, så vær lett på trinn og vær oppmerksom på sikkerhet og beste praksis, så vel som for enhver virksomhets eller foretaks policy. (Figur K)

Opprette brukersikkerhetsgrupper

  1. På samme måte som å opprette en brukerkonto ovenfor, kan du starte Server.app fra applikasjonsmappen og autentisere når du blir bedt om å gjøre det.
  2. Velg konfigurasjonsruten "Grupper".
  3. Som standard er det en nettverksgruppe opprettet under Open Directory-konfigurasjonsprosessen - Arbeidsgrupper - for å administrere fildelingsinnstillinger i OD. For å opprette en konto, klikk på "+" -tegnet for å få frem den nye gruppen-skjermen og fylle ut de aktuelle feltene, og klikk deretter Fullført når du er fullført:
  4. Gjenta trinn 3 til brukergruppenes seksjon er fullstendig befolket med alle ønskede sikkerhetsgrupper.

Behandle brukersikkerhetsgrupper

I likhet med delen for administrering av brukerkontoer ovenfor, er ikke teori å administrere sikkerhetsgrupper. Men siden grupper fungerer som containere for forskjellige brukerkontoer, endrer dette dynamikken i utførelsen og blir i kraft igjen individuelle kontra globale innstillinger.

Menyelementet Rediger gruppe… gir mulighet for endringer i Fullt navn, samt medlemskap av brukere til den spesifikt valgte gruppen. Men legger også til kroker i andre nettverkstjenester, for eksempel: muligheten til å opprette en delt mappe for gruppemedlemmer (Fildeling), lage medlemmer meldingskompiser (Meldinger), aktivere en gruppepostliste (E-post) og til slutt, opprette en gruppe -basert webside for samarbeid (Wiki). (Figur O)

Deretter er Edit Access to Services ... det endelige utvalget som er tilgjengelig, men det er uten tvil det kraftigste for en administrator. Dette menyelementet gir tilgang (eller ikke tillater tilgang ** ) til OS X Server-tjenester, basert på medlemskap til den fremhevede sikkerhetsgruppen. Dette gir administratoren muligheten til å administrere mange brukere (og deres respektive tilgang) med noen få gjennomtenkte sikkerhetsgrupper.

** Merk : I motsetning til brukerkontoer, som har alle tjenester som standard aktivert på grunn av sitt automatiske medlemskap i sikkerhetsgruppen "Workgroup"; Nyopprettede grupper har ikke tilgang til alle tjenester som standard. Dette betyr at man manuelt må redigere tjenestene hver gruppe skal ha tilgang til ved eksplisitt å krysse av for.

Selv om dagene med jern-fisted nettverksadministrasjon ikke er helt over, har mange styringsmetoder i mange bedrifter truffet flere økonomiske, etiske og ansvarsmurer med introduksjonen av fremtidsrettet teknologi, for eksempel: BYOD og virtualisering, blandet inn med "i utgangspunktet gode og smarte", teknisk erfarne brukere. Landskapet skifter mindre til å styre mennesker og mer til å styre forventninger, kontrollere miljøer og sikre at sluttbrukeren har det han / hun trenger for å få jobben gjort. Tross alt, er det ikke det infusjonen av teknologi var å bringe, et liv der vi kunne utnytte datamaskinen til å utføre "tunge løft" for oss?

© Copyright 2021 | pepebotifarra.com