Home

Tivoli SecureWay User Administration Management Handbuch

Contents

1. Endpunktart Option wsetusr Werte GUI Anzeige GUI Eingabeauf forderung Net Ware CW AKTIVIERT NetWare Kenn nderung durch INAKTIVIERT wort Benutzer zulassen Windows NT ct AKTIVIERT NT Kennwort nderung durch INAKTIVIERT Benutzer zulassen UNIX 0 AKTIVIERT UNIX Kenn Benutzersteuerung INAKTIVIERT wort Administrators teuerung Von den Endpunktarten die Tivoli SecureWay User Administration unter Verwendung von AEF hinzugef gt wurden unterst tzen nur OS 2 und Windows 2000 die alleinige Kennwortsteuerung durch den Administrator Endpunktart Option wsetusr Werte GUI Anzeige GUI Eingabe aufforderung OS 2 x os2_password_ Ja Nein OS 2 Konto nderung durch admin_only Benutzer zulas sen Windows x w2k_uf_ password_ AKTIVIERT Windows nderung durch 2000 cant_change INAKTIVIERT 2000 Kenn Benutzer nicht wort zulassen Tivoli SecureWay User Administration Management Handbuch Bunyema9aAuOMUUDY E Kennwortqualit tsregeln Kennwortqualit tsregeln 92 Die Kennwortqualit tsregeln die von Tivoli SecureWay Security Manager sowohl f r globale als auch endpunktartspezifische System richtlinien unterst tzt werden k nnen ber die Befehle wpasswd und wsetusr auf dem Server angewendet werden Die Durchsetzung der Qualit tsregeln wird f r einen bestimmten Benutzerdatensatz aktiviert indem eine Verbindung zwischen diesem Datensatz und einem Systemrichtlinie
2. 2 Geben Sie die Informationen zur Postadresse des Benutzers ein Informationen zu Subskribenten Mit der Subskribentenoption k nnen Sie die Endpunkte ausw hlen denen ein Benutzerdatensatz zugeordnet wird Bei diesen Subskri benten kann es sich um Windows NT Dom nenserver Windows 2000 Serverendpunkte Novell NetWare NDS Serverendpunkte UNIX verwaltete Knoten und Endpunkte NIS Dom nen und andere verwaltete Knoten bzw andere Profilmanager handeln Bei der Ver teilung eines Profils sendet Tivoli SecureWay User Administration dieses an jeden Profilendpunkt Anschlie end legt die Anwendung auf Datensatzebene fest welche Datens tze den jeweiligen Profil endpunkten zugeordnet werden Diese Option bietet Ihnen mehr Fle xibilit t wenn Sie ein Profil verteilen Weitere Informationen finden Sie unter e verteile eite Diese Einrichtung f r Subskriptionen auf Datensatzebene in Tivoli SecureWay User Administration basiert auf den Management Frame work Einrichtungen f r die Profilmanagersubskription und die Profil verteilung Die grunds tzliche Funktionsweise dieser Management Framework Einrichtungen wird von Subskriptionen auf Datensatz ebene nicht beeinflusst Bei der Verteilung eines Profils an alle Ebe Tivoli SecureWay User Administration Management Handbuch 161 ugjla s a 9zjesusjep szinuag 9 Allgemeine Informationen zu Benutzerkonten 162 nen wird dieses daher an jeden Subskribenten gesendet der de
3. Gruppenprofilmerkmale BIsE Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin fin hor p Ya daemon daemon 110 p Ja db db 09 D pa Ip Ip 109 p a Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe esiteren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen 3 z 2 W hlen Sie im Men Ansicht nacheinander Sortieren gt Grup pen aus um den Dialog Datens tze sortieren anzuzeigen 9 Datens tze sortieren ioj x Konfigurationsprofil Rechenzentrum in Profilmanager admin Sortieren nach Kennsatzfeld Anzahl der Benutzer Benutzer Gruppen ID Gruppenname Anzahl der Benutzer Kommentar Subskribent kann editieren Subskribent kann editieren C Absteigend sortieren Aufsteigend sortieren Sortieren und schlie en 3 W hlen Sie in der Liste Sortieren nach das Attribut aus nach dem sortiert werden soll Die Datens tze werden nach dem Attri but sortiert das Sie in der Liste Sortieren nach ausw hlen Tivoli SecureWay User Administration Management Handbuch 331 U JJEMI A z esu jepu ddn 9 e Gruppendatens tze sortieren 4 W hlen Sie das Attribut aus dessen Kennung in der linken Spalte des Fensters Gruppenprofilmerk
4. Profimanager Detten ren Arsch Cie Hilfe cp ee ZE EEN dia zogen vet Pone Pone fg u 4 1 j 4o1d1 z Nnu g e Maretng_i Marketing 2 Verkauft Veikaut 2 Hui as e Zange iin n Eier Hie Boere Eeen asn Easten He ei oe FM zeen Sen dia Zoe Test Deseni Dez per mu ti Proflmansger Edkisren Ansicht Eitelen Hir Droen Edtieren Ansicht Doten W SS Pranger Gig ae ea a GC E SS Bienen or P E Ertwiskung 1 Eech 2 Entwicklung 3 Supporti Suppot2 Suspot3 Suppor 4 Profimanouen Boilere Eiteren sch Ei Hr er Profimanager Personal Zum Einrichten von Benutzerprofilen sollten Sie sich mit Profil managern Profilen sowie mit Standardwertegruppen und Richtlinien f r G ltigkeitspr fung auskennen Weitere Informationen finden Sie im Tivoli Management Framework Benutzerhandbuch Tivoli SecureWay User Administration Management Handbuch 121 Benutzerprofile einrichten Benutzerprofile einrichten Ein Benutzerprofil enth lt Benutzerdatens tze die wiederum Benutzerinformationen enthalten Jeder Benutzerdatensatz wird in einem plattformunabh ngigen Format gespeichert das die Verteilung derselben Profildatens tze in einer Umgebung mit mehreren Plattfor men erm glicht Jedes Benutzerprofil enth lt eine Reihe von Standardwertegruppen und Richtlini
5. Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Tivoli SecureWay User Administration Management Handbuch 249 uoyemion 9zjesusjep4szinuag Z Benutzerdatens tze verwalten Arbeitsoberfl che F hren Sie folgende Schritte durch um Benutzerdatens tze zu Kopie ren 1 2 3 250 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie kopieren m chten Weitere Informationen zur Ver wendung der Benutzersuchfunktion finden Sie unter W hlen Sie den zu kopierenden Datensatz aus W hlen Sie Benutzer kopieren im Men Editieren aus um den Dialog Profildatens tze kopieren anzuzeigen ZS Profildatens tze kopieren _Iolx Konfigurationsprofil Benutzer in Profilmanager admin Verf gbare Profilmanager Verf gbare Profile Zielprofile m sm In der Liste Verf gbare Profilmanager werden die Profil manager angezeigt in denen die Profile enthalten sind in die die ausgew hlten Datens tze kopiert werden k nnen Version 3 8 Benutzerdatens tze verwalten 4 W hlen Sie den Profilmanager der die zu kopierenden Profil datens tze enth lt in der Liste Verf gbare Profilmanager aus 5 W hlen Sie in der Liste Verf gbare Profile die Profile aus in die die Datens tze kopiert werden sollen Klicken Sie auf den Rechtspfeil um die Profile in die Liste Zielprofile zu verschie ben 6 Klicken Sie auf
6. 2 Geben Sie im Feld NetWare Anmeldename den NetWare An meldenamen des Benutzers ein Anmerkung NetWare unterst tzt Anmeldenamen mit Leer zeichen Tivoli SecureWay User Administration jedoch nicht Wenn eine NetWare Anmelde ID ein Leerzeichen enth lt muss der Benutzer das Leer zeichen durch ein Unterstreichungszeichen _ ersetzen um sich erfolgreich anmelden zu k nnen F r Konten unter NetWare 4 x und 5 x m ssen Sie den Benutzer kontext im Feld NDS Kontext angeben Der Benutzerkontext ist die Speicherposition des Benutzercontainerobjekts in der Verzeichnisbaumstruktur Wenn beispielsweise Jon Smith im Unternehmensbereich CORPORATE der Abteilung Marketing MARKETING f r das Unternehmen NoonTide NOON t tig ist lautet sein Kontext CORPORATE MARKETING NOON Geben Sie den Benutzerkontext immer von der niedrigsten zur h chsten Verzeichnisebene an Anmerkung Wenn Sie keinen NDS Kontext angeben wird die ser Benutzer nicht erstellt Tivoli SecureWay User Administration Management Handbuch 191 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten Klicken Sie auf NDS Kontext um den Dialog Dienst Browser f r NetWare Verzeichnisse anzuzeigen 3 Dienst Browser f r Netware Verzeichnisse W hlen Sie in der NDS Baustruktur ein Objekt aus NetWare NetWare Knoten Kontexte Aktueller Kontext Ausw hlen und schlie en Ausw hlen a Klicken Sie doppelt au
7. 69 ERROR_TOO_MANY_SESS Die Sitzungsbegrenzung f r das Netz werk BIOS wurde berschritten 70 ERROR_SHARING_PAUSED Gemeinsamer Dateizugriff wurde vor bergehend angehalten 71 ERROR_REQ_NOT_ACCEP Die Netzwerkanforderung wurde abgelehnt 72 ERROR_REDIR_PAUSED Die Druck bzw Datentr gerum leitung wurde vor bergehend angehal ten 87 ERROR_INVALID_PARAMETER Die Parameter sind ung ltig 88 ERROR_NET_WRITE_FAULT In den Netzwerkdaten ist ein Fehler aufgetreten 230 ERROR_BAD_PIPE Hierbei handelt es sich um eine nicht vorhandene Pipe oder eine ung ltige Operation 231 ERROR_PIPE_BUSY Die angegebene Pipe ist ausgelastet 232 ERROR_NO_DATA Bei einem nicht geblockten Lesevor gang k nnen keine Daten gelesen werden 233 ERROR_PIPE_NOT_CONNECTED Der Server hat die Verbindung zur Pipe getrennt 234 ERROR_MORE_DATA Zusatzdaten sind verf gbar 240 ERROR_VC_DISCONNECTED Die Sitzung wurde abgebrochen 2102 NERR_NetNotStarted Der Treiber NETWKSTA SYS f r die Workstation wurde nicht instal liert 2103 NERR_UnknownServer Der Server wurde nicht gefunden Tivoli SecureWay User Administration Management Handbuch 427 usyemion J49z4nuag 2 SO 9 OS 2 Ergebniscodes 428 Fehler Definition Anmerkungen 2104 N
8. Klicken Sie auf die Schaltfl che Sicherheitsprofile laden Dar aufhin wird nach allen verf gbaren Sicherheitsprofilen gesucht Die verf gbaren Sicherheitsprofile werden dann in der ListeSi cherheitsprofile aufgef hrt W hlen Sie ein Sicherheitsprofil in der Liste Sicherheitsprofile aus um in der Liste Verf gbare Gruppen alle Sicherheits gruppen anzuzeigen die dem Profil zugeordnet sind W hlen Sie eine oder mehrere Sicherheitsgruppe n in der Liste Verf gbare Gruppen aus und klicken Sie auf den Rechtspfeil Dadurch werden die ausgew hlten Gruppen in die Liste Ausge w hlte Gruppen verschoben Dieser Benutzerdatensatz wird allen Sicherheitsgruppenlisten in der Liste Ausgew hlte Grup pen zugeordnet Anmerkungen 1 2 Zum Hinzuf gen von Sicherheitsgruppen aus anderen Sicherheitsprofilen wiederholen Sie die Schritte 3 und 4 Sicherheitsgruppen die bereits in der Liste Ausgew hlte Gruppen aufgelistet sind verbleiben dort W hlen Sie zum Entfernen einer oder mehrerer Sicherheits gruppen aus der Liste Ausgew hlte Gruppen die Gruppen aus und klicken Sie auf Entfernen Version 3 8 Allgemeine Informationen zu Benutzerkonten Befehlszeile Im folgenden Beispiel wird ein neuer Benutzerdatensatz hinzugef gt der UNIX und Windows NT Benutzerinformationen enth lt wertusr e 5359 dp Marketing N fn jon In smith E f olympus usr template H rushmore h users jsmith S olympus Noon marketing j
9. Tivoli SecureWay User Administration for AS 400 Gate way Package Version 3 8 darf nur auf Maschinen installiert werden auf denen Tivoli SecureWay User Administration Gateway Package Version 3 8 installiert ist Klicken Sie auf Installieren und schlie en wenn nur ein Pro dukt installiert werden soll Sollen mehrere Produkte installiert werden klicken Sie auf Installieren um in den Dialog Produkt installieren zur ckzukehren Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben Klicken Sie auf Schlie en um den Dialog zu schlie en Tivoli SecureWay User Administration ist nun auf den ausgew hlten verwalteten Knoten installiert Tivoli SecureWay User Administration Management Handbuch 63 us4a jjelsu Z AS 400 Pakete installieren 64 Befehlszeile Im folgenden Beispiel wird das Tivoli SecureWay User Administra
10. UserProfile firestorm Gibt den Namen des Profils an f r das eine Richtlinie gesetzt werden soll gid Gibt das Attribut an f r das eine Richtlinie gesetzt wird Informationen zum Editieren der Richtlinien f r G ltigkeitspr fung von Benutzern mit Hilfe der Befehlszeile finden Sie in der Beschrei bung der Befehle wgetpolm wputpolm und wlspolm im Handbuch Tivoli Framework Reference Manual Tivoli SecureWay User Administration Management Handbuch 143 UauuOuuIg a lJo d az nuag e Benutzerprofile einrichten 144 Benutzerprofile verwalten Sobald Sie die Benutzerprofile erstellt und die Standardwertegruppen und Richtlinien f r G ltigkeitspr fung festgelegt haben m ssen Sie die Benutzerdatens tze hinzuf gen Eine M glichkeit wie Sie Benutzerdatens tze schnell hinzuf gen besteht darin von den Subs kribenten aus Benutzerinformationen an das Benutzerprofil weiterzu geben Eine weitere Task die Sie ausf hren m ssen ist das Festle gen der Standardwerte f r die Verteilung des Profils Daten an Benutzerprofile weitergeben Sobald Sie die Benutzerprofile erstellt und die Standardwertegruppen und Richtlinien f r G ltigkeitspr fung festgelegt haben k nnen Sie vorhandene Benutzerkontoinformationen an die Benutzerprofile wei tergeben d h k nnen Sie Benutzerprofile mit Benutzerkontoinfor mationen f llen Durch die Datenweitergabe werden Benutzerinfor mationen von den angegebenen Endpunkten in die Benutz
11. 402 Version 3 8 OS 2 Benutzer verwalten Tivoli SecureWay User Administration for OS 2 Kann zusammen mit Tivoli SecureWay User Administration Version 3 8 in Unternehmens netzwerken f r die Verwaltung von Benutzerkonten und Benutzer kennw rtern eingesetzt werden In Unternehmen in denen mit ver schiedenen Betriebssystemen und Anwendungsprogrammen gear beitet wird erm glicht dieses Produkt ber die Verwendung von Benutzerprofilen eine zentrale Verwaltung von Benutzerinfor mationen In diesem Kapitel werden Attribute f r OS 2 sowie einige besondere Funktionen von Tivoli SecureWay User Administration for OS 2 auf OS 2 Endpunkten erl utert Vorteile einer Verwaltung von OS 2 Benutzerkonten ber Tivoli Momentan m ssen Administratoren f r die Verwaltung von OS 2 Benutzerkonten an einem OS 2 System angemeldet sein Dadurch k nnen nur die diesem System zugeordneten Benutzerkonten verwal tet werden Dar ber hinaus muss der Systemadministrator ber gr ndliche Kenntnisse in Bezug auf die Verwaltung von OS 2 Benutzerkonten verf gen Nach der Installation von Tivoli SecureWay User Administration for OS 2 auf die vorhandene Installation von Tivoli SecureWay User Administration k nnen Sie UNIX Windows NT NetWare und OS 2 Benutzerkonten zentral verwalten Damit wird die Zahl der Tivoli SecureWay User Administration Management Handbuch 403 usyemion J49z1nuag 2 SO 9 Vorteile einer Verwaltung von OS 2 Benutzerkonten
12. D Allgemein Alle D LDAP 7 03400 T PolieyDirector D RACF C UNK O W2K T Desktop MT Oracle8 bergeben L schen Abbrechen Hilfe al IBM Configur AT for Usera S Eingabeauft R TME Arbeits 4 W hlen Sie aus welche Kennwortart ge ndert werden soll 5 Klicken Sie auf bergeben Als Administrator OnePassword verwenden Als Administrator k nnen Sie ber die OnePassword Website die Kennw rter von Benutzern ndern In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Als Administrator OnePassword verwenden TMR admin Admin_Mod_Password Tivoli SecureWay User Administration Management Handbuch 115 Bunyema9aAuOMUUDY E OnePassword F hren Sie folgende Schritte aus um ber OnePassword Benutzer kennw rter zu ndern 1 116 ffnen Sie die Seite http HTTP Server OnePassword html HTTP Server steht dabei f r die URL des Webservers der auf dem TMR Server ausgef hrt wird ZA D BM HTTP Server htdocs OnePassword himl Microsoft Internet Explorer Ee Edt Yew Dote Tool Help D EE a2 a8 3 32 28 Beck Eegen Stop Refresh Home Search Favores History Mail Print Edit Discuss Address p uM HTTP Serverihtdocs OnePassword hiri 60 ltnks RH Tivoli OnePassword Geben Sie Ihren Benutzer
13. Mit diesem Befehl wird f r alle neu im Profil developers erstell ten Datens tze der Standardwert im Feld badge auf 00000 gesetzt Sie haben nun ein Benutzerprofil developers mit den zwei Tivoli AEF Attributen ssn und badge und einem Anfangs wert sowie einem Standardwert innerhalb der Standardwerte gruppe Wenn Sie das Benutzerprofil developers ffnen k nnen Sie die neue Spalte in der Tabelle sehen Profildialog ndern Nachdem Sie die neuen Attribute hinzugef gt haben m ssen Sie die grafische Benutzerschnittstelle ndern um diese Felder den Benut zern anzuzeigen Gehen Sie wie folgt vor 1 Erstellen Sie die DSL Datei in der die Anzeige definiert wird die der neuen Unterkategorie zugeordnet ist Um beispielsweise die Datei tmp Security dsl zu erstellen m ssen Sie Folgendes eingeben Partial Dialog Group Name Security Title Security TitlePos TOP Border YES ChildColumnAlignment STRETCH ChildRowAlignment STRETCH Visible NO Version 3 8 Beispiel einer Dialoganpassung GridVertical 0 GridHorizontal 0 Group Name SecurityContainerGroup Layout VERTICAL ChildColumnAlignment LEFT ChildRowAlignment STRETCH Text Name ssn Title Social Security Number TitlePos TOP ChildColumnAlignment LEFT ChildRowAlignment CENTER Text Name badge Title Badge TitlePos TOP ChildColumnAlignment LEFT ChildRowAlignment CENTER Secur
14. Wenn sich Benutzer am System anmelden m ssen sie die Tasten kombination Strg Alt Entf verwenden um den Dialog Anmelde informationen anzuzeigen Der Benutzer muss dann einen Benut zernamen und ein Kennwort eingeben und entscheiden ob er sich lokal oder an der Dom ne anmelden m chte Das System berpr ft zun chst im globalen Katalog bzw in der Active Directory Datenbank wenn der globale Katalog nicht aktiv ist ob der Benutzer vorhanden ist und ob ein g ltiges Kennwort eingegeben wurde Benutzer k nnen f r die Anmeldung einen der drei folgenden Namen verwenden m Den normalen Verzeichnisnamen bzw allgemeinen Namen Dies ist der allgemeine Name der f r ein Windows 2000 Konto verwendet wird m Den SAM Kontonamen Dies ist ein eindeutiger Anmeldename der zur Unterst tzung von Clients und Servern aus Betriebssyste men vor Windows 2000 verwendet wird wenn die Richtlinien Anmeldungen von Systemen vor Windows 2000 erm glichen m Den Namen des Benutzer Principals bzw Benutzeranmelden amen Dies ist ein Anmeldename f r Benutzer der Anmelden amen im Internet hnlich ist optional definiert und eindeutig in der Dom ne Benutzer und Gruppen Benutzer und Gruppen sind Windows 2000 Active Directory Ob jekte Jedes Active Directory Objekt ist eine bestimmte benannte Attributgruppe die f r etwas Konkretes wie beispielsweise einen Benutzer einen Drucker oder eine Anwendung steht Die Attribute enthalten Info
15. er als oder gleich Null ist PwMinAge NTPwMinAge UXPwMinAge OS2PwMinAge Gibt die Mindestanzahl an Tagen an die vergehen m ssen bevor der Benutzer das Kennwort ndern kann G ltige Werte sind Now d h der Benutzer kann das Kennwort jederzeit ndern oder jede ganze Zahl die gr er als Null ist PwMinAlphanums UXPwMinAlphanums Gibt die Mindestanzahl an alphanumerischen Zeichen a z A Z 0 9 an die im Kennwort vorkommen m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist PwMinAlphas UXPwMinAlphas Gibt die Mindestanzahl an alphabetischen Zeichen a z A Z an die im Kennwort vorkommen m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist Tivoli SecureWay User Administration Management Handbuch 95 Bunyema9aAuOMUUDY E Kennwortqualit tsregeln 96 PwMinDiff Gibt die Mindestanzahl an Zeichen im neuen Kennwort an die sich von den Zeichen des alten Kennworts unterscheiden m ssen G ltige Werte sind 0 bis 65535 Der Standardwert ist 2 Beachten Sie dass die Durchsetzung dieser Qualit ts regel mit dem Befehl wpasswd nicht immer m glich ist Wenn der Benutzerdatensatz von einem Endpunkt aus weiter gegeben wurde ist das alte Kennwort m glicherweise nicht verf gbar bzw UNIX verschl sselt PwMinLen NTPwMinLen UXPwMinLen OS4PwMinlen OS2PwMinLen Gibt die Mindestanzahl an Zeichen an die im Kennwort vor komme
16. has fewer than 1 numeric characters has fewer than 1 special characters has fewer than 1 upper case characters Your password will fail the LDAP quality rules if in its first 255 characters it has a character repeated more than 2 times has fewer than 1 alphanumeric characters has fewer than 5 characters has fewer than 1 lower case characters has fewer than 1 numeric characters has fewer than 1 special characters has fewer than 1 upper case characters Your password will fail the NT quality rules if in its first 14 characters it has a character repeated more than 2 times has fewer than 1 alphanumeric characters has fewer than 5 characters has fewer than 1 lower case characters has fewer than 1 numeric characters has fewer than 1 special characters has fewer than 1 upper case characters Anmerkungen 1 Wiederholen Sie zum Hinzuf gen von Sicherheitsrichtlinienda tens tzen aus anderen Sicherheitsprofilen die Schritte 3 und 4 Sicherheitsrichtliniendatens tze die bereits in der Liste Ausge w hlte Systemrichtliniendatens tze aufgelistet sind verbleiben dort 2 W hlen Sie zum Entfernen einer oder mehrerer Sicherheits gruppen aus der Liste Ausgew hlte Systemrichtliniendatens tze die zu entfernenden Systemrichtliniendatens tze aus und klicken Sie auf Entfernen Remove Befehlszeile Im folgenden Beispiel wird ein neuer Benutzerdatensatz hinzugef gt dem ein ausgew hl
17. tion erst nach Verteilung des Profils erstellt Au erdem beeinflussen die Art des Basisverzeichnisses und die Art der Verteilung den Zeit punkt der Erstellung des Basisverzeichnisses Wenn Sie einen Benutzerdatensatz mit der ausgew hlten Basis verzeichnisart Lokal an Host an einen anderen Profilmanager kei nen Endpunkt verteilen wird Tivoli SecureWay User Administration dieses Verzeichnis nicht erstellen Tivoli SecureWay User Administration Management Handbuch 215 z esu ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten Wenn Sie diesen Datensatz an den Endpunkt verteilen wird das Basisverzeichnis erstellt nachdem das Benutzerkonto der Datei ete passwd hinzugef gt wurde Wenn Sie einen Benutzerdatensatz mit der ausgew hlten Basis verzeichnisart Fern angeh ngt an einen anderen Profilmanager kei nen Endpunkt verteilen erstellt Tivoli SecureWay User Administra tion das neue Basisverzeichnis f gt allerdings den Benutzer nicht der Datei ete passwd hinzu Wenn Sie diesen Datensatz an den End punkt verteilen wird der Benutzer der Datei ete passwd hinzuge f gt Wenn das Basisverzeichnis das dem Benutzerkonto zugeordnet ist nicht bereits bei einer Verteilung auf der n chsten Ebene erstellt wurde wird es automatisch von Tivoli SecureWay User Administra tion erstellt Die Standardzugriffsrechte eines UNIX Basisverzeichnisses das von Tivoli SecureWay User Administration erstellt wurde lauten
18. Arbeitsoberfl che F hren Sie folgende Schritte aus um Benutzerdatens tze zu ver schieben 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie verschieben m chten Weitere Informationen zur Ver wendung der Benutzersuchfunktion finden Sie unter 2 W hlen Sie die zu verschiebenden Datens tze aus 3 W hlen Sie Datens tze verschieben im Men Editieren aus um den Dialog Datens tze verschieben fr her Datens tze verset zen anzuzeigen 252 Version 3 8 Benutzerdatens tze verwalten Z Datens tze versetzen Bisi E Konfigurationsprofil Benutzer in Profilmanager admin Verf gbare Profilmanager Verf gbare Profile 4 W hlen Sie den Profilmanager der das Zielprofil enth lt in der Liste Verf gbare Profilmanager aus Tivoli SecureWay User Administration zeigt alle f r diesen Profilmanager verf gbaren Profile in der Liste Verf gbare Profile an 5 W hlen Sie das Zielprofil in der Liste Verf gbare Profile aus 6 Klicken Sie auf Verschieben und schlie en fr her Versetzen und schlie en um den ausgew hlten Benutzerkontodatensatz in das Zielprofil zu verschieben und zum Dialog Benutzerprofil merkmale zur ckzukehren Befehlszeile Im folgenden Beispiel wird ein Benutzerdatensatz aus einem Profil in ein anderes verschoben wmvusr UserProfile region_l UserProfile region_4 Imiles UserProfile region_1 Gibt das Quellenbenutzerprofil an UserPro
19. C Anmerkung Wird in Releases h her als POSIX V3R2 unterst tzt Pfad Ein durch begrenzter Pfad f r die L ndereinstellung O0S400_Loc_CCSID YES Gibt an ob die CCSID der L ndereinstellung NO bernommen werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt 392 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_Loc_DATFMT Gibt an ob das Datumsformat der L nderein stellung verwendet werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO OS400_Loc_DATSEP Gibt an ob das Datumstrennzeichen der L ndereinstellung verwendet werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO OS400_Loc_DECFMT Gibt an ob das Dezimalformat der L nder einstellung verwendet werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO OSA00 Lac NONE Gibt an ob der Wert NONE f r Jobattribute die der L ndereinstellung zugeordnet sind gesetzt wird Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO O0S400_Loc_SRTSEO Gibt an ob die Sortierfolge der L nderein stellung verwendet werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO OS400_Loc_SYSVAL Gibt an ob der Wert SYSVAL f r Jobattribute die der L ndereinstellung zuge ordnet sind gesetzt
20. Datei Dialog Specification Language einer Tivoli Anzeige nicht unbedingt das gew nschte Resultat In einigen F llen k nnen solche nderungen zu Laufzeit fehlern f hren Informationen zu DSL Dateien finden Sie im Handbuch Tivoli AEF User s Guide Die Dialoge f r die Verwaltung von Benutzern und Gruppen werden in drei Komponenten unterteilt Kategorien Unterkategorien und Anzeigen Kategorien der Benutzer und Gruppenverwaltung Benutzerattribute werden in Kategorien unterteilt Die Kategorien decken die folgenden Hauptthemen der Benutzerinformationen ab Allgemeine Benutzerinformationen General UNIX Benutzerinformationen UNIX Windows NT Benutzerinformationen Windows NT NetWare Benutzerinformationen NetWare Mit dem Befehl wertusrcat k nnen Sie neue Kategorien erstellen Mit diesem Befehl k nnen Sie angepasste Kategorien erstellen die Ihren Anforderungen gen gen Tivoli SecureWay User Administration Management Handbuch 347 uassedue Aem93AN99S IJOAIL LL Anpassungsstrategie Unterkategorien der Benutzer und Gruppen verwaltung Jedes Hauptthema der Benutzerinformationen enth lt mehrere Grup pen von zusammengeh rigen Attributen oder Unterkategorien Die folgenden Beispiele von Unterkategorien werden momentan in Tivoli SecureWay User Administration unterst tzt m Allgemeine Informationen zur Benutzeridentifikation Kennung Informationen zur Windows NT Anmeldung Windows NT An meldung m Inform
21. Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um einen Benutzerdatensatz zu editieren 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie l schen m chten Weitere Informationen zur Verwen dung der Benutzersuchfunktion finden Sie unter 232 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze 2 Klicken Sie doppelt auf einen Benutzerdatensatz um den Dialog Benutzermerkmale anzuzeigen I Benutzermerkmale Benutzerprofil Benutzer Datensatz f r userid1 editieren Proflmanager admin Kategorie an 7 Benutzername Allgemeine Anmeldung Allgemeines Kennwort URIX Anneldung UNIX Renmwort ZZ un x verzeichnis IUNIX E Heil Vomame __ standert H IrT Anneldung f Ger Nacnname Jee H IT Kennvort VE er a Generationsangabe HT Workstations Initialen e Netirere Anneldung L Joe S Hetifere Anneldezeit Hetfare Verzeichnis en gem mm Netfare Gruppenzugeh rigkeit 7 etsrare Sicherheit SECH F ei gt B Festiegen und schlie en Festiegen Standardeinstellungen generieren Zur cksetzen Schie en Hire 3 Editieren Sie die Informationen des Benutzerkontos f r diesen Benutzerdatensatz den Sie unter AU IE 60 Seite 190 und ke21d 4 Klicken Sie auf Festlegen und sc
22. gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Fenster Benutzerprofil Benutzerprofil user merkmale aktualisieren Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um das Fenster Benutzerprofil merkmale zu aktualisieren 256 Version 3 8 Benutzerdatens tze verwalten 1 Klicken Sie doppelt auf ein Benutzerprofil um das Fenster Benutzerprofilmerkmale anzuzeigen Benutzerprofilmerkmale _IoIx Profil Editieren Ansicht Hilfe Benutzerprofil Benutzer Kennung festiegen Subskriptionspfad Jadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX iapprich lapprich kinde userid eer nie uzeller uzeller binse wfriesch wfriesch H Benutzer hinzur gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi H 2 W hlen Sie Aktualisieren im Men Profil aus um das Fenster Benutzerprofilmerkmale zu aktualisieren Benutzerdatens tze mit der Tivoli Datenbank synchro nisieren Wenn die Systemkonfigurationsdateien direkt editiert werden stimmt das Profil nicht mehr mit den Systemdateien berein f r die es die Informationen bereitstellt Das Synchronisieren des P
23. igen Abst nden ihre Tasks aus Datenbankmodus des Profilmanagers Siehe Profilmanager Datenloser Modus des Profilmanagers Siehe Profilmanager Endpunkt In einer Tivoli Umgebung ein Tivoli Client der letztendlich der Empf nger einer Tivoli Operation ist In einer Tivoli Umgebung ein Tivoli Dienst der auf mehreren Betriebssystemen aktiv ist und auf diesen Systemen Tivoli Operationen ausf hrt die es Tivoli Management Framework erm glichen diese Systeme als Tivoli Clients zu verwal ten Version 3 8 Endpunktliste Eine Liste mit allen Endpunkten in der TMR und die zugeordneten Gateways Diese Liste wird vom Endpunktmanager verwaltet Siehe auch Peiner Endpunktmanager In einer Tivoli Umgebung ein Dienst der auf dem Tivoli Server aktiv ist Gateways und Endpunkte steuert und konfiguriert Endpunkte und Gateways einander zuordnet und die Endpunktliste verwaltet Endpunktmethode In einer Tivoli Umgebung eine Methode die als Ergebnis einer Anforderung von anderen verwalteten Ressourcen in der Tivoli Management Region auf einem End punktclient ausgef hrt wird Die Ergebnisse der Methode werden zuerst an das Gateway und anschlie end an die aufrufende verwaltete Ressource weitergeleitet Ereignis In einer Tivoli Umgebung alle bedeutenden nderungen am Status einer System ressource oder einer Anwendung Auch ein Ereignisbericht wird ebenfalls als Ereig nis bezeichnet Ein Ereignis kann f r ein Problem sowie f r die erfolgrei
24. nistration LDAP Verbindungen Tivoli SecureWay User Administra tion GSO Verbindungen und Tivoli SecureWay User Administration Policy Director Verbindungen So wie Profilmanager und datenlose Profilmanager k nnen Profil endpunkte CCMS Datens tze enthalten Profile k nnen von Profil endpunkten an die Anwendungen auf diesem Endpunkt verteilt wer den Beispiel Benutzerprofile die an einen verwalteten Knoten verteilt wurden k nnen auf dem verwalteten Knoten editiert und dann verteilt werden um die Systemkonfigurationsdateien zu aktuali sieren Der Begriff datenlos bezieht sich auf die Subskribenten des Profilmanagers Die Subskribenten der datenlosen Profilmanager ent halten keine Kopien der Profildatens tze Auf TMA Endpunkten befinden sich keine Objektdatenbanken sie gelten als datenlos Wenn Profilendpunkte datenlosen Profilmanagern als Subskribenten zugeordnet werden wirkt sich dies auf die Verteilung von Daten s tzen aus Wenn ein Profilendpunkt einem datenlosen Profilmanger als Subskribent zugeordnet wurde und ein Profil vom datenlosen Profilmanager an den Profilendpunkt verteilt wird wird die CCMS Datenbank auf dem Profilendpunkt umgangen Beispiel Bei der Ver teilung eines neuen Benutzerprofils von einem datenlosen Profil manager an einen verwalteten Knoten werden die Profildatens tze direkt an den Tivoli SecureWay User Administration Code weiterge geben Es wird keine Kopie des Benutzerprofils auf dem verwalteten
25. tion for AS 400 Server Packageinstalliert winstall c cdrom s graceland i 0S4 IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s graceland Gibt an dass das Paket auf dem verwalteten Knoten graceland installiert wird Tivoli SecureWay User Administration ist auf dieser Maschine bereits instal liert i OS4 IND Gibt die Indexdatei an ber die das Tivoli Secure Way User Administration for AS 400 Server Package installiert wird Im folgenden Beispiel wird das Tivoli SecureWay User Administra tion for AS 400 Gateway Package installiert winstall c cdrom s fuji i OS4GW IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s fuji Gibt an dass das Paket auf dem Gateway fuji instal liert wird Das Tivoli SecureWay User Administra tion Gateway Package ist auf dieser Maschine bereits installiert i OS4GW IND Gibt die Indexdatei an ber die das Tivoli Secure Way User Administration for AS 400 Gateway Package installiert wird Weitere Informationen finden Sie im Abschnitt zam Befehl winstall im Handbuch Tivoli Framework Reference Manual Version 3 8 OnePassword Paket installieren OnePassword Paket installieren Tivoli SecureWay User Administration OnePassword erm glicht Benutzern und Administratoren das ndern von Benutzer kennw rtern in der TME Datenbank sowie die Verteilung der aktua lisierten Kennw rter an die zugeordneten Endpunkte Dies geschieht ber ei
26. 2 W hlen Sie die gew nschte Option in der Merkmalliste aus und geben Sie die Benutzerinformationen ein Informationen zur Benutzeridentifikation Mit der Option f r die Benutzer ID Informationen k nnen Sie allge meine Informationen zum Benutzer wie zum Beispiel Namen Ruf nummer und die Berufsbezeichnung eingeben 1 W hlen Sie in der Liste Kategorie die Option Kennung aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Kennung Vorname Standort Nachname B ro weterername E owes Generationsangabe Initialen Telefon Titel Ir H E Mitarbeiter ID ze I TIRDI Beschreibung 2 Geben Sie die Benutzerdaten wie gew nscht ein Beachten Sie bei der Definition der Benutzerdaten Folgendes m Alle Felder im Bereich Kennung sind optional 160 Version 3 8 Allgemeine Informationen zu Benutzerkonten m Jedes Feld kann mehr als 50 Zeichen enthalten Jr Sr und II sind Beispiele f r Generationsangaben m Das Feld Titel gibt die Berufsbezeichnung des Benutzers an Informationen zur Postadresse Mit der Option f r Informationen zur Postadresse k nnen Sie die Postadresse des Benutzers eingeben 1 W hlen Sie Postadresse in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen j Postadresse Stra e Stadt Bundesland Postleitzahl
27. 9z1nuag L Konzepte f r plattformspezifische Benutzerverwaltung Dazu geh ren folgende Einrichtungen m Local Security Authority H Security Account Manager m Security Reference Monitor Local Security Authority Die Local Security Authority LSA stellt sicher dass der Benutzer ber die erforderlichen Berechtigungen verf gt um auf das System zuzugreifen Diese Funktion erstellt Zugriffs Token w hrend des Anmeldevorgangs verwaltet die Sicherheitsrichtlinien definiert die berwachungsrichtlinien und schreibt berwachungsnachrichten in das Ereignisprotokoll Security Account Manager Der Security Account Manager SAM ist f r die Pflege einer Daten bank mit Informationen ber die Benutzer und Gruppenkonten ver antwortlich SAM stellt G ltigkeitspr fungsdienste f r LSA bereit und vergleicht die vom Benutzer w hrend der Anmeldung eingegebe nen Daten mit den Informationen in der Datenbank SAM stellt beim Erstellen eines Benutzerkontos eine Sicherheits ID SID f r den Benutzer und die SID der Gruppen zur Verf gung denen der Benutzer angeh rt Bei der SID handelt es sich um eine vom System generierte aus 32 Bit bestehende Zahlenfolge mit der jedes Konto innerhalb des Systems bzw der Dom ne eindeutig identifiziert wird Diese ID entspricht der numerischen UNIX Benut zer ID UID anders als unter UNIX kann der Systemadministrator die SID jedoch nicht ndern Security Reference Monitor Der Security Reference Mon
28. Befehlszeile Im folgenden Beispiel wird ein Benutzerprofil gel scht wdel UserProfile region_5 Dabei gilt Folgendes UserProfile region_5 Gibt das zu l schende Benutzerprofil an Informationen zum L schen eines Benutzerprofils ber die Befehls zeile finden Sie in der Beschreibung des Befehls wdel im Handbuch Tivoli Framework Reference Manual Mit Richtlinien f r Benutzerprofile arbeiten Jedes Benutzerprofil enth lt eine Reihe von Standardwertegruppen und Richtlinien f r G ltigkeitspr fung Standardwertegruppen legen die Standardwerte fest die verwendet werden wenn Sie einen neuen Profildatensatz erstellen Richtlinien f r G ltigkeitspr fung legen die zul ssigen Werte f r die Attribute von Profildatens tzen fest Tivoli SecureWay User Administration Management Handbuch 131 us y9L1ula a lJo d az nuag e Benutzerprofile einrichten Standardwertegruppen definieren Jedes Benutzerprofil besitzt eine Reihe von Standardwertegruppen Es gibt eine Standardwertegruppe f r die meisten Attribute die einem Benutzerdatensatz zugeordnet sind Durch das Definieren die ser Standardwertegruppen erstellen Sie eine Schablone f r jeden neuen Datensatz der dem Profil hinzugef gt wird Mit dieser Schab lone m ssen Sie nur ein Minimum an Informationen eingeben um einen vollst ndigen Benutzerdatensatz zu erstellen Wenn Sie Infor mationen in den Benutzerdatensatz eingeben und anschlie end auf Standardeinstellungen ge
29. Datens tze aufgelistet werden die die G ltigkeitspr fung nicht bestanden haben Tivoli SecureWay User Administration Management Handbuch 261 uoyemiaon 9zjesusjep4szinuag Z Benutzerdatens tze verwalten ZZ Ergebnisse der Richtliniengultigkeitsprufung Konfigurationsprofil Benutzer in Profilmanager admin bestanden Alle Datens tze haben die Richtlinieng ltigkeitspr fung Benutzerdatens tze abrufen Sie k nnen eine neue Kopie eines Profils aus dem Profilmanager abrufen der sich in der Subskriptionshierarchie eine Ebene h her befindet Dieser Vorgang ist im Kern eine Anfrage an den zugeord neten Profilmanager auf Verteilung an einen einzelnen Subskriben ten Sie k nnen eine neue Subskriptionskopie nur innerhalb eines Subskribenten abrufen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerprofilkopien aus einem anderen Profilmanager abrufen Benutzerprofil zuordnen admin Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren 262 Version 3 8 Benutzerdatens tze verwalten Arbeitsoberfl che F hren Sie folgende Schritte aus um Benutzerprofilkopien aus einem anderen Profilmanager abzurufen 1 Klicken Sie doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutze
30. Die Synchronisation wird transparent ausgef hrt wenn der Endpunkt durch Tivoli SecureWay User Administration gesteuert wird Wenn Tivoli SecureWay User Administration dazu aufgefordert wird ein Benutzerkennwort auf einem UNIX System zu ndern berpr ft es zun chst ob Tivoli ACF auf dem System installiert ist Wenn Tivoli ACF installiert und aktiviert ist ndert Tivoli SecureWay User Administration das Benutzerkennwort und teilt Tivoli ACF mit dass das Benutzerkennwort ge ndert wurde Wenn die Kennwortrichtlinie UxPwMaxAge von Tivoli SecureWay Security Manager an Tivoli ACF verteilt wurde kann Tivoli ACF die G ltigkeitsdauer von Kennw rtern verwalten sofern alle Kennwort nderungen von Tivoli SecureWay User Administration verwaltet werden Auf UNIX Systemen auf denen die Tivoli SecureWay User Administration Befehle wpasswd und wpasswdsync installiert sind verwendet Tivoli ACF anstatt des Befehls sepass den Befehl wpass wdsync um ein neues Benutzerkennwort abzurufen wenn das aktu elle Kennwort abgelaufen ist und keine weiteren Anmeldungen f r den Benutzer m glich sind Mit dem Befehl wpasswdsync der dem Befehl wpasswd L entspricht wird das neue Benutzerkennwort an Tivoli SecureWay User Administration und an alle subskribierenden Endpunkte bermittelt Beachten Sie dass der Befehl winstpw s verwendet werden muss wenn Tivoli ACF den Befehl wpasswdsync auf diese Weise auf einem Endpunkt des Tivoli Verwaltungsagenten verw
31. ER 3 W hlen Sie den Subskribenten mit der Kopie des anzuzeigenden Profils aus 4 W hlen Sie die Kopie des anzuzeigenden Profils aus Klicken Sie auf Zu Profil um die Profilkopie anzuzeigen oder zu editieren Tivoli SecureWay User Administration Management Handbuch 269 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten Benutzerdatens tze sortieren Sie k nnen die Reihenfolge festlegen in der die Benutzerkontodaten s tze im Fenster Benutzerprofilmerkmale angezeigt werden Wenn Sie jedoch das Fenster schlie en geht die Sortierung verloren Wenn Sie das Fenster erneut ffnen werden die Datens tze in der Stan dardreihenfolge angezeigt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerdatens tze sor Benutzerprofil user tieren Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um Benutzerdatens tze zu sortie ren 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Benutzerprofilmerkmale anzuzeigen Benutzerprofilmerkmale Iolx Profil Editieren Ansicht Hilfe A Benutzerprofil Benutzer Kennung festlegen Subskriptionspfad admin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNI
32. Im folgenden Skript wird beschrieben wie Sie alle Datens tze des Profils berpr fen nachdem die Richtlinie f r G ltigkeitspr fung ge ndert wurde In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Datens tze in Bezug auf die Profilrichtlinien berpr fen Gruppenprofil admin Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Datens tze anhand der Profil richtlinie zu berpr fen 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Profil Editieren Ansicht Die a Konfigurationsprofil Rechenzentrum Subskriptionspfad Jadmin Rechenzentrum 4 Eintr ge Profilmanager admir Gruppenname Gruppen ID Anzahl Subskribent der Benutzer kann editieren Kommentar Benutzer bin ein 107 daemon daemon 110 p a p a db o jos p pa Ip P H D va Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe sagen Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen RS E Tivoli SecureWay User Administration Management Handbuch 325
33. Knoten abgelegt Dies hat Auswirkungen wenn Datens tze mit der Profilkopie auf dem verwalteten Knoten zusammengef gt Daten s tze f r Verteilungen von exakten Kopien zusammengef gt und UNIX Systemdateien mit RCS gesichert werden Weitere Informatio Version 3 8 CCMS Komponenten und Prozesse Subskribenten auf Datensatzebene Diese Funktion wird durch Tivoli SecureWay User Administration und nicht durch CCMS implementiert Wenn feststeht f r welche Datens tze eines Profils CCMS Push Operationen ausf hrt werden alle diese Benutzerdatens tze an alle zugeordnet sein Auf allen End punkten wird die Liste der Subskribenten auf Datensatzebene f r alle Benutzerdatens tze durch den Tivoli SecureWay User Administrati on Code berpr ft um festzustellen ob der jeweilige Datensatz an den entsprechenden Endpunkt verteilt werden soll Wenn der End punkt nicht in der RLS Liste enthalten ist wird der Datensatz igno riert Wenn ein bestimmter Endpunkt kein Subskribent auf Datensatz ebene ist werden dennoch alle AEF Aktionen ausgef hrt da AEF Aktionen durch CCMS implementiert werden Profilverteilung Im Folgenden wird aufgezeigt welche Operationen bei der Vertei lung eines Profils ausgef hrt werden Die Verarbeitung dieses Pro zesses wird gemeinsam von CCMS und Tivoli SecureWay User Administration ausgef hrt Die Verarbeitung von Profilen der h chsten Ebene durch Tivoli SecureWay User Administration m CCMS f hrt
34. Konzepte f r plattformspezifische Benutzerverwaltung 16 Objekte im NetWare Verzeichnisdienst NDS ist objektorientiert Physische Einheiten werden durch Objekte oder logische Darstellungen physischer Einheiten dargestellt Benut zer und Gruppen sind logische Benutzer und Gruppenkonten und bilden eine eigene NDS Objektart Das Arbeiten auf einem objekt orientierten System hat u a den Vorteil dass das Versetzen einer Einheit nicht die Objektdefinition ndert Dies erleichtert die System verwaltung ungemein Benutzeranmeldung und Authentifizierung Da NDS im Netzwerk verteilt wird und sich nicht auf einem bestimmten Server befindet melden sich NDS Benutzer am Netz werk und nicht an einem Server an Wenn der Benutzer auf Netzwerkressourcen zugreift werden im Hintergrund Authentifizie rungsprozesse ausgef hrt die berpr fen ob der Benutzer dazu berechtigt ist auf diese Ressourcen zuzugreifen Die Authentifizie rung erm glicht dem Benutzer auf alle Server Datentr ger Drucker usw im Netzwerk zuzugreifen f r die er ber Berechtigungen ver f gt Benutzer Trustee Berechtigungen im Verzeichnis beschr nken den Zugriff der Benutzer im Netzwerk Anhand der Authentifizierung kann berpr ft werden ob ein Benutzer dazu berechtigt ist Ver zeichnis und Dateisystemressourcen zu verwenden Die Authentifi zierung und die Zugriffssteuerunglisten ACL gew hrleisten gemein sam die Netzwerksicherheit Benutzer und Gruppen
35. NERR_ACFNotLoaded Das Benutzerkontensystem wurde nicht gestartet 2228 NERR_ACFNoRoom Das Benutzerkontensystem enth lt zu viele Namen 2229 NERR_ACFFileIOFail Es ist ein Platten E A Fehler aufgetre ten 2230 NERR_ACFTooManyLbists Die Begrenzung von 64 Eintr gen pro Ressource wurde berschritten 2231 NERR_UserLogon Das L schen eines Benutzers mit einer Sitzung ist nicht zul ssig 2232 NERR_ACFNoParent Das bergeordnete Verzeichnis wurde nicht gefunden 2233 NERR_CanNotGrowSegment Ein Segment des UAS Sitzungscache konnte nicht vergr ert werden Tivoli SecureWay User Administration Management Handbuch 431 usyemion 49z4nuag 2 SO 9 OS 2 Ergebniscodes 432 Fehler Definition Anmerkungen 2234 NERR_SpeGroupOp Die angegebene Operation ist f r diese spezielle Gruppe nicht zul ssig 2235 NERR_NotInCache Der angegebene Benutzer wird nicht im UAS Sitzungscache zwischen gespeichert 2236 NERR_UserInGroup Der Benutzer geh rt bereits zu der angegebenen Gruppe 2237 NERR_UserNotInGroup Der Benutzer geh rt nicht zu der angegebenen Gruppe 2238 NERR_AccountUndefined Das angegebene Benutzerkonto wurde nicht definiert 2239 NERR_AccountExpired Das angegebene Benutzerkonto ist abgelaufen 2240 NERR_InvalidRequester Der Benutzer ist nicht dazu berech tigt sich von der angegebenen
36. Nancy Dee tats chlicher Name pOID_3 Lars Smitt tats chlicher Name pOID_4 Lisa Sparks tats chlicher Name pOID_5 Dave Hill nt_Anmeldung pOID_6 Das Symbol der Benutzersuchfunktion auf der Tivoli Arbeits oberfl che erm glicht eine bequeme Benutzerverwaltung Die Leis tung der Benutzersuchfunktion wurde f r Tivoli SecureWay User Administration Version 3 7 wesentlich verbessert indem eine neue Datenbank hinzugef gt wurde in der die in der Benutzersuchfunk tion gespeicherten Daten gespiegelt werden Die Implementierung dieser neuen Datenbank erfolgt durch die Berkeley Datenbank der Firma Sleepycat Software Hierbei handelt es sich um ein schnelles einfaches und kompaktes Paket das speziell f r eingebettete Anwen dungen entwickelt wurde Anmerkungen 1 Die w loc Befehle verwenden weiterhin die TNR Version und aktualisieren dann die Datenbanktabellen 2 Die Benutzersuchfunktion kann derzeit keine Informationen von anderen verbundenen TMRs anzeigen es werden nur Informatio nen f r Benutzer in der lokalen TMR angezeigt 3 Die BerkeleyDB Komponentendateien befinden sich im Verzeich nis DBDIR TUA_BerkeleyDB auf dem TMR Server Is 1 DBDIR TUA_BerkeleyDB Gesamtsumme 2996 rw r r 1 root root Berkeley_DB_errlog rwxr xr x 1 root root __db 001 rwxr xr x 1 root root __db 002 rwxr Xr x 1 root root __db 003 rwxr xr x 1 root root __db 004 rwxr Xxr x 1 root root __db 005 rwxr xr x 1 root root __account db rwxr x
37. OnePassword Kennwortsteuerung Benutzersuchfunktion Datens tze sperren Sicherheitsverwaltung Beispiele f r die Verwaltung vieler Benutzer User Administration for AS 400 verwenden 382 Tivoli SecureWay User Administration for AS 400 ist eine auf Profi len basierende Anwendung die unter AS 400 f r die Verwaltung von AS 400 Benutzerprofilen eingesetzt wird Mit diesem Produkt k n nen Sie Datens tze auf einem beliebigen Endpunkt an ein Benutzer profil weitergeben Wenn Sie die Datens tze des Profils aktualisiert haben k nnen Sie das Profil anschlie end an beliebige AS 400 End punkte verteilen Dar ber hinaus k nnen Sie AS 400 Benutzerprofile auf verschiede nen Systemen zentral verwalten und organisieren indem Sie das zu Version 3 8 User Administration for AS 400 verwenden Grunde liegende Ger st und die Tools die von Tivoli Management Framework und Tivoli SecureWay User Administration zur Verf gung gestellt werden verwenden Mit AS 400 Attributen und Endpunkten arbeiten Die AS 400 Attribute die mit Tivoli SecureWay User Administration for AS 400 verwaltet werden k nnen stehen in direktem Zusammen hang zu OS 400 Befehlen die zum ndern Pr fen und L schen von AS 400 Benutzerprofilen verwendet werden Die Tivoli Arbeits oberfl che erm glicht die Verwaltung der AS 400 Attribute mit Hilfe der folgenden Unterkategorien der neuen OS 400 Kategorie OS 400 Protokollierung OS 400 Verzeichnis OS 40
38. Profil Editieren Ansicht Hilfe A Benutzerprofil Benutzer Kennung festlegen Subskriptionspfad admin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX apprich 102 102 f iapprich iapprich Pointe Send 101 101 H useridi userid1 ne eller 100 100 p uzeller uzeller ne iesch 103 up p wfriesch wesch nie D Benutzer hinzuf gen Benutzer schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi zi Version 3 8 Benutzerdatens tze verwalten 2 W hlen Sie im Men Ansicht nacheinander Sortieren gt Attri bute aus um das Fenster Attribute anzeigen anzuzeigen Z Attribute anzeigen olx Konfigurationsprofil Benutzer in Profilmanager admin Angezeigte Attribute Nicht angezeigte Attribute UNIX Pr ID Allgemeiner Anmeldename UNIX Gruppen ID Allgemeines Kennwort UNIX Benutzerinformationen GECOS Benutzer darf UNIX Kennwort verwalt UNIX Anmeldenane Benutzername UNIX Anmelde Shell NT Kennwort UNIX Anmeldung aktiviert NetWare Kennwort UNIX Kennwortg ltigkeit Schl ssel H 4 W hlen Sie die Attribute aus die in der Liste Angezeigte Attri bute nicht angezeigt werden sollen Klicken Sie auf den Rechts pfeil um das ausgew hlte Attribut in die Liste Nicht angezeigte Attribute zu verschie
39. Reference Guide Version 3 8 Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten Richtlinie f r G ltigkeitspr fung definieren Bei der Einrichtung von Gruppenprofilen k nnen Sie f r jedes Profil Richtlinien f r G ltigkeitspr fung definieren Sie k nnen f r jedes Attribut von Gruppendatens tzen auch festle gen ob Profilsubskribenten die Richtlinie f r G ltigkeitspr fung in ihren lokalen Kopien der verteilten Profile ndern k nnen Anmerkung Im folgenden Abschnitt wird lediglich das Einrichten der Richtlinien f r G ltigkeitspr fung beschrieben Die berpr fung der Datens tze anhand der Profil richtlinie wird nicht erl utert Informationen zur ber pr fung von Datens tzen anhand der Profilrichtlinien finden Sie im Handbuch Tivoli SecureWay User Admi nistration Reference Manual In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Richtlinien f r G ltigkeits pr fung von Gruppenprofilen editieren Gruppenprofil senior Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Richtlinien f r G ltigkeits pr fung von Gruppenprofilen zu editieren 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenp
40. UX Kennwort f r user2 in Benutzerprofil pml upl ge ndert LDAP NT NW SSO W2K 0S4 0S2 RF UX Kennwort f r user2 in Benutzerprofil pml up2 ge ndert Alle Kennwort nderungen auf Endpunkten waren erfolgreich Im Verbose Anzeigemodus werden Meldungen f r alle erfolgreichen bzw fehlerhaften Kennwort nderungen auf Endpunkten sowie Berichte ber Ausnahmen die oben beschrieben wurden ausgege ben wpasswd L v user2 Neues Kennwort Neues Kennwort erneut eingeben Die Administrator Kennwort nderung f r Benutzername user2 wurde erfolgreich ausgef hrt LDAP SSO UX Kennwort f r user2 in Benutzerprofil pml upl ge ndert LDAP NT NW SSO W2K 0S4 0S2 RF UX Kennwort f r user2 in Benutzerprofil pml up2 ge ndert nderung des Kennworts wurde auf folgenden UX Endpunkten erfolgreich ausgef hrt bear Igrenin2 ep Alle Kennwort nderungen auf Endpunkten waren erfolgreich Dienstprogrammfunktionen Die folgenden Funktionen f hren wpasswd Dienstprogrammtasks aus ul gt nur NT Konto freigeben Endbenutzer bzw Tivoli Administratoren k nnen NT Konten mit dem Befehl wpasswd ul freigeben Dieser Befehl sendet an alle NT und Windows 2000 Endpunkte die Subskribenten des Benutzer datensatzes sind eine Freigabeanforderung Version 3 8 Leistungsspektrum von wpasswd et gt nur Endpunktartnamen und codes anzeigen Da sowohl Endbenutzer als auch Administratoren die Namen und Codes der Endpunktarten die von der
41. die routinem ig auf ver schiedenen Tivoli Clients im gesamten Netzwerk ausgef hrt werden muss Eine Task definiert die f r die Task erforderlichen ausf hrbaren Dateien die f r die Ausf h rung der Task erforderliche Berechtigungsklasse sowie den Namen des Benutzers oder der Gruppe unter dem die Task ausgef hrt wird 2 In GSO die Definition einer Aktion die routinem ig auf verschiedenen verwalteten Knoten im gesamten Netzwerk ausgef hrt werden muss Eine Task definiert die f r die Task erforderli Tivoli SecureWay User Administration Management Handbuch 453 JessojH 454 chen ausf hrbaren Dateien die f r die Ausf hrung der Task erforderliche Berechtigungsklasse sowie den Namen des Benutzers oder der Gruppe unter dem die Task ausgef hrt wird Task spezifische Berechtigungsklasse In Tivoli SecureWay Security Manager und Tivoli SecureWay User Administration eine Berechtigungsklasse die die Ausf hrung genau definierter verwaltungs spezifischer Aufgaben vornehmen Tivoli Administrator In einer Tivoli Umgebung ein Systemadministrator der zum Ausf hren von System verwaltungs Tasks und Verwalten von Richtlinienbereichen in einem oder mehreren Netzwerken berechtigt ist Jeder Tivoli Administrator wird durch ein Symbol auf der Tivoli Arbeitsoberfl che dargestellt Tivoli Application Development Environment Ein Tivoli Toolkit das die vollst ndige Anwendungsprogrammierschnittstelle API f r Tivoli Management Framew
42. filen einsetzen Sie sollten Profilmanager und Profile so verwenden wie eine Sekret rin die einzelnen F cher und Ordner ihrer Ablage verwendet Jedes Fach enth lt bestimmte Akten und die Akten sind gut beschriftet und enthalten eine bersichtliche Menge an Informati onen Es w re nicht sehr effizient einen Profilmanager und ein Pro fil f r die Verwaltung jedes Benutzers zu erstellen Tausende Benutzer derselben Abteilung verwalten Die Hightide Insurance Corporation eine fiktive Firma hat 10 000 Sachbearbeiter angestellt Diese Sachbearbeiter haben alle Windows NT und NetWare Konten Jeder Sachbearbeiter wird einer bestimm ten Region der Vereinigten Staaten zugeordnet Nordosten Nort heast S dosten Southeast mittlerer Westen Midwest S dwesten Southwest oder Nordwesten Northwest Die Firma hat eine NDS Baumstruktur mit Kontexten f r jede Region und Windows NT Do m nen f r jede Region Auf der Grundlage der aktuellen Struktur der Hightide Insurance Corporation w re ein guter Ansatz f r die Benutzer und Gruppen verwaltung von Tivoli SecureWay User Administration die Erstellung eines Profilmanagers f r jede geographische Region Erstellen Sie in jedem Profilmanager die erforderlichen Profile Mit den folgenden Schritten werden die Profilmanager sowie die Profile erstellt die Attribute f r die Profile festgelegt Daten an die Profile weitergege ben und die Benutzer an die Endpunkte verteilt Version 3 8
43. gung stellen zu denen er geh rt Bei der Verteilung f gt der OS 2 Endpunkt den Benutzer jeder der angegebenen Gruppen hinzu die in der Zieldom ne zul ssig sind mit Ausnahme der folgenden vom System definierten Gruppen die ber das Attribut Benutzerberechtigungen vergeben werden USERS GUESTS SERVERS LOCAL und ADMINS Die Option Benutzerberechtigungen ist in der Anzeige OS 2 Konto verf gbar Bei Angabe einer Gruppe die in der Zieldom ne nicht zul ssig ist handelt es sich nicht um einen Fehler und es wird keine entspre chende Meldung ausgegeben Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten Sie k nnen einen Benutzer maximal 100 zul ssigen Gruppen hinzu f gen 1 W hlen Sie in der Merkmalliste die Option OS 2 Gruppen zugeh rigkeit aus um Folgendes im Merkmalbereich des Dia logs Benutzermerkmale anzuzeigen O8 2 Gruppenzugeh rigkeit mel Dieses Listenfenster enth lt alle Gruppennamen die f r den Benutzer definiert sind Gruppen k nnen in Kleinbuchstaben ein gegeben werden da sie vom OS 2 Endpunkt vor der Verwendung in Gro buchstaben umgesetzt werden 2 Soll ein Eintrag aus der Liste entfernt werden w hlen Sie den betreffenden Eintrag aus und klicken Sie anschlie end auf Ent fernen 3 Soll der Liste eine neue Gruppe hinzugef gt werden geben Sie im Textfeld den Namen der Gruppe ein und klicken Sie auf Hin zuf gen Tivoli SecureWay User Administr
44. lt weniger als 5 Buchstaben Das Kennwort hat die UX Qualit tsregeln nicht erf llt da in den ersten 8 Zeichen folgender Fall aufgetreten ist enth lt ein Zeichen das mehr als 2 Male verwendet wird enth lt weniger als 4 Buchstaben enth lt weniger als 1 numerisches Zeichen enth lt weniger als 1 Sonderzeichen enth lt weniger als 1 Gro buchstaben Leistungsspektrum von wpasswd Der Befehl wpasswd hat viele verschiedene Funktionen da er sowohl ber einen TMA Endpunkt als auch ber einen verwalteten Knoten ausgef hrt werden kann Alle diese Funktionen betreffen mehr oder weniger das Konzept der Kennwortverwaltung Der Befehl wpasswd hat viele verschiedene Funktionen die von den ver wendeten Optionen abh ngen In den folgenden Abschnitten wird vorausgesetzt dass der Leser mit der Basissyntax des Befehls wpasswd vertraut ist Eine Beschreibung der Befehlssyntax finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual Tivoli SecureWay User Administration Management Handbuch 101 Bunyema9aAuOMUUDY E Leistungsspektrum von wpasswd 102 Kennw rter ndern Die Grundfunktion des Befehls wpasswd ist die nderung von Kennw rtern in Benutzerprofilen Der verwendete Anmeldename und die angegebenen Optionen sind ausschlaggebend daf r welche Kennw rter in welchen Profilen ge ndert werden k nnen Nur Benutzerprofilkennw rter aktualisieren Bei Endbenutzern stellt sich nicht die Fr
45. ltigkeitspr fung fest n Inaktiviert die G ltigkeitspr fung f r das angegebene Attri but GroupProfile testers Gibt den Namen des Profils an f r das eine Richtlinie gesetzt werden soll gid Gibt das Attribut an f r das eine Richtlinie gesetzt wird Tivoli SecureWay User Administration Management Handbuch 295 UauuOuuIg a Jo dusddnig oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten Informationen zum Editieren der Richtlinie f r G ltigkeitspr fung von Gruppen ber die Befehlszeile finden Sie in der Beschreibung der Befehle wgetpolm wputpolm und wIspolm im Handbuch Tivoli Framework Reference Guide Gruppenprofile verwalten Nachdem Sie Gruppenprofile erstellt und eingerichtet haben m ssen Sie vorhandene Gruppen m glicherweise an das Profil weitergeben Au erdem k nnen Sie die Gruppendatens tze neu sortieren um die vorhandenen Gruppeninformationen zu berpr fen und Sie k nnen die Standardwerte steuern die ein Profil verwendet wenn Tivoli SecureWay User Administration das Profil verteilt Daten an Gruppenprofile weitergeben Bei der Weitergabe von Daten an ein Gruppenprofil d h beim F l len der Gruppenprofile mit Daten werden Benutzerinformationen zu Gruppen vom angegebenen System in die Tivoli Gruppendatens tze des aktuellen Profils importiert Anmerkung Bei der Datenweitergabe aus einer UNIX TMR wer den Kennw rter zur Verf gung gestellt die anders als die Kennw
46. nderung aller Attribute in einem Benutzerdatensatz ein schlie lich globaler sowie endpunkt spezifischer Attribute Verf gt ein Administrator ber diese Berechti gungsklasse m ssen ihm keine wei teren Berechtigungsklassen f r die nderung von Endpunktattributen zugeordnet werden Admin_Mod_Account_Person Gibt an dass der Administrator nur diejenigen Attribute vorhandener Benutzerdatens tze ndern kann die allgemeine Informationen enthalten wie beispielsweise den Standort des B ros des Benutzers die Telefon nummer oder Pagernummer Admin_Delete_Account Berechtigt den Administrator ledig lich zum L schen und Anzeigen von Benutzerdatens tzen Tivoli SecureWay User Administration Management Handbuch 35 Bunyemasausddnig pun Aezinueg LU Task spezifische Berechtigungsklassen 36 Admin_View_Account Berechtigt den Administrator ledig lich zum Anzeigen von Benutzer datens tzen Berechtigungsklassen f r nderungen an Endpunkt attributen Die Task spezifischen Berechtigungsklassen dieser Kategorie erm g lichen es Administratoren die Attribute der angegebenen Endpunkt art zu editieren Sie berechtigen nicht zu nderungen an globalen oder allgemeinen Attributen und es k nnen mit diesen Berechti gungsklassen auch keine neuen Datens tze erstellt werden die ledig lich endpunktspezifische Attribute enthalten Diese Berechtigungs klassen erlauben lediglich den Zugriff auf die Befehle wsetusr und wse
47. um die nderungen 7 anzuwenden und zum Fenster Gruppenprofilmerkmale zur ck zukehren W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen am Profil zu speichern Befehlszeile Um die Richtlinien f r G ltigkeitspr fung f r ein Gruppenprofil ber die Befehlszeile festzulegen listen Sie die Attributarten in einem angegebenen Profil mit dem Befehl wlspolm auf Mit dem Befehl wgetpolm legen Sie dann die aktuelle Richtlinie f r ein angegebenes Version 3 8 Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten Attribut fest Anschlie end k nnen Sie mit dem Befehl wputpolm die Richtlinie f r das Attribut ndern Im folgenden Beispiel werden die Attribute f r ein Gruppenprofil aufgelistet wIspolm GroupProfile testers Dabei gilt Folgendes GroupProfile testers Gibt den Namen des Profils an dessen Attribute aufgelistet werden sollen Die folgende Liste wird zur ckgegeben comment GID name fixed users Im folgenden Beispiel wird die momentan definierte Richtlinie f r G ltigkeitspr fung f r ein angegebenes Attribut des Gruppenprofils zur ckgegeben wgetpolm v GroupProfile testers gid Im folgenden Beispiel wird die G ltigkeitspr fung f r ein Gruppen profil inaktiviert Das Attribut kann also einen beliebigen Wert annehmen wputpolm v n GroupProfile testers gid Dabei gilt Folgendes y Setzt die Richtlinie f r G
48. und Gruppenadministrator ist zum Bei spiel f r folgende Aufgaben verantwortlich e Zur cksetzen des Netzwerks e Zur cksetzen von Benutzerkennw rtern e Hinzuf gen ndern bzw L schen von Benutzer IDs e Hinzuf gen ndern bzw L schen von Gruppen e Verschieben von Daten beispielsweisen das Verschieben von Dateien die ausgeschiedene Mitarbeiter betreffen e Software Zugriff e Bereichszuordnungen e Namens nderungen e Zugriffsbeschr nkungen f r Namen e Berichtigungen des Anmeldeskripts E Mail Administrator Der E Mail Administrator ist daf r ver antwortlich E Mail Server zu verwalten zu installieren und zu entfernen sowie Benutzer und Gruppenkonten f r die E Mail Server zu verwalten E Mail Administratoren sind zum Beispiel f r folgende Aufgaben verantwortlich e Warten und Verwalten der E Mail Server e Warten und Verwalten der Kalenderserver Warten und Verwalten aller E Mail und Kalender Gateways Unterst tzung der E Mail Dienste e Zeitgerechte Fehlerbehebung und Durchf hrung von Korrek turen f r die verwalteten E Mail Server Version 3 8 Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen Serveradministrator Der Serveradministrator ist f r das War ten Installieren Entfernen und Verwalten der Server im Netz werk zust ndig Serveradministratoren sind zum Beispiel f r fol gende Aufgaben verantwortlich Verwalten der Software und der Daten die sich auf den Netzwerk
49. wird das Profil nur an den Tivoli verwalteten Knoten verteilt und nicht an die Systemdateien Zum ndern der Systemdateien mit dieser Option m ssen Sie das Profil von der Ebene des verwalteten Knotens ver teilen ODER Klicken Sie auf Alle Subskribentenebenen um eine Kopie des Profils an die n chste Ebene der Subskribenten seines Profil managers und deren Subskribenten zu senden Verwenden Sie diese Option wenn Sie alle Subskribenten auf der unteren Ebene in der Subskriptionshierarchie einschlie lich der Systemdateien der Profilendpunkte ndern m chten Klicken Sie auf nderungen in der Profilkopie des Subskri benten erhalten um nderungen beizubehalten die Administra toren an den Profilen vorgenommen haben deren Profilmanager diesem Profil zugeordnet sind Verwenden Sie diese Option wenn Sie Profile in Subskribenten besitzen m chten deren Unterschiede Sie beibehalten m chten ODER Klicken Sie auf das Optionsfeld Profil des Subskribenten EXAKT mit diesem Profil abgleichen um die nderungen die Administratoren an ihren Profilen vorgenommen haben mit den in diesem Profil definierten Werten zu berschreiben Verwenden Sie diese Option wenn Sie die Unterschiede zwischen den Profi len der Subskribenten nicht beibehalten m chten Anmerkung Die Option Profil des Subskribenten EXAKT mit diesem Profil abgleichen berschreibt jede nderung und ersetzt alles in den Systemdateien und NIS Listen au
50. wuninst Kennung Dabei gilt Folgendes Kennung Gibt die registrierte Produktkennung f r ein Tivoli Secure Way User Administration Modul an Folgende Kennungen sind g ltig Admin Tivoli SecureWay User Administration ADMIN_GW Tivoli SecureWay User Administration Gate way LDAP Export SSL LDAP Connection WEBPWD OnePassword 72 Version 3 8 Tivoli SecureWay User Administration Paket deinstallieren Geben Sie beispielsweise folgenden Befehl ein wenn Tivoli Secure Way User Administration aus der TMR entfernt werden soll in der graceland als TMR Server eingesetzt wird Handelt es sich bei dem Knoten um den TMR Server wird Tivoli SecureWay User Administ ration vom TMR Server und von allen verwalteten Knoten auf denen es installiert ist entfernt wuninst Admin graceland rmfiles Dabei gilt Folgendes Admin Gibt die registrierte Produktkennung f r Tivoli Secu reWay User Administration an graceland Gibt den Namen des TMR Servers an Da graceland der TMR Server ist wird Tivoli SecureWay User Administration von jedem verwalteten Knoten in der TMR entfernt rmfiles Gibt an dass alle lokalen Datenbankobjekte und die zugeordneten Dateien entfernt werden unabh ngig davon ob es sich um gemeinsam genutzte Dateien handelt Das Standardverhalten ohne die Option rmfiles ist dass lediglich die Datenbankeintr ge f r den angege benen Knoten entfernt werden Wenn es sich bei dem Knoten um den TMR Server handelt werden
51. AS 400 UNIX verwalteter UNIX verwalteter Endpunkt elk Knoten bald Knoten davis Tivoli SecureWay User Administration Management Handbuch 27 Bunyemasausddnig pun 9z1nuag L Kennwortsteuerung Kennwortsteuerung Tivoli SecureWay User Administration bietet mehrere Optionen f r die Verwaltung von Kennw rtern Endbenutzer k nnen den Befehl wpassword L verwenden um ihr Kennwort f r alle Subskribenten systeme zu ndern Administratoren k nnen ber die Tivoli GUI oder mit den Befehlen wsetusers und wpassword L Kennw rter verwal ten Dar ber hinaus erm glicht Tivoli SecureWay User Administration Benutzern die Verwaltung ihrer Kennw rter mit Hilfe des Kennwort Tools des Betriebssystems unter dem Ihre Maschine l uft vorausge setzt die Richtlinien Ihrer Organisation lassen dies zu System kennw rter werden von Tivoli SecureWay User Administration erst dann aktualisiert wenn sie explizit im Benutzerprofil ge ndert wur den oder wenn das Profil im berschreibmodus verteilt wird Wei tere Informationen zur Steuerung von Kennw rtern finden Sie unter Benutzersuchfunktion 28 Mit dem Tool Benutzersuchfunktion das sich auf der Tivoli Arbeitsoberfl che befindet k nnen Sie jeden beliebigen Benutzer lokalisieren den Sie mit Tivoli SecureWay User Administration ver walten F r jeden Benutzer im Dialog Benutzersuchfunktion gibt es eine erweiterbare Anzeige Die erweiterte Anzeige eines Benutzers list
52. Ausf hren dieser Schritte finden Sie im Tivoli Management Framework Benutzerhandbuch und Tivoli SecureWay User Administration Management Handbuch sowie in der Online hilfe Benutzer hinzuf gen Beim Hinzuf gen eines Benutzers wird ein Benutzerkontodatensatz erstellt der dem von Ihnen angegebenen Benutzerprofil hinzugef gt wird Der Benutzerkontodatensatz enth lt die Informationen die zum Verwalten des Benutzerkontos erforderlich sind Diese Benutzer kontoinformationen werden in einer Benutzerprofildatenbank gespei chert und den Systemdateien erst hinzugef gt wenn Sie das Profil an die Endpunkte verteilen 224 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze So f gen Sie einen Benutzerkontodatensatz unter Verwendung der Benutzersuchfunktion hinzu 1 Klicken Sie doppelt auf das Symbol der Benutzersuchfunktion das sich auf der Tivoli Arbeitsoberfl che befindet 2 W hlen Sie das Profil aus dem Sie den Benutzer hinzuf gen m chten und klicken Sie auf die Schaltfl che Hinzuf gen Dar aufhin wird die Anzeige Datensatz hinzuf gen aufgerufen 3 Geben Sie in der Anzeige Datensatz hinzuf gen die entspre chenden Daten in den Feldern ein Weitere Informationen zur Anzeige Datensatz hinzuf gen finden Sie in der Onlinehilfe Benutzer suchen Wenn Sie mit der Benutzersuchfunktion nach einem bestimmten Benutzernamen suchen finden Sie alle Kontodatens tze die dieser Benutzer besitzt Bei d
53. Ausf hrung des Befehls wpasswd L ben tigt wird erheblich Da der Befehl wpasswd L jedoch mit Vorsicht Tivoli SecureWay User Administration Management Handbuch 109 Bunyema9aAuOMUUDY E Leistungsspektrum von wpasswd eingesetzt werden muss um unerw nschte Endpunktaktualisierungen zu vermeiden ist der Zeitgewinn unterschiedlich gro Wenn ein Benutzer Benutzerprofilen mehrerer Profilmanager zugeordnet ist kann es sein dass den verschiedenen Benutzerdatens tzen unter schiedliche Subskribenten zugeordnet sind Ist dies der Fall muss der Befehl wpasswd L f r jede Subskribentengruppe einen separa ten mdist Aufruf ausf hren so dass sich die Effektivit t von mdist verringert Lange Kennw rter Der Befehl wpasswd kann bei der Eingabe alter oder neuer Kenn w rter bis zu 256 Zeichen lesen Die Art des Systems auf dem der Befehl ausgef hrt wird spielt dabei keine Rolle Alle Kennwort qualit tsregeln werden jedoch nur auf die ersten N Zeichen dieser Zeichenfolge angewendet wobei N die Anzahl der Zeichen ist die in einem Kennwort einer Endpunktart f r die die Qualit tsregeln defi niert wurden maximal zul ssig ist Beispiel wenn der Wert f r die UNIX Regel f r die Mindestanzahl numerischer Zeichen MinNume ric 2 betr gt m ssen die ersten acht Zeichen der Kennwortzeichen folge mindestens zwei numerische Zeichen enthalten Die L nge der Zeichenfolge spielt dabei keine Rolle Anmerkung Obwohl bis zu 256 Zeich
54. Benutzer und Gruppenprofle 2 2222220 24 Subskribenten einrichten 2 2 22222 a a a a nennen 24 Version 3 8 Daten an Profile weitergeben 222222 ccneeeeeeeee nn Profile verteilen ye au SET Kennwortsteuerung sse cseccssecsesi acetona iniba dawit daiis Benutzersuchtunktion 22 ve er ee E ee Dateisperren und Kollisionsvermeidung 2222er Sicherheitsverwaltung 222222 eeee een Task spezifische Berechtigungsklassen 2222222 naaa Berechtigungsklassen f r Benutzerprofile aaaaaaaaaaaaua Berechtigungsklassen f r Kennwort nderungen Berechtigungsklassen f r globale Attribut nderungen Berechtigungsklassen f r nderungen an Endpunktattributen Gro e Anzahl Benutzer verwalten Tausende Benutzer derselben Abteilung verwalten Tausende Benutzer unterschiedlicher Abteilungen verwalten Kapitel 2 Tivoli SecureWay User Administration IT EE Tivoli SecureWay User Administration Installationspakete Softwar vorauss tZUNge s sicci cessi scsi cne iut tisti uudes Ei Hardwarevoraussetzungen voss lore enaa e a a a E E E Anmerkungen vor der Softwareinstallation aaas saaara Mit Tivoli Software Installation Service installieren 22 2 2 Tivoli SecureWay User Administration installieren saasaaaaaaa Arbeitsoberfl che u Mk EI AA tee Befehlszeile 4 2 4 2we a2 an ea ar aa ne Tivoli SecureWay User
55. Benutzer und Gruppen sind Objekte innerhalb der NDS Struktur Beim Erstellen eines Benutzers muss ein Container ausgew hlt wer den dem der zu erstellende Benutzer zugeordnet wird Benutzer objekte erhalten alle NDS Berechtigungen und Trustee Zuordnungen des Containers dem sie zugeordnet werden Zur Vereinfachung des Benutzerzugriffs auf Anwendungen und Ressourcen k nnen Gruppen erstellt werden Benutzer und Gruppen werden Trustees genannt wenn sie ber Net Ware Merkmale oder Werte verf gen Zugriffsrechte k nnen Benut zern oder Gruppen zugeordnet werden nachdem die Zugriffsrechte zugeordnet wurden werden sie Trustee Zuordnungen genannt Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung Diese Zuordnungen werden direkte Zuordnungen genannt wenn sie den Benutzern oder Gruppen direkt zugeordnet wurden Wenn ein Benutzer einer Gruppe zugeordnet wird erh lt der Benut zer die Trustee Zuordnungen die der Gruppe zugeordnet wurden Tivoli unter NetWare verwenden In Tivoli SecureWay User Administration ist f r die Kommunikation mit einem NetWare NDS Endpunkt die Ausf hrung des Befehls wsetnds erforderlich Dieser Befehl erm glicht der Anwendung die Anmeldung an der NetWare NDS Baumstruktur Sie m ssen diesen Befehl f r jede von Ihnen verwaltete NDS Baumstruktur ausf hren Wenn Sie diesen Befehl ausgef hrt haben m ssen Sie ihn nicht erneut ausf hren es sei denn Sie ndern den Anmeldenamen oder das Ke
56. Datens tzen einem Datensatz zur G ltigkeitspr fung und einem Richtlinienstandarddatensatz ber CCMS wird die Basisstruktur eines CCMS Datensatzes defi niert Tivoli SecureWay User Administration erweitert diese Defini tion um anwendungsspezifische Attribute Es gibt zwei M glichkei Version 3 8 CCMS Komponenten und Prozesse ten f r die Ausf hrung dieses Vorgangs Die erste M glichkeit ist die Ausf hrung als Teil der kompilierten Definition eines Benutzer profils Die zweite M glichkeit ist die Verwendung von AEF Sie k nnen einem Benutzerprofil Attribute dynamisch hinzuf gen indem Sie den Befehl waddusrprop bzw waddprop verwenden Weitere Mit Hilfe der auf AEF Gerten Attribirte k nnen Eesen die Anwendung erweitern und dieser Benutzer Standort und kunden spezifische Informationen hinzuf gen Die CCMS Datenbank kann sich auf herk mmlichen Profilmanagern Datenbank Profilmanagern datenlosen Profilmanagern und Profil endpunkten befinden Die Begriffe Datenbank und datenlos beziehen sich auf die Subskribenten des Profilmanagers und nicht auf den Profilmanager selbst Beide Profilmanagerarten enthalten Daten Die Subskribenten die datenlosen Profilmanagern zugeordnet sind ent halten jedoch keine Kopien der Profildaten Die Subskribenten eines Datenbank Profilmanagers enthalten Kopien der Profildatens tze Der datenlose Profilmanager wurde zur Implementierung der dreistufigen Architektur eingef hrt Die CCMS D
57. Datens tzen und deren Bearbeitung Beschreibt die Erstellung von Gruppenprofilen die Einstellung der Standardwertegruppe und der Richtlinie f r die G ltigkeits pr fung sowie die Weitergabe von Daten an Gruppenprofile Gruppendatens tze verwalten Beschreibt die Erstellung von Gruppendatens tzen sowie die Ausf hrung allgemeiner Tasks im Zusammenhang mit diesen Datens tzen wie beispielsweise deren Bearbeitung und berpr fung auf ihre G ltigkeit anhand der entsprechenden Richtlinie Pr fprotokollieruns Beschreibt die Verwendung der Pr fprotokollsteuerkomponente Version 3 8 Beschreibt die Anpassung von Tivoli SecureWay User Administ ration unter Verwendung von Tivoli AEF Application Exten sion Facility m Weitere Themen Beschreibt die Verteilung von Benutzerprofilen die Sonder verarbeitung von Kennw rtern die Speicherung von Benutzer daten und Indexierungsmethoden sowie andere Themen m AS 400 Benutzer verwalten Beschreibt die Verwendung von Tivoli SecureWay User Admi nistration in einer AS 400 Umgebung H LU Benutzer verwalten Beschreibt die Verwendung von Tivoli SecureWay User Admi nistration in einer OS 2 Umgebung Ver ffentlichungen In diesem Kapitel wird die erforderliche Referenzliteratur aufgef hrt Au erdem werden der Onlinezugriff auf die Tivoli Ver ffentlichun gen sowie deren Bestellung beschrieben Au erdem erfahren Sie auf welche Weise Sie Anmerkungen zu den Tivoli Ver
58. Hilfe Komnguraonspron Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge of Profilmanager admir Gruppenname Gruppen ID Anzahl der Benutzer Subskribent kann editieren Kommentar Benutzer bin 107 ya daemon 110 ya db Ip og 108 ya ge Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe sagen Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen Tivoli SecureWay User Administration Management Handbuch 319 uoyemion ozjesuspepusddnig e Kopien von Gruppenprofilen aus einem anderen Profil abrufen 320 2 W hlen Sie Neue Kopie abrufen im Men Profil aus um den Dialog Subskriptionskopie abrufen anzuzeigen Z Subskriptionskopie abrufen iof xj Konfigurationsprofil Benutzer in Profilmanager admin e Im Profilmanager vorgenommene nderungen C Profilmanagerdatens tze EXAKT mit den abgerufenen an Profildatensatz erhalten i Profildatens tzen abgleichen Anmerkung Die Option Neue Kopie abrufen steht nur zur Auswahl wenn die Kopie eines verteilten Gruppenprofils ge ffnet ist Klicken Sie auf Im Profilmanager vorgenommene nderungen an Profildatensatz erhalten um das Profil abzurufen und die Werte im aktuellen Profil beizubehalten Verwenden Sie diese Option wenn Sie die Einstellungen in Ihrem Profil nach dem Abrufen des neuen Profils beibeha
59. Jadmin Rechenzentrum Profilmanager admin D Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen gt 286 Version 3 8 Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 2 W hlen Sie Standardwertegruppen im Men Editieren aus um den Dialog Standardwertegruppen editieren anzuzeigen JE Standardwertegruppen editieren Iofx Konfigurationsprofil Rechenzentrum in Profilmanager admin m Standardwertegruppe Ja Nein Era k nnen Richtlinie editieren Standardart Konstante e Wert Festlegen und schlie en Festlegen Zur cksetzen Schlie en Hire 7A W hlen Sie ein Attribut in der Liste Attribute aus 4 Klicken Sie auf das Optionsfeld Ja im Feld Subskribenten k n nen Richtlinie editieren damit Subskribenten nderungen durchf hren k nnen Klicken Sie andernfalls auf das Optionsfeld Nein 5 W hlen Sie eine Standardart in der Dropdown Liste Standardart aus Die verf gbaren Optionen lauten Keine Konstante oder Skript fr her Prozedur Wenn Sie die Option Konstante ausw hlen geben Sie einen konstanten Wert in das Feld Wert ein F hren Sie folgende Schritte aus
60. Knoten die Netzkartennummer in 12 hexa dezimalen Bytes Ziffern 0 9 Buchstaben A F ein Da beispielsweise 0 IPX und 1 IP gilt k nnte die NetWare Netzwerkadresseneinschr nkung f r den Benutzer utu9232 wie folgt lauten Aw 0 0000002F FFFFFFFFFFFF Aw 1 146 49 7 102 Pr fen Sie die folgenden Wertezuordnungen und informationen IPX SPX value 0 Gibt eine IPX SPX Adresse Internetwork Packet Exchange Sequence Packet Exchange an Wenn alle Knoten in einem Segment g ltig sind geben Sie alle Fs als Knoten adresse an TCP IP Wert 1 Gibt eine Internet Protocol Adresse an Geben Sie eine Dezi Tivoli SecureWay User Administration Management Handbuch 197 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten malzahl zwischen 0 und 255 in jedem Feld ein Die linke H lfte der Adresse gibt das Netzwerksegment an Die rechte H lfte gibt den Computer an SDLC Wert 2 Gibt eine SDLC Adresse Synchronous Data Link Control synchrone Daten bertragungssteuerung an Geben Sie einen hexadezimalen Wert Ziffern 0 9 Buchstaben A F in jedem Feld ein Ethernet Wert 3 Gibt eine Ethernet oder Token Ring Adresse an Geben Sie eine Hexadezimalzahl Ziffern 0 9 Buchstaben A F in jedem Feld ein OSI Wert 4 Gibt eine OSI Adresse Open Systems Interconnection Kommunikation offener Systeme an Geben Sie die Adresse als hexadezimalen Wert Ziffern 0 9 Buchstaben A F ein Appletalk
61. Kontos besitzt Anmerkung Wenn das Feld Kontostand leer bleibt hat der Benutzer einen Kontostand von Null b Geben Sie im Feld Untergrenze den Mindestsaldo des Benutzers ein Sobald der Kontostand des Benutzers diese Zahl erreicht kann der Benutzer die Netzwerkressourcen nicht mehr verwenden Der Mindestsaldo kann negativ sein so dass der Benutzer den f r den Kontostand gesetzten Wert berschreiten kann Anmerkung Die Leistungsverrechnung von NetWare muss aktiv sein damit diese Funktionen wirksam sind Informationen zur NetWare Anmeldezeit Mit der Option NetWare Anmeldezeit k nnen Sie die Uhrzeiten festlegen zu denen sich ein Benutzer unter einem Konto am Netz werk anmelden kann Wenn Sie den Zugriff auf Ihr Netzwerk zu bestimmten Zeiten nicht zulassen m chten zum Beispiel am Abend wenn Sie Sicherungskopien auf Band speichern k nnen Sie verhin dern dass sich Benutzer in dieser Zeit anmelden 1 W hlen Sie in der Merkmalliste die Option NetWare Anmelde zeit aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Tivoli SecureWay User Administration Management Handbuch 193 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten NetWare Anmeldezeit AM P M 12 2 4 6 8 10 12 2 4 6 8 10 se ra Br Dr Bo Da a Da a a a a a a a a a a a a a a a Dr ve rar Br Da a Da a a a a a a a a
62. Kopieren und schlie en um die Datens tze in die Zielprofile zu kopieren und den Dialog zu schlie en Tivoli SecureWay User Administration f gt die Datens tze den angegebenen Profilen hinzu Befehlszeile Im folgenden Beispiel wird ein Benutzerdatensatz aus einem Profil in ein anderes kopiert wepusr UserProfile region_l UserProfile sales_1l jtate Dabei gilt Folgendes UserProfile region_1 Gibt den Namen des Profils an aus dem der Benutzerdaten satz kopiert wird UserProfile bsales_1 Gibt den Namen des Profils an in das der Benutzerdatensatz kopiert wird jtate Gibt den Anmeldenamen des zu kopierenden Benutzerdaten satzes an Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wepusr im Handbuch Tivoli SecureWay User Administration Reference Manual Tivoli SecureWay User Administration Management Handbuch 251 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten Benutzerdatens tze verschieben Mit Tivoli SecureWay User Administration k nnen Sie Datens tze aus einem Benutzerprofil in ein anderes verschieben In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Benutzerkontodatensatz Benutzerprofil admin verschieben Admin_Edit_Account Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren
63. Objekten ange zeigt Wenn der von Ihnen ausgew hlte Kontext untergeordnete Kontexte enth lt werden diese in der Liste Kontexte aufgef hrt Wiederholen Sie diesen Schritt bis Sie den Kontext finden der das gew nschte Objekt enth lt 3 W hlen Sie dieses Objekt in der Liste Objekte aus 4 Klicken Sie auf Ausw hlen und schlie en um zum Dialog Benutzermerkmale zur ckzukehren Tivoli SecureWay User Administration Management Handbuch 209 u S1 z su ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten Informationen zu UNIX Benutzerkonten Mit Tivoli SecureWay User Administration k nnen Sie Informationen zu UNIX Benutzerkonten eingeben Folgende Informationen k nnen Sie f r einen Benutzerkontodatensatz unter UNIX eingeben m Anmeldeinformationen m Kennwortinformationen m Informationen zum Basisverzeichnis m E Mail Informationen F hren Sie folgende Schritte aus um UNIX Benutzerinformationen hinzuzuf gen 1 W hlen Sie in der Dropdown Liste Kategorie die Option UNIX aus 2 W hlen Sie die gew nschte Option in der Merkmalliste aus Informationen zur UNIX Anmeldung Mit der Option UNIX Anmeldung k nnen Sie allgemeine Kennda ten eines UNIX Benutzerkontos eingeben 1 W hlen Sie in der Merkmalliste die Option UNIX Anmeldung aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen UNIX Anmeldung IV Anmeldung aktivieren Anmeldename uz
64. Produkt zu installieren und den Dialog Produkt installieren zu schlie en Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Version 3 8 OnePassword Paket installieren Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten 5 W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben 6 Klicken Sie auf Schlie en um den Dialog zu schlie en One Password ist nun auf den ausgew hlten verwalteten Knoten installiert Befehlszeile Im folgenden Beispiel wird OnePassword installiert winstall c cdrom tivoli s memphis i WEBPWD Dabei gilt Folgendes cdrom tivoli Gibt den Pfad zum CD ROM Image an s memphis Installiert das Paket auf dem TMR Server memphis Tivoli Secure Way User Administration ist auf dieser Maschine bereits installiert i WEBPWD Gibt die Indexdatei an ber die One Password installiert wird Befehl wonepassins ausf hren Nach der Installation der Installationsimages von OnePassword in die Verze
65. Regel in einer Richtlinie wird als Richtlinienmethode bezeichnet Richtlinienbereich In einer Tivoli Umgebung eine Gruppe von verwalteten Ressourcen die mindestens eine allgemeine Richtlinie gemeinsam nutzen Tivoli Administratoren arbeiten mit Richtlinienbereichen um die Verwaltung und organisatorische Struktur einer Net work Computing Umgebung festzulegen Administratoren k nnen hnliche Ressour cen zu Gruppen zusammenfassen den Zugriff auf Ressourcen definieren Ressour cen steuern sowie Regeln zur Verwaltung der Ressourcen zuordnen Der Richtlinienbereich umfasst Ressourcenarten und eine Liste der zu verwaltenden Res sourcen Ein Richtlinienbereich wird auf der Tivoli Arbeitsoberfl che durch ein Symbol dargestellt das die Form einer Kuppel hat Bei der Erstellung einer Tivoli Management Region TMR wird auch ein Richtlinienbereich mit demselben Namen erstellt In diesem Fall verf gt die TMR nur ber einen Richtlinienbereich In den meisten F llen erstellt der Tivoli Administrator jedoch weitere Richtlinienbereiche und Unterbereiche um die Struktur der TMR darzustellen Eine TMR bezieht sich auf die tats chliche physische Konnektivit t ein Richtlinienbereich dagegen auf die logische Anordnung der Ressourcen Richtlinienunterbereich In einer Tivoli Umgebung ein Richtlinienbereich der sich in einem anderen Richtlinienbereich befindet oder dort erstellt wurde Wenn ein Richtlinienunter bereich erstellt wird verwendet er au
66. Richtig keit berpr ft Allerdings wird die Gr e des Skripts durch die Richtlinie f r G ltigkeitspr fung auf 4 KB beschr nkt 3 Geben Sie in dem kleinen Textfeld Name und Pfad eines NetWa re Anmeldeprofils ein ODER Klicken Sie auf Anmeldeprofil um den Dialog Dienst Browser f r NetWare Verzeichnisse aufzurufen und dort nach einem bestimmten Anmeldeprofil zu suchen Weitere Informationen zu diesem Dialog finden Sie unter ETwENGEN 9 206 Version 3 8 Informationen zu NetWare Benutzerkonten Informationen zur NetWare Speicherplatz beschr nkung auf Datentr gern Mit den NetWare Speicherplatzeinschr nkungen auf Datentr gern wird der f r Benutzer zul ssige Plattenspeicherplatz eingeschr nkt Erfolgen keine Angaben wird der benutzerspezifische Platten speicherplatz eines Datentr gers nur durch die physikalische Kapazi t t des Datentr gers eingeschr nkt 1 W hlen Sie in der Merkmalliste die Option f r die Einschr n kung von NetWare Speicherbereich auf Datentr gern aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Einschr nkungen beim NetWare Speicherbereich auf Datentr ger Datentr ger Gr e 2 Geben Sie den vollst ndigen Namen des Datentr gers ein f r den Speicherplatzeinschr nkungen festgelegt werden sollen ODER Klicken Sie auf Datentr ger um den Dialog Dienst Browser f r NetWare Verzeichnisse a
67. Sales Support und Testing im Richtlinien bereich Noon region 2 Erstellen Sie ein einzelnes Benutzerprofil in jedem Profil manager Dieses Profil wird jeweils zum Hauptprofil der Profil manager 3 Definieren Sie die Standardwertegruppen und Richtlinien f r G ltigkeitspr fung f r das Hauptprofil jedes Profilmanagers Da diese Profilmanager unterschiedliche Unternehmensbereiche dar stellen ist es wahrscheinlich dass sie unterschiedliche Stan dardwertegruppen und Richtlinien f r G ltigkeitspr fung haben Version 3 8 Viele Benutzer verwalten Klonen Sie das Hauptprofil in jedem Profilmanager bis Sie alle erforderlichen Profile erstellt haben Erstellen Sie eine Liste der Benutzer die in jedes Profil geh ren Sie k nnen beispielsweise die Firmendatenbank der Mitarbeiter oder eine Firmentelefonliste verwenden um diese Liste zu erstel len Sie m ssen f r jedes Profil eine andere Liste erstellen Der Befehl wpopusrs verwendet diese Listen um an jedes Profil die entsprechenden Benutzerdatens tze weiterzugeben Verwenden Sie den Befehl wpopusrs um Daten an alle Profile weiterzugeben Mit der Option f des Befehls wpopusrs k nnen Sie eine Datei angeben die als Definition der Benutzer f r dieses Profil verwendet werden soll Pr fen Sie ob die jedem Profil hinzugef gten Benutzerdatens tze korrekt sind Nehmen Sie gegebenenfalls erforderliche nderun gen an den Benutzerdatens tzen vor Legen Sie die Stan
68. TMR unterst tzt werden ken nen m ssen um die Option c des Befehls wpasswd verwenden zu k nnen kann durch Verwendung der Option et des Befehls wpass wd eine Liste mit den Namen und Codes der Endpunktarten aufge rufen werden Da der Befehl wlsusreptype nur von Administratoren und nicht von Endbenutzern verwendet werden kann wurde diese Funktion dem Befehl wpasswd zugeordnet Standardm ig zeigt Tivoli SecureWay User Administration folgende Endpunktarten an Namen und Codes der Endpunktarten Common SSO LDAP LDAP NT NT NetWare NW 05 2 052 05400 054 PolicyDirector PD RACF RF UNIX UX W2K W2K qr gt nur Qualit tsregeln f r Benutzer anzeigen Beim Erstellen eines neuen Kennworts m chten Endbenutzer wissen welche Richtlinien f r dieses neue Kennwort gelten Mit dem Befehl wpasswd qr k nnen Sie eine Liste mit den f r das Benutzer kennwort geltenden Richtlinien aufrufen Administratoren betrachten die Anzeige von Kennwortrichtlinien m glicherweise als Sicherheits risiko Aus diesem Grund ist es m glich diese Funktion mit dem Befehl wsetusrefg zu inaktivieren Wenn der Benutzer mit dem Namen user2 der einem Tivoli SecureWay Security Manager Systemrichtliniendatensatz zugeordnet ist f r den die Standardwerte gruppen gelten lediglich die UNIX Richtlinien anfordert wird Fol gendes angezeigt Benutzer user2 in Benutzerprofil pml up2 verwendet folgende Regeln Das Kennwort erf llt die UX Qual
69. Verteilung des Profils nicht im NDS Kontext vorhanden F r die Standardwertegruppe nw_volume_restrictions ist kein Stan dardwert vorhanden Sollen jedoch Daten f r Benutzereinschr n kungen weitergegeben werden m ssen Sie mindestens einen Daten tr ger im folgenden Format angeben Datentr gername Kontextname Gr e Beispiel SLOPPY_SYS Tivolisys Dabei gilt Folgendes SLOPPY_SYS Gibt den Datentr gernamen an Tivolisys Gibt den Kontextnamen an Tivoli SecureWay User Administration Management Handbuch 147 us y9l1ula a lJo d az nuag e Benutzerprofile einrichten 148 Die Angabe des Nummernzeichens ist erforderlich die Angabe des Arguments Gr e dagegeben optional Dieses Argument gibt den Plattenspeicherplatz in KB an der dem Benutzer auf dem angegebe nen Datentr ger zur Verf gung steht Zul ssig sind Werte zwischen 0 und 134 217 728 KB die angegebene Zahl muss durch vier teilbar sein ist dies nicht der Fall wird die Angabe auf einen durch vier teilbaren Wert abgerundet Bei Angabe von Null verf gt der Benut zer ber keinen Schreibzugriff auf den Datentr ger In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Daten an Benutzerprofil Benutzerprofil admin weitergeben Benutzer profil ausf llen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl
70. Viele Benutzer verwalten Erstellen Sie die Profilmanager Northeast Southeast Midwest Southwest und Northwest im Richtlinienbereich Hightide region Erstellen Sie ein einzelnes Benutzerprofil in einem der Profil manager Definieren Sie die Standardwertegruppen f r dieses Profil Da alle Benutzerdatens tze gleich sein m ssen wird diese Standardwertegruppe jedem Profil zugeordnet Klonen Sie dieses Profil bis jeder Profilmanager die erforderli che Anzahl Profile enth lt Legen Sie die Richtlinien f r G ltigkeitspr fung f r jedes Profil fest Die Richtlinien f r G ltigkeitspr fung sollten so festgelegt werden dass nur Benutzer deren Nachnamen mit den jeweiligen Buchstaben beginnen in dem Profil vorhanden sein d rfen Dies m ssen Sie f r jedes Profil einzeln festlegen Geben Sie die Benutzerdaten aus den entsprechenden NDS Kon texten und Windows NT Dom nen an jedes Benutzerprofil weiter Durch die f r jedes Profil festgelegten Richtlinien f r G ltig keitspr fung k nnen an das Profil nur die Benutzer weitergege ben werden deren Nachnamen in dem zul ssigen Namensbereich liegen Pr fen Sie ob die jedem Profil hinzugef gten Benutzerdatens tze korrekt sind Nehmen Sie gegebenenfalls erforderliche nderun gen an den Benutzerdatens tzen vor Legen Sie die Standardwerte f r die Verteilung f r jedes Profil fest ber diese Standardwerte wird die Verteilungsart festgelegt Planen Sie
71. Vorher Aktionen auf dem TMR Server aus m Tivoli SecureWay User Administration f hrt Vorher Aktionen f r fern angeh ngte Basisverzeichnisse aus m CCMS f hrt Push Operationen f r Profile aus was wiederum zur sofortigen Verarbeitung von Profilkopien f hrt die unten beschrieben wird m Tivoli SecureWay User Administration f hrt Nachher Aktionen f r fern angeh ngte Basisverzeichnisse aus m CCMS f hrt Nachher Aktionen auf dem TMR Server aus Tivoli SecureWay User Administration Management Handbuch 361 uUSWOUL 91919M SL CCMS Komponenten und Prozesse 362 Sofortige Profilkopieverarbeitung durch CCMS CCMS f gt die Informationen eines Profils der h chsten Ebene mit denen eines vorhandenen Profils das sich auf einer niedrige ren Ebene befindet zusammen Dieses Profil ist eine Kopie eines Profils das einem Subskribentenprofilmanager zugeordnet ist CCMS sendet die zusammengef gten Informationen im Push Modus an die Profilkopie der n chsten Ebene Profilkopieverarbeitung am Zielort CCMS f gt auch hier die Informationen des Profils der h heren Ebene mit denen der bereits vorhandenen endg ltigen Kopie des Profils zusammen Wenn es sich hierbei um die Verteilung einer exakten Kopie han delt entspricht diese Endstufe dem CCMS Punkt f r die Zusam menf gung Die Benutzerdatens tze aller Profile die ber diesen Profilendpunkt bzw datenlosen Profilmanager verteilt wurden werden zu
72. Wert 5 Gibt eine AppleTalk Adresse an Geben Sie eine Dezimal zahl in den ersten drei Feldern und eine Hexadezimalzahl Ziffern 0 9 Buchstaben A F im letzten Feld ein Weitere Informationen finden Sie in der Dokumentation zu Ihrer Hardware F hren Sie folgende Schritte durch um die Netzwerkadressen einschr nkungen festzulegen 1 W hlen Sie in der Merkmalliste die Option NetWare Netzwerk adresse aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen NetWare Netzwerkadresseneinschr nkungen 198 Version 3 8 Informationen zu NetWare Benutzerkonten 2 Klicken Sie auf Hinzuf gen um den Dialog NetWare Netzwerkadresseneinschr nkungen anzuzeigen Netzwerkbereich Anfang Ende lardware Adresse At Adresse Festlegen und schlie en Festlegen Schlie en ml A 3 W hlen Sie in der Dropdown Liste Art die Netzwerkadressenart aus Sie k nnen zwischen den Adressenarten AppleTalk Ethernet Token Ring IPX SPX OSI SDLC und TCP IP aus w hlen m Wenn Sie die Option AppleTalk ausgew hlt haben geben Sie in den folgenden Feldern Werte ein Anfang Gibt die Anfangszahl des Bereichs g ltiger Netz werknummern an Eine Netzwerknummer kann eine beliebige Dezimalzahl von 1 bis 65 279 sein Ende Gibt die letzte Zahl des Bereichs g ltiger Netzwerk nummern an Eine Netzwerknummer kann eine belie big
73. Windows NT Benutzerkonten Von Anrufer festgelegt Die vom Benutzer angegebene Rufnummer wird zur ck gerufen Diese Funktion ist ausgesprochen hilfreich f r Benutzer die sich von verschiedenen Standorten aus und unter verschiedenen Rufnummern einw hlen Bereits festgelegt Die angegebene Rufnummer wird zur ckgerufen Diese Option sollte f r ferne Computer an festen Standorten wie beispielsweise das B ro zu Hause angegeben wer den Anmerkung Wird Kein R ckruf oder Von Anrufer festgelegt aktiviert und ist gleichzeitig im Feld Bereits fest gelegt noch eine Rufnummer angegeben Kommt es unter Umst nden zu Konflikten zwischen den Eintr gen im Tivoli Benutzerprofil und in der RAS Datenbank auf dem Windows NT Server Dies f hrt unter Umst nden dazu dass Sie ber den NT Benutzer Manager keine neue Rufnummer eingeben k nnen Dieses Problem kann umgangen werden indem Sie ber die Richtlinie f r G ltig keitspr fung die Eingabe einer Rufnummer durch den Administrator bzw das System verhindern wenn das Kontrollk stchen Bereits festgelegt nicht aktiviert ist Tivoli SecureWay User Administration Management Handbuch 179 u S1 z su p 1 z nu g 9 Informationen zu Windows 2000 Benutzerkonten Informationen zu Windows 2000 Benutzerkonten Mit Tivoli SecureWay User Administration k nnen Sie Benutzer konten f r Windows 2000 verwalten Folgende Informationen k n nen Sie f r einen Windows 2000 Benutzer
74. Z Tivoli SecureWay User Administration Installationspakete Tivoli SecureWay User Administration Installations 44 pakete Tivoli SecureWay User Administration setzt sich aus mehreren Softwarepaketen zusammen die einzeln installiert werden Die Rei henfolge in der Tivoli SecureWay User Administration und das Gateway Paket f r Tivoli SecureWay User Administration installiert werden spielt keine Rolle beide m ssen jedoch vor der Installation der anderen Pakete installiert werden F r die Installation dieser Pakete ist die Berechtigungsklasse install _product oder super erforderlich F r eine Installation ber die Tivoli Arbeitsoberfl che ben tigen Sie zus tzlich die Berechtigungs klasse user m Mit Tivoli SecureWay User Administration Version 3 8 wer den in Ihrer TME Tivoli Management Environment die Funkti onen f r die Benutzer und Gruppenverwaltung sowie f r die NIS Verwaltung NIS Network Information Systems hinzuge f gt Es muss auf dem Server und auf Tivoli verwalteten Knoten installiert werden die mit Tivoli SecureWay User Administration verwaltet werden sollen Anmerkung Sie m ssen Tivoli SecureWay User Administration zun chst auf dem TMR Server TMR Tivoli Management Region installieren Erst danach kann die Installation auch auf anderen Systemen in der TMR erfolgen m Tivoli SecureWay User Administration Gateway Package Version 3 8 muss auf allen Gateways in der TMR installiert wer d
75. aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerdatens tze for Benutzerprofil super matieren Diese Option ist nur ber die Befehlszeile verf gbar Im folgenden Beispiel werden die Attributwerte der Benutzerdaten s tze eines Benutzerprofils aufgelistet wusrdbrep f salesvalues UserProfile sales Dabei gilt Folgendes f salesvalues Gibt die Ausgabedatei mit der begrenzten Liste an Wird kein absoluter Pfad angegeben wird die Ausgabedatei im aktuellen Verzeichnis gespeichert Wird die Option f nicht angegeben wird die Ausgabe an den Bildschirm gesendet UserProfile sales Gibt das Profil an dessen Werte aufgelistet werden sollen Weitere Informationen finden Sie in der Beschreibung des Befehls wusrdbrep im Handbuch Tivoli SecureWay User Administration Reference Manual Ausgabe des Befehls wusrdbrep Bei der Ausgabe des Befehls wusrdbrep handelt es sich um eine begrenzte Liste die in ein Tabellenkalkulationsprogramm oder in eine Datenbankanwendung importiert werden kann Aus der ersten Zeile der Liste gehen die Attribute des Benutzerdatensatzes hervor In den folgenden Zeilen werden f r jeden Benutzerdatensatz des angegebenen Profils die Werte der einzelnen Attribute aufgef hrt 238 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze Es folgt ein verk rztes Beispiel f r die Ausgabe des Befehls wusrd brep Die tats chliche Ausgabe ist vom jeweiligen Profil abh
76. aus um die Standardwerte eines Profils festzulegen 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Profil Editieren Ansicht Die Konfigurationsprofil Rechenzentrum Subskriptionspfad Jadmin Rechenzentrum MEE Proflmanager admir 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin bin 107 g Ja daemon daemon 110 p Ja db db 108 p Ja Ip in 109 o ba Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen E E 2 W hlen Sie Standardwerte verteilen im Men Profil aus um den Dialog Standardwerte verteilen anzuzeigen 2 Standardwerte verteilen olx Kopien von Konfigurationsprofil Rechenzentrum in Profilendpunkt admin verteilen N chste Subskribente z nderungen in der Profilkopie des Subskribenten erhalten e Alle Subskribenten e Profil der Subskribenten ebenen EXAKT mit diesem Profil abgleichen Bei der Verteilung geschieht folgendes Festlegen und schlie en Festlegen Schlie en 300 Z Version 3 8 Gruppenprofile verwalten 3 Klicken Sie auf N chste Subskribentenebene im Feld Verteilen auf um eine Kopie des Pro
77. ber Tivoli Benutzerschnittstellen verringert mit denen Sie vertraut sein m ssen und die Konsistenz von Benutzerkonten unabh ngig von der Konto art sichergestellt Mit OS 2 Attributen und Endpunkten arbeiten 404 Tivoli SecureWay User Administration for OS 2 erm glicht Adminis tratoren die Verwaltung von Benutzerkonten unter OS 2 Warp F r alle Benutzerinformationen die ber die grafische OS 2 Benutzer schnittstelle verwaltet werden k nnen ist auch eine Verwaltung mit Hilfe von Tivoli SecureWay User Administration for OS 2 m glich Bei einem OS 2 Endpunkt handelt es sich in der Regel um einen als Dom nencontroller eingesetzten OS 2 Warp Server mit TMA Tivoli Management Agent einem Softwaredienst f r die Daten bertragung zwischen OS 2 Endpunkten und dem Gateway zum Tivoli Server F r Vorg nge wie beispielsweise die Verteilung und Weitergabe an Dom nencontroller ist die Anmeldung am OS 2 Zielsystem unter einem Administratorkonto erforderlich Bei einer Verteilung emp f ngt ein Tivoli Programm auf einem OS 2 Endpunkt Informationen mit denen die Datenbank mit den OS 2 Benutzerkonten aktualisiert wird Bei einer Weitergabe werden die in der OS 2 Datenbank mit Benutzerinformationen vorhandenen Daten vom OS 2 Warp Server an ein angegebenes Benutzerprofil auf dem Tivoli Server gesendet Diese Funktion ist vor allem f r die Datenweitergabe an neue Benutzerprofile mit OS 2 Benutzern hilfreich Unternehmen mit vielen OS 2 W
78. bestehen soll Tivoli SecureWay User Administration Management Handbuch 175 u S1 z su ep 1 z nu g 9 Informationen zu Windows NT Benutzerkonten 176 Informationen zum Windows NT Verzeichnis Mit der Option NT Verzeichnis k nnen Sie das Basisverzeichnis erstellen und definieren 1 W hlen Sie in der Merkmalliste die Option NT Verzeichnis aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen NT Verzeichnis Profilname p Basisverzeichnis Basisverzeichnis Laufwerk f r lokale Verbindungen Nach L schen des Benutzers auch Basisverzeichnis l schen I NT Profilname Geben Sie im Feld Basisverzeichnis den Pfad f r das Basis verzeichnis des Benutzers ein Der angegebene Wert kann lokal oder fern sein Beispiel f r ein Verzeichnis im lokalen Datei system C Basisverzeichnis Beispiel f r ein Verzeichnis in einem fernen Dateisystem Server Users Basisverzeichnis Geben Sie im Feld Laufwerk f r lokale Verbindungen das Laufwerk ein an das die fernen Verzeichnisse bei der Anmel dung des Benutzers angeh ngt werden Die Angabe eines Dop pelpunktes nach dem Laufwerkbuchstaben ist optional W hlen Sie das Kontrollk stchen Nach L schen des Benutzers auch Basisverzeichnis l schen aus wenn das Basisverzeichnis beim L schen des Benutzerdatensatzes aus dem Benutzerprofil ebenfalls gel scht werden soll Das Verzeichni
79. cep ist Subskribent des Profilmanagers mit dem Benutzerprofil UPI In dieser Konfiguration muss das Tivoli SecureWay User Administra tion Gateway Package auf fuji installiert werden damit eine erfolg reiche Verteilung des Benutzerprofils UP1 an eep m glich ist Wird das Gateway Paket nicht auf der f r einen bestimmten End punkt erforderlichen Maschine installiert wird bei der versuchten Ausf hrung einer Tivoli SecureWay User Administration Funktion auf diesem Endpunkt eine Nachricht wie diese ausgegeben UP1 Distribute failed for subscriber eep gt 1999 01 18 17 59 53 4 resource e installs Tivoli usr bin lcf_bundle bin w32 1x86 TME USERMANAGEMENT umbo_skel1 not found Sie k nnen Tivoli SecureWay User Administration Gateway Package Version 3 8 ber die Tivoli Arbeitsoberfl che oder ber die Befehls zeile installieren Arbeitsoberfl che F hren Sie folgende Schritte aus um das Tivoli SecureWay User Administration Gateway Package ber die Tivoli Arbeitsoberfl che zu installieren 1 W hlen Sie im Men Arbeitsoberfl che die Option Installieren gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen 2 W hlen Sie Tivoli SecureWay User Administration Gateway Package Version 3 8 in der Liste Zu installierendes Produkt ausw hlen aus 3 Verwenden Sie zur Angabe der Gateways auf denen dieses Pro dukt installiert werden soll die Pfeiltasten um Clientnamen zwi schen der L
80. che oder ber die Befehlszeile ausf hren Version 3 8 Benutzerprofile einrichten Arbeitsoberfl che F hren Sie folgende Schritte aus um Daten an ein Benutzerprofil weiterzugeben 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutzerprofilmerkmale anzuzeigen 2 W hlen Sie Ausf llen aus dem Men Profil aus um den Dialog Profil ausf llen aufzurufen Tivoli SecureWay User Administration Management Handbuch 149 Benutzerprofile einrichten 3 W hlen Sie in der Liste Datens tze nicht aus folgenden F ll 150 quellen abrufen fr her Datens tze nicht aus folgenden Weiter gabequellen abrufen die Tivoli Ressourcen aus von denen Daten an das Profil weitergegeben werden sollen Wenn Sie Ressourcen auf unterschiedlichen Plattformarten ausw hlen f gt Tivoli Secu reWay User Administration die verschiedenen Standardsystem konten nicht im Profil zusammen Die Informationen von ver schiedenen Plattformen f r ein und denselben Anmeldenamen m ssen mit dem Befehl wpopusrs m zusammengef gt werden Klicken Sie auf den Linkspfeil um die ausgew hlten Ressourcen in die Liste Datens tze aus folgenden F llquellen abrufen fr her Datens tze aus folgenden Weitergabequellen abrufen zu ver schieben Weitere Informationen zu Standardsystemkonten finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual Klicken Sie auf eines
81. chten ODER Tivoli SecureWay User Administration Management Handbuch 263 U LMI A zsu ep 1 z nu g Z Benutzerdatens tze verwalten Klicken Sie auf Im Profilmanager vorgenommene nderungen an Profildatensatz erhalten um das Profil abzurufen und die Werte im aktuellen Profil beizubehalten Verwenden Sie diese Option wenn Sie die Einstellungen in Ihrem Profil nach dem Abrufen des neuen Profils beibehalten m chten 4 Damit Sie das Profil zu einem sp teren Zeitpunkt abrufen k n nen klicken Sie auf Planen um den Dialog Geplanten Job hin zuf gen anzuzeigen Geplanten Job hinzuf gen Profil an seine Subskribenten verteilen E I Io unse o 2 em c 264 Version 3 8 Benutzerdatens tze verwalten Sie k nnen mit diesem Dialog das Verteilen von Profilen f r einen sp teren Zeitpunkt planen oder Tivoli SecureWay User Administration erm glichen eine fehlgeschlagene Verteilung erneut zu versuchen bis sie erfolgreich ist oder einen konfigu rierbaren Wiederholungsz hler erreicht Einzelheiten zur Verwen dung der Tivoli Planungsfunktion finden Sie im Tivoli Manage ment Framework Benutzerhandbuch 5 Klicken Sie auf Kopie abrufen und schlie en um sofort Kopien der Profildatens tze im aktuellen Profil zu erhalten und den Dialog zu schlie en Befehlszeile Im folgenden Beispiel wird die Kopie eines Profils aus einem ande ren Profilmanager abgerufen wgetprf 1 maintain ProfileManage
82. den Namen der zu l schenden Gruppe an Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wdelgrp im Handbuch Tivoli SecureWay User Administra tion Reference Manual 312 Version 3 8 Gruppenprofile an Subskribenten verteilen Gruppenprofile an Subskribenten verteilen Nachdem Sie ein Gruppenprofil erstellt und ihm Datens tze hinzuge f gt haben k nnen Sie Kopien des Profils an die Subskribenten sei nes Profilmanagers verteilen Die Subskribenten k nnen UNIX verwaltete Knoten UNIX Endpunkte NIS Dom nen und andere Profilmanager sein Wenn Sie die Kopie eines Profils an einen ande ren Profilmanager verteilen und die Datens tze im Originalprofil nicht gesperrt sind kann der Administrator des zweiten Profil managers lokale nderungen an der Subskribentenkopie des Profils vornehmen Anschlie end Kann der Administrator das ge nderte Pro fil an Subskribentensysteme und NIS Dom nen verteilen Erst wenn Profilinformationen an Subskribentensysteme und NIS Dom nen ver teilt werden werden die Systemdateien und NIS Listen ge ndert Bis dahin werden keine Gruppenkonten auf Systemebene hinzugef gt oder ge ndert Weitere Informationen zum Subskribieren von Tivoli Ressourcen f r Profilmanager finden Sie im Tivoli Management Framework Benutzerhandbuch In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Ber
83. der Kennwortrichtlinien durch den Server unterst tzt kann diese Viel zahl von Endpunktnachrichten durch eine einzige Servernachricht ersetzt werden Dazu sollte die f r einen Benutzer auf dem Server geltende Systemrichtlinie mindestens so strikt sein wie die System richtlinie die an die Endpunkte verteilt wurde Idealerweise sollte die f r einen Benutzer geltende Systemrichtlinie auf dem Server mit der verteilten Systemrichtlinie identisch sein Version 3 8 Kennwortqualit tsregeln Wenn sie nicht synchronisiert werden k nnen werden neue Kenn w rter m glicherweise weiterhin von einigen Endpunkten zur ckge wiesen Meldung von Verst en gegen Kennwortrichtlinien Administratoren betrachten m glicherweise die Anzeige der Kennwortrichtlinien die ein Kennwort nicht erf llt als Sicherheitsri siko Aus diesem Grund ist es m glich diese Funktion mit dem Befehl wsetusrefg zu inaktivieren Wenn die Anzeige von Verst en gegen die Kennwortrichtlinie aktiviert ist Standardeinstellung wird Folgendes angezeigt wenn aaa als neues UNIX und NT Kennwort f r einen Benutzer angegeben wird dem die Standardkennwort richtlinien von Tivoli SecureWay Security Manager zugeordnet wur den wpasswd c UX c NT user2 Neues Kennwort Neues Kennwort erneut eingeben Ihr neues Kennwort wurde zur ckgewiesen Das Kennwort hat die NT Qualit tsregeln nicht erf llt da in den ersten 14 Zeichen folgender Fall aufgetreten ist enth
84. der folgenden Optionsfelder m An vorhandene Datensatzliste anf gen F gt die neuen Datens tze den vorhandenen Datens tzen im Profil hinzu Verwenden Sie diese Option wenn Sie Daten an ein Profil weitergeben welches Datens tze enth lt die Sie beibehalten m chten m Vorhandene Datensatzliste berschreiben Ersetzt die Benutzerdatens tze im Profil durch die neuen Datens tze Anmerkung Verwenden Sie diese Option mit Bedacht da alle vorhandenen Datens tze im Profil verlorengehen Werden Benutzerdatens tze bei einer Datenweitergabe gel scht und nicht ersetzt wird das betreffende Systemkonto bei der Verteilung des Profils gel scht Klicken Sie auf Ausf llen und schlie en um die Datens tze dem Profil hinzuzuf gen und den Dialog zu schlie en Tivoli SecureWay User Administration f gt dem Profil die Kon ten aus den angegebenen Systemen hinzu Version 3 8 Benutzerprofile einrichten Befehlszeile Im folgenden Beispiel werden Daten an ein Benutzerprofil weiterge geben wpopusrs o ManagedNode olympus UserProfile firestorm Dabei gilt Folgendes 0 berschreibt den aktuellen Inhalt des Profils Anmerkung Verwenden Sie diese Option mit Bedacht da alle vorhandenen Datens tze im Profil verlorengehen Werden Benutzerdatens tze bei einer Datenweitergabe gel scht und nicht ersetzt wird das betreffende Systemkonto bei der Verteilung des Profils gel scht l Gibt an dass das vorhandene Basisve
85. die Option Bei nderung ber Tivoli Verteilung Kennwort wie bei Erstanmeldung aktivieren und das OS 2 Kennwort wurde ge ndert l uft das ge nderte Kennwort bei der n chsten Verteilung des Benutzerprofils ab Damit kann sich der Benutzer zwar unter diesem Kennwort anmelden er muss es aber anschlie end sofort ndern G ltig ist das nach der nderung und der Verteilung festgelegte Kennwort W hlen Sie in der Dropdown Liste Kontoberechtigung die gew nschte Berechtigung aus ber diese Auswahl wird die Systemgruppe festgelegt der der Benutzer zugeordnet wird M gliche Werte sind GUEST USER und ADMIN W hlen Sie bei Auswahl von USER im Bereich Benutzer berechtigungen bei Kontoberechtigung USER die entspre chenden Optionen aus Bei Auswahl von GUEST oder ADMIN werden die Benutzerberechtigungen ignoriert Einzelheiten zu diesen Benutzerberechtigungen finden Sie in der Dokumentation zum OS 2 Warp Server Geben Sie im Bereich Basisverzeichnis ein Laufwerk einen Ser ver und einen Verzeichnispfad an Bei der Anmeldung eines Benutzers am OS 2 Warp Server kann OS 2 das Laufwerk mit der Maschine des Anforderers verbinden d h bei diesem han delt es sich um das Basisverzeichnis des Benutzers Bei der Ver teilung an den als prim ren Dom nencontroller bzw Backup Dom nencontroller eingesetzten OS 2 Warp Server erstellt der Endpunkt das Basisverzeichnis und erteilt vollst ndigen Zugriff Tivoli SecureWay User Administrati
86. einer Liste mit Benutzerdatens tzen zusammengef gt die von um_update verarbeitet wird um_update f hrt f r jeden Benutzerdatensatz folgende Operatio nen aus Alle Subskribenten auf Datensatzebene werden berpr ft Wenn der Endpunkt nicht in der Liste enthalten ist wird der Datensatz bersprungen e F hrt Vorher Aktionen f r das lokale Basisverzeichnis aus e Benutzerkonten werden hinzugef gt ge ndert gel scht e F hrt Nachher Aktionen f r das lokale Basisverzeichnis aus CCMS f hrt Nachher Aktionen auf dem Endpunkt aus Steuerung wird an die TMR Serververarbeitung zur ckgegeben Version 3 8 CCMS Komponenten und Prozesse CCMS und AEF Application Extension Facility CCMS unterst tzt AEF Erweiterungen f r auf Profilen basierende Anwendungen wodurch Profilen benutzerdefinierte Attribute hinzu gef gt werden k nnen Dar ber hinaus erm glicht AEF die Aus f hrung von Aktionen als Reaktion auf Ereignisse wie Erstellen Ander und L schen Benutzer die die Daten die von einem Profil verwaltet werden erweitern m chten k nnen Profilen Attri bute hinzuf gen Benutzer von Tivoli SecureWay User Administra tion m ssen Benutzerprofilen zur Steuerung der Verwaltung von Benutzerinformationen oftmals Attribute hinzuf gen Beispiel Admi nistratoren m chten zus tzlich zum Kennwort und Basisverzeichnis Informationen zum B rostandort des Benutzers und zur Mitarbei ter ID prot
87. enth lt das Anmeldeskript in der Regel nur sehr wenige Befehle Dazu geh ren beispielsweise Druckoptionen sowie ein Benutzername f r die E Mail Funktion Daher wird von Tivoli SecureWay User Administ ration die Gr e der Benutzeranmeldeskripts auf 4 KB beschr nkt Anmerkung Der Inhalt von NetWare Anmeldeprofilen wird nicht von Tivoli SecureWay User Administration gesteuert Daher k nnen Standard Container Kontext oder Anmeldeprofilskripts nicht mit Tivoli SecureWay User Administration bearbeitet werden Unterhalb der Beschriftung NetWare Anmeldeskript befindet sich ein Textfeld das ein Benutzeranmeldeskript enthalten kann Es han delt sich hier nicht um eine leere Liste In dieses Textfeld k nnen mehrere Zeilen auch mit Leerzeilen eingegeben werden 1 W hlen Sie in der Merkmalliste die Option NetWare Anmelde skript aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen NetWare Anmeldeskript EI ES Anmeldeprofi 2 Geben Sie im Textfeld das Anmeldeskript f r den Benutzer ein Das Anmeldeskript f r einen Benutzer sollte nur Befehle enthal ten die weder in Container noch in Anmeldeprofilskripts einge geben werden k nnen Tivoli SecureWay User Administration Management Handbuch 205 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten Anmerkung Die Syntax der Anmeldeskripts wird von Tivoli SecureWay User Administration nicht auf
88. erfolgreich ist wird die Versionsnummer des zuletzt verteilten Attributs f r diesen Datensatz angezeigt Wenn sich diese Versionsnummer von der Versionsnummer des empfange nen Attributs unterscheidet aktualisiert der Endpunkt den Attribut wert und speichert die neue Versionsnummer in der Versions datenbank Wenn jedoch die Versionsnummer des zuletzt verteilten Attributs mit der des empfangenen Attributs bereinstimmt wird die nderung ignoriert Wenn die Versionssuche aus irgendeinem Grund fehlschl gt greift der Endpunkt auf die klassischen Oneshot Verhaltensweisen zur ck Ob der Endpunkt die nderung akzeptiert oder ignoriert h ngt davon ab ob den Oneshot Attributen im empfangenen Datensatz ein Hot Flag zugeordnet ist Wenn dem Attribut ein Hot Flag zugeordnet ist wird die nderung akzeptiert und die neue Versionsnummer des Attributs in der Versionsdatenbank gespeichert Die Versions datenbank befindet sich im Verzeichnis LCF_DATDIR Tivoli_UA_VersionDB Anmerkung Die Verhaltensweisen von Hot Flags und Attribut versionsnummern gelten f r Benutzerprofile die wie folgt verteilt wurden m Mit dem Befehl wdistrib m 1 maintain ber folgende Option der grafischen Benutzer schnittstelle Anderungen in der Profilkopie des Subskribenten erhalten wdistrib m l over_opts H wdistrib m Joer all uo merge Diese Verhaltensweisen gelten nicht f r Benutzer profile die mit dem Befehl wdistrib m l over all verteilt wu
89. ffentlichungen abgeben k nnen Erforderliche Referenzliteratur Bevor Sie die in diesem Handbuch beschriebene Software installieren und verwenden m ssen Sie mit den Inhalten der dazugeh rigen Dokumentation vertraut sein m Tivoli Management Framework Einsatzplanung Erl utert die Planung f r das Einsetzen einer Tivoli Umgebung Au erdem werden die Komponente Tivoli Management Frame work und dessen Dienste beschrieben m Tivoli Enterprise Installation Guide Erl utert Installation und Aktualisierung von Tivoli Enterprise Software innerhalb der Tivoli Management Region TMR unter Verwendung der von Tivoli Software Installation Service und Tivoli SecureWay User Administration Management Handbuch xix Tivoli Management Framework zur Verf gung gestellten Installationsmechanismen Zur Tivoli Enterprise Software geh ren der TMR Server verwaltete Knoten Gateways Endpunkte und RIM Objekte RIM RDBMS Interface Module Dieses Handbuch enth lt au erdem Informationen zum L sen von Installationsproblemen m Tivoli Management Framework Benutzerhandbuch Enth lt eine Beschreibung der den Tivoli Management Frame work Diensten zugrundeliegenden Konzepte sowie Informationen zur Verwendung dieser Dienste Es enth lt Anweisungen zur Ausf hrung von Tasks ber die Tivoli Arbeitsoberfl che und ber die Befehlszeile m Tivoli Management Framework Reference Manual Enth lt ausf hrliche Informationen zu den CLI Befehlen vo
90. for Comments 1208 Glossary of Networking Terms m Internet Request for Comments 1392 Internet Users Glossary m The Object Oriented Interface Design IBM Common User Access Guidelines Carmel Indiana Que 1992 Abw rts gerichteter Aufruf In einer Tivoli Umgebung ein abw rts an einen Endpunkt gerichteter Methoden aufruf eines TMR Servers oder Gateways Gegensatz zu A Tivoli SecureWay User Administration Management Handbuch 443 Jessoj9 444 ADE Siehe Tivoli Application Development Environment AEF Aufw rts gerichteter Aufruf In einer Tivoli Umgebung ein aufw rts an ein Gateway gerichteter Methodenauf ruf eines Endpunkts Gegensatz zu Abw e ete Ausgabef cherung Bei der Daten bertragung das Erstellen von Kopien einer Verteilung die lokal oder ber ein Netzwerk gesendet werden Berechtigungsklasse In einer Tivoli Umgebung wird Tivoli Administratoren eine Berechtigungsklasse zugewiesen die ihnen die Ausf hrung der ihnen zugewiesenen Systemverwaltungs Tasks erm glicht Eine Berechtigungsklasse kann f r die gesamte Tivoli Manage ment Region TMR oder f r bestimmte Ressourcen wie z B die die in einem Richtlinienbereich enthalten sind erteilt werden Beispiele f r Berechtigungsklassen sind super senior admin user u a D mon Ein Programm das einen Standarddienst im nicht berwachten Modus ausf hrt Einige D monen werden automatisch ausgel st andere f hren in regelm
91. ihren entsprechenden Eintr gen in den Konfigurationsdateien der Subskribentensysteme berpr ft wchkgrps GroupProfile developers ManagedNode kenya Dabei gilt Folgendes GroupProfile classicgroups Gibt den Namen des zu berpr fenden Profils an ManagedNode kenya Gibt den Namen des zu berpr fenden Systems an Befehlsausgabe Diese Benutzer wurden zwar im System nicht aber im angegebenen Profil bzw in der angegebenen Datenbank gefunden Gruppenname Kennwort GID Mitglieder dgates jgriffin rroyer Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wchkgrps im Handbuch Tivoli SecureWay User Administra tion Reference Manual Datens tze anhand der Profilrichtlinie berpr fen Sie k nnen die Datens tze in einem Gruppenprofil anhand der f r das Profil definierten Richtlinie berpr fen Tivoli berpr ft automatisch Datens tze anhand der Profilrichtlinie wenn ein Datensatz hinzugef gt oder ge ndert wird Tivoli berpr ft allerdings nur die Attribute von Gruppendatens tzen die der Richt linie f r G ltigkeitspr fung zugeordnet wurden 324 Version 3 8 Datens tze anhand der Profilrichtlinie berpr fen Wenn die Richtlinie f r G ltigkeitspr fung ge ndert wurde seit Sie das letzte Mal Datens tze hinzugef gt oder ge ndert haben k nnen Sie alle Datens tze des Profils auf einmal berpr fen um so die Datens tze zu finden die der neuen Richtlinie nicht entsprechen
92. installieren ioj xi t Kn Produkt auf der Arbeitsoberfl che des Administrators installieren Zu installierendes Produkt ausw hlen Tivoli SecureWay User Administration Cor A5 400 Server Package Version 3 7 a Tivoli SecureWay User Administration for A3 400 Gateway Package Version 3 7 m Clients f r die Installation Verf gbare Clients oswaldo teo elle Installationsaptionen Datentr ger ausw hlen Installieren und schlie en Installieren Schlie en Hilfe W hlen Sie in der Liste Zu installierendes Produkt ausw hlen die Option Tivoli SecureWay User Administration for AS 400 Server Package Version 3 8 oder Tivoli SecureWay User Administration for AS 400 Gateway Package Version 3 8 aus Verwenden Sie zur Angabe der Maschinen auf denen dieses Pro dukt installiert werden soll die Pfeiltasten um Clientnamen zwi schen der Liste Clients f r die Installation und der Liste Ver f gbare Clients zu verschieben Standardm ig sind alle Clients in der aktuellen TMR in der Liste Clients f r die Installation enthalten Version 3 8 AS 400 Pakete installieren Folgendes sollten Sie bei der Auswahl der Maschinen auf denen die AS 400 Pakete installiert werden sollen beachten Tivoli SecureWay User Administration for AS 400 Server Package Version 3 8 darf nurauf Maschinen installiert wer den auf denen Tivoli SecureWay User Administration Version 3 8 installiert ist
93. k nnen nicht gel scht werden 2407 NERR_PipeBufTooSmall Schreibt an ein Netzwerk mit einem benannten Pipe Puffer dem zu wenig Speicherplatz zugeordnet ist 2430 NERR_AlertExists Der angegebene Client ist bereits f r das angegebene Ereignis registriert 2431 NERR_TooManyAlerts Die Alert Tabelle ist voll 2432 NERR_NoSuchAlert Es wurde ein ung ltiger oder nicht vorhandener Alert Name angegeben 2433 NERR_BadRecipient Der Alert Empf nger ist ung ltig Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2434 NERR_AcctLimitExceeded Eine Benutzersitzung f r diesen Ser ver wurde gel scht 2440 NERR_InvalidLogSeek Die Protokolldatei enth lt nicht die angeforderte Datensatznummer 2450 NERR_BadUasConfig Die Systemdatenbank f r Benutzer konten wurde nicht ordnungsgem konfiguriert 2451 NERR_InvalidUASOp Diese Operation ist w hrend der Aus f hrung des Netlogon Dienstes nicht zul ssig 2452 NERR_LastAdmin Die angegebene Operation ist f r das letzte Administratorenkonto nicht zul ssig 2453 NERR_DCNotFound Der Dom nencontroller f r diese Dom ne konnte nicht gefunden wer den 2454 NERR_LogonTrackingError Die Anmeldedaten f r diesen Benut zer konnten nicht gesetzt werden 2455 NERR_NetlogonNotStarted Der Netlogon Dienst wurde nicht gestartet 2456 NERR_CanNotGrowUASFile Die Systemdate
94. mit dieser Option alle Datenbankobjekte entfernt Tivoli SecureWay User Administration Management Handbuch 73 us4a jjelsu Z Tivoli SecureWay User Administration Paket deinstallieren 74 Version 3 8 Planung und Einsatz Jeder Einsatz von Tivoli SecureWay User Administration spiegelt die einzigartigen Merkmale jeder Unternehmensumgebung wieder Da die Struktur der Benutzerkontoinformationen f r jedes Unternehmen einzigartig ist gibt es keine Standardschablone oder Einheitsl sung f r den Einsatz von Tivoli SecureWay User Administration Die Organisation der Benutzerkontoinformationen h ngt beispielsweise davon ab ob das Unternehmen eine zentralisierte oder dezentrali sierte Struktur aufweist Die Organisation des Personals nach Job funktionen der geografischen Lage usw kann sich ebenfalls auf die Benutzerkontoinformationen auswirken Tivoli SecureWay User Administration ist u erst flexibel und kann den Bed rfnissen vieler verschiedener Umgebungen angepasst werden Sie m ssen den Ein satz von Tivoli SecureWay User Administration jedoch sorgf ltig planen und testen um sicherzustellen dass der Einsatz effektiv ist und Ihren Bed rfnissen entspricht Dieses Kapitel enth lt eine ber sicht und Erl uterungen zu diesen Themen Detaillierte Informatio nen hierzu finden Sie im IBM Redbook mit dem Titel Enterprise Security Management with Tivoli Tivoli SecureWay User Administration Management Handbuch 75 z esuig pu
95. muss das Attribut mit dem Kontext angegeben werden m Wenn es sich bei der Endpunktart um eine Anwendung handelt muss der Klassenname der Objektimplementierung angegeben werden Anmerkungen 1 Die meisten Informationen die f r den Befehl waddusreptype angegeben werden unterst tzen die Kennwort nderung auf End punkten mit dem Befehl wpasswd 2 Ein Benutzerdatensatz enth lt Informationen zu einer bestimmten Endpunktart wenn diesem Benutzerdatensatz ein Wert f r das Anmeldeattribut der Endpunktart zugeordnet ist Aus diesem Grund ignoriert Tivoli SecureWay User Administration die Angabe bzw nderung von Attributen einschlie lich des Kenn worts f r Endpunktarten f r die dem Benutzer keine Anmelde berechtigungen erteilt wurden Version 3 8 Kennw rter und Endpunktarten 3 Wenn Sie den Befehl wpasswd et bzw wlsusreptype absetzen wird eine Liste mit allen Endpunktartnamen und codes die von einer TMR unterst tzt werden angezeigt Allgemeine und endpunktartspezifische Kennw rter In jedem Benutzerdatensatz k nnen zwei Arten von Kennw rtern enthalten sein das allgemeine Kennwort und das endpunktart spezifische Kennwort ber das allgemeine Kennwort k nnen alle Kennw rter im Benutzerdatensatz ge ndert werden Das allgemeine Kennwort hat jedoch keinen direkten Einfluss auf die Kennw rter die vom Benutzer eingegeben werden wenn er sich an einem Sys tem bzw einer Anwendung anmeldet die von Tivoli Secur
96. ngig und enth lt in der Regel eine weit h here Anzahl Attribute und Werte Security_Groups add_new_subscribers audit_flag audit_id city com ment department employee_id entry_flags fax fixed gcos gen_qual gid given_name group_aliases hd_contents hd_local_path hd_server _path hd_type initials key last_name location ENABLED 0 126 lt David is responsible for project D gt lt He works from both Austin and Chicago gt lt 887j gt 89643 458760 lt 999 9999 gt DISABLED Dave Mr 1 David denmor etc Tivoli Tivoli_Admin hd_contents home daved denmor export home daved 1 D 1149013884 1 652_0 Dever lt Austin TX 78727 gt ENABLED 0 127 lt This is the description for Sue gt lt No special notes made gt lt 776y gt 76543 458760 lt 898 8989 gt DISABLED Sue Ms 1 Susan denmor etc Tivoli Tivoli_Admin hd_contents home sues denmor export home sues 1 s 1149013884 1 652_1 Shobuck lt Austin Tx 78727 gt Dieses Beispiel enth lt Ausschnitte aus zwei Benutzerdatens tzen In beiden Benutzerdatens tzen ist das Attribut add_new_subscribers aktiviert F r location gilt Austin Texas mit dem Postzustellbezirk 78727 Der erste Benutzerdatensatz verf gt jedoch ber den Schl s sel 1149013884 1 652_0 der Schl ssel des zweiten Benutzerdaten satzes lautet 1149013884 1 652_1 Die Formatierung der Attributw
97. rter anderer Plattformen verarbeitet wer den Weitere Informationen zur Verarbeitung der Kennw rter w hrend des Weitergabevorsanss finden Sie unter L Ke eye In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Daten an Gruppenprofil Profilmanager admin weitergeben Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren 296 Version 3 8 Gruppenprofile verwalten Arbeitsoberfl che F hren Sie folgende Schritte aus um Daten an ein Gruppenprofil weiterzugeben 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale AEE Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admin Subskriptionspfad fadmin Rechenzentrum 0 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren sen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editeren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen gt 2 W hlen Sie Ausf llen aus dem Men Profil aus um den Dialog Profil ausf llen aufzurufen TE TC Profil group in Profilmanager admin ausf llen Datens tze von diesen verwa
98. rter bei Erstanmeldung von Relevanz Version 3 8 Sonderverarbeitung f r Kennw rter bei der Verteilung Beispiel wgetusr E UserProfile pml up2 user Informationen zu Benutzer user2 UNIX Kennwort bei Erstanmeldung Disabled In diesem Beispiel erhalten Sie zwar den Status des UNIX Kenn worts bei Erstanmeldung es geht jedoch nicht hervor ob bei der n chsten Verteilung von UserProfile pml up2 der vorzeitige Ablauf von Kennw rtern bei UNIX Verteilungszielen inaktiviert wird Auch die GUI Schaltfl che f r die Darstellung und nderung des UNIX Kennworts bei Erstanmeldung ist nicht eindeutig Grund hierf r ist dass der Wert f r das betreffende Attribut keine Aktion ist DISAB LED bedeutet daher nicht dass der vorzeitige Ablauf inaktiviert wird Vielmehr wird lediglich der aktuelle Status beschrieben Damit Sie wissen welche Aktion bei der n chsten Verteilung von UserProfile pml1 up2 ausgef hrt wird m ssen Sie wissen ob der Wert des Attributs f r den vorzeitigen Ablauf seit der letzten Vertei lung ge ndert wurde Bei Kennwort nderungen wird empfohlen eine Verteilung unmittel bar nach der Anderung des Kennworts auszuf hren bzw einzu planen Hiermit wird ein fester Zeitpunkt bestimmt zu dem m der neue Kennwortattributwert auf den Endpunkten in Kraft tritt m das Kennwortattribut im Benutzerdatensatz nicht aktiv ist und keine Auswirkungen auf nachfolgende Verteilungen hat Diese Vorgehensweise sollt
99. schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi H A 3 Ziehen Sie die Schiebeleiste am unteren Rand des Dialogs nach links oder rechts Durch Ziehen der Schiebeleiste werden die Spalten im Fenster sichtbar 230 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze Befehlszeile Im folgenden Beispiel werden alle Informationen zum angegebenen Benutzerdatensatz angezeigt wgetusr UserProfile Marketing jtate Dabei gilt Folgendes UserProfile Marketing Gibt den Namen des Benutzerprofils an jtate Gibt den Anmeldenamen des Benutzers an Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wgetusr im Handbuch Tivoli SecureWay User Administration Reference Manual Benutzerdatens tze editieren Wenn Sie den Datensatz eines vorhandenen Benutzerkontos ndern speichert Tivoli SecureWay User Administration die Benutzerin formationen in einer Benutzerprofildatenbank und sendet einen Hin weis an die Hinweisdatenbank Die Informationen des Benutzer kontos werden nicht in den Systemdateien oder Systemdatenbanken aktualisiert es sei denn Sie verteilen das Profil an seine endg l tige Endpunktzieladresse Benutzerprofile k nnen w hrend eines Weitergabevorgangs oder einer Verteilung nicht aktualisiert werden Wenn Sie jedoch einen Datensatz in einem Benutzerprofil ber die GUI oder Befehlszeile editieren wird der Datensatz nicht gesperrt Wenn Sie Da
100. schen TMR Server und einem PC auf dem der PC Agent aktiv ist erm glicht Pull In einer Tivoli Umgebung eine Operation beispielsweise eine Tivoli UserLink Dateipaketanforderung die eine Aktion einleitet indem sie diese von einer Res source anfordert Gegensatz zu Push Push In einer Tivoli Umgebung eine Operation beispielsweise eine Dateipaketverteilung die Informationen an andere Ressourcen weitergibt Gegensatz zu Bull RDBMS Interface Module RIM In Tivoli Management Framework das Modul in der verteilten Objektdatenbank das Informationen zur Installation des Verwaltungssystems f r relationale Datenbanken RDBMS Relational Database Management System enth lt Registrierter Name In einer Tivoli Umgebung der Name unter dem eine bestimmte Ressource bei ihrer Erstellung in der Namensregistrierdatenbank registriert wird Repeater Reichweite In einer Tivoli Umgebung die Tivoli Clients die Daten von der Repeater Station empfangen Repeater Station In einer Tivoli Management Region TMR ein verwalteter Knoten der mit Hilfe der MDist Funktion konfiguriert wird Eine Repeater Station erh lt eine Kopie der Daten und verteilt sie an die n chste Staffel von Clients Ressource 1 Objekte innerhalb der Datenbank Es gibt verwaltete Ressourcen und Ressour cen die nicht verwaltet werden Ressourcen die nicht verwaltet werden k nnen ber die Tivoli Arbeitsoberfl che angezeigt werden Siehe verwaltete Ressource 2 All
101. sind True und False PwHistory NTPwHistory UXPwHistory OS2PwHistory OS4PwHistory RFPwHistory Gibt an wie viele bisherige Kennw rter gespeichert werden sollen um die Wiederverwendung alter Kennw rter zu ver hindern G ltige Werte sind None oder jede ganze Zahl die gr er ist als Null Tivoli SecureWay User Administration ruft den jeweils maximalen Wert ab und verwaltet einen Pro tokoll Stack mit dieser Tiefe die f r berpr fungen verwen det wird und die unabh ngig davon welches Kennwort ge n dert wird aktualisiert wird Die tats chliche Tiefe die nach nderungen an einem Kennwort einer bestimmten Endpunkt art berpr ft wird wird durch den Attributwert xxPwHistory f r diese Endpunktart gesteuert 94 Version 3 8 Kennwortqualit tsregeln PwMaxLen Gibt die Anzahl an Zeichen an die ein Kennwort maximal enthalten darf G ltige Werte sind O bis 65535 Der Stan dardwert ist 8 Da es sich hierbei um eine globale Richtlinie handelt sollten Sie diese nicht mit Tivoli SecureWay User Administration verwenden Eine einzige globale Attributein stellung ist nicht f r alle Endpunktarten geeignet dennoch wird Tivoli SecureWay User Administration sie auf alle Endpunktarten anwenden wenn das allgemeine Kennwort ge ndert wird PwMaxReps UXPwMaxReps OS4PwMaxReps Gibt die maximale Anzahl von sich wiederholenden Zeichen an die das Kennwort enthalten darf Der Wert dieses Attri buts muss eine ganze Zahl sein die gr
102. sselwortwerte 0S400_OUTQ WRKSTN Gibt die Ausgabewarteschlange an die die DEV sem Benutzer zugeordnet ist Wareschlangennang Ein Warteschlangenname im Format LIB QUEUE OS400_Owner USRPRF Gibt das OS 400 Benutzerprofil an das GRPPRF Besitzer der neu erstellten Objekte ist OS400_PassW Kennwort Gibt das Kennwort an Das Kennwort muss in der grafischen Benutzerschnittstelle GUI oder mit dem allgemeinen Benutzerkennwort in Tivoli explizit ge ndert werden W hrend Weitergabevorg ngen werden Kennw rter auf den Wert des Benutzerprofilnamens gesetzt Eine Zeichenfolge mit 10 Zeichen oder weniger OS400_PassW_Expired YES Gibt an ob das Kennwort abgelaufen ist NO OS400_PassW_ExpInv SYSVAL Gibt das Ablaufintervall f r das Kennwort NOMAX ES Intervall Eine ganze Zahl zwischen 1 und 366 die die Anzahl der Tage angibt die zwischen einer Kennwort nderung und dessen Ablaufdatum liegen OS400_PGM_Adopt_Audit YES Gibt an ob Berechtigungen die auf Grund NO von Programm bernahmen erteilt wurden gepr ft werden sollen 396 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte O0S400_Prim_GRP NONE Gruppenname Eine GRUPPE auf einem AS 400 Endpunkt Der Name der GRUPPE muss bekannt sein er kann nicht abgefragt werden Gibt die Zugeh rigkeit zu Prim rgruppen an OS400_Printer_Device WRKSTN Gibt den Namen
103. ssen nicht das alte Kennwort des Benut zers dessen Kennwort ge ndert wird angeben Administratoren k nnen Benutzerkennw rter ndern und den vor zeitigen Ablauf eines Benutzerkennwotts festlegen so dass sich der Benutzer zun chst mit dem neuen Kennwort anmelden kann dieses jedoch sofort ndern muss Da es f r Endbenutzer keinen Sinn macht f r ihr eigenes Kennwort einen vorzeitigen Kenn wortablauf festzulegen steht diese Option Endbenutzern nicht zur Verf gung Verwendung auf verwalteten Knoten oder Verwendung auf TMA Endpunkten Bei der Installation von Tivoli SecureWay User Administration auf einem verwalteten Knoten wird auch der Befehl wpasswd installiert Mit den Framework Skripts setup_env werden die UNIX bzw NT Umgebungsvariablen so angepasst dass der Zugriff auf den Version 3 8 Leistungsspektrum von wpasswd Befehl wpasswd m glich ist Informationen zu den Adressen dieser Skripts auf den verschiedenen Systemarten finden Sie in der Frame work Dokumentation Die Installation des Befehls wpasswd auf einem TMA Endpunkt erfolgt ini zwei Schritten Zun chst muss das Gateway Paket f r Tivoli SecureWay User Administration auf allen Gateway verwalte ten Knoten installiert werden Danach muss der Befehl winstpw aus gef hrt werden wobei die Namen der Endpunkte auf denen der Befehl wpasswd ausgef hrt werden soll angegeben werden m ssen Mit den Framework Skripts Icf_env werden die UNIX bzw NT Umgebungsvariab
104. su ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten UNIX E Mail Mit der Option UNIX E Mail k nnen Sie Informationen bez glich der UNIX E Mail Adresse des Benutzers eingeben 1 W hlen Sie in der Merkmalliste die Option UNIX E Mail aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen UNIX E Mail Host E Sie 2 Geben Sie im Feld E Mail Host den Namen des Systems ein auf dem der Benutzer seine E Mail empfangen soll 3 Geben Sie im Feld Pers nlich Aliasname alle pers nlichen E Mail Aliasnamen f r den Benutzer ein Klicken Sie nach Ein gabe eines Aliasnamen auf den Rechtspfeil um den Namen in die Liste mit den pers nlichen Aliasnamen zu verschieben 4 Geben Sie im Feld Gruppe Aliasname Aliasnamen f r E Mail Gruppen ein zu denen der Benutzer geh rt Klicken Sie nach Eingabe eines Aliasnamen auf den Rechtspfeil um den Namen in die Liste Gruppe Aliasname zu verschieben 220 Version 3 8 Benutzerdatens tze verwalten In diesem Kapitel erfahren Sie wie Benutzerdatens tze verwaltet werden Typische Tasks sind Nach Benutzerdatens tzen suchen Benutzerdatens tze editieren Benutzerdatens tze zusammenf gen Benutzerdatens tze kopieren Benutzerdatens tze verschieben Benutzerdatens tze l schen Benutzerdatens tze formatieren Benutzerdatens tze aus Tivoli entfernen Benutzerdatens tze anhand der Richtlinien berpr fen Benutzerdatens tze an Sub
105. tung da der Administrator die Zugriffsberechtigungssteuerung auf Gruppenebene vornehmen kann Windows NT unterst tzt drei Kontoarten m Benutzerkonten m Lokale Gruppen m Globale Gruppen Auf jeder Maschine k nnen lokale Gruppen definiert werden Lokale Gruppen beziehen sich dabei nur auf diese Maschine d h die in diesen lokalen Gruppen definierten Berechtigungen gelten aus schlie lich f r lokale Ressourcen Unter Windows NT stehen auf jeder Maschine standardm ig vordefinierte lokale Gruppen zur Ver f gung Bei einer Standalone Maschine k nnen nur lokale Benutzerkonten einer lokalen Benutzergruppe angeh ren Geh rt die Maschine einer Dom ne an kann die lokale Gruppe sowohl lokale Benutzerkonten als auch Dom nenbenutzerkonten Benutzerkonten vertrauter Dom nen und globale Gruppen der Dom ne bzw einer vertrauten Dom ne enthalten Globale Gruppen werden auf Dom nenebene definiert und k nnen an ferne Dom nen exportiert werden Mitglieder von globalen Gruppen k nnen Dom nenbenutzerkonten oder Benutzerkonten vertrauter Dom nen sein Ein lokaler Benutzer hingegen kann einer globalen Gruppe nicht angeh ren Windows NT verf gt standardm ig ber mehrere integrierte globale Gruppenkonten unter Windows NT verwenden Wenn Tivoli SecureWay User Administration auf einem Windows NT Dom nenserver installiert ist verwaltet die Anwendung die Dom nenkonten die Dom nengruppenzugeh rigkeiten und die loka len Gru
106. um zwei Varianten der Multiplexverteilungstechnologie MDist 2 ist dabei eine Erweiterung von MDist 1 die in der Lage ist die anspruchs vollen Verteilungsanforderungen der Softwareanwendungen von Tivoli Enterprise zu erf llen Namensregistrierdatenbank In einer Tivoli Umgebung ein Namensdienst der aus einer zweidimensionalen Tabelle besteht mit deren Hilfe in einer Tivoli Management Region TMR Ressourcennamen zu Ressourcen IDs und zugeh rigen Informationen zugeordnet werden NetWare verwaltete Station In einer Tivoli Umgebung eine Ressource die a einen Novell NetWare Server auf dem Tivoli NetWare Repeater TNWR installiert ist und b einen oder mehrere Client s darstellt Eine NetWare verwaltete Station erm glicht die Verteilung von Profilen durch den NetWare Server an mindestens einen angegebenen Client PC ber TCP IP oder IPX Objekt 1 In der objektorientierten Entwicklung oder Programmierung eine konkrete Reali sierung einer Klasse die aus Daten und Operationen besteht die diesen Daten zuge ordnet sind 2 In einer objektorientierten Entwicklung oder Programmierung ein Objekt das eine Instanz einer Klasse ist Eine Klasse ist ein Modell oder eine Scha blone Wenn einer Klasse ein Konstruktor zugeordnet wird wird ein Objekt erstellt mit den Merkmalen und Verhaltensweisen die f r die Klasse definiert wurden Merkmale werden als Attributwerte angegeben Das Verhalten ist in Methoden defi niert Objektgruppe In
107. unter UNIX sondern zum Beispiel unter Windows NT ist kein Vergleich mit nach UNIX Standard verschl sselten Kennw rtern m glich da das Verschl sselungs programm nicht verf gbar ist Bevor ein Endbenutzer sein UNIX Kennwort auf einem TMR Server ndern kann der kein UNIX System ist aber von einem UNIX End punkt seine Daten erh lt muss ein Tivoli Administrator das UNIX Kennwort festlegen Berechtigungsklassen f r Kennwort nderungen 86 F r den Aufruf der administratorspezifischen Version des Befehls wpasswd ben tigten Tivoli Administratoren bisher die TMR Berechtigungsklasse admin Mit dieser Berechtigungsklasse erhielt der Administrator die M glichkeit alle Benutzerprofile die den angegebenen Anmeldenamen enthalten sowie alle Subskribenten die ser Benutzerprofildatens tze zu aktualisieren Die administrator spezifische Version des Befehls wpasswd kann daher auch f r die Synchronisation von Kennw rtern verwendet werden w hrend gleichzeitig verhindert wird dass Kunden Administratorzugriffe im Zusammenhang mit Kennwort nderungen beeinflussen oder ein schr nken Die Berechtigungsklasse Admin_Mod_Password erm glicht die Ausf hrung der administratorspezifischen Version des Befehls wpasswd gestattet dar ber hinaus jedoch keine Aktionen f r die in der Regel die Berechtigungsklasse admin erforderlich ist Inwieweit der vom Administrator abgesetzte Befehl wpasswd ausgef hrt wird h ngt davon ab auf welche Ben
108. uoyemion ozjesuspepusddnig e Datens tze anhand der Profilrichtlinie berpr fen 2 W hlen Sie die Option Auswerten im Men Profil aus Tivoli SecureWay User Administration berpr ft die Datens tze im aus gew hlten Gruppenprofil und zeigt einen Dialog an in dem die Datens tze aufgelistet werden die die G ltigkeitspr fung nicht bestanden haben Z Ergebnisse der Richtlinieng ltigkeitspr fung Ergebnisse der Richtlinieng ltigkeitspr fung f r Profil group in Profilmanager admin Alle Datens tze haben die Richtlinieng ltigkeitspr fung bestanden Verlassen Befehlszeile Im folgenden Beispiel werden Datens tze in einem Gruppenprofil berpr ft wvalidate GroupProfile developers Befehlsausgabe dgates G ltigkeitspr fung fehlgeschlagen rroyer G ltigkeitspr fung fehlgeschlagen Informationen zum berpr fen eines Gruppendatensatzes ber die Befehlszeile finden Sie in der Beschreibung des Befehls wvalidate im Handbuch Tivoli Framework Reference Manual Gruppendatensatz suchen 326 Es gibt Situationen in denen Sie ein Profil ge ffnet haben und dort eine Gruppe suchen m ssen Tivoli SecureWay User Administration stellt Ihnen ein Tool f r die Suche nach Gruppen in einem Profil zur Verf gung Version 3 8 Gruppendatensatz suchen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebu
109. vollst ndige Liste der gesch tzten Konten finden Sie im Handbuch Tivoli SecureWay User Administration Refe rence Manual In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerprofil l schen Profilmanager senior Tivoli SecureWay User Administration Management Handbuch 129 us y9L1ula a lJo d az nuag e Benutzerprofile einrichten Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Benutzerprofil zu l schen 1 Klicken Sie in einem Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager BEE 2 W hlen Sie das zu l schende Benutzerprofil aus 130 Version 3 8 Benutzerprofile einrichten 3 W hlen Sie Profile gt L schen im Men Editieren aus um einen Best tigungsdialog anzuzeigen er Profile l schen Bisi E Ausgew hlte Profile aus gp m Ja Profilmanager admin l schen Die Originalprofile UND alle ihre Kopien werden gel scht 4 Klicken Sie auf L schen um das Profil zu l schen und zum Fenster Profilmanager zur ckzukehren Tivoli SecureWay User Administration l scht das Profil und dessen Kopien aus den zugeordneten Profilmanagern
110. waddusreptype bekannt gegeben Die Syntax dieses Befehls zeigt dass alle Endpunktarten ber unter schiedliche Merkmale verf gen waddusreptype e Endpunktartcode n Endpunktartname Ta Attributpr fix 1 Anmeldeattributname w Kennwortattributname x Attributname f r vorzeitigen Ablauf xe Wert f r Aktivierung des vorzeitigen Ablaufs xd Wert f r Inaktivierung des vorzeitigen Ablaufs w maximale Kennwortl nge cn Klassenname c Kontextattributname Tivoli SecureWay User Administration Management Handbuch 87 Bunyema9aAuOMUUDY E Kennw rter und Endpunktarten 88 F r die Definition einer neuen Endpunktart gelten die folgenden Regeln Jeder Endpunktart ist ein langer Endpunktname der angezeigt wird und ein kurzer Endpunktcode zur Eingabe zugeordnet m Alle Endpunktartattributnamen m ssen mit einem eindeutigen Attributpr fix beginnen m Es muss ein Anmeldeattribut angegeben werden m Es muss ein Kennwortattribut angegeben werden m Wenn der vorzeitige Kennwortablauf unterst tzt wird m ssen der Name des Attributs f r den vorzeitigen Kennwortablauf sowie g ltige Werte f r dieses Attribut angegeben werden die anzeigen ob der vorzeitige Kennwortablauf aktiviert oder inakti viert werden soll m Wenn die L nge des Kennworts begrenzt ist muss diese L nge angegeben werden m Wenn die Anmeldung durch einen Kontext wie beispielsweise NetWare und Windows 2000 qualifiziert ist
111. wenn Sie die Option Skript ausgew hlt haben a Klicken Sie auf Skriptargumente editieren fr her Prozedurargumente editieren um den Dialog Argumente des Richtlinienskripts fr her Argumente der Richtlinien prozedur anzuzeigen Bestimmen Sie mit diesem Dialog die Reihenfolge der Skriptargumente Tivoli SecureWay User Administration Management Handbuch 287 UauuOuuIg a Jo dusddnig oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 0 Argumente der Richtlinienprozedur L lolx Konfigurationsprofil Rechenzentrum in Profilmanager admin Prozedurargumente Festlegen und schlie en Festiegen Zur cksetzen Schie en oe Z b W hlen Sie die Datensatzattribute die die Skriptargumente f r das Richtlinienskript des aktuellen Attributs werden sol len in der Liste Attribute aus Klicken Sie auf den Rechts pfeil um die Attribute in die Liste Skriptargumente fr her Prozedurargumente zu verschieben Sie k nnen die Reihenfolge ndern in der ein Argument auf gerufen wird indem Sie das Argument ausw hlen und auf den Aufw rtspfeil bzw den Abw rtspfeil klicken um das Argument an die gew nschte Position zu verschieben c Klicken Sie auf Festlegen und schlie en um die neuen Argumente hinzuzuf gen und zum Dialog Standardwerte gruppen editieren zur ckzukehren d Klicken Sie im Dialog Standardwertegruppen editieren auf Skripthauptteil editieren Prozedurhaupttei
112. wer tusr wdelusr wgetusr wlsusrs wsetusr und wsetusrs Im Unterschied zu herk mmlichen Berechtigungsklassen sind die Task spezifische Berechtigungsklassen die Administratoren globale nderungen an Konten erm glichen hierarchisch gegliedert Die Berechtigungsklasse Admin_Edit_Account stellt die h chste Ebene dar sie erm glicht das Hinzuf gen ndern und Anzeigen von Benutzerdatens tzen Die Berechtigungsklassen Admin_Add_Ac count Admin_Delete_Account und Admin_Mod_Account geh ren der n chsten Ebene an Alle drei Berechtigungsklassen zusammen entsprechen der Berechtigungsklasse Admin_Edit_Account Die Berechtigungsklasse Admin_View_Account stellt die unterste Ebene dar sie erm glicht Administratoren lediglich die Anzeige von Daten s tzen Version 3 8 Task spezifische Berechtigungsklassen Die folgende Liste gibt eine bersicht ber den Wirkungsbereich der einzelnen Task spezifischen Berechtigungsklassen dieser Kategorie Admin_Edit_Account Berechtigt den Administrator zum Editieren Hinzuf gen ndern L schen und Anzeigen von Benutzer datens tzen Admin Add Account Berechtigt den Administrator ledig lich zum Hinzuf gen und Anzeigen von Benutzerdatens tzen Admin Mod Account Berechtigt den Administrator ledig lich zum ndern der Attribute vor handener Benutzerdatens tze und zum Anzeigen von Datens tzen Anmerkung Die Berechtigungsklasse Admin Mod Account erm glicht Adminis tratoren die
113. wird Anmerkung Wird in Releases h her als V3R2 unterst tzt YES NO Tivoli SecureWay User Administration Management Handbuch 393 usyemion J9Z1nu9g 007 SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte O0S400_Loc_TIMSEP YES Gibt an ob das Zeittrennzeichen der L nder NO einstellung verwendet werden soll Anmerkung Wird in Releases h her als V3R2 unterst tzt OS400 Login Name Eine Zeichenfolge mit 10 Zeichen Gibt den Anmeldenamen des Benutzers an oder weniger OS400_Login_Enablement ENABLED Gibt an ob die Anmeldung des Benutzers DISABLED m glich ist OS400_Login_Text Beschreiben Gibt die Beschreibung des Benutzerprofils in Textform an Eine Zeichenfolge mit 50 Zeichen oder weniger OS400_Max_Storage Gibt den maximalen Zusatzspeicherplatz f r permanente Objekte an NOMAX Max_KB Die zul ssige Anzahl von Kilobytes 0S400_MSGQ USRPRF Gibt die Nachrichtenwarteschlange an die War teschlangenname diesem Benutzer zugeordnet ist Ein Warteschlangenname im Format LIB QUEUE O0S400_MSG_Delivery NOTIFY Gibt an wie die Nachrichten bermittelt wer HOLD den Diese Nachrichten werden an die Nach richtenwarteschlangen gesendet die dem BREAK Benutzerprofil zugeordnet sind DET 0S400_MSG_Sev_Level Bewertungscode Gibt die niedrigste Bewertung f r Nachrich ten an die dennoch an Benutzer im Z
114. wird Tivoli SecureWay User Administration berpr ft allerdings nur die Attribute von Benutzerdatens tzen die der Richtli nie f r G ltigkeitspr fung zugeordnet wurden Wenn die Richtlinie f r G ltigkeitspr fung ge ndert wurde seit Sie das letzte Mal Daten s tze hinzugef gt oder ge ndert haben k nnen Sie alle Datens tze des Profils auf einmal berpr fen um so die Datens tze zu finden die der neuen Richtlinie nicht entsprechen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Datens tze in Bezug Benutzerprofil admin auf die Profilrichtlinien berpr fen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren F hren Sie folgende Schritte aus um Datens tze nach nderung der Richtlinie anhand der Profilrichtlinie zu berpr fen 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie berpr fen m chten Weitere Informationen zur Ver wendung der Benutzersuchfunktion finden Sie unter 2 ffnen Sie in der Benutzersuchfunktion den Dialog Benutzer profilmerkmale 3 W hlen Sie die zu berpr fenden Datens tze aus 4 W hlen Sie Auswerten im Men Profil aus das sich im Fenster Benutzerprofilmerkmale befindet um den Dialog Ergebnisse der Richtlinieng ltigkeitspr fung anzuzeigen in dem die
115. zugeordnet ist die anzeigen dass es sich um ein aktives Kennwort handelt Mit diesem Profilverteilungsmodus k nnen Sie die Konsistenz der Systemdaten mit Profildaten sicher stellen und dennoch den Endbenutzern die Steuerung ihrer eigenen Kennw rter unter Verwendung von betriebssystemeigenen Tools erm glichen Benutzer und Gruppen Indexdatenbanken und der Befehl wchkadmdb 374 Tivoli SecureWay User Administration verwaltet drei Arten von Hilfsdatenbanken in der TNR TNR Tivoli Name Registry die als Referenz f r die Profildatens tze die in CCMS gespeichert sind die nen m Die Benutzernamensdatenbank die Benutzer anhand ihres Anmeldenamens suchen m Die Benutzer ID Datenbank die Benutzer anhand ihrer UNIX Benutzer ID suchen m Die Datenbank der Benutzersuchfunktion die Benutzer anhand ihres tats chlichen Namens suchen ber diese Datenbanken kann durch eine Eingabe der entsprechende CCMS Satzschl ssel zum Abrufen des Benutzerdatensatzes festge stellt werden Mit dem Befehl wchkadmdb k nnen Fehler diagnostiziert und beho ben werden Er wird vor allem dann von der Tivoli Kundenunter st tzung zur Fehlerbehebung verwendet wenn die Profildaten von den Indexdatenbanken nicht mehr richtig gespiegelt werden Der Version 3 8 Benutzer und Gruppen Indexdatenbanken und wchkadmdb Befehl ist nicht f r regelm ig durchgef hrte Bereinigungen der Arbeitsplatzumgebung gedacht Wenn der Befehl w hrend der Aktua li
116. zum UNIX Kennwort Mit der Option UNIX Kennwort k nnen Sie das Kennwort des Benutzers festlegen und bestimmte Kenndaten bez glich des Benutzerkennworts definieren 1 W hlen Sie in der Merkmalliste die Option UNIX Kennwort aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen Version 3 8 Informationen zu UNIX Benutzerkonten UNIX Kennwort Ze Benutzereingabesteuerung C Administratoreingabesteuerung I Erstanmeldung E G ltigkeit Dauer Aachen Maar e Maximam 2 Geben Sie im Feld Kennwort das Kennwort des Benutzers ein 3 W hlen Sie das Optionsfeld Benutzereingabesteuerung aus damit der Benutzer das Kennwort steuern kann ODER W hlen Sie das Optionsfeld Administratoreingabesteuerung aus damit der Administrator das Kennwort des Benutzers steuern kann 4 W hlen Sie das Kontrollk stchen Erstanmeldung aus damit Kennw rter nur f r die Erstanmeldung g ltig sind Bei Auswahl des Kontrollk stchens Erstanmeldung wird der Benutzer bei sei ner n chsten Anmeldung nach der Verteilung des Benutzerprofils aufgefordert sein Kennwort zu ndern 5 W hlen Sie das Kontrollk stchen G ltigkeit aus um die Kennwortg ltigkeitsdauer zu begrenzen Wenn dieses Kontroll k stchen ausgew hlt ist wird ein Haken darin angezeigt a Geben Sie im Feld Minimum die Mindestg ltigkeitsdauer des Kennworts ein b Geben Sie im Feld Maximum die maximale G ltigkeitsdauer des Ke
117. 0 Datensichtger tsitzung OS 400 Gruppenzugeh rigkeit OS 400 International OS 400 Anmeldung OS 400 Ausgabe OS 400 Kennwort OS 400 Berechtigungen OS 400 Sitzungsinitialisierung Besondere OS 400 Optionen AS 400 spezifische Funktionen Die Benutzerverwaltungsfunktionen sind mit Hilfe eines benutzer definierten Codes der die Informationen zwischen dem Tivoli und dem OS 400 Benutzerprofilformat umsetzt auf AS 400 Systeme erweitert worden Die folgenden Funktionen sind verf gbar m Erstellen und ndern von USRPRF Objekten und Attributen m L schen von USRPRF Objekten Tivoli SecureWay User Administration Management Handbuch m Basisverwaltung von USRPRF Objekten 383 usyemion 19z nu g 00t SV V AS 400 spezifische Funktionen 384 Weitergeben Suchen Sie k nnen ber die Tivoli Arbeitsoberfl che AS 400 Benutzerprofile an AS 400 Endpunkte weitergeben Es wird empfohlen die Profile logischen Verwaltungsgruppen zuzuordnen die auf die Bed rfnisse Ihres Unternehmens zugeschnitten sind Sie k nnen auch den Befehl wpopusrs verwenden um ausgew hlte Benutzerprofile an einen AS 400 Endpunkt weiterzugeben Weitere Informationen zum Eirstel len und Weitergeben von AS 400 Benutzerprofilen finden Sie im Handbuch Tivoli SecureWay User Administration Management Hand buch In diesem Dokument finden Sie au erdem die in der Befehls zeile zu verwendende Syntax und Beispiele f r den Befehl wpo pusrs Anmerkung Profile dere
118. 146 222 242 wsetpr Befehl 123 277 wsetusr Befehl 233 255 wuninstpw Befehl 69 Version 3 8
119. 222222 Pennini o ERa nis 276 Betehlszeile 4 s a2 r scher aa ee 277 Gruppenprofile erstellen 277 Arbeitsoberfl che 2 2 2 a a i e a a 278 EIERE 280 Gruppenprofile Konen 280 Arbeitsoberfl che 2 2 2 2 222222 seeneeeeeen rennen 281 EI EE 282 Gruppenprofile l schen 283 Arbeitsoberfl che iss 2 2 2 e aa e een 284 Betehlszeile eg a2 dE RE den end dE 285 Mit Richtlinien von Gruppenprofilen arbeiten 2 22 00 285 xii Version 3 8 Standardwertegruppen deieren 286 Arbeitsoberfl che ranri see seen 286 Befehlszeile seriaro ANE E EIERE ENN EE EE dE ann 289 Richtlinie f r G ltigkeitspr fung definieren e 291 Arbeitsoberfl che z ser 22 02 essen 291 Befehlszeile e MINES NEES MENU NI NIR NN RR taui Tes 294 Gruppenprofile verwalten 296 Daten an Gruppenprofile weitergeben 2 222 222 eenen 296 Arbeitsoberfl che 2 22222 u tacagi iugi ea peis 297 Befehlszeile a2 dere age at aan 298 Standardwerte f r Verteilung festegen 299 Kapitel 9 Gruppendatens tze verwalten 303 Neue Datens tze f r Gruppenkonten erstellen 304 Arbeitsoberfl che ANE SEN 240802000 d en 304 Befeblszenles si a aig a miadi aat a a gelesene 307 Gruppenkontodatens tze editieren 307 Arbeitsoberfl che AER ANE HEN NR NEE ENN tase te 308 Befehlszeile u mes nee 309 Gruppenkontodatensatz l schen 222222 eeeeeeeeeeeenenn 311 Arbeitsoberf
120. 4 Konto 405 Kontooptionen 409 OS 2 Endpunkte 417 Version 3 8 P Postadresse Anzeige 161 Produktgeschichte 356 Profile Benutzer und Gruppe Einf hrung 23 bereichs bergreifende Unterst tzung 23 datenlose Profilmanager 360 Einzelheiten die erl utert werden 358 f llen ausf llen 25 Namenskonventionen 119 Profilmanager 359 Richtlinien 24 Subskribenten 359 verteilen 26 R Richtlinien 24 Richtlinien f r G ltigkeitspr fung definieren 138 291 Skriptargumente editieren 141 verwenden 261 324 S SERVERS Gruppenkonto 419 Sicherheitsverwaltung 29 siehe auch Berechtigungsklasse 29 SIS siehe Software Installation Service gt 48 Sortieren Attribute von Gruppendatens tzen 332 Benutzerdatens tze 270 Datensatzattribute 272 Gruppendatens tze 330 Sperren Kopien von Benutzerdatens tzen 254 w hrend der Bearbeitung 231 Standardwertegruppen bereits festgelegt 157 definieren 132 286 Skriptargumente editieren 134 Subskribenten auf Datensatzebene 361 auf Datensatzebene festlegen 161 Datensatzebene 24 des Profilmanagers 359 Profilmanager 24 Subskriptionen auf Datensatzebene 161 Suchen Benutzerdatens tze 266 Gruppendatens tze 326 Synchronisieren Benutzerdatens tze mit Systemdateien 257 Gruppenprofile mit Systemdateien 321 T Task spezifische Berechtigungsklassen 31 Tivoli SecureWay Security Management Integra tion mit 29 Tivoli User Administration aktualisieren 70 Tivoli User Administration deinstallier
121. 9 a m Dem Attribut darf nur ein Zeichenfolgewert zugeordnet sein Skripts und Konstanten sind ung ltig Im folgenden Beispiel wird einem Benutzerprofil ein neues Attribut hinzugef gt 1 Rufen Sie den vollst ndigen Namen des Benutzerprofils ab das Sie verwenden m chten Geben Sie Folgendes in der Befehlszeile ein um eine Liste mit allen verf gbaren Benutzerprofilen abzu rufen gt wlookup r UserProfile a marketers 777777 1 515 UserProfile developers 777777 1 514 UserProfile support 7777177 1 517 UserProfile sales 777777 1 516 UserProfile Anmerkung Geben Sie den folgenden Befehl ein um Benutzer attribute aufzulisten wIspolm d UserProfile ProfileName Tivoli SecureWay User Administration Management Handbuch 351 uassedue Aem93AN99S IJOAIL LL Beispiel einer Dialoganpassung 352 2 Sie k nnen einem Benutzerprofil wie beispielsweise developers die Attribute ssn und badge wie folgt hinzuf gen gt waddprop UserProfile developers ssn gt waddprop UserProfile developers badge Anmerkung Wenn Sie das neu hinzugef gte Attribut entfernen m ssen geben Sie folgenden Befehl ein gt wrmprop UserProfile developers ssn gt wrmprop UserProfile developers badge Sie k nnen die Standardwertegruppe f r das neue Attribut zur cksetzen indem Sie die grafische Benutzerschnittstelle oder den folgenden CLI Befehl verwenden gt wputpol d c 00000 UserProfile developers badge
122. Abteilung steht auflisten Funktionsgruppen sind Gruppen f r Job Berechtigungsklassen oder Zust ndigkeiten und werden verwendet um Benutzern ihre Zugriffsberechtigungen zuzuordnen Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung Wenn es in Ihrem Unternehmen beispielsweise die Job Berechtigungsklasse Buchhalter gibt k nnen Sie die RACF Gruppe ACCOUNT f r diese Berechtigungsklasse erstellen Sie w rden dann alle Buchhalter dieser Gruppe zuordnen in der Annahme dass diese dieselben Berechtigungen ben tigen Sie w rden dann die Gruppe ACCOUNT allen Zugriffslisten f r die Ressourcen auf die die Buchhalter zugreifen m ssen zuordnen Die Benutzerattribute SPECIAL OPERATIONS und AUDITOR k nnen einem Benutzer zugeordnet werden indem der Benutzer mit einer Gruppe verbunden wird Wenn diese Attribute ber eine Gruppe zugeordnet werden hei en sie GROUP SPECIAL GROUP OPERATIONS usw Benutzer mit einem dieser Attribute k nnen mit diesem Attribut nur auf gruppeneigene Ressourcen zugreifen Lightweight Directory Access Protocol LDAP LDAP ist ein Verzeichnisdienstprotokoll das ber TCP IP ausge f hrt wird LDAP vereinfacht den Zugriff auf ein Verzeichnis da es nicht so komplex ist und weniger Funktionen verwendet LDAP stellt nicht dieselben Anforderungen an Ressourcen wie X 500 DAP DAP Directory Access Protocol Tivoli SecureWay User Administration verwaltet die Benutzerdaten in einem Ve
123. Administration Gateway Package installieren Arbeitsoberfl che Ate est NEE NEE EE E TEE EE EE Tivoli SecureWay User Administration Management Handbuch LDAP Pakete installieren 2 2 22 e 56 Arbeits berfl che reiri usa 4 NET ENEE ae 56 Befehlszeile ERENNERT sn 58 OS 2 Pakete installieren a i a e e eeeneeeeenenen 59 Arbeits berfl che sasap risa i SEET 12a en 59 Befehlszeile EE EELER ecan RR ANE A 60 AS 400 Pakete installieren 222222 n n a a a een 61 Arbeitsoberfl che 62 Befehlszeile 22 446 2a 2 2 ea en 64 OnePassword Paket installieren 2 2 ununue 65 Arbeits berfl che e ere Eresch eer nee ee en 65 Befehlszeile 22 2 2 02 2202 Be Ee Ad E e EE 67 Befehl wonepassinst ausf hren 67 Zus tzliche Verwendungsm glichkeiten von wonepassinst 69 Befehl wpasswd installieren 69 Tivoli SecureWay User Administration aktualisieren 22 2 2 70 Arbertsoberfl che AN Ne SANEM 70 Befehlszeile nun ged a een een 71 Tivoli SecureWay User Administration Pakete deinstallieren 72 Kapitel 3 Planung und Einsatz 75 Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen 76 Personen die auf Benutzerkonten zugreifen m ssen 76 Funktionsbereiche s sisca dia dEr e Seeerei 76 Berechtigungsklassen und Zust ndigkeiten 77 Gesch ftsanforderungen eu cce nesas eeaeee a i a aaa aa a ne
124. Anlei tung angegeben eingeben m ssen sind fett gedruckt Fenster und Dialognamen sowie andere Steuerelemente wer den ebenfalls fett dargestellt Kursiv Vom Benutzer einzugebende Variablen und Werte sind kursiv gedruckt Hervorhebungen von W rtern und Ausdr cken im Text sind ebenfalls kursiv Monospace Schrift Beispiele f r Codes Ausgaben und Systemnachrichten wer den in Monospace Schrift dargestellt xxii Version 3 8 Symbole Die folgenden Symbole stellen die Benutzer und Gruppenprofil ressourcen dar amp gt Benutzerprofil Gruppenprofil Benutzersuchfunktion Benutzer und Gruppenprofilressourcen werden in der Umgebung eines Profilmanagers erstellt Nach der ersten Verteilung eines Benut zer oder Gruppenprofils wird das Profilsymbol im Dialog der Subs kribenten dargestellt Bei diesen Subskribenten kann es sich um Win dows NT Dom nenserver Windows 2000 Serverendpunkte Novell NetWare NDS Serverendpunkte UNIX verwaltete Knoten und End punkte NIS Dom nen und andere verwaltete Knoten bzw andere Profilmanager handeln Das Symbol der Benutzersuchfunktion befin det sich auf der Tivoli Arbeitsoberfl che Mit dem Dialog Benutzer suchfunktion k nnen Sie einen Benutzer schnell lokalisieren Tivoli SecureWay User Administration Management Handbuch xxiii xxiv Version 3 8 Einf hrung in die Benutzer und Gruppenverwaltung Systemadministratoren m ssen unter Umst nden viel Zeit f r die Verwaltun
125. Attribut subscribers enthielt urspr nglich lediglich eine sortierte Liste mit den Namen von Endpunkten Jetzt enth lt es andere Werte die von allen Skripts die den Inhalt dieses Attributs pr fen ignoriert werden sollten Diese Werte beginnen alle mit dem Nummernzeichen das f r Ressourcennamen in einer TMR nicht verwendet werden darf Weitere Informationen zum Hinzuf gen und Bearbeiten von Benutzerdatens tzen ber die Befehlszeile finden Sie in der Beschreibung des Befehls wertusr im Handbuch Tivoli SecureWay User Administration Reference Manual Informationen zur Sicherheitsgruppe Mit der Option f r TME Sicherheitsgruppen k nnen Sie einem Benutzerdatensatz Sicherheitsgruppenzugeh rigkeiten von Tivoli SecureWay Security Manager zuordnen Jeder Benutzerdatensatz kann mehrere Sicherheitsgruppenzugeh rigkeiten besitzen Arbeitsoberfl che F hren Sie folgende Schritte aus um einem Benutzerdatensatz Sicherheitsgruppenzugeh rigkeiten von Tivoli SecureWay Security Manager zuzuordnen 1 W hlen Sie die Option TME Sicherheitsgruppen in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Tivoli SecureWay User Administration Management Handbuch 165 u S1 z su ep 1 z nu g 9 Allgemeine Informationen zu Benutzerkonten 166 2 3 4 Tivoli Gruppenliste Sicherheitsprofile Verf gbare Gruppen Ausgew hlte Gruppen BE Sicherheitsprofile laden
126. Befehl wgetuser k nnen Sie Benutzerinformationen in einem vorhandenen Profil auflisten m Mit dem Befehl wsetusr k nnen Sie Attribute in einem vorhan denen Benutzerprofil ndern 400 Version 3 8 OS 400 Benutzerkonten ndern In den folgenden Beispielen in diesem Abschnitt wird erl utert wie Sie ein Tivoli Profil f r einen AS 400 Benutzer erstellen Informatio nen zu diesem Profil abfragen und weitere Attribute f r diesen Benutzer festlegen Mit dem Befehl wertusr k nnen Sie einen neuen Benutzer in dem angegebenen Benutzerprofil erstellen Beispiel Wenn Sie ein Benutzerprofil f r den Benutzer nlloyd einen Mitarbeiter in Austin Texas erstellen m chten geben Sie den Befehl wertusr ein um den Benutzerdatensatz mit dem Namen des Mitarbeiters der Telefonnum mer und den Profilnamenattributen zu initialisieren wertusr e 512 555 1212 x 0S400_Login NICK UserProfile Austin nlloyd Dabei gilt Folgendes e 512 555 1212 Gibt eine Durchwahlnummer an x OS400_Login NICK Setzt den Wert des OS 400 Attributnamens auf NICK UserProfile Austin Gibt den Namen des Profils an in dem der Benutzerdaten satz erstellt werden soll nlloyd Gibt den Namen des Profils an in dem der Benutzerdaten satz erstellt werden soll Mit dem Befehl wgetusr werden Informationen zu einem bereits vorhandenen Benutzer im angegebenen Profil angezeigt Wenn Sie beispielsweise eine Abfrage f r das Attribut OS400_DLT_Action im AS 400 Benut
127. Bei Verwaltung des NIS Servers durch Tivoli SecureWay User Admi EC ann an aan enlarge nn Tivoli SecureWay User Administration Management Handbuch vii OnePassword 2 2 2 cc een rer 112 Voraussetzungen f r die Verwendung von OnePassword 113 Als Benutzer OnePassword verwenden 114 Als Administrator OnePassword verwenden 115 Kapitel 5 Benutzerprofile einrichten 119 Einf hrung asortar EEN een en ei 119 Benutzerprofile einrichten 122 Benutzerprofile als verwaltete Ressourcen zuordnen 122 Arbeitsoberfl che SEENEN EEN ENN A AN E 122 Betehlszeile 04 2245 22 9 2222 28 Ae EE Aen dE 123 Benutzerprofile erstellen 123 Arbeitsoberfl che scrire 22 4020 2 208208 2 24 kapeina 124 Befeblszele eosi aanmer irit dEr Set e RE A 125 Benutzerprofile Konen 126 Arbeitsoberfl che sinaua a a a a a aa 127 BetehlsZeli sausesnes 242 20000 E Eer 128 Benutzerprofile l schen SNE essen 129 Arbeitsoberfl che 2 2 20228208020 B08 pi Re 130 Betehlszeile AH 0er ee ea 131 Mit Richtlinien f r Benutzerprofile arbeiten 131 Standardwertegruppen definieren 222222220 132 Arbeitsoberfl che 2222 22er ea 132 Befehlszeile EE EELER ANEN RR Rennen 135 Plattformspezifische Standardwertegruppen inaktivieren 137 Richtlinien f r G ltigkeitspr fung definieren 138 Arbeitsoberfl che 2 2 2222000 139 Befehlszeile 4 d
128. Benutzerprofile mit dem angegebenen Anmeldenamen der Administrator Zugriff hat Beispiel m Verf gt der Administrator ber die Berechtigungsklasse admin oder Admin_Mod_Password werden die nderungen an den Benutzerprofilen erfolgreich vorgenommen Tivoli SecureWay User Administration Management Handbuch 33 Bunyemasausddnig pun 9z1nuag L Task spezifische Berechtigungsklassen 34 m Bei Anforderung einer sofortigen Weitergabe durch Angabe der Argumente l oder L bei Befehl wpasswd gilt dasselbe auch f r die Subskribenten der Benutzerprofildatens tze Mit der Berechtigungsklasse Admin_Mod_Password kann der Administrator keine Kennw rter ber den Befehl wsetusr oder den Dialog Benutzerprofilmerkmale der Tivoli Arbeits oberfl che ndern Um dem Administrator dies zu erm glichen muss ihm die Berechtigungsklasse Admin_Edit_Account Admin_Mod_Account oder eine bzw mehrere Berechtigungs klassen zugeordnet werden die nderungen an Endpunkt attributen erlauben Weitere Informationen zur Steuerung von Kennw rtern finden Sie unter L Ke e G Berechtigungsklassen f r globale Attribut nderungen Die Task spezifischen Berechtigungsklassen dieser Kategorie erm g lichen Administratoren das Hinzuf gen L schen und Anzeigen von Benutzerdatens tzen Dar ber hinaus erlauben sie auch die nderung von Attributen in einem Benutzerdatensatz Diese Berechtigungs klassen gelten f r die Tivoli Arbeitsoberfl che und die Befehle
129. EINHEIT beschreibt wie diese Res source eine Verbindung zum Anfor derer herstellt wenn sich der Benut zer anmeldet Wenn es sich um eine Plattenressource handelt k nnen Sie f r EINHEIT einen Stern f r den n chsten verf gbaren Laufwerk buchstaben bzw einen Buchstaben von D bis Z eingeben F r serielle Einheiten k nnen Sie f r EINHEIT COMI COM2 COM3 COM9 eingeben Ist die Ressource ein Dru cker kann f r EINHEIT LPTI LPT LPT9 eingegeben werden os2_max_storage Eine ganze Zahl in KB die OS 2 die maximale Speichergrenze f r ein Benutzerbasisverzeichnis anzeigt Lassen Sie das Feld leer wenn Sie keine Speichergrenze zuordnen m chten os2_userpriv_print Ein Boolescher Wert der den Benut zern die Steuerung gemeinsamer Druckwarteschlangen f r den lokalen Server erm glicht Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an 0s2_userpriv_comm Ein Boolescher Wert der den Benut zern die Steuerung gemeinsamer Warteschlangen f r DFV Einheiten f r den lokalen Server erm glicht Geben Sie Yes oder 1 f r den Wert TRUE No oder 0 f r den Wert FALSE an os2_userpriv_server Ein Boolescher Wert der den Benut zern die Steuerung gemeinsamer 422 Version 3 8 OS 2 Attributnamen in Benutzerprofilen 052_userpriv_accounts os2_password os2_password_required os2_password_admin_only os2_password_preexpire Ressourcen f r den lokalen Server er
130. ERR_ShareMem Ein interner Fehler ist aufgetreten Das Netzwerk konnte nicht auf ein Segment eines gemeinsam benutzten Speichers zugreifen 2105 NERR_NoNetworkResource Es sind nicht gen gend Netzwerk ressourcen vorhanden 2106 NERR_RemoteOnly Diese Operation wird nicht f r Work stations unterst tzt 2107 NERR_DevNotRedirected Es besteht keine Verbindung zu der Einheit 2114 NERR_ServerNotStarted Der Serverdienst wurde nicht gestar tet 2115 NERR_ItemNotFound Die Warteschlange ist leer 2116 NERR_UnknownDevDir Die Einheit oder das Verzeichnis ist nicht vorhanden 2117 NERR_RedirectedPath Die Operation ist f r eine umgeleitete Ressource ung ltig 2118 NERR_DuplicateShare Der Name wird bereits gemeinsam benutzt 2119 NERR_NoRoom Der Server verf gt momentan nicht ber die angeforderte Ressource 2121 NERR_TooManyltems Die Anforderung ein Element hinzu zuf gen berschreitet das zul ssige Maximum 2122 NERR_InvalidMax Users Der Peer Dienst unterst tzt nur zwei simultane Benutzer 2123 nNERR_BufTooSmall Der API R ckgabepuffer ist zu klein 2127 NERR_RemoteErr Ein ferner API Fehler ist aufgetreten 2131 NERR_LanmanlniError Beim ffnen bzw Lesen der Datei IBMLAN INI ist ein Fehler aufgetre ten 2134 NERR_OS2loctlError Beim Aufruf des Workstation Treibers ist ein interner Fehler aufgetreten 2136 NERR_NetworkError Ein allgemeiner Netzwerkfehler ist aufgetreten 2138 NERR_WkstaNotStarted Der Requester Dienst wurde
131. Ee dees nee 142 Benutzerprofile verwalten 144 Daten an Benutzerprofile weitergeben 144 viii Version 3 8 Arbeitsoberfl che 2 2 22 cc ccm 149 Betehlszeile kiise aan na 151 Standardwerte f r Verteilung festlegen 152 Kapitel 6 Benutzerdatens tze erstellen 155 Neue Datens tze f r Benutzerkonten erstellen 156 Allgemeine Informationen zu Benutzerkonten 160 Informationen zur Benutzeridentifikation aana 160 Informationen zur Postadresse 161 Informationen zu Subskribenten 22 2222222 ces 161 Arbeitsoberfl che IS KAL EIN EEN EN EA EN ELE RR 162 Beiehlszeile s serrr ar 82 042400 ELE re naar 164 Informationen zur Sicherheitsgruppe 165 Arbeitsoberfl che EEN des 165 Befehlszeile x 5 04 42 00 00 Eu aa sr rear 167 Informationen zur Sicherheitsrichtlinie 22222222000 169 Arbeitsoberfl che 22 222222 s rora csti tata knEEE g 169 Befehlszeile 45 42 5 40 erir EE ee EE aa 171 Informationen zu Windows NT Benutzerkonten 22 2 2222 20000 172 Informationen zur Windows NI Anmeldung 173 Informationen zur Windows NT Anmeldezeit 222 174 Informationen zum Windows NT Kennwort 2 22222220 175 Informationen zum Windows NT Verzeichnis 22 2222 176 Informationen zur Windows NT Gruppenzugeh rigkeit 177 Informationen zu Windows NT Workstations 2 2 222 200 177 Informationen zum Windo
132. Fehlercode zur ckgegeben 2501 NERR_ProgNeedsExtraMem Das folgende Programm ben tigt mehr Speicherplatz 2502 NERR_BadDosFunction Das folgende Programm hat eine MS DOS Funktion aufgerufen die nicht unterst tzt wird 2503 NERR_RemboteBootFailed Die Workstation konnte nicht gebootet werden 2504 NERR_BadFileCheckSum Die folgende Datei ist besch digt 2508 NERR_ImageParamErr Parametersubstitution f r Image ist fehlgeschlagen 2509 NERR_TooManylmageParams Die Anzahl der Imageparameter die Plattensektorgrenzen berschreiten ist zu hoch 2510 NERR_NonDosFloppyUsed Das Image wurde nicht von einer MS DOS Diskette die mit S forma tiert wurde generiert 2513 NERR_CantConnectRplSrvr Es kann keine Verbindung zum Remoteboot Server hergestellt wer den 2514 NERR_CantOpenlmageFile Imagedatei auf dem Remoteboot Server konnte nicht ge ffnet werden 2515 NERR_CallingRplSrvr Verbindung zum Remoteboot Server wird hergestellt 2516 NERR_StartingRplBoot Verbindung zum Remoteboot Server wird hergestellt 2525 NERR_FTNotInstalled DISKFT SYS ist nicht installiert wor den 2526 NERR_FTMONITN otRunning FTMONIT ist nicht aktiv 2527 NERR_FTDiskNotLocked Der Prozess FTADMIN hat den Datentr ger nicht gesperrt 2528 NERR_FTDiskNotAvailable Ein anderer Prozess hat den Datentr ger gesperrt 2529 NERR_FTUnableToStart Das Pr f bzw Korrekturprogramm kann nicht gestartet werden 2530 NERR_FTNotInProgress Das Pr f bzw Korrekturprogra
133. IX Kennwoltt 222222 eneeeeen nn 212 Informationen zum UNIX Merzechns eeeen en 213 Unterst tzung f r UNIX Basisverzeichnisse 214 UNIX Basisverzeichnisse erstellen 222222222000 215 UNIX E M il EE E EE E e EE nina 220 Kapitel 7 Benutzerdatens tze verwalten 221 Allgemeine Vorg nge f r Benutzerdatens tze 2222222 ueeenen 223 Version 3 8 Benutzerdatens tze suchen 223 Voraussetzungen 224 Benutzer hinzuf gen 224 Ben tzer suchen zas 22 2e 22 2 2220 Hann 225 Benutzer editieren 2 2222 ceeeseeeeneeeeeeeeneenenn 228 Benutzer l schen 2 Ee EE Ee Ae 228 Benutzerdatens tze anzeigen 229 Arbeitsoberfl che ori cisicirrerrissrreriricari tirida 230 Befehlszeile u 2 22040 008 Er EA ea 231 Benutzerdatens tze editieren 231 Arbeitsoberfl che 22 222222 ropac tirati brara es 232 Befehlszeile A EE Errn EPEE EE ECTE aka 233 Benutzerdatens tze zusammenf gen unnan naur 234 Benutzerdatens tze l schen 2 22222222 ces eeeneeeenenn 236 Arbei ts berfl che 2 ENEE EEN ENEE 236 Befehlszeile a2 2 22 2220 12 20 a EE 237 Benutzerdatens tze formatieren 2 22222 ces ceeeeeeeeeenneenn 237 Ausgabe des Befehls wusrdbrep 238 Benutzerdatens tze aus Tivoli entfernen 2 nnana aana naaa 241 Gruppenprofile an Subskribenten verteilen 2 22 2220 241 Arbeits berfl che us tirpus rE EFECTE
134. Ist dies der Fall wird ein RACF definierter Benutzer daran gehin dert auf das System bzw auf bestimmte Gruppen zuzugreifen m Ob der Benutzer das System an diesem Tag bzw zu dieser Zeit verwenden darf m Ob der Benutzer auf das Terminal zugreifen darf 18 Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung Ressourcenberechtigung Wenn der Benutzer den Zugriff auf eine Ressource anfordert gibt die Systemressourcenverwaltung eine RACF Anforderung aus um zu pr fen ob der Benutzer dazu berechtigt ist auf die Ressource zuzu greifen RACF berpr ft das Profil das die Informationen zu der angeforderten Ressource in der RACF Datenbank enth lt RACF bergibt diese Informationen an die Systemressourcenverwaltung Auf Grundlage dieser Informationen erteilt bzw verweigert die Systemressourcenverwaltung den angeforderten Zugriff RACF Benutzerattribute Benutzer mit verschiedenen Job Berechtigungsklassen ben tigen unterschiedliche Zugriffsberechtigungen f r Ressourcen ber die RACF Benutzerattribute k nnen einem Benutzer Sonderzugriffs berechtigungen f r Ressourcen erteilt werden Durch die Benutzer attribute ist auch festgelegt was ein Benutzer mit der RACF Daten bank machen darf Es folgen Beispiele f r grundlegende RACF Benutzerattribute m SPECIAL Dieses Benutzerattribut wird RACF Administratoren zugeordnet die dazu berechtigt sind alle RACF Befehle zu ver wenden und s mtliche Profilarten in der
135. Kommunikation untereinander erm glicht Ein Gateway besteht aus einem Gateway NCP Network Control Programm und mindestens einem Gateway VTAM In einer Tivoli Umgebung eine Software auf einem verwalteten Knoten die alle bertragungsdienste zwischen einer Gruppe von Endpunkten und der brigen Tivoli Umgebung herstellt Das Gateway verf gt ber die MDist Funktion Multiplexed Distribution und kann so als Ausgabef cherungspunkt Verteilungen an eine Vielzahl von Endpunkten vornehmen In einer Tivoli Umgebung eine von einer Systemverwaltungsoperation generierte Nachricht die Informationen zu einem Ereignis oder dem Status einer Anwendung enth lt Die Hinweise werden in Hinweisgruppen gespeichert Siehe auch Hinweisgruppe In einer Tivoli Umgebung ein anwendungs oder vorgangsspezifischer Container der auf bestimmte Tivoli Funktionen bezogene Hinweise speichert und anzeigt Das Schwarze Brett von Tivoli besteht aus Hinweisgruppen Einem Tivoli Administrator k nnen eine oder mehrere Hinweisgruppe n zugeordnet werden das Schwarze Brett des Administrators enth lt nur die Hinweise aus einer Hinweisgruppe die dem Administrator zugeordnet wurden Installations Repository IR Instanz Job In Tivoli Software Installation Service SIS das Verzeichnis mit wieder verwendbaren Installationsimages und weiteren Daten die von SIS verwendet wer den In der objektorientierten Programmierung ein Objekt das auf Basis eines f r eine Kla
136. Load Security Profiles Daraufhin wird nach allen verf gbaren Sicherheitsprofilen gesucht Die verf gbaren Sicherheitsprofile werden dann in der ListeSicherheitsprofile aufgef hrt 3 W hlen Sie ein Sicherheitsprofil in der Liste Sicherheitsprofile aus um in der Liste Verf gbare Gruppen alle Sicherheitsrichtli niendatens tze anzuzeigen die dem Profil zugeordnet sind 4 W hlen Sie eine oder mehrere Sicherheitsrichtliniengruppe n in der Liste Verf gbare Systemrichtliniendatens tze Available System Policy Records aus und klicken Sie auf den Rechtspfeil Dadurch werden die ausgew hlten Gruppen in die Liste Ausge w hlte Systemrichtliniendatens tze Selected System Policy Record verschoben Dieser Benutzerdatensatz wird allen Sicher heitsrichtliniendatens tzen in der Liste Ausgew hlte System richtliniendatens tze zugeordnet 5 Wenn Sie die Qualit tsregeln wie im folgenden Beispiel anzeigen m chten w hlen Sie den gew nschten Systemrichtliniendatensatz in der Liste Ausgew hlte Systemrichtliniendatens tze aus und klicken Sie auf die Schaltfl che Qualit tsregeln anzeigen Show Quality Rules 170 Version 3 8 Allgemeine Informationen zu Benutzerkonten 22 Tivoli jol x Your password will fail the SSO quality rules if in its first 255 characters it has a character repeated more than 2 times has fewer than 1 alphanumeric characters has fewer than 5 characters has fewer than 1 lower case characters
137. OnePassword sucht anschlie end in den Benutzerprofilen nach der Benutzer ID Stimmt das alte Kennwort mit dem allgemeinen Kennwort im Profil berein ersetzt OnePassword das alte Kennwort durch das neue Kennwort f r UNIX und NT und ersetzt das allgemeine Kennwort Hierdurch werden die Kennwortattribute des Benutzers im entspre chenden Benutzerprofil aktualisiert OnePassword verteilt das neue Kennwort im Benutzerprofil anschlie end an alle zugeordneten End punkte Voraussetzungen f r die Verwendung von OnePass word F r die ordnungsgem e Verwendung von OnePassword muss Java script aktiviert sein Sollte dies nicht so sein ist die Weiterleitung bzw Ausf hrung der HTML Seiten von OnePassword nicht m glich Bei Verwendung von Internet Explorer ist Javascript standardm ig aktiviert Falls Sie Netscape verwenden m ssen Sie folgende Schritte ausf hren um Javascript zu aktivieren W hlen Sie nacheinander die Optionen Bearbeiten gt Einstellungen gt Erweitert gt JavaScript aktivieren Tivoli SecureWay User Administration Management Handbuch 113 Bunyema9aAuOMUUDY E OnePassword Als Benutzer OnePassword verwenden Als Benutzer k nnen Sie auf die OnePassword Website zugreifen und dort Ihre eigenen Kennw rter ndern F hren Sie folgende Schritte aus um ber OnePassword Ihre eige nen Kennw rter zu ndern ffnen Sie die Seite http HTTP Server OnePassword html HTTP Server steht dabei f r die URL des Webse
138. PI Ergebniscodes k nnen Sie m glicherweise die Ursache des Verteilungsfehlers feststellen Bedieneraktion Nicht zutreffend Erl uterung Das Benutzerprofil das an den OS 2 Endpunkt verteilt wurde ent h lt keine OS 2 spezifischen Daten Bedieneraktion Nicht zutreffend Erl uterung Der Tivoli Verwaltungsagent der unter OS 2 ausgef hrt wird hat eine Fehlernachricht erhalten Die OS 2 Fehlernummer wird angezeigt M gliche Ursachen hierf r sind m Der Tivoli Verwaltungsagent hat auf einen ung ltigen Speicher zugegriffen m Der Tivoli Verwaltungsagenten Prozess wurde gestoppt m Die Speicherkapazit t des Tivoli Verwaltungsagenten ist ersch pft Bedieneraktion In der Include Datei bsexcpt h des OS 2 Toolkits C finden Sie die Definitionen der OS 2 Fehler FEHLER 105 Erl uterung Der Tivoli Verwaltungsagent auf dem OS 2 Endpunkt konnte keine Verbindung mit dem TMR Server herstellen Bedieneraktion Nicht zutreffend 440 Erl uterung Der Tivoli Verwaltungsagent wird auf einem prim ren oder Back up OS 2 Dom nencontroller ausgef hrt und an diesem System wurden keine Kon ten mit Administratorberechtigungen angemeldet Ein Konto mit Administrator berechtigungen ist f r die Verwaltung des Basisverzeichnisses erforderlich Bedieneraktion Erstellen Sie ein Konto mit Administratorberechtigungen f r die Verwaltung des Basisverzeichnisses Version 3 8 OS 2 Verteilungsfehler Erl uterung W hr
139. Package instal liert wird Im folgenden Beispiel wird das Tivoli SecureWay User Administra tion for OS 2 Gateway Package installiert winstall c cdrom s fuji i 0S2G W IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s fuji Gibt an dass das Paket auf dem Gateway fuji installiert wird Das Tivoli SecureWay User Administra tion Gateway Package ist auf dieser Maschine bereits installiert i OS2GW IND Gibt die Indexdatei an ber die das Tivoli SecureWay User Administra tion for OS 2 Gateway Package installiert wird Weitere Informationen finden Sie im Abschnitt zum Befehl winstall im Handbuch Tivoli Framework Reference Manual AS 400 Pakete installieren Tivoli SecureWay User Administration for AS 400 kann zusammen mit Tivoli SecureWay User Administration f r die Verwaltung von Benutzerkonten unter AS 400 eingesetzt werden Weitere Informatio nen zur Verwaltung von AS 400 Konten finden Sie im AS 400 An hang des Handbuchs Tivoli SecureWay User Administration Manage ment Handbuch Tivoli SecureWay User Administration Management Handbuch 61 us4a jjelsu 2 AS 400 Pakete installieren 62 Arbeitsoberfl che F hren Sie folgende Schritte aus um das AS 400 Paket ber die Tivoli Arbeitsoberfl che zu installieren 1 2 W hlen Sie im Men Arbeitsoberfl che die Option Installieren gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen Produkt
140. Pfeiltasten um Clientnamen zwischen der Liste Clients f r die Installation und der Liste Verf gbare Clients zu verschieben Standardm ig sind alle Clients in der aktuellen TMR in der Liste Clients f r die Installation enthal ten Klicken Sie auf Installieren und schlie en wenn nur ein Pro dukt installiert werden soll Sollen mehrere Produkte installiert werden klicken Sie auf Installieren um in den Dialog Produkt installieren zur ckzukehren Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben Klicken Sie auf Schlie en um den Dialog zu schlie en Tivoli SecureWay User Administration ist nun auf den ausgew hlten verwalteten Knoten installiert Version 3 8 Tivoli SecureWay User Administration installieren Befehlszeile Im folgenden Beispiel wird Tivoli SecureWay User Administration Version 3 8 installiert winsta
141. Qualit ts regeln f r das Kennwort angezeigt Arbeitsoberfl che F hren Sie folgende Schritte aus um einem bestimmten Benutzer datensatz einen Systemrichtliniendatensatz in einem Sicherheitsprofil zuzuordnen und die Qualit tsregeln in dem ausgew hlten System richtliniendatensatz anzuzeigen 1 W hlen Sie die Option TME Sicherheitsrichtlinie in der Merk malliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale User Properties anzuzeigen Tivoli SecureWay User Administration Management Handbuch 169 ugjla s a azjesusjep szinuag 9 Allgemeine Informationen zu Benutzerkonten 3 User Properties Iofx User Profile mmm up Edit Record for Lovely Lady1 Profile Manager pm1 Category Ja User Name Lovely Lady1 03400 Password a Common Login ladyt Common Password 03400 Privileges 03400 Session Startup TME Policy List 03400 Special Options Security Profiles Available System Policy Records Selected System Policy Record W2k Directory W2k Groups cy Password Policy High Security W2k Login ai pi Standard Security W2k Login Tine WO Password W2k Renote Access W2k WebGroup m W2k Extra Identification TME Security Groups 05 2 Account 05 2 Account Options 05 2 Logon Assimnents 05 2 Applications Set amp Close se Generate Defaults Resei ciose Her 2 Klicken Sie auf die Schaltfl che Sicherheitsprofile laden
142. RACF Datenbank zu definieren Das Attribut RACF SPECIAL erm glicht dem Benut zer den Inhalt der RACF Datenbank zu verwalten Dem Benut zer werden jedoch f r den Zugriff auf die anderen OS 390 Ressourcen keine Sonderberechtigungen erteilt die ber die Berechtigungen eines normalen Benutzers hinausgehen m OPERATIONS Dieses Benutzerattribut erm glicht dem Benut zer den Zugriff auf alle Datens tze und einige zus tzliche Ressourcenklassen im System Au erdem erm glicht dieses Attribut dem Benutzer das Anlegen von Datens tzen f r andere Benutzer im System Aus Sicherheitsgr nden sollte dieses Attri but nur tempor ren Benutzer IDs zugeordnet werden die in Not f llen ge ffnet werden m AUDITOR Dieses Benutzerattribut wird Benutzern zugeord net die f r die berwachung der RACF Datenbank sowie der Systemprotokolle und der Systemintegrit t zust ndig sind Das Attribut AUDITOR berechtigt den Benutzer alle Profile in der Tivoli SecureWay User Administration Management Handbuch 19 Bunyemasausddnig pun 9z1nuag L Konzepte f r plattformspezifische Benutzerverwaltung 20 RACF Datenbank einzusehen und die Pr fattribute f r das Sys tem und f r Einzelprofile zu ndern m REVOKE ber dieses Benutzerattribut kann ein RACF defi nierter Benutzer daran gehindert werden das System zu verwen den Das Attribut REVOKE kann ausgel st werden wenn ein Benutzer zu oft das falsche Kennwort eingibt oder sich eine best
143. R_BAD_NETPATH Der Netzwerkpfad wurde nicht gefun den 54 ERROR_NETWORK_BUSY Das Netzwerk ist ausgelastet 55 ERROR_DEV_NOT_EXIST Die angegebene Einheit ist nicht im Netzwerk vorhanden 56 ERROR_TOO_MANY_CMDS Die Befehlsbegrenzung auf dem Netz werk BIOS wurde erreicht 57 ERROR_ADAP_HDW_ERR Im Netzwerkadapter ist ein Hardware fehler aufgetreten 58 ERROR_BAD_NET_RESP Die Antwort des Netzwerks ist ung l tig 59 ERROR_UNEXP_NET_ERR Ein unerwarteter Netzwerkfehler ist aufgetreten 60 ERROR_BAD_REM_ADAP Der ferne Adapter ist nicht kompati bel 426 Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 6l ERROR_PRINTQ_FULL Die Druckwarteschlange ist voll 62 ERROR_NO_SPOOL_SPACE Auf dem Server ist nicht gen gend Speicherplatz zum Speichern der Datei die gedruckt werden soll vor handen 63 ERROR_PRINT_CANCELLED Die angeforderte Druckdatei wurde abgebrochen 64 ERROR_NETNAME_ DELETED Der Netzwerkname wurde gel scht 65 ERROR_NETWORK_ACCESS_DENIED Der Zugriff auf das Netzwerk wurde verweigert 66 ERROR_BAD_DEV_TYPE Die Netzwerk Ressourcenart ist ung ltig 67 ERROR_BAD_NET_NAME Der Netzwerkname wurde nicht gefunden 68 ERROR_TOO_MANY_NAMES Die Namensbegrenzung f r die Adapterkarte des lokalen Computer netzwerks wurde berschritten
144. Richtlinienbereich hinzuf gen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Gruppenprofile als verwaltete Ressourcen f r den Richtlinienbereich hinzuzuf gen 1 W hlen Sie in der Liste Verf gbare Ressourcen die Option GroupProfile aus und klicken Sie auf den Linkspfeil Dadurch wird die ausgew hlte verwaltete Ressource in die Liste Aktuelle Ressourcen verschoben Version 3 8 Mit Gruppenprofilen arbeiten 2 Klicken Sie auf Festlegen und schlie en um die neue verwal tete Ressource dem Richtlinienbereich hinzuzuf gen und den Dialog zu schlie en Befehlszeile Im folgenden Beispiel werden dem Richtlinienbereich Gruppen profile als verwaltete Ressourcen hinzugef gt wsetpr GroupProfile ProfileManager Noon region Dabei gilt Folgendes GroupProfile Gibt die verwaltete Ressourcenart an die dem Richtlinien bereich hinzugef gt werden soll ProfileManager Noon region Gibt den Namen des Richtlinienbereichs an Weitere Informationen zum Hinzuf gen von Gruppenprofilen als ver waltete Ressourcen f r einen Richtlinienbereich mit Hilfe der Befehlszeile finden Sie in der Beschreibung des Befehls wsetpr im Handbuch Tivoli Framework Reference Manual Gruppenprofile erstellen Zum Verwalten von Gruppenkonten mit Tivoli SecureWay User Administration m ssen Sie zuerst ein Gruppenprofil e
145. S EEEE ER EE 243 Befehlszeile e ee r t MER an Aa ea 248 Benutzerdatens tze verwalten 248 Benutzerdatens tze kopieren 249 Arbeitsoberfl che A ae ugeet a hen 250 Befehlszeile 2 2 0 2 eroii en de 251 Benutzerdatens tze verschieben 2 2 2222222 seen erenn 252 Arbe tsoberfl che e a nalen na en 252 Befehlszeile zu u u 2 Banane 253 Informationen in Benutzerdatens tzen sperren und freigeben 254 Tivoli SecureWay User Administration Management Handbuch Arbeitsoberfl che 2 2 2222 ccm 254 Betehlszeile 43 52 34 tenre kir i EE TEO REEE SE 255 Das Fenster Benutzerprofilmerkmale aktualisieren 256 Benutzerdatens tze mit der Tivoli Datenbank synchronisieren 257 Arbeitsoberfl che orean niea tantea ga eai a a nen 258 Befehlszeile nrc ersrerr eti uitt anna 260 Benutzerdatens tze berpr fen 2 22 2oneeeeeeenennenn 261 Benutzerdatens tze abrufen 262 Arbeitsoberfl che sss crscccare credie erap rapas 263 Berfenlszele s eosa sema une er e a a a e 265 Benutzerdatens tze suchen 266 Von einer Profilkopie in eine andere wechseln 268 Benutzerdatens tze sortieren 270 Benutzerdatensatzattribute sortieren 2 2 2 cn nn een nn 272 Kapitel 8 Gruppenprofile einrichten 275 Mit Gruppenprofilen arbeiten 275 Gruppenprofile als verwaltete Ressourcen zuordnen 276 Arbeitsoberfl che 2 2 2
146. SecureWay User Administration Management Handbuch 411 usyemion 49z1nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten 412 In Tivoli sind maximal 100 zul ssige Anmeldezuordnungen m glich 1 W hlen Sie in der Merkmalliste die Option Zuordnungen bei OS 2 Anmeldung aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Zuordnungen bei OS 2 Anmeldung Aktuelle Anmeldezuordnungen Verzeichnisse Allasnamen des Verzeichnisses pa Hinzuf Laufwerkbuchstabe des Anforderers F gen Drucker gen Aliasdruckername Anschlusszuordnung des Anforderers LPT1 7 m Serielle Einheiten Aliasname der seriellen Einheit Anschlusszuordnung des Anforderers COM1 7 In der Liste Aktuelle Anmeldezuordnungen werden die dem Benutzerkonto zugeordneten Verzeichnisse Drucker und seriellen Einheiten angezeigt Zuordnungen k nnen nicht durch direkte Eingabe in dieser Liste hinzugef gt werden Sie k nnen jedoch Eintr ge in dieser Liste ausw hlen um sie zu bearbeiten oder zu l schen Die Eintr ge in dieser Liste haben das Format RESSOURCE EINHEIT Dabei steht RESSOURCE f r den im OS 2 Warp Server definier ten Aliasnamen der LAN Ressource und EINHEIT gibt den Anschluss an dem die Ressource bei der Anmeldung des Benut zers zugeordnet wird Der Eintrag INKJET LPT3 beispielsweise gibt an dass bei der Anmeldung der Drucker INKJET dem Ans
147. Servern finden Sie in den Tivoli SecureWay User Administration Release Notes Anmerkungen vor der Softwareinstallation Die Beachtung der folgenden Punkte vor der Installation von Tivoli SecureWay User Administration Version 3 8 kann nach der Installa tion wertvolle Zeit sparen Stellen Sie vor der Installation von Tivoli SecureWay User Administration Version 3 8 sicher dass ausreichend Speicher platz in Ihrem Verzeichnis verf gbar ist Dies ist besonders bei der Installation auf einem UNIX System wichtig Installieren Sie die verwalteten Knoten vor der Installation von Tivoli SecureWay User Administration Dadurch werden alle ver walteten Knoten bei der Installation automatisch aktualisiert andernfalls muss die Aktualisierung sp ter erfolgen Wie viele Produkte sollen installiert werden Soll nur eines installiert werden klicken Sie zur Ausf hrung der Installation auf Installieren und schlie en Sollen mehrere Produkte instal liert werden klicken Sie auf Installieren um nach Installation des zuvor ausgew hlten Produkts in den Dialog Produkt instal lieren zur ckzukehren Schlie en Sie vor der Installation von Aktualisierungen von Tivoli SecureWay User Administration Version 3 8 bzw von Erweiterungsprodukten zun chst alle Benutzer und Gruppen profildialoge Andernfalls kann es zu einem Fehler in der Transaktionssperre kommen und die Installation schl gt unter Umst nden fehl Die Anwendung Tivoli SecureWay User Admi
148. Siehe Endpunkl Zuordnung der Benutzeranmeldung In einer Tivoli Umgebung die Zuordnung eines Anmeldenamens f r einen Benutzer zu einem Benutzerkonto auf einem angegeben Betriebssystem Die Zuordnung der Benutzeranmeldung erm glicht Tivoli Administratoren das Anmelden an der Tivoli Umgebung oder das Ausf hren von Vorg ngen in der Tivoli Umgebung mit einem einzigen Anmeldenamen unabh ngig von dem zur Zeit verwendeten System Tivoli SecureWay User Administration Management Handbuch 457 JessojH 458 Version 3 8 Index A Abrufen von Benutzerdatens tzen 262 AEF AEF application extension facility 363 Anpassen Anzeigen hinzuf gen 349 Dialoge ndern 352 Kategorien hinzuf gen 347 Kategorien l schen 350 neue Attribute hinzuf gen 351 Unterkategorien hinzuf gen 348 Unterkategorien l schen 350 Anzeige des Benutzerprofils aktualisieren 256 Anzeigen Allgemeine OS 2 Anwendungen 413 Anmelde Workstations 416 Identifikation 160 NetWare Anmeldeskript 204 NetWare Anmeldezeit 193 NetWare Anmeldung 190 NetWare E Mail 202 NetWare fremde E Mail 203 NetWare Gruppenzugeh rigkeit 201 NetWare Kennwort 194 NetWare Netzwerkadresse 197 NetWare Sicherheit 201 NetWare Speicherplatzeinschr nkungen auf Datentr gern 207 NetWare Verzeichnis 196 NetWare Workstations 208 Optionen f r OS 2 Konto 409 OS 2 Gruppenzugeh rigkeit 414 OS 2 Konto 405 Postadresse 161 Subskribenten 161 UNIX Anmeldung 210 UNIX E Mail 220 UNIX Kennwort 212
149. Tivoli SecureWay User Administration Management Handbuch Version 3 8 Tivoli SecureWay User Administration Management Handbuch Version 3 8 Tivoli SecureWay User Administration Management Handbuch Copyrightvermerk Copyright IBM Corporation 2001 Alle Rechte vorbehalten Kann nur gem der Softwarelizenz vereinbarung von Tivoli Systems bzw IBM oder dem Anhang f r Tivoli Produkte der IBM Nutzungs bedingungen verwendet werden Diese Ver ffentlichung darf ohne vorherige schriftliche Zustimmung der IBM Corporation weder ganz noch in Ausz gen auf irgendeine Weise elektronisch mechanisch magnetisch optisch chemisch manuell u a vervielf ltigt bertragen aufgezeichnet auf einem Abrufsystem gespeichert oder in eine andere Computersprache bersetzt werden Die IBM Corporation erteilt Ihnen eine eingeschr nkte Berechtigung zur Erstellung einer Hardcopy oder sonstiger Vervielf lti gungen in Form maschinenlesbarer Dokumentationen f r die interne Verwendung wobei jede Verviel f ltigung den IBM Corporation Copyrightvermerk enthalten muss Weitere das Copyright betreffende Rechte werden nur nach vorheriger schriftlicher Zustimmung durch die IBM Corporation gew hrt Die Ver ffentlichung dient nicht zu Produktionszwecken IBM bernimmt keine Haftung Die in diesem Dokument aufgef hrten Beispiele sollen lediglich der Veranschaulichung und keinem anderen Zweck dienen Marken IBM das IBM Logo Tivoli das Tivoli Logo AIX C
150. UNIX Verzeichnis 213 Windows NT Anmeldezeit 174 182 Anzeigen Forts Windows NT Anmeldung 173 181 Windows NT Fernzugriff 178 188 189 Windows NT Gruppenzugeh rigkeit 177 185 Windows NT Kennwort 175 Windows NT Verzeichnis 176 184 Windows NT Workstations 177 186 Zuordnungen bei OS 2 Anmeldung 411 Auswerten Benutzerdatens tze 261 Gruppendatens tze 324 B Bearbeiten Benutzerdatens tze 231 Gruppendatens tze 307 Beispiele Benutzer aus unterschiedlichen Abteilungen verwalten 40 Benutzer in derselben Abteilung verwal ten 38 Benutzerprofile verteilen 26 Benutzer und Gruppenverwaltung Einf hrung 1 Funktionsweise 22 Benutzerdatens tze abrufen 262 anzeigen 229 auswerten 261 automatisches Zusammenf gen w hrend der Datenweitergabe 144 bearbeiten 231 Datensatzattribute sortieren 272 eingeben allgemeine Informationen 160 161 Tivoli SecureWay User Administration Management Handbuch 459 xapuj Benutzerdatens tze Forts eingeben Forts NetWare 190 193 194 196 197 201 202 203 204 207 208 UNIX 210 212 213 220 Windows NT 173 174 175 176 177 178 181 182 184 185 186 188 189 erstellen 156 Kopien sperren 254 kopieren 249 l schen 236 mit Systemdateien synchronisieren 257 sortieren 270 sperren 231 suchen 223 266 verschieben 252 zusammenf gen 234 Benutzerdatens tze kopieren 249 Benutzerdatens tze verschieben 252 Benutzerdatens tze zusammenf gen 234 Benutzerprofile als verwaltete R
151. USRPRF Objekten Vorteile einer Verwaltung von AS 400 Benutzerkonten ber Tivoli Tivoli SecureWay User Administration for AS 400 stellt die Tools zur Verf gung die Sie zur Verwaltung von Benutzerkonten unter OS 400 ben tigen und integriert diese Unterst tzung in andere Betriebssysteme im Netzwerk Dieses Produkt enth lt folgende Benutzer und Gruppenverwaltungsfunktionen m Eine einheitliche Grafikschnittstelle f r die Verwaltung von AS 400 UNIX Windows NT und NetWare Benutzerkonten m Schablonen mit denen Sie durch Eingabe weniger Daten einen vollst ndigen Datensatz erstellen k nnen m Zentrale Position zum schnellen Lokalisieren eines bestimmten Benutzerdatensatzes Tivoli SecureWay User Administration Management Handbuch 381 usyemion J9Z1nu9g 007 SV V Vorteile einer Verwaltung von AS 400 Benutzerkonten ber Tivoli m Einzelanmeldungsunterst tzung m Zentrale Administratorsteuerung von Konten in Kombination mit begrenzter Benutzereingabesteuerung m Verwaltung von allgemeinen Benutzerinformationen sowie von AS 400 UNIX Windows NT und NetWare Benutzerin formationen in einem Benutzerdatensatz Hintergrundinformationen zur Verwendung der AS 400 Unterst tzung finden Sie im Handbuch Tivoli SecureWay User Administration Management Handbuch Funktionsweise der Benutzer und Gruppenverwaltung Komponenten von Benutzer und Gruppenkonten Benutzer und Gruppenprofile Richtlinien f r Benutzer und Gruppenprofile
152. Verwenden Sie f r die Angabe des tats chlichen Namens die Befehle wgetusr und wsetusr mit der Option R nicht mit der Option X Tivoli SecureWay User Administration Management Handbuch 425 usyemion J49z4nuag 2 SO 9 OS 2 Ergebniscodes OS 2 Ergebniscodes W hrend der Verteilungsvorg nge gibt Tivoli unerwartete Fehler codes von den OS 2 WARP Anwendungsprogrammierschnittstellen APIs zur ck Das Endpunktprogramm schreibt Nachrichten in die Tivoli Hinweise in der Kategorie Benutzerverwaltung Sie k nnen die Nachrichten anzeigen indem Sie auf das Symbol Hinweise auf der Tivoli Arbeitsoberfl che klicken Anmerkung Es wird empfohlen dass den Administratoren die mit Tivoli SecureWay User Administration arbeiten Berechtigungen f r die Verwendung der Benutzer verwaltungshinweise erteilt werden Die folgende Liste mit Ergebniscodes f r Net32 API wurde der Datei neterr h entnommen Die Zahlen sind Dezimalzahlen Fehler Definition Anmerkungen 2 DATEI WURDE NICHT GEFUNDEN Die Datei wurde nicht gefunden 3 PFAD NICHT GEFUNDEN Der Pfad wurde nicht gefunden 5 ZUGRIFF VERWEIGERT Administratorberechtigungen sind erforderlich 50 ERROR_NOT_SUPPORTED Die Netzwerkanforderung wird nicht unterst tzt 51 ERROR REM NOT LISt Dieser ferne Computer ist nicht empfangsbereit 52 ERROR_DUP_NAME Auf dem Netzwerk ist ein identischer Name vorhanden 53 ERRO
153. Ware NDS Baumstrukturen dem Profilmanager zuordnen der das Profil enth lt und anschlie end Kopien des Profils an die Subskribenten verteilen Wenn die im Profil definierten Benut zer oder Gruppendatensatzinformationen an ihre Zieladresse einen Profilendpunkt verteilt werden ndert Tivoli SecureWay User Admi nistration die Systemdateien so dass sie den in den Datens tzen des Profils definierten Informationen entsprechen Sobald die System dateien aktualisiert sind verwenden andere Dienste wie beispiels weise NIS die aktualisierten Dateien zum Erstellen von neuen Zuord nungen und Datenbanken Die Verteilung von Benutzer und Gruppenprofilen kann den Tivoli Ressourcen ber die Grenzen von Tivoli Management Regions TMRs hinweg zugeordnet werden und die Tivoli Ressourcen k nnen die Verteilungen TMR bergreifend empfangen Ein Benutzerprofil ist eine Gruppe von Benutzerdatens tzen Jeder Benutzerdatensatz enth lt allgemeine Informationen sowie Informati onen zu einer oder mehreren Kontoarten UNIX Windows NT Win dows 2000 und NetWare f r einen einzelnen Benutzer Die Benut zerkontodatens tze f r Windows NT Windows 2000 und NetWare umfassen die Gruppenzugeh rigkeitsverwaltung Ein Gruppenprofil ist eine Gruppe von Gruppendatens tzen Jeder Gruppendatensatz enth lt alle Informationen die zur Definition von UNIX Gruppen und deren Mitglieder erforderlich sind Dazu geh ren Informationen wie der Gruppenname die Gruppe
154. Work station aus anzumelden 2241 NERR_InvalidLogonHours Der Benutzer ist momentan nicht dazu berechtigt sich anzumelden 2242 NERR_PasswordExpired Das Kennwort des angegebenen Benutzers ist abgelaufen 2243 NERR_PasswordCantChange Das Kennwort des angegebenen Benutzers kann nicht ge ndert wer den 2244 NERR_PasswordHistConflict Das angegebene Kennwort kann der zeit nicht verwendet werden 2245 NERR_PasswordTooShort Das Kennwort ist zu kurz 2246 NERR_PasswordTooRecent Das Kennwort dieses Benutzers ist zu neu um ge ndert werden zu k nnen 2247 NERR_InvalidDatabase Die UAS Datenbankdatei ist besch digt 2248 NERR_DatabaseUpToDate Diese Kopie der UAS Datenbank muss nicht aktualisiert werden 2249 NERR_SyncRequired Diese replizierende Datenbank ist bereits nicht mehr aktuell eine Syn chronisation ist erforderlich 2250 NERR_UseNotFound Die Verbindung wurde nicht gefun den 2251 NERR_BadAsgType Der Typ asg_type ist ung ltig 2252 NERR_DevicelsShared Die angegebene Einheit wird momen tan gemeinsam benutzt 2270 NERR_NoComputerName Ein Computername wurde nicht kon figuriert 2271 NERR_MsgAlreadyStarted Die Messenger Dienste wurden bereits gestartet Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2272 NERR_MssglnitFailed Die Messenger Dienste konnten nicht gestartet werden 2273 NERR_NameNotFound Der Nachrichtenaliasname konnte im lokalen Netzwerk nic
155. X Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX apprich 102 102 f iapprich iapprich Pointe Seng 101 101 DU userid1 Juseridt ne eller 100 100 p uzeller uzeller ne iesch 103 up p wfriesch wesch nie D Benutzer hinzuf gen Benutzer schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi zi Version 3 8 Benutzerdatens tze verwalten 2 W hlen Sie im Men Ansicht nacheinander Sortieren gt Benut zer aus um den Dialog Datens tze sortieren anzuzeigen Z Datens tze sortieren Jolx Konfigurationsprofil Benutzer in Profilmanager admin Sortieren nach Kennsatzfeld Benutzer darf NetWare Kennwort verwali Ablaufdatum f r NT Konto Benutzer darf UNIX Kennwort verwalten Ablaufdatum f r Netllare Kennwort Benutzername Ablaufdatum f r NetWare Konto Abteilung Allgemeiner Anmeldename Allgemeines Kennwort Eindeutiges NetWare Kennwort fordern Y Anzahl Tage zwischen NetWare Kennwo Sl Benutzer darf NT Kennwort verwalten Benutzer darf NetWlare Kennwort verw Benutzer darf UNIX Kennwort verwalt H gt C Absteigend sortieren Aufsteigend sortieren Sortieren und schlie en Sortieren Zur cksetzen schie en Hire 3 W hlen Sie in der Liste Sortieren nach das Attribut aus nach dem sortiert werden soll Die Datens tze in dem Profil werden dann nach dem von Ihnen ausge
156. a nn 345 Anpassungsstrategie sc reia ee eao a nennen a Ea Gk E 346 Kategorien der Benutzer und Gruppenverwaltung 347 Unterkategorien der Benutzer und Gruppenverwaltung 348 Anzeigen der Benutzer und Gruppenverwaltung 349 Kategorien und Unterkategorien l schen 350 Beispiel einer Dialoganpassung 2 22 onnneeeeeennnnn nenn 350 Einem Profil neue Attribute hinzuf gen 22222 351 Prot1ldialos ndern u era 22er 352 Kapitel 12 Weitere Themen 355 xiv Version 3 8 Produktgeschichte 2 2222200 oeneeneeneeee nennen nenn 356 CCMS Komponenten und Prozesse 2 2 2 2 nnneeeeeee nennen 357 Tivoli Profile ANE ANNE iise NNN RE diut en en a 358 Profilmanager Subskribenten 2222222 neneneeen nn 359 Subskribenten auf Datensatzebene 361 Profilverteilung Ae ANE AIR IS 080 RR Renee a 361 CCMS und AFF Application Extension Facility 363 CCMS Verteilungsverarbeitung und AEF Aktionen 364 Sonderverarbeitung f r Kennw rter bei der Verteilung 365 Steuerung der nderung von Oneshot Attributen auf Basis des End punkt Stat s gecen snsn andren ana rien 366 Oneshot Attribute anzeigen 368 Der Einfluss von Verteilungsoptionen auf Benutzerkonten und Kenn WOHER 2 2 40 2 an re a a ee 370 Benutzer und Gruppen Indexdatenbanken und der Befehl wchkadmdb 374 Der Standardwertegruppendatensatz und die Be
157. a on a a a a a og a m ar m ar a a a Ka m a a Ko ar Kr Zn ir Km Dom Zr Ka ve Ba O var a DA va a Da a a a a a a a a a a Da a Ga a Aa Do CA Ci Ci CA CA a a Ca Ca a A a a a a a a a a a a d d d Gave Br O va DA var DA var oa DA e DA e a a a Goe GA Da va a a Go Ga Ga Aa a Aa Se ir fre oe G re Goe G G r r o o o o o o G G o Ga Ga Ga e Ga 2 W hlen Sie die Uhrzeiten und Tage aus auf die Sie den Zugriff des Benutzers auf das Netzwerk beschr nken m chten indem Sie die entsprechenden Kontrollk stchen ausw hlen Wenn Sie keine Kontrollk stchen ausw hlen kann sich der Benutzer jederzeit anmelden Informationen zum NetWare Kennwort Mit der Option NetWare Kennwort k nnen Sie das Kennwort des Benutzers festlegen und bestimmte Kenndaten bez glich des Benutzerkennworts definieren 1 W hlen Sie in der Merkmalliste die Option NetWare Kennwort aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen NetWare Kennwort Kennwort I Kennwort erforderlich M Kennwort nderung zulassen T Eindeutige Kennw rter erforderlich T Erforderliche Mindestl nge des Kennworts I Noch m gliche Anmeldungen begrenzen Zul ssige noch m gliche Anmeldungen 40 Yerbleikende noch m gliche Anmeldungen T Regelm ige Kennwort nderungen erzwingen erzwungenen nderungen Datum MMTTTLLLLD 10101 2010 Uhrzeit 10 34 2 Geben Sie im Feld Kennwort das Kennwort des Benutzers ein 3 W hlen Si
158. age Version 3 7 Tivoli Securellay User Administration for A5 400 Server Package Version 3 7 Tivoli SecureWay User Administration for AS 400 Gateway Package Version 3 7 Tivoli SecureWay User Administration OnePassword Version 3 7 Tivoli SecureWay User Administration for PolicyDirector Server Package Versic Tivoli SecureWay User Administration for Policy Director Connection Version I Clients f r die Installation Verf gbare Clients oswaldo teo ee aa lL 1 BABAL Installationsoptionen Datentr ger ausw hlen Installieren und schlie en Installieren Schlie en ol A m Wenn Tivoli SecureWay User Administration Version 3 8 nicht in der Liste Zu installierendes Produkt ausw hlen enthalten ist fahren Sie mit Schritt 2 fort m Wenn Tivoli SecureWay User Administration Version 3 8 in der Liste enthalten ist fahren Sie mit Schritt 4 fort Version 3 8 Tivoli SecureWay User Administration installieren 2 Klicken Sie auf Datentr ger ausw hlen um den Dialog Datei Browser anzuzeigen Datei Browser Bisi E A SECH Tr Pfad f r die Tivoli Installationsdatentr ger festlegen Dateinamenfilter CES Hosts Verzeichnisse Dateien oswaldo CFG Pfadname eJaustinfadminfiimages 3 7latestimagesicdrom Pfad festlegen Datentr ger festlegen und schlie en Datentr ger festlegen Mit dem Dialog Datei Browser k
159. age unter welchem Kenn wort gearbeitet wird Es ist der Anmeldename mit dem sich der Endbenutzer angemeldet hat Administratoren k nnen einen An meldenamen angeben oder den Anmeldenamen bergehen und unter ihrem eigenen Anmeldenamen arbeiten Nach Feststellung des Anmeldenamens lokalisiert der Befehl wpasswd alle Benutzerdatens tze in allen Benutzerprofilen in der TMR die diesen Anmeldenamen enthalten Jede Verwendung dieses Benutzernamens ist notwendigerweise einer bestimmten Endpunktart oder dem allgemeinen Kennwort zugeordnet Wenn der Benutzer die Option c Endpunktartcode im Befehl wpasswd verwendet kann er die zu ndernden Endpunktartkennw rter ausw hlen Wenn die Option e nicht angegeben wird wird das allgemeine Kennwort ge ndert Entsprechend den Weitergaberichtlinien des allgemeinen Kennworts werden durch die nderung des allgemeinen Kennworts alle Kennw rter in einem Benutzerdatensatz ge ndert Bei Verwen dung des Befehls wpasswd wird diese Regel etwas erweitert wenn das allgemeine Kennwort ge ndert wird werden alle Kennw rter in allen Datens tzen die den angegebenen Anmeldenamen enthalten ge ndert Bei Verwendung einer oder mehrerer c Endpunktart code Optionen werden nur die Kennw rter f r die angegebene n Endpunktart en ge ndert gt und lokalen Host aktualisieren Wenn beim Aufruf des Befehls wpasswd die Option l verwendet wird wird das Benutzerkennwort auf dem System auf dem
160. ager dem aktuellen Profil zugeordnet sind Verwenden Sie diese Option wenn Profile in Subskribenten defi niert wurden deren Unterschiede Sie beibehalten m chten ODER Klicken Sie auf das Optionsfeld Profil der Subskribenten EXAKT mit diesem Profil abgleichen um die nderungen die Administratoren an ihren Profilen vorgenommen haben mit den in diesem Profil definierten Werten zu berschreiben Verwenden Sie diese Option wenn Sie die Unterschiede zwischen den Profi len der Subskribenten nicht beibehalten m chten Anmerkung Wenn Sie dieses Optionsfeld verwenden wird der gesamte Profilinhalt auf den Endpunkt geschrie ben Alle vorgenommenen nderungen einschlie lich der Kennwort nderungen durch den Benutzer werden berschrieben 5 Klicken Sie auf Festlegen und schlie en um die Standard optionen festzulegen und zum Dialog Benutzerprofilmerkmale zur ckzukehren 154 Version 3 8 Benutzerdatens tze erstellen In diesem Kapitel erfahren Sie wie neue Benutzerdatens tze erstellt werden Tivoli SecureWay User Administration speichert die neuen Benutzerinformationen in der Benutzerprofildatenbank und erstellt erst ein neues Systemkonto wenn Sie das Profil an seine Subskri benten verteilen Benutzerprofil Benutzer Datensatz f r userid editieren Profimanager admin Benutzername Allgemeine Anmeldung Algemeines Kennwort Kennung Vorname Standort Na
161. agers befinden ber diese nderung OnePassword 112 Tivoli SecureWay User Administration OnePassword erm glicht Benutzern und Administratoren das ndern von Benutzerkenn w rtern in der TME Datenbank sowie die Verteilung der aktualisier ten Kennw rter an die zugeordneten Endpunkte Dies geschieht ber einen Web Browser ber eine zus tzliche Option k nnen die Admi nistratoren und Benutzer die aktualisierten Kennw rter entweder an alle oder an ausgew hlte Endpunkte verteilen Benutzer k nnen ber eine allgemeine OnePassword Website ihre eigenen Kennw rter ndern Authentifizierte Administratoren k nnen auf der Website auch anderen Benutzern neue Kennw rter zuordnen Version 3 8 OnePassword Der Administrator kann nach erfolgter Authentifizierung beliebig viele Kennwort nderungen vornehmen Die Authentifizierung l uft jedoch nach 60 Sekunden Inaktivit t ab Es wird aus Sicherheits gr nden empfohlen dass der Administrator den Browser nach dem ndern der Benutzerkennw rter schlie t Der Benutzer bzw Administrator verwendet OnePassword indem er eine Verbindung zu einem Webserver herstellt der sich auf dem TMR Server befindet Hier muss er einen Anmeldenamen und die zugeh rigen Kennw rter angeben Aus Sicherheitsgr nden muss ein Benutzer sein altes und neues Kennwort eingeben Ein Administrator muss zwar nur das neue Kennwort eingeben muss f r die Anmel dung jedoch eine Tivoli Administrator ID verwenden
162. agers zu bernehmen nachdem die Subskriptionen auf Datensatzebene gesetzt wurden Nach jeder nderung an den Subskribenten des Profilmanagers werden diese nderungen auf Datensatzebene bernommen Anmerkung Da ein Profilendpunkt bzw ein Profilmanager an mehreren Stellen innerhalb der Subskribenten struktur angezeigt werden kann kann der Name dieses Profilendpunkts ebenfalls mehrmals in der Liste Aktuelle Subskribenten vorkommen Diese Duplikate werden vor dem Schreiben des Benutzerdatensatzes entfernt Tivoli SecureWay User Administration Management Handbuch 163 ugj a s a 9zjesusjep szinuag 9 Allgemeine Informationen zu Benutzerkonten 164 Befehlszeile Die Argumente su und ns des Befehls wertusr entsprechen den Feldern Aktuelle Subskribenten und Automatisch neue Subskri benten hinzuf gen auf der Tivoli Arbeitsoberfl che Standardm ig wird der Datensatz bei Angabe des Arguments su an alle Subskri benten in der Subskriptionshierarchie verteilt und das Argument ns auf ENABLED gesetzt Diese Standardwerte werden nicht durch die Standardwertegruppe festgelegt Daher k nnen die Standardwerte auch nicht ge ndert werden Mit der gemeinsamen Angabe der Argu mente su und ns werden die Attribute subscribers und add_new _subscribers gesetzt Diese Attribute K nnen zum Festlegen der Richtlinie f r G ltigkeitspr fung und in anderen Skriptarten verwen det werden F r das Argument su kann eine Liste mit Profilen
163. aktualisierungen an diese Subskribenten verteilt da die Datensatz nderung nicht aktueller als die letzte Push Operation f r das Profil ist und vorhandene Hot Flags entfernt wurden m Diese Art der Profilverteilung wird am h ufigsten angewendet da nur die ge nderten Datens tze weitergegeben werden und Endbenutzer ihre eigenen Kennw rter mit den betriebssystem eigenen Tools verwalten k nnen Beispiel Die meisten UNIX Benutzer verwenden blicherweise bin passwd zur Kennwort nderung Die meisten NT Benutzer verwenden die Option Kennwort ndern in der Anzeige Windows NT Sicherheit etl alt del wdistrib m l over_opts keine quivalente Option auf der grafi schen Benutzerschnittstelle GUT Dies entspricht dem Befehl wdistrib m l maintain mit der Aus nahme dass alle Datens tze im Profil verteilt werden Dennoch k n nen Endbenutzer ihre eigenen Kennw rter mit den betriebssystem eigenen Tools ndern Dieser Profilverteilungsmodus wird h ufig gew hlt wenn ein neuer Subskribent hinzugef gt wird oder wenn der Zugriff auf einen vorhandenen Subskribenten nicht m glich ist und der Tivoli Administrator diesen Subskribenten aktualisieren m chte wdistrib m Joer all F r eine Profilverteilung unter Verwendung der Option over_all Dieser Profilverteilungsmodus wird in Gesch ftsumgebungen ange wendet f r die ein hohes Ma an Sicherheit erforderlich ist ber diesen Verteilungsmodus werden alle Konten gel
164. alle sp teren Kennwort nderungen im Benutzerdatensatz anhand der Kennwort richtlinien des Systemrichtliniendatensatzes berpr ft Es werden keine Kennwort nderungen vorgenommen wenn ein neues Kenn wort den festgelegten Qualit tsregeln nicht entspricht Die globale Kennwortrichtlinie von Tivoli SecureWay User Administration wird stets auf nderungen des allgemeinen Kennworts angewendet Eine endpunktartspezifische Kennwortrichtlinie wird nur dann angewen det wenn ein Kennwort f r diese Endpunktart ge ndert wird Ob globale Systemrichtlinien angewendet werden k nnen wenn nur das Kennwort einer bestimmten Endpunktart ge ndert wird h ngt von den Einstellungen im Kennwortrichtliniendatensatz ab Der CLI Befehl in Tivoli SecureWay Security Manager zum Festle gen der Werte f r die Attribute des Systemrichtliniendatensatzes in Tivoli SecureWay User Administration ausf hrliche Informationen hierzu finden Sie im Handbuch Tivoli SecureWay User Administra tion Reference Manual lautet wmodsec Systemrichtlinie s Attribut Wert Profil Datensatzname wobei das Attribut folgendes Format hat lt Endpunktartcode gt lt Attributname gt Wenn der lt Endpunktartcode gt weggelassen wird ist das Attribut ein globales Systemrichtlinienattribut und wird auf das allgemeine Kennwort und somit auf alle Kennw rter angewendet wenn das allgemeine Kennwort mit dem Befehl wpasswd ge ndert wird Wenn f r den lt Endpunktartcode gt eine An
165. an dass die gefundenen Datens tze den Wert des Such begriffs enthalten m Exakte bereinstimmung Gibt an dass die gefundenen Datens tze mit dem Suchbe griff exakt bereinstimmen m Gr er als Gibt an dass der Wert des ausgew hlten Attributs f r die gefundenen Datens tze gr er ist als der Wert des Suchbe griffs m Kleiner als Gibt an dass der Wert des ausgew hlten Attributs f r die gefundenen Datens tze kleiner ist als der Wert des Suchbe griffs Tivoli SecureWay User Administration Management Handbuch 267 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten 5 Geben Sie einen Wert f r den Suchbegriff ein Der Suchbegriff f r das Attribut kann ein beliebiger g ltiger Wert sein 6 Klicken Sie auf Erstes Vorkommen suchen um das erste Vor kommen eines lokalen Druckdienstes zu suchen das mit dem Suchbegriff bereinstimmt ODER Klicken Sie auf N chstes Vorkommen suchen um das n chste Vorkommen eines lokalen Druckdienstes zu suchen das mit dem Suchbegriff bereinstimmt ODER Klicken Sie auf Alle suchen um alle lokalen Druckdienste zu suchen die mit dem Suchbegriff bereinstimmen Von einer Profilkopie in eine andere wechseln Sie k nnen von einem beliebigen Profil zu einer anderen Kopie des aktuellen Profils in der Subskriptionshierarchie wechseln und diese anzeigen Abh ngig von Ihrer Berechtigungsklasse k nnen Sie f r die neu angezeigte Profilkopie Vorg n
166. andardwertegruppen datensatz des Profils und allen Datens tzen im Profil ein benutzerdefiniertes Merkmal hinzugef gt Mit dem Befehl waddusrprop wird dem Standardwertegruppen datensatz des Profils ein benutzerdefiniertes Merkmal hinzuge f gt Den vorhandenen Datens tzen im Profil wird dieses Merk mal jedoch nicht hinzugef gt Erst wenn das Merkmal f r einen Datensatz gesetzt wurde ist es im Datensatz physisch vorhan den F r alle neuen Datens tze die dem Profil nach der Ausf h rung des Befehls waddusrprop hinzugef gt wurden ist dieses Merkmal physisch vorhanden wenn die Verwendung der Standardwertegruppe festgelegt wurde Version 3 8 Der Standardwertegruppendatensatz Der Befehl waddprop sollte verwendet werden wenn eine AEF Aktion das neue Merkmal als Argument verwendet Andernfalls soll ten Sie den Befehl waddusrprop verwenden Wenn sich in Ihrem Profil bereits viele Benutzerdatens tze befinden kann das Hinzuf gen eines Merkmals mit dem Befehl waddprop sehr viel Zeit in Anspruch nehmen Ein praktisches Beispiel W hrend der Aktualisierung von Tivoli SecureWay User Administration Version 3 6 2 auf Tivoli SecureWay User Administration Version 3 7 werden dem Standardwertegruppen datensatz der vorhandenen Benutzerprofile unter Verwendung des Befehls waddusrprop viele neue Attribute f r Windows 2000 hinzu gef gt Nach der Beendigung der Aktualisierungen k nnen Kunden die Windows 2000 Benutzerkonten verwalten
167. ann dieses Konto entweder durch eine Tivoli Vertei lung oder durch den Administrator mit den auf dem OS 2 Warp Server verf gbaren Funktionen gel scht werden Tivoli SecureWay User Administration Management Handbuch 409 usyemion J49z1nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten Tivoli SecureWay User Administration for OS 2 unterst tzt die Verteilung exakter Kopien Im Anschluss an eine solche Vertei lung sind auf dem OS 2 Endpunkt nur die Benutzerkonten in den Profilen des Profilmanagers vorhanden Alle brigen Konten auf dem Endpunkt mit Ausnahme derer die vom L schen ausge nommen wurden werden gel scht Daher ist diese Option bei der Verteilung exakter Kopien eine gute Methode um bestimmte Konten bei solchen Verteilungen vom L schen auszunehmen Sie k nnen Konten die vom L schen ausgenommen sind trotz dem entfernen Inaktivieren Sie dazu zun chst dieses Kontroll k stchen und verteilen Sie das Profil anschlie end sollten Sie das Konto aus dem Benutzerprofil l schen und erneut verteilen 4 Bei der Anmeldung eines Benutzers am OS 2 Warp Server f hrt OS 2 f r den Benutzer das im Feld Anmeldeskript angegebene Skript aus Geben Sie den vollst ndigen Pfad und den Dateina men des Anmeldeskripts ein Soll kein Anmeldeskript ausgef hrt werden lassen Sie das Feld leer Einzelheiten zu Anmeldeskripts finden Sie in der Dokumentation zum OS 2 Warp Server 5 Aktivieren Sie das Kontrollk stchen Konto l u
168. arp Servern verf gen unter Umst n den ber eine gro e Anzahl Dom nen Hier erweist es sich unter Umst nden als vorteilhaft wenn es sich bei den Dom nen um Klone handelt So k nnen beispielsweise mit einem Benutzerprofil das an viele Warp Dom nencontroller verteilt wird in allen diesen Dom nen identische Benutzerarten definiert werden die jeweils ber den selben Anmeldenamen dasselbe Kennwort und weitere identische OS 2 Attribute verf gen Bei der Weitergabe von Daten an ein neues Tivoli Benutzerprofil hat es sich als vorteilhaft erwiesen zun chst das Benutzerprofil zu erstellen und an dieses anschlie end Daten aus OS 2 Benutzerkonten weiterzugeben Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten OS 2 Benutzerattribute im Tivoli Benutzerprofil Bei der Installation werden dem Tivoli Benutzerprofil folgende neue Bereiche hinzugef gt OS 2 Konto Optionen f r OS 2 Konto Zuordnungen bei OS 2 Anmeldung Allgemeine OS 2 Anwendungen OS 2 Gruppenzugeh rigkeit Anmelde Workstations Diese OS 2 Bereiche sind im Dialog Benutzermerkmale enthalten Die Attribute der einzelnen Bereiche werden in den folgenden Abschnitten erl utert Sie k nnen diese Attribute ber die grafische Benutzerschnittstelle von Tivoli SecureWay User Administration anzeigen und bearbeiten Anmerkung Die Verwendung dieser Attribute ist mit der Verwen dung der Attribute f r andere Endpunktarten in Tivoli SecureWay User Administration Ve
169. asnamen werden derzeit nicht weitergeleitet 2289 NERR_ TruncatedBroadcast Die Broadcast Nachricht wurde abge schnitten 2294 NERR_InvalidDevice Hierbei handelt es sich um einen ung ltigen Einheitennamen 2295 Tivoli SecureWay User Administration Management Handbuch NERR_WriteFault Beim Schreiben ist ein Fehler aufge treten 433 usyemion 49z4nuag 2 SO 9 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2297 NERR_DuplicateName Auf dem lokalen Netzwerk ist ein identischer Nachrichtenaliasname vor handen 2298 NERR_DeleteLater Der Nachrichtenaliasname wird zu einem sp teren Zeitpunkt gel scht 2299 NERR_IncompleteDel Der Nachrichtenaliasname konnte nicht in allen Netzwerken gel scht werden 2300 2301 NERR_MultipleNets NERR_DASDNotInstalled Diese Operation wird nicht auf Syste men mit mehreren Netzwerken unter st tzt DASDN wurde nicht installiert 2302 NERR_DASDAlreadyInstalled DASDN wurde bereits installiert 2303 NERR_NotHPFSVolume 2304 NERR_DASDMaxValidationFailed 2305 NERR_DASDInstallVolumeLocked 2306 NERR_LimitNotFound 2307 NERR_LimitExists 2308 NERR_DASDNotRunning 2309 NERR_DASDNOotOperational 2310 NERR_NetNameNotFound Die angegebene gemeinsam benutzte Ressource ist nicht vorhanden 2311 NERR_DeviceNotShared Die angegebene E
170. atenbank wird als Attribut gruppe auf Profilmanagern datenlosen Profilmanagern oder Profil endpunktobjekten implementiert Die CCMS Datenbank ist keine relationale Datenbank au erhalb der Tivoli Objektdatenbank Profilmanager Subskribenten Profilmanagern k nnen keine oder mehrere Subskribenten zugeordnet sein Diese Beziehung ist in CCMS elementar Subskribenten werden entsprechend dem Inhalt vonMitgliedsprofilen im Profilmanager kon figuriert wenn diese Profile verteilt werden Profilendpunkte andere herk mmliche Profilmanager und datenlose Profilmanager k nnen herk mmlichen Profilmanagern als Subskribenten zugeordnet wer den Profilendpunkte oder TMA Endpunkte k nnen datenlosen Profilmanagern als Subskribenten zugeordnet werden Bei einem Profilendpunkt handelt es sich um eine Sonderart des Profilmanagers Ihnen ist genau ein impliziter Subskribent zugeord net der verwaltete Knoten auf dem sich der Profilendpunkt befindet Verwaltete Knoten implementieren die Profilendpunkt Schnittstelle Tivoli SecureWay User Administration Management Handbuch 359 USOWOUL 91919M SL CCMS Komponenten und Prozesse 360 Verwaltete Knoten dienen also sich selbst als Profilendpunkte Au er den verwalteten Knoten werden auch noch andere Profilendpunkt arten in der Tivoli SecureWay User Administration Umgebung ver wendet Andere Profilendpunktarten sind Tivoli SecureWay User Administration NIS Dom nenobjekte Tivoli SecureWay User Admi
171. ation Management Handbuch 415 usyemion J49z4nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten Anmelde Workstations In der Anzeige Anmelde Workstations k nnen Administratoren die Anmeldung von Benutzern auf bestimmte Workstations einschr nken In dieser Anzeige k nnen Sie bis zu acht Workstations eingeben von denen aus sich ein Benutzer anmelden kann Die angegebenen Workstation Namen werden weder von Tivoli noch von OS 2 ber pr ft Anmerkung Lassen Sie die Liste leer wenn dem Benutzer erm g licht werden soll sich von jeder beliebigen Worksta tion aus anzumelden 1 W hlen Sie in der Merkmalliste den Eintrag OS 2 Anmelde Workstations aus um Folgendes im Merkmalbereich des Dia logs Benutzermerkmale anzuzeigen Anmelde Wiorkstations keine Angabe f r beliebige Workstations max 8 m glich SEH Dieses Listenfenster enth lt die Namen der Workstations von denen aus sich ein Benutzer anmelden kann Angaben in Klein buchstaben sind m glich da diese vom Endpunkt in Gro buchstaben umgesetzt werden 2 Soll ein Eintrag aus der Liste entfernt werden w hlen Sie den betreffenden Eintrag aus und klicken Sie anschlie end auf Ent fernen 416 Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten 3 Soll der Liste eine neue Workstation hinzugef gt werden geben Sie im unteren Textfeld den Namen der Workstation ein und kli cken Sie auf Hinzuf gen Lassen Sie die Liste leer wen
172. ationen werden Systemdateien erst dann hinzugef gt wenn Sie das Profil an das endg ltige Ziel verteilen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppenkontodatensatz Gruppenprofil admin editieren Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Tivoli SecureWay User Administration Management Handbuch 307 uoyemion azjesuspepusddnig e Gruppenkontodatens tze editieren Arbeitsoberfl che F hren Sie folgende Schritte aus um den Datensatz eines Gruppen kontos zu editieren 1 2 308 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Elx Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin bin or 0 pa daemon daemon mo 0 pa db WE 108 0 ya d Ip tos 0 ya Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe esiteren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen gt Klicken Sie doppelt auf einen G
173. ationen zum NetWare Kennwort NetWare Kennwort m Informationen zum UNIX Basisverzeichnis UNIX Verzeichnis Mit dem Befehl wertusrsubcat k nnen Sie neue Unterkategorien erstellen Mit diesem Befehl k nnen Sie angepasste Unterkategorien f r neue oder vorhandene Kategorien erstellen Dar ber hinaus k nnen Sie mit dem Befehl wertusrsubcat von Ihnen erstellte Unterkategorien ndern 348 Version 3 8 Anpassungsstrategie Anzeigen der Benutzer und Gruppenverwaltung Jede Unterkategorie der Benutzer und Gruppenverwaltung entspricht einer anzeigbaren Dialoganzeige das hei t dass es eine 1 1 Entspre chung von Dialoganzeige und Unterkategorie gibt Jede Anzeige ent h lt Attribute die der Unterkategorie zugeordnet sind Der der Unter kategorie Windows NT Anmeldung zugeordnete Bereich enth lt momentan zum Beispiel folgende Attribute H Anmeldung aktivieren Anmeldename Benutzer ID Kontoart Anmeldeskript Der Befehl wertusrsubcat ordnet der neuen Anzeige eine neue Unterkategorie zu Mit diesem Befehl k nnen Sie angepasste Anzei gen erstellen die bei Auswahl einer benutzerdefinierten Unter kategorie angezeigt werden Diese neuen Anzeigen sollten in DSL geschrieben sein und dem Darstellungsobjekt mit dem Befehl wputdialog hinzugef gt werden Der Hauptunterschied zwischen dem Hinzuf gen einer angepassten Anzeige und dem Ersetzen eines ganzen Dialogs besteht darin dass die Anpassungen separat vom Tivoli SecureWay User Admi
174. ben W hlen Sie ein Attribut in der Liste Angezeigte Attribute aus und klicken Sie auf den Aufw rtspfeil oder den Abw rtspfeil um es an die Position zu verschieben an der es im Fenster Benutzerprofilmerkmale angezeigt werden soll Wiederholen Sie diesen Schritt bis alle Attribute in der gew nschten Reihenfolge aufgelistet werden Klicken Sie auf Sortieren und schlie en um die Attribute zu sortieren und anzuzeigen und dann zum Fenster Benutzerprofil merkmale zur ckzukehren Tivoli SecureWay User Administration Management Handbuch 273 U LMI A zsu ep 1 z nu g Z Benutzerdatens tze verwalten 274 Version 3 8 Gruppenprofile einrichten In diesem Kapitel wird das Einrichten von Gruppenprofilen erl utert Folgende Tasks werden beschrieben Gruppenprofile als verwaltete Ressourcen zuordnen Gruppenprofil erstellen Gruppenprofil klonen Gruppenprofil l schen Standardwertegruppe definieren Richtlinie f r G ltigkeitspr fung definieren Daten an ein Gruppenprofil weitergeben Standardwerte f r die Verteilung setzen Mit Gruppenprofilen arbeiten Ein Gruppendatensatz enth lt die erforderlichen Informationen ber eine Gruppe Ein Gruppenprofil ist eine Gruppe von Gruppendaten s tzen Jedes Gruppenprofil enth lt eine Reihe von Standardwerte gruppen und Richtlinien f r G ltigkeitspr fung Standardwerte gruppen definieren Standardwerte die verwendet werden wenn Sie einen neuen Profildatensatz ers
175. benten erweitert werden kann ein Minuszeichen dass die Verzweigung einer Subskribenten hierarchie bzw baumstruktur bereits erweitert wurde Version 3 8 Allgemeine Informationen zu Benutzerkonten 2 Wenn die Liste der angezeigten Subskribenten ge ndert werden soll m ssen Sie den Profilmanager in die Liste Baumstruktur verf gbarer Subskribenten verschieben und die Baumstruktur erweitern F hren Sie folgende Schritte aus um Subskribenten informationen zu ndern a W hlen Sie in der Liste Aktuelle Subskribenten eine Option aus und klicken Sie auf den Rechtspfeil Die ausgew hlte Option wird daraufhin in die Liste Baumstruktur verf gba rer Subskribenten verschoben Anmerkung Eintr ge k nnen nicht durch Doppelklicken in eine andere Liste verschoben werden b Sollen Eintr ge mit einem Pluszeichen erweitert werden klicken Sie doppelt auf die betreffende Option Die Liste wird daraufhin aktualisiert und es werden alle der Option direkt zugeordneten Subskribenten angezeigt Wiederholen Sie diesen Schritt so oft es erforderlich ist c W hlen Sie eine Option aus der in die Liste Aktuelle Subs kribenten verschoben werden soll Klicken Sie anschlie end auf den Linkspfeil Die ausgew hlte Option wird daraufhin in die Liste Aktuelle Subskribenten verschoben 3 Klicken Sie auf das Kontrollk stchen Automatisch neue Subs kribenten hinzuf gen um automatisch alle nderungen an den Subskribenten des Profilman
176. ber ohne seine Datens tze Zwei Profile derselben Art in demselben Profilmanager k nnen nicht dieselben Datens tze enthalten In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerprofil klonen Profilmanager senior Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Version 3 8 Mit Gruppenprofilen arbeiten Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Gruppenprofil zu klonen 1 Klicken Sie in einem Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 2 W hlen Sie das Symbol des zu klonenden Profils aus Tivoli SecureWay User Administration Management Handbuch 281 Mit Gruppenprofilen arbeiten 282 3 W hlen Sie im Men Editieren die Optionen Profile gt Klonen aus um den Dialog Profil klonen anzuzeigen Profil klonen of x or Profil von Profilmanager Per admin klonen Name Symbolbezeichnung Auf Profilmanager klonen Klonen und schlie en Kionen Schie en Hire G 4 Geben Sie den Namen des neuen Profils im Feld Name Symbolbezeichnung ein Klicken Sie auf Klonen und schlie en um das neue Profil zu erstellen und zum Fenster Profilmanager zur ckzukehren Tivoli erstellt da
177. bute aufgelistet deren Richtlinien von den Befehlen wpasswd und wsetusr nicht umgesetzt werden PwDictFile Eine Dateispezifikationszeichenfolge die den Pfadnamen einer GSO Kennwortdatei mit Eintr gen ein Eintrag pro Zeile ung ltiger Kennw rter angibt G ltige Werte sind None oder ein Pfadname f r eine Datei Der Standardwert ist None Da die Angabe dieses Pfadnamens von den Einstel lungen f r die Umgebungsvariablen auf dem GSO Server abh ngig ist ist eine zuverl ssige Lokalisierung dieser Datei auf dem TMR Server durch Tivoli SecureWay User Adminis tration nicht m glich PwMaxAge NTPwMaxAge UXPwMaxAge OS2PwMaxAge OS4PwMaxAge RFPwMaxAge Gibt die maximale Anzahl von Tagen an die vergehen d r fen bevor der Benutzer das Kennwort ndern muss G ltige Werte sind Unlimited oder jede ganze Zahl die gr er als Null ist Nur Endpunkte k nnen feststellen ob die maximale G ltigkeitsdauer MaxAge eines Kennworts berschritten wurde so dass die Umsetzung dieser Richtlinie durch Tivoli SecureWay User Administration auf dem Server nicht m g lich ist Tivoli SecureWay User Administration Management Handbuch 99 Bunyema9aAuOMUUDY E Kennwortqualit tsregeln 100 Windows 2000 Kennwortrichtlinien Die vorherigen Abschnitte enthalten keine Informationen zu Win dows 2000 Kennwortrichtlinien Der Grund hierf r ist dass Tivoli SecureWay Security Manager zum Zeitpunkt der Ver ffentlichung dieses Handbuchs keine Wind
178. ch 177 ugjla s a azjesusjep4szinuag 9 Informationen zu Windows NT Benutzerkonten 2 Geben Sie die Workstation ein von der sich dieser Benutzer am Netzwerk anmelden kann und klicken Sie auf Hinzuf gen Der Name der Workstation wird daraufhin der entsprechenden Liste hinzugef gt Wiederholen Sie diesen Schritt so oft es erforder lich ist Informationen zum Windows NT Fernzugriff Mit der Option NT Fernzugriff k nnen Sie die Einw hlberechtigun gen f r einen Benutzer festlegen Diese Berechtigungen gelten nur f r RAS Server Remote Access Service 1 W hlen Sie in der Merkmalliste die Option NT Fernzugriff aus NT Fernzugriff R ckruf Kein R ckruf C von Anrufer festgelegt C Bereits festgelegt l 2 W hlen Sie das Kontrollk stchen Einw hlberechtigung erteilen aus um dem Benutzer den RAS Zugriff zu erm glichen und den Bereich R ckruf zu aktivieren 3 Bei Aktivierung der Windows NT RAS R ckrufoption stellt der Benutzer ber einen Anruf eine Verbindung zum RAS Server her Der RAS Server trennt die Verbindung und ruft unmittelbar danach die vorgegebene bzw die vom Benutzer angegebene Ruf nummer zur ck Klicken Sie auf eines der folgenden Options felder um die R ckrufoption f r den Benutzer festzulegen Kein R ckruf Die R ckruffunktion ist nicht aktiviert Der Benutzer kann sich einw hlen und erh lt unmittelbaren Zugriff auf das System 178 Version 3 8 Informationen zu
179. che Fertig stellung einer Task generiert werden Beispiele f r Ereignisse sind der normale Vorgang zum Starten und Stoppen eines Prozesses und die fehlerhafte Funktions weise eines Servers Ereignis Repository In einer Tivoli Umgebung ein RIM Repository das Informationen enth lt die von Tivoli Enterprise Console gesammelt oder generiert werden Zum Beispiel speichert Tivoli Enterprise Console im Ereignis Repository Informationen zu Ereignissen Ferne Verteilung In einer Tivoli Umgebung eine Verteilung an Zielmaschinen die sich in einer ver bundenen Tivoli Management Region TMR befinden Gateway Eine Funktionseinheit die zwei Computernetzwerke mit unterschiedlichen Netzwerkarchitekturen miteinander verbindet Ein Gateway verbindet Netzwerke oder Systeme mit unterschiedlichen Architekturen Eine Br cke Bridge verbindet Netzwerke oder Systeme mit denselben oder verwandten Architekturen Eine Funktionseinheit die zwei Netzwerke oder Teilnetzwerke mit unterschiedlichen Kenndaten verbindet z B mit unterschiedlichen Protokollen oder unterschiedlichen Richtlinien zur Sicherheit oder bertragungspriorit t Die Kombination von Maschinen und Programmen die Adressumsetzung Namens umsetzung und SSCP Rufweiterschaltung SSCP System Services Control Point Tivoli SecureWay User Administration Management Handbuch 445 Jessoj9 446 Hinweis zwischen unabh ngigen SNA Netzwerken zur Verf gung stellen die diesen Netz werken die
180. chluss LPT3 der Maschine des Anforderers zugeordnet wird PUBLICO P gibt an dass das Verzeichnis PUBLICO bei der Anmeldung des Benutzers an das Laufwerk P angeh ngt wird DATABASE wiederum gibt an dass die Ressource DATABASE dem n chsten verf gbaren Laufwerkbuchstaben auf der Maschine des Benutzers Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten zugewiesen wird und MODEM288 COMA4 gibt an dass die serielle Einheit MODEM288 dem Anschluss COM4 zugeordnet wird 3 So f gen Sie der Liste der Anmeldezuordnungen einen Eintrag hinzu a Geben Sie den Aliasnamen der Ressource ein OS 2 Alias namen werden in der Regel in Gro buchstaben eingegeben da Kleinbuchstaben in Aliasnamen von den OS 2 Endpunkten jedoch generell in Gro buchstaben umgesetzt werden kann die Angabe auch in Kleinbuchstaben erfolgen b W hlen Sie einen Laufwerkbuchstaben oder eine Einheit aus dem bzw der die LAN Ressource auf dem System des Anfor derers zugeordnet wird Wenn Sie einen Stern statt eines Laufwerkbuchstabens angeben wird die Ressource an den n chsten verf gbaren Laufwerkbuchstaben auf dem System des Anforderers angeh ngt c Klicken Sie auf Hinzuf gen Der neue Eintrag wird darauf hin in der Liste mit Anmeldezuordnungen angezeigt Allgemeine OS 2 Anwendungen In der Anzeige Allgemeine OS 2 Anwendungen k nnen Benutzer allgemeine und private Anwendungen zuweisen Bei der Anmeldung eines Benutzers an einer Workstation w
181. chname en El ten Generationsangabe Initialen Telefon ma H Fa Mitarbolter 10 Pager EE EE EE Ee kr kr EE xz Beschreibung Standardeinstellungen generieren Fesissenunascnienen Festes Sg oc rue S Es gibt drei voneinander abh ngige Komponenten im Dialog Benutzermerkmale die Dropdown Liste Kategorie die Merkmal liste direkt darunter und den Merkmalbereich der Bereich unmit telbar rechts neben der Merkmalliste Die aktuelle Auswahl in der Dropdown Liste Kategorie legt fest welche Optionen in der Merk malliste angezeigt werden Die aktuelle Auswahl in der Merkmal liste bestimmt die Anzeige im Merkmalbereich des Dialogs Wenn Sie beispielsweise die Option Allgemein in der Dropdown Liste Kategorie und anschlie end die Option Subskribenten in der Merkmalliste ausw hlen zeigt Tivoli SecureWay User Administra tion im Merkmalbereich des Dialogs die Informationen zu den Sub skribenten an Tivoli SecureWay User Administration Management Handbuch 155 u S1 z su ep 1 z nu g 9 Neue Datens tze f r Benutzerkonten erstellen Neue Datens tze f r Benutzerkonten erstellen 156 Benutzerdatens tze enthalten s mtliche Informationen die zum Ver walten der Benutzerkonten erforderlich sind Bei der Erstellung eines neuen Benutzerdatensatzes wird dieser von Tivol
182. chnis erstellt wenn das Profil an die Systemdateien der Subskribenten verteilt wird Fern angeh ngt Gibt an dass sich das Basisverzeichnis auf einem ange h ngten Dateiserver befindet Falls Sie diese Option aus w hlen wird das ferne Basisverzeichnis erstellt wenn das Profil an Subskribenten verteilt wird Tivoli SecureWay User Administration Management Handbuch 217 u j S1 z su ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten 3 Wenn Sie die Basisverzeichnisart Fern angeh ngt ausgew hlt haben klicken Sie auf Serververzeichnis um den Dialog Datei Browser anzuzeigen 27 Datet Browser Bis E A Datei ausw hlen Dateinamenfiter Hosts Verzeichnisse Dateien dt sw SD_CDROM TI Xauthority dtprofile netre profile rhosts core mr pp sisupgrade out Tivoli bin cdrom S H Pfad festiegen Datei definieren und schlie en Datei definieren Schlie en Hirte a Klicken Sie in der Liste Hosts doppelt auf den entsprechen den Server Tivoli SecureWay User Administration zeigt die verf gbaren Verzeichnisse in der Liste Verzeichnisse an b Klicken Sie doppelt auf das entsprechende Verzeichnis in der Liste Verzeichnisse c Klicken Sie auf Datei definieren und schlie en um diesen Pfad als das Serververzeichnis hinzuzuf gen und den Dialog zu schlie en 4 Wenn Sie die Basisverzeichnisart Lokal a
183. chnittstelle zu verwalten Im Handbuch Tivoli SecureWay User Administration Reference Manual finden Sie alle Informationen zur Verwendung der Befehle wgetusr und wsetusr einschlie lich einer Liste mit allen anderen verf gbaren Attribute 420 Anmerkung In dieser Liste sind die tats chlichen Namen der Attri bute aufgef hrt die f r die Verwaltung der OS 2 Um gebung verwendet werden Diese Namen werden nicht auf der grafischen Benutzerschnittstelle von Tivoli SecureWay User Administration angezeigt jedoch m ssen sie beispielsweise bei der Verwendung der Befehle wgetusr und wsetusr dem Argument x fol gen Beispiel wgetusr x 0s2_applications os2_applications 0s2_groups 0s2_homedir_assigned_drive Eine Liste mit Aliasnamen f r allge meine Anwendungen jeweils durch ein Komma voneinander getrennt die diesem Benutzer zugeordnet sind Eine Liste mit Gruppennamen jeweils durch ein Komma voneinan der getrennt die diesem Benutzer zugeordnet sind Entweder ein Laufwerkbuchstabe nur der Buchstabe kein Doppel punkt oder ein Stern Hierbei handelt es sich um das Laufwerk auf dem das Basisverzeichnis dem Anforderer zugeordnet wird wenn sich der Benutzer am OS 2 WARP Server anmeldet In diesem Feld darf nur ein Zeichen eingegeben werden Version 3 8 OS 2 Attributnamen in Benutzerprofilen os2_homedir_server_name os2_homedir_server_path os2_homedir_keep os2_logon_script os2_logon_assignmen
184. cht gel scht 2209 NERR_LogonsPaused Netzwerkanmeldungen wurden ange halten Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2210 NERR_LogonServerConflict Ein zentraler Anmeldeserverkonflikt ist aufgetreten 2212 NERR_LogonScriptError Beim Laden oder Ausf hren des Anmeldeskripts ist ein Fehler aufge treten 2214 NERR_StandaloneLogon Es wurde kein Anmeldeserver angege ben Ihr Computer wird als STANDALONE angemeldet 2215 NERR_LogonServerNotFound Der Anmeldeserver wurde nicht gefunden 2217 NERR_NonValidatedLogon Der Anmeldeserver konnte die Anmeldung nicht berpr fen 2218 NERR_AccountUndeletable Das Benutzerkonto wurde als nicht l schbar definiert 2219 NERR_ACFNotFound Die Abrechnungsdatei NET ACC wurde nicht gefunden 2220 NERR_GroupNotFound Der Gruppenname wurde nicht gefun den 2221 NERR_UserNotFound Der Benutzername wurde nicht gefun den 2222 NERR_ResourceNotFound Der Ressourcenname wurde nicht gefunden 2223 NERR_GroupExists Die Gruppe ist bereits vorhanden 2224 NERR_UserExists Das Benutzerkonto ist bereits vorhan den 2225 NERR_ResourceExists Die Liste mit den Ressourcen berechtigungen ist bereits vorhanden 2226 NERR_NotPrimary Die UAS Datenbank ist eine Kopie der Datenbank und ist daher nicht aktualisiert 2227
185. cht zu ffnen Die Eintr ge in dieser erweiterten Anzeige haben folgendes Format Richtlinienbereich Profilmanager Profil Benutzername u admin region adnin Benutzer uzeller Klicken Sie in der erweiterten Ansicht doppelt auf eine Option um die Attribute f r ein bestimmtes Benutzerkonto zu editieren Welcher Dialog bzw welche Dialoge daraufhin angezeigt wer den h ngt von der Einstellung in der Dropdown Liste ab die sich am unteren Rand des Dialogs Benutzersuchfunktion befindet Dialog Benutzer editieren ffnen Dialog Denutzer editieren ffnen Profiltabellenanzeige ffnen Beide ffnen Dialog Benutzer editieren ffnen Zeigt den Dialog Datensatz editieren an Sie k nnen sofort mit dem Editieren von Attributen f r den ausge w hlten Benutzer beginnen Profiltabellenanzeige ffnen Zeigt den Dialog Benutzerprofilmerkmale an Tivoli SecureWay User Administration Management Handbuch 227 uoyemon 9zjesusjep4szinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 228 Beide ffnen Zeigt den Dialog Datensatz editieren sowie den Dialog Benutzerprofilmerkmale an Weitere Informationen finden Sie in der Onlinehilfe zu den Anzeigen Datens tze editieren und Benutzerprofilmerkmale Benutzer editieren Sie k nnen die Benutzerdatens tze in den von Ihnen angegebenen Benutzerprofilen editieren Die ge nderten Benutzerkontoinfor mationen werden in einer Benu
186. d Die angegebene Einheit kann nicht gemeinsam benutzt werden 2333 NERR_DevNotOpen Die angegebene Einheit war nicht betriebsbereit 2334 NERR_BadQueueDevString Die angegebene Liste mit Einheiten namen ist ung ltig 2335 NERR_BadQueuePriority Die Warteschlangenpriorit t ist ung l tig 2337 NERR_NoCommDevs Es sind keine gemeinsamen bertragungseinheiten vorhanden 2338 NERR_QueueNotFound Die angegebene Warteschlange ist nicht vorhanden 2340 NERR_BadDevString Die angegebene Liste mit Einheiten ist ung ltig 2341 NERR_BadDev Die angeforderte Einheit ist ung ltig 2342 NERR_InUseBySpooler Die angegebene Einheit wird bereits vom Spooler benutzt 2343 NERR_CommDevInUse Die angegebene Einheit wird bereits als DFV Einheit verwendet 2351 NERR_InvalidComputer Der angegebene Computername ist ung ltig 2354 NERR_MaxLenExceeded Die angegebene Zeichenfolge und das Pr fix sind zu lang 2356 NERR_BadComponent Die angegebene Pfadkomponente ist ung ltig 2357 NERR_CantType Der Typ der Eingabe kann nicht fest gestellt werden 2362 NERR_TooManyEntries Der Typenpuffer ist nicht gro genug 2377 NERR_LogOverflow Die angegebene Protokolldatei ber schreitet die definierte maximale Gr e Tivoli SecureWay User Administration Management Handbuch 435 usy
187. dardwerte f r die Verteilung f r jedes Benut zerprofil fest ber diese Standardwerte wird die Verteilungsart festgelegt Planen Sie die Verteilungen so dass sie nicht w hrend der Gesch ftszeiten ausgef hrt werden Tivoli SecureWay User Administration Management Handbuch 41 Bunyemaaausddnig pun Aezinueg LU Viele Benutzer verwalten 42 Version 3 8 Tivoli SecureWay User Administ ration installieren In diesem Kapitel wird erkl rt wie die Tivoli SecureWay User Administration Software installiert aktualisiert und deinstalliert wird Es enth lt folgende Abschnitte m Tivoli SecureWay User Administration Installationspakete m Softwareoptionen und voraussetzungen sowie Hardwarevoraus setzungen m Mit Tivoli Software Installation Service SIS installieren m Tivoli SecureWay User Administration installieren m Tivoli SecureWay User Administration Gateway Package instal lieren m ILDAP Pakete Lightweight Directory Access Protocol installie ren m Pakete f r OS 2 Server und Gateway installieren m Pakete f r AS 400 Server und Gateway installieren m OnePassword Paket installieren In den Tivoli SecureWay User Administration Release Notes finden Sie dar ber hinaus Einzelangaben zu den neuesten Modulversionen und unterst tzten Systemkonfigurationen sowie Informationen zur Installation und Deinstallation von Erg nzungssoftware Tivoli SecureWay User Administration Management Handbuch 43 us4a jelsu
188. datensatz eingeben Verzeichnis Gruppen Anmeldung Anmeldezeit Kennwort Fernzugriff Webgruppe Zus tzliche Identifikation F hren Sie folgende Schritte aus um Benutzerinformationen f r Windows 2000 hinzuzuf gen 1 W hlen Sie in der Dropdown Liste Kategorie die Option Win dows 2000 aus 2 W hlen Sie die gew nschte Option in der Merkmalliste aus 180 Version 3 8 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Verzeichnis Mit der Option Windows 2000 Verzeichnis k nnen Sie Verzeichnis informationen f r Windows 2000 eingeben 1 W hlen Sie in der Merkmalliste die Option Windows 2000 Ver zeichnis aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Basisverzeichnis Basisverzeichnis Laufwerk f r lokale Verbindungen IT Nach L schen des Benutzers auch Basisverzeichnis l schen I Profil und Skriptposition Profiiname Anmeldeskript l Geben Sie im Feld Basisverzeichnis den Pfad f r das Basis verzeichnis des Benutzers ein Der angegebene Wert kann lokal oder fern sein Beispiel f r ein Verzeichnis im lokalen Datei system C Basisverzeichnis Beispiel f r ein Verzeichnis in einem fernen Dateisystem Server Users Basisverzeichnis Anmerkung In dem Beispiel f r ein Verzeichnis in einem fer nen Dateisystem muss das Basisverzeichnis ein vorhandenes Verzeichnis f r gemeinsame Nutzung sein und ber ents
189. dem lokalen Sys tem ge ndert m Wird keine dieser Optionen angegeben werden nderungen des Kennworts erst bei der Verteilung des Benutzerprofils wirksam Der Befehl wpasswd steht f r Benutzer nur zur Verf gung wenn er auf Endpunkten unter Verwendung des Befehls winstpw installiert wurde Eine Installation des Befehls wpasswd ber die Arbeits oberfl che oder SIS ist nicht m glich Mit dem Befehl winstpw wird der Befehl wpasswd im Verzeichnis LCF_DATDIR cache bin INTERP TME WPASSGATEWAY auf dem Endpunkt installiert Anschlie end sollte der Befehl wpasswd entweder in ein geeignetes Verzeichnis auf dem Endpunkt verschoben oder das Verzeichnis LCF_DATDIR cache bin INTERP TME WPASSGATEWAY an den Benutzerpfad angeh ngt werden Weitere Informationen zur Verzeichnisstruktur auf Endpunkten finden Sie im Tivoli Manage ment Framework Benutzerhandbuch In der folgenden Tabelle sind die m glichen Verfahren zur nderung von Benutzerkennw rtern sowie Hinweise zur Verwaltung von Kennwort nderungen aufgef hrt Version 3 8 Befehl wpasswd verwenden Befehle bzw Wird das neue Wird das neue Ist eine sofor Wird das Kenn Verfahren Kennwort im Kennwort auf tige Benutzer wort erst bei Benutzerprofil den Subskripti anmeldung einer Verteilung gespeichert ons m glich des Benutzer zielen gespei profils akti chert viert wpasswd L Ja Ja Ja Nein wpasswd l Ja Nein Die nde Ja jed
190. den Eintr gen in der Datei ete passwd und das Kennwort mit den Eintr gen in der Datei ete security passwd auf dem lokalen System verglichen Tivoli SecureWay User Administration Management Handbuch Bunyemasausddnig pun 9z1nuag L Konzepte f r plattformspezifische Benutzerverwaltung Anmerkung Unter UNIX ist auch eine Authentifizierung von fer nen Datenbanken wie beispielsweise NIS m glich Sobald ein Benutzer authentifiziert wurde und ihm eine Anmelde sitzung gew hrt wurde wird die Benutzerumgebung vom System erstellt Das System erstellt zuerst eine globale Umgebung und dann eine benutzerspezifische Umgebung Die globale Umgebung wird normalerweise ber die Dateien ete profile und etc environment erstellt wobei es sich um systemweite Dateien handelt ber diese Dateien werden die Umgebungsvariablen f r die meisten System benutzer festgesetzt Sie werden auch dazu verwendet schreib gesch tzte Umgebungsvariablen festzulegen die vom Benutzer weder ge ndert noch entfernt werden k nnen Eine benutzerspezifische Umgebung wird ber die Benutzerdatei profile und andere Dateien die sich blicherweise im Basis verzeichnis des Benutzers befinden erstellt Innerhalb eines UNIX Systems wird ein Benutzer durch eine eindeu tige numerische Benutzer ID UID sowie durch eine prim re Grup pen ID GID identifiziert Die Benutzer ID bzw Gruppen ID kann vom Systemadministrator ge ndert werden Meldet sich ein Benut
191. den alle Sicherheitsgruppen zu denen der Benutzer geh rt mit dem Namen des neuen Benutzer profils aktualisiert Jeder Benutzerdatensatz kann mehreren Sicherheitsgruppen in mehreren Sicherheitsprofilen zugeordnet werden innerhalb einer Sicherheitsgruppe ist ein Benutzereintrag jedoch nur jeweils einem einzigen Benutzerdatensatz zugeordnet Wenn ein Benutzer in Ihrem Unternehmen in mehrere Benutzerdatens tze aufgenommen wurde werden daher nderungen an einer Sicherheitsgruppe nur in dem Version 3 8 Sicherheitsverwaltung zugeordneten Benutzerdatensatz widergespiegelt Tivoli SecureWay Security Manager hat keine M glichkeit andere Benutzerdatens tze f r denselben Benutzer zu erkennen Task spezifische Berechtigungsklassen Tivoli SecureWay User Administration stellt eine Reihe von Task spezifischen Berechtigungsklassen zur Verf gung mit deren Hilfe lei tende Administratoren fest definierte Verwaltungsaufgaben an unter geordnete Administratoren delegieren k nnen Die Task spezifischen Berechtigungsklassen teilen den Funktionsumfang der Berechtigungs klassen admin und user auf sie k nnen statt der von Tivoli Mana gement Framework zur Verf gung gestellten Berechtigungsklassen verwendet werden Im Folgenden einige Beispiele f r den Einsatz der Task spezifischen Berechtigungsklassen m Help Desk Mitarbeitern kann die Berechtigung zum ndern von Kennw rtern des Standorts des B ros oder der Telefonnummer von Endbe
192. den g ngigen Betriebssystemen Windows NT Windows 2000 NetWare OS 2 OS 4 OS 390 und den wichtigsten UNIX Plattformen AIX HP UX Solaris und Linux zur Verf gung Tivoli SecureWay User Administ ration enth lt folgende Benutzer und Gruppenverwaltungsfunktio nen Eine grafische Benutzerschnittstelle GUD zur zentralen Verwal tung von Benutzerkonten unter UNIX Windows NetWare und anderen Plattformen Schablonen mit denen Sie durch Eingabe weniger Daten einen vollst ndigen Datensatz erstellen k nnen Tools zum schnellen Suchen Bearbeiten Erstellen und L schen eines bestimmten Benutzerdatensatzes Zentrale Administratorsteuerung von Konten in Kombination mit begrenzter Benutzereingabesteuerung Task spezifische Berechtigungsklassen ber die ein leitender Systemadministrator den verschiedenen Informationen in den Benutzerkonten unterschiedliche Zugriffsebenen zuordnen kann Verwaltung von allgemeinen Benutzerinformationen sowie von Kontoinformationen unter UNIX Windows und NetWare und anderen Plattformarten in einem Benutzerdatensatz Echte Client Serverunterst tzung In diesem Kapitel werden folgende Benutzer und Gruppen verwaltungsfunktionen beschrieben Funktionsweise der Benutzer und Gruppenverwaltung Komponenten f r die Benutzerkonten und Gruppenverwaltung Benutzer und Gruppenprofile Richtlinien f r Benutzer und Gruppenprofile Kennwortsteuerung Version 3 8 Benutzersuchfunktion Datens tze sp
193. dename UNIX iapprich liapprich userid useridt uzeller uzeller wfriesch wiriesch H Benutzer hinzur gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi H 2 W hlen Sie Standardwertegruppen im Men Editieren aus um den Dialog Standardwertegruppen editieren anzuzeigen 2 Standardwertegruppen editieren ioj E Konfigurationsprofil Benutzer in Profilmanager admin Attribute Standardwertegruppe UNIX Benutzerinformationen GECOS Subskribenten d rfen editieren UNIX Gruppen ID UNIX Gruppenaliasnanen f r E Mail Ja C Nein UNIX Host f r E Mail UNIX Kennwort Standardart Prozedur d UNIX Kennwortg ltigkeit UNIX Pr Flag Prozedur in Profil geladen UNIX Pr ID UNIX Server Pfad Prozedurargumente editieren UNIX Umask Prozedurhauptteil editieren Festlegen und schlie en Festlegen W hlen Sie ein Attribut in der Liste Attribute aus Klicken Sie auf das Optionsfeld Ja im Feld Subskribenten d r fen editieren damit Subskribenten nderungen durchf hren k n nen Klicken Sie andernfalls auf das Optionsfeld Nein Tivoli SecureWay User Administration Management Handbuch 133 11U19 us y9 a lJo d az nuag e Benutzerprofile einrichten 134 5 W hlen Sie eine Standardart in der Dropdown Liste Standardart aus Die verf gbaren Optionen la
194. der Befehl wpasswd ausgegeben wurde ge ndert nachdem die Benutzerkennw rter in den Benutzerprofilen ge ndert wurden Sie k nnen ber die Optionen c Endpunktartcode auch die Endpunkt Version 3 8 Leistungsspektrum von wpasswd arten begrenzen auf denen Kennwort nderungen ausgef hrt werden Beispiel Wenn ein Benutzer mit dem Namen sandy auf einem UNIX System mit dem Namen bear den Befehl wpasswd c NT 1 ausgibt werden alle NT Kennw rter des Benutzers sandy in den Benutzerprofilen ge ndert jedoch wird das Kennwort des Benutzers sandy auf dem System bear nicht ge ndert L gt und alle Subskribenten aktualisieren Wenn beim Aufruf des Befehls wpasswd die Option L verwendet wird wird das Benutzerkennwort auf allen subskribierenden End punkten ge ndert nachdem die Benutzerkennw rter in den Benutzerprofilen ge ndert wurden Um festzustellen welche End punkte dies sind bestimmt der Befehl wpasswd zun chst alle Benutzerprofile in denen Benutzerkennw rter ge ndert wurden Dar aufhin werden die Profilmanager identifiziert zu denen diese Benutzerprofile geh ren Danach werden die Subskriptionsbaum strukturen dieser Profilmanager erweitert und alle Endpunkte die Zieladressen f r Verteilungen dieser Profilmanager und Subskriptio nen auf Datensatzebene sein k nnten identifiziert Aus dieser Endpunktgruppe werden Endpunkte entfernt so dass die Gruppe nur noch die Endpu
195. des Standarddruckers an SYSVAL Name Ein Drucker der auf einem AS 400 Endpunkt definiert ist SSWOZErleHity Zahl Eine ganze Zahl zwischen 0 und 9 Gibt die h chste Priorit tsstufe f r die Job bergabe an OS400_Priv_ALLOBJ YES Gibt an ob die Berechtigung f r den Zugriff NO auf Systemressourcen allen Objekten erteilt werden soll OS400_Priv_AUDIT YES Gibt an ob Protokollierungsberechtigungen NO erteilt werden sollen OS400_Priv_IOSYSCFG YES Gibt an ob Berechtigungen f r die VO Kon NO figuration erteilt werden sollen OS400_Priv_JOBCTL YES Gibt an ob Jobsteuerberechtigungen zum NO ndern Anzeigen Anhalten Freigeben Abbrechen oder L schen beliebiger aktiver Jobs erteilt werden sollen Tivoli SecureWay User Administration Management Handbuch 397 usyemion 19z nu g 00t SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte O0S400_Priv_SAVSYS YES Gibt an ob Berechtigungen zum Speichern NO Wiederherstellen oder zum Freigeben von Speicherplatz f r alle Systemobjekte erteilt werden sollen 0S400_Priv_ SECADM YES Gibt an ob NO Sicherheitsverwaltungsberechtigungen zum Erstellen bzw ndern von Benutzerprofilen erteilt werden sollen OS400_Priv_SPLCTL YES Gibt an ob Spool Steuerungsberechtigungen NO erteilt werden sollen OS400_Priv_Service YES Gibt an ob Dienstberechtigungen e
196. die Anmel dung an der NDS Baumstruktur verwendet wird wenn Sie Daten an ein Benutzerprofil weitergeben oder auf der Basis des TME Benut zers eine Verteilung ausf hren Dar ber hinaus m ssen Sie unter Umst nden die Standardwertegruppen nw_nds_context und nw_ volume_restrictions zur cksetzen Die Standardwertegruppe nw_nds_context wird auf der Tivoli Arbeitsoberfl che als NetWare NDS Kontext angezeigt 146 Version 3 8 Benutzerprofile einrichten Der Standardwert f r die Standardwertegruppe nw_nds_context ist CompanyName Wenn Sie diesen Namen durch eine aussage kr ftigere Bezeichnung ersetzen k nnen Sie dar ber hinaus eines der folgenden Suffixe an den Kontextnamen anh ngen um damit den Umfang der Datenweitergabe besser festzulegen Wird kein Suffix angegeben werden an das Benutzerprofil Daten aus dem angegebe nen Kontext und dessen untergeordneten Kontexten weitergegeben Es werden nur Daten aus dem angegebenen Kontext nicht aber aus den untergeordneten Kontexten weitergegeben Es werden Daten aus allen untergeordneten Kontexten nicht aber aus dem angegebenen Kontext selbst weitergegeben Wird die Standardwertegruppe nw_nds_context ge ndert so dass sie ein Suffix enth lt sollten Sie dieses Suffix vor der Erstellung neuer Benutzerdatens tze l schen Andernfalls wird das Suffix dem Kontextnamen als Zeichenfolge angeh ngt und der Kontextname wird dadurch ung ltig Als Folge davon ist der Benutzerkonto bei der
197. die Befehle wsetusr und wdis trib sowie die Funktionen des Befehls wpasswd die nur System administratoren vorbehalten sind sind nur f r Tivoli Administratoren auf verwalteten Knoten innerhalb der TMR verf gbar Das f r den Endbenutzer bestimmte Leistungsspektrum des Befehls wpasswd ist f r alle Benutzer auf verwalteten Knoten und TMA Endpunkten ver f gbar Anmerkung Die Kennwortverwaltungsfunktionen die in Tivoli SecureWay User Administration integriert sind sind nicht dazu gedacht die Kennwort Tools der verschie denen verwalteten Betriebssysteme vollst ndig zu Tivoli SecureWay User Administration Management Handbuch 83 Bunyema9AuOMUUDY E ersetzen Administratoren sollten die Entscheidung f r ein bestimmtes Tool von den jeweiligen Gegebenhei ten abh ngig machen Befehl wpasswd verwenden 84 Das Besondere an dem Befehl wpasswd ist dass er nicht nur von Tivoli Administratoren sondern auch von anderen Benutzern ausge f hrt werden kann Mit diesem Befehl k nnen allgemeine Kennw r ter sowie die Kennw rter f r bestimmte Konten z B ein Windows NT Kennwort ge ndert werden Dar ber hinaus gibt es f r den Befehl wpasswd verschiedene Optionen ber die festgelegt werden kann wann und wo die nderungen wirksam werden m Mit der Option L wird das Kennwort auf allen Systemen ge n dert die dem Benutzerdatensatz des betreffenden Benutzers zugeordnet sind m Mit der Option l wird nur das Kennwort auf
198. die Benutzerdatens tze deren Namen Sie dem Gruppendatensatz hinzuf gen m chten in der Liste Benutzer im Profil aus Klicken Sie auf den Rechtspfeil um die Benutzerdatens tze dem Gruppendatensatz hinzuzuf gen Wiederholen Sie die Schritte 8 9 und 10 um Mitglieder aus anderen Profilen im aktuellen Profilmanager hinzuzuf gen Nehmen Sie erforderliche nderungen am Datensatz vor Klicken Sie auf Hinzuf gen und schlie en um den Datensatz hinzuzuf gen und zum Gruppenprofil zur ckzukehren W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen an der Profildatenbank zu speichern Version 3 8 Neue Datens tze f r Gruppenkonten erstellen Befehlszeile Im folgenden Beispiel wird ein Gruppendatensatz erstellt wertgrp u dgates jgriffin rroyer A GroupProfile developers Dabei gilt Folgendes u dgates Gibt die Anmeldenamen der Benutzer an die der Gruppe hinzugef gt werden sollen GroupProfile developers Gibt den Namen des Profils an dem der Gruppendatensatz hinzugef gt wird Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wertgrp im Handbuch Tivoli SecureWay User Administra tion Reference Manual Gruppenkontodatens tze editieren Wenn Sie den Datensatz eines vorhandenen Gruppenkontos ndern speichert Tivoli SecureWay User Administration die Kontoinfor mationen in einer Gruppenprofildatenbank Die Gruppenkontoinfor m
199. die Verteilungen so dass sie nicht w hrend der Gesch ftszeiten ausgef hrt werden Tivoli SecureWay User Administration Management Handbuch 39 Bunyemasausddnig pun Aezinueg LU Viele Benutzer verwalten 40 Tausende Benutzer unterschiedlicher Abteilungen ver walten Die NoonTide Corporation eine fiktive Firma hat 10 000 Ange stellte Die Firma ist in verschiedene Abteilungen unterteilt wie Marketing Marketing Vertrieb Sales Entwicklung Develop ment Qualit tskontrolle Verification Unterst tzung Support Design Design und Buchhaltung Accounting Die Firma hat eine NDS Baumstruktur mit Kontexten f r jeden Unternehmensbereich Windows NT Dom nen f r jeden Unternehmensbereich und UNIX NIS Dom nen f r die Entwicklungs und die Qualit tskontrollab teilung Die Mitglieder der Entwicklungs und der Qualit tskontrollabteilung sind jeweils einem bestimmten Projekt zugeordnet die Mitglieder der Marketingabteilung sind entweder dem Unternehmensmarketing oder einer Region zugeordnet und jedes Mitglied des Vertriebs ist einer anderen Region zugeordnet Die Struktur der NoonTide Corporation bietet eine gute Strategie f r die Erstellung von Profilmanagern und Profilen F hren Sie folgende Schritte aus um Profilmanager f r jede Abteilung zu erstellen und dann Profile f r jeden Bereich innerhalb einer Abteilung zu erstellen 1 Erstellen Sie die Profilmanager Accounting Design Develop ment Marketing
200. doppelt auf ein Profil um das Fenster Benutzerprofilmerkmale anzuzeigen Benutzerprofilmerkmale _IoJxI Profil Editieren Ansicht Hilfe Benutzerprofil Benutzer Kennung festlegen Subskriptionspfad admin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX iapprich liapprich Pointe userid1 userid1 binic uzeller luzeller nie Wfriesch Wfriesch nie 4 Benutzer hinzuf gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehm H A 266 Version 3 8 Benutzerdatens tze verwalten 2 W hlen Sie Suchen im Men Ansicht aus um den Dialog Datens tze suchen anzuzeigen 2 Datens tze suchen Isi Konfigurationsprofil Benutzer in Profilmanager admin Attribute UNIX Benutzerinfornationen GECOS x UNIX Gruppen ID UNIX Gruppenaliasnanen f r E Mail UNIX Host f r E Mail z Exakte bereinstimmung Erstes Vorkommen suchen N chstes Vorkommen suchen Alle suchen Innatt schen Schlieren Hite E W hlen Sie die entsprechenden Attribute in der Liste Attribute aus Diese Attribute werden von Tivoli SecureWay User Admi nistration zur Definition der Suchkriterien verwendet W hlen Sie eine der folgenden Sucharten aus dem Kontextmen aus Enth lt Gibt
201. dpunkten jeweils durch ein Komma voneinander getrennt angegeben werden die dem Datensatz zugeordnet sind An Stelle einer solchen Liste k nnen Sie auch eines der folgenden Sonderzeichen angeben Gibt an dass der Benutzerdatensatz allen Mitgliedern der Subskriptionsbaumstruktur zugeordnet wird Die Angabe dieses Sonderzeichens entspricht der Angabe des Profilmanagers der h chsten Ebene Gibt an dass der Benutzerdatensatz keinen Subskri benten zugeordnet ist Wird das Argument ns auf ENABLED gesetzt enth lt das Attribut subscribers die Namen der Endpunkte die nicht mit dem Argument su aufgef hrt wurden Tivoli SecureWay User Administration kann nicht zwischen Endpunkten unterscheiden die bei der Ausf hrung des Befehls wertusr absichtlich nicht angegeben wurden und End punkten die im Nachhinein der TMR hinzugef gt wurden Im Fol genden werden die m glichen Werte des Attributs subscribers erl u tert In der folgenden Tabelle sind die m glichen Werte der Argumente su und ns sowie deren Auswirkung auf das Attribut subscribers aufgef hrt In diesen Beispielen sind epl ep2 und ep3 ausw hlbare Ziele f r eine Verteilung Version 3 8 Allgemeine Informationen zu Benutzerkonten Wert f r ns Wert f r su Wert des Attributs subscribers ENABLED Null ENABLED ep1 ep2 ep3 ENABLED epl ep2 ep3 DISABLED epl ep2 ep3 DISABLED Null DISABLED epl ep2 epl ep2 Das
202. drwx Die Zugriffsrechte werden durch die Standardwerte gruppe umask definiert Wenn Sie andere Standardzugriffsrechte ben tigen m ssen Sie diese Standardwertegruppe ndern bevor Sie dem Profil Datens tze hinzuf gen Weitere Informationen zur Hand habungs von Standardwertesruppen finden Sie unter Sie k nnen ein Benutzerprofil mit UNIX Benutzerkonten verteilen deren Basisverzeichnisse von einem nicht von TME verwalteten NFS Server aus verf gbar sind Zum ndern dieser Basisver zeichnisse bzw zum Erstellen neuer Basisverzeichnisse muss das Konto root auf dem TME Server allerdings ber Schreibzugriff auf das NFS Dateisystem verf gen 216 Version 3 8 Informationen zu UNIX Benutzerkonten 1 W hlen Sie in der Merkmalliste die Option UNIX Verzeichnis aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen UNIX Verzeichnis Basisverzeichnisart Fern angeh ngt Basisverzeichnis Standarddateien abrufen aus l Wenn Basisverzeichnis ge ndert wird Keine nderung 7 2 W hlen Sie in der Dropdown Liste Basisverzeichnisart die Art des Basisverzeichnisses f r den Benutzer aus Die folgenden Optionen sind verf gbar Keine Gibt an dass f r dieses Benutzerkonto kein Basis verzeichnis vorhanden ist Lokal an Host Gibt an dass sich das Basisverzeichnis auf dem System des Benutzers befindet Falls Sie diese Option ausw hlen wird das lokale Basisverzei
203. e en Festlegen Schlie en ol G 7 W hlen Sie in der Dropdown Liste Ausw hlen eine Option aus Wenn die gew nschte Option nicht aufgef hrt ist K nnen Sie diese im Feld Art eingeben Geben Sie im Feld Adresse eine Adresse ein 9 Klicken Sie auf Festlegen und schlie en um diesen Dialog zu schlie en und die Adresse dem Adressfeld hinzuzuf gen Informationen zu NetWare Anmeldeskripts Mit der Kategorie NetWare Anmeldeskript k nnen Sie das Anmeldeskript f r einen NetWare Benutzer bearbeiten und diesen einem Anmeldeprofil zuordnen Bei der Anmeldung eines Benutzers in einem NetWare Konto k n nen von NetWare mehrere Anmeldeskripts ausgef hrt werden Dazu geh ren Kontext Container Anmeldeprofil und die benutzer spezifischen Anmeldeskripts Kontext Container und Anmelde profilskripts legen die Anmeldekenndaten fest die f r eine Vielzahl von Benutzern gelten Zusammen setzen diese Skripts in der Regel die Informationen zur Umgebung und steuern die Anzeige von Anmeldenachrichten Nach Ausf hrung dieser Skripts wird von Net Ware das Anmeldeskript des Benutzers ausgef hrt ist keine vorhan den kommt ein Standardskript zur Ausf hrung 204 Version 3 8 Informationen zu NetWare Benutzerkonten Da der Gro teil der Einstellungen die dem Benutzer das Arbeiten an einer NetWare Workstation erm glichen von den Kontext Con tainer und Anmeldeprofilskripts festgelegt werden
204. e Arten von begrenzten Ressourcen wie beispielsweise Bandtreiber bertragungsleitungen Datenbanken oder Drucker die f r die Ausf hrung eines Version 3 8 Jobs ben tigt werden Sie bestimmen zu welchem Zeitpunkt und in welchem Umfang eine Ressource verf gbar ist und welche logischen Workstations die Res source verwenden k nnen Mit Hilfe dieser Informationen k nnen Sie festlegen zu welchem Zeitpunkt Jobnetzwerkinstanzen ausgef hrt werden sollen In der grafi schen Benutzerschnittstelle GUI werden Ressourcen auch logische Ressourcen genannt 3 Jede von einem Job oder einer Task ben tigte Funktion eines Computersystems oder eines Betriebssystems die ber Hauptspeicher Ein Ausgabeeinheiten eine Verarbeitungseinheit Datenbest nde und Steuerungs bzw Verarbeitungsprogramme verf gt Siehe auch Ressourcenart In einer Tivoli Umgebung eines der Merkmale f r eine verwaltete Ressource Ressourcenarten werden in den Standardwertegruppen eines Richtlinienbereichs defi niert In Tivoli NetView for OS 390 eines der drei Elemente neben dem Dateityp und der Anzeigeart die zur Beschreibung des Aufbaus einer Anzeige verwendet werden Ressourcenarten der einen Kategorie sind Zentraleinheit Kanal Controller und E A Einheit in der anderen Kategorie sind es DFV Controller Adapter Link Cluster Controller und Terminal Richtlinie In einer Tivoli Umgebung eine Gruppe von auf verwaltete Ressourcen angewendete Regeln Eine spezielle
205. e Computer an festen Standorten wie beispielsweise das B ro zu Hause angegeben wer den Anmerkung Wird Kein R ckruf oder Von Anrufer festgelegt aktiviert und ist gleichzeitig im Feld Bereits fest gelegt noch eine Rufnummer angegeben Kommt es unter Umst nden zu Konflikten zwischen den Eintr gen im Tivoli Benutzerprofil und in der RAS Datenbank auf dem Windows 2000 Server Dies f hrt unter Umst nden dazu dass Sie ber den Windows 2000 Benutzer Manager keine neue Rufnummer eingeben k nnen Dieses Problem kann umgangen werden indem Sie ber die Richt linie f r G ltigkeitspr fung die Eingabe einer Ruf nummer durch den Administrator bzw das System verhindern wenn das Kontrollk stchen Bereits festgelegt nicht aktiviert ist Tivoli SecureWay User Administration Management Handbuch 187 u S1 z su p 1 z nu g 9 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Webgruppe Mit der Option Windows 2000 E Mail und Web Gruppe k nnen Sie die Weboptionen f r Benutzer festlegen 1 W hlen Sie die Option Windows 2000 Web Gruppe in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Windows 2000 E Mail und Web Gruppe E Mail Homepage Weitere URLs Hinzuf gen L schen 2 Geben Sie im Feld E Mail die E Mail Adresse des Benutzers ein 3 Geben Sie im Feld Homepage die URL der Website des Benut
206. e Dezimalzahl von 1 bis 65 279 sein Art Gibt einen einstelligen Code an der einer bestimm ten Art von Netzwerkkarte entspricht AppleTalk unterst tzt die folgenden Codes 3 4 5 6 Adresse Ethernet ARCNet Token Ring FDDI Gibt die Knotenadresse an die bis zu zw lf hexa dezimale Zeichen enthalten kann Tivoli SecureWay User Administration Management Handbuch 199 ugjla s a azjesusjep szinuag 9 Informationen zu NetWare Benutzerkonten m Wenn Sie die Option Ethernet Token Ring ausgew hlt haben geben Sie Werte in den Feldern SAP BLOCKID und PUID ein Informationen zum Festlegen der entsprechenden Werte finden Sie in der Dokumentation zu Ihrer Hardware m Geben Sie bei Aktivierung der Option IPX SPX Werte in den folgenden Feldern ein Netzwerk Gibt eine Netzwerkzahl an Eine Netzwerkzahl wird einem Kabelsegment willk rlich zugeordnet wenn das Netzwerk eingerichtet wird Sie enth lt bis zu acht hexadezimale Zeichen Knoten Gibt eine Host spezifische Zahl an so wie sie von der Netzwerkplatine festgelegt wurde Eine Knoten adresse enth lt bis zu zw lf hexadezimale Zeichen Damit sich ein Benutzer von allen Knotenadressen im angegebenen Netzwerk anmelden Kann geben Sie die Knotenadresse FFFFFFFFFFFF an m Geben Sie bei Auswahl der Option OSI einen Wert im Feld OSI Adresse ein m Geben Sie bei Auswahl der Option SDLC Werte in den Fel dern CUA BLOCKID und PUID ein Informationen zum Festlegen der ent
207. e Informationen finden Sie im Handbuch Tivoli Management Framework Planung und Installation In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Tivoli SecureWay User TMR install_product oder Administration installieren super Tivoli SecureWay User Administration Management Handbuch 49 us4a jjelsu Z Tivoli SecureWay User Administration installieren 50 Arbeitsoberfl che F hren Sie folgende Schritte aus um die Anwendung Tivoli Secure Way User Administration ber die Tivoli Arbeitsoberfl che zu instal lieren 1 W hlen Sie im Men Arbeitsoberfl che die Option Installieren gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen Produkt installieren Mm Ei t V Produkt auf der Arbeitsoberfl che des Administrators installieren Zu installierendes Produkt ausw hlen Tivoli SecureWay User Administration Version 3 7 a Tivoli SecureWay User Administration Gateway Package Version 3 7 Tivoli SecureWay User Administration for LDAP Server Package Version 3 7 Tivoli SecureWay User Administration Export SSL LDAP Connection Version 3 7 Tivoli SecureWay User Administration for 05 2 Server Package Version 3 7 Tivoli SecureWay User Administration for 03 2 Gateway Package Version 3 7 Tivoli ecureWay User Administration Linux Gateway Pack
208. e Steuerkomponente f r die Pr fprotokollierung gestoppt haben k nnen Sie sie mit den neuen Parametern erneut starten Im folgenden Beispiel werden die Steuerkomponente f r die Pr fpro tokollierung erneut gestartet die maximale Gr e der Pr fprotokoll Tivoli SecureWay User Administration Management Handbuch 339 Hun1 1040 01d NId 01 Stoppen und mit ge nderten Parametern erneut starten datei festgesetzt und die Archivierung der Datei sowie die Zwischen speicherung von Protokollnachrichten inaktiviert wusraudit 1 1 f server directory audit log s4 a DISABLED b DISABLED Dabei gilt Folgendes 11 Aktiviert die Steuerkomponente f r die Pr fprotokollierung f server directory audit log Gibt den vollst ndigen Pfad der Pr fprotokolldatei an s 4 Gibt an dass die maximale Gr e der Pr fprotokolldatei 4 MB betr gt a DISABLED Gibt an dass die Pr fprotokolldatei beim Erreichen der maxima len Gr e gel scht wird b DISABLED Gibt an dass jeder Pr fdatensatz sofort in die Pr fprotokolldatei geschrieben wird Format des Pr fprotokolls 340 Alle Pr fprotokolldatens tze beginnen mit einem Standard Header im festgelegten Format Nachfolgend ein Beispiel f r einen solchen Header 18355_1383392 05 15 2001 11 29 24 1 root hummer austin na tivoli com CLI wusrauditqry Dabei gilt Folgendes 18355_1383392 Gibt die eindeutige Prozess ID 18355 und die Thread ID 1383392 der Ope
209. e TMRs gleichzeitig verf gen Eine TMR bezieht sich auf die tats chliche physische Konnektivit t ein Richtlinienbereich dagegen auf die logische Anordnung der Ressourcen Tivoli NetWare Repeater TNWR In einer Tivoli Umgebung eine Serveranwendung die auf einem Novell NetWare Server installiert ist und eine Liste der verf gbaren Clients f r den Server verwaltet Der Tivoli NetWare Repeater f hrt zusammen mit der NetWare verwalteten Station die Profilverteilung aus Tivoli SecureWay Security Manager Software die eine konsistente Definition Implementierung und Durchsetzung von Sicherheitsrichtlinien in einer Network Computing Umgebung erm glicht Tivoli SecureWay User Administration Ein Tivoli Produkt das eine grafische Benutzerschnittstelle GUI f r die zentrali sierte Verwaltung von Benutzer und Gruppenkonten zur Verf gung stellt Es erm g licht die effiziente automatisierte Verwaltung von Benutzer und Systemkonfigu rationsparametern das sichere Delegieren von administrativen Tasks sowie die zen tralisierte Steuerung aller Benutzer und Gruppenkonten in einer Network Compu ting Umgebung Tivoli Server Siehe Tivoli Umgebung Die auf Tivoli Management Framework basierenden Tivoli Anwendungen die bei einem bestimmten Kunden installiert sind und der Verwaltung des plattform ber greifenden Netzwerkbetriebs dienen In einer Tivoli Umgebung kann der System administrator Software verteilen Benutzerkonfigurationen verwa
210. e das Kontrollk stchen Kennwort erforderlich aus wenn der Benutzer beim Anmelden ein Kennwort angeben soll 194 Version 3 8 Tivoli SecureWay User Administration Management Handbuch Informationen zu NetWare Benutzerkonten W hlen Sie das Kontrollk stchen Eindeutige Kennw rter erfor derlich aus wenn der Benutzer eindeutige Kennw rter verwen den soll W hlen Sie das Kontrollk stchen Erforderliche Mindestl nge des Kennworts aus um die Mindestl nge des Kennworts festzu legen Geben Sie anschlie end die Mindestl nge in das Textfeld ein W hlen Sie das Kontrollk stchen Regelm ige Kennwort nderungen erzwingen aus wenn der Benutzer sein Kennwort regelm ig ndern soll a Geben Sie im Feld Tage zwischen erzwungenen nderun gen die Anzahl der zwischen den Kennwort nderungen lie genden Tage ein b Geben Sie im Datumsfeld das Datum ein an dem das aktu elle Kennwort ung ltig wird Geben Sie im Uhrzeitfeld die Uhrzeit f r das Datum ein zu der das aktuelle Kennwort ung ltig wird W hlen Sie das Kontrollk stchen Kennwort nderung zulassen aus wenn der Benutzer die M glichkeit erhalten soll das Kenn wort zu ndern Wenn Sie dieses Kontrollk stchen nicht ausw h len steuert der Administrator das Kennwort dieses Benutzers W hlen Sie das Kontrollk stchen Noch m gliche Anmeldungen begrenzen aus um die Anzahl der noch m glichen Anmeldun gen die dem Benutzer vor Ablauf des Kennworts
211. e in Zusammenhang mit allen Oneshot Attributen befolgt werden Wird ein Oneshot Attribut f r einen Benutzer ge ndert sollten Sie eine Verteilung dieses Benutzerprofil datensatzes ausf hren bzw planen Mit dem folgenden Befehlen k nnen Sie ermitteln welche Oneshot Attribute in einem Profil vorhanden sind wlsusrprop c UserProfile upl Tivoli SecureWay User Administration Management Handbuch 369 u w yL 31893419M SL Sonderverarbeitung f r Kennw rter bei der Verteilung Der Einfluss von Verteilungsoptionen auf Benutzer konten und Kennw rter Durch die Verteilung eines Profils werden die Systemkonfigurations dateien der Subskribenten und die Datenbanken mit den Profildaten aktualisiert Entsprechend den Gesch ftsanforderungen gibt es ver schiedene Verteilungsoptionen In den folgenden Abschnitten finden Sie eine Beschreibung der Implementierung mehrstufiger Verteilun gen mit Hilfe des Befehls wdistrib m bzw der GUI Option zum Verteilen an alle Subskribentenebenen Weitere Informationen zur Verteilung nur an die n chste Subskribentenebene finden Sie in der Beschreibung des Befehls wdistrib im Handbuch Tivoli SecureWay User Administration Reference Manual F r alle Profilverteilungsarten gilt m Der gesamte Benutzerdatensatz wird an die Zieladresse bertra gen Es ist beispielsweise nicht m glich ausschlie lich UNIX Daten an UNIX Zieladressen zu senden m Nach der erfolgreichen Verteilung an die entspr
212. e kann entweder genau dem gesuchten Benutzern amen entsprechen oder auch die unten beschriebenen Platzhalter zeichen enthalten Daraufhin werden alle Benutzerdatens tze angezeigt die den Suchkriterien entsprechen Anmerkungen a Bei der Zeichenfolge im Feld Benutzername wird die Gro Kleinschreibung nicht beachtet d h mit den Suchbegriffen joe smith bzw JOE SMITH wird beide Male der Benutzername Joe Smith gefunden Sie k nnen den Stern als Platzhalterzeichen f r kein ein oder mehrere unbe kannte Zeichen verwenden Es k nnen auch mehrere Sterne in einem Suchbegriff verwendet werden So wird z B bei Eingabe des Suchbegriffs zer der Benutzer Joe Smith gefunden 226 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze b Die beiden Suchfelder die rechts neben den Lupensymbolen angezeigt werden erm glichen eine Suche in dem jeweiligen Fenster unter dem sie sich befinden Anders als im Benutzer namensuchfeld werden in diesen Feldern die bereinstim mungen als regul re Perl 4 Ausdr cke zur ckgegeben Daher kann das Shell Platzhalterzeichen nicht angegeben wer den um eine Liste aller Benutzer anzuzeigen Stattdessen sollte der regul re Ausdruck Punkt Stern verwendet wer den Weitere Informationen zu regul ren Ausdr cken finden Sie im Tivoli Management Framework Benutzerhandbuch 4 Klicken Sie doppelt auf den hervorgehobenen Benutzernamen um eine erweiterte Ansi
213. e zu installieren 1 W hlen Sie im Men Arbeitsoberfl che die Option Installieren gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen 2 W hlen Sie in der Liste Zu installierendes Produkt ausw hlen die Option Tivoli SecureWay User Administration for LDAP Server Package Version 3 8 oder Tivoli SecureWay User Administration Export SSL LDAP Connection Version 3 8 aus 3 Verwenden Sie zur Angabe der Maschinen auf denen dieses Pro dukt installiert werden soll die Pfeiltasten um Clientnamen zwi schen der Liste Clients f r die Installation und der Liste Ver f gbare Clients zu verschieben Standardm ig sind alle Clients in der aktuellen TMR in der Liste Clients f r die Installation enthalten Version 3 8 LDAP Pakete installieren Folgendes sollten Sie bei der Auswahl der Maschinen auf denen die LDAP Pakete installiert werden sollen beachten m Tivoli SecureWay User Administration for LDAP Server Package Version 3 8 muss auf einer Maschine mit Tivoli SecureWay User Administration Version 3 8 installiert werden m Installieren Sie Tivoli SecureWay User Administration Export SSL LDAP Connection Version 3 8 auf allen ver walteten Knoten mit einem LDAP Anschluss Die beiden LDAP Pakete k nnen auf derselben Maschine wie der LDAP Verzeichnisserver installiert werden sofern die betreffende Plattform von Tivoli unterst tzt wird Klicken Sie auf Installieren und schlie en wenn nur ein P
214. e zugeordnet ist Es erkennt au erdem dass der Anmeldename freddie einem UNIX Konto im Profil und einem Windows NT Konto zugeordnet ist W h rend des Weitergabevorgangs werden die Windows NT Benutzerin formationen dem Benutzerdatensatz hinzugef gt und die allge meinen Benutzerinformationen werden im Benutzerdatensatz zusam mengef gt Anmerkungen 1 Wenn die Datenweitergabe aus einer verwalteten Ressource die kein UNIX System ist erfolgt verwendet der erstellte Datensatz den Anmeldenamen des Benutzers f r das Konto als Kennwort Wenn Sie vor der Verteilung des Profils an die Endpunkte kein Kennwort hinzuf gen wird das Kennwort f r das Konto zum Anmeldenamen 2 Die Datenweitergabe von einer UNIX TMR stellt Kennw rter bereit die anders als die Kennw rter von anderen Plattformen verarbeitet werden Weitere Informationen zur Verarbeitung der Kennw rter w hrend des Weitergabevorsanss finden Sie unter Sie k nnen UNIX Benutzerkonten an ein Benutzerprofil deren Basisverzeichnisse von einem nicht von TME verwalteten NFS Ser ver aus verf gbar sind Zum ndern dieser Basisverzeichnisse bzw zum Erstellen neuer Basisverzeichnisse muss das Konto root auf dem TMR Server allerdings ber Schreibzugriff auf das NFS Datei system verf gen Tivoli SecureWay User Administration Management Handbuch 145 us y9l1ulg a lJo d az nuag e Benutzerprofile einrichten Wenn Sie vorhandene Informationen an ein Benutzerprofil we
215. eWay User Administration verwaltet werden Endpunktartspezifische Kenn w rter haben diese Funktion Die anderen Kennw rter in einem Benutzerdatensatz sind endpunkt artspezifische Kennw rter Bei integrierten Endpunktarten UNIX NT und NetWare verf gen die Befehle wertusr wsetusr wgetusr ber bestimmte Optionen f r das Setzen und Abrufen von Kennwort attributen p UNIX Kennwort pt NT Kennwort pw NetWare Kennwort Bei anderen Endpunktarten die Tivoli SecureWay User Administra tion unter Verwendung von AEF hinzugef gt wurden m ssen Sie den Namen des zu bearbeitenden Kennwortattributs Kennen F r diese Endpunktarten verwenden die Befehle wertusr wsetusr wgetusr die generische Option x Attributname f r das Setzen und Abrufen der Kennw rter Tivoli SecureWay User Administration Management Handbuch 89 Bunyema9aAuOMUUDY E Kennw rter und Endpunktarten F r die im Lieferumfang von Tivoli SecureWay User Administration Version 3 8 enthaltenen Endpunktarten lauten diese Endpunktart namen und die zugeh rigen Kennwortattribute wie folgt Endpunktartname Kennwortattributname LDAP sso_password 08 2 os2_password 0S400 OS400_PassW Policy Director PD_Password RACF racf_password Windows 2000 w2k_password Nur das allgemeine Kennwort ndern Normalerweise werden nderungen des allgemeinen Kennworts an alle Kennw rter in diesem Datensatz weitergegeben Es gibt jedoch zwei M glich
216. echenden Ziel adressen werden die Hot Flags in den Profildatens tzen gel scht Bei der erneuten Verteilung desselben Profils an eine andere Zieladresse werden Kennw rter zum Beispiel nicht aktualisiert m Bei einer erfolgreichen Verteilung an eine beliebige Zieladresse wird die Zeitmarke des Profils die anzeigt wann die letzte Push Operation f r das Profil ausgef hrt wurde aktualisiert Die Profilzeitmarke f r die zuletzt ausgef hrte Push Operation wird auf Profilbasis und nicht auf Subskribentenbasis gespeichert Dies ist f r die Bestimmung der Datens tze die mit der Option maintain bertragen werden wichtig m Bei allen nderungen an einem Benutzerdatensatz in einem Benutzerprofil wird die Zeitmarke f r die Datensatz nderung aktualisiert Ausnahme Wenn Sie einen Datensatz mit dem Befehl wpasswd L ndern erfolgt keine Aktualisierung da mit diesem Befehl Endpunktkennw rter ohne Profilverteilung sofort ge ndert werden k nnen Dies ist f r die Bestimmung der Datens tze die mit der Option maintain bertragen werden wichtig 370 Version 3 8 Sonderverarbeitung f r Kennw rter bei der Verteilung m W hrend einer Verteilung ist das Profil gesperrt und kann nicht aktualisiert werden m Der Versuch wird unternommen alle AEF Aktionen f r die die Ausf hrung auf dem Client angegeben wurde auf allen Ziel adressen einer Verteilung auszuf hren Erstellen Sie durchdachte Skripts f r AEF Aktionen und t
217. echtigungsklasse Gruppenprofile an Sub Subskribenten admin skribenten verteilen Richtlinienbereich Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Tivoli SecureWay User Administration Management Handbuch 313 uoyemion azjesuspepusddnig e Gruppenprofile an Subskribenten verteilen Arbeitsoberfl che F hren Sie folgende Schritte aus um Gruppenprofile an Subskriben ten von einem Profil aus zu verteilen 1 Klicken Sie in einem Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 2 F gen Sie die erforderlichen Subskribenten dem Profilmanager hinzu Informationen zum Subskribieren von Ressourcen f r Profil manager finden Sie im Tivoli Management Framework Benutzer handbuch 314 Version 3 8 3 4 S Gruppenprofile an Subskribenten verteilen Klicken Sie doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale ELl Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Sa Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin bin 107 0 Ja daemon daemon 110 p pa kb Ri 108 p ya Ip g 109 p je Alle anzeigen Auswa
218. egverschl sselungsverfahren verschl sselt Nur auf einem UNIX TMR Server kann der Befehl wpasswd das alte Kennwort das von einem Endbenutzer eingegeben wurde nach UNIX Standard verschl sseln und die zwei verschl sselten Kennw rter vergleichen Auf allen anderen Servern ist diese Verschl sselung nicht m glich Aus diesem Grund muss ein Tivoli Administrator au er in reinen UNIX TMRs manuell ein Kennwort in einen Benutzerdatensatz ein f gen damit Endbenutzer den Befehl wpasswd f r dieses Kennwort ausf hren k nnen Dem Administrator stehen hierf r zwei M glich keiten zur Verf gung mit dem Befehl wsetusr wird nur der weiter gegebene Datensatz modifiziert Verwendet der Administrator den Befehl wpasswd wird dasselbe Kennwort in alle Benutzerdatens tze des Endbenutzers eingef gt Version 3 8 Leistungsspektrum von wpasswd Verwendung der Option L ber die Option L im Befehl wpasswd werden die modifizierten Benutzerdatens tze wieder in die Benutzerprofile eingef gt bevor die Endpunktkennw rter aktualisiert werden Wenn die Datens tze geschrieben werden geht wpasswd davon aus dass die Aktualisie rung des Endpunkts erfolgreich ausgef hrt wird so dass CCMS dazu aufgefordert wird die Uhrzeit zu der der Benutzerdatensatz ge ndert wurde nicht zu aktualisieren Dar ber hinaus werden die ge nderten Hot Flags des Kennworts nicht in das Benutzerprofil eingef gt Dies bedeutet dass diese Datens tze erst bei der n c
219. ehrerer Tivoli Produkte importie ren k nnen Sie k nnen nur die f r die Umgebung erforderlichen Interpreter Arten Betriebssystemarten importieren wodurch Platten speicherplatz gespart und die Verarbeitungszeit verk rzt wird Das IR wird dann die Quelle f r alle Tivoli Installationen Sie k nnen sogar ein einziges IR ber mehrere TMRs hinweg gemeinsam benutzen Anweisungen zum Installieren von SIS in Ihrer Tivoli Umgebung und zur Installation anderer Produkte mit SIS finden Sie im Hand buch Tivoli Software Installation Service User s Guide 48 Version 3 8 Tivoli SecureWay User Administration installieren Tivoli SecureWay User Administration installieren Sie k nnen die Anwendung Tivoli SecureWay User Administration ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile installie ren Wiederholen Sie diese Installationsanweisungen f r jeden Tivoli Bereich der mit Tivoli SecureWay User Administration verwaltet werden soll Vor und nach der Installation einer Anwendung sollten Sie Ihre Tivo li Datenbank sichern Ergibt sich bei der Installation einer Anwen dung ein Problem k nnen Sie hierdurch Ihre Datenbank auf den Stand vor der Installation zur cksetzen W hlen Sie auf der Tivoli Arbeitsoberfl che die Option Sicherung aus um eine Sicherung der von Tivoli verwalteten Knoten und Server vorzunehmen Verwenden Sie den Befehl wbkupdb wenn die Sicherung von der Befehlszeile aus ausgef hrt werden soll Weiter
220. einer Tivoli Umgebung ein Container der Objekte auf einer Tivoli Arbeits oberfl che zu Gruppen zusammenfasst und so dem Tivoli Administrator eine einzige Ansicht zusammenzugeh riger Ressourcen bietet Objektgruppen k nnen entweder 448 Version 3 8 von Tivoli Management Framework oder einem Tivoli Administrator erstellt werden Die Bestandteile einer Objektgruppe werden als Mitglieder bezeichnet Beispiele f r Objektgruppen sind die Administratorobjektgruppe und die generische Objektgruppe die Administratorobjektgruppe ist ein Beispiel f r eine von Tivoli Management Fra mework erstellte Objektgruppe Objektpfad In einer Tivoli Umgebung ein absoluter oder relativer Pfad eines Tivoli Objekts hnlich dem Pfad in einem Dateisystem Objektverweis In einer Tivoli Umgebung die Kennung OID Object Identifier die einem Objekt w hrend seiner Erstellung zugeordnet wird oserv Der Name des CORBA kompatiblen Object Request Broker ORB der in der Tivo li Umgebung verwendet wird Oserv wird auf dem TMR Server und allen zugeh ri gen verwalteten Knoten ausgef hrt Profil In einer Tivoli Umgebung ein Container f r anwendungsspezifische Informationen zu einer bestimmten Ressourcenart Eine Tivoli Anwendung gibt die Schablone f r ihre Profile an Die Schablone enth lt Informationen zu den Ressourcen die von einer Tivoli Anwendung verwaltet werden k nnen Profile werden im Profilmanager erstellt Der Profilmanager verbindet das Profil
221. eistungsspektrum von wpasswd 108 G ltigkeitspr fung f r alte Kennw rter Das alte Kennwort das vom Endbenutzer eingegeben wird dient der Benutzeridentifikation F r alle Benutzerdatens tze in denen Benutzerkennw rter ge ndert werden wird eine einzige Vergleichs operation ausgef hrt Wenn das allgemeine Kennwort ge ndert wird wird das allgemeine Kennwort das im Benutzerdatensatz gespeichert ist f r den Vergleich herangezogen Wenn das allgemeine Kennwort nicht ge ndert wird wird f r die Endpunktarten deren Kennw rter ge ndert werden das Endpunktartkennwort mit dem lexikalisch letz ten Endpunktartcode f r den Vergleich herangezogen Dieser Ver gleich muss f r alle zu ndernden Kennw rter erfolgreich sein Wenn dieser einzige Vergleich erfolgreich ist werden keine weiteren Ver gleiche durchgef hrt Bei Angabe der Option l bzw L werden die alten Endpunktkennw rter nicht berpr ft Leider gibt es keine M glichkeit die Identit t eines Endbenutzers anhand eines weitergegebenen Benutzerdatensatzes zu berpr fen es sei denn der Benutzerdatensatz wurde von einem UNIX System an einen UNIX TMR Server weitergegeben Dies ist jedoch ein Sonder fall Ein weitergegebener Benutzerdatensatz enth lt niemals ein Kennwort in einem Format das einen eindeutigen Vergleich erm g licht Nur eine Endpunktart n mlich UNIX gibt berhaupt bei einer Weitergabe ein Kennwort zur ck Das UNIX Kennwort ist nach einem Einw
222. eller Benutzer ID 105 Bei nderung der Benutzer ID Dateien unver ndertiassen zl Gruppen ID 1 Bei nderung der Gruppen ID Dateien unver ndertiassen 2 Pr tiD 105 Pr fFlag 0 GECOS uzeiler SR binfcsh 2 W hlen Sie das Kontrollk stchen Anmeldung aktivieren aus um die Anmeldung dieses Benutzers zu aktivieren 210 Version 3 8 Informationen zu UNIX Benutzerkonten Geben Sie im Feld Anmeldename den Anmeldenamen des Benutzers ein Geben Sie im Feld Benutzer ID die Benutzeridentifikations nummer UID f r diesen Benutzer ein W hlen Sie in der Dropdown Liste Bei nderung der Benut zer ID die entsprechende Option aus Die folgenden Optionen sind verf gbar m Dateien unver ndert lassen m Besitzer ID der Dateien ndern Geben Sie im Feld Gruppen ID die ID oder den Namen des Benutzers f r die Prim rgruppe ein W hlen Sie in der Dropdown Liste Bei nderung der Grup pen ID die entsprechende Option aus Die folgenden Optionen sind verf gbar m Dateien unver ndert lassen m Besitzer ID der Dateien ndern Geben Sie im Feld Pr f ID die Pr f ID des Benutzers ein Mit dem Feld Pr f ID k nnen Sie eine wirklich eindeutige Kennung f r einen Benutzerdatensatz eingeben Anmerkung Die Informationen in diesem Feld sind HP UX spezifisch und werden nur im Feld u_auditid des Benutzereintrags in der gesicherten und gesch tzten Kennwortdatenbank von HP UX 10 x u
223. em System aktualisiert Andere Konten auf dem Verteilungsziel objekt werden gel scht Ausnahme gesch tzte Konten wie das Root Konto unter UNIX und das Administratorkonto unter NT Weitere Informationen zu gesch tzten Konten finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual e Wenn die Verteilungsziele verwaltete Knoten sind die her k mmlichen Profilmanagern als Subskribenten zugeordnet sind werden die Daten auf dem Endpunkt zusammengef gt e Wenn die Verteilungsziele verwaltete Knoten oder TMA End punkte sind die einem datenlosen Profilmanager als Subskri benten zugeordnet sind werden die Daten im datenlosen Profilmanager zusammengef gt Aus diesem Grund ist es wichtig dass die TMA Endpunkte wenn diese Zieladressen f r Verteilungen sind einem einzelnen datenlosen Profil manager als Subskribenten zugeordnet werden damit die Pro file ordnungsgem zusammengef gt werden Tivoli SecureWay User Administration Management Handbuch 373 USWOUL 31893419M SL Sonderverarbeitung f r Kennw rter bei der Verteilung m Nicht f r alle Betriebssystemtypen verf gbar NW 08 390 wdistrib m l over_all_no_merge keine quivalente Option auf der grafischen Benutzerschnittstelle GUD Dieser Befehl entspricht dem Befehl wdistrib m Joer all mit der Ausnahme dass nur die Kennw rter auf den Verteilungszielen durch das Profil aktualisiert werden denen ein Hot Flag bzw eine Attri butsversionsnummer
224. emion 49z1nuag 2 SO 9 OS 2 Ergebniscodes 436 Fehler Definition Anmerkungen 2378 NERR_LogFileChanged Die angegebene Protokolldatei wurde zwischen den Lesevorg ngen ge n dert 2379 NERR_LogFileCorrupt Die angegebene Protokolldatei ist besch digt 2380 NERR_SourcelsDir Der Quellenpfad kann kein Verzeich nis sein 2381 NERR_BadSource Der Quellenpfad ist ung ltig 2382 NERR_BadDest Der Zielpfad ist ung ltig 2383 NERR_DifferentServers Der Quellen und der Zielpfad befin den sich auf unterschiedlichen Ser vern 2385 NERR_RunSrvPaused Der angeforderte Server wurde ange halten 2389 NERR_ErrCommRunSrv Bei der Kommunikation mit einem Server ist ein Fehler aufgetreten 2391 NERR_ErrorExecingGhost Beim Starten eines Hintergrund prozesses ist ein Fehler aufgetreten 2392 NERR_ShareNotFound Die gemeinsam benutzte Ressource mit der Sie verbunden sind konnte nicht gefunden werden 2400 NERR_InvalidLana Die LAN Adapternummer ist ung l tig 2401 NERR_OpenfFiles In der Verbindung sind offene Dateien vorhanden 2402 NERR_ActiveConns Es sind immer noch aktive Verbin dungen vorhanden 2403 NERR_BadPasswordCore Der angegebene Netzwerkname bzw das Kennwort ist ung ltig 2404 NERR_DevInUse Ein aktiver Prozess greift momentan auf die Einheit zu 2405 NERR_LocalDrive Der Laufwerkbuchstabe wird lokal verwendet 2406 NERR_PausedConns Angehaltene Einheiten
225. en Kennwort f r aktives Verzeichnis M Kennwort erforderlich Kennwort F Kennwort ber umkehrbare Verschl sselung speichern I Kennwort nderung durch Benutzer nicht zulassen I Kennwort nderung bei der n chsten Anmeldung erforderlich F Kennwort l uft nie ab 2 W hlen Sie das Kontrollk stchen Kennwort erforderlich aus wenn f r dieses Benutzerkonto ein Kennwort erforderlich ist Geben Sie im Feld Kennwort das Kennwort des Benutzers ein 4 W hlen Sie das Kontrollk stchen Kennwort ber umkehrbare Verschl sselung speichern aus wenn Sie die reversible Ver schl sselung aktivieren m chten 5 W hlen Sie das Kontrollk stchen Kennwort nderung durch Benutzer nicht zulassen wenn Sie nicht m chten dass das Kennwort vom Benutzer ge ndert wird In diesem Fall muss der Administrator Kennwort nderungen vornehmen 6 Aktivieren Sie das Kontrollk stchen Kennwort nderung bei der n chsten Anmeldung erforderlich wenn der Benutzer bei der ersten Anmeldung nach Verteilung des Profils das Kennwort ndern soll 7 W hlen Sie das Kontrollk stchen Kennwort l uft nie ab aus wenn f r den Benutzer keine Notwendigkeit einer Kennwort nderung bestehen soll Tivoli SecureWay User Administration Management Handbuch 185 u S1 z su ep 1 z nu g 9 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Fernzugriff Mit der Option Windows 2000 Fernzugriff k nnen Sie die Einw h
226. en gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen 2 W hlen Sie in der Liste Zu installierendes Produkt ausw hlen die Option Tivoli SecureWay User Administration for OS 2 Server Package Version 3 8 oder Tivoli SecureWay User Administration for OS 2 Gateway Package Version 3 8 aus 3 Verwenden Sie zur Angabe der Maschinen auf denen dieses Pro dukt installiert werden soll die Pfeiltasten um Clientnamen zwi schen der Liste Clients f r die Installation und der Liste Ver f gbare Clients zu verschieben Standardm ig sind alle Clients in der aktuellen TMR in der Liste Clients f r die Installation enthalten Folgendes sollten Sie bei der Auswahl der Maschinen auf denen die OS Pakete installiert werden sollen beachten Tivoli SecureWay User Administration for OS 2 Server Package Version 3 8 darf nur auf Maschinen installiert wer den auf denen Tivoli SecureWay User Administration Version 3 8 installiert ist Tivoli SecureWay User Administration for OS 2 Gateway Package Version 3 8 darf nur auf Maschinen installiert wer den auf denen Tivoli SecureWay User Administration Gateway Package Version 3 8 installiert ist Tivoli SecureWay User Administration Management Handbuch 59 us4a jjelsu Z OS 2 Pakete installieren 60 4 Klicken Sie auf Installieren und schlie en wenn nur ein Pro dukt installiert werden soll Sollen mehrere Produkte installiert werden klicken Sie auf Ins
227. en Bei der Verteilung an einen Endpunkt bzw der Daten weitergabe von einem Endpunkt m ssen die f r den Endpunkt erforderlichen Dateien vom Gateway an den Endpunkt gesendet werden Tivoli SecureWay User Administration for LDAP Server Package Version 3 8 sollte nur installiert werden wenn das LDAP Protokoll LDAP Lighweight Directory Access Proto col in Ihrer Umgebung verwaltet werden soll Dieses Paket Version 3 8 Tivoli SecureWay User Administration Installationspakete muss auf einer Maschine installiert werden auf der Tivoli Secu reWay User Administration Version 3 8 installiert wurde Au erdem kann erst nach Installation dieses Pakets Tivoli Secu reWay User Administration Export SSL LDAP Connection Version 3 8 installiert werden Tivoli SecureWay User Administration Export SSL LDAP Connection Version 3 8 muss auf allen verwalteten Knoten mit einem LDAP Anschluss installiert werden Die beiden LDAP Pa kete k nnen auf derselben Maschine wie der LDAP Verzeichnis server installiert werden sofern die betreffende Plattform von Tivoli unterst tzt wird Tivoli SecureWay User Administration for OS 2 Server Package Version 3 8 sollte nur installiert werden wenn Sie OS 2 Konten verwalten m chten Dieses Paket muss auf einer Maschine installiert werden auf der Tivoli SecureWay User Administration Version 3 8 installiert wurde Tivoli SecureWay User Administration for OS 2 Gateway Package Version 3 8 muss auf al
228. en 72 U UNIX Anzeigen Anmeldung 210 E Mail 220 Kennwort 212 Verzeichnis 213 V validate Befehl 326 Verteilen an OS 2 Endpunkte 418 Benutzerprofile 241 Gruppenprofile 313 OS 2 404 Standardeinstellungen festlegen 152 299 Tivoli SecureWay User Administration Management Handbuch 463 x pul Verteilen Forts Verteilungsverarbeitung und Kennw rter 365 Verwaltete Ressourcen Benutzerprofile zuordnen 122 Gruppenprofile zuordnen 276 Verwaltung Benutzer und Gruppen 1 22 Sicherheit 29 W waddprop Befehl 378 waddusrprop Befehl 378 wchkgrps Befehl 324 wchkusrs Befehl 260 wcpusr Befehl 251 wertgrp Befehl 307 wertprf Befehl 125 128 280 282 wertusr Befehl 167 171 wdel Befehl 131 285 wdelgrp Befehl 312 wdelusr Befehl 237 241 wdistrib Befehl 248 318 wgenusrdef Befehl 379 wgetgrp Befehl 309 wgetpolm Befehl 136 143 290 295 wgetprf Befehl 265 321 wgetusr Befehl 231 Windows NT Dom nenverwaltung 9 Windows NT Anzeigen Anmeldezeit 174 182 Anmeldung 173 181 Fernzugriff 178 188 189 Gruppenzugeh rigkeit 177 185 Kennwort 175 Verzeichnis 176 184 Workstations 177 186 winstall Befehl 53 winstpw Befehl 69 wlIspolm Befehl 136 142 290 295 wmvusr Befehl 253 wpasswd Befehl 69 83 84 101 wpopgrps Befehl 298 464 wpopusts Befehl 151 wputpolm Befehl 136 143 290 295 wrmusrg Befehl 310 wsetgrp Befehl 310 wsetnds Befehl 17
229. en Sie andernfalls auf das Optionsfeld Nein 292 Version 3 8 Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 5 W hlen Sie eine G ltigkeitsart in der Dropdown Liste Standard art aus Die verf gbaren Optionen lauten Keine Konstante oder Skript fr her Prozedur Wenn Sie die Option Konstante ausw hlen geben Sie einen konstanten Wert in das Feld Wert ein F hren Sie folgende Schritte aus wenn Sie die Option Skript ausgew hlt haben a Klicken Sie auf Skriptargumente editieren fr her Prozedurargumente editieren um den Dialog Argumente des Richtlinienskripts fr her Argumente der Richtlinien prozedur anzuzeigen Bestimmen Sie mit diesem Dialog die Reihenfolge der Skriptargumente Z Argumente der Richtlinienprozedur Ioj xi Konfigurationsprofil Rechenzentrum in Profilmanager admin Attribute Prozedurargumente name gid Festlegen und schlie en Festiegen Zur cksetzen Schie en ns Z b W hlen Sie die Datensatzattribute die die Skriptargumente f r das Richtlinienskript des aktuellen Attributs werden sol len in der Liste Attribute aus Klicken Sie auf den Rechts pfeil um die Attribute in die Liste Skriptargumente fr her Prozedurargumente zu verschieben Sie k nnen die Reihenfolge ndern in der ein Argument auf gerufen wird indem Sie das Argument ausw hlen und auf den Aufw rtspfeil bzw den Abw rtspfeil klicken um das Argument an die g
230. en Sie auf Festlegen und schlie en um die nderungen anzuwenden und zum Fenster Benutzerprofilmerkmale zur ck zukehren Befehlszeile Um die Richtlinien f r G ltigkeitspr fung f r ein Benutzerprofil ber die Befehlszeile zu setzen k nnen Sie die Attributtypen in einem angegebenen Profil zuerst mit dem Befehl wIspolm auflisten Mit dem Befehl wgetpolm legen Sie dann die aktuelle Standard wertegruppe f r ein angegebenes Attribut fest Anschlie end k nnen Sie mit dem Befehl wputpolm die Standardwertegruppe f r das Attribut ndern Im folgenden Beispiel werden die Attribute f r ein Benutzerprofil aufgelistet wIspolm UserProfile firestorm Version 3 8 Benutzerprofile einrichten Dabei gilt Folgendes UserProfil firestorm Gibt den Namen des Profils an dessen Attribute aufgelistet werden sollen Befehlsausgabe real_name login_name password passwd_aging Im folgenden Beispiel wird die momentan definierte Richtlinie f r G ltigkeitspr fung f r ein angegebenes Attribut des Benutzerprofils zur ckgegeben wgetpolm v UserProfile firestorm gid Im folgenden Beispiel wird die G ltigkeitspr fung f r ein Benutzer profil inaktiviert Es wird darauf hingewiesen dass das Attribut einen beliebigen Wert annehmen kann wputpolm v n UserProfile firestorm gid Dabei gilt Folgendes y Setzt die Richtlinie f r G ltigkeitspr fung fest n Inaktiviert die G ltigkeitspr fung f r das angegebene Attri but
231. en der maximalen Gr e gel scht werden soll Standardein stellung ist ENABLED b ENABLED gibt an dass mehrere Datens tze zwischen gespeichert werden sollen bevor sie in die Pr fprotokolldatei geschrieben werden DISABLED gibt an dass jeder Datensatz sofort in die Pr fprotokolldatei geschrieben werden soll Standardeinstellung ist ENABLED Tivoli SecureWay User Administration Management Handbuch 337 Hun 1 11040 01d NId 01 Pr fprotokollierung aktivieren Anmerkung In den meisten F llen sollten Sie ENABLED aus w hlen um die Systemleistung zu verbessern Sol len jedoch h chste Sicherheitsstandards eingehal ten werden w hlen Sie DISABLED aus um zu verhindern dass Datens tze in einem Puffer zwischengespeichert werden Aktive Parameter ermitteln Mit dem Befehl wusrauditqry k nnen Sie eine Liste der derzeit aktiven Parameter auf dem Bildschirm anzeigen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Pr fprotokollparameter TMR admin ermitteln Sie k nnen diese Task nur ber die Befehlszeile ausf hren Im folgenden Beispiel werden die aktiven Pr fprotokollparameter auf dem Bildschirm angezeigt wusrauditgry Nachfolgend ein Beispiel f r die Ausgabe von wusrauditqry User Administration Pr fprotokollierung ist aktiviert Aktuelle Werte von Pr fprotokollparameter
232. en f r G ltigkeitspr fung Standardwertegruppen legen Standardwerte fest die verwendet werden wenn Sie einen neuen Profildatensatz erstellen Richtlinien f r G ltigkeitspr fung definie ren zul ssige Werte f r die Optionen in einem Profildatensatz Anmerkung Beachten Sie dass Tivoli SecureWay User Administ ration profilbasierte und keine regionsbasierten Richt linien verwendet Benutzerprofile als verwaltete Ressourcen zuordnen Jeder Richtlinienbereich unterh lt eine Liste mit verwalteten Ressourcenarten die f r den spezifischen Richtlinienbereich g ltig sind oder definiert wurden Sie m ssen Benutzerprofile als verwal tete Ressourcen hinzuf gen bevor Sie einen Richtlinienbereich f r die Verwaltung von Benutzern verwenden k nnen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerprofile als verwaltete Richtlinien senior Ressourcen f r einen bereich Richtlinienbereich hinzuf gen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Benutzerprofile als verwaltete Ressourcen f r den Richtlinienbereich hinzuzuf gen 122 Version 3 8 Benutzerprofile einrichten 1 Klicken Sie in der Liste Verf gbare Ressourcen doppelt auf die Option UserProfile Dadurch
233. en gelesen werden k nnen wird bei Angabe eines Kennworts das mehr als 63 Zeichen enth lt die interne Verschl sselung durch den Befehl wpasswd fehlschlagen Die effektive maxi male L nge f r ein Kennwort in einem Tivoli Secure Way User Administration Benutzerprofil betr gt 64 Zeichen Synchronisation von Tivoli ACF durch Tivoli Secure Way User Administration 110 Wenn Tivoli ACF mit Tivoli SecureWay User Administration Version 3 8 und Tivoli SecureWay Security Manager Version 3 7 eingesetzt werden kann ACF die G ltigkeitsdauer von Kennw rtern auf UNIX Systemen steuern wenn alle Kennwort nderungen durch Tivoli SecureWay User Administration verwaltet werden Tivoli ACF wird ber alle nderungen eines Benutzerkennworts auf einem UNIX Version 3 8 Synchronisation von Tivoli ACF System mit Tivoli ACF die durch Tivoli SecureWay User Administ ration herbeigef hrt wurden informiert Wenn Tivoli ACF feststellt dass ein Kennwort abgelaufen ist wird das neue Kennwort mit dem Befehl wpasswdsync abgerufen so dass das neue Benutzerkennwort an Tivoli SecureWay User Administration und alle Subskribenten bermittelt wird Diese Synchronisation erfolgt unabh ngig davon ob das UNIX System von Tivoli SecureWay User Administration direkt oder indirekt als NIS Client eines von Tivoli SecureWay User Administration gesteuerten NIS Servers gesteuert wird Bei Verwaltung des Endpunkts durch Tivoli Secure Way User Administration
234. en soll und ob die Protokollaus gabe zwischengespeichert werden soll bevor sie in die Pr fproto kolldatei geschrieben wird Tivoli SecureWay User Administration Management Handbuch 335 Bun4s1jjoyojoA1dynid 01 Mit dem Befehl wusrauditqry k nnen Sie jederzeit eine Liste der derzeit aktiven Parameter auf dem Bildschirm anzeigen Falls Para meter ge ndert werden sollen k nnen Sie mit dem Befehl wusrau dit die Pr fung stoppen und mit den ge nderten Parametern erneut starten Anmerkung F r die Ausf hrung der Pr fprotokollbefehle ist die Berechtigungsklasse admin erforderlich Auf UNIX Systemen ist root der Besitzer der Pr fprotokolldatei Nur er verf gt ber Lese und Schreibzugriffsrechte Auf NT Systemen verf gt die Gruppe der lokalen Administratoren des TMR Servers ber uneinge schr nkten Zugriff auf die Pr fprotokolldatei Der lokale Benutzer tmersvrd des TMR Servers verf gt ber Schreibzugriffsrechte Das Verzeichnis mit der Pr fprotokolldatei verf gt nur ber die Schutz mechanismen die vom Systemadministrator als not wendig erachtet werden In diesem Kapitel werden folgende Themen beschrieben m Pr fprotokollierung aktivieren Aktive Parameter ermitteln Stoppen und mit ge nderten Parametern neu starten Format des Pr fprotokolls Protokollierte Operationen von Tivoli SecureWay User Administ ration Steuerkomponente f r die Pr fprotokollierung akti vieren 336 Mit dem Befehl wusraudit a
235. en von einem beliebigen Profil zu einer anderen Kopie des aktuellen Profils in der Subskriptionshierarchie wechseln und diese anzeigen Abh ngig von Ihrer Berechtigungsklasse k nnen Sie f r die neu angezeigte Profilkopie Vorg nge ausf hren Dies kann hilf reich sein wenn Sie ein Profil anzeigen und nderungen am Profil pr fen oder vornehmen m chten In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Von einer Profilkopie in Gruppenprofil user eine andere wechseln Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um zwischen Benutzerprofilkopien zu wechseln 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Clos Profil Editieren Ansicht Hilfe Konfigurationsprofil Profilmanager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin la daemon Ja db Ja Ip Ja Alle anzeigen Auswahl anzeigen Gruppe hinzur gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen 4 Tivoli SecureWay User Administration Management Handbuch 329 uoyem
236. end eines Weitergabevorgangs hat der Tivoli Verwaltungsagent einen OS 2 Fehler empfangen Bedieneraktion Die Fehlernummer wird angezeigt Siehe FEHLER 103 FEHLER 205 Erl uterung Der Tivoli Verwaltungsagent kann den Weitergabevorgang nicht aus f hren da kein Konto mit Administratorberechtigungen angemeldet wurde Bedieneraktion Nicht zutreffend Erl uterung Der Tivoli Verwaltungsagent kann den Weitergabevorgang nicht aus f hren da die Net32 APls einen Fehlercode zur ckgegeben haben Bedieneraktion Der Ergebniscode wird angezeigt Siehe Anhang A in diesem Handbuch Erl uterung Der Tivoli Verwaltungsagent kann das Kennwort nicht ndern da die Net32 APls einen Fehlercode zur ckgegeben haben Bedieneraktion Der Ergebniscode wird angezeigt Siehe Anhang A in diesem Handbuch Erl uterung Der Tivoli Verwaltungsagent kann das Kennwort nicht ndern da der Benutzer auf dem angegebenen Endpunkt unbekannt ist Bedieneraktion Nicht zutreffend Erl uterung Der Tivoli Verwaltungsagent kann das Kennwort nicht ndern da die Entschl sselung fehlgeschlagen ist Bedieneraktion Nicht zutreffend Erl uterung Der Tivoli Verwaltungsagent kann den Weitergabevorgang nicht aus f hren da die Net32 APls einen Fehlercode zur ckgegeben haben Der Tivoli Verwaltungsagent kann das Kennwort nicht ndern da kein Konto mit Administratorberechtigungen angemeldet wurde Bedieneraktion Erstellen Sie falls not
237. enden soll Tivoli SecureWay User Administration Management Handbuch 111 Bunyema9aAuOMUUDY E Synchronisation von Tivoli ACF Bei Verwaltung des NIS Servers durch Tivoli Secure Way User Administration Bei NIS handelt es sich um eine Client Pull Technik w hrend Tivoli SecureWay User Administration eine Server Push Technik verwen det Normalerweise ist NIS Servern die Identit t ihrer Clients unbe kannt oder sie ist f r sie unerheblich Bei Bedarf ruft jeder Client die ben tigten Informationen vom Server dynamisch ab Wenn jedoch Tivoli SecureWay User Administration und Tivoli ACF bez glich Kennwort nderungen synchron laufen sollen muss Tivoli SecureWay User Administration f r alle NIS Dom nen die es ver waltet die UNIX Systeme mit Tivoli ACF kennen die Clients der jeweiligen NIS Dom ne sind Als Unterst tzung hierf r hat Tivoli SecureWay User Administration Version 3 8 dem NIS Objekt das Attribut Tivoli ACF Client Profile Manager hinzugef gt Dieses Attribut wird ber die Option C Profilmanager in den Befehlen wertdomain und wsetdomain festge legt Alle Clients der NIS Dom ne die Tivoli ACF verwenden und benachrichtigt werden m chten wenn sich NIS Kennw rter ndern m ssen Subskribenten dieses Profilmanagers sein Wenn Tivoli Secu reWay User Administration einem NIS Objekt eine Kennwort nde rung bermittelt informiert das NIS Objekt alle Endpunkte die sich in der Subskriptionsbaumstruktur dieses Profilman
238. ens tze kopieren 250 Profile synchronisieren 259 Richtlinien f r G ltigkeitspr fung editie ren 140 Richtlinienskript editieren 135 Standardwerte verteilen 153 Standardwertegruppen editieren 133 Subskriptionskopie abrufen 263 Zu Profil 269 Gruppenprofile Argumente des Richtlinienskripts 287 288 Attribute anzeigen 333 Datensatz suchen 327 Datens tze sortieren 331 Gruppenmerkmale 305 Gruppenprofilmerkmale 286 Profil ausf llen 297 Profil erstellen 279 Profil klonen 282 Profil verteilen 315 Profildatensatz editieren 308 Profile synchronisieren 322 Richtlinien f r G ltigkeitspr fung editie ren 292 Richtlinienskript editieren 289 Standardwerte verteilen 300 Standardwertegruppen editieren 287 Subskriptionskopie abrufen 320 Zu Profil 330 Dom nen als Endpunkte 404 OS 2 Warp Server 418 verwalten 404 Dom nencontroller 417 E Erstellen Benutzerdatens tze 156 Benutzerprofile 123 Gruppendatens tze 303 304 Gruppenprofile 277 F Fehlernachrichten 440 Fenster Benutzerprofile Benutzerprofilmerkmale 133 Profilmanager 124 Gruppenprofile Profilmanager 284 F llen ausf llen Benutzerprofile 144 Einf hrung 25 Gruppenprofile 296 OS 2 404 G Ge nderte Benutzer ID 419 Gruppendatens tze Attribute sortieren 332 auswerten 324 bearbeiten 307 erstellen 303 304 l schen 311 sortieren 330 suchen 326 Gruppenprofile als verwaltete Ressourcen zuordnen 276 Einf hrung 23 erstellen 277 f llen au
239. ensatz suchen 3 W hlen Sie die entsprechenden Attribute in der Liste Attribute 328 aus Diese Attribute werden von Tivoli SecureWay User Admi nistration zur Definition der Suchkriterien verwendet W hlen Sie eine der folgenden Sucharten aus dem Kontextmen aus Enth lt Gibt an dass die gefundenen Datens tze den Wert des Such begriffs enthalten m Exakte bereinstimmung Gibt an dass die gefundenen Datens tze mit dem Suchbe griff exakt bereinstimmen m Gr er als Gibt an dass der Wert des ausgew hlten Attributs f r die gefundenen Datens tze gr er ist als der Wert des Suchbe griffs H Kleiner als Gibt an dass der Wert des ausgew hlten Attributs f r die gefundenen Datens tze kleiner ist als der Wert des Suchbe griffs Geben Sie einen Wert f r den Suchbegriff ein Der Suchbegriff f r das Attribut kann ein beliebiger g ltiger Wert sein Klicken Sie auf Erstes Vorkommen suchen um das erste Vor kommen eines lokalen Druckdienstes zu suchen das mit dem Suchbegriff bereinstimmt ODER Klicken Sie auf N chstes Vorkommen suchen um das n chste Vorkommen eines lokalen Druckdienstes zu suchen das mit dem Suchbegriff bereinstimmt ODER Klicken Sie auf Alle suchen um alle lokalen Druckdienste zu suchen die mit dem Suchbegriff bereinstimmen Version 3 8 Von einer Profilkopie in eine andere wechseln Von einer Profilkopie in eine andere wechseln Sie k nn
240. ensf hrung Management Entwicklungsabteilung Development Test Testing Design und Dokumentation Design and Documentation Kunden unterst tzung Customer Support und interne Unterst tzung Internal Support In der folgenden Tabelle werden die Anzahl der Mitarbeiter jeder Abteilung der Name des Profilmanagers der der jeweiligen Abtei lung zugeordnet ist und die Profile die jedem Profilmanager zuge ordnet sind aufgef hrt Abteilung Anzahl der Profil Profilnamen Mitarbeiter managername Design und 500 Design UL design Dokumentation docs graphic_art Tivoli SecureWay User Administration Management Handbuch 119 UauuOuuIg a lJo d az nuag e Einf hrung 120 Abteilung Anzahl der Profil Profilnamen Mitarbeiter managername Entwicklung 2050 Entwicklung deadeye firestorm newcastle voyager Marketing 300 Marketing corporate region_1 region_2 region_3 region_4 Verkauf 3500 Verkauf sales_1 sales_2 sales_3 sales_4 Buchhaltung 2250 Personal accounting Unternehmens human_resources f hrung und Per management sonalabteilung Test 400 Test test_dead test_fire test_new test_voyager Kundenunter 1000 Support external_1 st tzung und external_2 interne Unterst t external_3 zung internal Version 3 8 Einf hrung Betrachten Sie die folgende grafische Darstellung von Profil managern und den dort enthaltenen Profilen p ia e
241. enut zerinformationen Weitere Informationen zu globalen Katalogen finden Sie in den Win dows 2000 Installations und Konfigurationsdokumentationen oder auf den folgenden Websites von Microsoft m MSDN Online unter der Adresse http msdn microsoft com default asp m Windows 2000 Developer Center unter der Adresse http msdn microsoft com windows 2000 Tivoli SecureWay User Administration Management Handbuch 9 Bunyemasausddnig pun Aezinueg LU Konzepte f r plattformspezifische Benutzerverwaltung Benutzerauthentifizierung Windows 2000 verf gt ber verschiedene Sicherheitseinrichtungen zur Steuerung des Zugriffs auf Dateien Verzeichnisse und andere Systemressourcen Dazu geh ren folgende Einrichtungen Local Security Authority Lokale Sicherheitsautorit t Active Directory Sicherheitsbeschreibung Sicherheitskontext Zugriffs berpr fung Security Account Manager Sicherheitskontenverwaltung Local Security Authority Die Local Security Authority LSA stellt sicher dass der Benutzer ber die erforderlichen Berechtigungen verf gt um auf das System zuzugreifen Diese Funktion erstellt Zugriffs Token w hrend des Anmeldevorgangs verwaltet die Sicherheitsrichtlinien definiert die berwachungsrichtlinien und schreibt berwachungsnachrichten in das Ereignisprotokoll Active Directory Tivoli SecureWay User Administration verwendet Windows 2000 Active Directory zur Speicherung von notwendigen Benutzerin formati
242. er Administration umfasst Funktionen zur Verwal tung von Benutzerkonten auf UNIX Windows NT NetWare und Windows 2000 Plattfor men Verwenden Sie dieselbe Softwareversion wie in Ihrer Arbeits umgebung Verwenden Sie beispielsweise dieselbe Version von Tivoli Management Framework OS 390 NIS usw wie in Ihrer Arbeitsumgebung F hren Sie die Tests auf Maschinen aus die bereits zu Arbeits zwecken eingesetzt wurden und auf denen bereits mehrfach ver schiedene Softwareprodukte installiert wurden F hren Sie keine Tests auf ganz neuen Maschinen aus Version 3 8 Kennwortverwaltung Es gibt drei M glichkeiten Kennw rter zu ndern die in einem Benutzerprofil gespeichert sind ber den Befehl wsetusr den Befehl wpasswd ohne die Optionen l und L und ber die grafische Benutzerschnittstelle GUI zum Bearbeiten eines Benutzerdaten satzes Die ge nderten Kennw rter in einem Benutzerprofil k nnen dann an die subskribierenden Endpunkte und verwalteten Knoten verteilt werden Dabei k nnen die Betriebssystemkennw rter des Endpunktes entweder mit dem Befehl wdistrib oder ber die grafi sche Benutzerschnittstelle f r Benutzerprofilverteilungen ge ndert werden Mit dem Befehl wpasswd und der Option l bzw L k n nen durch die Ausgabe eines einzigen Befehls Kennw rter in Benutzerprofilen ge ndert und zugleich an die subskribierenden Endpunkte und verwalteten Knoten verteilt werden Die nderungsfunktionen der GUI
243. er Anmeldename Ein Boolescher Wert der angibt ob ein Konto ablaufen wird Das Attri but os2_account_expiration_date gibt das Ablaufdatum an Der Wert FALSE zeigt an dass das Konto nie mals abl uft Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an Ein Datum im Format 7T7T MM JJJJ Bei der Angabe des Tages und des Monats sind keine f hrenden Nullen erforderlich Tage Monate und Jahre k nnen durch Schr gstriche und Silbentrennungsstriche getrennt werden Ein Boolescher Wert der angibt ob ein Benutzerkonto inaktiviert ist Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an Ein Boolescher Wert der angibt dass das Konto nicht gel scht werden kann Der Wert TRUE bedeutet dass das Konto nicht gel scht werden kann Der Wert FALSE bedeutet dass das Konto gel scht werden kann Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an Version 3 8 os2_workstations real_name OS 2 Attributnamen in Benutzerprofilen Eine Liste mit Namen von Worksta tions Anforderer die jeweils durch ein Komma voneinander getrennt sind von denen aus sich ein Benut zer am OS 2 WARP Server anmelden kann Der tats chliche Name des Benut zers der sowohl den Vornamen als auch den Nachnamen beinhaltet Tivoli Endpunkte verwenden dieses Attribut um ein hnliches Attribut f r den OS 2 WARP Server festzule gen
244. er Suche nach einem Benutzer k nnen Sie die Suche auf einen einzigen Richtlinienbereich eingrenzen oder in der gesamten TMR suchen Nachdem Sie einen Benutzer gefunden haben k nnen Sie eine Liste mit den Benutzerprofilen anzeigen die Datens tze von diesem Benutzer enthalten So suchen Sie unter Verwendung der Benutzersuchfunktion nach einem Benutzer 1 Klicken Sie doppelt auf das Symbol der Benutzersuchfunktion das sich auf der Tivoli Arbeitsoberfl che befindet 2 W hlen Sie in der Liste Benutzer nach Richtlinienbereich fil tern den Richtlinienbereich aus den Sie durchsuchen m chten Wenn Sie alle Richtlinienbereiche in der TMR durchsuchen m chten w hlen Sie die Option Allle aus Tivoli SecureWay User Administration Management Handbuch 225 uoyemion 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 2 Benutzersuchfunktion Les Y Benutzersuchfunktion Benutzername olk Richtlinienbereich filtern Benutzer nach adnin_region teo region EI Dialog Denuter editieren ffnen e Benutzer l schen Benutzer editieren Aktualisieren schlie en ml 3 Geben Sie im Feld Benutzername eine Zeichenfolge ein die mit dem Namen des Benutzerdatensatzes bereinstimmt nach dem Sie suchen und dr cken Sie auf die Eingabetaste Dabei muss der Cursor im Feld Benutzername aktiv sein Die eingegebene Zeichenfolg
245. er Zustellung der Daten gestartet um Nachher Aktionen aus zuf hren Eine AEF nderungsaktion bezieht sich auf ein einzelnes Attribut und muss denselben Namen wie das Attribut haben Wenn eine AEF nderungsaktion ausgef hrt wird k nnen Sie jedoch nicht davon ausgehen dass das entsprechende Attribut ge ndert wurde CCMS verwaltet nur eine einzige ge ndert Markierung auf Datensatz ebene Welche Attribute ge ndert wurden wird nicht protokolliert Folglich werden grunds tzlich bei Verteilungen von ge nderten Datens tzen alle AEF Aktionen des Typs ge ndert ausgef hrt Dabei ist es unerheblich ob das Attribut das einer AEF Aktion zugeordnet ist tats chlich ge ndert wurde Version 3 8 Sonderverarbeitung f r Kennw rter bei der Verteilung Sonderverarbeitung f r Kennw rter bei der Vertei lung Der Oneshot Mechanismus in Tivoli SecureWay User Administration erm glicht eine Sonderverarbeitung von bestimmten Benutzer attributen w hrend der Verteilung von Benutzerprofildatens tzen an Subskribenten Es wird davon ausgegangen dass das Benutzerprofil die meisten Kontendaten exakt widerspiegelt Wenn eine Push Ope ration f r einen Datensatz ausgef hrt wird werden diese Daten auf dem Endpunkt berschrieben Einige lokale Kontendaten k nnen jedoch lokal aktualisiert werden so dass sich die lokalen Daten erwartungsgem von den Serverdaten unterscheiden Typische Bei spiele hierf r sind Kennw rter
246. er bzw Backup Dom nencontroller 417 Verteilung an andere OS 2 Server und Systeme 418 Benutzer ohne Kennwort 2 22 2nneeeeeennnn nenn 418 Benutzer mit ge ndertem Kennwort 2 222222 neeeenen 419 Benutzer mit ge nderter Benutzer ID Anmeldename 419 Benutzer in der OS 2 Gruppe SERVERS 419 OS 2 Attributnamen in Benutzerprofilen 2 222222 neeeeenen 420 OS 2 Ergebniscodes 1 wa ENN 20 ee nase 426 OS 2 Verteilungsfehler 440 Sleeve DEA KENNTE EHRE RER KR ianea 443 INdeX ET 459 xvi Version 3 8 Vorwort Das Handbuch Tivoli SecureWay User Administration Management Handbuch bietet Ihnen Task orientierte Informationen zur Verwal tung von Benutzer und Gruppenkonten mit Tivoli Profilen Das Handbuch enth lt Hintergrundinformationen zu Benutzer und Gruppenkonten Informationen zur Verwaltung dieser Kontoarten durch Tivoli Beispiele zur Einrichtung und Verwendung von Tivoli SecureWay User Administration f r die Benutzer und Gruppen verwaltung sowie Verfahren zur Verwendung aller Komponenten der Benutzerschnittstelle einschlie lich der grafischen Benutzer schnittstelle GUT und der Befehlszeilenschnittstelle CLT Zielgruppe Dieses Handbuch wendet sich an Systemadministratoren die Tivoli SecureWay User Administration zur Einrichtung von Benutzer und Gruppenkonfigurationsprofilen verwenden und mit Tivoli allt gliche Verwaltungs Tasks f r Benutzer und Gruppenko
247. er folgenden Optionsfelder Konto l uft nie ab Bei Auswahl dieser Option bleibt das Konto f r eine unbestimmte Zeit aktiv Kontoablaufdatum Mit dieser Option wird das Ablaufdatum f r das Konto festgelegt Das Datum muss im Format MM TT JJJJ ein gegeben werden Ab dem angegebenen Datum ist das Konto nicht l nger g ltig Geben Sie im Feld Anmeldeskript den Pfad f r das Anmelde skript des Benutzers ein Informationen zur Windows NT Anmeldezeit Mit der Option Anmeldezeit k nnen Sie die Uhrzeiten festlegen zu denen sich der betreffende Benutzer unter diesem Benutzerkonto am Netzwerk anmelden kann 1 174 W hlen Sie in der Merkmalliste die Option NT Anmeldezeit aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen M NT Anmeldezeit AM PM 0 vs 4 6 8 10 12 14 16 18 20 22 so Ci CA CA LA CA ca A a A A A A A A A A A A a a a a a A woo0o0000000000000000000000 oi ra Ca Ca Ca La Ca Ca La La La Ca Lad Ca La LA ar La Ca a La La Ld Ld LA mi CA CA CA A A A A A A A A A A A A A A A A A A A A d v000000000000000000000000 r UGS SS US SS SS SU CA A AA A A A A TA GG sO000000000000000000000000 W hlen Sie die Uhrzeiten und Tage aus auf die Sie den Zugriff des Benutzers auf das Netzwerk beschr nken m chten indem Sie die entsprechenden Kontrollk stchen ausw hlen Ein ausgew hl tes Kontrollk stchen wird dunkel darges
248. er im root Konto W hlen Sie in der Liste Keine Verteilung an diese Subskriben ten die Subskribenten des Profilmanagers aus an die Kopien die ses Profils verteilt werden sollen Version 3 8 Gruppenprofile an Subskribenten verteilen Klicken Sie auf den Linkspfeil um die ausgew hlten Subskriben ten in die Liste Verteilung an diese Subskribenten zu verschie ben 8 Klicken Sie auf Verteilen und schlie en um das Profil sofort zu verteilen und zum Fenster Gruppenprofilmerkmale zur ckzu kehren ODER Klicken Sie auf Planen um den Dialog Geplanten Job hinzuf gen anzuzeigen Geplanten Job hinzuf gen Profil an seine Subskribenten verteilen EE m Ei k d demr Tivoli SecureWay User Administration Management Handbuch 317 Gruppenprofile an Subskribenten verteilen Befehlszeile Im folgenden Beispiel wird ein Gruppenprofil an einen zugeordneten verwalteten Knoten verteilt wdistrib maintain GroupProfile developers ManagedNode kenya Dabei gilt Folgendes maintain Beh lt alle lokalen nderungen in den Subskribentenkopien des Profils bei m Gibt eine Verteilung in mehreren Schritten an Das Profil wird an alle Ebenen der Subskribenten verteilt einschlie lich der Systemdateien UserProfile developers Gibt den Namen des Profils an das verteilt werden soll ManagedNode kenya Gibt den Namen des Subskribenten an an den das Profil verteilt werden soll Weitere Infor
249. er nach der Verteilung eines Dateipakets b vor oder nach der Entfernung eines Dateipakets c w hrend der Festschreibung eines Dateipakets oder d nach Abbruch einer Verteilung oder Entfernung aufgrund eines Fehlers durchf hren k nnen Konfigurations Repository Die relationale Datenbank die Informationen enth lt die von Tivoli Anwendungen gesammelt oder generiert werden Zum Beispiel speichert Tivoli Inventory im Kon figurations Repository Informationen zur Hardware Software Systemkonfiguration und zum Inventar Tivoli Software Distribution speichert Informationen zu Datei paketoperationen Tivoli Enterprise Console speichert Informationen zu Ereignissen Lokale nderungen In einer Tivoli Umgebung eine Funktion aller Tivoli Anwendungen die auf der Grundlage von Profilen arbeiten Tivoli Software Distribution stellt jedoch eine Aus nahme dar Diese Funktion erm glicht es die nderungen in einem verteilten Pro fil durch die nderungen die in einem Endpunktprofil vorgenommen wurden zu berschreiben Tivoli SecureWay User Administration Management Handbuch 447 JessojH Lokale Verteilung In einer Tivoli Umgebung eine Verteilung an Zielmaschinen die sich in derselben Tivoli Management Region TMR wie die Quellenmaschine befinden MDist Multiplexverteilung In einer Tivoli Umgebung ein Dienst der die effiziente Vertei lung gro er Datenmengen in komplexen Netzwerken erm glicht Bei MDist 1 und MDist 2 handelt es sich
250. erdaten s tze des aktuellen Benutzerprofils importiert Wenn Sie die Zusammenf gungsoption des Befehls wpopusrs ver wenden versucht Tivoli SecureWay User Administration die Benutzerinformationen aus der verwalteten Ressource und die Benutzerdatens tze im Profil zusammenzuf gen bereinstimmungen werden dabei anhand des Anmeldenamens festgestellt Wenn eine bereinstimmung gefunden wird vergleicht Tivoli SecureWay User Administration die Betriebssystemkontoarten Wenn diese unter schiedlich sind f gt die Anwendung die Informationen in dem Datensatz zusammen Sind sie identisch gibt Tivoli SecureWay User Administration einen Fehler zur ck Wenn die Benutzerinformationen mit einem Benutzerdatensatz zusammengef gt werden werden die neuen Benutzerinformationen in den Benutzerdatensatz aufgenommen und die allgemeinen Benutzerinformationen werden auf Attributbasis mit den Informatio nen zusammengef gt die in dem Benutzerdatensatz vorhanden sind der Vorrang hat Version 3 8 Benutzerprofile einrichten Es gibt zum Beispiel einen Datensatz im Profil in dem freddie als Anmeldename des Benutzers definiert ist Der Datensatz enth lt all gemeine Informationen und UNIX Benutzerinformationen Es gibt einen Benutzer mit demselben Anmeldenamen in der Windows NT Dom ne von der aus Sie Daten an das Benutzerprofil weiterge ben Tivoli SecureWay User Administration erkennt dass diesen bei den Benutzerdatens tzen derselbe Anmeldenam
251. erdatensatz Daraufhin wer den alle Profile angezeigt die einen Datensatz f r diesen Benut zer enthalten Weitere Informationen zur Suche nach Benutzern finden Sie in der Beschreibung der Prozedur L Benutze hen 2 Je nachdem ob der Benutzer sich in nur einem Profil oder in mehreren Profilen befindet f hren Sie einen der folgenden Schritte aus m Benutzer in nur einem Profil Heben Sie entweder den Benutzernamen oder den Profilnamen hervor und klicken Sie auf die Schaltfl che L schen Sie werden gefragt ob Sie das Basisverzeichnis entfernen oder beibehalten oder ob Sie den Vorgang abbrechen m chten W hlen Sie eine Option aus m Benutzer in mehreren Profilen Wenn Sie den Benutzer datensatz aus allen Profilen l schen m chten w hlen Sie den Benutzernamen aus und klicken Sie auf die Schaltfl che L schen Wenn Sie den Benutzer aus einem bestimmten Pro fil l schen m chten w hlen Sie das Profil aus und klicken Sie auf die Schaltfl che L schen Nachdem Sie auf L schen geklickt haben werden Sie vom System gefragt ob Sie das Basisverzeichnis entfernen oder beibehalten oder ob sie den Vorgang abbrechen m chten W hlen Sie eine Option aus Benutzerdatens tze anzeigen Der Dialog Benutzerprofilmerkmale listet jeden Benutzerdatensatz im Profil zeilenweise auf Jede Spalte enth lt spezifische Informatio nen zum Benutzerdatensatz Sie k nnen durch dieses Fenster bl t tern um die Informationen anzuzeigen die in e
252. erden die allgemeinen Anwendungen in Form von Symbolen auf der Worksta tion Arbeitsoberfl che angezeigt Von Tivoli werden nur allgemeine OS 2 Anwendungen unterst tzt Diese sollten bereits in der OS 2 Dom ne definiert sein Bei einer Verteilung versucht der Tivoli OS 2 Endpunkt f r den Benutzer in der Zieldom ne so viele der vorhandenen Anwendungen wie m glich zu setzen Falls die Liste Anwendungen enth lt die in der Dom ne nicht definiert sind so handelt es sich nicht um einen Fehler und es werden auch keine entsprechenden Meldungen ausgegeben In Tivoli k nnen einem Tivoli Benutzerkonto maximal 100 allge meine Anwendungen hinzugef gt werden Tivoli SecureWay User Administration Management Handbuch 413 usyemion J49z4nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten 414 1 W hlen Sie in der Merkmalliste die Option OS 2 Anwendungen aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen Allgemeine OS 2 Anwendungen e 2 Soll ein Eintrag aus der Liste entfernt werden w hlen Sie den betreffenden Eintrag aus und klicken Sie anschlie end auf Ent fernen 3 Soll der Liste mit allgemeinen Anwendungen ein neuer Eintrag hinzugef gt werden geben Sie im Textfeld den Aliasnamen der Anwendung ein und klicken Sie auf Hinzuf gen OS 2 Gruppenzugeh rigkeit In der Anzeige OS 2 Gruppenzugeh rigkeit kann ein Benutzer eine Liste mit den Namen der Gruppen zur Verf
253. eressiert die Sie uns auf einem der folgenden Wege mitteilen k nnen m Senden Sie eine E Mail an pubs tivoli com Bitte formulieren Sie Ihre E Mail in englischer Sprache m F llen Sie das Formular f r Kundenr ckmeldung auf folgender Website aus http www tivoli com support survey Kundenunterst tzung anfordern Sollte sich ein Problem in Zusammenhang mit einem Tivoli Produkt ergeben k nnen Sie die Tivoli Kundenunterst tzung kontaktieren Informationen hierzu finden Sie im Tivoli Customer Support Hand book auf der folgenden Website nur in Englisch verf gbar http wwwtivoli com support handbook Tivoli SecureWay User Administration Management Handbuch xxi Dieses Buch enth lt neben Informationen zur Kontaktaufnahme mit der Tivoli Kundenunterst tzung je nach Dringlichkeit des Problems auch folgende Informationen m Registrierung und Anspruch m Telefonnummern und E Mail Adressen der jeweiligen L nder m Informationen die Sie beim Kontaktieren der Kundenunter st tzung bereit halten sollten In diesem Handbuch verwendete Konventionen In dieser Erg nzung werden neben bestimmten Symbolen verschie dene Schriftbildkonventionen f r bestimmte Begriffe und Aktionen verwendet In dieser Erg nzung verwendete Konventionen In dieser Erg nzung werden folgende Schriftbildkonventionen ver wendet Fett Befehle Schl sselw rter Dateinamen Berechtigungsklassen URLs und andere Informationen die Sie wie in der
254. erfahren notwendig Benutzer ID K nnen Benutzer eine allgemeine Benutzer ID f r verschiedene UNIX Systeme verwenden Version 3 8 Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen Kennwort K nnen Benutzer ein allgemeines Kennwort f r den Zugriff auf verschiedene Ressourcen verwenden oder ist f r jede Ressource die Angabe eines eindeutigen Kennworts erforderlich Welche Richtlinien gibt es hinsichtlich der Kennwortattribute der G ltigkeitsdauer usw Tools und Dienste Welche Tools und Dienste sind in der Umge bung vorhanden die Benutzerkontoinformationen verwalten bzw mit Tivoli SecureWay User Administration kommunizieren Ver wenden Sie beispielsweise NIS NIS Network Information System zur Verwaltung von Benutzerkonten auf UNIX Syste men Verwenden Sie RACH RACH Resource Access Control Facility das von OS 390 zur Verf gung gestellt wird Wird Tivoli SecureWay User Administration zusammen mit anderen Tivoli Produkten wie beispielsweise Tivoli SecureWay Security Manager eingesetzt Grafische Benutzerschnittstelle GUI oder Befehlszeile Wer den die Mitarbeiter die Tivoli SecureWay User Administration verwenden haupts chlich ber die Befehlszeile oder die grafi sche Benutzerschnittstelle GUI arbeiten Vorhandene Verfahren ndern Falls einige dieser Verfahren beispielsweise allgemeine Anmeldungen oder die G ltigkeits dauer von Kennw rtern nicht implementiert sind sollen diese von Tiv
255. ergegebenen Daten wird eine sichere Verbindung HTTPS empfohlen d Program_Files HTTP_Server htdocs Gibt den Pfad zum Verzeichnis der Webservers an in das die HTML Dateien von OnePassword kopiert werden sollen 68 Version 3 8 Befehl wonepassinst ausf hren d Program_Files HTTP_Server cgi bin Gibt den Pfad zum Verzeichnis der Webservers an in das die Skripts und ausf hrbaren Dateien von OnePassword kopiert wer den sollen c WINNT SYSTEM32 drivers etc Tivoli setup_env sh Gibt den Pfad des Skripts setup_env sh auf dem TMR Server an Zus tzliche Verwendungsm glichkeiten von wone passinst F hren Sie den Befehl wonepassinst auch aus wenn sich die Liste der vom TMR Server unterst tzten Endpunktarten ndert Somit wird sichergestellt dass die Liste der Optionsfelder in OnePassword aktu alisiert wird Au erdem sollten Sie wonepassinst ausf hren wenn sich der Standort von setup_env sh oder der Pfad des Verzeichnisses html bzw cgi ndert Befehl wpasswd installieren Mit dem Befehl wpasswd k nnen Administratoren Endbenutzer kennw rter sowie Kennw rter f r Konten auf Maschinen auf denen Tivoli SecureWay User Administration installiert ist ndern Dar ber hinaus k nnen auch normale Benutzer mit Hilfe des Befehls wpasswd das eigene Kennwort ndern Er steht jedoch nur auf End punkten zur Verf gung wenn er unter Verwendung des Befehls winstpw auf Endpunkten installiert wurde Eine Insta
256. erheits Principal zugeordnet sind Weitere Informationen zum Sicherheitskontext finden Sie in den vorherigen Abschnitten Active Directory und Sicherheitsbeschreibung oder im Abschnitt Sicherheitskontext in der MSDN Dokumentation von Microsoft Zugriffs berpr fung Das System erm glicht den Zugriff auf ein Objekt nur dann wenn die Sicherheitsbeschreibung des Objekts dem Sicherheits Principal der versucht die Operation auszuf hren bzw den Gruppen denen der Sicherheits Principal angeh rt die notwendigen Zugriffs berechtigungen erteilt Security Account Manager In einem Multitasking Betriebssystem wie beispielsweise Windows 2000 wird eine Vielzahl von Systemressourcen einschlie lich Haupt speicher O Einheiten Dateien und Systemprozessoren des Compu ters von den Anwendungen gemeinsam benutzt Windows 2000 unterst tzt auch eine Systemrichtliniendatenbank falls diese Unter st tzung aktiviert ist Unabh ngig davon ob Systemrichtlinien den Zugriff ber SAM Konten erm glichen ist f r Tivoli SecureWay User Administration und Windows 2000 Active Directory ein SAM Kontoname f r jeden Benutzer erforderlich Weitere Informationen hierzu finden Sie im Abschnitt Security Access Manager in der MSDN Dokumentation von Microsoft Tivoli SecureWay User Administration Management Handbuch 11 Bunyemasausddnig pun 9z1nuag Konzepte f r plattformspezifische Benutzerverwaltung 12 Benutzeranmeldung
257. erne E Mail Adressen f r einen Benutzer definieren 1 W hlen Sie in der Merkmalliste die Option NetWare fremde E Mail aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen 7 NetWVare fremde E Mail Festlegen Aliasnamen Klicken Sie zum Hinzuf gen einer Adressenart zur Liste Alias namen auf Hinzuf gen Tivoli SecureWay User Administration ffnet den Dialog NetWare fremde E Mail 3 NetWare fremde E Mail NetwWare fremde E Mail Art ausw hlen E Adresse Hinzuf gen und schlie en Hinzuf gen Schlie en ol W hlen Sie in der Dropdown Liste Ausw hlen eine Option aus Wenn die gew nschte Option nicht aufgef hrt ist k nnen Sie diese im Feld Art eingeben Geben Sie im Feld Adresse eine Adresse ein Klicken Sie auf Hinzuf gen und schlie en um diesen Dialog zu schlie en und die Adresse der Liste Aliasnamen hinzuzuf gen Tivoli SecureWay User Administration Management Handbuch 203 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten 6 W hlen Sie in der Liste Aliasnamen einen Namen aus und kli cken Sie anschlie end auf Festlegen um den Dialog NetWare fremde E Mail anzuzeigen In diesem Dialog k nnen Sie eine fremde E Mail Adresse festlegen 8 NetWare fremde E Mail NetWare fremde E Mail Art Ausw hlen Adresse Festiegen und schli
258. erren Sicherheitsverwaltung Beispiele f r die Verwaltung vieler Benutzer Konzepte f r plattformspezifische Benutzer verwaltung Die Benutzerverwaltung auf Plattformebene Betriebssystemebene beinhaltet die Authentifizierung des Benutzerzugriffs auf System ressourcen und die Sicherheitsverwaltung von Benutzerkonto informationen Auf den verschiedenen Plattformen wird die Benutzerkonten und Sicherheitsverwaltung unterschiedlich gehand habt Mit Tivoli SecureWay User Administration k nnen Sie Benutzerkonten plattform bergreifend verwalten ohne nderungen an den jeweiligen plattformspezifischen Funktionen vornehmen zu m ssen Die folgenden Abschnitte enthalten eine bersicht dazu wie auf den einzelnen Plattformen die Benutzerverwaltung gehandhabt wird UNIX Plattformen Die folgenden Abschnitte enthalten allgemeine Informationen zur Benutzerverwaltung auf UNIX Plattformen Obwohl sich die UNIX Plattformen im Allgemeinen hneln gibt es dennoch einige Unter schiede Es ist m glich dass sich die Systemdateinamen von UNIX Plattform zu UNIX Plattform unterscheiden Anmerkung In den nachfolgenden Abschnitten werden die Namen der Systemdateien unter AIX verwendet Benutzeranmeldung und Authentifizierung Benutzer melden sich durch Eingabe einer g ltigen Benutzer ID und eines Kennworts an UNIX Systemen an Auf UNIX Systemen wird das Kennwort verschl sselt und niemals als lesbarer Text angezeigt Die Benutzer ID wird mit
259. ert 304 wird z B folgenderma en formatiert 304 Boolesche Werte werden im Pr fprotokolldatensatz entweder als ENABLED oder als DISABLED angezeigt Version 3 8 m Kennw rter werden wie folgt dargestellt m Das Datum wird im l nderspezifischen Format dargestellt So erscheint das Datum 15 Mai 2001 in einem deutschen System im Format 15 05 2001 in einem US amerikanischen System Format des Pr fprotokolls hingegen im Format 05 15 2001 m Oktettlisten werden als Listen mit hexadezimalen Werten forma tiert Der Oktettwert 00000001 11111100 11100000 wird z B folgenderma en formatiert X O1FCEO Protokollierte Operationen von Tivoli SecureWay User Administration Folgende Operationen von Tivoli SecureWay User Administration werden gepr ft und protokolliert m Benutzerdatensatzbefehle wcpusr wertusr wdelusr wgenusrdef wgetusr wlsusrs wmrgusrs wmvusr wsetusr wsetusrs m Kennwortbefehle wpasswd wpasswdsync Tivoli SecureWay User Administration Management Handbuch 343 Bun4s1jjoyojoA1dynid OL Protokollierte Operationen von Tivoli SecureWay User Administration 344 Benutzerprofilbefehle wpopusrs wchkusrs Verschiedene Befehle wutshacts wmodals wupdhdir wsetnds wrunusremd wsetusrefg wusrdbrep wusraudit wusrauditgry Version 3 8 Tivoli SecureWay User Administ ration anpassen In diesem Kapitel wird die Anpassung von Tivoli SecureWay User Administration mi
260. erte in der Ausgabeliste folgt folgen der Struktur m Zeichenfolgen werden in Anf hrungszeichen gesetzt Der Attributwert Horace wird z B folgenderma en formatiert Horace Enth lt eine Zeichenfolge Anf hrungszeichen werden diese in der formatierten Liste verdoppelt So wird zum Beispiel die Tivoli SecureWay User Administration Management Handbuch 239 uoyemion 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 240 Zeichenfolge Owner of the smart brand folgenderma en formatiert Owner of the smart brand Enth lt eine Zeichenfolge einen Ausdruck in eckigen Klammern werden diese in der formatierten Liste verdoppelt Die Zeichen folge Department 12 lt bldgl gt z B wird folgenderma en forma tiert Department 12 lt lt bldg1 gt gt Ein Zeilenumbruch oder ein R cklaufzeichen innerhalb einer Zeichenfolge wird durch eine Leerstelle dargestellt Leere Zeichenfolgen werden folgenderma en formatiert Bei Zeichenfolgenlisten handelt es sich um Attribute die ber mehr als einen Wert verf gen und aus mindestens einer Zeichen folge bestehen Die Zeichenfolgenlisten werden in der Ausgabe liste in Anf hrungszeichen gesetzt Die einzelnen Zeichenfolgen elemente aus der sich die Zeichenfolgenliste zusammensetzt werden in folgende Zeichen gesetzt lt gt Die Zeichenfolgenliste Machine A Machine B Machine C wird z B folgenderma en formatiert lt Machine A gt lt Machine B
261. ertegruppe nicht f r diese Attribute bernommen Version 3 8 Neue Datens tze f r Benutzerkonten erstellen Tivoli SecureWay User Administration wird mit einer Reihe von Standardwertegruppen geliefert Zum Verwenden dieser Standard wertegruppen m ssen Sie den Namen des Benutzers im Feld Benut zername eingeben zum Beispiel Jon Smith und anschlie end auf Standardeinstellungen generieren klicken Mit den Standardwertegruppen werden den Windows NT Windows 2000 NetWare und UNIX Konten f r diesen Benutzerdatensatz Attributwerte zugeordnet und dem Benutzer die Steuerung der Kenn w rter der einzelnen Konten erm glicht dar ber hinaus werden der Anmeldename und das Kennwort des Benutzers f r jedes Konto auf den ersten Buchstaben des Vornamens und den Nachnamen gesetzt z B jsmith In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Datensatz f r ein Benutzer Benutzerprofil admin konto erstellen Admin_Add_Account Admin_Edit_Account Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren F hren Sie folgende Schritte aus um einen Datensatz f r ein Benutzerkonto zu erstellen 1 Klicken Sie im Richtlinienbereich doppelt auf den entsprechen den Profilmanager um das Fenster Profilmanager anzuzeigen 2 Klicken Sie doppelt a
262. es sich bei der Zielmaschine um den prim ren oder Backup Dom nencontroller handelt muss die Anmeldung auf der Zielmaschine unter einem Konto mit Administratorberechtigung erfolgen Erfolgt keine Anmel Tivoli SecureWay User Administration Management Handbuch 417 usyemion J49z1nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten 418 dung oder handelt es sich bei dem Anmelder nicht um einen Admi nistrator wird der Vorgang vom dem Tivoli Agenten unter OS 2 umgehend abgebrochen Verteilung an andere OS 2 Server und Systeme Die OS 2 Warp Serverumgebung umfasst auch mehrere normale Ser ver Dabei handelt es sich um zus tzliche Server in der Dom ne die weder als prim re noch als Backup Dom nencontroller dienen Wird ein solcher Server als Ziel einer Tivoli Operation angegeben ist nur die lokale Benutzerkontendatenbank auf diesem Server bei diesem Vorgang betroffen Es wird weder das Basisverzeichnis verar beitet noch ist f r den Vorgang die Anmeldung unter einem Admi nistratorkonto erforderlich Die DB 2 Datenbank f r OS 2 f hrt eine Authentifizierung der Benutzer anhand der lokalen Benutzerkontendatenbank durch Einige Tivoli Kunden setzen DB 2 Server f r die Verwaltung der DB 2 Benutzer in dieser lokalen Benutzerdatenbank ein Als Zielsystem k nnen f r Tivoli auch Systeme angegeben werden bei denen es sich nicht um Server handelt Der Tivoli Endpunktagent kann auf jedem OS 2 System mit einer lokalen Benutze
263. esit zen kann bietet die Benutzersuchfunktion die M glichkeit in den nach Besitzernamen sortierten Querverweisen nach Kontodatens tzen zu suchen Au erdem k nnen Sie in der Benutzersuchfunktion auch Direktaufrufe zum Hinzuf gen Editieren und L schen bestimmter Kontodatens tze verwenden ohne den Dialog Benutzerprofil merkmale ffnen zu m ssen In den folgenden Abschnitten werden diese Funktionen beschrieben Sie sollten sich vor allem mit der Suchfunktion vertraut machen da sie eine Voraussetzung zum Editie ren und L schen von Benutzern ist Tivoli SecureWay User Administration Management Handbuch 223 uoyemion 9zjesusjep4szinuag Z Allgemeine Vorg nge f r Benutzerdatens tze In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse aufgef hrt die f r diese Tasks die ber die Benutzer suchfunktion ausgef hrt werden k nnen erforderlich sind Aktivit t Umgebung Berechtigungsklasse Einen Benutzerkonto Tivoli Arbeits admin datensatz suchen oberfl che editieren oder l schen Voraussetzungen Bei den hier beschriebenen Vorg ngen zur Benutzersuche wird davon ausgegangen dass Sie folgende Schritte bereits ausgef hrt haben 1 Richtlinienbereich erstellen 2 Profilmanager erstellen 3 Ein oder mehrere Benutzerprofile erstellen 4 Benutzerdatensatz f r alle Benutzer erstellen nach denen Sie suchen die Sie editieren oder l schen m chten Informationen zum
264. essourcen zuordnen 122 Anzeige aktualisieren 256 Beispiel f r Verteilung 26 Einf hrung 23 erstellen 123 f llen ausf llen 144 klonen 126 l schen 129 planen 119 Richtlinien f r G ltigkeitspr fung definie ren 138 Standardwerte f r Verteilung festlegen 152 Standardwertegruppen definieren 132 verteilen 241 wechseln 268 Benutzersuchfunktion Einf hrung 28 verwenden 223 Berechtigungsklassen 29 31 CLI Befehle wchkgrps 324 wchkusrs 260 wepusr 251 wertgrp 307 wertprf 125 128 280 282 wertusr 167 171 wertusrcat 347 wertusrsubcat 348 wdel 131 285 wdelgrp 312 wdelusr 237 241 wdelusrcat 350 wdelusrsubcat 350 wdistrib 248 318 wgetgrp 309 wgetpolm 136 143 290 295 wgetpif 265 321 wgetusr 231 winstall 53 winstpw 69 wlspolm 136 142 290 295 wmvusr 253 wpasswd 69 83 wpopgrps 298 wpopusrs 151 wputdialog 349 wputpolm 136 143 290 295 wrmusrg 310 wsetgrp 310 wsetnds 17 146 222 242 wsetpr 123 277 wsetusr 233 255 wsetusrsubcat 348 wuninstpw 69 wvalidate 326 D Datenlose Profilmanager 360 Dialoge Benutzerprofile C Argumente des Richtlinienskripts 134 CCMS 357 Attribute anzeigen 273 460 Version 3 8 Dialoge Forts Benutzerprofile Forts Basisverzeichnis l schen 237 Datensatz suchen 267 Datens tze sortieren 271 Datens tze verschieben 253 Ergebnisse der Richtlinieng ltigkeits pr fung 262 Profil ausf llen 149 Profil klonen 128 Profil verteilen 245 Profildat
265. esten Sie diese sorgf ltig m Sie k nnen das Protokoll der Subskribentenverteilungen eines Profilmanagers pr fen indem Sie folgenden Befehl ausgeben wgetsub 1 ProfileManager Profilmanagername wdistrib m l maintain F r eine Profilverteilung mit der Option maintain die entspre chende Option auf der grafischen Benutzerschnittstelle ist Anderun gen in der Profilkopie des Subskribenten erhalten gilt m nderungen in untergeordneten Kopien des Profils werden bei behalten Alle lokalen nderungen an den Systemkonten auf dem Endpunkt werden jedoch durch diese Verteilung berschrie ben m Alle Systemattribute f r Benutzer werden mit den Profildaten aktualisiert Anmerkung Folgende Ausnahme gilt Besondere Attribute f r Profile wie beispielsweise Kennw rter werden nur aktualisiert wenn Sie im Profil explizit ge n dert wurden und die zugeh rige Attributversions nummer inkrementiert bzw das Hot Flag gesetzt wurde m Es werden nur die Datens tze die seit der letzten Verteilung ge ndert wurden verteilt die Zeitmarken f r Datensatz nde rungen werden mit den Zeitmarken f r die letzte Push Operation f r das Profil verglichen Tivoli SecureWay User Administration Management Handbuch 371 USWOUL 31893419M SL Sonderverarbeitung f r Kennw rter bei der Verteilung 372 m Wenn der Zugriff auf Subskribenten nicht m glich ist werden bei der n chsten Verteilung desselben Typs nicht dieselben Profil
266. et alle Profile auf zu denen der Benutzer geh rt Die aufgef hrten Pro file folgen der Konvention Richtlinienbereich Profilmanager Profil Sie k nnen die Benutzerliste durchbl ttern oder nach einem Benutzer suchen Sie k nnen die Suche auf einen beliebigen Richtlinien bereich begrenzen oder in Tivoli insgesamt suchen Die Benutzerliste im Dialog Benutzersuchfunktion wird so aktualisiert dass sie Ihre Suchauswahl enth lt Nachdem Sie den Benutzer lokalisiert und ein Profil ausgew hlt haben wenn es mehr als ein Profil f r diesen Benutzer gibt k nnen Sie den Benutzerdatensatz editieren Mit Hilfe der Benutzersuchfunk Version 3 8 Benutzersuchfunktion tion k nnen Benutzerdatens tze gefunden und editiert und so schnell aktualisiert werden Alternativ dazu k nnen Sie das Benutzerprofil ffnen Dies kann jedoch sehr viel Zeit in Anspruch nehmen da Benutzerprofile Tausende von Benutzerdatens tze enthalten k nnen Mit Hilfe der Benutzersuchfunktion k nnen Sie Benutzerdatens tze nicht nur editieren sondern auch hinzuf gen und l schen Eine voll an ae finden Sie im Abschnitt Dateisperren und Kollisionsvermeidung Gruppenprofile sind w hrend Aktualisierungs Weitergabe und Verteilungsvorg ngen gesperrt Wenn das Profil von einem anderen Administrator zu Aktualisierungszwecken ge ffnet wurde k nnen Sie die Profildatens tze anzeigen Wenn Sie jedoch versuchen das gesperrte Profil zu aktualisieren wird eine Feh
267. et ist Ein Endpunktname bis zu 15 Zei chen OS400_Assist_Level SYSVAL Gibt die Ebene des verf gbaren Hilfetextes BASIC an INTERMED ADVANCED O0S400_Attention_PGM NONE Gibt das Abrufprogramm an das diesem SYSVAL Benutzer zugeordnet ist ASSIST Programm Ein g ltiger Programmname im For mat LIB PROGRAM OS400_Authority EXCLUDE Gibt die Berechtigung an die Sie Benutzern SALL zuteilen die ber keine bestimmte Berechti gung f r das Objekt verf gen die in keiner CHANGE Berechtigungsliste aufgef hrt sind und deren 8 i USE Gruppenprofil keine bestimmte Berechtigung f r das Objekt zugeordnet ist OS400_CCSID SYSVAL Gibt die CCSID f r dieses Profil an Wird zu HEX landessprachlichen Zwecken verwendet ccsid Eine AS 400 CCSID OS400_Change_Rollkey YES Gibt an ob bei Verwendung der Bl ttertaste NO den Systemstandardaktionen entgegengesetzte Aktionen ausgef hrt werden Tivoli SecureWay User Administration Management Handbuch 387 usyemion J9Z1nu9g 007 SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_CharID_Control SYSVAL Gibt die Zeichen ID Steuerung CHRIDCTL DEVD f r den Job an Dieses Attribut steuert die Art der CCSID Konvertierung f r Anzeige JOBCCSID dateien Druckerdateien und Anzeigen gruppen Dieses Attribut wird verwendet wenn der Sonderwert CHRIDCTL f r den Befehlspa
268. ew nschte Position zu verschieben c Klicken Sie auf Festlegen und schlie en um die neuen Argumente hinzuzuf gen und zum Dialog Richtlinien f r G ltigkeitspr fung editieren zur ckzukehren Tivoli SecureWay User Administration Management Handbuch 293 UauuOuuIg a Jo dusddniyg oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 294 d Klicken Sie im Dialog Richtlinien f r G ltigkeitspr fung editieren auf Skripthauptteil editieren fr her Prozedur hauptteil editieren um den Dialog Richtlinienskript editie ren fr her Richtlinienprozedur editieren anzuzeigen 8 Richtlinienprozedur editieren ioj xj Konfigurationsprofil Rechenzentrum in Profilmanager admin Richtlinienprozedur f r Attribut gid Hibinish a Component Name group_validate_gid Date 1996 04 20 17 30 50 E Source Jaltivoliihomesi1 dabigtievs2emyeladmin admin user_groupfgroupfgto_val_policiesigv_gid sre v Revision 1 3 Sichern und schlie en Sichern Zur cksetzen Schie en Hire e Geben Sie den Hauptteil des Skripts ein f Klicken Sie auf Speichern und schlie en fr her Sichern und schlie en um das Skript in der Datenbank zu speichern und zum Dialog Richtlinien f r G ltigkeitspr fung editie ren zur ckzukehren Wiederholen Sie den vorherigen Vorgang f r jedes Attribut des Datensatzes 6 Klicken Sie auf Festlegen und schlie en
269. f gen Benutzer schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi zi 4 W hlen Sie die Option Verteilen im Men Profil aus wenn die Option Verteilen inaktiv ist sichern Sie das Profil und versu chen Sie es erneut um den Dialog Profil verteilen anzuzeigen 22 Profil verteilen IoIx Konfigurationsprofil Benutzer in Profilmanager admin Verteilen Gd Die Verteilung wird nderungen in der Profilkopie der Subskribenten erhalten C Alle Subskribentenebenen C Profil der Subskribenten EXAKT mit diesem Profil abgleichen An diese Subskribenten verteilen Nicht an diese Subskribenten verteilen kimberly Endpoint oswaldo Managed_Node paco Endpoint teo Managed Node 244 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze 5 Klicken Sie auf N chste Subskribentenebene im Feld Verteilen auf um eine Kopie des Profils nur an die n chste Subskribenten ebene zu senden Verwenden Sie diese Option wenn Sie die Kopien der Subskribenten nicht auf allen unteren Ebenen in der Subskriptionshierarchie ndern m chten Anmerkung Wenn die n chste Ebene der Subskribenten die Ebene des verwalteten Knotens ist wird das Profil nur an den Tivoli verwalteten Knoten verteilt und nicht an die eigentlichen Systemdateien Zum ndern der Systemdateien mit dieser Option m s sen Sie das Profil von der Ebene des verwalteten Knotens verteile
270. f r Benutzerdatens tze Benutzerprofile vertei len Subskribenten Sie k nnen ein Benutzerprofil von der Originalkopie oder der Subskriptionskopie eines Profils oder ber die Befehlszeile verteilen Arbeitsoberfl che F hren Sie folgende Schritte aus um Benutzerprofile an Subskriben ten von einem Profil aus zu verteilen 1 Klicken Sie doppelt auf das Symbol des Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager Tivoli SecureWay User Administration Management Handbuch 243 Allgemeine Vorg nge f r Benutzerdatens tze 2 F gen Sie dem Profilmanager die erforderlichen Subskribenten hinzu Weitere Informationen zum Zuordnen von Ressourcen als Subs kribenten zu einem Profilmanager finden Sie im Tivoli Manage ment Framework Benutzerhandbuch 3 Klicken Sie doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutzerprofilmerkmale anzuzeigen 7 Benutzerprofilmerkmale Iolx Profil Editieren Ansicht Hilfe A Benutzerprofil Benutzer Kennung festlegen Subskriptionspfad admin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX apprich 102 102 n iapprich iapprich binc Seng f101 101 i userid1 Juseridt inte eller 100 100 DU uzeller uzeller bins iesch 103 103 p wfriesch wesch binse H Benutzer hinzu
271. f einen in der Liste NetWare Knoten angezeigten Knoten Der Dialog wird aktualisiert um die NDS Kontexte anzuzeigen die dem ausgew hlten Knoten zugeordnet sind b W hlen Sie einen Kontext in der Liste Kontext aus c Klicken Sie auf Ausw hlen und schlie en um zum Dialog Benutzermerkmale zur ckzukehren 4 W hlen Sie das Kontrollk stchen Anmeldung aktivieren aus um die Anmeldung dieses Benutzers zu aktivieren 5 W hlen Sie das Kontrollk stchen Ablaufdatum f r Konto aus um f r dieses Benutzerkonto ein Ablaufdatum festzulegen a Geben Sie im Datumsfeld das Ablaufdatum im Format Monat Tag Jahr MM TT JJJJ ein b Geben Sie im Feld f r die Uhrzeit die Ablaufzeit im 24 Stun den Format HHMM ein Anmerkung Die Stunden HH k nnen entweder durch eine oder zwei Ziffern angegeben werden 192 Version 3 8 Informationen zu NetWare Benutzerkonten 6 W hlen Sie das Kontrollk stchen Anzahl gleichzeitig bestehen der Verbindungen begrenzen aus um die Anzahl der gleichzei tig bestehenden Verbindungen f r diesen Benutzer zu begrenzen Geben Sie nach Auswahl dieses Kontrollk stchen im Feld Maxi mum die Anzahl der gleichzeitig zul ssigen Verbindungen ein 7 W hlen Sie das Kontrollk stchen Uneingeschr nkten Kredit gew hren aus um die NetWare Kontost nde nicht zu verfolgen ODER a Geben Sie im Feld Kontostand den Kontostand des Benut zers ein Das ist der Kredit den der Benutzer zu Beginn des
272. fehle waddprop waddus TProp WEEn stdel us anne rau SNE 378 Weitere Ver ffentlichungen 379 Anhang A AS 400 Benutzer verwalten 381 Vorteile einer Verwaltung von AS 400 Benutzerkonten ber Tivoli 381 User Administration for AS 400 verwenden 382 Mit AS 400 Attributen und Endpunkten arbeiten 383 AS 400 spezifische Funktionen 383 Weitergeben Suchen s ss sics Eeer EE SEN see 384 Verteilen Aktualisieren 22 222 con onen eneeee nennen nen 384 Kennw rler su sa te capea benannt ea ann 384 Sonderfunktionen f r AS 400 2 2 nnnneeeeeeenene ern nnn 385 AS 400 spezifische Benutzerinformationen 2 22 2222 nneeeenen 386 Tivoli SecureWay User Administration Management Handbuch xV OS 400 Benutzerkonten ndern 400 Anhang B OS 2 Benutzer verwalten 403 Vorteile einer Verwaltung von OS 2 Benutzerkonten ber Tivoli 403 Mit OS 2 Attributen und Endpunkten arbeiten 2 2 2 200 404 OS 2 Benutzerattribute im Tivoli Benutzerprofil 405 OSZ KOMO nimre damiano een ee ne 405 Optionen f r OS 3 kont 409 Zuordnungen bei OS 2 Anmeldung 411 Allgemeine OS 2 Anwendungen 413 OS 2 Gruppenzugeh rigkeit 22222222 nennen 414 Anmelde Workstations lt s 2 2 222222 nee eeeeennn nenn 416 Funktionsweise von SecureWay User Administration auf OS 2 End p nkten usa AEN E ANN EE EE Ee E e heine ra 417 OS 2 Endpunkt als prim r
273. file region_4 Gibt das Zielbenutzerprofil an Imiles Gibt den Anmeldenamen an der dem zu verschiebenden Benutzerdatensatz zugeordnet ist Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wmvusr im Handbuch Tivoli SecureWay User Administra tion Reference Manual Tivoli SecureWay User Administration Management Handbuch 253 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten Informationen in Benutzerdatens tzen sperren und freigeben Durch Sperren der Informationen in einem Benutzerdatensatz wird verhindert dass Administratoren diesen Datensatz in einer Kopie des Profils editieren oder l schen Sie m ssen das Benutzerprofil vertei len damit die Sperre wirksam wird Die Subskribenten k nnen einen Datensatz so lange weder bearbeiten noch l schen bis Sie diesen freigeben und das Profil erneut verteilen Sie k nnen alle Datens tze in einem Profil der h chsten Ebene sper ren um sicherzustellen dass seine Kopien stets unver ndert bleiben Da Sie nicht das gesamte Profil sperren k nnen kann ein Administ rator einen Datensatz der Kopie eines Profils der unteren Ebene hin zuf gen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Benutzerkontodatensatz Benutzerprofil admin sperren oder freigeben Admin_Edit_Account Admin Mod Account Sie k
274. fils nur auf die n chste Subskriben tenebene zu senden Verwenden Sie diese Option wenn Sie die Kopien der Subskribenten nicht auf allen unteren Ebenen in der Subskriptionshierarchie ndern m chten Anmerkung Wenn die n chste Ebene der Subskribenten die Ebene des verwalteten Knotens ist wird das Profil nur an den Tivoli verwalteten Knoten verteilt und nicht an die eigentlichen Systemdateien Wenn Sie die Systemdateien mit Hilfe dieser Option ndern m chten m ssen Sie das Profil von der Ebene des verwalteten Knotens verteilen ODER Klicken Sie auf Alle Subskribentenebenen um eine Kopie des Profils an die n chste Ebene der Subskribenten und deren Subs kribenten zu senden Verwenden Sie diese Option wenn Sie alle Subskribenten auf der unteren Ebene in der Subskriptions hierarchie einschlie lich der Systemdateien der Profilendpunkte ndern m chten Klicken Sie auf nderungen in der Profilkopie des Subskri benten erhalten im Feld Bei der Verteilung geschieht folgen des um nderungen beizubehalten die Administratoren an den Profilen vorgenommen haben deren Profilmanager dem aktuellen Profil zugeordnet sind Verwenden Sie diese Option wenn Profile in Subskribenten definiert wurden deren Unterschiede Sie beibe halten m chten ODER Klicken Sie auf das Optionsfeld Profil des Subskribenten EXAKT mit diesem Profil abgleichen um die nderungen die Administratoren an ihren Profilen vorgenommen haben m
275. folgenden Befehl wird das Tivoli SecureWay User Adminis tration Gateway Package aktualisiert wpatch c cdrom fuji i ADMGWUPG Dabei gilt Folgendes c cdrom Gibt den Pfad f r den Installations datentr ger an fuji Gibt das Gateway an auf dem die vorherige Version des Tivoli Secure Way User Administration Gateway Package installiert ist i ADMGWUPG Gibt die Indexdatei IND an ber die die Tivoli SecureWay User Administration Programmkorrektur installiert wird Tivoli SecureWay User Administration Management Handbuch 71 us4a jjelsu Z Tivoli SecureWay User Administration Paket deinstallieren Tivoli SecureWay User Administration Pakete dein stallieren Tivoli Management Framework stellt eine Befehlszeilenfunktion zur Verf gung mit der Module aus einem bestimmten verwalteten Kno ten oder aus der gesamten TMR entfernt werden k nnen Der Befehl wuninst ist ein Wrapper Skript das produktspezifische Skripts zum Entfernen der Installation aufruft Wenn Sie den Befehl wuninst mit einer anwendungsspezifischen Kennung verwenden k nnen Sie Tivoli SecureWay User Administra tion Pakete von jeder Maschine in Ihrer Umgebung oder aus der TMR entfernen Weitere Informationen zur Befehlszeilensyntax und Verwendung des Befehls wuninst finden Sie im Handbuch Tivoli Management Framework Reference Manual Geben Sie die folgende Befehlszeile ein um die Syntaxanweisung f r Tivoli SecureWay User Administration anzuzeigen
276. formationen zu NetWare Benutzerkonten Mit Tivoli SecureWay User Administration k nnen Sie Benutzer konten f r NetWare verwalten Folgende Informationen k nnen Sie f r einen NetWare Benutzerdatensatz eingeben Anmeldeinformationen Anmeldezeiten Kennwortinformationen Informationen zum Basisverzeichnis Informationen zur Netzwerkadresse Informationen zur Gruppenzugeh rigkeit Sicherheitsinformationen Informationen zu E Mail Verwaltungsinformationen Informationen zum Anmeldeskript Informationen zu Speicherbereichseinschr nkungen auf Datentr gern m Informationen zu Workstations F hren Sie folgende Schritte aus um Benutzerinformationen f r Net Ware hinzuzuf gen 1 W hlen Sie in der Dropdown Liste Kategorie die Option Net Ware aus 2 W hlen Sie die gew nschte Option in der Merkmalliste aus Informationen zur NetWare Anmeldung Mit der Option NetWare Anmeldung k nnen Sie die entsprechen den Informationen f r NetWare Anmeldungen eingeben 1 W hlen Sie in der Merkmalliste die Option NetWare Anmel dung aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen 190 Version 3 8 Informationen zu NetWare Benutzerkonten NetWare Anmeldekonto NetwWare Anmeldename NDS Kontext IV Anmeldung aktivieren E Ablaufdatum f r Konto Datum MMATTHJJJ 01 01 2010 Uhrzeit bg 23 I Anzahl gleichzeitig bestehender Verbindungen begrenzen Masimum 1
277. ft ab wenn eine G ltigkeitsdauer f r ein Konto angegeben werden soll Das Konto wird daraufhin zu dem angegebenen Zeitpunkt inaktiviert Das Datum wird im Format 7 J J angegeben Anmerkung Die Angabe f hrender Nullen f r Tage und Monate ist nicht erforderlich Tage Monate und Jahre k nnen durch Schr gstriche getrennt wer den 410 Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten Zuordnungen bei OS 2 Anmeldung In der Anzeige Zuordnungen bei OS 2 Anmeldung stehen Optio nen zur Verf gung mit denen Benutzern bei der Anmeldung LAN Ressourcen zugeordnet werden k nnen Bei diesen Ressourcen kann es sich um Datentr ger oder Verzeich nisse wie es in der OS 2 Terminologie hei t oder serielle Einheiten wie Modems und Drucker handeln Geben Sie in dieser Anzeige den Namen der LAN Ressource ein und geben Sie an wie diese Res source dem System des Anforderers zugeordnet werden soll W hrend einer Verteilung berpr ft Tivoli das Vorhandensein der einzelnen Anmeldezuordnungen in der Zieldom ne Wurde das Benutzerkonto definiert wurden die Zuordnungen bei der Anmel dung f r diesen Benutzer festgelegt Wurde jedoch in der Ziel dom ne kein Aliasname angegeben wird dieser ignoriert Dabei han delt es sich nicht um einen Fehler und es werden auch keine entsprechenden Meldungen ausgegeben Der Endpunkt versucht alle f r den Benutzer in der Zieldom ne angegebenen Anmeldezuord nungen hinzuzuf gen Tivoli
278. g von Benutzerkonten und Zugeh rigkeiten in einem gro en Unternehmen aufwenden Im Unternehmen werden st ndig Benutzerkonten hinzugef gt und entfernt Au erdem m ssen Benutzerkonten regelm ig aktualisiert werden wenn sich die Anforderungen der Benutzer ndern Fr her mussten Systemadministratoren mit Benutzerkonten in Umge bungen mit nur einem Betriebssystem arbeiten z B einer UNIX Umgebung oder Gro rechnerumgebung Heute gibt es in den meisten gro en Unternehmen Benutzer die Konten in Umgebungen mit ver schiedenen Betriebssystemen ben tigen wie beispielsweise UNIX Windows 2000 Windows NT NetWare OS 2 OS 390 oder OS 400 Die Betriebssysteme UNIX Windows NT Windows 2000 und Net Ware verf gen ber eigene Konfigurationsdateien oder Datenbanken die die Benutzerkonten f r das jeweilige System definieren Dar ber hinaus verf gen die verschiedenen UNIX Systeme ber eigene Konfigurationsdateien f r Benutzerkonten Unter Windows NT gibt es zudem globale und lokale Konten Zus tzlich zu den Unterschieden zwischen den Benutzerkonten der Umgebungen mit verschiedenen Betriebssystemen gibt es zwischen den Systemen und Bereichen eines Unternehmens unvermeidbare Unterschiede in der Benutzerkontenverwaltung Tivoli SecureWay User Administration Management Handbuch Bunyemasausddnig pun Jezinueg LU Tivoli SecureWay User Administration stellt Ihnen die erforderlichen Tools f r die Verwaltung von Benutzerkonten auf
279. gabe gemacht wird wird dieser Attributwert nur auf Kennw rter f r diese Endpunktart angewendet Beispiel UXPwMaxReps gibt die maximale Anzahl an Zeichen an die in einem UNIX Kennwort wiederholt angegeben werden d rfen PwMaxReps gibt die globale maximale Anzahl an Zeichen an die in Kennw rtern wiederholt angegeben werden d r fen Wenn das allgemeine Kennwort ge ndert wird wird der Wert PwMaxReps auf alle Kennw rter einschlie lich der NT und RACF Kennw lrter die ber kein entsprechendes endpunktartspezifisches Attribut verf gen angewendet Tivoli SecureWay User Administration Management Handbuch 93 Bunyema9aAuOMUUDY E Kennwortqualit tsregeln Anmerkung F r diesen Befehl gibt es noch weitere Optionen die hier nicht beschrieben werden Weitere Informationen finden Sie in der Beschreibung des Befehls wmodsec im Tivoli SecureWay Security Manager Benutzer handbuch Unterst tzte Security Manager Kennwortrichtlinien Im Folgenden werden die f r Systemrichtliniendatens tze in Tivoli SecureWay Security Manager geltenden Kennwortrichtlinienattribute aufgelistet die von den Befehlen wpasswd und wsetusr umgesetzt werden PwChk UXPwChk Gibt an ob die Kennwort berpr fung auf Subskriptions endpunkten aktiviert ist und ob diese Qualit tsregeln vom Admin Server angewendet werden G ltige Werte sind True und False PwContUid Gibt an ob die GSO Benutzer ID im Kennwort enthalten sein darf G ltige Werte
280. ge ausf hren In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Von einer Profilkopie in eine andere wechseln Benutzerprofil user Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren 268 Version 3 8 Benutzerdatens tze verwalten F hren Sie folgende Schritte aus um zwischen Benutzerprofilkopien zu wechseln 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Benutzerprofilmerkmale anzuzeigen 9 Benutzerprofilmerkmale Profil Editieren Ansicht Hilfe oik A Benutzerprofil Benutzer Kennung festlegen Subskriptionspfad Jadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX apprich 102 102 11 iapprich Teppich binse seridt 101 101 H userid1 useridt ne eller 100 100 1 uzeller uzeller inte tiesch 1103 103 1 wfriesch wfriesch Jim H Benutzer hinzur gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur ckneh EI 2 W hlen Sie Zu Profil auf im Men Profil aus um den Dialog Zu Profil anzuzeigen gt Zu Profil IO teo oswaldo paco kinberly
281. gewendet werden k nnen muss das neue Kennwort in die IBM US Codepage bersetzt werden Dar ber hinaus muss Tivoli SecureWay User Administration alle alphabetischen Zeichen in Gro buchstaben umsetzen RFPwRules Sie k nnen bis zu acht Regeln f r RACF Kennw rter ange ben durch Kommas voneinander getrennt Kennw rter die mindestens eine der definierten Regeln erf llen werden von RACE akzeptiert Jede Regel besteht aus den folgenden drei Komponenten die durch Doppelpunkte voneinander getrennt sind m cine Mindestl nge m wahlweise eine maximale L nge m cine Zeichenfolge die angibt welche Art von Zeichen innerhalb der definierten L ngengrenzwerte verwendet werden d rfen Die einzelnen Regeln werden aktiviert indem Sie als Mindestl nge eine andere Zahl als Null angeben Alle vor handenen Regeln k nnen inaktiviert werden indem Sie die Mindestl nge auf den Wert Null setzen Wenn f r die maxi male L nge der Wert Null angegeben wird gilt die Regel nur f r Kennw rter mit der von Ihnen im Feld Minimale L nge angegebenen L nge Wenn Sie f r die maximale L nge einen anderen Wert als Null eingeben m chten muss dieser Wert gr er als oder gleich dem Wert f r die mini male L nge sein Es spielt keine Rolle in welcher Reihen folge Sie die Regeln definieren ber die angegebene Zeichenfolge k nnen Sie definieren welche Art von Zeichen in der jeweiligen Position innerhalb des vom Benutzer einge Tivoli Sec
282. griffs auf Merkmale mit CLI Befehlen stellt keinen tiefen Eingriff dar und kann leicht beibehalten werden Das Anpassen der Benutzerschnittstelle kann jedoch zu Problemen bei der Aktualisie rung f hren Die Anpassung eines vorhandenen Dialogs von Tivoli SecureWay User Administration bedeutete normalerweise dass der gesamte Dia log ersetzt wurde Obwohl diese Vorgehensweise sehr leistungsf hig war und eine gro e Flexibilit t bot entstanden dadurch folgende Probleme m Der Benutzer musste einen ganzen Dialog korrekt ersetzen ohne die Funktionalit t von Tivoli SecureWay User Administration zu st ren m Aktualisierungen unter Beibehaltung der Anpassungen wurden erschwert wenn nicht unm glich gemacht da Aktualisierungen Anpassungen nicht erkennen 346 Version 3 8 Anpassungsstrategie Damit Anpassungen der Benutzerschnittstellen leichter verwaltet und erweitert werden k nnen verf gt Tivoli SecureWay User Administra tion jetzt ber eine Anpassungsstrategie f r Benutzerschnittstellen Statt einen ganzen Dialog zu ersetzen k nnen Sie jetzt eine Reihe von CLI Befehlen verwenden um Ihren eigenen Dialog f r Tivoli SecureWay User Administration hinzuzuf gen Anmerkung Das Hinzuf gen von benutzerdefinierten Attributen zu Tivoli Anzeigen bzw von Tivoli Attributen zu benutzerdefinierten Anzeigen sollte nach M glichkeit vermieden werden Jede Tivoli Anzeige enth lt proze duralen Code Daher haben nderungen an der DSL
283. gt 304 Version 3 8 Neue Datens tze f r Gruppenkonten erstellen Gruppenprofilmerkmale Gil Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin bin jor 0 pa daemon daemon mo 0 ya db Ei 108 0 ya Ip Ip 109 0 ya Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen gt Klicken Sie auf Gruppe hinzuf gen um den Dialog Datensatz zu Profil hinzuf gen anzuzeigen EET Loix Datensatz hinzuf gen zu Gruppenprofil group Ga in Profilmanager admin Gruppenname J Sruppen ID Ir er a Be enlugkiare Benutzerpronile Benutzer im Profil Eur Standa Baa a pao I Hinzuf gen und sehlegen Hinzuf gen Zur cksetzen Standardwerte verwenden Standardwerte l schen Schlie en Hire ZA Geben Sie den Gruppennamen in das Feld Gruppenname ein Namen d rfen nur alphanumerische Zeichen Punkte Unter streichungszeichen _ Bindestriche und Leerzeichen ent halten Andere Zeichen sind nicht zul ssig Anmerkung Wenn Sie die von Tivoli bereitgestellten Standardwertegruppen verwenden k n
284. gt lt Machine C gt Anf hrungszeichen und eckige Klammern innerhalb einer Zeichenfolgenliste werden in der formatierten Liste verdoppelt wie auch bei einfachen Zeichenfolgen Numerische Werte werden nicht in Anf hrungszeichen gesetzt Der Attributwert 304 wird z B folgenderma en formatiert 304 Boolesche Werte werden in der formatierten Liste entweder als ENABLED oder als DISABLED angezeigt Kennw rter werden wie folgt dargestellt Die Attribute nw_acct_exp_date nw_pass_date_expires und nt_expiredate werden folgenderma en formatiert MM TT YYYY HH MM Oktettlisten werden als Listen mit hexadezimalen Werten forma tiert Der Oktettwert 00000001 11111100 11100000 wird z B folgenderma en formatiert X O1FCEO Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze m Wurde einem Attribut ein einem Benutzerdatensatz kein Wert zugeordnet enth lt die Ausgabeliste an dieser Stelle ein Komma C Weitere Informationen zu Attributen und Werten von Benutzer profilen k nnen Sie dem Handbuch Tivoli SecureWay User Administ ration Reference Manual entnehmen Benutzerdatens tze aus Tivoli entfernen Wenn Sie ein Benutzerkonto nicht l nger mit Tivoli SecureWay User Administration verwalten wollen dieses Konto jedoch nicht aus den Konfigurationsdateien des Systems l schen m chten k nnen Sie die Option r des Befehls wdelusr verwenden Diese Option ist nur ber die Befehlszeile verf gbar Im folgende
285. h um ein UNIX Systemverwaltungs Tool zur zentralen Verwaltung von Benutzerkonten und gruppen in verschiedenen UNIX Implementierungen Im urspr nglichen Produkt wurde jedes einzelne Benutzerobjekt durch einen Lebkuchenmann dargestellt Dem System wurde ein Benutzer hinzugef gt indem der Lebkuchenmann auf das Hostsymbol gezogen wurde Dieser Ansatz war deutlich besser als fr here Methoden jedoch stellte die Skalier barkeit immer noch ein Problem dar In Tivoli Management Enterprise 2 0 wurde das System zur Konfigu ration und nderungsverwaltung CCMS Configuration and Change Management System als Plattformebene mit Anwendungs diensten implementiert CCMS machte die im urspr nglichen Pro dukt implementierten Dienste allgemein zug nglich so dass diese auch von anderen Anwendungen verwendet werden konnten Dar ber hinaus wurden dem Produkt Profile und Profilmanager hinzugef gt Nun wurden die Benutzerkonten nicht mehr als einzelne Objekte durch Symbole dargestellt sondern als Datens tze in einem Profil Ein Profil konnte eine beliebige Anzahl von Datens tzen enthalten und allen Datens tzen wurden dieselben Standardwertegruppen und Richtlinien f r G ltigkeitspr fung zugeordnet Einem Profilmanager konnte eine beliebige Anzahl von Profilen und Subskribenten zuge ordnet werden Die verwalteten Knoten oder andere verwaltete Objekte die von der CCMS Profilendpunktklasse bernommen wur den waren Subskribenten an die Profildaten
286. hl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen W hlen Sie im Men Profil die Option Verteilen aus wenn die Option Verteilen inaktiv ist speichern Sie das Profil und versu chen Sie es erneut um den Dialog Profil verteilen anzuzeigen 25 Profile verteilen Toi Kopien von Konfigurationsprofil Rechenzentrum in Profilendpunkt admin verteilen Verteilen auf Bei der Verteilung geschieht folgendes e N chste Subskribenten e nderungen in der Profilkopie ebene des Subskribenten erhalten Alle Subskribenten e Profil der Subskribenten ebenen EXAKT mit diesem Profil abgleichen Verteilung auf diese Subskribenten Keine Verteilung auf diese Subskribenten kimberly Endpoint oswaldo Managed Node teo Managed_Node paco Endpoint Aa BEa_____ 7 fA Klicken Sie auf N chste Subskribentenebene im Feld Verteilen an fr her Verteilen auf um eine Kopie des Profils nur auf die n chste Subskribentenebene zu senden Verwenden Sie diese Option wenn Sie die Kopien der Subskribenten nicht auf allen unteren Ebenen in der Subskriptionshierarchie ndern m chten Tivoli SecureWay User Administration Management Handbuch 315 U JJEMI A z esu jepu ddn 9 e Gruppenprofile an Subskribenten verteilen 316 Anmerkung Wenn die n chste Ebene der Subskribenten die Ebene des verwalteten Knotens ist
287. hlie en um die nderungen am Benutzerdatensatz zu speichern und den Dialog zu schlie en Befehlszeile Im folgenden Beispiel wird das UNIX Kennwort des Benutzers ge ndert wsetusr p algebra UserProfile marketing Jon Smith Dabei gilt Folgendes p algebra Gibt an dass das UNIX Kennwort des Benutzers in algebra ge ndert wird UserProfile marketing Gibt den Namen des Benutzerprofils an das den zu ndern den Benutzerdatensatz enth lt Tivoli SecureWay User Administration Management Handbuch 233 uoyemion 9zjesusjep4szinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 234 Jon Smith Gibt den wirklichen Namen an der dem zu ndernden Benutzerdatensatz zugeordnet ist Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wsetusr im Handbuch Tivoli SecureWay User Administration Reference Manual Benutzerdatens tze zusammenf gen Mit Tivoli SecureWay User Administration k nnen Sie zwei Benutzerdatens tze die zu demselben Benutzer geh ren zusammen f gen Die Benutzerinformationen die in dem ersten Datensatz gespeichert sind werden als Hauptdatensatz behandelt Der zweite Datensatz wird als Quellendatensatz behandelt und selektiv mit dem Hauptdatensatz zusammengef gt Sobald zwei Datens tze zusam mengef gt worden sind wird der Quellendatensatz aus dem Profil gel scht W hrend eines Weitergabevorgangs mit dem Befehl popusers M versucht Tivoli SecureWay User Administra
288. hlszeile ausf hren 126 Version 3 8 Benutzerprofile einrichten Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Benutzerprofil zu klonen 1 Klicken Sie in einem Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 2 W hlen Sie das Symbol des zu klonenden Profils aus Tivoli SecureWay User Administration Management Handbuch 127 Benutzerprofile einrichten 3 W hlen Sie im Men Editieren die Optionen Profile gt Klonen aus um den Dialog Profil klonen anzuzeigen Profil klonen oo Profil von Profilmanager Pe admin klonen Name Symbolbezeichnung Auf Profilmanager klonen Klonen und schlie en Schlie en Hilfe I 4 Geben Sie den Namen des neuen Profils im Feld Name Symbolbezeichnung ein 5 Klicken Sie auf Klonen und schlie en um das ausgew hlte Pro fil zu klonen und zum Fenster Profilmanager zur ckzukehren Tivoli SecureWay User Administration erstellt das neue Profil mit allen Standardwertegruppen und Richtlinien des geklonten Profils Befehlszeile Im folgenden Beispiel wird ein Benutzerprofil geklont wcrtprf c UserProfile region_1 ProfileManager marketing UserProfile region_2 Dabei gilt Folgendes C Gibt das zu klonende Benutzerprofil an UserProfile region_1 Gibt den Namen des Quellenprofils an ProfileManager marketing Gibt den Profilmanager an i
289. hlten Subskribenten aus um den Dialog Profile synchronisieren anzuzeigen ZS Profile synchronisieren Bisi E Verf gbare Profilarten UserProfile GroupProfile AL 4 W hlen Sie die Profilart UserProfile in der Liste Verf gbare Profilarten aus 5 Klicken Sie auf Synchronisieren um die Profildatenbank mit dem Subskribentensystem zu berpr fen Tivoli berpr ft das Profil und die Subskribentensysteme auf Unterschiede anschlie end zeigt es den Dialog Profil Systemdiskrepanzen an Der Dialog Profil Systemdiskrepanzen zeigt die Unterschiede zwischen den Benutzerkonfigurationsdateien auf den Subskri bentensystemen und dem aktuellen Profil an Sie k nnen auf nderungen festschreiben klicken um die Informationen aus den Systemdateien in das Profil zu kopieren Sie k nnen aber auch auf Schlie en klicken und die erforderlichen nderungen vornehmen indem Sie dem Profil Eintr ge manuell hinzuf gen oder Eintr ge manuell daraus l schen Anmerkung Mit einer Synchronisation wird nur die Kopie des Pro fils des verwalteten Knotens aktualisiert nicht das Profil der h chsten Ebene Tivoli SecureWay User Administration Management Handbuch 259 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten 260 Befehlszeile Sie k nnen den Befehl wchkusrs verwenden um die Benutzerdaten s tze in einer Systemdatei mit den Benutzerdatens tzen in einem Benutzerprofil zu vergleichen Wenn Sie Ben
290. hsten Verteilung zur Profilpflege verteilt werden es sei denn es werden vorher andere nderungen an diesen Benutzerdatens tzen vorgenommen Wenn vor der n chsten Verteilung zur Profilpflege andere nderungen an diesen Datens tzen vorgenommen werden werden diese Kennwort werte von den empfangenden Endpunkten ignoriert Wenn die Kennwort nderung f r Endpunkte ber die Option wpasswd L erfolgreich ausgef hrt wird treten keine Probleme auf Eine unn tige Verteilung des Datensatzes wird vermieden und lokale Kennwort nderungen werden bei einer verz gerten Verteilung nicht von Kennw rtern die mit einem Hot Flag versehen sind berschrie ben Wenn die Kennwort nderung f r Endpunkte ber die Option wpasswd L fehlschl gt treten jedoch Probleme auf Wenn die Feh ler behoben wurden m ssen Administratoren den Befehl wsetusr ausf hren um die Kennw rter des Benutzers in allen Benutzerdaten s tzen des Benutzers explizit zu ndern und dann diese Profile an die Endpunkte verteilen auf denen der Befehl wpasswd L fehlge schlagen ist Alternativ dazu kann nach der Fehlerbehebung erneut der Befehl wpasswd L f r diesen Benutzer bzw von diesem Benut zer ausgegeben werden Verwendung von Mdist Der Befehl wpasswd L verwendet in Tivoli SecureWay User Admi nistration Version 3 8 erstmals die Framework Funktion mdist um Endpunktkennw rter zeitgleich zu aktualisieren Dadurch reduziert sich die Zeit die f r die
291. ht gefunden wer den 2274 NERR_AlreadyForwarded Der angegebene Nachrichtenaliasname wurde bereits weitergeleitet 2276 NERR_AlreadyExists Der angegebene Nachrichtenaliasname ist bereits im lokalen System vorhan den 2277 NERR_TooManyNames Die maximale Anzahl an hinzugef g ten Nachrichtenaliasnamen wurde berschritten 2278 2279 NERR_DelComputerName NERR_LocalForward Der Computername kann nicht gel scht werden Nachrichten k nnen nicht an dieselbe Workstation zur ckgeschickt werden 2280 2281 NERR_GrpMsgProcessor NERR_PausedRemote Fehler im Nachrichtenprozessor der Dom ne Die Nachricht wurde weitergeleitet jedoch hat der Empf nger die Messenger Dienste angehalten 2282 NERR_BadReceive Die Nachricht wurde zwar gesendet jedoch nicht empfangen 2283 NERR_NameInUse Der Nachrichtenaliasname wird bereits verwendet Wiederholen Sie den Vorgang sp ter noch einmal 2284 NERR_MsgNotStarted Die Messenger Dienste wurden nicht gestartet 2285 NERR_NotLocalName Der Name wurde nicht auf dem loka len Computer gefunden 2286 NERR_NoForwardName Der Aliasname f r die weitergeleitete Nachricht konnte im Netzwerk nicht gefunden werden 2287 NERR_RemoteFull Die Tabelle mit den Nachrichtenalias namen auf der fernen Datenstation ist voll 2288 NERR_NameNotForwarded Nachrichten f r diesen Ali
292. i SecureWay User Administration in einer Datenbank f r Benutzerprofile gespeichert Die neuen Benutzerinformationen werden erst dann zu Systemdateien hinzugef gt wenn Sie das Profil an seine endg ltigen Endpunkte verteilen Wenn Sie einen neuen Benutzerdatensatz erstellen k nnen Sie Infor mationen f r Windows NT Windows 2000 NetWare und UNIX Benutzerkonten eingeben Dar ber hinaus k nnen Sie allgemeine Benutzerinformationen eingeben In den Schritten die unter beschrieben werden erfahren Sie wie die anderer gruppe f r ein Profil festgelegt wird Wenn Sie einen neuen Daten satz einem Profil hinzuf gen k nnen Sie Informationen manuell hin zuf gen und oder Standardwertegruppen zum Eingeben von Informationen verwenden Wenn Sie im Dialog Benutzermerkmale auf Standardeinstellungen generieren oder Hinzuf gen klicken bernimmt Tivoli SecureWay User Administration die Standardwertegruppe die f r dieses Profil festgelegt wurde Die Standardwertegruppe wird f r ein Feld nicht bernommen wenn Sie in diesem bereits Informationen eingegeben haben oder wenn Sie die Standardwertegruppe f r dieses Attribut auf Keine gesetzt haben Bei der Verwendung von Standardwertegruppen ist f r die Erstellung eines Benutzerkontos nur eine Angabe im Feld Benutzername erforderlich Anmerkung Beim ffnen einer Dialoganzeige mit Kontroll k stchen bzw Optionsfenstern werden die gesetzten Werte angezeigt Daher wird die Standardw
293. ibute w2k_context w2k_manager und w2k_membersof Anmerkung Eine Ausnahme ist der Name der prim ren Gruppe unter dem Attribut w2k_membersof der nicht im kanonischen Format angegeben wird Weitere Informationen zum Erstellen eines Windows 2000 Benutzer kontos in Tivoli SecureWay User Administration finden Sie unter Q Beim NetWare Verzeichnisdienst NDS NetWare Directory Ser vices handelt es sich um einen Informationsdatenbankdienst der mit dem Release NetWare 4 0 eingef hrt wurde und Netzwerkressourcen wie beispielsweise Benutzer Gruppen Drucker Datentr ger und andere physische Netzwerkeinheiten in einer hierarchischen Baum struktur verwaltet NDS verf gt ber Einrichtungen zum Speichern Abrufen Verwalten und Verwenden von Informationen zu Netzwerk ressourcen Die NDS Informationen werden nicht auf einem einzigen Server gespeichert sondern ber eine globale Datenbank verteilt und k nnen von allen Servern abgerufen werden Diese Datenbank ist die NetWare Directory Informationsdatenbank Die Datenbank verwaltet Ressourcen in einer hierarchischen Baumstruktur Benutzer und Systemadministratoren k nnen auf alle Netzwerkdienste zugreifen ohne den physischen Standort des Servers der den Dienst speichert kennen zu m ssen Die Bezeichnung Verzeichnis im NetWare Verzeichnisdienst bezieht sich auf die globale Datenbank Tivoli SecureWay User Administration Management Handbuch 15 Bunyemasausddnig pun Aezinueg LU
294. ichnis beibehalten um das UNIX Basisverzeichnis beizu behalten das Benutzerkonto bei Verteilung des Profils jedoch zu l schen Befehlszeile Im folgenden Beispiel wird ein Benutzerdatensatz gel scht wdelusr d UserProfile sales jtate Dabei gilt Folgendes d L scht das UNIX Basisverzeichnis des Benutzers UserProfile sales Gibt das Profil an aus dem der Benutzerdatensatz gel scht wird jtate Gibt den Namen des Benutzerdatensatzes an der gel scht wird Weitere Informationen finden Sie in der Beschreibung des Befehls wdelusr im Handbuch Tivoli SecureWay User Administration Refe rence Manual Benutzerdatens tze formatieren Mit dem Befehl wusrdbrep k nnen Sie die Attributwerte aller Benutzerdatens tze innerhalb eines Benutzerprofils formatieren Hierbei wird eine begrenzte Liste ausgegeben die in ein Tabellen kalkulationsprogramm oder in eine Datenbankanwendung importiert werden kann Anmerkung Mit dem Befehl wusrdbrep k nnen Sie die Attribut werte zwar auch anzeigen die Ausgabe ist jedoch f r den Import in ein Tabellenkalkulationsprogramm oder Tivoli SecureWay User Administration Management Handbuch 237 uoyemion 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze in eine Datenbankanwendung bestimmt Zum Anzei gen von Attributen sollten Sie den Befehl wgetusr verwenden In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind
295. ichnisse des TMR Servers m ssen Sie auf dem TMR Server den Befehl wonepassinst ausf hren damit folgende Schritte ausge f hrt werden m Suchen Sie die HTML Seiten von OnePassword unter Verwen dung von Nachrichten aus dem Nachrichtenkatalog AboutWEB PWDCatalog Tivoli SecureWay User Administration Management Handbuch 67 us4a jelsu Z Befehl wonepassinst ausf hren Anmerkung Wenn Sie ein Sprachpaket f r Tivoli SecureWay User Administration installieren m chten sollte dies vor der Ausf hrung des Befehls wonepass inst erfolgen Hierdurch wird sichergestellt dass die HTML Seiten von OnePassword in der richti gen Sprache installiert werden m Passen Sie eine der HTML Seiten von OnePassword an und erstellen Sie eine Pr fliste in der die verschiedenen Endpunkt arten der TMR identifiziert werden m Erstellen Sie dazu Kopien von den Dateien und legen Sie diese in den Verzeichnissen html und cgi des Webservers ab Nachfolgend ein Beispiel f r den Befehl wonepassinst wonepassinst https lgreninl cgi bin d Program_Files HTTP_Server htdocs d Program_Files HTTP_Server cgi bin c WINNT SYSTEM32 drivers etc Tivoli setup_env sh Dabei gilt Folgendes https lgreninl cgi bin Gibt die URL der CGI Dateien des Webservers an Anmerkung Mit diesem Argument wird auch festgelegt ob es sich um eine sichere HTTPS oder um eine nicht sichere http Verbindung handelt Aufgrund der vom Browser an den Server weit
296. icht um die Maschine des TMR Servers handelt m Ihren Benutzernamen m Ihr Kennwort Falls Sie Alle Kennw rter ndern ausgew hlt haben fahren Sie mit den Schritten 5 und 6 fort 73 W hlen Sie die Kennwortarten aus die Sie ndern m c BIS W hlen Sie die Kennwortarten aus die Sie ndern m chten T Allgemein Alle D LDAP ONT DC NetWare D OS m 03400 T PolicyDirector D RACF MT UNIX O W2K T Desktop D Oracle8 bergeben L schen Abbrechen Hilfe al EM Coon A TI for serh MB Eingabeauf RE TME Arbeits 5 W hlen Sie aus welche Kennwortart ge ndert werden soll 6 Klicken Sie auf bergeben Tivoli SecureWay User Administration Management Handbuch 117 Bunyema9ANOMUUDY E OnePassword 118 Version 3 8 Benutzerprofile einrichten Einf hrung Da Sie wahrscheinlich eine gro e Anzahl Benutzer mit Tivoli Secu reWay User Administration zu verwalten haben m ssen Sie Ihre Profile genau planen Wenn Ihre Firma zum Beispiel 50 000 Benut zer hat w rde es sich nicht empfehlen alle diese Benutzer in nur einem Benutzerprofil zu verwalten Bei einer genauen Planung erhal ten Sie Profilmanager und Profile die leicht zu verwalten sind Die NoonTide Corporation eine fiktive Firma hat beispielsweise 10 000 Mitarbeiter In dieser Firma gibt es folgende Abteilungen Marketing Marketing Verkaufsabteilung Sales Buchhaltung Accounting Personalabteilung Human Resources Unternehm
297. ie Windows NT und NetWare Gruppenzugeh rigkeiten verwaltet wer den Mit Tivoli SecureWay User Administration k nnen Sie Datens tze auf einem beliebigen verwalteten Knoten oder Endpunkt an ein Benutzer oder Gruppenprofil weitergeben Wenn Sie die Datens tze des Profils aktualisiert haben k nnen Sie das Profil an beliebige Subskribenten verteilen Dazu geh ren unter anderem m Andere Profilmanager Verwaltete Knoten NIS Dom nen NIS Network Information Services Windows NT Dom nen verwaltete Knoten oder Endpunkte Windows NT Workstations verwaltete Knoten oder Endpunkte NDS Baumstrukturen Endpunkte NetWare 3 x Server Endpunkte Tivoli SecureWay User Administration muss mit einem bekannten verwalteten Knoten oder Endpunkt kommunizieren Wenn Sie auf Ihrem NetWare Server die Datei UMBO NLM das NLM NetWare Loadable Module von Tivoli SecureWay User Administration bzw auf Ihrem Windows NT Server die ausf hrbare Datei UMBO EXE installieren behandelt Tivoli SecureWay User Administration diese Server wie Endpunkte Version 3 8 Benutzer und Gruppenprofile Benutzer und Gruppenprofile Tivoli SecureWay User Administration verwendet Benutzer und Gruppenprofile zur Verwaltung von Benutzern und Gruppen Sie k nnen ein Profil in einem Profilmanager erstellen und die Stan dardwertegruppen des Profils definieren Sie k nnen Tivoli Ressour cen wie Profilmanager NIS Dom nen UNIX Systeme Windows NT Dom nen und Net
298. ie Benutzerinformationen an das Profil angeh ngt werden sollen W hrend eines Weitergabevorgangs mit der Option zum Zusammen f gen versucht Tivoli SecureWay User Administration Benutzerin formationen aus der Quelle in die bereits im Profil vorhandenen Benutzerdatens tze einzuf gen Die Anwendung verwendet den Anmeldenamen als Schl ssel um festzulegen ob eine bereinstim mung vorliegt Wenn eine bereinstimmung gefunden wird ver gleicht die Anwendung die Betriebssystemkontoarten Wenn diese unterschiedlich sind f gt die Anwendung die Informationen in dem Datensatz zusammen Sind sie identisch gibt Tivoli SecureWay User Administration einen Fehler zur ck Wenn die Benutzerinformationen mit einem Benutzerdatensatz zusammengef gt werden werden die neuen Benutzerinformationen in den Benutzerdatensatz aufgenommen und die allgemeinen Benutzerinformationen auf Attributbasis zusammengef gt wobei die im Benutzerdatensatz vorhandenen Informationen Vorrang haben Es gibt zum Beispiel einen Datensatz im Profil in dem freddie als Anmeldename des Benutzers definiert ist Der Datensatz enth lt all gemeine Informationen und UNIX Benutzerinformationen Es gibt einen Benutzer mit demselben Anmeldenamen in der Windows NT Dom ne von der aus Sie Daten an das Benutzerprofil weiterge ben Tivoli SecureWay User Administration erkennt dass diesen bei den Benutzerdatens tzen derselbe Anmeldename zugeordnet ist Es erkennt au erdem dass de
299. ie die Option Konstante ausw hlen geben Sie einen konstanten Wert in das Feld Wert ein Wenn Sie Regul rer Ausdruck ausw hlen geben Sie einen regul ren Perl Ausdruck in das Feld Wert ein F hren Sie folgende Schritte aus wenn Sie die Option Skript ausgew hlt haben a Klicken Sie auf Skriptargumente editieren fr her Prozedurargumente editieren um den Dialog Argumente des Richtlinienskripts fr her Argumente der Richtlinien prozedur anzuzeigen Bestimmen Sie in diesem Dialog die Reihenfolge der Skriptargumente Version 3 8 Benutzerprofile einrichten 9 Argumente der Richtlinienprozedur olx Konfigurationsprofil Support in Profilmanager admin Prozedurargumente UNIX Server Pfad UNIX Anmeldename UNIX Unask Benutzername Uneingeschr nkter Netllare Kredit UNIX Benutzer ID Verbleibende noch m gliche NetWare Von NetWare 3 x verwaltete Benutzer Vorname Weitere Namen Festlegen und schlie en Festiegen Zur cksetzen schie en Hire b W hlen Sie in der Liste Attribute die Attribute aus die Sie als Skriptargumente f r das Richtlinienskript des aktuellen Attributs verwenden m chten Klicken Sie auf den Rechts pfeil um die Attribute in die Liste Skriptargumente fr her Prozedurargumente zu verschieben Sie k nnen die Reihenfolge ndern in der ein Argument auf gerufen wird indem Sie das Argument ausw hlen und auf den Aufw rtspfeil bzw den Abw rtspfe
300. ie in der Dropdown Liste Kategorie die Option NT aus 2 W hlen Sie die gew nschte Option in der Merkmalliste aus 172 Version 3 8 Informationen zu Windows NT Benutzerkonten Informationen zur Windows NT Anmeldung Mit der Option f r Windows NT Anmeldungen k nnen Sie die Anmeldeinformationen f r Windows NT eingeben 1 W hlen Sie NT Anmeldung in der Merkmalliste aus um Folgen des im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen M NT Anmeldung M Anmeldung aktivieren I Konto entsperren Kontoart Benutzer 7 Konto l uft nie ab C Kontoablaufdatum MMT Ende des tages W hlen Sie das Kontrollk stchen Anmeldung aktivieren aus um die Anmeldung dieses Benutzers zu aktivieren Geben Sie im Feld Anmeldename den Anmeldenamen des Benutzers ein Der Anmeldename kann 1 bis 20 alphanumerische Zeichen einschlie lich Leerzeichen enthalten W hlen Sie die entsprechende Kontoart in der Dropdown Liste Kontoart aus Die folgenden Optionen sind verf gbar Keine Gibt eine ung ltige Kontoart an Admin F gt diesen Benutzer der Gruppe der Dom nen administratoren hinzu Benutzer F gt diesen Benutzer der Gruppe der Dom nenbenutzer hinzu Gast F gt diesen Benutzer der Gruppe der Dom neng ste hinzu Tivoli SecureWay User Administration Management Handbuch 173 u S1 z su ep 1 z nu g 9 Informationen zu Windows NT Benutzerkonten 5 Klicken Sie auf eines d
301. ieren ID Verf gbare Profilarten UserProfile GroupProfile Abbrechen Z 3 W hlen Sie GroupProfile in der Liste Verf gbare Profilarten aus 4 Klicken Sie auf Synchronisieren um die Datenbank mit dem Subskribentensystem zu synchronisieren Tivoli berpr ft das Profil und die Subskribentensysteme auf Unterschiede anschlie end zeigt es den Dialog Profil Systemdiskrepanzen an Der Dialog Profil Systemdiskrepanzen zeigt die Unterschiede zwischen den Benutzerkonfigurationsdateien auf den Subskri bentensystemen und dem aktuellen Profil an Sie k nnen auf nderungen festschreiben klicken um die Informationen aus den Systemdateien in das Profil zu kopieren Sie k nnen aber auch auf Schlie en klicken und die erforderlichen nderungen vornehmen indem Sie dem Profil Eintr ge manuell hinzuf gen oder Eintr ge manuell daraus l schen Wenn Sie auf nderungen festschreiben klicken w hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofil merkmale aus um die nderungen an der Profildatenbank zu speichern Anmerkung Mit einer Synchronisation wird nur die Kopie des Pro fils des verwalteten Knotens aktualisiert nicht das Profil der h chsten Ebene Tivoli SecureWay User Administration Management Handbuch 323 U JJEMI A z esu jepu ddn 9 e Profildatenbank mit Systemdateien synchronisieren Befehlszeile Im folgenden Beispiel werden die Datens tze eines Gruppenprofils mit
302. il klicken um das Argument an die gew nschte Position zu verschieben Klicken Sie auf Festlegen und schlie en um die neuen Argumente hinzuzuf gen und zum Dialog Richtlinien f r G ltigkeitspr fung editieren zur ckzukehren Klicken Sie auf Skripthauptteil editieren fr her Prozedurhauptteil editieren im Dialog Richtlinien f r G ltigkeitspr fung editieren um den Dialog Richtlinien skript editieren fr her Richtlinienprozedur editieren anzu zeigen Tivoli SecureWay User Administration Management Handbuch 141 UauuOuuIg a lJo d az nuag e Benutzerprofile einrichten 142 8 Richtlinienprozedur editieren ioj xj Konfigurationsprofil Support in Profilmanager admin Richtlinienprozedur f r Attribut uid lbinish Component Name user_validate_uid Revision 1 Description Provides a point of modification to allow a system administrator to customize the policy associated with user objects in a specific management domain When a requestto setthe user ID is made itis validated against the policy Festlegen und schlie en Festiegen Zur cksetzen Schie en ol e Bearbeiten Sie den Hauptteil des Skripts f Klicken Sie auf Festlegen und schlie en um das Skript in der Datenbank zu speichern und zum Dialog Richtlinien f r G ltigkeitspr fung editieren zur ckzukehren Wiederholen Sie diesen Vorgang f r jedes Attribut des Daten satzes 6 Klick
303. immte Zeit lang eine vorgegebene Anzahl an Tagen nicht am System anmeldet Dieses Attribut kann auch angewendet werden wenn ein Administrator das Profil eines Benutzers widerruft RACF Gruppen Jeder RACF Benutzer geh rt mindestens einer RACF Gruppe an Ein Benutzer der einer Gruppe angeh rt ist mit der Gruppe verbun den RACF Gruppen k nnen unterschiedlichen Zwecken dienen RACF Gruppen dienen normalerweise folgenden Zwecken m Mit Hilfe von Ressourcenschutzgruppen k nnen Sie Datens tze sch tzen Es gibt zwei Arten von Datens tzen Benutzerdaten s tze und Gruppendatens tze Das prim re Qualifikations merkmal f r den Zugriff auf einen Benutzerdatensatz ist die Benutzer ID F r alle anderen Datens tze wurde das prim re Qualifikationsmerkmal als RACF Gruppe definiert Wenn Sie beispielsweise den Datensatz CICS41 LOADLIB sch tzen m chten m ssen Sie eine Gruppe mit dem Namen CICS41 defi nieren Sie k nnen dann zu Ihrer Sicherheit RACF Datensatz profile definieren die mit CICS41 beginnen Administrative Gruppen k nnen zu Informationszwecken ver wendet werden blicherweise werden solche Gruppen zum Erstellen einer Struktur die die Organisation der Abteilungen und Ressorts Ihres Unternehmens abbildet verwendet Sie k n nen dann die Benutzer in einer Abteilung der entsprechenden Gruppe zuordnen Wenn Sie wissen m ssen welche Personen f r eine bestimmte Abteilung arbeiten k nnen Sie die Gruppe die f r diese
304. in Gro buchstaben umgesetzt d h Sie k nnen die Anmeldenamen im Tivoli Benutzerprofil in Kleinbuchstaben speichern Bei der Installation wird dem Profil f r Benutzer ID ein Skript f r die Standardwertegruppe mit demselben Wert wie die allge meine Anmelde ID hinzugef gt Es wird kein G ltigkeits pr fungsskript f r die Benutzer ID zur Verf gung gestellt Geben Sie im Feld Kennwort das OS 2 Kennwort des Benutzers ein Dieses Kennwort unterscheidet sich vom allgemeinen Kenn wort und unterliegt den OS 2 Kennwortkonventionen Bei der Installation wird dem Profil f r Benutzer ID ein Skript f r die Standardwertegruppe mit demselben Wert wie das allge meine Kennwort hinzugef gt Es wird kein G ltigkeitspr fungs skript f r das Kennwort zur Verf gung gestellt Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten W hlen Sie die Option Kennwort erforderlich aus wenn f r dieses Benutzerkonto auf dem OS 2 Zielsystem die Eingabe eines Kennworts erforderlich ist Andernfalls ist die Angabe eines Kennworts optional W hlen Sie die Option Kennwort nur durch Administrator nderbar aus wenn der Benutzer keine M glichkeit erhalten soll das eigene Kennwort mit den unter OS 2 zur Verf gung ste henden Funktionen zu ndern In diesem Fall kann das Kennwort nur durch den Administrator oder durch Tivoli Verteilungen ge ndert werden Andernfalls k nnen die Benutzer das Kennwort jederzeit unter OS 2 ndern Wenn Sie
305. ine Gruppe ausw hlen und als prim re Gruppe definieren All diese Gruppen haben das Pr fix Dom ne Sie k nnen Benutzern auch andere definierte Gruppen zuordnen Weitere Informationen hierzu finden Sie im Abschnitt Gruppen ver walten in der MSDN Dokumentation von Microsoft Tivoli unter Windows 2000 verwenden Wenn Sie Windows 2000 Active Directory einen Benutzer hinzuf gen wird in dem Dom nencontainer der Dom ne in der sich der Benutzerdatensatz befindet ein Benutzerobjekt erstellt In der folgenden Tabelle finden Sie die Merkmalwerte die Sie beim Erstellen eines Benutzers mindestens angeben m ssen Die einzigen Elemente die Sie angeben m ssen sind der allgemeine Name CN Kontext und der SAM Kontoname Die anderen Elemente k nnen auf die Standardwerte gesetzt werden solch ein Konto ist jedoch f r die Verwendung mit Active Directory wenig hilfreich Tivoli SecureWay User Administration Management Handbuch 13 Bunyemasausddnig pun Jezinueg LU Konzepte f r plattformspezifische Benutzerverwaltung 14 Merkmal Wert Vollst ndiger Name Leer Allgemeiner Name CN Muss explizit angegeben werden Kontext Muss explizit angegeben werden Vorname Leer Nachname Leer Benutzer Principal Name UPN Leer SAM Kontoname Muss explizit angegeben werden Kennwort Leer Benutzer muss Kennwort ndern WAHR Benutzer kann Kennwort nicht FALSCH nder
306. inem Benutzerdaten satz gespeichert sind In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Tivoli SecureWay User Administration Management Handbuch 229 uoyemion 9zjesusjep4szinuag Z Allgemeine Vorg nge f r Benutzerdatens tze Aktivit t Umgebung Berechtigungsklassen Benutzerkontodatensatz anzeigen Benutzerprofil user Admin_Add_Account Admin_Del_Account Admin_Edit_Account Admin Mod Account Admin View Account Sie k nnen einen Benutzerdatensatz ber die Tivoli Arbeits oberfl che oder die Befehlszeile anzeigen Arbeitsoberfl che F hren Sie folgende Schritte aus um einen Benutzerdatensatz anzu zeigen 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie anzeigen m chten Weitere Informationen zur Ver wendung der Benutzersuchfunktion finden Sie unter 2 ffnen Sie in der Benutzersuchfunktion den Dialog Benutzer profilmerkmale Benutzerprofilmerkmale JO Profil Editieren Ansicht Hilfe Kennung festlegen Benutzerprofil Benutzer Subskriptionspfad Jadmin Benutzer UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNI 4 Gesamteintr ge iapprich liapprich ne userid1 Juseridt nie uzeller uzeller ne Wiriesch wtriesch ne H Benutzer hinzur gen Benutzer l
307. inheit wird nicht gemeinsam benutzt 2312 NERR_ClientNameNotFound Es ist keine Sitzung f r den angege benen Computernamen vorhanden 2314 NERR_FileldNotFound Es ist keine offene Datei mit der angegebenen ID Nummer vorhanden 2315 NERR_ExecFailure Beim Ausf hren eines Fern verwaltungsbefehls ist ein Fehler auf getreten 2316 NERR_TmpFile Beim ffnen einer fernen tempor ren Datei ist ein Fehler aufgetreten 2317 2318 NERR_TooMuchData NERR_DeviceShareConflict Die Daten die von einem fernen Verwaltungsbefehl zur ckgegeben wurden wurden auf 64 KB gek rzt Diese Einheit kann nicht gleichzeitig als gespoolte und nicht gespoolte Res source verwendet werden 2319 NERR_BrowserTableIncomplete Die Daten in der Serverliste sind m glicherweise nicht korrekt 2320 NERR_NotLocalDomain Der Computer ist in der angegebenen Dom ne nicht aktiv 2321 NERR_RedirectionsNotFound 434 Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2322 NERR_LocalPathWarning 2323 NERR_AssignmentNotMade 2324 NERR_ItemNotAssigned 2325 2326 NERR_CantAddAssignments NERR_CantSetAssignments 2327 NERR_DomainSpecificInfo 2328 NERR_TooManyLogonAsn 2329 NERR_DASDNOoAPARs 2331 NERR_DevInvalidOpCode Die Operation ist f r diese Einheit ung ltig 2332 NERR_DevNotFoun
308. inistration Management Handbuch 303 uoyemion ozjesuspepusddnig e Neue Datens tze f r Gruppenkonten erstellen Neue Datens tze f r Gruppenkonten erstellen Datens tze f r Gruppenkontos enthalten alle Informationen die f r das Verwalten eines Gruppenkonten ben tigt werden Wenn Sie einen neuen Datensatz f r ein Gruppenkonto erstellen speichert Tivoli SecureWay User Administration die Kontoinformationen in einer Gruppenprofildatenbank Die neuen Gruppenkontoinformationen wer den Systemdateien erst dann hinzugef gt wenn Sie das Profil an das endg ltige Ziel verteilen Sie k nnen die Datens tze mit dem Dialog Datensatz dem Profil hinzuf gen nacheinander erstellen Sie k nnen den Feldern jedes Gruppendatensatzes die folgenden Informationsarten hinzuf gen H Gruppenname Gruppen ID GID Kommentare zur Gruppe Gruppenmitglieder Ob die Subskribenten den Datensatz ndern k nnen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Datensatz eines Gruppen Gruppenprofil admin kontos erstellen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che 1 Klicken Sie in einem Profilmanager doppelt auf das Gruppen profil dem Sie die neue Gruppe hinzuf gen m chten Das Fens ter Gruppenprofilmerkmale wird angezei
309. inrichten Anmerkung Die Richtlinie f r jedes Profilattribut wird in dem ent sprechenden Attributsegment in einem speziellen Datensatz f r das Attribut im Standarddatensatz und im Pr fdatensatz gespeichert Wenn Sie beispielsweise das urspr ngliche Skript f r die Standardrichtlinie der Gruppen ID durch eine Konstante ersetzen und anschlie end die Richtlinienart wieder in das Skript ndern so steht der Inhalt des urspr nglichen Skripts nicht mehr zur Verf gung Sie k nnen jedoch dieses Skript aus einem unver nderten Profil extrahieren und damit den urspr nglichen Inhalt wiederherstellen Plattformspezifische Standardwertegruppen inaktivieren Tivoli SecureWay User Administration stellt Standardwertegruppen Skripts f r UNIX NetWare Windows NT und Windows 2000 Benutzerkonten bereit Wenn Sie ein neues Benutzerkonto erstellen definiert die Anwendung standardm ig Attribute f r alle drei Plattformtypen Wenn Ihre Netzwerkumgebung einen oder mehrere dieser Plattformtypen nicht enth lt dann wird der Prozess zum Erstellen eines neuen Benutzers unn tig verlangsamt Wenn Sie zum Beispiel NetWare nicht verwenden k nnen Sie die Standardwerte gruppen f r NetWare inaktivieren Folglich wird die zum Erstellen eines Benutzers ben tigte Zeit geringer da die Skripts f r die Standardwertegruppen f r NetWare nicht im Hintergrund ausgef hrt werden Mit dem Befehl wsetdefpol k nnen Sie die plattformspezifischen Standardwertegrup
310. ion ozjesuspepusddnig e Von einer Profilkopie in eine andere wechseln 2 W hlen Sie Zu Profil auf im Men Profil aus um den Dialog Zu Profil anzuzeigen 2 Zu Profil olx teo kimberly Zu und anzeigen Zu und editieren A 3 W hlen Sie den Subskribenten mit der Kopie des anzuzeigenden Profils aus 4 W hlen Sie die Kopie des anzuzeigenden Profils aus 5 Klicken Sie auf Zu und anzeigen bzw Zu und editieren um die Profilkopie anzuzeigen bzw zu editieren Gruppendatens tze sortieren Sie k nnen die Reihenfolge festlegen in der die Gruppendatens tze im Fenster Gruppenprofilmerkmale angezeigt werden Wenn Sie jedoch das Fenster schlie en geht die Sortierung verloren Wenn Sie das Fenster erneut ffnen werden die Datens tze in der Standard 330 reihenfolge angezeigt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppendatens tze sor tieren Gruppenprofil user Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren Version 3 8 Gruppendatens tze sortieren F hren Sie folgende Schritte aus um Gruppendatens tze zu sortie ren 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Gruppenprofilmerkmale anzuzeigen
311. ion ist auf dieser Maschine bereits installiert i ALDAPEXT IND Gibt die Indexdatei an ber die Tivoli SecureWay User Administration for LDAP Server Package installiert wird Im folgenden Beispiel wird Tivoli SecureWay User Administration Export SSL LDAP Connection installiert winstall c cdrom s graceland i ALDAPCON IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s graceland Gibt an dass der verwaltete Knoten graceland der Installationsserver ist Tivoli SecureWay User Admi nistration ist auf dieser Maschine bereits installiert i ALDAPCON IND Gibt die Indexdatei an ber die Tivoli SecureWay User Administration Export SSL LDAP Connection installiert wird Weitere Informationen finden Sie im Abschnitt zum Befehl winstall im Handbuch Tivoli Framework Reference Manual Version 3 8 OS 2 Pakete installieren OS 2 Pakete installieren Tivoli SecureWay User Administration for OS 2 kann zusammen mit Tivoli SecureWay User Administration f r die Verwaltung von Benutzerkonten unter OS 2 Warp eingesetzt werden F r alle Benutzerinformationen die ber die grafische OS 2 Benutzer schnittstelle verwaltet werden k nnen ist auch eine Verwaltung ber Tivoli SecureWay User Administration for OS 2 m glich Arbeitsoberfl che F hren Sie folgende Schritte aus um das OS 2 Paket ber die Tivo li Arbeitsoberfl che zu installieren 1 W hlen Sie im Men Arbeitsoberfl che die Option Installier
312. iste Clients f r die Installation und der Liste Ver f gbare Clients zu verschieben Standardm ig sind alle Clients in der aktuellen TMR in der Liste Clients f r die Installation enthalten 54 Version 3 8 Tivoli SecureWay User Administration Gateway Package installieren 4 Klicken Sie auf Installieren und schlie en wenn nur ein Pro dukt installiert werden soll Sollen mehrere Produkte installiert werden klicken Sie auf Installieren um in den Dialog Produkt installieren zur ckzukehren Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten 5 W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben 6 Klicken Sie auf Schlie en um den Dialog zu schlie en Tivoli SecureWay User Administration ist nun auf den ausgew hlten verwalteten Knoten installiert Befehlszeile Im folgenden Beispiel wird das Tivoli SecureWay User Administra tion Gateway Package installiert winstall c cdro
313. iste Kategorie aus Im Dialog Benutzermerkmale wird ein neuer Bereich ange zeigt in dem Sie Benutzerattribute setzen k nnen Anmerkung Sie k nnen eine Betriebssystemart in der Drop down Liste Kategorie ausw hlen um die Anzahl der angezeigten Kategorien zu begrenzen Geben Sie die Benutzerinformationen f r diesen Benutzer ein Weitere Einzelheiten zum Eingeben von Benutzerinformationen f r jede Betriebssystemart finden Sie in den folgenden Abschnitten Klicken Sie auf Hinzuf gen und schlie en um diesen Benutzerdatensatz dem Benutzerprofil hinzuzuf gen Wenn Sie noch nicht auf Standardeinstellungen generieren geklickt haben bernimmt Tivoli SecureWay User Administration in den Feldern f r die Standardwertegruppen definiert wurden und die noch leer sind die entsprechenden Werte Tivoli SecureWay User Administration Management Handbuch 159 ugj a s a 9zjesusjep szinuag 9 Allgemeine Informationen zu Benutzerkonten Allgemeine Informationen zu Benutzerkonten Bestimmte Benutzerinformationen sind unabh ngig vom verwendeten Betriebssystem Folgendes geh rt zu den allgemeinen Benutzerin formationen m Benutzer ID m Postadresse Informationen zu Subskribenten m Informationen zur Sicherheitsgruppe m Informationen zur Sicherheitsrichtlinie F hren Sie folgende Schritte aus um allgemeine Informationen zu Benutzerkonten einzugeben 1 W hlen Sie in der Dropdown Liste Kategorie die Option Allge mein aus
314. it tsregeln nicht da in den ersten 8 Zeichen folgender Fall aufgetreten ist enth lt ein Zeichen das mehr als 2 Male verwendet wird enth lt weniger als 1 alphanumerisches Zeichen enth lt weniger als 4 Buchstaben Tivoli SecureWay User Administration Management Handbuch 105 Bunyema9aAuOMUUDY E Leistungsspektrum von wpasswd 106 enth lt weniger als 1 Kleinbuchstaben enth lt weniger als 1 numerisches Zeichen enth lt weniger als 1 Sonderzeichen enth lt weniger als 1 Gro buchstaben Verwendung durch den Endbenutzer oder Verwen dung durch den Administrator Endbenutzern und Tivoli Administratoren denen die Berechtigungs klasse PasswordModifierRole bzw user zugeordnet ist stehen f r den Befehl wpasswd unterschiedliche Optionen zur Verf gung Der Hauptunterschied besteht darin dass Administratoren dazu berechtigt sind Kennw rter anderer Benutzer zu ndern und Endbenutzer ber diese Berechtigung nicht verf gen 1 Administratoren k nnen den Benutzernamen angeben dessen Kennw rter ge ndert werden sollen Endbenutzer k nnen dies nicht tun da sie nur Operationen ausf hren d rfen die sie selbst betreffen Die Identit t von Endbenutzern wird berpr ft d h sie m ssen ihre alten Kennw rter angeben Die Identit t von Administratoren wird anhand ihrer Tivoli Berechtigungsklassen berpr ft so dass f r Administratoren keine weitere Identit tspr fung erforderlich ist Administratoren m
315. it den in diesem Profil definierten Werten zu berschreiben Verwenden Sie diese Option wenn Sie die Unterschiede zwischen den Profi len der Subskribenten nicht beibehalten m chten Tivoli SecureWay User Administration Management Handbuch 301 us y9L1ulo a Jo dusddniyg oe Gruppenprofile verwalten Anmerkung Wenn Sie dieses Optionsfeld verwenden wird der gesamte Profilinhalt auf den Endpunkt geschrie ben Alle vorgenommenen nderungen werden berschrieben 5 Klicken Sie auf Festlegen und schlie en um die Standard optionen festzulegen und zum Dialog Gruppenprofilmerkmale zur ckzukehren 302 Version 3 8 Gruppendatens tze verwalten Die Informationen der Gruppendatens tze sind in einer Gruppen profildatenbank gespeichert Die neuen Gruppenkontoinformationen werden Systemdateien erst dann hinzugef gt wenn Sie das Profil an das endg ltige Ziel verteilen Sie k nnen die Datens tze nacheinan der mit dem Dialog Datensatz zu Profil hinzuf gen erstellen In diesem Abschnitt erfahren Sie wie die Gruppenkontodatens tze verwaltet werden Folgende Themen werden beschrieben Einen Gruppendatensatz erstellen Gruppendatensatz editieren Gruppendatens tze anhand der Richtlinien berpr fen Gruppendatensatz l schen Gruppenprofile an Subskribenten verteilen Kopien von Gruppendatens tzen mit der Tivoli Datenbank abru fen m Gruppendatens tze mit der Tivoli Datenbank synchronisieren Tivoli SecureWay User Adm
316. iterge ben f hrt Tivoli SecureWay User Administration keine Standard wertegruppe f r die Attribute der Benutzerdatens tze aus Die Werte die in den Systemdateien oder Datenbanken definiert sind werden in die Benutzerdatens tze kopiert Die Richtlinie f r G ltigkeitspr fung wird bei der Datenweitergabe ausgef hrt um vor dem Hinzuf gen von Datens tzen im Profil sicherzustellen dass alle Informationen der vorgegebenen Richtlinie entsprechen Wenn Sie Standardwerte f r gef llte Benutzerdatens tze generieren m chten verwenden Sie den Befehl wgenusrdef Eine Beschreibung dieses Befehls finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual Mit dem Befehl wpopusrs k nnen Sie Daten aus der in einer Datei angegebenen Liste mit Benutzern an ein Benutzerprofil weitergeben Dadurch kann die Anzahl der f r das Profil erstellten Benutzerdaten s tze verringert werden Wenn Sie aus einer Datei Daten an NetWa re Datens tze weitergeben m ssen in der Datei Anmeldenamen im Format Anmeldename Kontext Kontext definiert sein Der Anmeldename muss im angegebenen Kontext definiert werden Wei tere Informationen finden Sie in der Beschreibung des Befehls wpopusrs im Handbuch Tivoli SecureWay User Administration Refe rence Manual Bevor Sie an ein Benutzerprofil Daten aus einem NetWare Endpunkt weitergeben m ssen Sie zun chst den Befehl wsetnds ausf hren Mit dem Befehl wsetnds wird das Konto gesetzt das f r
317. itor SRM berpr ft den Zugriff auf Objekte und Ressourcen z B Dateien Verzeichnisse Drucker usw Er sch tzt dabei alle Ressourcen vor unbefugten Zugriffen oder nderungen und generiert die entsprechenden berwachungs nachrichten Ein direkter Ressourcenzugriff durch Benutzer ist in Windows NT nicht m glich Benutzeranforderungen f r den Zugriff auf eine Ressource m ssen von SRM berpr ft werden 6 Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung Benutzeranmeldung Der Benutzer muss zum Anmelden am System die Tasten kombination Strg Alt Entf dr cken um das Dialogfenster Anmeldeinformationen anzuzeigen Hier muss er einen Benutzern amen und ein Kennwort eingeben und sich entscheiden ob er sich am lokalen Computer oder an der Dom ne anmelden m chte Das System berpr ft daraufhin in der SAM Datenbank ob der Benutzer vorhanden ist und ob ein g ltiges Kennwort eingegeben wurde Verf gt der Benutzer ber ein Konto und hat er ein g ltiges Kennwort eingegeben erstellt das Sicherheitssubsystem ein Zugriffs Token Mit diesem Token wird der Benutzer identifiziert Es enth lt Informationen wie die Sicherheits ID des Benutzers den Benutzern amen sowie die Gruppen denen der Benutzer angeh rt Dieses Zugriffs Token bzw eine Kopie wird jedem vom Benutzer gestarteten Prozess zugeordnet Die Kombination aus Zugriffs Token und Prozesszuordnung wird als Subjekt bezeichnet Beim Zugriff auf eine Resso
318. ityContainerGroup Security partial dialog Anmerkung Die zwei Textgrafikobjekte haben dieselben Namen ssn und badge f r die neuen Attribute wie die mit dem Befehl waddprop erstellten Attri bute 2 Erstellen Sie die Unterkategorie Security die der Kategorie General zugeordnet ist wertusrsubcat m Security c General Security Im obigen Befehlsbeispiel wird die Unterkategorie Security erstellt und der Kategorie General und der DSL Datei Security zugeordnet 3 Kompilieren Sie den DSL Code Beispiel ds tmp Security ds gt tmp Security d Tivoli SecureWay User Administration Management Handbuch 353 uassedue Aem93AN99S IJOAIL LL Beispiel einer Dialoganpassung 4 F gen Sie den neuen Dialog in die Darstellungsressource ein Beispiel wputdialog r UserGui Security lt tmp Security d Um den kompilierten Dialog Security d der Unterkategorie Secu rity zuzuordnen wenn Sie neue Kategorien oder Unterkategorien hinzuf gen verwenden Sie immer die Darstellungsressource UserGui 354 Version 3 8 Weitere Themen Die hier behandelten Themen sind nicht f r alle Benutzer gedacht In den folgenden Abschnitten werden bestimmte interne Funktionen von Tivoli SecureWay User Administration und der unterst tzenden Framework Komponenten erl utert Folgende Themen werden behan delt Produktgeschichte CCMS der Anwendungsdienst und Mechanismus zur Daten speicherung wird von Tivoli Framework zur Unterst t
319. kann es Patente oder Patentanmeldungen von Tivoli Systems oder IBM geben Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden Lizenzanforderungen sind schriftlich an IBM Europe Director of Licensing 92066 Paris La Defense Cedex France zu richten Anfragen an obige Adresse m ssen auf Englisch formuliert werden Inhaltsverzeichnis VOIWON TEE xvii Zielsmppe ans p da ee n eaa r ee xvii Inhalt dieses Handbuch xvii Ver ftentlichungen 2 ereesriispecupe isere nebenan xix Erforderliche Referenzliteratur n n n unnan xix Onlinever ffentlichungen lt ses css aama ias acna a a nenn XX Ver ffentlichungen bestellen xxi R ckmeldungen zu Ver ffentlichungen 222222220 xxi Kundenunterst tzung anfordemm aaau xxi In diesem Handbuch verwendete Konventionen ssssssau ununun xxii In dieser Erg nzung verwendete Konventionen e xxii Symbole une asien een een un xxiii Kapitel 1 Einf hrung in die Benutzer und Gruppen verwaltung WEE 1 Konzepte f r plattformspezifische Benutzerverwaltung 3 UNIX Plattf rmen 1 EE AN KEE een 3 Benutzeranmeldung und Authentifizierung o n nananana 3 Benutzer und Gruppen 4 Network Information System 5 Windows NI 8 une Eeer ea 5 Benutzerauthentifizierung 5 Local Security AUthOrify seres ses 222222 nennen 6 Security Account Manager 6 Security Reference Monitor 222222222 s essen 6 Benutzeranmeld
320. keiten um nur das allgemeine Kennwort zu ndern und die Weitergabe zu unterdr cken Zum einen k nnen Sie das LDAP Kennwort das das Attribut des allgemeinen Kennworts sso_pass word als endpunktartspezifisches Kennwortattribut verwendet ndern wpasswd c LDAP Benutzerl Zum anderen k nnen Sie die vorhandenen Kennw lrter f r die defi nierten Endpunktartkennw rter angeben Dadurch wird nur das allge meine Kennwort ge ndert wpasswd cp allg KW p vorh UNIX KW UserProfile upl Benutzerl Im oben angegebenen Beispiel entspricht das angegebene UNIX Kennwort dem vorhandenen Kennwort so dass das Hot Flag und die Versionsnummer f r das UNIX Kennwort nicht gesetzt bzw ge ndert werden 90 Version 3 8 Kennw rter und Endpunktarten Kennwort nderung durch Benutzer steuern Einigen Endpunktarten NetWare NT OS 2 und UNIX ist ein Attri but zugeordnet ber das ein Administrator steuern kann ob ein End benutzer dazu berechtigt ist Benutzerkennw rter zu ndern Diese Attribute werden bei der Verteilung von Benutzerprofilen ber cksich tigt wenn ein Endbenutzer nicht dazu berechtigt ist ein Kennwort zu ndern wird das Endpunktkennwort jedes Mal von einem verteil ten Kennwort berschrieben wenn eine Push Operation f r den Benutzerdatensatz ausgef hrt wird Einige Plattformen AIX OS 2 stellen eine systemeigene Unterst tzung f r die allein Administrato ren vorbehaltene Kennwortsteuerung zur Verf gung
321. kmale anzuzeigen NetWare Workstations Ee Cl 2 Geben Sie den Namen einer NetWare Workstation ein und kli cken Sie auf Hinzuf gen Der Name der Workstation wird der Liste hinzugef gt Wiederholen Sie diesen Schritt so oft es erfor derlich ist ODER Klicken Sie auf Durchsuchen um den Dialog Dienst Browser f r NetWare Verzeichnisse aufzurufen und dort nach einer bestimmten Workstation zu suchen Weitere Informationen zu diesem Dialog finden Sie unter Die Browse NetWare 208 Version 3 8 Informationen zu NetWare Benutzerkonten Dienst Browser f r NetWare Verzeichnisse verwenden In vielen der NetWare Anzeigen kann der Dienst Browser f r Net Ware Verzeichnisse ber eine entsprechende Schaltfl che aufgerufen werden Mit diesem Browser k nnen Sie NetWare Objekte ausw h len indem Sie einen Knoten oder einen bzw mehrere Kontexte durchsuchen Bei Klicken auf diese Schaltfl che wird folgender Dialog angezeigt d Dienst Browser f r NetWare Yerzeichnisse W hlen Sie in der NDS Baustruktur ein Objekt aus Netware Netyare Knoten Kontexte Objekte Ausw hlen und schlie en Schlie en 1 Klicken Sie doppelt auf einen in der Liste NetWare Knoten angezeigten Knoten Der Dialog wird aktualisiert und zeigt in der Liste Kontexte die vorhandenen Kontexte an 2 Klicken Sie doppelt auf eine Option in der Liste Kontexte Dar aufhin wird in der Liste Objekte eine Reihe von
322. konfigurationsdateien direkt editiert werden stimmt das Profil nicht mehr mit den Systemdateien berein f r die es die Informationen bereitstellt Das Synchronisieren des Profils und seiner zugeh rigen Datenbank mit Systemdateien zeigt Ihnen welche Datens tze nicht mit den Eintr gen in der Systemdatei bereinstim men Anschlie end wird Ihnen aufgezeigt wie Sie das Profil mit der Systemdatei abgleichen k nnen In der folgenden Tabelle werden die Umgebung und die Berechtigungsklasse die f r diese Task erforder lich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Profildatenbank mit Gruppenprofil admin Systemdateien synchro nisieren Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Tivoli SecureWay User Administration Management Handbuch 321 uoyemion azjesuspepusddnug e Profildatenbank mit Systemdateien synchronisieren Arbeitsoberfl che F hren Sie folgende Schritte aus um die Profildatenbank mit Systemdateien zu synchronisieren 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Subskribenten des Profilmanagers um das Fenster Profil manager anzuzeigen Profilmanager 2 W hlen Sie Synchronisieren im Kontextmen des Symbols eines verwalteten Knotens aus um den Dialog Profile synchronisieren anzuzeigen 322 Version 3 8 Profildatenbank mit Systemdateien synchronisieren 23 Profile synchronis
323. konnte NICHT in netrc gefunden werden tmp dddd Es wird ein Benutzerkonto ben tigt Bitte geben Sie einen Namen ein bzw dr cken Sie die Eingabetaste zur Verwendung eines Standardwerts Anmeldename f r rocket QSECOFR nlloyd Geben Sie ein neues Kennwort f r nlloyd ein Zur ckgegebene Gesamtmenge 117250 root ibmtmpl 167 1s tmp dddd usrO usrl usr2 usr3 usr4 usr5 usr6 usr7 Diese Befehlsfolge erstellt im Zielverzeichnis eine geordnete Liste mit Dateien Sie k nnen diese Dateien mit dem Befehl wpopusrs verwenden um Daten aus den angegebenen Dateien an ein Benutzer profil weiterzugeben AS 400 spezifische Benutzerinformationen In der folgenden Tabelle werden die AS 400 Attribute und die zuge h rigen Werte die durch die Befehle CHGUSRPRF CHGUS RAUD und DLTUSRPRF zugeordnet werden angezeigt Bei Ver wendung der Tivoli Arbeitsoberfl che werden diese Werte mit den AS 400 Attributen angezeigt Bei Verwendung der Befehlszeile m s sen Sie die AS 400 Attribute mit den zugeh rigen Werten eingeben Weitere Informationen zum Erstellen neuer Benutzerkonten ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile finden Sie im Tivoli SecureWay User Administration Management Handbuch 386 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_Accounting_Code BLANK Gibt den Berechnungscode an der diesem Endpunktname f Benutzerprofil zugeordn
324. kribenten verteilt einschlie lich der Systemdateien UserProfile development Gibt den Namen des Profils an das verteilt werden soll ManagedNode rushmore Gibt den Namen des Subskribenten an an den das Profil verteilt wird Weitere Informationen zur Verteilung von Benutzerprofilinforma tionen und zu deren Planung finden Sie in der Beschreibung der Befehle wdistrib und wschedjob im Handbuch Tivoli Framework Reference Manual Benutzerdatens tze verwalten Nachdem Sie die erforderlichen Basisvorg nge zum Definieren und Verteilen von Benutzerprofilen ausgef hrt haben m ssen Sie m gli cherweise einige Vorg nge zur Datenpflege ausf hren um sicherzu stellen dass die in einem Benutzerprofil enthaltenen Informationen auf dem aktuellen Stand bleiben 248 Version 3 8 Benutzerdatens tze verwalten F hren Sie die folgenden Prozeduren durch um Ihre Benutzerdaten s tze zu verwalten Benutzerdatens tze kopieren Durch das Kopieren von Benutzerdatens tzen aus einem Profil in ein anderes wird eine exakte Kopie der Benutzerkontodatens tze aus dem Quellenprofil in dem vorhandenen Zielprofil erstellt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Benutzerdatens tze zwi schen Benutzerprofilen kopieren Benutzerprofil admin Admin_Edit_Account Admin Add Account
325. ktiv und kann keine Steueroperationen akzeptieren 2159 NERR_DestInvalidOp Diese Anforderung an die Drucker zieladresse enth lt eine ung ltige Steuerfunktion 2160 NERR_ProcNoRespond Der Druckerprozessor antwortet nicht 2161 NERR_SpoolerNotLoaded Der Spooler ist nicht aktiv 2162 2163 NERR_DestInvalidState NERR_QInvalidState Die angegebene Operation kann wegen des momentanen Status der Ausgabeeinheit nicht ausgef hrt wer den Die angegebene Operation kann wegen des momentanen Status der Druckwarteschlange nicht ausgef hrt werden 2164 NERR_JobInvalidState Die angegebene Operation kann wegen des momentanen Status des Druckjobs nicht ausgef hrt werden 2165 Tivoli SecureWay User Administration Management Handbuch NERR_SpoolNoMemory Bei der Zuordnung von Speicherplatz an den Spooler ist ein Fehler aufge treten 429 usyemion 49z4nuag 2 SO 9 OS 2 Ergebniscodes 430 Fehler Definition Anmerkungen 2166 NERR_DriverNotFound Der Einheitentreiber ist nicht vorhan den 2167 NERR_DataTypelnvalid Der Datentyp wird vom Prozessor nicht unterst tzt 2168 NERR_ProcNotFound Der Druckprozessor ist nicht instal liert worden 2180 NERR_ServiceTableLocked Der Dienst reagiert nicht auf Steuerungsaktionen 2181 NERR_ServiceTableFull Die Diensttabelle ist voll 2182 NERR_Servicelns
326. ktivieren Sie die Steuerkomponente f r die Pr fprotokollierung die sich auf dem TMR Server befindet Au erdem geben Sie mit dem Befehl die Pr fprotokollparameter an In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Version 3 8 Pr fprotokollierung aktivieren Aktivit t Umgebung Berechtigungsklasse Pr fprotokollierung aktivie TMR admin ren Sie k nnen diese Task nur ber die Befehlszeile ausf hren Im folgenden Beispiel werden die Steuerkomponente f r die Proto kollierung aktiviert sowie der Name und die maximale Gr e der Pr fprotokolldatei angegeben wusraudit 1 1 f server directory audit log s 2 Dabei gilt Folgendes 11 Aktiviert die Steuerkomponente f r die Pr fprotokollierung f server directory audit log Gibt den vollst ndigen Pfad der Pr fprotokolldatei an s 2 Gibt an dass die maximale Gr e der Pr fprotokolldatei 2 MB betr gt Sie k nnen auch angeben ob die Pr fprotokolldatei beim Erreichen der maximalen Gr e archiviert oder gel scht werden soll Au er dem k nnen Sie angeben ob die Pr fprotokolldatens tze zun chst zwischengespeichert oder direkt in die Pr fprotokolldatei geschrieben werden sollen Verwenden Sie hierzu folgende Parameter a ENABLED gibt an dass die Pr fprotokolldatei archiviert werden soll DISABLED gibt an dass die Pr fprotokolldatei beim Errei ch
327. l berechtigungen f r einen Benutzer festlegen Diese Berechtigungen gelten nur f r RAS Server Remote Access Service 1 186 W hlen Sie in der Merkmalliste die Option Windows 2000 Fernzugriff aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Windows 2000 Fernzugriff Einw hlberechtigung erteilen I R ckruf Kein R ckruf C von Anrufer festgelegt C Bereits festgelegt W hlen Sie das Kontrollk stchen Einw hlberechtigung erteilen aus um dem Benutzer den RAS Zugriff zu erm glichen Bei Aktivierung der Windows 2000 RAS R ckrufoption stellt der Benutzer ber einen Anruf eine Verbindung zum RAS Server her Der RAS Server trennt die Verbindung und ruft unmittelbar danach die vorgegebene bzw die vom Benutzer angegebene Ruf nummer zur ck Klicken Sie auf eines der folgenden Options felder um die R ckrufoption f r den Benutzer festzulegen Kein R ckruf Die R ckruffunktion ist nicht aktiviert Der Benutzer kann sich einw hlen und erh lt unmittelbaren Zugriff auf das System Version 3 8 Informationen zu Windows 2000 Benutzerkonten Von Anrufer festgelegt Die vom Benutzer angegebene Rufnummer wird zur ck gerufen Diese Funktion ist ausgesprochen hilfreich f r Benutzer die sich von verschiedenen Standorten aus und unter verschiedenen Rufnummern einw hlen Bereits festgelegt Die angegebene Rufnummer wird zur ckgerufen Diese Option sollte f r fern
328. l che cre ranciers EEN EE EE ENEE EE EE RR 311 Be tehlszele soeone nee a een 312 Gruppenprofile an Subskribenten verteilen 222222222 313 Arbeitsobertl che sranda SN ELSEN ACEN NEEN EEN Ee A ande 314 Befehlszeile e uge an ass seen ante 318 Kopien von Gruppenprofilen aus einem anderen Profil abrufen 318 Arbeitsoberfl che e NN d tanpi eani ripi ee ie 319 Befehlszeile vu eg ANE d nee ans ra ann 321 Profildatenbank mit Systemdateien synchronisieren 321 Tivoli SecureWay User Administration Management Handbuch xiii Arbeitsoberfl che 2 2 2 22cm oc 322 Befehlszeile 22 4 4 244 082 2a ee ana 324 Datens tze anhand der Profilrichtlinie berpr fen 324 Arbeitsoberfl che u uus rs ae 325 Befehlszeile u u u 2 ei aE a AE ie na 326 Gruppendatensatz suchen 326 Von einer Profilkopie in eine andere wechseln 2200 329 Gruppendatens tze sorteren 2222 aaa tangi amadain ai aociduias 330 Gruppendatensatzattribute sortieren 332 Kapitel 10 Prufprotokollterung 335 Steuerkomponente f r die Pr fprotokollierung aktivieren 336 Aktive Parameter ermitteln 338 Stoppen und mit ge nderten Parametern erneut starten 339 Format des Pr fprotokolls 22 2222 ians tene irig aiie dinis 340 Protokollierte Operationen von Tivoli SecureWay User Administration 343 Kapitel 11 Tivoli SecureWay User Administration ANPASSEN eegen EE ana an
329. l editieren um den Dialog Richtlinienskript editieren Richtlinienprozedur editieren anzuzeigen 288 Version 3 8 Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 8 Richtlinienprozedur editieren IO Konfigurationsprofil Rechenzentrum in Profilmanager admin Richtlinienprozedur f r Attribut gid libinish Component Name group_get_gid Date 1996 10 22 18 42 27 Source Jaltivolilhomes 1ldabigtieysZemvel admin admin user_groupfgroupigto_def_policiesigg_gid sre v Revision 1 4 5 Sichern und senie en Sichem Zur cksetzen Schie en Hire e Geben Sie den Hauptteil des Skripts ein f Klicken Sie auf Speichern und schlie en fr her Sichern und schlie en um das Skript in der Datenbank zu speichern und zum Dialog Standardwertegruppen editieren zur ckzu kehren Wiederholen Sie diesen Vorgang f r jedes Attribut des Daten satzes 6 Klicken Sie auf Festlegen und schlie en um die nderungen anzuwenden und zum Fenster Gruppenprofilmerkmale zur ck zukehren 7 W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen am Profil zu speichern Befehlszeile Um die Standardwertegruppen f r ein Gruppenprofil ber die Befehlszeile festzulegen listen Sie die Attributarten in einem ange gebenen Profil mit dem Befehl wIspolm auf Mit dem Befehl wget polm legen Sie dann die ak
330. le anzuzeigen Windows 2000 Gruppenzugeh rigkeit Prim rgruppe users 7 C leed 2 W hlen Sie in der Dropdown Liste Prim rgruppe die Prim r gruppe aus zu der der Benutzer geh ren soll 3 Geben Sie zus tzliche Gruppen an indem Sie den Gruppen namen im Feld am unteren Rand der Anzeige im kanonischen Format eingeben lt Dom ne gt Kontextl Kontext2 Klicken Sie dann auf die Schaltfl che Hinzuf gen die sich links neben dem Feld befindet 182 Version 3 8 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Anmeldung Mit der Option Windows 2000 Anmeldung k nnen Sie die Anmeldeinformationen f r Windows 2000 eingeben 1 W hlen Sie die Option Windows 2000 Anmeldung in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Windows 2000 Aktives Verzeichnis Kontext CompanyName Allgemeiner Benutzername uzeller Benutzername vor Windows 2000 uzeller Benutzeranmeldename uzeller F Anmeldung sperren T Konto entsperren I Smart Card ist f r interaktives Anmelden erforderlich I Dem Konto wird f r die Delegierung vertraut I Konto ist sicherheitskritisch und kann nicht delegiert werden I DES Verschl sselungsarten f r dieses Konto verwenden TI Keine Kerberos Vorauthentifizierung verlangen I Konto ablaufen lassen Ahlauisaturn TT 2 Geben Sie im Feld Kontext einen Kontext im kanoni
331. leManager marketing Gibt den Namen des Profilmanagers an in dem das Profil erstellt werden soll UserProfile Gibt die zu erstellende Profilart an Tivoli SecureWay User Administration Management Handbuch 125 UauuOuuIg a lJo d az nuag e Benutzerprofile einrichten corporate Gibt den Namen des neuen Benutzerprofils an Informationen zum Erstellen eines Benutzerprofils mit Hilfe der Befehlszeile finden Sie in der Beschreibung des Befehls wertprf im Handbuch Tivoli Framework Reference Manual Benutzerprofile klonen Beim Klonen eines Benutzerprofils wird eine Kopie des Profils ein schlie lich der Standardwertegruppen und Richtlinien f r G ltigkeits pr fung erstellt allerdings ohne Datens tze Anmerkung Tivoli AEF Tivoli Application Extension Facility kann zum Erstellen von Attributen Anpassen von Dia logen oder bei Status nderungen von Benutzerdaten s tzen zum Ausf hren von Skripts eingesetzt werden Beim Klonen eines Benutzerprofils an dem Anpassun gen ber AEF vorgenommen wurden wird ein Profil mit den angepassten Attributen und Skripts jedoch ohne die Dialoganpassungen erstellt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerprofil klonen Profilmanager senior Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befe
332. len Gateways installiert wer den die einem oder mehreren OS 2 Endpunkten zugeordnet sind Dieses Paket muss auf einer Maschine installiert werden auf der Tivoli SecureWay User Administration Gateway Package Version 3 8 installiert wurde Tivoli SecureWay User Administration for AS 400 Server Package Version 3 8 sollte nur installiert werden wenn es f r die Verwaltung von AS 400 Konten erforderlich ist Dieses Paket muss auf einer Maschine installiert werden auf der Tivoli SecureWay User Administration Version 3 8 installiert wurde Tivoli SecureWay User Administration for AS 400 Gateway Package Version 3 8 muss auf allen Gateways installiert wer den die einem oder mehreren AS 400 Endpunkten zugeordnet sind Dieses Paket muss auf einer Maschine installiert werden auf der Tivoli SecureWay User Administration Gateway Package Version 3 8 installiert wurde Tivoli SecureWay User Administration OnePassword Version 3 8 sollte installiert werden wenn die Benutzer und Administra toren ber einen Web Browser die Benutzerkennw rter in der Tivoli SecureWay User Administration Management Handbuch 45 us4a jjelsu Z Tivoli SecureWay User Administration Installationspakete TME Datenbank ndern und die aktualisierten Kennw rter an die zugeordneten Endpunkte verteilen k nnen sollen Dieses Paket muss auf einer Maschine installiert werden auf der Tivoli SecureWay User Administration Version 3 8 installiert wurde Au erdem mus
333. len Sie diesen Schritt bis alle Attribute in der gew nschten Reihenfolge aufgelistet werden 5 Klicken Sie auf Anzeigen und schlie en um die Datens tze zu sortieren und zum Fenster Gruppenprofilmerkmale zur ckzu kehren 334 Version 3 8 Pr fprotokollierung Tivoli SecureWay User Administration unterst tzt mit Hilfe der fol genden Befehle die Pr fprotokollierung Somit k nnen Sie alle Akti vit ten bei denen Daten auf dem TMR Server ge ndert werden pr fen und aufzeichnen m Befehl wusraudit m Befehl wusrauditgry Mit dem Befehl wusraudit aktivieren Sie die Steuerkomponente f r die Pr fprotokollierung auf dem TMR Server Diese Steuer komponente berwacht alle von Tivoli SecureWay User Administrati on Operationen ausgel sten Aktivit ten wie z B Erstellen L schen F llen Verteilen Kopieren Zusammenf gen usw Diese Aktivit ten werden als Pr fdatens tze protokolliert Diese bestehen aus einem Standard Header mit einem festgelegten Format sowie einer Liste mit durch Komma voneinander abgetrennten Paarungen aus Namen und Werten Das einfache Format dieser Liste erm glicht den Import in Tabellenkalkulationsprogramme und Datenbanken sowie die direkte Anzeige am Bildschirm Zus tzlich k nnen Sie mit dem Befehl wusraudit den Namen den Standort und die Gr e der Pr fprotokolldatei angeben Au erdem k nnen Sie festlegen ob beim berschreiten der maximalen Gr e eine Kopie der Datei archiviert werd
334. len so angepasst dass der Zugriff auf das Skript wpasswd sh wpasswd cmd unter NT m glich ist Dieses Skript f hrt den Befehl wpasswd im Installationsverzeichnis aus in dem es mit dem Befehl winstpw installiert wurde Informationen zu den Adressen der Skripts lef_env auf den verschiedenen Systemarten finden Sie in der Tivoli Management Framework Dokumentation Da Tivoli Administratoren auf einem TMA Endpunkt nicht eindeutig identifiziert werden k nnen k nnen nur die f r den Endbenutzer zur Verf gung stehenden Funktionen verwendet werden wenn der Befehl wpasswd auf einem Endpunkt ausgef hrt wird Tivoli Management Framework legt f r Befehle wie wpasswd ein bestimmtes Zeitlimit fest wann diese auf einem TMA Endpunkt aus gef hrt werden Der Wert f r dieses Zeitlimit das so genannte Gate way Zeitlimit ist f r die Ausf hrung von Befehlen der Art wie wpasswd L m glicherweise zu niedrig Aus diesem Grund gibt es f r den Befehl wpasswd die Sonderoption T lt Anzahl_Sekunden gt die nur verf gbar ist wenn der Befehl auf einem TMA Endpunkt ausgef hrt wird Mit dieser Option k nnen die Benutzer f r das Gateway Zeitlimit einen h heren Wert angeben um sicher zu stellen dass der Befehl vollst ndig ausgef hrt wird Interne Informationen zum Befehl wpasswd In den folgenden Abschnitten finden Sie interne Informationen zum Befehl wpasswd Tivoli SecureWay User Administration Management Handbuch 107 Bunyema9aAuOMUUDY E L
335. lermeldung zur ckge geben in der der Name des Administrators der das Profil gesperrt hat angezeigt wird Benutzerprofildatens tze werden w hrend eines Weitergabevorgangs bzw einer Verteilung gesperrt Wenn jedoch ein Administrator das Benutzerprofil zum Editieren ffnet werden die Benutzerprofildaten s tze nicht gesperrt Wenn Sie einen Benutzerdatensatz editieren und ein Administrator zur gleichen Zeit denselben Datensatz aktualisiert wird die folgende Fehlermeldung ausgegeben wenn Sie versuchen Ihre nderungen zu speichern Der von Ihnen editierte Datensatz ist lter als der in der Datenbank gespeicherte Datensatz Vor dem Speichern muss der Datensatz erneut editiert werden Der Dialog zum Editieren wurde aktualisiert und zeigt jetzt den neueren Datensatz aus der Datenbank an Sicherheitsverwaltung Tivoli SecureWay User Administration kann zusammen mit Tivoli SecureWay Security Manager eingesetzt werden wenn diese Anwen dung installiert ist Tivoli SecureWay Security Manager erm glicht Ihnen die Implementierung einer umfassenden konsistenten Sicherheitsrichtlinie f r Ihr gesamtes Unternehmen mit einem auf Berechtigungsklassen basierenden Sicherheitsmodell Diese Berech tigungsklassen entsprechen Jobfunktionen Mit Tivoli SecureWay Tivoli SecureWay User Administration Management Handbuch 29 Bunyemasausddnig pun 9z1nuag L Sicherheitsverwaltung 30 Security Manager definieren Sie welche Benutzer eine besti
336. ll c cdrom s graceland i ADMIN IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s graceland Gibt graceland als TMR Server an i ADMIN IND Gibt die Indexdatei an ber die Tivoli SecureWay User Administra tion installiert wird Weitere Informationen finden Sie im Abschnitt zum Befehl winstall im Handbuch Tivoli Framework Reference Manual Tivoli SecureWay User Administration Gateway Package installieren Die Gateway Software l uft auf verwalteten Knoten und erm glicht so deren Einsatz als Gateway zwischen einem Endpunktverbund und der restlichen Tivoli Umgebung ber Gateways k nnen Endpunkte ausf hrbare Dateien in einen Cache herunterladen und ausf hren ohne dass hierzu lokale Datenbanken erforderlich sind Jeder TMR k nnen mehrere oder keine Gateways zugeordnet sein Das Tivoli SecureWay User Administration Gateway Package muss auf allen Gateways mit Endpunkten die mit Tivoli SecureWay User Administration verwaltet werden sollen installiert werden F r End punkte ist es erforderlich dass die Gateway Software auf dem Gate way installiert ist dem die Endpunkte zugeordnet sind Nehmen wir einmal folgende Konfiguration an m Das Gateway GW 1 ist auf dem verwalteten Knoten fuji instal liert m Der Endpunkt eep ist an GW1 angemeldet Tivoli SecureWay User Administration Management Handbuch 53 us4a jjelsu Z Tivoli SecureWay User Administration Gateway Package installieren H
337. llation des Befehls wpasswd ber die Arbeitsoberfl che oder SIS ist nicht m g lich Der Befehl wuninstpw kann nur ber den Befehl wuninstpw wieder von Endpunkten entfernt werden Weitere Informationen zu den Befehlen winstpw und wunistpw fin den Sie im Handbuch Tivoli SecureWay User Administration Refe rence Manual Tivoli SecureWay User Administration Management Handbuch 69 us4a jjelsu Z Tivoli SecureWay User Administration aktualisieren Tivoli SecureWay User Administration aktualisieren 70 Tivoli SecureWay User Administration Version 3 8 und Tivoli Secu reWay User Administration Gateway Package Version 3 8 k nnen als Aktualisierungen von Tivoli SecureWay User Administration Version 3 7 installiert werden Sie k nnen die Pakete ber die Tivoli Arbeits oberfl che oder ber die Befehlszeile installieren Die erforderlichen Schritte f r eine Aktualisierung von Tivoli SecureWay User Adminis tration Paketen sind vergleichbar mit denen f r die Erstinstallation der Pakete Im Gegensatz zur Erstinstallation wird bei der Aktualisie rung jedoch nur der Code der Programmkorrektur f r das Paket installiert Anmerkungen 1 Stellen Sie sicher dass Sie Ihr System sichern bevor Sie eine Aktualisierung durchf hren 2 Wenn beim Aktualisieren neue Endpunktarten hinzugef gt wer den wird nur der Standarddatensatz in den Benutzerprofilen aktualisiert Einzelne Benutzerdatens tze werden nicht aktuali siert Wenn Sie Be
338. llen 8 Klicken Sie auf den Linkspfeil um die ausgew hlten Subskriben ten in die Liste An diese Subskribenten verteilen zu verschie ben 9 Klicken Sie auf Verteilen und schlie en um das Profil sofort zu verteilen und zum Dialog Benutzerprofilmerkmale zur ckzu kehren ODER Klicken Sie auf Planen um den Dialog Geplanten Job hinzuf gen anzuzeigen 246 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze d Geplanten Job hinzuf gen Profil an seine Subskribenten verteilen GR Man k dn dear Sie k nnen mit diesem Dialog das Verteilen von Profilen f r einen sp teren Zeitpunkt planen oder Tivoli SecureWay User Administration erm glichen eine fehlgeschlagene Verteilung erneut zu versuchen bis sie erfolgreich ist oder einen konfigu rierbaren Wiederholungsz hler erreicht Einzelheiten zur Verwen dung der Tivoli Planungsfunktion finden Sie im Tivoli Manage ment Framework Benutzerhandbuch Tivoli SecureWay User Administration Management Handbuch 247 Allgemeine Vorg nge f r Benutzerdatens tze Befehlszeile Im folgenden Beispiel wird ein Benutzerprofil an einen zugeordneten verwalteten Knoten verteilt wdistrib maintain m UserProfile development ManagedNode rushmore Dabei gilt Folgendes l maintain Beh lt alle lokalen nderungen in den Subskribentenkopien des Profils bei m Gibt eine Verteilung in mehreren Schritten an Das Profil wird an alle Ebenen der Subs
339. lnen Subskribenten Bei jeder Verteilung wird allen Oneshot Attributen eine Versionsnummer zugeteilt Die Endpunkte protokollieren f r jeden einzelnen Profileintrag und jedes einzelne Attribut die Versio nen aller empfangenden Oneshot Attribute Diese Daten werden in einer kleinen gesch tzten Datei auf dem Endpunkt in der Versions datenbank gespeichert Auf Grund dieser Implementierung k nnen entsprechende Ma nahmen getroffen werden wenn ein Endpunkt w hrend einer Verteilung ein Oneshot Attribut empf ngt das bereits bekannt ist Wenn die verteilten Oneshot Daten neu sind ber schreibt der Endpunkt seine lokalen Daten und aktualisiert das Proto koll in dem die Attributversionen gespeichert sind Diese Methode ist auch f r Teilverteilungen anwendbar Wenn ein Datensatz an den Subskribenten gesendet wird stehen gen gend Informationen zur Verf gung um die Daten korrekt zusammenzuf gen Steuerung der Anderung von Oneshot Attributen auf Basis des Endpunkt Status F r alle Oneshot Attribute in allen Benutzerprofildatens tzen die an einen Tivoli SecureWay User Administration Endpunkt entweder an einen verteilten Knoten oder Endpunkt verteilt werden durchsucht der Endpunkt die Versionsdatenbank nach der CCMS Datensatzschl ssel Attributnamen Kombination Ob der Endpunkt diese nderung zul sst h ngt von den Suchergebnissen ab 366 Version 3 8 Sonderverarbeitung f r Kennw rter bei der Verteilung Wenn die Versionssuche
340. lten Zugriffs berechtigungen ndern Vorg nge automatisieren Ressourcen berwachen und Zeitpl ne f r Jobs erstellen TMR Client In einer Tivoli Umgebung jeder Computer mit Ausnahme des TMR Servers auf dem Tivoli Management Framework installiert ist Ein TMR Client f hrt oserv aus und verwaltet eine lokale Objektdatenbank Gegensatz zu TMR Server TMR Server In einer Tivoli Umgebung der Server in einer Tivoli Management Region TMR auf dem das gesamte Tivoli Softwarepaket gespeichert ist bzw der auf dieses ver weist einschlie lich der kompletten Objektdatenbank Gegensatz zu TMR Client Tivoli SecureWay User Administration Management Handbuch 455 JessojH TNWR Siehe Tivoli NetWare Repeateil Transaktion Eine spezifische Gruppe von Eingabedaten die die Ausf hrung eines bestimmten Prozesses oder Jobs ausl st eine f r ein Anwendungsprogramm bestimmte Nach richt Verwaltete Ressource In einer Tivoli Umgebung jede Hardware oder Softwareentit t Maschine Dienst System oder Einrichtung die durch ein Datenbankobjekt und ein Symbol auf der Tivoli Arbeitsoberfl che dargestellt wird Verwaltete Ressourcen m ssen eine in einem Richtlinienbereich unterst tzte Ressourcenart haben und unterliegen einem Regelsatz Verwaltete Ressourcen umfassen verwaltete Knoten Endpunkte Task Bi bliotheken Monitore Profile und Schwarze Bretter Verwalteter Knoten 1 In einer Tivoli Umgebung jede verwaltete Ressource auf der Tiv
341. lten m chten ODER Klicken Sie auf Profilmanagerdatens tze EXAKT mit den abgerufenen Profildatens tzen abgleichen um das Profil abzu rufen und die Werte im aktuellen Profil zu berschreiben Ver wenden Sie diese Option wenn Sie die lokalen nderungen an dem aktuellen Profil nicht beibehalten m chten Damit Sie das Profil zu einem sp teren Zeitpunkt abrufen k n nen klicken Sie auf Planen um den Dialog Geplanten Job hin zuf gen anzuzeigen Weitere Informationen zur Tivoli Planungsfunktion finden Sie im Tivoli Management Framework Benutzerhandbuch Klicken Sie auf Kopie abrufen und schlie en um sofort Kopien der Profildatens tze in das aktuelle Profil zu holen und den Dialog zu schlie en Version 3 8 Kopien von Gruppenprofilen aus einem anderen Profil abrufen Befehlszeile Im folgenden Beispiel wird die Kopie eines Profils aus einem ande ren Profilmanager abgerufen wgetprf maintain ProfileManager testers Dabei gilt Folgendes maintain Beh lt die lokalen nderungen in den Profilkopien der Sub skribenten bei ProfileManager testers Gibt den Namen des Subskribenten an f r den die neue Profilkopie abgerufen wird Informationen zum Abrufen der Gruppenprofilinformationen aus einem anderen Profil mit Hilfe der Befehlszeile finden Sie in der Beschreibung des Befehls wgetprf im Handbuch Tivoli Framework Reference Manual Profildatenbank mit Systemdateien synchronisieren Wenn die System
342. lteten Knoten und NIS Dom nen abrufen Keine Datens tze von diesen verwalteten Knoten und NIS Dom nen abrufen Nis Donsin NisCore kinberiy Endpoint oswaldo Endpoint El osvaldo Managed_Node paco Endpoint teo Endpoint teo Managed Node 280 An vorhandene Datensatzliste anh ngen C Vorhandene Datensatzliste berschreiben Ausf llen und schlie en Ausf llen Zur cksetzen Schlie en Ne 3 W hlen Sie in der Liste Keine Datens tze von diesen verwalte ten Knoten und NIS Dom nen abrufen die Tivoli Ressourcen aus aus denen Daten an das Profil weitergegeben werden sollen Wenn Sie Ressourcen unterschiedlicher Art ausw hlen f gt Tivoli die verschiedenen Standardsystemkonten im Profil zusam men Tivoli SecureWay User Administration Management Handbuch 297 uute us y9 a Jo dusddniyg oe Gruppenprofile verwalten 4 Klicken Sie auf den Linkspfeil um die ausgew hlten Ressourcen 298 7 in die Liste Datens tze von diesen verwalteten Knoten und NIS Dom nen abrufen zu verschieben Klicken Sie auf eines der folgenden Optionsfelder An vorhandene Datensatzliste anh ngen F gt die neuen Datens tze den vorhandenen Datens tzen im Profil hinzu Verwenden Sie diese Option wenn Sie Daten an ein Profil weitergeben welches Datens tze enth lt die Sie beibehalten m chten m Vorhandene Datensatzliste berschreiben Ersetzt den Inhalt des Gruppen
343. m Profilmanager dieses Profils zugeordnet ist Bei Eingang des Profils auf einem Profilendpunkt entscheidet Tivoli SecureWay User Admi nistration anhand der Subskriptionsdaten des Benutzers auf Daten satzebene ob die Benutzerinformationen auf dem betreffenden End punkt aktualisiert werden sollen oder nicht AEF Endpunktvorg nge werden unabh ngig von den Subskriptions daten eines Benutzers auf Datensatzebene ausgef hrt Diese Aktions skripts sollten die Subskriptionsdaten auf Datensatzebene berpr fen um die Notwendigkeit einer Ausf hrung festzustellen Weitere Infor mationen zu AEF Endpunktvorg ngen finden Sie im Handbuch Tivoli AEF User s Guide Arbeitsoberfl che F hren Sie folgende Schritte aus um Subskribenteninformationen einzugeben 1 W hlen Sie Subskribenten in der Merkmalliste aus um Folgen des im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Subskribenten E Automatisch neue Subskribenten hinzuf gen Aktuelle Subskribenten Baumstruktur verf gbarer Subskribenten admin Bl Bl fe Si Ile Standardm ig wird in der Liste Aktuelle Subskribenten der Profilmanager angezeigt der das Benutzerprofil enth lt mit dem Sie arbeiten Daraus geht hervor dass der Profilmanager und alle Endpunkte die dem Profilmanager zugeordnet sind auch dem Benutzerdatensatz zugeordnet sind Ein Pluszeichen gibt an dass die Liste mit Subskri
344. m chten die Stan dardwertegruppe und die Richtlinie f r G ltigkeitspr fung ihren Bed rfnissen entsprechend anpassen Mit dem Befehl wgenusrdef e W2K werden allen Benutzerdatens tzen f r die angegebenen Benutzerprofile die entsprechenden Attributwerte hinzugef gt Weitere Ver ffentlichungen Das White Paper zu Tivoli s Configuration and Change Management System finden Sie unter dem Abschnitt Tivoli Field Guides auf der Website der Tivoli Unterst tzung unter folgender Adresse http www tivoli com support Das Redbook zu Enterprise Security Management with Tivoli SG24 5520 finden Sie auf der Website f r Redbooks unter folgen der Adresse http www redbooks ibm com Das Kapitel ber die Konfigurationsverwaltung finden Sie im Tivoli Management Framework Benutzerhandbuch Tivoli SecureWay User Administration Management Handbuch 379 uUSWOUL 91919M SL Weitere Ver ffentlichungen 380 Version 3 8 AS 400 Benutzer verwalten Systemadministratoren m ssen unter Umst nden viel Zeit f r die Verwaltung von Benutzer und Gruppenkonten in einem gro en Unternehmen aufwenden Benutzerkonten werden entsprechend den Bed rfnissen der Benutzer und des Unternehmens st ndig hinzuge f gt entfernt und aktualisiert Das Betriebssystem AS 400 OS 400 stellt zahlreiche Funktionen zur Benutzerverwaltung zur Verf gung und speichert bestimmte Benutzerinformationen in eigens daf r entworfenen Objekten den so genannten
345. m glicht Geben Sie Yes oder 1 f r den Wert TRUE No oder 0 f r den Wert FALSE an Ein Boolescher Wert der den Benut zern die Steuerung anderer Benutzer konten und gruppen in der Dom ne erm glicht Geben Sie Yes oder 1 f r den Wert TRUE No oder 0 f r den Wert FALSE an Ein verschl sselter Wert Hierbei kann es sich um eine Kopie des ver schl sselten allgemeinen Kennworts handeln Kennwort f r Einzelan meldung Ein Boolescher Wert der ein Kenn wort f r den OS 2 WARP Server erforderlich macht Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an Ein Boolescher Wert der es einem Administrator bzw einer Tivoli Ver teilung erm glicht nur das Kennwort des Benutzerkontos zu ndern Geben Sie Yes oder 1 f r den Wert TRUE No oder 0 f r den Wert FALSE an Ein Boolescher Wert durch den das neu ge nderte Kennwort bei Vertei lung des Benutzerprofils sofort abl uft Geben Sie Yes oder 1 f r den Wert TRUE No oder 0 f r den Wert FALSE an Tivoli SecureWay User Administration Management Handbuch 423 usyemion J49z1nuag 2 SO 9 OS 2 Attributnamen in Benutzerprofilen 424 os2_privilege os2_userid 0s2_account_expires os2_account_expiration_date os2_account_disabled os2_delete_prohibited M gliche Werte sind USER GUEST bzw ADMIN Hier ist die Eingabe von Gro buchstaben erfor derlich Die OS 2 Benutzer ID bzw d
346. m s fuji i ADMIN_GW IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s fuji Gibt an dass der verwaltete Knoten fuji als Gateway eingesetzt wird i ADMIN_GW IND Gibt die Indexdatei an ber die das Tivoli SecureWay User Administra tion Gateway Package installiert wird Tivoli SecureWay User Administration Management Handbuch 55 us4a jjelsu 2 Tivoli SecureWay User Administration Gateway Package installieren 56 Weitere Informationen finden Sie im Abschnitt zum Befehl winstall im Handbuch Tivoli Framework Reference Manual LDAP Pakete installieren Das Tivoli SecureWay User Administration for LDAP Server Package sollte nur installiert werden wenn das LDAP Protokoll LDAP Lighweight Directory Access Protocol in Ihrer Umgebung verwaltet werden soll Dieses Paket muss auf einer Maschine mit Tivoli SecureWay User Administration installiert werden Tivoli SecureWay User Administration Export SSL LDAP Connec tion muss auf allen verwalteten Knoten mit einem LDAP Anschluss installiert werden Die beiden LDAP Pakete k nnen auf derselben Maschine wie der LDAP Verzeichnisserver installiert werden sofern die betreffende Plattform von Tivoli unterst tzt wird Anmerkung Vor der Installation des Pakets Export SSL LDAP Connection m ssen Sie zun chst die LDAP Servers oftware installieren Arbeitsoberfl che F hren Sie folgende Schritte aus um das LDAP Paket ber die Tivoli Arbeitsoberfl ch
347. male angezeigt werden soll Sie k nnen in der linken Spalte des Profilfensters die linke Maustaste dr cken um Datens tze auszuw hlen Dies entspricht dem Ausw hlen eines Datensatzes durch Dr cken der Maustaste innerhalb des Tabellenbereichs 5 Klicken Sie auf Sortieren und schlie en um die Datens tze zu sortieren und zum Fenster Gruppenprofilmerkmale zur ckzu kehren Gruppendatensatzattribute sortieren Sie k nnen festlegen in welcher Reihenfolge die Attribute von Gruppenkontodatens tzen im Fenster Gruppenprofilmerkmale angezeigt werden Wenn Sie jedoch das Fenster schlie en geht die Reihenfolge verloren Wenn Sie das Fenster erneut ffnen werden die Datens tze in der Standardreihenfolge angezeigt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Attribute sortieren und Gruppenprofil user anzeigen Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h Ten 332 Version 3 8 Gruppendatensatzattribute sortieren F hren Sie folgende Schritte aus um Gruppendatensatzattribute zu sortieren und anzuzeigen 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale BIsE Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilma
348. manager die einzelnen Datens tze verteilt werden Die Profilmanagersubskribenten umfassen zum Beispiel die End punkte tejas fuji und mckinley Das Profil enth lt f nf Datens tze Die Subskribenten f r den ersten Datensatz sind tejas und mckinley Der Subskribent f r den zweiten Datensatz ist fuji Die Subskriben ten f r den dritten Datensatz sind tejas und fuji Die Subskribenten f r den vierten Datensatz sind tejas und mckinley Die Subskriben ten f r den letzten Datensatz sind tejas fuji und mckinley Alle Datens tze werden an alle Subskribenten verteilt Ergebnis der Ver teilung dieses Profils m Die Datens tze 1 3 4 und 5 werden an den Endpunkt tejas ver teilt m Die Datens tze 2 3 und 5 werden an den Endpunkt fuji verteilt m Die Datens tze 1 4 und 5 werden an den Endpunkt mckinley verteilt Informationen zum Zuordnen von Tivoli Ressourcen als Subskriben ten zu einem Profilmanager finden Sie im Tivoli Management Fra mework Benutzerhandbuch Anmerkung Bevor Sie ein Benutzerprofil an einen NetWare End punkt verteilen m ssen Sie zun chst den Befehl wsetnds ausf hren Mit diesem Befehl k nnen Sie auf die NetWare NDS Baumstruktur zugreifen Weitere Informationen finden Sie im Handbuch Tivoli Secure Way User Administration Reference Manual In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Version 3 8 Allgemeine Vorg nge
349. mationen aus dem Quellendatensatz werden dem Hauptdatensatz hinzugef gt Damit die Zusammensetzung auf dem Endpunkt wirksam wird muss das Profil verteilt werden In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Zwei Benutzerdaten Benutzerprofil admin s tze zusammenf gen Admin_Edit_Account Sie k nnen diese Task nur ber die Befehlszeile ausf hren Im folgenden Beispiel werden zwei Benutzerdatens tze zusammenge f gt wnrgusrs UserProfile marketing jsmith UserProfile accounting jon_smith Dabei gilt Folgendes UserProfile marketing Gibt den Namen des Benutzerprofils an das die zusammen zuf genden Benutzerdatens tze enth lt jsmith Gibt den ersten Benutzerdatensatz an Tivoli SecureWay User Administration verwendet diesen als Hauptdatensatz UserProfile accounting Gibt den Namen des Benutzerprofils an das den doppelten Benutzerdatensatz f r das Zusammenf gen enth lt Tivoli SecureWay User Administration Management Handbuch 235 uoyemion 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze jon_smith Gibt den zweiten Benutzerdatensatz an Tivoli SecureWay User Administration verwendet diesen als Quellendatensatz und f gt die Informationen selektiv in den Hauptdatensatz ein Weitere Informationen finden Sie in der Beschreibung des Befehls wmrg
350. mationen zur Verteilung von Gruppenprofilinfor mationen und zu deren Planung finden Sie in der Beschreibung der Befehle wdistrib und wschedjob im Handbuch Tivoli Framework Reference Manual Kopien von Gruppenprofilen aus einem anderen Pro fil abrufen 318 Sie k nnen eine neue Kopie eines Profils aus dem Profilmanager abrufen der sich in der Subskriptionshierarchie eine Ebene h her befindet Dies kann hilfreich sein wenn Sie auf einer unteren Ebene arbeiten und auf Ihrer aktuellen Ebene die Kopie eines Profils von einer h heren Ebene anfordern m chten Dieser Vorgang ist im Kern eine Anfrage an den zugeordneten Profilmanager auf Verteilung an einen einzelnen Subskribenten Version 3 8 Kopien von Gruppenprofilen aus einem anderen Profil abrufen In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppenprofilkopien aus einem anderen Pro fil abrufen Gruppenprofil admin Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Gruppenprofilkopien aus einem anderen Profil abzurufen 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Profil Editieren Ansicht
351. ministration unterst tzt werden finden Sie im Hand buch Tivoli SecureWay User Administration Reference Manual Network Information System Network Information Service NIS ist ein UNIX Dienst zur Verwal tung einer gro en Anzahl von Systemen NIS stellt dabei aktuelle Informationen aus den zentralen UNIX Dateien f r die Benutzer System und Netzwerkverwaltung zur Verf gung NIS wird in den meisten F llen f r die Gew hrleistung der Konsistenz von Benutzernamen und IDs Gruppennamen und IDs sowie Kennw r tern auf verschiedenen Systemen verwendet NIS nimmt dabei keine Verteilung der eigentlichen Dateien mit diesen Daten vor Stattdessen werden die Informationen von den Dateien zur Erstellung einer NIS Liste verwendet Hierbei handelt es sich um eine von den NIS Cli ents erstellte Datenbankdatei auf die diese auch zugreifen Sie k nnen mit Tivoli SecureWay User Administration Benutzer konten innerhalb einer NIS Dom ne verwalten Weitere Informatio nen hierzu finden Sie im Handbuch Tivoli User Administration NIS Management Guide Windows NT Die nachfolgenden Abschnitte enthalten eine allgemeine bersicht ber die Benutzerverwaltung unter Windows NT Benutzerauthentifizierung Windows NT verf gt ber verschiedene Sicherheitseinrichtungen mit denen der Zugriff auf Dateien Verzeichnisse und andere System ressourcen gesteuert wird Tivoli SecureWay User Administration Management Handbuch 5 Bunyemasausddnig pun
352. mit einer Tivoli Ressource beispielsweise einem verwalteten Knoten die die im Profil enthaltenen Informationen verwendet Ein Profil hat keine direkten Subskribenten Profilmanager In einer Tivoli Umgebung ein Container f r Profile der die Profile mit einer Gruppe von Ressourcen so genannten Subskribenten verbindet Tivoli Administratoren ver walten und verteilen mit Hilfe des Profilmanagers Profile Ein Profilmanager wird in einem Richtlinienbereich erstellt und stellt darin eine verwaltete Ressource dar Ein Profilmanager kann in einem der folgenden beiden Modi arbeiten m Datenloser Modus Erm glicht dem Profilmanager Verteilungen an alle Tivoli Clients verwaltete Knoten Endpunkte PC verwaltete Knoten und NetWare verwaltete Stationen nicht jedoch an andere Profilmanager vorzunehmen m Datenbankmodus In diesem Modus kann ein Profilmanager Verteilungen an andere Profilmanager im datenlosen Modus oder im Datenbankmodus an alle verwaltete Knoten PC verwaltete Knoten und NetWare verwaltete Stationen nicht jedoch an Endpunkte vornehmen Tivoli SecureWay User Administration Management Handbuch 449 Jessojd 450 Profilprototyp In einer Tivoli Umgebung ein Profilmodell das von Tivoli Administratoren als Vor lage zur Erstellung anderer Profile verwendet werden kann Oft geschieht dies durch Klonen des Profilprototyps Proxy verwalteter Knoten In einer Tivoli Umgebung eine verwaltete Ressource die die Kommunikation zwi
353. mm kann nicht abgebrochen werden da es nicht gestartet wurde Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2531 NERR_FTUnableToAbort Das Pr f bzw Korrekturprogramm kann nicht abgebrochen werden 2532 NERR_FTUnabletoChange Der Datentr ger konnte nicht ge bzw entsperrt werden 2533 NERR_FTInvalidErrHandle Die Fehlerbehandlung wurde nicht erkannt 2534 NERR_FTDriveNotMirrored Das Laufwerk wird nicht gespiegelt 2781 NERR_NoAccessDrive 2782 NERR_AliasExists 2783 NERR_AliasNotFound 2785 NERR_InvAliasDev 2786 NERR_DCDBError 2787 NERR_NetnameExists 2788 NERR_DupAliasRes 2792 NERR_AppExists 2793 NERR_AppNotFound 2794 2795 NERR_DCD6BCreateError NERR_NotPrimaryDCDB 2796 NERR_BadAppRemark 2800 NERR_ApplyNotPermitted 2801 NERR_IncompleteApply 2802 NERR_ApplyFailed Tivoli SecureWay User Administration Management Handbuch 439 usyemion J49z4nuag 2 SO 9 OS 2 Verteilungsfehler OS 2 Verteilungsfehler FEHLER 101 In diesem Abschnitt werden die Nachrichten aufgelistet und erl utert die beim Auftreten von Verteilungsfehlern von Tivoli User Administ ration for OS 2 ausgegeben werden FEHLER 103 Erl uterung W hrend der Profilverteilung ist ein allgemeiner Fehler aufgetreten Mit Hilfe des angezeigten Net32 A
354. mmte Berechtigungsklasse haben und ordnen auf der Grundlage dieser Berechtigungsklasse Systemressourcen zu oder begrenzen diese Aus f hrliche Informationen zum Verwalten von Sicherheitsgruppen und Berechtigungsklassen finden Sie im Tivoli SecureWay Security Mana ger Benutzerhandbuch Die Zusammenarbeit zwischen Tivoli SecureWay User Administra tion und Tivoli SecureWay Security Manager erm glicht Folgendes m Wenn Sie einen Benutzerdatensatz einem Benutzerprofil von Tivoli SecureWay User Administration hinzuf gen haben Sie die Option diesen Benutzer einer oder mehreren Sicherheitsgruppen in einem oder mehreren Sicherheitsprofilen hinzuzuf gen m Wenn Sie einen Benutzer einer Sicherheitsgruppe hinzuf gen und dieser Benutzer in einem Benutzerprofil verwaltet wird wird der Benutzerdatensatz so aktualisiert dass er die neue Sicherheitsgruppe enth lt m Wenn Sie einen Benutzerdatensatz aus einem Benutzerprofil l schen wird der Benutzer aus jeder Sicherheitsgruppe entfernt zu der er geh rt m Wenn Sie einen Benutzer aus einer Sicherheitsgruppe l schen wird die Sicherheitsgruppe aus dem Benutzerdatensatz im zuge ordneten Benutzerprofil entfernt Wenn derselbe Benutzer Benutzerdatens tze in mehreren Benutzerprofilen hat wird nur der Benutzerdatensatz im zugeordneten Benutzerprofil aktuali siert alle anderen werden nicht ge ndert m Wenn Sie einen Benutzerdatensatz von einem Benutzerprofil in ein anderes verschieben wer
355. n ODER Klicken Sie auf das Optionsfeld Alle Subskribentenebenen um eine Kopie des Profils an die n chste Ebene von Subskribenten und deren Subskribenten zu senden Verwenden Sie diese Option wenn Sie die Subskribenten auf allen unteren Ebenen in der Subskriptionshierarchie und sogar die eigentlichen Systemdateien der Profilendpunkte ndern m chten 6 Klicken Sie auf nderungen in der Profilkopie des Subskri benten erhalten im Feld Die Verteilung wird um nderungen beizubehalten die Administratoren an den Profilen vorgenommen haben deren Profilmanager dem aktuellen Profil zugeordnet sind Benutzen Sie diese Option wenn Profile in Subskribenten defi niert wurden deren Unterschiede Sie beibehalten m chten ODER Klicken Sie auf Profil der Subskribenten EXAKT mit diesem Profil abgleichen um die nderungen die Administratoren an den Profilen vorgenommen haben mit den in diesem Profil defi nierten Werten zu berschreiben Benutzen Sie diese Option wenn Sie die Unterschiede zwischen den Profilen der Subskri benten nicht beibehalten m chten Detaillierte Informationen zu den Gees direkten Folgen dieser Option finden Sie unter Tivoli SecureWay User Administration Management Handbuch 245 uoyemioa 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 7 W hlen Sie in der Liste Nicht an diese Subskribenten verteilen die Subskribenten aus an die Kopien dieses Profils verteilt wer den so
356. n Editieren aus Tivoli SecureWay User Administration entfernt die Schl sselglyphe Befehlszeile Im folgenden Beispiel wird ein Benutzerdatensatz gesperrt wsetusr F UserProfile marketing jtate Dabei gilt Folgendes F Gibt an dass die Subskribenten die Kopie des Benutzer datensatzes nach der n chsten Profilverteilung nicht ndern k nnen Tivoli SecureWay User Administration Management Handbuch 255 uoyemion 9zjesusjep4szinuag Z Benutzerdatens tze verwalten UserProfile marketing Gibt den Namen des Benutzerprofils an das den Datensatz enth lt jtate Gibt den Anmeldenamen des Benutzers an Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wsetusr im Handbuch Tivoli SecureWay User Administration Reference Manual Das Fenster Benutzerprofilmerkmale aktualisieren Wenn andere Administratoren berechtigt sind im selben Benutzer profil wie Sie Benutzerkontodatens tze hinzuzuf gen zu editieren oder zu l schen dann m ssen Sie m glicherweise das Fenster Benutzerprofilmerkmale aktualisieren Das Fenster Benutzerprofil merkmale zeigt den Inhalt des Profils zum Zeitpunkt seiner ffnung bzw der letzten Aktualisierung an Daher k nnen Sie das Ergebnis der Aktionen anderer Administratoren im Profil erst sehen nachdem Sie das Fenster Benutzerprofilmerkmale entweder geschlossen und erneut ge ffnet oder es aktualisiert haben In der folgenden Tabelle werden die Umgebung und die Berechti
357. n Pr fprotokollierungsstufe Pr fprotokolldateipfad data audit nb audit Maximale Gr e der Pr fprotokolldatei MB 1 Archivierung der Pr fprotokolldateien ist ENABLED Pufferung mehrerer Pr fprotokolldatens tze ist ENABLED 338 Version 3 8 Stoppen und mit ge nderten Parametern erneut starten Stoppen und mit ge nderten Parametern erneut star ten Mit dem Befehl wusraudit k nnen Sie die Steuerkomponente f r die Pr fprotokollierung stoppen Es wird empfohlen die Steuer komponente f r die Pr fprotokollierung nicht nur zum ndern von Parametern sondern auch in den folgenden F llen zu stoppen m Wenn der Befehl wchkadmdb verwendet werden soll m Wenn der Befehl wchkusers verwendet werden soll m Wenn die Datenbank wiederhergestellt werden soll m Wenn eine Aktualisierung auf ein neues Release durchgef hrt werden soll All diese Aktivit ten l sen eine gro e Anzahl Prozesse aus so dass bei aktiver Pr fprotokollierung und Archivierungeine gro e Menge an Plattenspeicherplatz erforderlich ist In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Pr fprotokollierung stoppen TMR admin Sie k nnen diese Task nur ber die Befehlszeile ausf hren Im folgenden Beispiel wird die Steuerkomponente f r die Pr fproto kollierung gestoppt wusraudit 1 0 Nachdem Sie di
358. n Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmen gt 2 W hlen Sie Richtlinien f r G ltigkeitspr fung im Men Edi tieren aus um den Dialog Richtlinien f r G ltigkeitspr fung editieren anzuzeigen Tivoli SecureWay User Administration Management Handbuch 139 us y911ula a lJo d az nuag e Benutzerprofile einrichten 140 23 Richtlinien f r G ltigkeitspr fung editieren Konfigurationsprofil Support in Profilmanager admin Richtlinie f r G ltigkeitspr fung i C Inaktiviert Attribute Richtlinie f r G ltigkeitspr fung UNIX Gruppen ID UNIX Gruppenaliasnamen f r E Mail UNIX Host f r E Mail UNIX Kennwort Standardart Prozedur z UNIX Kennwortg ltigkeit UNIX Pr f Flag Prozedur in Profil geladen UNIX Pr ID UNIX Server Pfad Prozedurargumente editieren UNIX Unask Prozedurhauptteil editieren UNIX Benutzerinformationen GECOS Subskribenten d rfen editieren Le Ja C Nein 3 W hlen Sie ein Attribut in der Liste Attribute aus 4 Klicken Sie auf das Optionsfeld Ja im Feld Subskribenten d r fen editieren damit Subskribenten diese Richtlinie ndern k n nen klicken Sie andernfalls auf das Optionsfeld Nein W hlen Sie in der Dropdown Liste Standardart eine G ltig keitsart aus Die verf gbaren Optionen lauten Keine Konstante Skript fr her Prozedur und Regul rer Ausdruck Wenn S
359. n Kennwort l uft nie ab FALSCH Konto deaktiviert WAHR Gruppe Dom nenbenutzer Profil Leer Konto l uft nie ab WAHR Windows 2000 Active Directory unterst tzt f r Objektnamen meh rere Formate Diese Formate ber cksichtigen die unterschiedlichen Namensformate die von der urspr nglichen Anwendung abh ngen Die Verwaltungs Tools von Active Directory zeigen Zeichenfolgen f r Namen in einem Standardformat an Hierbei handelt es sich um den so genannten kanonischen Namen Die Windows 2000 Benutzerschnittstelle zeigt standardm ig Objekt namen an die den kanonischen Namen verwenden der die relativ definierten Namen auflistet von root abw rts und ohne die RFC 1779 Benennungsattributdeskriptoren Sie verwendet den DNS Dom nennamen das Namensformat in dem die Dom nenkennungen durch Punkte voneinander getrennt sind Beispielsweise k nnte ein LDAP registrierter Name in folgendem kanonischen Format angezeigt werden noam reskit com marketing promotions jsmith Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung In diesem Fall besteht der kanonische Name aus dem allgemeinen Namen cn jsmith Diese Person ist in der Organisationseinheit ou marketing t tig mit den Dom nenkomponenten dc noam reskit und com ganz links steht der Name des Blattobjekts und ganz rechts der Name des Roots Tivoli SecureWay User Administration verwendet das Kanonische Namensformat von Active Directory f r die Attr
360. n unuegid E Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen F r den erfolgreichen Einsatz von Tivoli SecureWay User Admini stration ist es notwendig dass Sie verstehen wie Benutzerkonto informationen in Ihrer Umgebung strukturiert sind Mit diesen Infor mationen k nnen Sie einen Einsatzentwurf erstellen der den ent sprechenden Mitarbeitern die notwendigen Zugriffsberechtigungen f r Benutzerkonten zuordnet In den folgenden Abschnitten finden Sie die Punkte die Sie beachten m ssen wenn Sie Ihre Bed rfnisse f r die Benutzerverwaltung fest stellen Personen die auf Benutzerkonten zugreifen m ssen Verschiedene Funktionsbereiche innerhalb einer Organisation m ssen auf Benutzerkontoinformationen zugreifen Diese Bed rfnisse sind je nach Organisation sehr unterschiedlich In manchen Unternehmen werden die Benutzerkontoinformationen zentral gesteuert so dass es nur Administratoren und nicht einmal Endbenutzern gestattet ist Kennw rter zu ndern In anderen Unternehmen k nnen verschie dene Funktionsbereiche Benutzerkontoinformationen ndern Bei spielsweise k nnen die Mitarbeiter der Personalabteilung Benutzer kontoinformationen ndern wenn ein Mitarbeiter aus der Firma ausscheidet oder innerhalb der Firma eine andere Position ber nimmt Es ist notwendig dass Sie die Bed rfnisse Ihrer Organisation hin sichtlich des Zugriff
361. n Tivoli Management Framework Dieses Handbuch ist auch beim Schreiben von Skripts hilfreich die sp ter als Tivoli Tasks aus gef hrt werden sollen Es dokumentiert au erdem die in Tivoli enthaltenen Richtlinienskripts m Tivoli Management Framework Release Notes Enth lt wichtige Informationen ber das Tivoli Management Fra mework Release Onlinever ffentlichungen ber die Tivoli Website f r Kundenunterst tzung k nnen Sie auf eine Vielzahl von Tivoli Ver ffentlichungen zugreifen http www tivoli com support documents Sie stehen im PDF und oder HTML Format zur Verf gung Ein Teil dieser Dokumentation liegt in mehreren Sprachen vor F r den Zugriff auf den Gro teil der Dokumentation ben tigen Sie eine ID und ein Kennwort Diese k nnen Sie bei Bedarf auf folgen der Website anfordern http www tivoli com support getting Version 3 8 Ver ffentlichungen bestellen Zus tzliche Exemplare k nnen Sie per E Mail bestellen LITERATA DE IBM COM Die Bestellung kann auch per Telefon oder Fax erfolgen m Telefon 0049 180 55090 bzw 0180 55090 m Fax 07032 15 3300 m Die in anderen L ndern g ltigen Telefonnummern finden Sie auf folgender Website http www tivoli com inside store lit_order html R ckmeldungen zu Ver ffentlichungen Ihre Erfahrungen mit Tivoli Produkten und Dokumentationen sind f r uns von besonderer Bedeutung Auch sind wir sehr an Ihren Kommentaren und Verbesserungsvorschl gen int
362. n zur Verf gung gestellte Unterkategorie wieder anzuzeigen erstel len Sie die Unterkategorie mit dem Befehl wertusrsubcat erneut Beispiel einer Dialoganpassung In den folgenden Abschnitten wird erl utert wie die Unterkategorie Security der Kategorie General hinzugef gt wird Anmerkung Sie m ssen f r dieses Beispiel AEF installiert haben Die Anzeige die der Unterkategorie Security zugeordnet ist enth lt die neuen Attribute ssn und badge 350 Version 3 8 Beispiel einer Dialoganpassung Einem Profil neue Attribute hinzuf gen Wenn Sie einem Profil neue Attribute hinzuf gen m chten verwen den Sie den Befehl waddprop Dieser Befehl f gt ein neues Attribut nur dem angegebenen Profil hinzu das Attribut wird an beliebige Profilkopien weitergegeben wenn Sie das Profil verteilen Da dieses Attribut auch in einigen Dialogen erscheinen muss wie zum Beispiel den Dialogen zum Hinzuf gen Editieren und Anzeigen gibt es einige Namenskonventionen die Sie beachten m ssen m Der Attributname muss innerhalb eines Profils eindeutig sein m Das Attribut wird als Spalten berschrift in der Tabelle f r den angegebenen Profilmerkmaledialog verwendet Daher sollten Sie einen Namen ausw hlen der Aufschluss ber die Verwendung des Attributs gibt Sie k nnen Leerzeichen in einem Attribut namen mit Unterstrichen _ wiedergeben zum Beispiel neuer _Standort m Es sind nur die folgenden Zeichen zul ssig a z A Z 0
363. n Beispiel wird ein Benutzer datensatz entfernt wdelusr r UserProfile sales jtate Dabei gilt Folgendes r Leitet einen rekursiven L schvorgang ein Der Benutzer wird sofort aus der Tivoli Datenbank entfernt ohne verteilt zu werden Das Benutzerkonto wird jedoch auf den Systemen auf denen es sich gegenw rtig befindet belassen Dieses Benutzerkonto wird au erdem nicht mehr von Tivoli verwal tet UserProfile sales Gibt das Profil an aus dem der Benutzerdatensatz gel scht wird jtate Gibt den Namen des Benutzerdatensatzes an der gel scht wird Weitere Informationen finden Sie in der Beschreibung des Befehls wdelusr im Handbuch Tivoli SecureWay User Administration Refe rence Manual Gruppenprofile an Subskribenten verteilen Nachdem Sie ein Benutzerprofil erstellt und diesem Datens tze hin zugef gt bzw Benutzerdatens tze editiert haben k nnen Sie das Pro Tivoli SecureWay User Administration Management Handbuch 241 uoyemion 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze 242 fil an die Subskribenten verteilen Es gibt zwei Subskriptionsebenen f r Tivoli SecureWay User Administration m Die Option Profilmanagersubskribenten legt die Endpunkte und Profilmanager fest an die der Inhalt des Profils von Tivoli SecureWay User Administration verteilt wird m Bei Auswahl der Option Subskribenten auf Datensatzebene wird berpr ft an welche Untergruppe dieser Endpunkte oder Profil
364. n Host oder Fern angeh ngt ausgew hlt haben klicken Sie auf Basisverzeichnis um den Dialog Datei Browser anzuzeigen Informationen zur Verwendung dieses Dialogs finden Sie in diesem Abschnitt in Schritt 3 218 Version 3 8 Informationen zu UNIX Benutzerkonten 5 Klicken Sie auf Standarddateien abrufen aus um den Dialog Datei Browser anzuzeigen Informationen zur Verwendung die ses Dialogs finden Sie in diesem Abschnitt in Schritt 3 W hlen Sie zum Editieren eines vorhandenen Basisverzeichnisses eine der folgenden Optionen in der Dropdown Liste Wenn Basisverzeichnis ge ndert wird aus Keine nderung Zeigt an dass die Merkmale eines vorhandenen Basis verzeichnisses nicht ge ndert werden Neues Basisverzeichnis erstellen Richtet ein neues Verzeichnis ein Dieses Verzeichnis ent h lt nur die Dateien die sich in dem Verzeichnis befin den das im Feld Standarddateien abrufen aus ausge w hlt wurde Inhalt aus altem Basisverzeichnis in neues Basisverzeichnis kopieren Kopiert alle Dateien Verzeichnisse und symbolische Ver bindungen in das neue Basisverzeichnis Verwenden Sie diese Option wenn Sie ein Archiv des bisherigen Basis verzeichnisses beibehalten m chten Inhalt aus altem Basisverzeichnis in neues Basisverzeichnis verschieben Verschiebt alle Dateien Verzeichnisse und symbolische Verbindungen in das neue Basisverzeichnis Tivoli SecureWay User Administration Management Handbuch 219 u S1 z
365. n ID und eine Gruppe von Anmeldenamen f r Mitglieder Weitere Informationen zur Konfigurationsverwaltung sowie zu Profi len und Profilmanagern finden Sie im Tivoli Management Frame work Benutzerhandbuch Tivoli SecureWay User Administration Management Handbuch 23 Bunyemasausddnig pun Jezinueg LU Benutzer und Gruppenprofile 24 Richtlinien f r Benutzer und Gruppenprofile Tivoli SecureWay User Administration verwendet auf Profilen statt auf Richtlinienbereichen basierende Richtlinien Das hei t dass jedes Benutzer und Gruppenprofil ber seine eigenen Standardwerte gruppen und Richtlinien f r G ltigkeitspr fung verf gt Standardwertegruppen legen Standardwerte f r Attribute fest die beim Erstellen neuer Profildatens tze nicht angegeben werden Richt linien f r G ltigkeitspr fung legen zul ssige Werte f r Profildaten s tze fest Weitere Informationen zu Standardwertegruppen und Richtlinien f r die G ltigkeitspr fung finden Sie im Tivoli Manage ment Framework Benutzerhandbuch Auf Profilen basierende Richtlinien bieten Ihnen mehr Flexibilit t bei der Verwaltung Ihrer Benutzerkonten Wenn beispielsweise in Ihrer Buchhaltungsabteilung andere Anforderungen an Benutzerkonten gestellt werden als in Ihrer Vertriebsabteilung K nnen Sie zwei unterschiedliche Profile in demselben Profilmanager erstellen die jeweils unterschiedliche Standardwertegruppen und Richtlinien f r G ltigkeitspr fung haben Genaue Bei
366. n Namen des Gruppendatensatzes an dessen Mitglied gel scht werden soll kmoon Gibt den Namen des zu l schenden Gruppenmitglieds an Weitere Informationen zum Editieren der Attribute eines Gruppen kontodatensatzes ber die Befehlszeile finden Sie in der Beschrei bung der Befehle wsetgrp und wrmusrg im Handbuch Tivoli Secu reWay User Administration Reference Manual Version 3 8 Gruppenkontodatensatz l schen Gruppenkontodatensatz l schen Wenn Sie ein Gruppenkonto nicht mehr ben tigen k nnen Sie es aus dem Profil l schen Wenn Sie das Profil dann erneut verteilen wird der Datensatz bei allen Subskribenten gel scht die die neue Profilkopie erhalten In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppenkontodatensatz Gruppenprofil admin l schen Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um einen Gruppendatensatz zu l schen 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Drot Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname G
367. n Namen mit dem Buchstaben Q begin nen k nnen nicht ber die grafische Benutzer schnittstelle GUI weitergegeben werden Sie k nnen sie ber die Befehlszeilenschnittstelle CLI weiterge ben Verteilen Aktualisieren Sie k nnen unter Verwendung der grafischen Benutzerschnittstelle oder des Befehls wdistrib modifizierte Datens tze verteilen Der AS 400 Endpunkt empf ngt die Daten und nimmt die nderungen an den AS 400 Benutzerprofilen vor Kennw rter Tivoli verwaltet AS 400 Benutzerkennw rter wie folgt m Durch ndern des Kennworts auf dem AS 400 System Wenn ein Kennwort mit OS 400 Befehlen ge ndert wird wird das Kennwort erst dann mit dem Kennwort des Tivoli Benutzer profils berschrieben wenn das Kennwort des Tivoli Benutzer profils explizit ge ndert wurde m Durch ndern des Attributs OS400_PassW ber die Tivoli Arbeitsoberfl che m Durch Ausf hren des Befehls wpasswd ber die Befehlszeilen schnittstelle Version 3 8 AS 400 spezifische Funktionen m Durch ndern des allgemeinen Kennworts mit dem Web Tool OnePassword ber das das OS 400 Kennwort ge ndert wird Dies wird auch mit der Option L im Befehl wpasswd angege ben Wenn ein Benutzerprofil an einen AS 400 Endpunkt weitergegeben wird ordnet Tivoli SecureWay User Administration dem Attribut OS400_PassW den Wert des Attributs OS400_Login zu Sie m ssen diese Konventionen beachten wenn Sie Benutzerprofile an Systeme verteilen i
368. n Objekt im Format LIB NAME OS400_Special_Environment SYSVAL Gibt die Sonderumgebung an in der der NONE Benutzer arbeitet nachdem er sich am Sys S36 tem angemeldet hat Tivoli SecureWay User Administration Management Handbuch usyemion 19z nu g 00t SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_Spool_Audit YES Gibt an ob Protokolleintr ge f r Spool NO Dateioperationen die von diesem Benutzer ausgef hrt werden gesendet werden OS400_Supp_GRPs NONE Gibt zus tzliche Gruppenzugeh rigkeiten an grpl EE Anmerkung Wenn Sie mehrere zus tzliche Eine Liste mit Gruppennamen Bis Gruppen ber die Befehlszeile angeben m s zu 15 Gruppen k nnen angegeben sen die Gruppen durch Kommas voneinander werden getrennt werden OS400_Sys_Mgmt_Audit YES Gibt an ob Protokolleintr ge f r Aktionen NO zum Erteilen von Systemverwaltungs berechtigungen die von diesem Benutzer ausgef hrt werden gesendet werden O0S400_UID GEN Eine vom System generierte ID Gibt die AS 400 Benutzer ID an Zahl Eine ganze Zahl zwischen 1 und 4294967294 OS 400 Benutzerkonten ndern Verwenden Sie die folgenden Befehle die von Tivoli SecureWay User Administration zum ndern von OS 400 Attributen f r Benutzerkonten zur Verf gung gestellt werden m Mit dem Befehl wertusr k nnen Sie einen neuen Benutzer erstellen m Mit dem
369. n dar ber warum dieses Feld optional ist und keine Einschr nkung durch den OS 2 Warp Server besteht finden Sie in der Dokumentation zum OS 2 Warp Server Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten Basisverzeichnis nach L schen dieses Benutzers beibehalten Aktivieren Sie dieses Kontrollk stchen wenn das Basis verzeichnis nach dem L schen des Benutzers beibehalten werden soll Standardm ig ist dieses Kontrollk stchen nicht aktiviert d h beim L schen des Benutzers wird das Basisverzeichnis ebenfalls gel scht Optionen f r OS 2 Konto In der Anzeige Optionen f r OS 2 Konto stehen mehrere neue Optionen zur Verf gung 1 W hlen Sie in der Merkmalliste die Option Optionen f r OS 2 Konto aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Optionen f r OS 2 Konto I Konto inaktiviert T Dieses Konto darf nicht gel scht werden Anmeldeskript Kontoablauf G Konto l uft ab Ablaufdaturn CT M D 2 Aktivieren Sie das Kontrollk stchen Konto inaktiviert wenn das Konto nach der n chsten Tivoli Verteilung inaktiviert werden soll In diesem Fall kann sich der Benutzer nicht mehr unter der OS 2 Benutzer ID anmelden Andernfalls ist das Konto aktiviert 3 Wird das Kontrollk stchen Dieses Konto darf nicht gel scht werden aktiviert und anschlie end ein Profil verteilt kann das Konto auf dem OS 2 Warp Server nicht gel scht werden Andernfalls k
370. n dem das neue Profil erstellt wird UserProfile Gibt die zu erstellende Profilart an 128 Version 3 8 Benutzerprofile einrichten region_2 Gibt den Namen des neuen Profils an Informationen zum Klonen eines Benutzerprofils mit Hilfe der Befehlszeile finden Sie in der Beschreibung des Befehls wertprf im Handbuch Tivoli Framework Reference Manual Benutzerprofile l schen Anmerkung Durch L schen eines Benutzerprofils werden nicht die Systembenutzerinformationen auf den Subskriptions endpunkten gel scht Durch L schen eines Benutzerprofils werden das urspr ngliche Profil und seine Datens tze aus dem Profilmanager gel scht Es werden au erdem Kopien des Profils aus den Subskribenten des Profil managers gel scht Zum L schen der Systembenutzerinformationen auf den Subskriptionsendpunkten m ssen Sie die Datens tze aus dem Profil l schen und dieses anschlie end an die Endpunkte verteilen Ein zum L schen markierter Benutzerdatensatz wird aus den End punkten entfernt an die das Benutzerprofil verteilt wird Wenn Sie alle zuvor im Profil definierten Informationen l schen und dieses Profil verteilen werden alle Benutzer aus den Endpunkten entfernt an die dieses Benutzerprofil verteilt wird Ausnahmen sind der Eintrag root und alle NIS Anweisungen in den Konfigurations dateien auf einem UNIX Endpunkt der Eintrag Administrator auf einem Windows NT Endpunkt sowie der Eintrag Admin auf einem NetWare Endpunkt Eine
371. n denen Kennw rter und Anmeldenamen nicht identisch sein d rfen Sonderfunktionen f r AS 400 Tivoli SecureWay User Administration stellt die folgenden Funktio nen f r AS 400 Systeme zur Verf gung m Das L schen von AS 400 Benutzerprofilen anpassen Verwenden Sie die Attribute OS400_DLT_Action und O0S400_DTL_NewOwn zur Angabe der Aktionen die f r Objekte die zu l schenden AS 400 Benutzerprofilen angeh ren ausgef hrt werden sollen m Gruppenzugeh rigkeit auf AS 400 Endpunkten steuern Verwenden Sie die Attribute OS400_Prim_GRP und OS400_Supp_GRPs um die Gruppenzugeh rigkeit auf AS 400 Endpunkten zu steuern m Ein Skript das Ihnen hilft Benutzerprofile in kleineren Einhei ten zu verwalten Verwenden Sie das Skript w4getusers pl um Dateien f r die Ver wendung mit dem Befehl wpopusrs f zu erstellen Das Skript befin det sich im Verzeichnis usr Tivoli bin lcf_bundle generic Im fol genden Beispiel wird die Syntax f r den Befehl w4getusr pl und dessen Parameter aufgezeigt root ibmtmpl 161 w4getusr p Syntax w4getusr pl lt Option gt Host Name d lt dir gt Zielverzeichnis f r Ausgabedateien n lt Number gt Maximale Anzahl an Eintr gen in den Dateien Tivoli SecureWay User Administration Management Handbuch 385 usyemion J9Z1nu9g 007 SV V Sonderfunktionen f r AS 400 root ibmtmp1 164 mkdir tmp dddd root ibmtmpl 166 w4getusr pl d tmp dddd n 10 rocket tmp dddd Maschine rocket
372. n der Benutzer die M glichkeit haben soll sich von jeder beliebigen Workstation aus anzumel den Funktionsweise von SecureWay User Administration auf OS 2 Endpunkten In den folgenden Abschnitten wird beschrieben wie Tivoli Secure Way User Administration mit dem Tivoli SecureWay User Administ ration for OS 2 Endpunktagenten arbeitet OS 2 Endpunkt als prim rer bzw Backup Dom nen controller In einer typischen Installation werden von Tivoli Benutzerdaten an einen als prim ren Dom nencontroller eingesetzten OS 2 Warp Ser ver verteilt bzw aus diesem bernommen Der Tivoli Agent auf einem OS 2 Endpunkt arbeitet dabei mit der lokalen Benutzerkon tendatenbank Da es sich bei diesem System um einen prim ren Dom nencontroller handelt handelt es sich bei der lokalen Benutzer kontendatenbank um die Benutzerdatenbank der LAN Dom ne Alternativ dazu kann Tivoli Benutzerdaten auch an den Backup Dom nencontroller verteilen bzw aus diesem bernehmen In diesem Fall handelt es sich bei der Zieldatenbank ebenfalls um die Benutzer datenbank der LAN Dom ne Alle Anforderungen an den Backup Dom nencontroller werden einfach an den Dom nencontroller wei tergeleitet Daher sollte als Tivoli Zieladresse entweder der prim re Dom nencontroller oder der Backup Dom nencontroller ausgew hlt werden nicht aber beide Unabh ngig von dem angegebenen Controller ist auf jeden Fall die Anmeldung als OS 2 Administrator erforderlich Wenn
373. n m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist Der Wert Null gibt an dass Kennw rter beliebig lang sein d rfen und die Kennwortl nge nicht berpr ft wird PwMinLowers UXPwMinLowers Gibt die Mindestanzahl an alphabetischen Zeichen in Klein schreibung a z an die im Kennwort vorkommen m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist PwMinNums UXPwMinNums Gibt die Mindestanzahl an Zahlen 0 9 an die in einem Kennwort enthalten sein m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist PwMinOther Gibt die Mindestanzahl an anderen nichtalphabetischen Zei chen an die in einem Kennwort enthalten sein m ssen G l tige Werte sind 0 bis 65535 Der Standardwert ist 0 PwMinSpecials UXPwMinSpecials Gibt die Mindestanzahl an Sonderzeichen an die im Kenn wort vorkommen m ssen Ein Sonderzeichen ist jedes nicht alphanumerische Zeichen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist Version 3 8 Kennwortqualit tsregeln PwMinUppers UXPwMin ppers Gibt die Mindestanzahl an alphabetischen Zeichen in Gro schreibung A Z an die im Kennwort vorkommen m ssen Der Wert dieses Attributs muss eine ganze Zahl sein die gr er als oder gleich Null ist Damit die RACF Qualit tsregeln f r Kennw rter RFPwRules und RFPwSyntax an
374. n und schlie en Erstellen Schlie en I E Anmerkung Profile die sich in demselben Richtlinienbereich befinden d rfen nicht denselben Namen haben selbst wenn sie in unterschiedlichen Profil managern erstellt werden Geben Sie einen eindeutigen Name f r das Profil im Feld Name Symbolbezeichnung ein W hlen Sie GroupProfile in der Liste Art aus Klicken Sie auf Erstellen und schlie en um das Profil zu erstellen und zum Fenster Profilmanager zur ckzukehren Tivoli erstellt das Gruppenprofil und zeigt im Fenster Profil manager das Symbol des Profils an Tivoli SecureWay User Administration Management Handbuch 279 us y9L1ula a Joadusddniyg oe Mit Gruppenprofilen arbeiten 280 Befehlszeile Im folgenden Beispiel wird ein neues Gruppenprofil erstellt wertprf PolicyRegion UNIX_groups GroupProfile developers Dabei gilt Folgendes PolicyRegion UNIX_groups Gibt den Namen des Profilmanagers an in dem das Gruppenprofil erstellt werden soll GroupProfile Gibt die zu erstellende Profilart an developers Gibt den Namen des neuen Gruppenprofils an Informationen zum Erstellen eines Gruppenprofils ber die Befehls zeile finden Sie in der Beschreibung des Befehls wertprf im Hand buch Tivoli Framework Reference Guide Gruppenprofile klonen Durch das Klonen eines Gruppenprofils wird eine exakte Kopie eines vorhandenen Profils erstellt einschlie lich seiner Standardwerte gruppen und Richtlinien a
375. nager admir Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin fin hor o Ya daemon daemon 110 p Ja db db 09 D pa Ip Ip 109 p a Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe esiteren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen E A 2 W hlen Sie im Men Ansicht nacheinander Sortieren gt Attri bute aus um den Dialog Attribute anzeigen aufzurufen Z Attribute anzeigen Gol Konfigurationsprofil Rechenzentrum in Profilmanager admin Angezeigte Attribute Nicht angezeigte Attribute Gruppennane Gruppen ID Anzahl der Benutzer Subskribent kann editieren Kommentar Benutzer Dl Anzeigen und schlie en G 3 W hlen Sie die Attribute aus die in der Liste Angezeigte Attri bute nicht angezeigt werden sollen Klicken Sie auf den Rechts pfeil um das ausgew hlte Attribut in die Liste Nicht angezeigte Attribute zu verschieben Tivoli SecureWay User Administration Management Handbuch 333 uoyemion ozjesuspepusddnig e Gruppendatensatzattribute sortieren 4 W hlen Sie ein Attribut in der Liste Angezeigte Attribute aus und klicken Sie auf den Aufw rtspfeil oder den Abw rtspfeil um es an die Position zu verschieben an der das Attribut im Fenster Gruppenprofilmerkmale angezeigt werden soll Wiederho
376. namen an Geben Sie Ihr altes Kennwort an Geben Sie Ihr neues Kennwort an Geben Sie Ihr neues Kennwort emeut an Wenn Sie alle Kennw rter ndern m chten machen Sie die erforderlichen Angaben in den oben aufgef hrten Textfeldern und klicken Sie anschlie end auf diese Schaltfl che Alle Kennw rter ndern Wenn Sie einige ausgew hlte Kennw rter ndern m chten machen Sie die erforderlichen Angaben in den oben aufgef hrten Textfeldern und klicken Sie anschlie end auf diese Schaltfl che Ausgew hlte Kennw rter ndern L schen _ Abbrechen Hitte Letzte nderung 16 Mai 06 43 00 CST 2001 Bone L E My Computer Geben Sie Folgendes ein m Den Namen des Benutzers dessen Kennwort ge ndert wer den soll m Das neue Kennwort m Best tigung des neuen Kennworts Anmerkung Durch das Leerlassen des Felds f r das alte Kenn wort identifizieren Sie sich gegen ber OnePass word als Tivoli Administrator Klicken Sie auf eine der folgenden Optionen m Alle Kennw rter ndern m Ausgew hlte Kennw rter ndern Anmerkung Da Sie sich als Tivoli Administrator identifiziert haben m ssen Sie eine Authentifizierung vorneh men Version 3 8 OnePassword A Tivol Administrator authentiizieren Microsoft Internet Explorer Hostname Benutzername Kennwort Festlegen L schen Abbrechen Hitte 4 Geben Sie Folgendes ein m Ihren Hostnamen falls es sich n
377. nbank f r Benutzer konten konnte nicht vergr ert wer den 2458 NERR_PasswordMismatch Es wurde eine Kennwortabweichung festgestellt 2459 NERR_MaxBadPasswordExceeded Die Nummer des ung ltigen Kenn worts 2460 NERR_NoSuchServer Die Server ID gibt keinen g ltigen Server an 2461 NERR_NoSuchSession Die Sitzungs ID gibt keine g ltige Sitzung an 2462 NERR_NoSuchConnection Die Verbindungs ID gibt keine g ltige Verbindung an 2463 NERR_TooManyServers Der Platz reicht nicht aus um der Liste mit den verf gbaren Servern einen weiteren Eintrag hinzuzuf gen 2464 NERR_TooManySessions Der Server hat die maximale Anzahl der unterst tzten Sitzungen erreicht 2465 NERR_TooManyConnections Der Server hat die maximale Anzahl der unterst tzten Verbindungen erreicht 2466 NERR_TooManyFiles Der Server kann keine weiteren Dateien ffnen da die maximale Anzahl erreicht wurde Tivoli SecureWay User Administration Management Handbuch 437 usyemion J49z1nuag 2 SO 9 OS 2 Ergebniscodes 438 Fehler Definition Anmerkungen 2467 NERR_NoAlternateServers Auf diesem Server sind keine alterna tiven Server registriert 2480 NERR_UPSDriverNotStarted Der UPS Dienst konnte auf den UPS Treiber nicht zugreifen 2500 NERR_BadDosRetCode Das folgende Programm hat einen MS DOS
378. nd HP UX 11 x eingef gt Geben Sie im Feld GECOS den tats chlichen Namen des Benut zers ein 10 Klicken Sie auf Shell um den Dialog zum Ausw hlen des Pfads der Anmelde Shell anzuzeigen Tivoli SecureWay User Administration Management Handbuch 211 u S1 z su ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten 212 7 Datei Browser GIL Datei ausw hlen Dateinamenfilter Verzeichnisse Dateien dt sw SD_CDROM Kei mr pp Tivoli bin cdrom Si Xauthority dtprofile DEEG profile thosts sisupgrade out Pfad festlegen Datei definieren und schlie en Datei Zemmeren Schlie en Hit Gb a Klicken Sie in der Liste Hosts doppelt auf den entsprechen den Server Tivoli SecureWay User Administration zeigt eine Liste mit Verzeichnissen in der Liste Verzeichnisse an b Klicken Sie in der Liste Verzeichnisse doppelt auf das Ver zeichnis das die Shell Interpreter Befehle enth lt Tivoli SecureWay User Administration zeigt eine Liste mit Dateien in der Liste Dateien an c W hlen Sie in der Liste Dateien die Datei aus die den Shell Interpreter darstellt der f r dieses Benutzerkonto ver wendet werden soll d Klicken Sie auf Datei definieren und schlie en um diesen Pfad dem Feld Shell hinzuzuf gen und den Dialog zum Ausw hlen des Pfads der Anmelde Shell zu schlie en Informationen
379. nd die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Standardwerte f r Ver Profilmanager admin teilung festlegen Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um die Standardwerte eines Profils festzulegen 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutzerprofilmerkmale anzuzeigen 152 Version 3 8 Benutzerprofile einrichten 3 Benutzerprofilmerkmale Profil Editieren Ansicht Hilfe Be E Benutzerprofil Benutzer Kennung festiegen Subskriptionspfad fadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX iapprich liapprich nie userid1 eeng inte uzeller uzeller binic wfriesch wfriesch binde Auswahl aller Benutzer zur cknehm H 2 W hlen Sie Standardwerte verteilen im Men Profil aus um den Dialog Standardwerte f r Verteilung festlegen anzuzeigen 9 Standardwerte f r Verteilung festlegen olx Konfigurationsprofil Benutzer in Profilmanager admin Verteilen auf C Alle Subskribentenebenen Die Verteilung wird nderungen in der Profilkopie der Subskribenten erhalten C Profil der Subskriben
380. nd wchkadmdb 376 Datenbankschl ssel Beschreibung Datensatzschl ssel lisa Anmeldung pOID_5 dave nt_Anmeldung pOID_6 Anmerkung In der Praxis w rde die Benutzernamensdatenbank auch Eintr ge f r den allgemeinen Anmeldenamen sso_login und m glicherweise NetWare Anmelden amen enthalten Sie kann f r denselben Benutzer datensatz auch verschiedene Anmeldenamen f r jede Anmeldung enthalten Die Gruppennamendatenbank entspricht ungef hr der Benutzernamensdatenbank und enth lt UNIX Gruppennamen die in Gruppenprofilen verwendet werden Die Benutzer ID Datenbank Datenbankschl ssel Beschreibung Datensatzschl ssel 100 Benutzer ID pOID_1 101 Benutzer ID pOID_2 102 Benutzer ID pOID_3 103 Benutzer ID pOID_4 104 Benutzer ID pOID_5 105 Benutzer ID pOID_6 Anmerkung Die Gruppen ID Datenbank und die Pr f ID Daten bank sind der Benutzer ID Datenbank hnlich Die Gruppen ID Datenbank enth lt die UNIX Gruppen IDs die in Gruppenprofilen verwendet werden und die Pr f ID Datenbank enth lt die in Gruppenprofilen ver wendeten UNIX Pr f IDs Die Datenbank der Benutzersuchfunktion Datenbankschl ssel Beschreibung Datensatzschl ssel Tim Jones tats chlicher Name pOID_1 Version 3 8 Benutzer und Gruppen Indexdatenbanken und wchkadmdb Datenbankschl ssel Beschreibung Datensatzschl ssel Bill Best tats chlicher Name pOID_2
381. ndatensatz in einem Sicherheitsprofil herge stellt wird Diese Verbindung wird mit der Option sp der Befehle wertusr wsetusr hergestellt Diese Option wird wie folgt verwendet sp lt secpol name gt lt syspolrec name gt wobei lt secpol name gt der Name des Sicherheitsprofils der den gew nschten Systemrichtliniendatensatz enth lt mit oder ohne die Initiale SecurityProfile und lt syspolrec name gt der Name des gew nschten Systemrichtliniendatensatzes ist F r das Attribut syspolrec k nnen Standardwertegruppen verwendet werden um alle Benutzerdatens tze in einem Benutzerprofil mit demselben Systemrichtliniendatensatz zu verbinden Gesetzt den Fall ein Systemrichtliniendatensatz mit dem Namen Qualit tsregeln befindet sich im Sicherheitsprofil sp1 Dann w rde mit dem fol genden CLI Befehl die Standardwertegruppe erstellt die allen im Benutzerprofil up1 erstellten Benutzern diesen Systemrichtlinien datensatz zuordnet wputpolm d c 1825034724 1 762 SECURITYP SecurityProfile Qualit tsregeln UserProfile upl syspolrec Anmerkung Im Befehl wputpolm wird die Objekt ID OID und nicht der Name des Sicherheitsprofils verwendet Die Objekt ID OID und der Name des Systemricht liniendatensatzes werden durch ein Semikolon von einander getrennt und nicht durch einen Doppelpunkt wie in der Option wsetusr Sp Version 3 8 Kennwortqualit tsregeln Wenn diese Verbindung hergestellt wurde werden
382. nen Sie auf Standardwerte verwenden klicken um den Rest der Dialogfelder mit den Standardwerten zu f l len Wenn Sie auf Standardwerte verwenden klicken nachdem Sie Informationen in ein Feld eingegeben haben f r das eine Standardwerte gruppe definiert ist ersetzt Tivoli SecureWay Tivoli SecureWay User Administration Management Handbuch 305 uoyemion ozjesuspepusddnig e Neue Datens tze f r Gruppenkonten erstellen 306 10 11 12 13 14 User Administration Ihre Informationen durch die Informationen aus der Standardwertegruppe ndern Sie anschlie end nach Bedarf die Werte in den Feldern Wenn Richtlinien f r G ltigkeits pr fung verwendet werden m ssen die von Ihnen gew hlten Werte die G ltigkeitspr fung f r die Felder durchlaufen deren Richtlinien auf G ltig keit gepr ft werden Wenn die Werte nicht g ltig sind wird der Datensatz dem Profil nicht hinzu gef gt Klicken Sie auf Standardwerte verwenden Geben Sie die Identifikationsnummer der Gruppe GID in das Feld Gruppen ID ein Geben Sie die Kommentare zur Gruppe in das Feld Kommen tar ein Wenn Sie m chten dass die Subskribenten diesen Datensatz editieren k nnen aktivieren Sie das Kontrollk stchen Gruppen datensatz kann von Subskribenten bearbeitet werden W hlen Sie ein Benutzerprofil aus dem Benutzerkonto informationen f r die Gruppe abgerufen werden sollen in der Liste Verf gbare Benutzerprofile aus W hlen Sie
383. nen Ver einbarungen nicht eingehalten werden e Entwickeln und Erstellen von einem Paket f r Dienststufen berichte f r die Serververwaltung e Entwicklung Wartung von konten und Tool spezifischen Pro zessen und Prozeduren aushandeln und organisieren den Prozessverantwortlichen Prozessvoraussetzungen und er weiterungen darlegen Aktualisierungen f r Betriebsprozesse berpr fen genehmi gen und implementieren Sie sollten in Erw gung ziehen die Zust ndigkeiten zwischen leiten den und einfachen Administratoren aufzuteilen Mit Tivoli Secure Way User Administration k nnen Sie verschiedenen Mitarbeitern Berechtigungsklassen zuordnen Gesch ftsanforderungen Beim Erstellen des Einsatzes m ssen nicht nur die Personen denen Zugriffsberechtigungen f r Benutzerkontoinformationen erteilt wer den sondern auch andere gesch ftsumgebungsspezifische Punkte ber cksichtigt werden In der folgenden Liste sind einige dieser zu ber cksichtigenden Punkte aufgef hrt Datenvolatilit t Wie oft werden Benutzerkonten hinzugef gt ge ndert bzw gel scht Plattformheterogenit t Auf welchen Plattformarten befinden sich die Benutzerkontoinformationen die mit Tivoli SecureWay User Administration verwaltet werden sollen Anmeldeverfahren Werden sich die Benutzer an allen Plattfor men und Maschinen auf dieselbe Weise anmelden Oder sind f r verschiedene Maschinen Plattformen und andere Ressourcen unterschiedliche Anmeldev
384. nen Web Browser Eine Sicherung der TME Datenbank wird sowohl vor als auch nach der Installation von OnePassword empfoh len damit Sie die urspr ngliche Datenbank wiederherstellen k nnen falls sich w hrend der Installation von OnePassword ein Problem ergibt Anmerkung Die Installation von OnePassword erfolgt in zwei Schritten Der erste in diesem Abschnitt beschriebene Schritt umfasst die Installation der Image Dateien in die entsprechenden Verzeichnisse des TMR Servers Im zweiten Schritt beschrieben unter g eite werden diese Images in SES KEE des Webservers auf derselben Maschine installiert Der Webserver muss auf derselben Maschine wie der TMR Server installiert werden Der Webserver sollte m glichst SSL f hig sein Wenn Sie den Webserver nicht auf derselben Maschine installieren kann OnePassword weder installiert noch verwendet werde Arbeitsoberfl che F hren Sie folgende Schritte aus um OnePassword ber die Tivoli Arbeitsoberfl che zu installieren 1 W hlen Sie im Men Arbeitsoberfl che die Option Installieren gt Produkt installieren aus um den Dialog Produkt installie ren anzuzeigen Tivoli SecureWay User Administration Management Handbuch 65 us4a jjelsu Z OnePassword Paket installieren 66 Produkt installieren Bisi E t KR Produkt auf der Arbeitsoberfl che des Administrators installieren Zu installierendes Produkt ausw hlen Tivoli SecureWay User Administration Ve
385. nerieren oder auf Hinzuf gen klicken bernimmt Tivoli SecureWay User Administration f r alle Attribute f r die Sie keinen Wert eingegeben haben die Werte aus der defi nierten Standardwertegruppe Anmerkung F r die Weitergabe von Daten an NetWare Benutzer m ssen Sie unter Umst nden die Standardwerte gruppen nw_nds_context und nw_volume_restric tions zur cksetzen Weitere Informationen hierzu fin den Sie unter LD g und im Kapitel ber Richtlinien im Handbuch Tivoli SecureWay User Administration Refe rence Manual In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Standardwertegruppe Benutzerprofil senior f r Benutzer editieren Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Standardwertegruppen f r Benutzer zu editieren 132 Version 3 8 Benutzerprofile einrichten Klicken Sie doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutzerprofilmerkmale anzuzeigen Benutzerprofilmerkmale _IoIx Profil Editieren Ansicht Hilfe Benutzerprofil Benutzer Kennung festiegen Subskriptionspfad Jadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmel
386. ng Berechtigungsklasse Gruppendatensatz in Gruppenprofil user einem Gruppenprofil suchen Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um einen Datensatz in einem Gruppenprofil zu suchen 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale AmE Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admir Sa Subskriptionspfad fadmin Rechenzentrum 4 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin D 107 0 Ja daemon daemon 110 p ha db Ri 108 p Ya Ip Ip 109 p pa Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen 2 W hlen Sie Suchen im Men Ansicht aus um den Dialog Datensatz suchen anzuzeigen H Datensatz suchen MEEI Konfigurationsprofil Rechenzentrum in Profilmanager admin Subskribent kann editieren 1 Exakte bereinstimmung Erstes Vorkommen suchen N chstes vorkommen suchen Alle suchen innatti senen Schieren Hire A Tivoli SecureWay User Administration Management Handbuch 327 U JJEMI A z esu jepu ddn 9 e Gruppendat
387. nicht gestartet 2140 NERR_InternalError Ein interner LAN Manager Fehler ist aufgetreten 2141 NERR_BadTransactConfig Der Server wurde nicht f r Transakti onen konfiguriert 2142 NERR_InvalidAPI Die angeforderte API wird nicht vom fernen Server unterst tzt 2143 NERR_BadEventName Der Ereignisname ist ung ltig Version 3 8 OS 2 Ergebniscodes Fehler Definition Anmerkungen 2146 NERR_CfgCompNotFound Die angegebene Komponente konnte in der Datei IBMLAN INI nicht gefunden werden 2147 NERR_CfgParamNotFound Der angegebene Parameter konnte in der Datei IBMLAN INI nicht gefun den werden 2149 NERR_LineTooLong Eine Zeile in der Datei IBBMLAN INI ist zu lang 2150 NERR_QNotFound Die Druckwarteschlange ist nicht vor handen 2151 NERR_JobNotFound Der Druckjob ist nicht vorhanden 2152 NERR_DestNotFound Die Druckerzieladresse wurde nicht gefunden 2153 NERR_DestExists Die Druckerzieladresse ist bereits vor handen 2154 NERR_QExists Die Druckwarteschlange ist bereits vorhanden 2155 NERR_QNoRoom Es k nnen keine weiteren Druck warteschlangen hinzugef gt werden 2156 NERR_JobNoRoom Es k nnen keine weiteren Druckjobs hinzugef gt werden 2157 NERR_DestNoRoom Es k nnen keine weiteren Drucker zieladressen hinzugef gt werden 2158 NERR_Destldle Diese Druckerzieladresse ist ina
388. nistrati on Dialog gespeichert und beim ffnen des Dialogs dynamisch gela den werden Diese Strategie schafft eine Grenze zwischen der Anwendung Tivoli SecureWay User Administration und den Anpassungen dadurch k n nen die Anpassungen bei Aktualisierungen von Tivoli SecureWay User Administration beibehalten werden Tivoli SecureWay User Administration Management Handbuch 349 uassedue Aem93AN99S IJOAIL LL Anpassungsstrategie Kategorien und Unterkategorien l schen Sie k nnen nicht nur neue Kategorien und Unterkategorien hinzuf gen sondern diese auch l schen Mit dem Befehl wdelusrcat werden benutzerdefinierte Kategorien gel scht und die von Tivoli SecureWay User Administration bereitgestellten Kategorien und Unterkategorien verdeckt Wenn Sie zum Beispiel die Kategorie Windows NT l schen zeigt Tivoli SecureWay User Administration die Windows NT Unterkategorien nicht an Die Befehle wlsusrcat und wlsusrsubcat listen Kategorien und Unterkategorien auf Mit dem Befehl wdelusrsubcat werden benutzerdefinierte Unterkategorien gel scht und von Tivoli Secure Way User Administration bereitgestellte Unterkategorien verdeckt Diese Befehle werden wie folgt verwendet m Um eine verdeckte von Tivoli SecureWay User Administration zur Verf gung gestellte Kategorie und deren Unterkategorien wieder anzuzeigen erstellen Sie die Kategorie mit dem Befehl wertusrcat erneut m Um eine verdeckte von Tivoli SecureWay User Administratio
389. nistration stellt in Ihrer TME Tivoli Management Environment die Funktionen f r die Benutzer und Gruppenverwaltung sowie f r die NIS Verwal tung NIS Network Information Systems zur Verf gung In diesem Kapitel erhalten Sie die erforderlichen Informationen f r die Installation dieser Anwendung Tivoli SecureWay User Administration Management Handbuch 47 us4a jjelsu Z Anmerkungen vor der Softwareinstallation m Wenn Sie Tivoli SecureWay User Administration installieren f gen Sie Ihrer Tivoli Installation die M glichkeit zur Benutzer Gruppen und NIS Verwaltung hinzu Diese Anwendung kann als Server oder verwalteter Knoten unter AIX HP UX Solaris oder Windows NT laufen Mit Tivoli Software Installation Service installieren SIS Software Installation Service k nnen mehrere Tivoli Produkte auf mehreren Systemen parallel installiert werden Dieses auf Java basierende Produkt kann daher mehr Produkte auf mehr Systemen in sehr viel weniger Zeit installieren als die Installationsfunktion von Framework SIS pr ft ob die Produktvoraussetzungen und sofern definiert die benutzerdefinierten Voraussetzungen erf llt sind und stellt so sicher dass m glichst wenige Installationen fehlschlagen Fehler bei der Installation treten normalerweise nur dann auf wenn Maschinen ausgeschaltet oder aus dem Netzwerk entfernt werden SIS erstellt au erdem ein Installations Repository IR in das Sie das Installationsimage eines oder m
390. nkte der Endpunktarten die ber die Argumente c Endpunktartcode angegeben wurden enth lt Schlie lich wird das Benutzerkennwort auf diesen Endpunkten zeitgleich unter Verwen dung der Framework Funktion mdist ge ndert Meldungen ber erfolgreiche fehlerhafte Operationen Wenn keine ausf hrliche Anzeige angefordert wurde d h wenn die Option v nicht verwendet wurde werden nur Nachrichten ausgege ben wenn bei nderungen von Endpunktkennw rtern Ausnahmen aufgetreten sind Dies bedeutet dass nur die Namen der Endpunkte angezeigt werden f r die eine Kennwort nderung nicht erfolgreich ausgef hrt werden konnte und die eine Ausnahmebedingung zur ck gegeben haben Die Nachrichten die von einem Endpunkt ausgege ben werden werden immer angezeigt Einige Endpunkte geben zwar Fehlermeldungen jedoch keine Ausnahmebedingungen zur ck Der Tivoli SecureWay User Administration Management Handbuch 103 Bunyema9aAuOMUUDY E Leistungsspektrum von wpasswd 104 Befehl wpasswd gibt leider keine Fehlermeldungen f r diese End punkte aus auch wenn die f r diese Endpunkte ausgef hrte Opera tion eindeutig fehlerhaft war Halten Sie sich an die Nachrichten Nach erfolgreicher Ausf hrung des Befehls wpasswd L wird nor malerweise folgende Meldung ausgegeben wpasswd L user2 Neues Kennwort Neues Kennwort erneut eingeben Die Administrator Kennwort nderung f r Benutzername user2 wurde erfolgreich ausgef hrt LDAP SSO
391. nn 80 LEE ERE EEE E E E EDE E E AE EE EE 82 Kapitel 4 Kennwortverwaltung sussnnnssnnssnnue 83 vi Version 3 8 Befehl wpasswd verwenden Berechtigungsklassen f r Kennwort nderungen Kennw rter und Endpunktarten 22222 ccoeeen nennen Allgemeine und endpunktartspezifische Kennw rter Nur das allgemeine Kennwort ndern 222222 Kennwort nderung durch Benutzer teuer Kennwortqualit tsregeln 2222 cceeeeee rennen Unterst tzte Security Manager Kennwortrichtlinien Nicht unterst tzte Security Manager Kennwortrichtlinien Windows 2000 Kennwortrichtlinien 222222222 eeeenen Durchsetzung durch den Server oder Durchsetzung durch den End Leistungsspektrum von wpasswd 2 22 Cceeeeeeeeennn Kennw rter ndern Dienstprogrammfunktionen Verwendung durch den Endbenutzer oder Verwendung durch den Administrator ee sngt een nennen Verwendung auf verwalteten Knoten oder Verwendung auf TMA et e EE Interne Informationen zum Befehl wpasswd ssnunnuaauaaa G ltigkeitspr fung f r alte Kennw rter 2 2 2200 Verwendung der Option L 22222 neeeeeeeen nn Verwendung von Mert Lange Kennw rter 2 2 r 0 0020 EEN EE EE ENEE Synchronisation von Tivoli ACF durch Tivoli SecureWay User Administra Bei Verwaltung des Endpunkts durch Tivoli SecureWay User Admi NIStrAtION e EES ann sen NEE NNN EEN EL E
392. nnen Sie den Pfad zum Installationsdatentr ger angeben a Geben Sie den vollst ndigen Pfad in das Feld Pfadname ein b Klicken Sie auf Pfad festlegen um das angegebene Verzeich nis zu ndern c Klicken Sie auf Datentr ger festlegen und schlie en um den neuen Datentr gerpfad zu speichern und zum Dialog Pro dukt installieren zur ckzukehren Der Dialog enth lt nun eine Liste der f r die Installation verf gbaren Produkte 3 Gehen Sie wie folgt vor wenn Sie den genauen Pfad zum CD ROM Image nicht kennen a W hlen Sie in der Liste Hosts den Host aus an den der Installationsdatentr ger angeh ngt ist Durch die Auswahl eines Hosts wird die Liste Verzeichnisse so aktualisiert dass die Verzeichnisse des ausgew hlten Hosts angezeigt werden Tivoli SecureWay User Administration Management Handbuch 51 us4a jelsu Z Tivoli SecureWay User Administration installieren 52 b W hlen Sie in der Liste Verzeichnisse das Verzeichnis mit dem Installationsdatentr ger aus c Klicken Sie auf Datentr ger festlegen und schlie en um den neuen Datentr gerpfad zu speichern und zum Dialog Pro dukt installieren zur ckzukehren Der Dialog enth lt nun eine Liste der f r die Installation verf gbaren Produkte W hlen Sie Tivoli SecureWay User Administration Version 3 8 in der Liste Zu installierendes Produkt ausw hlen aus Verwenden Sie zur Angabe der Clients auf denen dieses Produkt installiert werden soll die
393. nnen einen Benutzerdatensatz ber die Tivoli Arbeits oberfl che oder ber die Befehlszeile sperren Arbeitsoberfl che F hren Sie folgende Schritte aus um einen Benutzerdatensatz zu sperren oder freizugeben 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie sperren oder freigeben m chten 254 Version 3 8 Benutzerdatens tze verwalten 2 W hlen Sie den zu sperrenden oder freizugebenden Benutzer datensatz aus 3 ffnen Sie in der Benutzersuchfunktion den Dialog Benutzer profilmerkmale 4 W hlen Sie die Option Datens tze sperren im Men Editieren aus Tivoli SecureWay User Administration platziert eine Schl sselglyphe neben den Datensatz um anzuzeigen dass dieser gesperrt ist 7 Benutzerprofilmerkmale of x Profil Editieren Ansicht Hilfe Benutzerprofil Kennung festlegen Subskriptionspfad fadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX iapprich 102 102 1 iapprich iapprich binic mam r En CC CC I eler 100 100 1 uzeller uzeller inte Wiriesch 103 103 1 wfriesch wfriesch binic ER Benutzer hinzuf gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmen DH gt 5 W hlen Sie zum Freigeben eines Datensatzes einen gesperrten Datensatz und dann die Option Datens tze freigeben im Me
394. nnwort des angegebenen Kontos Der Befehl wsetnds kann nicht f r Systeme mit NetWare 3 x verwendet werden da NetWare 3 x NDS Baumstrukturen nicht unterst tzt Wenn Sie von einem Net Ware Knoten aus Benutzerinformationen weitergeben k nnen Sie nur die Benutzerinformationen mit einer Kontoart kleiner oder gleich der dem Befehl wsetnds zugeordneten Kontoart verwenden OS 390 Resource Access Control Facility RACE RACE Resource Access Control Facility ist ein Sicher heitsdienst der Benutzern den Zugriff auf gesch tzte Ressourcen erm glicht RACH ist Teil des OS 390 Security Server der wiederum Teil des Betriebssystems OS 390 ist RACF Datenbank Die RACF Datenbank speichert Informationen zu Benutzern Grup pen Datens tzen und anderen Ressourcen Die Datenbanks tze die diese Objekte beschreiben haben die Bezeichnung Profile In der RACH Datenbank befinden sich unterschiedliche Profilarten Ein Profil zum Schutz einer einzelnen Ressource beispielsweise eines Transaktions oder Chiffrierschl ssels hat die Bezeichnung Einzel profil Ein Profil zum Schutz mehrerer Ressourcen wird als generi sches Profil bezeichnet Die RACF Datenbank verwendet auch Benutzer und Gruppenprofile Tivoli SecureWay User Administration Management Handbuch 17 Bunyemasausddnig pun 9z1nuag L Konzepte f r plattformspezifische Benutzerverwaltung Anmerkung Die RACF Profile sollten nicht mit den Tivoli Secure way User Adminstration Profilen
395. nnworts ein Informationen zum UNIX Verzeichnis Mit der Option UNIX Verzeichnis k nnen Sie das Basisverzeichnis festlegen und bestimmte Kenndaten bez glich des Basisverzeich nisses definieren Tivoli SecureWay User Administration Management Handbuch 213 u S1 z su ep 1 z nu g 9 Informationen zu UNIX Benutzerkonten 214 Unterst tzung f r UNIX Basisverzeichnisse Tivoli User Administration unterst tzt zwei Arten von UNIX Basis verzeichnissen Lokal an Host Erstellt auf jedem Endpunkt und verwalteten Knoten der eine Subskription f r das Benutzerprofil einrichtet ist ein Basisverzeichnis f r den Benutzer Aus diesem Grund enthal ten m glicherweise alle subskribierenden Maschinen Hun derte von Basisverzeichnissen eines f r jeden im Benutzer profil definierten Benutzer Fern angeh ngt Das Basisverzeichnis ist auf einem NFS Server gespeichert Alle subskribierenden Endpunkte und verwalteten Knoten werden an das Dateisystem das das Basisverzeichnis enth lt angeh ngt Wenn es sich bei dem NFS Server um einen verwalteten Knoten handelt verwendet Tivoli SecureWay User Administ ration Services die von Tivoli Management Framework zur Verf gung gestellt werden um alle Operationen die f r das Erstellen und Unterst tzen von fern angeh ngten UNIX Basisverzeichnissen erforderlich sind auszuf hren Wenn es sich bei dem NFS Server nicht um eine Tivoli verwaltete Ressource handelt muss das Ko
396. nten ausf hren Die Benutzer dieses Handbuchs sollten vertraut sein mit m Den Betriebssystemen Microsoft Windows NT und Windows 2000 D Novell NetWare UNIX m Der Shell Programmierung Inhalt dieses Handbuchs Dieses Handbuch besteht aus den folgenden Kapiteln Beschreibt die Benutzer und Gruppenverwaltungsfunktionen und zeigt welche Benutzer und Gruppenkontoinformationen verwal tet werden Au erdem enth lt es realistische Szenarios f r die Verwendung der Anwendung Tivoli SecureWay User Administration Management Handbuch xvii xviii Beschreibt die Installation und Deinstallation von Tivoli Secure Way User Administration Planung und Einsatz Enth lt Informationen zum Planen Testen und Einsetzen einer Tivoli SecureWay User Administration Implementierung Kennwortverwaltune Beschreibt die Kennwortverwaltung in Tivoli SecureWay User Administration Beschreibt die Erstellung von Benutzerprofilen die Einstellung der Standardwertegruppe und der Richtlinie f r die G ltigkeits pr fung sowie die Weitergabe von Daten an Benutzerprofile Benutzerdatens tze erstellen Beschreibt das Erstellen von Benutzerdatens tzen darunter das Hinzuf gen allgemeiner Informationen sowie Windows NT NetWare und UNIX Benutzerinformationen zu einem Profil Benutzerdatens tze verwalten Beschreibt die Ausf hrung allgemeiner Tasks im Zusammenhang mit Benutzerdatens tzen wie beispielsweise die Suche nach
397. nto root auf den TMR Ser ver ber Schreibzugriff auf das Dateisystem verf gen In der folgenden Tabelle sind die Aktionsarten aufgef hrt die Tivoli User Administration f r lokale und fern angeh ngte Basis verzeichnisse ausf hren kann Aktion Wird f r lokale Basis Wird f r ferne verzeichnisse unter Basisverzeichnisse st tzt unterst tzt Verzeichnis erstellen Ja Ja Verzeichnis l schen Ja Ja Verzeichnis verschieben Ja Ja Verzeichnis kopieren Ja Ja Version 3 8 Informationen zu UNIX Benutzerkonten Aktion Wird f r lokale Basis verzeichnisse unter st tzt Wird f r ferne Basisverzeichnisse unterst tzt UID bzw GID des Benutzers ndern Ja Ja Verzeichnisart ndern lokal oder fern Nein Nein Bei Erstellung eines Benutzerdatensatzes mehrere Standarddateien aus einem anderen Ver zeichnis auf verwalteten Knoten und Endpunkten kopieren Ja f r verwaltete Knoten Nein f r Endpunkte Standarddateien auf ver walteten Knoten und Endpunkten mit dem Befehl wupdhdir aktua lisieren Nein Ja Bei Erstellung eines Benutzerdatensatzes mehrere Standarddateien aus einem anderen Ver zeichnis in NIS kopieren Nein Ja Standarddateien in NIS mit dem Befehl wupdhdir aktualisieren Nein Ja u jj S1 UNIX Basisverzeichnisse erstellen Basisverzeichnisse werden von Tivoli SecureWay User Administra
398. nutzerdatens tze f r eine neue Endpunktart aktualisierten m chten verwenden Sie den Befehl wgenusrdef Im folgenden Beispiel werden allen Benutzerdatens tzen in myprofile f r Windows 2000 Attribute Standardwerte hinzuge f gt wgenusrdef e w2k all UserProfile myprofile Arbeitsoberfl che F hren Sie dieselben Schritte wie bei der Installation von Tivoli SecureWay User Administration aus jedoch mit der folgenden Aus nahme W hlen Sie nicht wie in den Anweisungen angegeben die Option Installieren gt Produkt installieren zur Anzeige des Dia logs Produkt installieren aus sondern die Option Installieren gt Programmkorrektur installieren hierdurch wird der Dialog Programmkorrektur installieren angezeigt W hlen Sie die Pro grammkorrektur aus die Sie installieren m chten und setzen Sie den Installationsprozess fort Version 3 8 Tivoli SecureWay User Administration aktualisieren Befehlszeile Im folgenden Befehl wird das Paket f r Tivoli SecureWay User Administration aktualisiert wpatch c cdrom graceland i ADMINUPG Dabei gilt Folgendes c cdrom Gibt den Pfad f r den Installations datentr ger an graceland Gibt den verwalteten Knoten bzw den TMR Server an auf dem die vorherige Version von Tivoli Secure Way User Administration installiert ist i ADMINUPG Gibt die Indexdatei IND an ber die die Tivoli SecureWay User Administration Programmkorrektur installiert wird Mit dem
399. nutzern erteilt werden dar ber hinaus erhalten sie keine M glichkeit zum ndern von Benutzerkonten m Einem f r UNIX Konten zust ndigen Administrator kann die Berechtigung zum ndern UNIX spezifischer Attribute erteilt werden w hrend er Windows NT Windows 2000 und NetWa re Attribute lediglich anzeigen kann m Einem Administrator kann die Berechtigung zum Erstellen neuer Konten nicht aber zum L schen vorhandener Konten erteilt wer den In der folgenden Tabelle werden die Task spezifischen Berechti gungsklassen gem den Operationsarten die von ihnen zugelassen werden in Kategorien eingeteilt Aktivit t Task spezifische Berechtigungsklassen Daten an Benutzerprofile weitergeben Benutzer profile mit Daten f llen Admin_Pop_Profile Tivoli SecureWay User Administration Management Handbuch 31 Bunyemasausddnig pun Jezinueg LU Task spezifische Berechtigungsklassen 32 Aktivit t Task spezifische Berechtigungsklassen Benutzerkennwort ndern Admin_Mod_Password Mit Kontodatens tzen Admin_Add_Account arbeiten Admin_Del_Account Admin_Edit_Account Admin Mod Account Admin Mod Account Person Admin View Account Kontospezifische nde Admin_Mod_Account LDAP rungen an Datens tzen Admin_Mod_Account_NT vornehmen Admin_Mod_Account_NW Admin_Mod_Account_OS2 Admin_Mod_Account_OS4 Admin_Mod_Account_RF Admin_Mod_Account_UX Admin_Mod_Account_W2K Die Task s
400. nzugeh rigkeit Mitarbeiter ID Telefon H 5 Pager E Metwere Sicherheit H Beschreibung ER Festlegen und schie en Festegen Standardeinstellungen generieren Zur cksetzen Schieen Hire Geben Sie den tats chlichen Namen des Benutzers Vor und Nachname im Feld Benutzername ein Geben Sie den aus einer Zeichenfolge bestehenden allgemeinen Anmeldenamen des Benutzers im Feld Allgemeine Anmeldung ein Diesen Anmeldenamen kann dieser Benutzer als einzigen Anmeldenamen f r jedes definierte Benutzerkonto verwenden Ein Anmeldename kann alphanumerische Zeichen Unterstriche _ Gedankenstriche und Punkte sowie Leerzeichen ent 158 Version 3 8 10 Neue Datens tze f r Benutzerkonten erstellen halten Au er diesen d rfen keine anderen Sonderzeichen ver wendet werden selbst wenn diese von dem jeweiligen Betriebs system unterst tzt werden Geben Sie das allgemeine Kennwort des Benutzers im Feld All gemeines Kennwort ein Dieses Kennwort kann der Benutzer als einziges erforderliches Kennwort f r jedes definierte Benutzerkonto verwenden Klicken Sie auf Standardeinstellungen generieren um Ihre definierten Standardwertegruppen f r dieses Profil zu verwen den Anmerkung Sie k nnen jederzeit auf Standardeinstellungen generieren klicken um die Felder mit der f r sie angegebenen Standardwertegruppe zu f llen W hlen Sie eine Option in der Dropdown L
401. och nur Ja rung wird auf auf dem End dem Endpunkt punkt auf dem gespeichert auf der Befehl aus dem der Befehl gef hrt wurde ausgef hrt wurde jedoch nicht an die anderen Subskri benten weiterge geben wpasswd ohne Ja Nein Nein Ja L oder l wcrtusr oder Ja Nein Nein Ja wsetusr Betriebssystem Nein Nicht zutreffend Ja Nein Tools f r Kenn w rter Unter UNIX werden verschl sselte Kennw rter verwendet Bei der Datenweitergabe an Benutzerprofile von UNIX Systemen aus werden UNIX verschl sselte Kennw rter zur ckgegeben Wenn ein Benutzer den Befehl wpasswd ausf hrt um sein Kennwort f r mindestens ein Benutzerprofil zu ndern vergleicht Tivoli SecureWay User Admi nistration das vom Benutzer angegebene Kennwort mit dem in den einzelnen Profilen vorhandenen Kennwort Wenn die Datenweiter gabe an das Konto von einem UNIX System erfolgte und das UNIX Kennwort nicht von einem Tivoli Administrator ge ndert wurde ist das vorhandene Kennwort noch nach UNIX Standard verschl sselt Tivoli SecureWay User Administration Management Handbuch 85 Hunyemi nomuu y E Befehl wpasswd verwenden m Wird als TMR Server ein UNIX System eingesetzt vergleicht das System mit Hilfe der von UNIX bereitgestellten Anwen dungsprogrammierschnittstelle API erypt das vom Benutzer angegebene Kennwort mit dem nach UNIX Standard verschl s selten Kennwort m L uft der TMR Server nicht
402. okollieren Mit Hilfe von AEF k nnen dem Benutzerprofil diese Attribute hinzugef gt werden Aktionen ordnen der Ausf hrung eines Skripts eine nderung im Profil zu Hinzuf gen bzw L schen von Benutzern oder nderung von Attributen Die Operationen Hinzuf gen und L schen l sen ein Ereignis f r jeden einzelnen Datensatz aus Die Aktion ndern l st ein Ereignis f r jedes einzelne Attribut aus Aktionen geben Bourne Shell Skripts Korn Shell Skripts bzw Perl Skripts an die w hrend einer Profilverteilung ausgef hrt werden CCMS verwaltet f r jedes Profil einen Aktionsdatensatz in der Datenbank Der Aktionsdatensatz enth lt Eintr ge f r alle registrierten Aktionen Sie k nnen auch die Aktion angeben die auf dem TMR Server bzw dem Endpunkt ausgef hrt werden soll Jedem Profilobjekt ist ein Attribut das so genannte Attribut f r anstehende Aktionen zugeord net das die Liste mit den f r das jeweilige Profil anstehenden Aktio nen verwaltet Da es sich bei Aktionen um Skripts handelt k nnen diese nur auf Endpunkten ausgef hrt werden die Bourne Shell Korn Shell bzw Perl unterst tzen Weitere Informationen zur Konfi guration von AEF Aktionen f r Profile finden Sie in der Beschrei bung der Befehle waddaction wlsaction wgetaction und wrmac tion im Handbuch Tivoli SecureWay User Administration Reference Manual Tivoli SecureWay User Administration Management Handbuch 363 USWOUL 91919M ZL CCMS Komponenten und Pr
403. oli Management Framework installiert ist und auf der oserv ausgef hrt wird 2 In der Internet Kommunikation eine Workstation ein Server oder ein Router mit einem Netzwerk verwaltungsagenten Im Internet Protocol IP befindet sich auf dem verwalteten Knoten normalerweise ein Simple Network Management Protocol SNMP Agent Verwaltungssystem f r relationale Datenbanken RDBMS Eine Gruppe von Hardware und Software die den Zugriff auf eine relationale Datenbank erm glicht und organisiert Virtuelle Anmeldun een Virtueller Benutzer In Tivoli Management Framework eine Benutzer ID die verschiedenen tats chlichen Benutzern in verschiedenen Arten von Architekturen zugeordnet werden kann Bei spielsweise kann der virtuelle Benutzer root_user auf UNIX Systemen dem Benut zer root und auf Windows NT Systemen dem Administrator zugeordnet werden Weitergeben Ausf llen An ein Profil in einer Tivoli Umgebung Informationen weitergeben bzw ein Profil mit Daten f llen die an die zugeh rigen verwalteten Ressourcen verteilt werden 456 Version 3 8 Windows NT Repeater In einer Tivoli Umgebung die erste Windows NT Maschine auf der der Tivoli Remote Execution Service f r Ausf hrungen auf fernen Systemen installiert ist W hrend der Clientinstallation verteilt der NT Repeater den Tivoli Remote Execu tion Service f r Ausf hrungen auf einem fernen System mit Hilfe der Ausgabe f cherung an alle anderen Windows NT Clients Ziel
404. oli SecureWay User Administration implementiert wer den Sollen Verfahren implementiert werden die zu nderungen von Standardwertegruppen und Richtlinien f r G ltigkeits pr fung f hren bzw die die Verwendung von Tivoli Application Extension Facility erforderlich machen Produktanpassung Ben tigen Sie f r Ihre Umgebungen Erwei terungen die nicht im Basisprodukt f r Tivoli SecureWay User Administration enthalten sind Werden Sie beispielsweise Tivoli Application Extension Facility verwenden um benutzerdefinierte Funktionen zu erstellen Tivoli SecureWay User Administration Management Handbuch 81 z esuig pun unuegid E Test 82 Test Es wird dringend empfohlen dass Sie Tivoli SecureWay User Admi nistration vor dem tats chlichen Einsatz zun chst in einer Test umgebung implementieren Sie sollten beim Erstellen Ihrer Test umgebung darauf achten dass diese Ihrer Arbeitsumgebung so hnlich wie m glich ist F r das Erstellen der Testumgebung wird Folgendes empfohlen Planen und Dokumentieren Sie die Testverfahren sorgf ltig Testen Sie alle Programmkorrekturen und Aktualisierungen Testen Sie Teile des Einsatzentwurfs Testen Sie die Erweiterungen f r Tivoli SecureWay User Admi nistration Wenn Sie beispielsweise eine der folgenden Erweite rungen einsetzen m chten sollten diese in Ihrer Testumgebung enthalten sein e 08 390 e AS 400 e NIS e LDAP Anmerkung Das Basisprodukt f r Tivoli SecureWay Us
405. on Management Handbuch 407 usyemion J49z1nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten 408 darauf Soll kein Basisverzeichnis angegeben werden bleiben die Felder Servername und Laufwerk und Pfad auf dem Server leer Anmerkung Die Angaben zum Basisverzeichnis werden nur verwendet wenn es sich bei der Zielmaschine um einen prim ren bzw Backup Dom nencontroller handelt Zugeordnetes Laufwerk auf der Maschine des Anforderers Gibt den Laufwerkbuchstaben an der auf der Maschine des Anforderers d h auf der Workstation von der aus sich der Benutzer angemeldet hat bevorzugt f r das Basisverzeichnis verwendet werden soll W hlen Sie den Stern aus damit wird angegeben dass als Basis verzeichnis der n chste verf gbare Laufwerkbuchstabe verwendet wird Servername Gibt den Aliasnamen des Servers an auf dem sich das Basisverzeichnis befindet Die einem Servernamen nor malerweise vorangestellten umgekehrten Schr gstriche d rfen hier nicht angegeben werden Laufwerk und Pfad auf dem Server Gibt den vollst ndigen Pfad des Basisverzeichnisses auf dem Server im Format x Pfad an dabei steht x f r den Laufwerkbuchstaben auf dem Server gefolgt von einem Doppelpunkt einem umgekehrten Schr gstrich und dem Basisverzeichnispfad Maximaler Speicher KB Die Angabe in diesem Feld ist optional Hier k nnen Sie die ungef hre maximale Speicherkapazit t des Basis verzeichnisses in KB angeben Informatione
406. on verwalteten Ressourcen f r die ein Tivoli Administrator Berechtigungen hat Beispiele f r Sicherheitsgruppen sind u a Richtlinienbereiche und die Administratorobjektgruppe Sicherheitsprofil In Tivoli SecureWay Security Manager ein Profil das Daten zur Sicherheits verwaltung enth lt Jeder Datensatz des Sicherheitsprofils wird in einem system unabh ngigen Format gespeichert so dass die Profildatens tze auch in einem Unter nehmen verteilt werden k nnen das ber verschiedene Systemtypen verf gt Sicherheitsstufen Sicherheitsstufen bzw Sicherheitsberechtigungen steuern den Zugriff von Benutzern und Gruppen auf bestimmte Systemaktionen Sicherheitsverwaltung 1 Eine der vier grundlegenden Verwaltungsaufgaben die mit der Tivoli Produkt linie wahrgenommen werden k nnen Bei dieser Aufgabe handelt es sich um die Zugriffssteuerung f r Anwendungen und Daten die innerhalb eines Unternehmens von entscheidender Bedeutung sind Siehe Verf gbarkeitsverwaltung Einsatz verwaltung und Betrieb und Administration 2 Eine Komponente die mit GSO verwendet werden kann um GSO Sicherheitsressourcen zu verwalten Die Version 3 8 Sicherheitsverwaltung erm glicht das Erstellen und Verwalten von GSO Benutzeran meldungen das Erstellen und Verwalten der GSO Zielkennwortrichtlinie und das ndern der Kennwortrichtlinie Skalierbar Bezieht sich auf die F higkeit eines Systems sich schnell an eine Steigerung oder Verringerung der Ausla
407. onen einschlie lich der Authentifizierungsdaten und Kenn w rter Mit Hilfe von Active Directory k nnen Administratoren bestimmte Verwaltungsberechtigungen und Tasks an einzelne Benutzer und Gruppen delegieren Das Zur cksetzen von Benutzerkennw rtern kann beispielsweise an Betriebsadministratoren delegiert werden Verantwortungsvollere Aufgaben wie das Erstellen von Benutzern k nnen TT Administratoren vorbehalten werden Sicherheitsbeschreibung Jedes Verzeichnisobjekt verf gt ber eine eigene Sicherheits beschreibung die Sicherheitsinformationen zum Schutz des Objekts enth lt Jeder Sicherheitsbeschreibung kann unter anderem eine 10 Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung benutzerdefinierte Zugriffssteuerungsliste DACL zugeordnet wer den Eine DACL enth lt eine Liste mit Zugriffssteuerungseintr gen ACESs Jeder ACE erteilt oder verweigert einem Benutzer bzw einer Gruppe Zugriffsberechtigungen Die Zugriffsberechtigungen entsprechen den Operationen z B das Lesen und Schreiben von Merkmalen die f r das Objekt ausgef hrt werden k nnen Sicherheitskontext Wenn Sie auf ein Verzeichnisobjekt zugreifen gibt Ihre Anwendung die Berechtigungen des Sicherheits Principals an der versucht auf das Objekt zuzugreifen Sobald diese Berechtigungen authentifiziert wurden bestimmen sie den Sicherheitskontext Ihrer Anwendung der die Gruppenzugeh rigkeiten und Berechtigungen beinhaltet die dem Sich
408. ork enth lt Mit diesem Toolkit k nnen Kunden und Tivoli Partner ihre eigenen Anwendungen f r die Tivoli Umgebung entwickeln Tivoli Application Extension Facility Ein Tivoli Toolkit mit dem Kunden das Leistungsspektrum der Tivoli Anwendun gen steigern k nnen Sie k nnen beispielsweise einem Dialog Felder hinzuf gen benutzerdefinierte Attribute und Methoden f r Anwendungsressourcen sowie benutzerdefinierte Symbole und Bitmap Dateien erstellen Tivoli Client Siehe Tivoli Management Framework Die Basissoftware die zur Ausf hrung der Tivoli Systemverwaltungsanwendungen erforderlich sind Diese Softwareinfrastruktur erm glicht die Integration von Tivoli Systemverwaltungsanwendungen von Tivoli und von Tivoli Partnern Tivoli Management Framework umfasst Folgendes m Object request broker oserv m Datenbank f r verteilte Objekte m Basisverwaltungsfunktionen m Basisanwendungsdienste m Basisdienste f r die Arbeitsoberfl che wie die grafische Benutzerschnittstelle GUD In einer Tivoli Umgebung wird Tivoli Management Framework auf allen Clients und Servern installiert Folgende Ausnahmen gelten Tivoli Management Framework Version 3 8 wird niemals auf einem Client PC installiert Auf einem PC wird ein PC Agent installiert Nur der TMR Server enth lt die gesamte Objektdatenbank Tivoli Management Region TMR In einer Tivoli Umgebung ein Tivoli Server und die ihm zugeordneten Clients Eine Organisation kann ber mehrer
409. ormat des Pr fprotokolls 342 Die Formatierung der Werte in den Pr fprotokolldatens tzen folgt folgender Struktur Zeichenfolgen werden in Anf hrungszeichen gesetzt Der Attributwert Horace wird z B folgenderma en formatiert Horace Enth lt eine Zeichenfolge Anf hrungszeichen werden diese im Pr fprotokolldatensatz verdoppelt So wird z B die Zeichen folge Owner of the smart brand folgenderma en formatiert Owner of the smart brand Enth lt eine Zeichenfolge einen Ausdruck in eckigen Klammern werden diese im Pr fprotokolldatensatz verdoppelt Die Zeichen folge Department 12 lt bldgl gt wird z B folgenderma en forma tiert Department 12 lt lt bldg1 gt gt Bei Zeichenfolgenlisten handelt es sich um Attribute die ber mehr als einen Wert verf gen und aus mindestens einer Zeichen folge bestehen Die Zeichenfolgenlisten werden im Pr fproto kolldatensatz in Anf hrungszeichen gesetzt Die einzelnen Zeichenfolgenelemente aus der sicht die Zeichenfolgenliste zusammensetzt werden in folgende Zeichen gesetzt lt gt Die Zeichenfolgenliste Machine A Machine B Machine C wird z B folgenderma en formatiert lt Machine A gt lt Machine B gt lt Machine C gt Anf hrungszeichen und eckige Klammern innerhalb einer Zeichenfolgenliste werden im Pr fprotokolldatensatz verdoppelt wie auch bei einfachen Zeichenfolgen Numerische Werte werden nicht in Anf hrungszeichen gesetzt Der Attributw
410. ows 2000 Systemrichtlinien unter st tzte Wenn Tivoli SecureWay Security Manager eine Unterst t zung f r Windows 2000 Systemrichtlinien zur Verf gung stellt wird Tivoli SecureWay User Administration Version 3 8 alle Windows 2000 Kennwortrichtlinien mit Attributnamen die den oben angezeig ten Namen hnlich sind automatisch umsetzen Wenn das Kennwort richtlinienattribut W2KPwHistory von Tivoli SecureWay Security Manager unterst tzt wird wird Tivoli SecureWay User Administra tion Version 3 8 die zugeh rige Richtlinie umsetzen da es alle Attri bute im Format lt Endpunktartcode gt PwHistory umsetzt Durchsetzung durch den Server oder Durchsetzung durch den Endpunkt Tivoli SecureWay Security Manager kann die in den Sicherheits profilen definierten Systemrichtlinien an die Endpunkte verteilen Diese Systemrichtlinien enthalten Kennwortrichtlinien die immer dann angewendet werden wenn ein Kennwort durch die Sicherheits komponente des jeweiligen Endpunkts z B durch RACF unter OS 390 Tivoli Access Control Facility Tivoli ACF unter UNIX Benutzer Manager unter NT ge ndert wird Wenn Tivoli SecureWay User Administration ein neues Kennwort an die Endpunkte verteilt an die Tivoli SecureWay Security Manager eine Kennwortrichtlinie verteilt hat wird von den jeweiligen Endpunkten eine Fehlermeldung generiert wenn das neue Kennwort nicht der Kennwortrichtlinie ent spricht Da Tivoli SecureWay User Administration die Durchsetzung
411. owser f r NetWare Verzeichnisse aufzurufen und dort nach einem bestimmten Datentr ger zu suchen Weitere Informationen zu die sem Dialog finden Sie unter Die Browse NetWare Geben Sie im Feld Pfad den Pfad f r dieses Basisverzeichnis ein Geben Sie im Feld Standardserver den Namen des betreffenden Servers ein an dem sich dieser Benutzer anmeldet Hier m ssen Sie den vollst ndigen NDS Namen f r den Server angeben Wenn zum Beispiel der Server OLYMPUS in der NDS Baum struktur NOON verwendet werden soll geben Sie OLYM PUS NOON ein Sie k nnen auch auf Standardserver klicken um den Dialog Dienst Browser f r NetWare Verzeichnisse Version 3 8 Informationen zu NetWare Benutzerkonten anzuzeigen Einzelheiten zur Verwendung des Dialogs Dienst Browser f r NetWare Verzeichnisse finden Sie in diesem Abschnitt in Schritt 2 5 W hlen Sie in der Liste mit Sprachen die Sprache aus in der die NetWare Nachrichten f r diesen Benutzer angezeigt werden sol len Informationen zur NetWare Netzwerkadresse Mit der Option NetWare Netzwerkadresse k nnen Sie die Worksta tions einschr nken von denen sich Benutzer am Netzwerk anmelden k nnen Die Werte f r das erste Element des Arguments Aw k nnen das Format Wert restlicheNetzwerkadresse oderWert Hostname restliche Netzwerkadresse haben m Geben Sie f r das Netzwerk die Kabelsegmentnummer in 8 hexadezimalen Bytes Ziffern 0 9 Buchstaben A F ein m Geben Sie f r den
412. ozesse 364 CCMS Verteilungsverarbeitung und AEF Aktionen Die Verarbeitung von Aktionen auf dem TMR Server wird einzig und allein durch die Verwendung des Attributs f r anstehende Aktio nen gesteuert Wenn die Aktion nicht in der Liste der anstehenden Aktionen aufgef hrt ist ber das Attribut wird sie auf dem TMR Server nicht ausgef hrt Andererseits sind Endpunktaktionen v llig dynamisch Welche Aktionen ausgef hrt werden wird durch die Zeitmarken der Datens tze und Attribute und nicht durch die Liste der anstehenden Aktionen festgelegt Der einzige Vorteil bei der Ver wendung des Attributs f r anstehende Aktionen ist dass die Aktio nen auf dem TMR Server schneller ausgef hrt werden Aktionen f r verwaltete Knoten werden als Methodenaufrufe implementiert Wenn ein Aktionsskript auf einem Endpunkt ausgef hrt werden muss wird die Methode execute_script durch CCMS aufgerufen Dies ist eine in CCMS integrierte Methode zur Ausf hrung von Bourne Shell Korn Shell bzw Perl Skripts Aktionen f r TMA Endpunkte werden ber eine Methode in der Task Bibliothek implementiert Zur Verbesserung der Skalierbarkeit werden TMA Aktionen mit MDIST auf die gleiche Weise wie Profildaten an die Endpunkte gesendet Zur Ausf hrung von Aktio nen auf den Zielendpunkten werden zwei separate MDIST Jobs ver wendet Der erste Job wird vor der Zustellung von Profildaten gestartet um Vorher Aktionen auszuf hren Der zweite Job wird nach d
413. p ndern Sie k nnen auch den Befehl wrmusrg verwenden um Benutzer aus dem Gruppendatensatz zu entfernen Im folgenden Beispiel werden alle Attribute eines Gruppendaten satzes aufgelistet wgetgrp GroupProfile developers Who Dabei gilt Folgendes GroupProfile developers Gibt den Namen des Profils an dessen Datensatzattribute aufgelistet werden Who Gibt den Namen des Gruppendatensatzes an dessen Attribute aufgelistet werden Tivoli SecureWay User Administration Management Handbuch 309 uoyemion ozjesuspepusddnig e Gruppenkontodatens tze editieren 310 Befehlsausgabe Name Who GID 105 Kommentar British Benutzer 4 Gruppendatensatz ist fixiert FALSE Im folgenden Beispiel werden alle Attribute eines Gruppendaten satzes festgelegt wsetgrp C UNIX developers F GroupProfile developers Who Dabei gilt Folgendes C UNIX developers Gibt einen Kommentar zum Gruppendatensatz an F Verhindert dass Subskribenten den Datensatz ndern GroupProfile developers Gibt den Namen des Profils an dessen Datensatz ge ndert wird Who Gibt den Namen des zu ndernden Datensatzes an Im folgenden Beispiel wird ein Mitglied aus einem Gruppendatensatz gel scht wrmusrg GroupProfile developers Who kmoon Dabei gilt Folgendes GroupProfile developers Gibt den Namen des Gruppenprofils an das den Gruppen datensatz enth lt dessen Mitglied gel scht werden soll Who Gibt de
414. pen eines vorgegebenen Benutzerprofils inaktivie ren bzw aktivieren Wenn Sie TivoliDefaultUserProfile als Profil namen angeben erbt jedes Benutzerprofil das nach Ausf hrung des Befehls wsetdefpol erstellt wurde die angegebenen Einstellungen der Standardwertegruppe In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Tivoli SecureWay User Administration Management Handbuch 137 us y9l1ula a lJo d az nuag e Benutzerprofile einrichten 138 Aktivit t Umgebung Berechtigungsklasse Standardwertegruppe Benutzerprofil keine f r eine Plattform inak tivieren Sie k nnen diese Task nur ber die Befehlszeile ausf hren Im folgenden Beispiel wird die Standardwertegruppe f r NetWare inaktiviert wsetdefpol DISABLED NW corp users Dabei gilt Folgendes DISABLED Gibt an dass die Standardwertegruppe inaktiviert werden soll NW Gibt an dass die NetWare spezifische Richtlinie inaktiviert werden soll corp users Gibt das Benutzerprofil an Informationen zum Aktivieren und Inaktivieren plattformspezifischer Standardwertegruppen ber die Befehlszeile finden Sie in der Beschreibung des Befehls wsetdefpol im Handbuch Tivoli Secure Way User Administration Reference Manual Richtlinien f r G ltigkeitspr fung definieren Benutzerprofile k nnen ausgewertet werden um sicherzustellen dass die einem Profildatensatz hinzugef g
415. pezifischen Berechtigungsklassen arbeiten auf derselben Ebene wie die Berechtigungsklasse admin ausgenommen die Berechtigungsklasse Admin_View_Account die auf derselben Ebene wie die Berechtigungsklasse user arbeitet Ist einem Admi nistrator die Berechtigungsklasse admin zugeordnet sollten Sie die sem daher keine Task spezifische Berechtigungsklasse zuweisen da mit der Berechtigungsklasse admin alle Vorg nge ausgef hrt werden k nnen die durch die Task spezifischen Berechtigungsklassen eigent lich ausgeschlossen werden sollen Mit der Berechtigungsklasse admin k nnen Administratoren unter anderem Benutzerdatens tze erstellen l schen und editieren Benutzerprofile verteilen und den Inhalt eines Benutzerprofils mit Systemdateien abgleichen Angenommen Sie ordnen einem Adminis trator die Berechtigungsklassen Admin_Add_Account und Admin _Mod_ Account zu um ihm das L schen von Datens tzen zu ver wehren weisen ihm aber zus tzlich noch die Berechtigungsklasse admin zu damit er Benutzerprofile verteilen kann Der Administra tor erh lt durch die Berechtigungsklasse admin weiterhin die M g lichkeit Benutzerdatens tze zu l schen Version 3 8 Task spezifische Berechtigungsklassen Anmerkung Tivoli Administratoren die die grafische Benutzer schnittstelle GUI von Tivoli SecureWay User Admi nistration ben tigen muss zus tzlich zu den zugewie senen Task spezifischen Berechtigungsklassen min destens noch die Tivoli Be
416. ppenzugeh rigkeiten auf dem Server Wenn Tivoli SecureWay Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung User Administration auf einer N T Workstation installiert ist verwal tet die Anwendung lokale Workstation Konten und lokale Gruppen zugeh rigkeiten auf dieser Maschine Tivoli SecureWay User Admi nistration wird normalerweise auf den Dom nenservern installiert und nicht auf den einzelnen Workstations Windows 2000 Die folgenden Abschnitte enthalten allgemeine Informationen zur Benutzerverwaltung unter Windows 2000 Globale Kataloge F r die Tivoli SecureWay User Administration Unterst tzung des Windows 2000 Endpunkts ist der Einsatz eines Servers f r globale Kataloge erforderlich Globale Kataloge sind konfigurierbar und k n nen selektiv auf jedem beliebigen Windows 2000 Server aktiviert werden Wenn ein Windows 2000 Endpunkt die Zieladresse f r Tivoli SecureWay User Administration ist und sich in einer Dom ne befindet die nicht ber einen globalen Katalog verf gt k nnen Ope rationen nicht erfolgreich ausgef hrt werden Im globalen Katalog sind alle Objekte aller Dom nen im Windows 2000 Verzeichnis sowie eine Teilmenge der Merkmale jedes einzel nen Objekts enthalten Der Globale Katalog kann also als Repository verwendet werden und hat dieselben Funktionen wie ein globales Adressbuch Der Windows 2000 Endpunkt verwendet den globalen Katalog zur schnellen Suche nach und zur Bearbeitung von B
417. prechende Zugriffsberechti gungen verf gen Geben Sie im Feld Laufwerk f r lokale Verbindungen das Laufwerk ein an das die fernen Verzeichnisse bei der Anmel dung des Benutzers angeh ngt werden Die Angabe eines Dop pelpunktes nach dem Laufwerkbuchstaben ist optional W hlen Sie das Kontrollk stchen Nach L schen des Benutzers auch Basisverzeichnis l schen aus wenn das Basisverzeichnis beim L schen des Benutzerdatensatzes aus dem Benutzerprofil ebenfalls gel scht werden soll Das Verzeichnis wird in diesem Fall erst bei der Verteilung des Profils gel scht Tivoli SecureWay User Administration Management Handbuch 181 u S1 z su p 1 z nu g 9 Informationen zu Windows 2000 Benutzerkonten 5 Geben Sie im Feld Profilname den Pfad f r das Windows 2000 Benutzerprofil ein Das Windows 2000 Benutzerprofil definiert die Umgebung die vom System bei der Benutzeranmeldung geladen wird Der ferne Pfad muss im Format Servername Profilordnername Profilname eingegeben werden Der lokale Pfad muss im Format C Verzeichnis Profilname ein gegeben werden 6 Geben Sie im Feld Anmeldeskript den Pfad f r das Anmelde skript des Benutzers ein Windows 2000 Gruppen ber die Option Windows 2000 Gruppenzugeh rigkeit k nnen Sie Benutzern Gruppenzugeh rigkeiten zuordnen 1 W hlen Sie die Option Windows 2000 Gruppenzugeh rigkeit in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkma
418. profils durch die neuen Datens tze Anmerkung Verwenden Sie diese Option mit Bedacht da alle vorhandenen Datens tze im Profil verloren gehen Klicken Sie auf Ausf llen und schlie en um die Datens tze hinzuzuf gen und den Dialog zu schlie en Tivoli SecureWay User Administration f gt dem Profil die Kon ten aus den angegebenen Systemen hinzu W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen am Profil zu speichern Befehlszeile Im folgenden Beispiel werden Daten an ein Gruppenprofil weiterge geben wpopgrps o ManagedNode kenya GroupProfile developers Dabei gilt Folgendes 0 berschreibt den aktuellen Inhalt des Gruppenprofils ManagedNode kenya Gibt den Namen des Systems an von dem Daten weiterge geben werden sollen Version 3 8 Gruppenprofile verwalten GroupProfile developers Gibt den Namen des Profils an an das Daten weitergegeben werden sollen Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wpopgrps im Handbuch Tivoli SecureWay User Administra tion Reference Manual Anmerkung F r die Datenweitergabe an Gruppendateien steht die Option zum Zusammenf gen derzeit noch nicht zur Verf gung Werden beispielsweise an ein Gruppen profil Daten aus dem verwalteten Knoten cougar wei tergegeben und anschlie end aus dem verwalteten Knoten puma weitergegeben bzw angeh ngt so wer den die zus tzlichen Benut
419. r Anmeldename freddie einem UNIX Konto im Profil und einem Windows NT Konto auf dem Windows NT verwalteten Knoten zugeordnet ist W hrend des Weitergabevor Tivoli SecureWay User Administration Management Handbuch 25 Bunyemaaausddnig pun Jezinueg LU Benutzer und Gruppenprofile 26 gangs werden die Windows NT Benutzerinformationen dem vorhan denen Benutzerdatensatz hinzugef gt und die allgemeinen Benutzerinformationen werden mit denen im Benutzerdatensatz zusammengef gt Wenn Sie den Weitergabevorgang ber eine NetWare NDS Baum struktur eine NetWare Bindeeinheit eine Windows NT Dom ne oder Windows 2000 Active Directory durchf hren verwendet der erstellte Datensatz den Benutzeranmeldenamen f r das NetWare Windows NT oder Windows 2000 Konto als Kennwort Wenn Sie vor der Verteilung des Profils an die Endpunkte kein Kennwort hin zuf gen wird das Kennwort f r das Konto zum Anmeldenamen Profile verteilen Nachdem Sie Daten an ein Profil weitergegeben einem Profil neue Datens tze hinzugef gt oder vorhandene Datens tze in einem Profil editiert haben m ssen Sie das Profil an die Endpunkte verteilen damit die nderungen wirksam werden Sie k nnen die Verteilung vom Profilmanager aus durchf hren der die Datens tze aller im Manager gespeicherten Profile verteilt oder ein einzelnes Profil verteilen Ihr Benutzerprofil enth lt zum Beispiel drei Benutzerkontodaten s tze Im ersten Benutzerkontodatensatz we
420. r Benutzer ID Anmeldename Beim Andern einer OS 2 Benutzer ID muss ber cksichtigt werden dass die alte Benutzer ID nach Erstellung der neuen Benutzer ID nach wie vor auf dem Endpunkt vorhanden ist Dies bedeutet dass zwei Konten anstatt eines ge nderten Kontos vorliegen Im Endpunkt selbst kann nach dem ndern einer Benutzer ID nicht mehr festge stellt werden wie der alte Wert lautet Dieses Problem kann wie folgt vermieden werden 1 L schen Sie zun chst den Benutzer aus dem Benutzerprofil 2 Verteilen Sie das Benutzerprofil 3 F gen Sie den Benutzer dem Benutzerprofil unter einer neuen Benutzer ID hinzu 4 Verteilen Sie das Benutzerprofil erneut Benutzer in der OS 2 Gruppe SERVERS Unter OS 2 wird f r jeden OS 2 Server in der Dom ne ein Benutzer konto gef hrt Diese Konten stehen nicht f r Personen sondern geh ren zur Gruppe SERVERS Konten die zu dieser Gruppe geh ren werden von Tivoli weder gel scht noch bei einer Weitergabe an ein Benutzerprofil weitergegeben Tivoli SecureWay User Administration Management Handbuch 419 usyemion J49z4nuag 2 SO 9 OS 2 Attributnamen in Benutzerprofilen OS 2 Attributnamen in Benutzerprofilen Die folgenden Attribute wurden Tivoli SecureWay User Administra tion zur Verwendung mit den Befehlen wgetusr und wsetusr hinzu gef gt Diese Attribute sind vor allem f r OS 2 Endpunkte bestimmt und k nnen dazu verwendet werden Ihr System ber die Befehls zeilens
421. r design Dabei gilt Folgendes I maintain Beh lt alle lokalen nderungen in den Subskribentenkopien des Profils bei ProfileManager BluesModem Gibt den Namen des Subskribenten an f r den die neue Profilkopie abgerufen wird Weitere Informationen zum Abrufen von Benutzerprofilinformationen aus einem anderen Profil mit Hilfe der Befehlszeile finden Sie in der Beschreibung des Befehls wgetprf im Handbuch in the Tivoli Fra mework Reference Manual Tivoli SecureWay User Administration Management Handbuch 265 uoyemioa 9zjesusjepiszinuag Z Benutzerdatens tze verwalten Benutzerdatens tze suchen Tivoli SecureWay User Administration stellt Ihnen den Dialog Benutzersuchfunktion zum Suchen von Benutzern ohne ein Profil zu ffnen bereit Es gibt jedoch Situationen in denen Sie ein Profil ge ffnet haben und dort einen Benutzer suchen m ssen Tivoli Secu reWay User Administration stellt Ihnen ein Tool f r die Suche nach Benutzern in einem Profil zur Verf gung In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Benutzerdatensatz in Benutzerprofil user einem Benutzerprofil suchen Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um einen Benutzerdatensatz in einem Benutzerprofil zu suchen 1 Klicken Sie im Profilmanager
422. r x 1 root root 10g 0000000001 rwxr xr x 1 root root uLoc idx rwxr xr x 1 root root uLoc_r idx Tivoli SecureWay User Administration Management Handbuch 377 u w yL 319719 M SL Benutzer und Gruppen Indexdatenbanken und wchkadmdb Anmerkung Wenn diese Dateien zu viel Speicherplatz belegen k nnen Sie alle Dateien in diesem Verzeichnis l schen und den Befehl winitulocdb l ausf hren um die Ber keley Datenbank zu initialisieren F r eine TMR im Ruhemodus sollte der Befehl winitulocdb I verwen det werden Die Zeit die f r die Ausf hrung des Befehls winitulocdb l erforderlich ist entspricht ungef hr der Zeit die f r die Ausf hrung von wlslocs LocatorDatabase UserLocator ben tigt wird Der Standardwertegruppendatensatz und die Befehle waddprop waddusrprop wgenusrdef Alle Profile enthalten einen einzelnen Standardwertegruppendaten satz Diese Datens tze enthalten einen Eintrag f r jedes Attribut das in einem Benutzerdatensatz vorkommen kann Die Attributeintr ge enthalten die Standardwertegruppe f r dieses Attribut die unterschiedlichen Markierungen f r dieses Attribut nderungsgesteuert verschl sselt Anmeldung Kennwort Anzeige in Tabellenansicht des Profils versionsgesteuert Um einem Benutzerprofil ein AEF Attribut hinzuzuf gen k nnen Sie die Befehle waddprop oder waddusrprop verwenden Zwischen diesen Befehlen gibt es bedeutende Unterschiede 378 Mit dem Befehl waddprop wird dem St
423. rameter CHRID in den Befehlen Erstellen ndern und berschreiben f r Anzeigedateien Druckerdateien und Anzeigengruppen angegeben wurde OS400_Class USER Gibt an welcher Klasse das Benutzerprofil SYSOPR angeh rt PGMR SECADM SECOFR OSA00 Command Audit YES Gibt an ob CL Befehlsfolgen und Prozedu NO ren f r das Benutzerprofil protokolliert wer den OS400_ Country SYSVAL Gibt die Landes ID f r dieses Profil an Wird Landes ID zu landessprachlichen Zwecken verwendet Eine AS 400 Landes ID O0S400_Current_Lib CRTDFT Gibt den Namen der Bibliothek an die dem Name Ein g ltiger AS 400 Bibliotheks derzeit ausgef hrten Job zugeordnet ist name 10 Zeichen oder weniger OS400_Directory USRPRF Gibt den Pfadnamen f r das Basisverzeichnis fad Ein durch K begrenzter Pfad f r des Benutzerprofils an das Basisverzeichnis 388 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_Display_Help YES Gibt an ob der Onlinehilfetext als Gesamtan NO zeige erscheint oder in einem Fenster ange zeigt wird OSA00 DUT Action NODLT Gibt die Aktion an die beim L schen des DLT Benutzerprofils ausgef hrt wird Vor dem L schen eines Benutzerprofils m ssen alle CHGOWN Name Objekte die diesem Benutzerprofil zugeord net sind gel scht werden oder an einen anderen Besitzer bertragen werden Anmerkung Dieses Attribu
424. ration an 05 15 2001 11 29 24 Gibt das Datum und die Zeitmarke der Operation an Version 3 8 Format des Pr fprotokolls 1 Gibt an dass die Steuerkomponente f r die Pr fprotokollierung aktiv ist root hummer austin na tivoli com Gibt die Anmelde ID des Administrators an der die Operation aufgerufen hat CLI Gibt an dass die Operation von der Befehlszeile aus aufgerufen wurde wusrauditgry Gibt die aufgerufene Operation an Bei den meisten Pr fprotokolldatens tzen folgen auf den Standard Header mit festgelegtem Format Paarungen aus Name und Wert die durch Kommata voneinander getrennt sind Durch diese einfache Formatierung wird der Import in Tabellenkalkulationsprogramme und Datenbankanwendungen sowie die Anzeige in einem Texteditor wie z B Notepad erm glicht Nachfolgend ein Beispielausschnitt aus einem Pr fprotokolldatensatz mit Paarungen aus Name und Wert 18711_1915648 05 15 2001 13 19 53 1 root hummer austin na tivoli com from add_records entry_flags 65544 real_name Ray Lachance login_name pio password passwd_aging DISABLED Diese Paarungen werden innerhalb der Pr fprotokolldatens tze durch Kommata voneinander getrennt Die Daten sind von der jeweiligen Operation abh ngig So steht z B real_name Ray Lachance f r den Namen eines Benutzers f r den ein Datensatz hinzugef gt wird Tivoli SecureWay User Administration Management Handbuch 341 Bun4s1jjoyojoA1dynid 01 F
425. rden Tivoli SecureWay User Administration Management Handbuch 367 uUSWOUL 91919M SL Sonderverarbeitung f r Kennw rter bei der Verteilung 368 In den ersten zwei Spalten der unten angezeigten Tabelle finden Sie eine Zusammenfassung der Verhaltensweisen von Endpunkten wenn Oneshot Attribute ge ndert und Push Operationen ausgef hrt werden Versions Die zuletzt Wert des Endpunkt Endpunkt suche erfolg verteilte Ver Hot Flags akzeptiert speichert reich sion stimmt Anderung eingehende mit der emp Version in fangenen Datenbank Version berein Ja Ja Nicht zutref Nein Nein fend Ja Nein Nicht zutref Ja Ja fend Nein Nicht zutref WAHR Ja Ja fend Nein Nicht zutref FALSCH Nein Ja fend Anmerkung Wenn wie im letzten Fall die Suche fehlschl gt meis tens weil ein Administrator eine zu gro e Versions datenbank gel scht hat und das Hot Flag auf Falsch FALSE gesetzt ist erstellt der Endpunkt eine neue Versionsdatenbank und speichert die Versionsnummer des empfangenen Attributs f r k nftige Suchvorg nge obwohl er die zugeordnete nderung ignoriert Oneshot Attribute anzeigen Beim Anzeigen eines Oneshot Attributs in einem Benutzerdatensatz kann nicht ermittelt werden ob sich dieses Attribut bei der n chsten Verteilung des Benutzerdatensatzes auf die Endpunkte auswirken wird Dies gilt im Allgemeinen f r alle Oneshot Attribute ist aber besonders bei Attributen f r Kennw
426. rden die verwalteten Knoten olympus mckinley und kenya als Subskribenten aufgelistet Im zweiten Benutzerkontodatensatz werden die verwalteten Knoten bald und tejas als Subskribenten aufgelistet Im dritten Benutzer kontodatensatz wird der verwaltete Knoten davis als einziger Subs kribent aufgelistet Wenn Sie dieses Profil an die verwalteten Knoten olympus mckin ley kenya tejas fuji bald und davis verteilen werden folgende Verteilungen ausgef hrt m Alle Datens tze werden an alle Subskribenten verteilt m Der erste Benutzerkontodatensatz wird den verwalteten Knoten olympus mckinley und kenya hinzugef gt m Der zweite Benutzerkontodatensatz wird den verwalteten Knoten bald und tejas hinzugef gt Version 3 8 Benutzer und Gruppenprofile m Der dritte Benutzerkontodatensatz wird dem verwalteten Knoten davis hinzugef gt m Dem verwalteten Knoten fuji werden keine Benutzerkontodaten s tze hinzugef gt Tivoli SecureWay User Administration Server Benutzerprofil mit NT NetWare UNIX OS 390 und AS 400 Benutzerkonten Verteilung Windows NT Server Endpunkt NetWare Server ss verwalteter Knoten Endpunkt bereits vorher bereits vorher vorhandener PC verwaltete vorhandener PC Knoten mckinley verwalteter Knoten UNIX Server NIS OS 390 Server Dom ne Endpunkt fuji verwalteter Knoten gt d gt
427. rechtigungsklasse user zugeordnet werden Berechtigungsklassen f r Benutzerprofile Die Berechtigungsklasse Admin_Pop_Profile erm glicht Administ ratoren die Weitergabe von Daten an Benutzerprofile d h das F llen von Benutzerprofilen mit Daten ber die Tivoli Arbeits oberfl che und ber den Befehl wpopusrs Detaillierte Informati onen zum F llen von Benutzerprofilen finden Sie unter Berechtigungsklassen f r Kennwort nderungen F r den Aufruf der administratorspezifischen Version des Befehls wpasswd ben tigten Tivoli Administratoren bisher die TMR Berechtigungsklasse admin Mit dieser Berechtigungsklasse erhielt der Administrator die M glichkeit alle Benutzerprofile die den angegebenen Anmeldenamen enthielten sowie alle Subskribenten dieser Benutzerprofildatens tze zu aktualisieren Die administrator spezifische Version des Befehls wpasswd konnte daher auch f r die Synchronisation von Kennw rtern verwendet werden w hrend gleichzeitig verhindert wurde dass Kunden Administratorzugriffe im Zusammenhang mit Kennwort nderungen beeinflussen oder ein schr nken konnten Die Berechtigungsklasse Admin_Mod_Password erm glicht die Ausf hrung der administratorspezifischen Version des Befehls wpasswd gestattet dar ber hinaus jedoch keine Aktionen f r die in der Regel die Berechtigungsklasse admin erforderlich ist Inwieweit der vom Administrator abgesetzte Befehl wpasswd ausgef hrt wird h ngt davon ab auf welche
428. res B ro wechseln m Management Manager k nnen Benutzerkonten f r ihre Mitar beiter erstellen ndern und l schen m Technische Einrichtungen Mitarbeiter die f r technische Ein richtungen zust ndig sind k nnen Benutzerkontoinformationen wie beispielsweise die B rostandorte bzw Telefonnummern der Mitarbeiter ndern Berechtigungsklassen und Zust ndigkeiten Mitarbeiter die Schl sselpositionen einnehmen sind f r Aufgaben zust ndig die Benutzerkontoinformationen betreffen Beispielsweise kann ein Serveradministrator bzw ein E Mail Administrator Richtli nien implementieren die die Verwaltung von Benutzerkonto informationen betreffen Mitarbeiter die f r folgende Aufgaben zust ndig sind haben Ein fluss auf Benutzerkontoinformationen berlegen Sie ob Sie diese Personen in die Planung des Einsatzes von Tivoli SecureWay User Administration einbeziehen Folgende Auflistung dient lediglich als Beispiel Stellen Sie sicher dass Sie die besonderen Bed rfnisse Ihrer Umgebung ber cksichtigen Tivoli SecureWay User Administration Management Handbuch 77 z esuig pun unuegid E Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen 78 Benutzer und Gruppenadministrator Der Benutzer und Gruppenadministrator ist f r das Hinzuf gen ndern Verschie ben und L schen von angeforderten Benutzer und Gruppenzu griffsberechtigungen f r Server und andere Netzwerkressourcen zust ndig Der Benutzer
429. rkonten datenbank zum Einsatz kommen Alle Tivoli Vorg nge wirken sich auf die lokale Benutzerkontendatenbank auf dem jeweiligen System aus F r die Benutzerverwaltung auf dem OS 2 Endpunkt durch den Tivoli Agenten unter OS 2 ist unter anderem die Bibliothek NETAPI32 DLL erforderlich Benutzer ohne Kennwort Ein Benutzer der ein Attribut festlegt f r das ein Kennwort erfor derlich TRUE ist jedoch ber kein Kennwort verf gt werden bei einer Verteilung umgehend zur ckgewiesen Es erfolgt keine weitere Verarbeitung f r diesen Datensatz im Benutzerprofil sondern die Verteilung wird mit dem n chsten Benutzer im Benutzerprofil fort gesetzt Vom Endpunkt wird eine entsprechende Meldung an das Schwarze Brett Bulletin Board gesendet Version 3 8 Mit OS 2 Attributen und Endpunkten arbeiten Anmerkung Sie k nnen das Schwarze Brett anzeigen indem Sie auf das entsprechende Symbol auf der Tivoli Arbeits oberfl che klicken Benutzer mit ge ndertem Kennwort Tivoli ndert das Kennwort unter OS 2 nur wenn das Kennwort im Benutzerprofil vor einer Verteilung ge ndert wurde Diese Markie rung wird nach einer Verteilung zur ckgenommen bis sie im Benutzerprofil von einem Tivoli Administrator erneut aktiviert wird OS 2 Benutzer k nnen ihre Kennw rter mit der entsprechenden OS 2 Funktion ndern die ge nderten Kennw rter werden auch von einer nachfolgenden Tivoli Verteilung nicht berschrieben Benutzer mit ge nderte
430. rmationen zu dem Element f r das das Verzeichnis objekt steht Attribute f r einen Benutzer k nnen beispielsweise den zugeordneten Benutzernamen den Nachnamen und die E Mail Adresse enthalten Wie in anderen Betriebssystemen vereinfachen Gruppen die Benutzerverwaltung indem sie die Steuerung von Berechtigungen Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung und den Zugriff auf Ressourcen Objekte und Attribute auf Gruppen ebene anstatt auf Benutzerebene erm glichen Gruppen sind Active Directory Objekte oder Objekte auf dem lokalen System die Benut zer Kontakte Computer und andere Gruppen enthalten k nnen Gruppen k nnen f r folgende Aufgaben verwendet werden m Verwaltung des Zugriffs von Benutzern und Computern auf gemeinsame Ressourcen wie beispielsweise Active Directory Ob jekte und deren Merkmale SHARE Ressourcen im Netzwerk Dateien Verzeichnisse Druckwarteschlangen usw m Erstellen einer E Mail Verteilerliste m Filtern von Gruppenrichtlinien Gruppen k nnen zu Sicherheitszwecken Zugriffssteuerung und richtlinie bzw zu Gruppierungszwecken Verteilerlisten verwendet werden Wenn Sie eine Gruppe erstellen m ssen Sie angeben ob diese zu Sicherheitszwecken verwendet wird Jeder Benutzer geh rt mindestens einer Gruppe der so genannten prim ren Gruppe an Aus einer Reihe von Windows 2000 definierten Gruppen die sich standardm ig im Kontext Dom ne Benutzer befinden k nnen Sie e
431. ro dukt installiert werden soll Sollen mehrere Produkte installiert werden klicken Sie auf Installieren um in den Dialog Produkt installieren zur ckzukehren Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben Klicken Sie auf Schlie en um den Dialog zu schlie en Tivoli SecureWay User Administration ist nun auf den ausgew hlten verwalteten Knoten installiert Tivoli SecureWay User Administration Management Handbuch 57 usaa jjelsu Z LDAP Pakete installieren 58 Befehlszeile Im folgenden Beispiel wird Tivoli SecureWay User Administration for LDAP Server Package installiert winstall c cdrom s graceland i ALDAPEXT IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s graceland Gibt an dass der verwaltete Knoten graceland der Installationsserver ist Tivoli SecureWay User Admi nistrat
432. rofils um das Fenster Gruppenprofilmerkmale anzuzeigen Tivoli SecureWay User Administration Management Handbuch 291 us y9L1ulo a Jo dusddniyg oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten Gruppenprofilmerkmale Bisi Profil Editieren Ansicht Hilfe Konfigurationsprofil Rechenzentrum Profilmanager admin Subskriptionspfad Jadmin Rechenzentrum 0 Eintr ge Gruppenname Gruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren A gen Auswahl anzeigen Gruppe hinzur gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen EI 2 W hlen Sie Richtlinien f r G ltigkeitspr fung im Men Edi tieren aus um den Dialog Richtlinien f r G ltigkeitspr fung editieren anzuzeigen 5 Richtlinien f r G ltigkeitspr fung editieren Konfigurationsprofil Rechenzentrum in Profilmanager admin Richtlinie f r G ltigkeitspr fung C Inaktiviert m Richtlinie f r G ltigkeitspr fung Subskribenten k nnen Richtlinie editieren Ja C Nein Standardart Keine Si Festlegen und schlie en Festlegen Zur cksetzen Schlie en Hire G 3 W hlen Sie ein Attribut in der Liste Attribute aus 4 Klicken Sie auf das Optionsfeld Ja im Feld Subskribenten k n nen Richtlinie editieren damit Subskribenten nderungen durchf hren k nnen Klick
433. rofils und seiner zugeh rigen Datenbank mit Systemdateien zeigt Ihnen welche Datens tze nicht mit den Eintr gen in der Systemdatei bereinstim men Anschlie end wird Ihnen aufgezeigt wie Sie das Profil mit der Systemdatei abgleichen k nnen Die Synchronisationsfunktion von Tivoli SecureWay User Administ ration synchronisiert nicht die Benutzerkennw rter da diese norma lerweise vom Benutzer verwaltet werden Anmerkung Sie k nnen die PC Endpunkte Windows NT Dom nen oder NetWare NDS Baumstrukturen nur ber die Befehlszeile synchronisieren In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Tivoli SecureWay User Administration Management Handbuch 257 uoyemion 9zjesusjepiszinuag Z Benutzerdatens tze verwalten Profildatenbank mit Benutzerprofil Systemdateien synchro nisieren Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um die Profildatenbank mit Systemdateien zu synchronisieren 1 Klicken Sie doppelt auf das Symbol des Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 258 Version 3 8 Benutzerdatens tze verwalten 2 W hlen Sie den Subskribenten aus mit dem Sie die Benutzer profile synchronisieren m chten 3 W hlen Sie Synchronisieren im Kontextmen des ausgew
434. ross Site NetView OS 2 Planet Tivoli RS 6000 Tivoli Certified Tivoli Enterprise Tivoli Enterprise Console Tivoli Ready und TME sind in gewissen L ndern Marken oder eingetragene Marken der International Business Machines Corporation Microsoft Windows Windows NT und das Logo von Windows sind in gewissen L ndern Marken der Microsoft Corporation UNIX ist in gewissen L ndern eine eingetragene Marke und wird ausschlie lich ber X Open Company Limited lizenziert Namen anderer Unternehmen Produkte und Dienstleistungen k nnen Marken oder Dienstleistungen anderer Unternehmen sein Bemerkungen Hinweise auf Produkte Programme oder Dienstleistungen von Tivoli Systems oder IBM in dieser Ver ffentlichung bedeuten nicht dass diese in allen L ndern in denen Tivoli Systems oder IBM vertreten ist angeboten werden Hinweise auf diese Produkte Programme oder Dienstleistungen bedeuten nicht dass nur Produkte Programme oder Dienstleistungen von Tivoli Systems oder IBM verwendet werden k nnen Im Rahmen der g ltigen gewerblichen oder anderen Schutzrechte von Tivoli Systems oder IBM k nnen quivalente Produkte Programme oder Dienstleistungen an Stelle der angegebenen Pro dukte Programme oder Dienstleistungen verwendet werden Die Verantwortung f r den Betrieb in Ver bindung mit Fremdprodukten liegt beim Kunden soweit solche Verbindungen nicht ausdr cklich erw hnt sind F r die in diesem Dokument beschriebenen Produkte und Verfahren
435. rprofilmerkmale anzuzeigen Benutzerprofilmerkmale _IoJx Profil Editieren Ansicht Hilfe A Benutzerprofil Benutzer Kennung festiegen Subskriptionspfad Sadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX iapprich liapprich inte userid useridt Vinse japprich 102 102 Seng 101 101 eller 100 100 tiesch 1103 103 uzeller uzeller binfe wfriesch wfriesch Pinte H Benutzer hinzur gen Benutzer l schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi zi GB 2 W hlen Sie Neue Kopie abrufen im Men Profil aus um den Dialog Subskriptionskopie abrufen anzuzeigen 2 Subskriptionskopie abrufen Iofx Konfigurationsprofil Benutzer in Proflimanager admin e Im Profilmanager vorgenommene nd ar Profilmanagerdatens tze EXAKT mit den abgerufenen an Profildatensa halten Profildatens tzen abgleichen Kopie abrufen und schlie en Kopie abruren Schie en Hilfe 3 Klicken Sie auf Profilmanagerdatens tze EXAKT mit den abgerufenen Profildatens tzen abgleichen um das Profil abzu rufen und die Werte im aktuellen Profil zu berschreiben Ver wenden Sie diese Option wenn Sie die lokalen nderungen an Ihrem aktuellen Profil nicht beibehalten m
436. rsion 3 7 Tivoli SecureWay User Administration Gateway Package Version 3 7 Tivoli SecureWay User Administration for LDAP Server Package Version 3 7 Tivoli SecureWay User Administration Export 55L LDAP Connection Version 3 7 Tivoli SecureWay User Administration for 05 2 Server Package Version 3 7 Tivoli SecureWay User Administration for 05 2 Gateway Package Version 3 7 Tivoli SecureWay User Administration Linux Gateway Package Version 3 7 Tivoli SecureWay User Administration for A5 400 Server Package Version 3 7 Tivoli SecureWay User Administration for A5 400 Gateway Package Version 3 7 Tivoli SecureWay User Administration OnePassword Version 3 7 Tivoli SecureWay User Administration Cor PolicyDirector Server Package Versic Tivoli SecureWay User Administration for Policy Director Connection Version IX 4 gt Clients f r die Installation Verf gbare Clients oswaldo teo elle oa L HS IS Installationsaptionen Datentr ger ausw hlen Installieren und schlie en EES Schie en ol 7 W hlen Sie OnePassword in der Liste Zu installierendes Pro dukt ausw hlen aus Verwenden Sie zur Angabe des TMR Servers auf dem dieses Produkt installiert werden soll die Pfeiltasten um den Hostna men des TMR Servers zwischen der Liste Clients f r die Instal lation und der Liste Verf gbare Clients zu verschieben Klicken Sie auf Installieren und schlie en um das
437. rsion 3 8 identisch falls nicht anders angegeben OS 2 Konto Der Bereich OS 2 Konto enth lt die allgemeinen Attribute f r ein OS 2 Benutzerkonto 1 W hlen Sie in der Merkmalliste die Option OS 2 Konto aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen Tivoli SecureWay User Administration Management Handbuch 405 usyemion J49z1nuag 2 SO 9 Mit OS 2 Attributen und Endpunkten arbeiten 406 OS 2 Konto Benutzer ID uzeller Kennwort I Kennwort erforderlich I Kennwort nur durch Administrator nderbar I Bei nderung ber Tivoli Verteilung Kennwort wie bei Erstanmeldung Kontoberechtigung user z Benutzerberechtigungen bei Kontoberechtigung USER IF Drucken F Kommunikation I Server F Konten m Basisverzeichnis Zugeordnetes Laufwerk auf der Maschine des Anforderers e Server Name Laufwerk und Pfad auf dem Server ee IT Basisverzeichnis nach L schen dieses Benutzers beibehalten 2 Geben Sie im Feld Benutzer ID den OS 2 Anmeldenamen des Benutzers ein Diese ID darf nicht mit der UNIX Benutzer ID verwechselt werden bei der es sich um eine Ganzzahl handelt Der OS 2 Anmeldename wird separat von dem allgemeinen Anmeldenamen im Benutzerprofil gespeichert Der OS 2 An meldename muss den OS 2 Namenskonventionen f r Benutzer IDs entsprechen Der von Ihnen eingegebene Anmeldename wird vor der Verwendung vom OS 2 Endpunkt
438. rstellen Profile werden in Profilmanagern erstellt Zun chst ist das Profil leer d h es enth lt keine Datens tze Es enth lt jedoch eine Reihe von Standardwertegruppen und Richtlinien f r G ltigkeitspr fung die von Tivoli bereitgestellt werden Sie k nnen diese Gruppen und Richtlinien verwenden oder Ihre eigenen definieren Standardwerte gruppen und Richtlinien f r G ltigkeitspr fung werden in den Gruppenprofilen definiert In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppenprofil erstellen Profilmanager senior Tivoli SecureWay User Administration Management Handbuch 277 us y9L1ula a Jo dusddnig oe Mit Gruppenprofilen arbeiten Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Gruppenprofil zu erstellen 1 Klicken Sie im Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 278 Version 3 8 Mit Gruppenprofilen arbeiten 2 W hlen Sie im Men Erstellen die Option Profil aus um den Dialog Profil erstellen anzuzeigen r Profil erstellen Bisi E er Neues Profil in Profilmanager aja i admin erstellen Art Groupfrofile UserProfile Erstelle
439. rteilt wer NO den sollen O0S400_Profile_Owner NAME Gibt den Namen des OS 400 Benutzerprofils an das der tats chliche Besitzer des Objekts USRPRE ist O0S400_SAVRST_Audit YES Gibt an ob Protokolleintr ge f r Speicher NO und Wiederherstellungsvorg nge gesendet werden OS400_Security_Audit YES Gibt an ob Protokolleintr ge f r nderungen NO der Sicherheit gesendet werden OS400_Send_Message YES Gibt an ob eine Nachricht an den Besitzer NO einer Spool Datei gesendet wird die anzeigt dass der Druckvorgang beendet bzw ange halten wurde 398 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_Service_Audit YES Gibt an ob Protokolleintr ge f r System NO dienste Tools gesendet werden OSA00 Show Details YES Gibt an ob zus tzliche Optionen angezeigt NO werden wenn das System definiert bzw ge ndert wird OSA00 Show Status MSC YES Gibt an ob Statusnachrichten gesendet wer NO den OS400_Show_Parm_Keys YES Gibt an ob bei der Anzeige eines Befehls NO Parameterschl sselw rter an Stelle von m g lichen Schl sselwortwerten angezeigt wer den OS400_Signon_Info SYSVAL Gibt an ob Anmeldeinformationen angezeigt YES werden oder Systemstandardwerte verwendet werden NO OS400_Sort_Sequence SYSVAL Gibt die Reihenfolge bei Zeichenfolge HEX vergleichen an LANGIDUNK LANGIDSHR Objekt Ei
440. ruppen ID Anzahl Subskribent Kommentar Benutzer der Benutzer kann editieren bin fin 107 o Ja daemon daemon 110 0 db ab 108 To Ja a Alle anzeigen Auswahl anzeigen Gruppe hinzuf gen Gruppen l schen Gruppe editieren Alle Gruppen ausw hlen Auswahl aller Gruppen zur cknehmen zi Tivoli SecureWay User Administration Management Handbuch 311 uoyemion ozjesuspepusddnig e Gruppenkontodatensatz l schen 2 W hlen Sie die zu l schenden Gruppenkonten aus Anmerkung Sie k nnen einen Datensatz ausw hlen indem Sie mit der rechten Maustaste darauf klicken Sie k n nen mehrere Datens tze ausw hlen indem Sie einen Datensatz ausw hlen und den Mauszeiger nach oben oder nach unten ber die Profileintr ge ziehen indem Sie die Taste Strg dr cken und mehrere Datens tze ausw hlen oder indem Sie den Dialog Datens tze suchen verwenden 3 Klicken Sie auf Gruppen l schen um die ausgew hlten Daten s tze aus dem Profil zu l schen 4 W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen an der Profil datenbank zu speichern Befehlszeile Im folgenden Beispiel wird ein Datensatz aus einem Gruppenprofil gel scht wdelgrp GroupProfile developers dgates Dabei gilt Folgendes GroupProfile developers Gibt den Namen des Profils an das den zu l schenden Gruppendatensatz enth lt dgates Gibt
441. ruppendatensatz um den Dialog Profildatensatz editieren anzuzeigen 25 Profildatensatz editieren Gruppenprofil editieren in Profilmanager admin Gruppenname daemon Gruppen ID In rr E p _ Sruppendatensatz kann von Subskribenten bearbeitet werden Kommentar Verf gbare Benutzerprofile Benutzer im Profil Benutzer LGL F r Standardgruppenzugeh rigkeit ausgew hlte Benutzer Bea Cl ERD Erstellt 06 02 01 14 27 51 Letzte nderung 06 02 01 14 27 52 ndern und schlie en Schlie en Version 3 8 Gruppenkontodatens tze editieren 3 ndern Sie beliebig die folgenden Gruppenkontoinformationen m Den Gruppennamen im Feld Gruppenname m Die Identifikationsnummer der Gruppe GID im Feld Grup pen ID m Ob Subskribenten diesen Datensatz editieren k nnen aktivie ren Sie dazu das Kontrollk stchen Gruppendatensatz kann von Subskribenten bearbeitet werden aus m Die Anzahl der Benutzerdatens tze im Gruppendatensatz 4 Klicken Sie auf ndern und schlie en um den Datensatz zu ndern und zum Gruppenprofil zur ckzukehren 5 W hlen Sie die Option Speichern im Men Profil des Fensters Gruppenprofilmerkmale aus um die nderungen an der Profil datenbank zu speichern Befehlszeile Zum ndern der Attribute eines Gruppendatensatzes k nnen Sie zun chst die aktuellen Werte der Datensatzattribute mit dem Befehl wgetgrp auflisten Anschlie end k nnen Sie diese mit dem Befehl wsetgr
442. rvers der auf 1 114 dem TMR Server ausgef hrt wird E er L Micro el Stop H Home Search Faute Vie Mail Edit 7 Discuss SS HTTP Serven htdocs OnePasswordhiml ERC E Tivoli OnePassword u 5 Geben Sie Ihren Benutzernamen art IE E ES Leet S Geben Sie Ihr altes Kennwort an Geben Sie Ihr neues Kennwort an Geben Sie Ihr neues Kennwort erneut an Wenn Sie alle Kennw rter ndern m chten machen Sie die erforderlichen Angaben in den oben aufgef hrten Textfeldern und klicken Sie anschlie end auf diese Schaltfl che Alle Kennw rter ndern Wenn Sie einige ausgew hlte Kennw rter ndern m chten machen Sie die erforderlichen Angaben in den oben aufgef hrten Textfeldern und klicken Sie anschlie end auf diese Schaltfl che Ausgew hlte Kennw rter ndern L schen Abbrechen Hilfe Letzte nderung 16 Mai 06 43 00 CST 2001 Sib dene IT TE My Computer Geben Sie Folgendes ein m Ihren Benutzernamen m Ihr altes Kennwort m Ihr neues Kennwort m Best tigung des neuen Kennworts Klicken Sie auf eine der folgenden Optionen m Alle Kennw rter ndern m Ausgew hlte Kennw rter ndern Version 3 8 OnePassword Falls Sie Ausgew hlte Kennw rter ndern ausgew hlt haben fahren Sie mit den Schritten 4 und 5 fort 73 W hlen Sie die Kennwortarten aus die Sie nden W hlen Sie die Kennwortarten aus die Sie ndern m chten
443. rzeichnis indem es auf einem verwalteten Knoten einen Proxy ausf hrt und LDAP zur Kommunikation mit dem Verzeich nis verwendet Benutzerdaten k nnen alle Informationen zu Benut zern die im Verzeichnis gespeichert sind umfassen Beispiele f r solche Informationen sind Kennw rter Telefonnummern Titel Standort des B ros usw Tivoli SecureWay User Administration kann Benutzerdefinitionen im LDAP Verzeichnis lesen und diese Daten zum Erstellen und Verwalten von Konten auf allen Systemen die es verwaltet verwenden Tivoli SecureWay User Administration erm g licht auch die Weitergabe verf gbarer Benutzerdefinitionen an das LDAP Verzeichnis Weitere Informationen hierzu finden Sie in der Dokumentation zu Ihrem Verzeichnisserver Tivoli SecureWay User Administration Management Handbuch 21 Bunyemaaausddnig pun Aezinueg LU Funktionsweise der Benutzer und Gruppenverwaltung Funktionsweise der Benutzer und Gruppen verwaltung 22 Bei Tivoli SecureWay User Administration handelt es sich um eine auf Profilen basierende Anwendung die auf verschiedenen Plattfor men zum Einsatz kommen kann Mit der Anwendung Tivoli Secure Way User Administration k nnen UNIX Windows NT Windows 2000 und NetWare Benutzerkonten verwaltet werden Dar ber hin aus stehen noch zus tzliche Anwendungspakete f r die Verwaltung von OS 390 OS 400 und OS 2 Konten zur Verf gung Mit Tivoli SecureWay User Administration k nnen auch UNIX Gruppen sow
444. rzeichnis unver ndert bleibt wenn Benutzerkonten durch Uberschreiben gel scht werden ManagedNode olympus Gibt den Namen des Systems an von dem Daten weiterge geben werden sollen UserProfile firestorm Gibt den Namen des Profils an an das Daten weitergegeben werden sollen Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wpopusrs im Handbuch Tivoli SecureWay User Administra tion Reference Manual Tivoli SecureWay User Administration Management Handbuch 151 us y911ula a lJo d az nuag e Benutzerprofile einrichten Standardwerte f r Verteilung festlegen Sie k nnen die Standardwerte steuern die von einem Profil bei sei ner Verteilung durch Tivoli SecureWay User Administration verwen det werden Wenn Sie ein Profil aus einem Profilmanager verteilen werden Ihnen keine Optionen daf r angeboten wie die Verteilung ausgef hrt werden soll Stattdessen verwendet die Anwendung die Standardoptionen die Sie mit dem Dialog Standardwerte f r Ver teilung festlegen definieren Die Standardwerte legen fest welche Optionsfelder standardm ig ausgew hlt sind wenn Sie den Dialog Profil verteilen ber das Kontextmen des Benutzerprofils oder ber die Option Verteilen im Fenster Benutzerprofilmerkmale aufrufen Die Standardwerte werden f r jedes Profil gesetzt Die Standard optionen jedes Profils k nnen sich von denen anderer Profile unter scheiden In der folgenden Tabelle werden die Umgebung u
445. s auf Benutzerkonten kennen damit Sie die Tivoli Berechtigungsklassen den richtigen Mitarbeitern zuordnen Funktionsbereiche Die Mitarbeiter der verschiedenen Funktionsbereiche haben m gli cherweise bestimmte Erwartungen was Ihre Zugriffs oder Steue rungsberechtigungen f r Benutzerkontoinformationen anbelangt Bei der Planung Ihres Einsatzes sollten Sie diese Bed rfnisse bzw Erwartungen ber cksichtigen Wenn Sie Zugriffsberechtigungen f r Benutzerkontoinformationen f r den von Ihnen geplanten Einsatz 76 Version 3 8 Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen ndern m chten sollten Sie die Mitarbeiter die von diesen nderun gen betroffen sind im Voraus informieren Die folgenden Funktionsbereiche ben tigen oft Zugriffs berechtigungen f r Benutzerkontoinformationen Dies sind jedoch nur Beispiele Stellen Sie sicher dass Sie die besonderen Bed rfnisse Ihrer Umgebung ber cksichtigen m Systemverwaltung bzw Informationstechnik IT Normaler weise werden Benutzerkonten von Systemadministratoren einge richtet und verwaltet m Help Desk Help Desk Mitarbeiter k nnen Kennw rter zur ck setzen und andere Benutzerkontoinformationen ndern m Personalabteilung Die Mitarbeiter der Personalabteilung k n nen Benutzerkonten einrichten bzw vorhandene Konten modifi zieren wenn Mitarbeiter Ihre Arbeitsstelle innerhalb der Firma wechseln bzw aus der Firma ausscheiden oder wenn sie in ein ande
446. s auf der Maschine ein SSL f higer Webserver installiert sein Anmerkung Tivoli SecureWay 3 8 Toolkit Package ist im Liefer umfang von Tivoli SecureWay User Administration 3 8 enthalten Anweisungen zur Installation des Tool kit Pakets k nnen Sie dem Handbuch Tivoli Secure Way Application Management Toolkit Guide entneh men Dar ber hinaus muss der Befehl wpasswd auf einem Endpunkt installiert werden damit er auf diesem Endpunkt verwendet werden kann Weitere Informationen finden Sie unter Vor der Installation der Pakete von Tivoli SecureWay User Administ ration sollten Sie zun chst folgende Abschnitte lesen m Softwarevoraussetzungen m Hardwarevoraussetzungen Lesen Sie zus tzlich die Tivoli SecureWay User Administration Release Notes Die Release Notes enthalten m gliche nderungen am Installationsverfahren sowie L sungen f r bekannte Probleme Softwarevoraussetzungen Die folgende Software muss vor der Installation von Tivoli Secure Way User Administration 3 8 installiert und aktiv sein m Tivoli Management Framework Version 3 7B oder 3 7 1 In den Tivoli SecureWay User Administration Release Notes werden plattformspezifische Programmkorrekturen Patches aufgelistet die vor der Installation der Software von Tivoli SecureWay User Admi nistration installiert werden m ssen 46 Version 3 8 Hardwarevoraussetzungen Hardwarevoraussetzungen Hinweise zum Plattenspeicherbedarf der Software auf Clients und
447. s neue Profil mit allen Standardwertegruppen und Richtlinien des geklonten Profils Befehlszeile Im folgenden Beispiel wird ein Gruppenprofil geklont wertprf c GroupProfile developers ProfileManager UNIX_groups GroupProfile testers Dabei gilt Folgendes c GroupProfile developers Gibt den Namen des Profils an das geklont werden soll ProfileManager UNIX_groups Gibt den Namen des Profilmanagers an in dem das neue Profil erstellt werden soll Version 3 8 Mit Gruppenprofilen arbeiten GroupProfile Gibt die zu erstellende Profilart an testers Gibt den Namen des neuen Gruppenprofils an Informationen zum Klonen eines Gruppenprofils ber die Befehls zeile finden Sie in der Beschreibung des Befehls wertprf im Hand buch Tivoli Framework Reference Guide Gruppenprofile l schen Durch L schen eines Gruppenprofils werden das urspr ngliche Profil und seine Datens tze sowie Kopien aus den Subskribenten des Profilmanagers gel scht Durch das L schen eines Gruppenprofils werden jedoch keine Gruppen Benutzerinformationen aus den Konfigurationsdateien der Subskribentensysteme gel scht Um den Inhalt der Konfigurationsdateien des Systems zu l schen m ssen Sie alle Datens tze des Profils l schen und das Profil anschlie end an den Profilendpunkt verteilen Dadurch wird alles gel scht mit Aus nahme der Option root und der NIS Anweisungen in der Konfigurationsdatei In der folgenden Tabelle werden die Umgebung
448. s nicht vorhan den ist muss ein Bibliotheksqualifikationsmerkmal angegeben werden da sich die Jobbeschreibung im Benutzerprofil befindet Anmerkung F r Schl sselwortwerte au er f r QDFTJOB m ssen Sie den Pfad f r die sen Namen angeben Der Name der Bibliothek in der sich die Jobbeschreibung befindet OS400_Job_Audit Gibt an ob alle Informationen zum Starten und Stoppen des Jobs f r diesen Benutzer gepr ft werden YES NO Tivoli SecureWay User Administration Management Handbuch usyemion J9Zz1nu9g 007 SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_KBD_Buffering SYSVAL Gibt die Art des zu verwendenden Tastatur TYPEAHEAD puffers falls vorhanden an oder erm glicht die bernahme eines Systemstandardwertes YES NO OS400_Language SYSVAL Gibt die Sprachen ID f r dieses Benutzer profil an Sprachen ID Eine AS 400 Sprachen ID OS400_Limit_Cap PARTIAL Gibt an ob die Funktionen dieses Benutzer YES profils begrenzt werden sollen oder ob die Funktionen auf einen Systemstandardwert NO gesetzt werden sollen OS400_Limit_Dev_Sess SYSVAL Gibt an ob die Einheitensitzungen f r diesen YES Benutzer begrenzt werden sollen oder ob ein Systemstandardwert bernommen werden NO soll OS400_Locale SYSVAL Gibt den Pfadnamen der L ndereinstellung NONE an die der Umgebungsvariablen LANG zugeordnet ist
449. s wird in diesem Fall erst bei der Verteilung des Profils gel scht Geben Sie im Feld NT Profilname den Pfad f r das Windows NT Benutzerprofil ein ber ein Windows NT Benutzerprofil wird die Umgebung festgelegt die vom System bei der Anmel dung des Benutzers geladen wird Der Pfad muss im Format Servername Profilordnername Profilname eingegeben werden Version 3 8 Informationen zu Windows NT Benutzerkonten Informationen zur Windows NT Gruppenzugeh rigkeit Mit der Option NT Gruppenzugeh rigkeit k nnen Sie die Windows NT Gruppenzugeh rigkeit f r diesen Benutzer definieren 1 W hlen Sie in der Merkmalliste die Option NT Gruppen zugeh rigkeit aus um Folgendes im Merkmalbereich des Dia logs Benutzermerkmale anzuzeigen NT Gruppenzugeh rigkeit Hinzuf gen 2 Geben Sie den Namen der Gruppe ein zu der dieser Benutzer geh rt und klicken Sie auf Hinzuf gen Die Gruppe wird dar aufhin der entsprechenden Liste hinzugef gt Wiederholen Sie diesen Schritt so oft es erforderlich ist Informationen zu Windows NT Workstations Mit der Option NT Workstations k nnen Sie festlegen von welchen Windows NT Workstations aus sich der Benutzer mit diesem Benutzerkonto am Netzwerk anmelden kann 1 W hlen Sie in der Merkmalliste die Option NT Workstations aus PNT Workstations Hinzuf gen Tivoli SecureWay User Administration Management Handbu
450. schen For mat ein lt Dom ne gt Kontext1l Kontext2 3 Geben Sie den allgemeinen Namen des Benutzers im Feld Allge meiner Benutzername ein 4 Der Benutzername den Sie im Feld Benutzername vor Win dows 2000 eingeben muss ein eindeutiger SAM Kontoname in der Dom ne sein Hierbei handelt es sich um ein Musseingabe feld 5 Geben Sie im Feld Benutzeranmeldename den Anmeldenamen des Benutzers ein Nur der Name sollte eingegeben werden Es muss sich um einen eindeutigen Namen in der Dom ne handeln Der daraus resultierende Principal Name des Benutzers hat fol gendes Format lt Name gt lt Dom ne gt Anmerkung In einer typischen Windows 2000 Server konfiguration kann sich der Benutzer anmelden indem er entweder den Benutzernamen vor Win dows 2000 oder den Benutzeranmeldenamen ver wendet Tivoli SecureWay User Administration Management Handbuch 183 u S1 z su ep 1 z nu g 9 Informationen zu Windows 2000 Benutzerkonten Diese Namen m ssen in der Dom ne eindeutig sein Wenn diese Namen nicht eindeutig sind kann der Benutzerdatensatz nicht verteilt werden 6 Diese Anzeige enth lt Kontrollk stchen zu Angabe von verschie denen Merkmalen f r das Benutzerkonto W hlen Sie f r die zu aktivierenden Funktionen das entsprechende Kontrollk stchen aus Windows 2000 Anmeldezeit Mit der Option Windows 2000 Anmeldezeit k nnen Sie die Uhrzei ten festlegen zu denen sich der betreffende Ben
451. scht die lokal hin zugef gt wurden Dar ber hinaus m ssen die Endbenutzer ihre Kennw rter unter Verwendung von Tivoli SecureWay User Administ ration verwalten Stellen Sie vor Verwendung dieses Verteilungs modus in einer Arbeitsumgebung sicher dass Sie sich der Auswir kungen bewusst sind W hlen Sie auf der grafischen Benutzer schnittstelle GUT die Option Profil der Subskribenten EXAKT mit diesem Profil abgleichen aus Version 3 8 Sonderverarbeitung f r Kennw rter bei der Verteilung Verteilt alle Datens tze im Profil Die Daten des im Push Modus gesendeten Profils berschreiben nderungen in den untergeordneten Kopien dieses Profils und in den Systemdateien Alle Kennw rter auf Verteilungszielen werden durch die Werte im Profil ersetzt Auf UNIX Systemen verschl sselt Tivoli SecureWay User Admi nistration das Kennwort aus dem Profil mit dem Verschl sse lungsbasiswert aus dem UNIX Systemkennwort um festzustel len ob diese identisch sind Wenn das Systemkennwort dem Kennwort im Profil entspricht wird das Systemkennwort nicht ersetzt Dadurch wird verhindert dass das Datum der letzten Kennwort nderung im System f lschlicherweise aktualisiert wird Dar ber hinaus wird sicher gestellt dass die Priorit tssteuerung nach Verweildauer f r UNIX Kennw rter ordnungsgem funkti oniert Die Benutzerdatens tze in allen Profilen die zuvor an eine Ziel adresse verteilt wurden werden zusammengef gt und auf d
452. se mit der Sicherheitsstufe eines anderen angegebenen Benutzers bzw einer anderen angegebenen Gruppe bereinstimmt 1 W hlen Sie in der Merkmalliste die Option NetWare Sicherheit aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen Tivoli SecureWay User Administration Management Handbuch 201 u S1 z su ep 1 z nu g 9 Informationen zu NetWare Benutzerkonten m Sicherheit entspricht Geben Sie den Anmeldenamen des Benutzers oder den Namen der Gruppe ein dessen bzw deren Sicherheitsstufe Sie f r diesen Benutzer bzw diese Gruppe bernehmen m chten und klicken Sie auf Hinzuf gen Informationen zu NetWare E Mail Mit der Option NetWare E Mail k nnen Sie die Mailbox Adresse und die Mailbox ID des Benutzers definieren 1 202 W hlen Sie in der Merkmalliste die Option NetWare E Mail aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen NetWare E Mail Geben Sie im Feld Mailbox Adresse den Namen des Nach richtenservers ein auf dem sich die Mailbox des Benutzers befin det Geben Sie im Feld Mailbox ID die eindeutige Mailbox ID des Benutzers ein Mit dieser ID kann die Mailbox des Benutzers in der NetWare Nachrichtendatenbank lokalisiert werden Version 3 8 Informationen zu NetWare Benutzerkonten Informationen zu NetWare fremden E Mail Adressen Mit der Option NetWare fremde E Mail k nnen Sie ext
453. servern befinden Verwalten der Hardware die f r die Netzwerkserver erforder lich ist Installation und Konfiguration der angeforderten Betriebssys teme und Software Entfernen von Servern Protokollieren aller Aktionen Status nderungen im Anforderungsdatensatz Bereitstellen des angeforderten Status Empfehlungen f r Verbesserungen hinsichtlich der Prozesse Prozeduren und Tools m Prozessarchitekt Der Prozessarchitekt ist f r die Server verwaltungsprozesse und prozeduren zust ndig Prozess architekten sind f r folgende Aufgaben verantwortlich Verwalten von Serververwaltungsprozeduren f r eine Dienst bereitstellungsorganisation bzw ein Konto Entwickeln von Richtlinien f r die Organisation Konten Informieren ber neue ge nderte Richtlinien Genehmigen zur ckweisen von Anforderungen die von den Prozeduren abweichen Unterst tzen der Server Benutzer und E Mail Administrato ren bei der Implementierung der Prozesse Prozeduren Unterst tzen bei der erneuten Zuordnung von fehlgeleiteten Anforderungen Identifizieren einer m glichen Zuwiderhandlung gegen Dienststufenvereinbarungen f r das Verarbeiten von Server verwaltungsanforderungen Tivoli SecureWay User Administration Management Handbuch 79 z esuig pun unuegid E Ihre Bed rfnisse hinsichtlich der Benutzerverwaltung feststellen 80 e Kontakt zu Server Benutzer und E Mail Administratoren aufnehmen zur Kl rung m glicher Situationen in de
454. sf llen 296 klonen 280 Kopien abrufen 318 l schen 283 Tivoli SecureWay User Administration Management Handbuch 461 xapuj Gruppenprofile Forts mit Systemdateien synchronisieren 321 Richtlinien f r G ltigkeitspr fung definie ren 291 Standardwerte f r Verteilung festlegen 299 Standardwertegruppen definieren 286 verteilen 313 wechseln 329 Identifikationsanzeige 160 Installations Repository 48 Installieren AS A00 Pakete 61 LDAP Pakete 56 OS 2 Pakete 59 Tivoli User Administration 49 Tivoli User Administration Gateway Pa ket 53 wpasswd Befehl 69 K Kennw rter 85 wpasswd verwenden 84 ndern 83 102 Berechtigungsklassen f r nderungen 86 ge ndert unter OS 2 419 lange Kennw rter 110 Leistungsspektrum von wpasswd 101 nicht vorhanden 418 Qualit tsregeln 92 Kennw rter zu ndern 83 Klonen Benutzerprofile 126 Gruppenprofile 280 462 L L schen Benutzerdatens tze 236 Benutzerprofile 129 Gruppendatens tze 311 Gruppenprofile 283 N Nachrichten 440 NETAPI32 DLL Bibliothek 418 NetWare Anzeigen Anmeldeskript 204 Anmeldezeit 193 Anmeldung 190 Datentr gereinschr nkungen 207 E Mail 202 fremde E Mail Adressen 203 Gruppenzugeh rigkeit 201 Kennwort 194 Netzwerkadresse 197 Sicherheit 201 Verzeichnis 196 Workstations 208 NetWare Endpunktkommunikation 17 O Oneshot Attribute 367 OS 2 Anzeigen Anmelde Workstations 416 Anmeldezuordnungen 411 Anwendungen 413 Gruppenzugeh rigkeit 41
455. sierung von Benutzern oder Gruppen durch das System ausgef hrt wird werden m glicherweise fehlerhafte Eintr ge in die Datenban ken geschrieben Er kann jedoch ohne Weiteres im Anzeigemodus ausgef hrt werden um Inkonsistenzen festzustellen Mit dem Befehl wchkadmdb werden Informationen aus Benutzer und Gruppenprofilen mit den in diesen Hilfsdatenbanken enthaltenen Informationen verglichen um m gliche Inkonsistenzen festzustellen Auf Wunsch k nnen diese Inkonsistenzen mit diesem Befehl durch Aktualisierungen der entsprechenden Datenbanken behoben werden Mit dem Befehl wchkadmdb k nnen die Daten in Benutzer und Gruppenprofilen nicht ge ndert werden Die folgende Tabelle veranschaulicht die Beziehung zwischen dem Benutzerprofil und den drei Datenbankarten Das Benutzerprofil Datensatzschl ssel tats chlicher Anmeldename Benut Name zer ID pOID_1 Tim Jones tim UNIX 100 pOID_2 Bill Best bill NT pOID_3 Nancy Dee nancy UNIX NT 101 pOID_4 Lars Smitt lars UNIX NT 102 pOID_5 Lisa Sparks lisa UNIX 100 pOID_6 Dave Hill dave NT Die Benutzernamensdatenbank Datenbankschl ssel Beschreibung Datensatzschl ssel tim Anmeldung pOID_1 bill nt_Anmeldung pOID_2 nancy Anmeldung nt_Anmeldung pOID_3 lars Anmeldung nt Anmeldung pOID_4 Tivoli SecureWay User Administration Management Handbuch 375 Ueuaul S1ayoM Z Benutzer und Gruppen Indexdatenbanken u
456. skribenten verteilen Gruppendatens tze mit der Tivoli Datenbank synchronisieren aufgef hrten Konzepten vertraut sein bevor Sie mit der Ausf hrung dieser Tasks beginnen Tivoli SecureWay User Administration Management Handbuch 221 uoyemioa 9zjesusjep4szinuag Z 222 Die meisten Tasks zur Verwaltung von Benutzerdatens tzen k nnen Sie im Fenster Benutzerprofilmerkmale ausf hren Benutzerprofilmerkmale oix Profil Editieren Ansicht Hilfe Benutzerprofil Benutzer Kennung reiege Subskriptionspfad jadmin Benutzer 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr fID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX japprich 102 102 Send 101 101 eller 100 100 Iesch 103 103 iapprich iapprich nie useridt userid1 inte uzeller uzeller ne wfriesch wfriesch binfe H Benutzer hinzur gen Benutzerl schen Benutzer editieren Alle Benutzer ausw hlen Auswahl aller Benutzer zur cknehmi H Mit diesem Profilfenster wie mit anderen profilbasierten Anwendun gen von Tivoli k nnen Sie Benutzerdatens tze erstellen editieren und l schen Au erdem k nnen Sie das Profilverhalten editieren Tivoli SecureWay User Administration stellt Ihnen ein Tool zum Suchen nach Benutzern zur Verf gung Anstatt manuell in Profil managern oder Profilen nach einem Benutzer zu suchen k nnen Sie mit der Benutzers
457. smith L ENABLED jsmith P jsmith s bin csh t MOUNTED w ENABLED At USER ct ENABLED Et ENABLED Ft F PUBLIC LOGIN ht C Lt ENABLED Pt Marketing UserProfile Marketing Jon Smith Dabei gilt Folgendes e 5359 Gibt die Rufnummer des Benutzers an dp Marketing Gibt die Abteilung an zu der der Benutzer geh rt N Erm glicht den Subskribenten die Kopien des Benutzer kontodatensatzes zu ndern fn jon Gibt den Vornamen des Benutzers an ln smith Gibt den Nachnamen des Benutzers an f olympus usr template Gibt die Speicherposition des urspr nglichen Inhalts im UNIX Basisverzeichnis an H rushmore Gibt den Namen des UNIX Mailservers des Benutzers an h users jsmith Gibt den Pfad f r das lokale Basisverzeichnis an S olympus Noon marketing jsmith Gibt die ferne Position des UNIX Basisverzeichnisses des Benutzers auf dem NFS Server Olympus an L ENABLED Aktiviert die UNIX Anmeldung f r diesen Benutzer Tivoli SecureWay User Administration Management Handbuch 167 u S1 z su ep 1 z nu g 9 Allgemeine Informationen zu Benutzerkonten 168 l jsmith Gibt den UNIX Anmeldenamen des Benutzers an P jsmith Gibt den E Mail Aliasnamen des Benutzers f r UNIX an s bin csh Gibt die UNIX Anmelde Shell des Benutzers an t MOUNTED Gibt an dass das UNIX Basisverzeichnis entfernt angeh ngt ist w ENABLED Legt fest dass das UNIX Kennwort des Benut
458. spiele dazu wie diese Flexibi lit t Ihnen bei der effektiven Verwaltung Ihrer Benutzerkonten helfen kann finden Sie unter e G e Subskribenten einrichten Tivoli SecureWay User Administration erm glicht Ihnen die Angabe der verwalteten Knoten bzw Endpunkte die Ziele eines Verteilvor gangs sind Tivoli SecureWay User Administration erkennt zwei Ebe nen von Subskribenten Subskribenten auf Profilmanagerebene und Subskribenten auf Datensatzebene Die Subskribenten auf Profilmanagerebene legen fest an welche Endpunkte und Profilmanager Tivoli SecureWay User Administration versucht den Inhalt des Profils zu verteilen Die Anwendung ver wendet dann die Subskribenten auf Datensatzebene um zu berpr fen auf welcher Untergruppe von Endpunkten die Datens tze verar beitet werden Version 3 8 Benutzer und Gruppenprofile Daten an Profile weitergeben Wenn Sie ein Profil erstellen ist das Profil nur eine Definition der Informationen die jeder Profilbestandteil enth lt Die Daten die die jeweilige Benutzerkontokonfiguration definieren m ssen dann an die Profilbestandteile weitergegeben werden d h die Profilbestandteile m ssen gef llt werden Sie k nnen die Daten von Benutzern von einem oder mehreren Endpunkt en an ein Benutzerprofil weiterge ben Sie geben an von welchen Endpunkten die Informationen abge rufen werden sollen und ob diese Informationen die vorhandenen Profilinformationen berschreiben oder d
459. sprechenden Werte finden Sie in der Doku mentation zu Ihrer Hardware m Geben Sie bei Auswahl der Option TCP IP die IP Adresse ein In jedem Feld einer IP Adresse muss eine Zahl aus dem Bereich zwischen 0 und 255 stehen 4 Klicken Sie auf Festlegen und schlie en um die Netzwerk adresseneinschr nkungen festzulegen und zum Dialog Benutzer merkmale zur ckzukehren 200 Version 3 8 Informationen zu NetWare Benutzerkonten Informationen zur NetWare Gruppenzugeh rigkeit Mit der Option NetWare Gruppenzugeh rigkeit k nnen Sie Net Ware Gruppenzugeh rigkeiten f r einen Benutzer definieren 1 W hlen Sie in der Merkmalliste die Option NetWare Gruppen zugeh rigkeit aus um Folgendes im Merkmalbereich des Dia logs Benutzermerkmale anzuzeigen p NetiWare Gruppenzugeh rigkeit 2 Geben Sie den Namen der Gruppe ein zu der der Benutzer geh rt und klicken Sie auf Hinzuf gen Die Gruppe wird dar aufhin der entsprechenden Liste hinzugef gt Wiederholen Sie diesen Schritt so oft es erforderlich ist Geben Sie z B zum Hinzuf gen der Gruppe NOON GROUP zum Noon Kontext NOON_GROUP NOON ein oder suchen Sie die Gruppe mit der Option Durchsuchen so wie Sie die Schaltfl che Durchsuchen von NDS bei einer NetWare Anmeldung verwenden Informationen zur NetWare Sicherheit Mit der Option NetWare Sicherheit k nnen Sie die Sicherheitsstufe eines Benutzers oder einer Gruppe so festlegen dass die
460. sse vorgegebenen Instanzmodells erstellt wurde Eine von einem Benutzer definierte Arbeitseinheit die von einem Computer ausge f hrt wird Manchmal wird mit diesem Begriff auch lediglich eine Darstellung eines Jobs bezeichnet Diese Darstellung kann eine Reihe von Computerprogrammen Dateien und Steueranweisungen f r das Betriebssystem enthalten Version 3 8 In einer Tivoli Umgebung eine Ressource die aus einer Task und deren vor konfigurierten Ausf hrungsparametern besteht Die Ausf hrungsparameter legen unter anderem die Gruppe der Hosts fest auf denen der Job ausgef hrt werden soll Kanonisch In der Computerwissenschaft ein Ausdruck der einer bestimmten Menge von Regeln entspricht Klasse 1 In der objektorientierten Entwicklung oder Programmierung eine Gruppe von Objekten mit einer gemeinsamen Definition d h mit gemeinsamen Merkmalen Operationen und Verhaltensweisen Die Mitglieder der Gruppe werden Klassen instanzen genannt 2 Im Betriebssystem AIX bezieht sich Klasse auf die E A Ei genschaften einer Einheit Systemeinheiten werden als Block oder Zeicheneinheiten klassifiziert Klonen In einer Tivoli Umgebung eine Operation mit der ein Tivoli Administrator Profile replizieren kann Diese F higkeit erleichtert die Erstellung mehrerer Profile mit ver wandten Merkmalen Siehe auch Konfigurationsprogramm In Tivoli Software Distribution eine Funktion mit der ein Tivoli Administrator Ope rationen a vor od
461. stung des Datenbestands oder der Anforderungen anzu passen Ein skalierbares System kann sich beispielsweise effizient an die Arbeit mit gr eren oder kleineren Netzwerken zur Ausf hrung von Tasks unterschiedlicher Komplexit t anpassen Subskribent In einer Tivoli Umgebung ein verwalteter Knoten ein Profilmanager ein Endpunkt oder ein anderer Tivoli Client der einem Profilmanager als Teilnehmer zugeordnet ist Obwohl Profile an Subskribenten verteilt werden sind die Subskribenten nicht immer der endg ltige Zielort der verteilten Profile Standardwertegruppe In einer Tivoli Umgebung eine Gruppe von Merkmalwerten die einer Ressource bei ihrer Erstellung zugeordnet werden Subskription In einer Tivoli Umgebung der Prozess zur Identifikation der verwalteten Ressourcen an die Profile verteilt werden Verwaltete Ressourcen und Profile werden ber Profilmanager einander zugeordnet Subskriptionsliste In der Tivoli Umgebung eine Liste mit den verwalteten Ressourcen die einem Profilmanager als Subskribenten zugeordnet sind Diese verwalteten Ressourcen die andere Profilmanger enthalten k nnen sind die Empf nger der Profilverteilungen Durch die Angabe eines Profilmanagers in einer Subskriptionsliste also durch Angabe einer Liste in einer Liste k nnen mehrere verwaltete Ressourcen gleichzei tig als Subskribenten zugeordnet werden anstatt sie nacheinander zuzuordnen Task 1 In einer Tivoli Umgebung die Definition einer Aktion
462. t Hilfe von Tivoli AEF Application Extension Facility erl utert Bevor Sie Anpassungen vornehmen sollten Sie sich zun chst mit den Informationen im Handbuch Tivoli AEF User s Guide vertraut machen Tivoli AEF bietet Ihnen die M glichkeit Profilen Attribute hinzuzu f gen Der Schwerpunkt in diesem Kapitel liegt auf der Anpassung der Benutzer und Gruppenkomponenten von Tivoli SecureWay User Administration Profilbasierte Anwendungen wie zum Beispiel Tivoli SecureWay User Administration unterst tzen die folgenden Grafikobjekte um Attribute von Tivoli AEF auf der Arbeitsoberfl che zu bearbeiten m Auswahlgrafikobjekt m Textgrafikobjekt m Seitengrafikobjekt E Schaltergrafikobjekt Tivoli SecureWay User Administration Management Handbuch 345 u ssedue Aem3AN99S OAL LL Anpassungsstrategie Anpassungsstrategie Tivoli AEF erm glicht Folgendes m Merkmale definieren um Daten zu verwalten die Tivoli Secure Way User Administration momentan nicht verwaltet m Aktionen definieren die ein Skript oder ein Programm w hrend der Verteilung eines Profils ausf hren m Werte f r neue Merkmale ber CLI Befehle zur ckgeben oder setzen m Benutzerschnittstelle anpassen um den Zugriff auf neue Merk male zu erteilen die Gruppe der Attribute zu begrenzen auf welche ein Administrator Zugriff hat oder den Zugriff auf eine weitere Anpassung zu erteilen Die Definition neuer Merkmale und Aktionen sowie die Anpassung des Zu
463. t ist eine Schnittstelle zum Befehl DLTUSRPREF OSA00 DUT Grp Action NOCHG Gibt die Art der Operationen an die f r CHGPGP Objekte ausgef hrt werden deren Prim r gruppe das zu l schende Benutzerprofil ist Anmerkung Dieses Attribut ist dem Prim rgruppenwert im Parameter PGPOPT des Befehls DLTUSRPRF zugeordnet 0S400_DLT_Grp_Authority OLDPGP Gibt die neue Berechtigung an ber die die PRIVATE neue Prim rgruppe bez glich des zu bertra genden Objekts verf gen soll ALL Anmerkung Dieses Attribut ist der neuen CHANGE Prim rgruppenberechtigung des Parameters PGPOPT im Befehl DLTUSRPRF zugeord USE net EXCLUDE Tivoli SecureWay User Administration Management Handbuch 389 usyemion 19z nu g 00t SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OS400_DLT_Grp_NewOwn NONE Gibt das Benutzerprofil an dass der neue Name Ein g ltiger AS 400 Benutzerprofil Prim rgruppenbesitzer aller Objekte denen name das zu l schende Benutzerprofil als Prim r gruppe zugeordnet ist sein wird Anmerkung Dieses Attribut ist der neuen Prim rgruppe des Parameters PGPOPT im Befehl DLTUSRPRF zugeordnet OS400_DLT_NewOwn CHGOWN Name Gibt den Besitzer an an den die Objekte bertragen werden wenn das Benutzerprofil auf AS 400 Systemen gel scht wird OS400_Document_Password Kennwort Gibt das Dokumentkennwort an mit dessen Hilfe DIA Benu
464. talled Der angeforderte Dienst wurde bereits gestartet 2183 NERR_ServiceEntryLocked Der Dienst reagiert nicht auf Steuerungsaktionen 2184 NERR_ServiceNotInstalled Der Dienst wurde nicht gestartet 2185 NERR_BadServiceName Der Dienstname ist ung ltig 2186 NERR_ServiceCtlTimeout Der Dienst reagiert nicht auf Steuer funktionen 2187 NERR_ServiceCtlBusy Die Dienststeuerung ist ausgelastet 2188 NERR_BadServiceProgName IBMLAN INI enth lt einen ung lti gen Dienstprogrammnamen 2189 NERR_ServiceNotCtrl Der Dienst kann wegen des aktuellen Status nicht gesteuert werden 2190 NERR_ServiceKillProc Der Dienst wurde abnormal beendet 2191 NERR_ServiceCtlNotValid Die angeforderte Pause bzw der angeforderte Stopp ist f r diesen Dienst ung ltig 2200 NERR_AlreadyLoggedOn Diese Workstation ist bereits am loka len Netzwerk angemeldet 2201 NERR_NotLoggedOn Diese Workstation wurde nicht am lokalen Netzwerk angemeldet 2202 NERR_BadUsername Der Benutzernamen bzw Gruppen namenparameter ist ung ltig 2203 NERR_BadPassword Der Kennwortparameter ist ung ltig 2204 NERR_UnableToAddName_W Der Anmeldeprozessor hat den Nach richtenaliasnamen nicht hinzugef gt 2205 NERR_UnableToAddName_F Der Anmeldeprozessor hat den Nach richtenaliasnamen nicht hinzugef gt 2206 NERR_UnableToDelName_W Der Abmeldeprozessor hat den Nach richtenaliasnamen nicht gel scht 2207 NERR_UnableToDelName_F Der Abmeldeprozessor hat den Nach richtenaliasnamen ni
465. tallieren um in den Dialog Produkt installieren zur ckzukehren Der Installationsprozess zeigt nun einen Produktinstallations dialog an In diesem Dialog wird die Liste der Vorg nge ange zeigt die w hrend des Installationsprozesses ausgef hrt werden Au erdem werden Sie in diesem Dialog auf Probleme aufmerk sam gemacht die vor der Installation der Anwendung korrigiert werden sollten 5 W hlen Sie Installieren aus um mit dem Installationsprozess zu beginnen und den Dialog mit dem Status der Produktinstallation anzuzeigen Der Dialog Produkt installieren enth lt Status informationen zur Installation Wenn die Installation beendet ist wird im Produktinstallations dialog eine Abschlussnachricht zur ckgegeben 6 Klicken Sie auf Schlie en um den Dialog zu schlie en Tivoli SecureWay User Administration ist nun auf den ausgew hlten verwalteten Knoten installiert Befehlszeile Im folgenden Beispiel wird das Tivoli SecureWay User Administra tion for OS 2 Server Package installiert winstall c cdrom s graceland i 0S2 IND Dabei gilt Folgendes c cdrom Gibt den Pfad zum CD ROM Image an s graceland Gibt an dass das Paket auf dem ver walteten Knoten graceland installiert wird Tivoli SecureWay User Admi nistration ist auf dieser Maschine bereits installiert Version 3 8 OS 2 Pakete installieren i OS2 IND Gibt die Indexdatei an ber die das Tivoli SecureWay User Administra tion for OS 2 Server
466. te hinzuzuf gen und zum Dialog Standardwerte gruppen editieren zur ckzukehren Version 3 8 Benutzerprofile einrichten d Klicken Sie auf Skripthauptteil editieren fr her Prozedurhauptteil editieren im Dialog Standardwerte gruppen editieren um den Dialog Richtlinienskript editie ren fr her Richtlinienprozedur editieren anzuzeigen Richtlinienprozedur editieren I_ oJx Konfigurationsprofil Benutzer in Profilmanager admin Richtlinienprozedur f r Attribut audit_id binish Component Name user_get_aid Date 1996 07 26 01 49 26 Source Jaltivolilhomes 1ldabigtieyszemvel admin admin user_group user uto_def_policies ug_aid sre v Revision 1 2 Festlegen und schlie en Festlegen Zur cksetzen Schie en Hilfe e Bearbeiten Sie den Hauptteil des Skripts f Klicken Sie auf Festlegen und schlie en um das Skript in der Datenbank zu speichern und zum Dialog Standardwerte gruppen editieren zur ckzukehren Wiederholen Sie diesen Vorgang f r jedes Attribut des Daten satzes g Klicken Sie auf Festlegen und schlie en um die nderun gen anzuwenden und zum Fenster Benutzerprofilmerkmale zur ckzukehren Befehlszeile Um die Standardwertegruppen f r ein Benutzerprofil ber die Befehlszeile festzulegen k nnen Sie die Attributnamen in einem angegebenen Profil zuerst mit dem Befehl wlspolm auflisten Mit dem Befehl wgetpolm legen Sie dann die ak
467. tellen Richtlinien f r G ltigkeits pr fung definieren zul ssige Werte f r die Optionen in einem Profil datensatz Tivoli SecureWay User Administration Management Handbuch 275 us y9L1ula a Joadusddniyg oe Mit Gruppenprofilen arbeiten 276 Anmerkungen 1 Tivoli SecureWay User Administration verwaltet nur UNIX Gruppen von Gruppenprofilen in UNIX verwalteten Knoten und Endpunkten oder in NIS Dom nen 2 In Gruppenprofilen kommen Sperren auf Profilebene zur Anwen dung keine Sperren auf Datensatzebene Es kann jeweils nur ein Administrator nderungen an einem Gruppenprofil vornehmen Gruppenprofile als verwaltete Ressourcen zuordnen Jeder Richtlinienbereich unterh lt eine Liste mit verwalteten Ressourcenarten die f r den spezifischen Richtlinienbereich g ltig sind oder definiert wurden Sie m ssen Gruppenprofile als verwaltete Ressourcen hinzuf gen bevor Sie einen Richtlinienbereich f r die Verwaltung von Gruppen verwenden k nnen Standardwertegruppen definieren Standardwerte die verwendet werden wenn Sie einen neuen Profildatensatz erstellen Richtlinien f r G ltigkeitspr fung definieren zul ssige Werte f r die Optionen in einem Profildatensatz In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungs klasse Gruppenprofile als verwaltete Richtlinienbereich senior Ressourcen f r einen
468. tellt der wei e Punkt ist nicht sichtbar Wenn Sie keine Kontrollk stchen ausw hlen kann sich der Benutzer jederzeit anmelden Version 3 8 Informationen zu Windows NT Benutzerkonten Informationen zum Windows NT Kennwort Mit der Option NT Kennwort k nnen Sie das Kennwort des Benut zers festlegen und bestimmte Optionen f r dieses Kennwort ausw h len 1 W hlen Sie in der Merkmalliste die Option NT Kennwort aus um Folgendes im Merkmalbereich des Dialogs Benutzer merkmale anzuzeigen NT Kennwort IV Kennwort erforderlich I Kennwort nderung durch Benutzer zulassen I Kennwort nderung bei der n chsten Anmeldung erforderlich I Kennwort l uft nie ab 2 Geben Sie im Feld Kennwort das Kennwort des Benutzers ein 3 W hlen Sie das Kontrollk stchen Kennwort erforderlich aus wenn f r dieses Benutzerkonto ein Kennwort erforderlich ist 4 W hlen Sie das Kontrollk stchen Kennwort nderung durch Benutzer zulassen aus wenn der Benutzer die M glichkeit erhalten soll das Kennwort zu ndern Andernfalls kann das Kennwort nur vom Administrator ge ndert werden 5 W hlen Sie das Kontrollk stchen Kennwort nderung bei der n chsten Anmeldung erforderlich aus wenn der Benutzer das Kennwort bei der n chsten Anmeldung nach der Verteilung des Profils ndern soll 6 W hlen Sie das Kontrollk stchen Kennwort l uft nie ab aus wenn f r den Benutzer keine Notwendigkeit einer Kennwort nderung
469. ten EXAKT mit diesem Profil abgleichen Festlegen und schlie en Festiegen Schlie en Hilfe 3 Klicken Sie auf das Optionsfeld Alle Subskribentenebenen um eine Kopie des Profils an die n chste Ebene von Subskribenten und deren Subskribenten zu senden Verwenden Sie diese Option wenn Sie alle Subskribenten auf der unteren Ebene in der Sub skriptionshierarchie und sogar die eigentlichen Systemdateien der Profilendpunkte ndern m chten ODER Klicken Sie auf N chste Subskribentenebene im Feld Verteilen auf um eine Kopie des Profils nur an die n chste Subskribenten ebene zu senden Verwenden Sie diese Option wenn Sie die Kopien der Subskribenten auf der unteren Ebene in der Subskriptionshierarchie nicht ndern m chten Tivoli SecureWay User Administration Management Handbuch 153 11U19 uo y9 a lJo d az nuag e Benutzerprofile einrichten Anmerkung Wenn die n chste Ebene der Subskribenten die Ebene des verwalteten Knotens ist wird das Profil nur an die Profilkopien auf dem verwalteten Kno ten oder Endpunkt verteilt und nicht an die Systemdateien Wenn Sie die Systemdateien mit Hilfe dieser Option ndern m chten m ssen Sie das Profil von der Ebene des verwalteten Knotens verteilen 4 Klicken Sie auf nderungen in der Profilkopie der Subskri benten erhalten im Feld Die Verteilung wird um nderungen beizubehalten die Administratoren an den Profilen vorgenommen haben deren Profilman
470. ten Informationen den aktuellen Richtlinienregeln entsprechen Der Profildatensatz f r G ltigkeits pr fung gibt die beim Hinzuf gen eines neuen Profildatensatzes oder beim ndern eines vorhandenen Datensatzes verwendeten Richtlinien f r G ltigkeitspr fung an Eine Beschreibung der von Tivoli zur Verf gung gestellten Richtli nien f r G ltigkeitspr fung finden Sie im Handbuch Tivoli Secure Way User Administration Reference Manual Version 3 8 Benutzerprofile einrichten In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Richtlinien f r Benutzerprofil senior G ltigkeitspr fung von Benutzern editieren Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Richtlinien f r G ltigkeits pr fung zu editieren 1 Klicken Sie doppelt auf das Symbol eines Benutzerprofils um das Fenster Benutzerprofilmerkmale anzuzeigen 7 Benutzerprofilmerkmale Editieren Ansicht Hilfe A Benutzerprofil Eupport Kennung reiege Subskriptionspfad Jadmin Support 0 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX Anmelde Sh 4 Benutzer hinzuf gen Benutzer l sche
471. tens tze ber die grafische Benutzerschnittstelle GUT editieren und den Datensatz festlegen und schlie en um Ihre nderungen zu spei chern wird der nderungszeitpunkt f r den editierten Datensatz mit dem nderungszeitpunkt des entsprechenden Datensatzes auf dem Datentr ger verglichen Wenn der bereits gespeicherte Datensatz neuer ist was bedeutet dass ein anderer Administrator diesen Daten satz ge ndert hat nachdem Sie den Dialog Merkmale bearbeiten aufgerufen haben und bevor Sie versucht haben Ihre nderungen zu speichern erhalten Sie folgende Fehlermeldung Tivoli SecureWay User Administration Management Handbuch 231 uoyemiaon 9zjesusjepiszinuag Z Allgemeine Vorg nge f r Benutzerdatens tze Der von Ihnen editierte Datensatz ist lter als der in der Datenbank gespeicherte Datensatz Vor dem Speichern muss der Datensatz erneut editiert werden Der Dialog zum Editieren wurde aktualisiert und zeigt jetzt den neueren Datensatz aus der Datenbank an In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Benutzerkontodaten Benutzerprofil admin Admin_Edit_Account satz editieren Admin Mod Account Admin Mod Account LDAP Admin Mod Account NIT Admin Mod Account NW Admin Mod Account OS Admin Mod Account OS4 Admin Mod Account RE Admin Mod Account UX Admin Mod Account WIERK
472. ter Sicherheitsprofildatensatz in einem bestimmten Sicherheitsprofil zugeordnet ist wcrtusr sp SecurityProfile pml spl Kennwortqualit t Tivoli SecureWay User Administration Management Handbuch 171 u S1 9zjesusjep szinuag 9 Allgemeine Informationen zu Benutzerkonten Dabei gilt Folgendes sp SecurityProfile pml spl Gibt pml sp1 als Namen des Sicherheitsprofils an in dem der gew nschte Systemrichtliniendatensatz enthalten ist ent weder mit oder ohne Initiale SecurityProfile Kennwortqualit t Gibt den Kennsatz des Systemrichtliniendatensatzes an Weitere Informationen zum Hinzuf gen eines Benutzerdatensatzes und zum Zuordnen zu einem ausgew hlten Systemrichtliniendaten satz in einem Sicherheitsprofil ber die Befehlszeile finden Sie in der Beschreibung der Befehle wertusr sp wgetusr sp oder wse tusr sp im Handbuch Tivoli SecureWay User Administration Refe rence Manual Informationen zu Windows NT Benutzerkonten Mit Tivoli SecureWay User Administration k nnen Sie Benutzer konten f r Windows NT verwalten Folgende Informationen k nnen Sie f r einen Windows NT Benutzerdatensatz eingeben m Anmeldeinformationen Anmeldezeiten Kennwortinformationen Informationen zum Basisverzeichnis Informationen zur Gruppenzugeh rigkeit Informationen zu Workstations Informationen zum Fernzugriff F hren Sie folgende Schritte aus um Benutzerinformationen f r Windows NT hinzuzuf gen 1 W hlen S
473. tion hnliche Benutzerin formationen aus der F llquelle in die vorhandenen Benutzerdaten s tze im Profil einzuf gen Es verwendet den Anmeldenamen als Schl ssel um zu bestimmen ob es eine bereinstimmung gibt Wenn die allgemeinen Informationen f r die Datens tze zusammen gef gt werden wird das Zusammenf gen auf Attributbasis vorge nommen Das hei t dass das Zusammenf gen der allgemeinen In formationen zu einem Mischen von Informationen f hren kann Angenommen im Hauptdatensatz ist John f r das Attribut given name Smith f r das Attribut last name und 5359 f r das Attribut telephone und im Quellendatensatz Jonathan f r das Attribut given name Smith f r das Attribut last name und marketing f r das Attribut department angegeben Nach dem Zusammenf gen ist in den allgemeinen Informationen im Hauptdatensatz John f r das Attribut given name Smith f r das Attribut last name marketing f r das Attribut department und 5359 f r das Attribut telephone angegeben Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze Wenn die architekturspezifischen Informationen zusammengef gt werden geschieht dies auf Kontenbasis Das hei t wenn beide Datens tze Windows NT Benutzerinformationen besitzen und der Quellendatensatz ber UNIX Benutzerinformationen verf gt ber schreiben die Windows NT Benutzerinformationen im Hauptdaten satz die Windows NT Benutzerinformationen im Quellendatensatz und die UNIX Benutzerinfor
474. tomatisch die Ressourcen und Richtlinien merkmale des bergeordneten Richtlinienbereichs Der Tivoli Administrator kann Tivoli SecureWay User Administration Management Handbuch 451 JessojH 452 diese Merkmale nach der Erstellung ndern oder anpassen so dass sie den spezifi schen Erfordernissen und Besonderheiten des Unterbereichs entsprechen Richtlinie f r G ltigkeitspr fung In einer Tivoli Umgebung eine Richtlinie die sicherstellt dass alle Ressourcen in einem Richtlinienbereich mit den f r den Bereich festgelegten Richtlinien berein stimmen Die Richtlinie f r G ltigkeitspr fung verhindert dass Tivoli Administrato ren Ressourcen erstellen oder ndern die den Richtlinien des Richtlinienbereichs in dem die Ressourcen erstellt wurden nicht entsprechen Root Administrator In einer Tivoli Umgebung das Konto f r den ersten Tivoli Administrator das w h rend der Installation von Tivoli Management Framework eingerichtet wird Schwarzes Brett In der Tivoli Umgebung der prim re Mechanismus ber den Tivoli Management Framework und Tivoli Anwendungen mit den Tivoli Administratoren kommunizie ren Das Schwarze Brett ist ein Symbol auf der Tivoli Arbeitsoberfl che ber das Administratoren auf Hinweise zugreifen k nnen Tivoli Anwendungen verwenden das Schwarze Brett als Pr fprotokoll f r wichtige Vorg nge die von den Administ ratoren ausgef hrt werden Sicherheitsgruppe In einer Tivoli Umgebung eine Gruppe v
475. ts Der Name des Servers auf dem sich das Basisverzeichnis des Benutzers befindet Vor dem Servernamen d r fen keine umgekehrten Schr gstriche Il eingegeben werden Lassen Sie das Feld leer wenn Sie kein Basis verzeichnis zuordnen m chten Das Laufwerk und der vollst ndige Pfad f r das Basisverzeichnis des Benutzers auf dem Server Das hier angegebene Laufwerk befindet sich auf dem Server und nicht auf der Maschine des Anforderers Lassen Sie das Feld leer wenn Sie kein Basisverzeichnis zuordnen m chten Ein Boolescher Wert der angibt was mit einem Benutzerbasisverzeichnis beim L schen dieses Benutzers geschieht Der Wert FALSE bedeu tet dass das Basisverzeichnis ent fernt wird wenn der Benutzer gel scht wird Der Wert TRUE bedeutet dass das Basisverzeichnis bestehen bleibt wenn der Benut zer gel scht wird Geben Sie Yes oder 1 f r den Wert TRUE und No oder 0 f r den Wert FALSE an Der vollst ndig qualifizierte Pfad und Dateiname des Benutzeranmelde skripts Lassen Sie das Feld leer wenn Sie kein Anmeldeskript zuord nen m chten Eine Liste mit Anmeldezuordnungen die jeweils durch ein Komma von einander getrennt sind Jede Anmel dezuordnung hat das Format RESSOURCE EINHEIT wobei RES Tivoli SecureWay User Administration Management Handbuch 421 usyemion J49z4nuag 2 SO 9 OS 2 Attributnamen in Benutzerprofilen SOURCE der Aliasname der Res source in der Dom ne ist und
476. tuelle Standardwerte gruppe f r ein angegebenes Attribut fest Anschlie end k nnen Sie mit dem Befehl wputpolm die Standardwertegruppe f r das Attribut ndern Tivoli SecureWay User Administration Management Handbuch 135 us y911ula a lJo d az nuag e Benutzerprofile einrichten 136 Im folgenden Beispiel werden die Attribute f r ein Benutzerprofil aufgelistet wIspolm UserProfile corporate Dabei gilt Folgendes UserProfile corporate Gibt den Namen des Profils an dessen Attribute aufgelistet werden sollen Befehlsausgabe real_name login_name password passwd_aging Im folgenden Beispiel wird die momentan definierte Standardwerte gruppe f r ein angegebenes Attribut des Benutzerprofils zur ckgege ben wgetpolm d UserProfile corporate gid Im folgenden Beispiel wird die Standardwertegruppe f r ein Benutzerprofil gesetzt wputpolm d c 10 UserProfile corporate gid Dabei gilt Folgendes d Setzt die Standardwertegruppe c 10 Gibt 10 als den konstanten Wert f r die neue Standardwert gruppe an UserProfile corporate Gibt den Namen des Profils an f r das eine Richtlinie gesetzt werden soll gid Gibt das Attribut an f r das eine Richtlinie gesetzt wird Informationen zum Editieren von Standardwertegruppen mit Hilfe der Befehlszeile finden Sie in der Beschreibung der Befehle wget polm wputpolm und wlspolm im Handbuch Tivoli Framework Reference Manual Version 3 8 Benutzerprofile e
477. tuelle Standardwertegruppe f r ein ange gebenes Attribut fest Anschlie end k nnen Sie mit dem Befehl wputpolm die Standardwertegruppe f r das Attribut ndern Tivoli SecureWay User Administration Management Handbuch 289 us y9L1ula a Jo dusddnig oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten 290 Im folgenden Beispiel werden die Attribute f r ein Gruppenprofil aufgelistet wIspolm GroupProfile developers Dabei gilt Folgendes GroupProfile developers Gibt das Profil an dessen Attribute aufgelistet werden sollen Die folgende Liste wird zur ckgegeben comment GID name fixed users Im folgenden Beispiel wird die momentan definierte Standardwerte gruppe f r ein angegebenes Attribut des Gruppenprofils zur ckgege ben wgetpolm d GroupProfile developers gid Im folgenden Beispiel wird die Standardwertegruppe f r ein Gruppenprofil gesetzt wputpolm d c 10 GroupProfile developers gid Dabei gilt Folgendes d Setzt die Standardwertegruppe c 10 Gibt 10 als den konstanten Wert f r die neue Standardwert gruppe an GroupProfile developers Gibt den Namen des Profils an f r das eine Richtlinie gesetzt werden soll gid Gibt das Attribut an f r das eine Richtlinie gesetzt wird Informationen zum Editieren von Standardwertegruppen von Grup pen ber die Befehlszeile finden Sie in der Beschreibung der Befehle wgetpolm wputpolm und wlspolm im Handbuch Tivoli Framework
478. tusrs Die folgende Liste enth lt eine bersicht ber die einzelnen Berechtigungsklassen dieser Kategorie sowie die jeweilige Endpunkt art f r die sie gelten Admin Mod Account LDAP Berechtigt Administratoren aus schlie lich zum Editieren von LDAP Attributen LDAP Light weight Directory Access Protocol Diese Task spezifische Berechti gungsklasse steht nur bei der Instal lation von Tivoli SecureWay User Administration for LDAP zur Verf gung Admin_Mod_Account_NT Berechtigt Administratoren aus schlie lich zum Editieren von Win dows NT Attributen Diese Task spezifische Berechtigungsklasse wird zusammen mit Tivoli SecureWay User Administration installiert Admin Mod Account NW Berechtigt Administratoren aus schlie lich zum Editieren von Net Ware Attributen Diese Task spezifi Version 3 8 Task spezifische Berechtigungsklassen Admin Mod Account OS Admin Mod Account OS4 Admin Mod Account RF Admin Mod Account UN Admin Mod Account WOR sche Berechtigungsklasse wird zusammen mit Tivoli SecureWay User Administration installiert Berechtigt Administratoren aus schlie lich zum Editieren von OS 2 Attributen Diese Task spezifische Berechtigungsklasse steht nur bei der Installation von Tivoli SecureWay User Administration for OS 2 zur Verf gung Erm glicht Administratoren das Edi tieren von AS 400 Attributen Diese Task spezifische Berechtigungsklasse steht nur bei der Installation von Ti
479. tzer DIA Document Inter change Architecture verhindern k nnen dass pers nliche Verteilungen von unbefugten Mitarbeitern verwendet werden OS400_Group_Authority NONE Gibt die Berechtigung an die dem Gruppen ALL profil f r neue Objekte erteilt wurden CHANGE USE EXCLUDE OS400_Group_Authority_Type PRIVATE Gibt den Berechtigungstyp an der dem PGP Gruppenprofil f r neu erstellte Objekte erteilt wurde 390 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte OSA00 Group ID NONE Gibt die Gruppen ID Nummer GID Num GEN mer f r dieses Benutzerprofil an Die Grup Dezimalzahl pen ID wird zur Identifizierung des Gruppenprofils verwendet wenn ein Mitglied der Gruppe das Verzeichnisdateisystem ver wendet 1 bis 4294967294 OS400_Initial_Menu SIGNOFF Gibt den Namen des Anfangsmen s an das Anfangsmen bei Anmeldung dieses Benutzers angezeigt Ein g ltiger Men name im Format wird LIB MENU OS400_Initial PGM NONE Gibt den Namen des Startprogramms an das Startprogr amum bei Anmeldung dieses Benutzers aufgerufen Ein Programmname im Format wird LIB PROGRAM OS400_JOBD QDFTJOB Gibt den Namen der Jobbeschreibung an die LIBL f r Jobs verwendet wird die ber Eingaben an Workstations des Subsystems gestartet CURLIB werden Wenn die Jobbeschreibung bei Bibliotheksname Erstellung des Benutzerprofil
480. tzerprofildatenbank gespeichert Die nderungen werden erst in die Systemdateien bernommen wenn Sie das Profil an die Endpunkte verteilen So editieren Sie unter Verwendung der Benutzersuchfunktion einen Benutzerkontodatensatz 1 Klicken Sie doppelt auf das Symbol der Benutzersuchfunktion das sich auf der Tivoli Arbeitsoberfl che befindet 2 Suchen Sie nach dem zu ndernden Benutzerdatensatz Daraufhin werden alle Profile angezeigt die einen Datensatz f r diesen Benutzer enthalten Weitere Informationen zur Suche nach Benutzern finden Sie in der Beschreibung der Prozedur zer suchen auf Seite 229 3 W hlen Sie das Profil aus in dem Sie den Benutzersatz editieren m chten und klicken Sie auf die Schaltfl che Editieren Darauf hin wird die Anzeige zum Editieren der Datens tze angezeigt 4 Geben Sie in dieser Anzeige die entsprechenden Daten in den Feldern ein Weitere Informationen hierzu finden Sie in der Onlinehilfe zur Anzeige Datensatz editieren Benutzer l schen Wenn eine Benutzerdatensatz nicht mehr ben tigt wird k nnen Sie ihn aus dem Benutzerprofil l schen Wenn Sie das Profil anschlie Bend erneut verteilen wird der Benutzerdatensatz f r Subskribenten gel scht die eine neue Programmkopie erhalten Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze So l schen Sie einen Benutzerkontodatensatz unter Verwendung der Benutzersuchfunktion 1 Suchen Sie den zu l schenden Benutz
481. uchfunktion den Benutzer automatisch suchen In Tivoli SecureWay User Administration ist f r die Kommunikation mit einem NetWare NDS Endpunkt die Ausf hrung des Befehls wsetnds erforderlich Mit diesem Befehl kann sich die Anwendung an der NetWare NDS Baumstruktur anmelden Da NetWare 3 x keine NDS Baumstrukturen verwendet m ssen Sie den Befehl wset nds nicht ausf hren um mit von NetWare 3 x verwalteten Knoten zu kommunizieren Sie m ssen diesen Befehl f r jede von Ihnen ver waltete NDS Baumstruktur ausf hren Wenn Sie diesen Befehl aus gef hrt haben m ssen Sie ihn nicht erneut ausf hren es sei denn Sie ndern den Anmeldenamen oder das Kennwort des angegebenen Kontos Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze Allgemeine Vorg nge f r Benutzerdatens tze Nachdem das Benutzerprofil erstellt und mit Benutzerdaten gef llt wurde werden Sie haupts chlich folgende Vorg nge ausf hren Suchen Editieren und L schen von Benutzerdatens tzen und Vertei len von Benutzerprofilen Weitere Informationen finden Sie in den folgenden Abschnitten DDENDTO e an DSK Benutzerdatens tze suchen Auch bei einer steigenden Anzahl von Benutzerkonten die von Tivoli SecureWay User Administration verwaltet werden k nnen Sie mit der Benutzersuchfunktion schnell durch Ihre Benutzerprofile navigieren und Kontoverwaltungsfunktionen effizient ausf hren Da ein Benutzer mehrere Konten in vielen verschiedenen Profilen b
482. uf das Benutzerprofil dem der neue Benutzer hinzugef gt werden soll Das Fenster Benutzerprofil merkmale wird angezeigt Tivoli SecureWay User Administration Management Handbuch 157 u S1 z su ep 1 z nu g 9 Neue Datens tze f r Benutzerkonten erstellen 3 Benutzerprofilmerkmale Profil Editieren Ansicht Hilfe Be Ei Benutzer Benutzerprofil Subskriptionspfad admin Benutzer Kennung festlegen 4 Gesamteintr ge UNIX Benutzer ID UNIX Pr f ID UNIX Gruppen ID UNIX Benutzerinformationen GECOS UNIX Anmeldename UNIX apprich 1102 102 g iapprich iapprich Jim Seng 10 101 n userid1 userid1 inte eller 100 100 Il uzeller uzeller Jim wfriesch wfriesch binse Auswahl aller Benutzer zur cknehm H Benutzermerkmale anzuzeigen I Benutzermerkmale Datensatz f r userid1 editieren Kennung Allgemeine Anmeldung Allgemeines Kennwort Klicken Sie auf Benutzer hinzuf gen um den Dialog Benutzerprofil Benutzer Proflmanager admin INT Gruppenzugeh rigkeit T Vorkstations Itetkare Anneldung Senerationsangabe WNIX Verzeichnis RE Mei Vorname Standort H RT Anne dog i el Initialen HetWere Anneldezeit Metware Kennwort H HetWare Verzeichnis MetWare Netzwerkadresse HetWare Gruppe
483. ufgef hrt Tivoli SecureWay User Administration Management Handbuch 123 us y9L1ula a lJo d az nuag e Benutzerprofile einrichten Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Benutzerprofil zu erstellen 1 Klicken Sie im Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 124 Version 3 8 Benutzerprofile einrichten 2 W hlen Sie im Men Erstellen die Option Profil aus um den Dialog Profil erstellen anzuzeigen Profil erstellen op Neues Profil in Profilmanager admin erstellen Name Symbolbezeichnung art GroupProfile Erstellen und schlie en Schlie en I A 3 Geben Sie einen eindeutigen Namen f r das Profil im Feld Name Symbolbezeichnung ein Anmerkung Ein Profilname darf in der TMR nicht doppelt vor kommen 4 W hlen Sie UserProfile in der Liste Art aus Klicken Sie auf Erstellen und schlie en um das Profil zu erstellen und zum Fenster Profilmanager zur ckzukehren Tivoli SecureWay User Administration erstellt das Benutzerprofil und zeigt im Fenster Profilmanager das Symbol des Profils an Befehlszeile Im folgenden Beispiel wird ein Benutzerprofil erstellt wcrtprf ProfileManager marketing UserProfile corporate Dabei gilt Folgendes Profi
484. ufzurufen und dort nach einem bestimmten Datentr ger zu suchen Weitere Informationen zu die sem Dialog finden Sie unter Dienst Browse NetWare 3 Geben Sie den Plattenspeicherplatz in KB ein der dem Benut zer auf dem angegebenen Datentr ger zugewiesen wird Zul ssig sind Werte zwischen 0 und 134 217 728 KB die angegebene Zahl muss durch vier teilbar sein ist dies nicht der Fall wird die Angabe auf einen durch vier teilbaren Wert abgerundet Bei Angabe von Null verf gt der Benutzer ber keinen Schreibzugriff auf den Datentr ger Tivoli SecureWay User Administration Management Handbuch 207 u S1 zsu p 1 z nu g 9 Informationen zu NetWare Benutzerkonten Informationen zu NetWare Workstations Die Kategorie NetWare Workstations kann auf Systemen verwendet werden auf denen Administratoren das Workstation Objekt einer NDS Baumstruktur unter Verwendung von NetWare ZENworks und Workstation Verwaltungskomponenten hinzugef gt haben Workstation Objekte erm glichen eine Konsistente und effiziente ferne Verwaltung von Workstations Der Administrator Kann ver schiedene verwaltungstechnische Aufgaben zur Unterst tzung von Benutzer oder Gruppen ausf hren wie beispielsweise die Verteilung von Anwendungen die Einsatzplanung von Programmen oder die Einstellung von Clientkonfigurationen 1 W hlen Sie in der Merkmalliste die Option NetWare Worksta tions aus um Folgendes im Merkmalbereich des Dialogs Benutzermer
485. uktur Die Objektgruppe zur Ver waltung der CCMS Subskriptionsbeziehung wird als Profilmanager bezeichnet Bei einem Profilmanager handelt es sich um eine Objekt gruppe die Daten in Form von Anwendungsprofilen enth lt Profil manager enthalten dar ber hinaus eine Subskribentengruppe Hierbei handelt es sich um eine Liste mit Zieladressen die dem Profil manager als Subskribenten zugeordnet sind Die Profile eines Profil managers sind die an die Subskribenten zu verteilenden Konfigu rationsdaten Subskribenten sind verwaltete Einheiten und stehen f r die Zielsysteme oder anwendungen Ein Profil ist ein Datencontainer der von Tivoli Anwendungen erstellt wird Die Daten eines Profils werden von der Anwendung festgelegt CCMS stellt die Satzstruktur und die Datenbank in der die Daten gespeichert werden zur Verf gung Die Daten die in den Tivoli SecureWay User Administration Management Handbuch 357 USWOUL 31897419M ZL CCMS Komponenten und Prozesse 358 Profilen gespeichert sind sind das Modell f r die vom Benutzer gew nschte Darstellung der Daten in der Implementierung auf dem Zielendpunkt Benutzer k nnen das Modell beliebig aktualisieren ohne dass die Implementierung davon beeinflusst wird Die Ziel Konfiguration wird nur dann aktualisiert wenn ein Verteilungsvor gang ausgef hrt wird und eine Verbindung zur Endpunktmethode der Anwendung hergestellt wird Ist dies der Fall konvertiert die Endpunktmethode der Anwend
486. und Markierungen f r den vorzeitigen Ablauf Benutzer m ssen n mlich ihre Kennw rter lokal ndern um sich an Konten anmelden zu k nnen deren Kennw rter vorzeitig ablaufen Da das Kontenattribut des Endpunkts in diesem Fall m gli cherweise aktueller als die Benutzerprofildaten ist m ssen die loka len Daten w hrend der Verteilung beibehalten werden Diese Attri bute werden Oneshot Attribute genannt da Sie die Daten auf einem Endpunkt nur ein einziges Mal ndern sollten und zwar w hrend der ersten Push Operation nach deren nderung im Benutzerprofil Die aktuelle Implementierung der Oneshot Attribute geht davon aus dass nur eine Push Operation f r die Verteilung des ge nderten Datensatzes an alle Profilsubskribenten erforderlich ist Nach Aus f hrung dieser einen Push Operation wird das Hot Flag entfernt so dass das Oneshot Attribut k nftig ignoriert wird Alle Subskribenten die w hrend der Push Operation offline waren ignorieren bei der erneuten Verteilung des Profils die nderung am Oneshot Attribut obwohl der Datensatz neu f r sie ist Tivoli SecureWay User Administration Management Handbuch 365 USWOUL 31893419M SL Sonderverarbeitung f r Kennw rter bei der Verteilung In Tivoli SecureWay User Administration Version 3 7 f r UNIX TMA Endpunkte NT verwaltete Knoten Windows 2000 und Win dows NT TMA Endpunkte wurde noch eine weitere Methode zur nderungssteuerung implementiert und zwar auf Basis der einze
487. und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Gruppenprofil l schen Profilmanager senior Tivoli SecureWay User Administration Management Handbuch 283 us y9L1ulo a Jo dusddniyg oe Mit Gruppenprofilen arbeiten Arbeitsoberfl che F hren Sie folgende Schritte aus um ein Gruppenprofil zu l schen 1 Klicken Sie in einem Richtlinienbereich doppelt auf das Symbol eines Profilmanagers um das Fenster Profilmanager anzuzeigen Profilmanager 2 W hlen Sie ein zu l schendes Profil aus 284 Version 3 8 Mit Gruppenprofilen arbeiten 3 W hlen Sie im Men Editieren die Optionen Profile gt L schen aus um einen Best tigungsdialog anzuzeigen or Ausgew hlte Profile aus an S Profilmanager admin l schen Die Originalprofile UND alle ihre Kopien werden gel scht E 4 Klicken Sie auf L schen um das Profil zu l schen und zum Fenster Profilmanager zur ckzukehren Befehlszeile Im folgenden Beispiel wird ein Gruppenprofil gel scht wdel GroupProfile marketing Dabei gilt Folgendes GroupProfile marketing Gibt das zu l schende Gruppenprofil an Informationen zum L schen eines Gruppenprofils ber die Befehls zeile finden Sie in der Beschreibung des Befehls wdel im Handbuch Tivoli Framework Reference Manual Mit Richtlinien von Gruppenprofilen arbeiten Jedes Benut
488. ung e e a e a 7 Benutzer und Gruppen 8 Tivoli unter Windows NT verwenden 8 Tivoli SecureWay User Administration Management Handbuch Windows 2000 22 22m nennen 9 Glob le Kataloge sansene 22222202 522 24a Kara ei 9 Benutzerauthentifizierung 10 Local Security Authority 22 222222 onen nenn 10 Active Directory seare 202 een d EN 10 Sicherhetsbeschreibung 222000 eeeeeeeeen 10 Sicherheitsk ntext aere EA d e a ee ed 11 Zugriffs berpr fung s zeco zireniripi esines inie a ae a 11 Security Account Manager 11 Benut ranm ld ng v caeeaaeo ea ee N nn 12 Benutzer und Gruppen 12 Tivoli unter Windows 2000 verwenden 13 Novell NetWare Verzeichnisdienst oona naaaa aanu 15 Objekte im NetWare Verzeichnisdienst 2 2 2222 16 Benutzeranmeldung und Authentifizierung 16 Benutzer und Gruppen 16 Tivoli unter NetWare verwenden 17 OS 390 Resource Access Control Facility 2 222222 17 RACF D tenb nk oei cisnes snega piota nee 17 RACF Segmente aussagen er Ee ea 18 Benutzerauthentifizierung 18 Ressourcenberechtigung 2222220 sten desa ie 19 RACF Benutzerattribute 2 222222 aaraa rerea 19 RACF Gr ppen EE EE EE Re 20 Lightweight Directory Access Protocol LDAP 21 Funktionsweise der Benutzer und Gruppenverwaltung 22 Benutzer und Gruppenprofile 2 22 oconeeeeeeeeenenenn nn 23 Richtlinien f r
489. ung einen Datenstrom mit dem Daten modell in ein plattformspezifisches Exemplar des Modells Die Ziel implementierung besteht aus der verwalteten Ressource selbst sowie den Tivoli SecureWay User Administration spezifischen Codes oder Methoden die auf der verwalteten Ressource ausgef hrt werden Beispiel In Tivoli SecureWay User Administration werden Benutzer datens tze in Benutzerprofilen gespeichert Bei einer Verteilung an einen UNIX Endpunkt werden die Datei ete passwd und die Referenzkennwortdatei aktualisiert Bei einer Verteilung an einen Windows NT Endpunkt wird die NT SAM Datenbank aktualisiert Eine Kopie der in CCMS gespeicherten Daten l st je nach End punktart unterschiedliche Aktionen aus Dieses Verhalten wird im Allgemeinen als plattformunabh ngig bezeichnet Tivoli Profile Tivoli SecureWay User Administration ist eine auf Profilen basie rende Anwendung Dies bedeutet dass verwaltete Definitions einheiten wie beispielsweise Benutzerkonten und UNIX Gruppen als Profildatens tze mit beliebigen Attributen dargestellt werden Allen Attributen sind Namen Arten Werte und Markierungen zugeordnet Dar ber hinaus sind allen Datens tzen Schl ssel interne Markierun gen und unterschiedliche Zeitmarken zugeordnet diese sind weitge hend verdeckt und werden dem Tivoli Administrator nicht angezeigt Datens tze bestehen aus Attributen Namen Werte Paare Profil datenbanken bestehen aus Tivoli SecureWay User Administration
490. urce Datei Verzeichnis usw wird der Inhalt des Subjekts anhand der Zugriffssteuerungsliste Access Control List ACL des Objekts auf das der Zugriff erfolgt durch eine Routine f r die G ltigkeitspr fung des Zugriffs berpr ft Die Umgebungsinformationen des Benutzers werden in einem Profil gespeichert Dieses Profil wird bei jeder Anmeldung des Benutzers geladen Es gibt verschiedene Profilarten Das pers nliche Benutzer profil kann vom Benutzer ge ndert werden Alle nderungen die der Benutzer an der Umgebung vornimmt werden beim Abmelden des Benutzers in diesem Profil gespeichert Das verbindliche Benutzerprofil Mandatory Profile kann vom Systemadministrator f r die Benutzer innerhalb einer Dom ne festge legt werden In diesem Profil werden die Umgebungseinstellungen definiert die bei der Benutzeranmeldung verwendet werden Es defi niert au erdem welche Anwendungen nach der Anmeldung gestartet bzw welche Netzwerklaufwerke verbunden werden Nimmt ein Benutzer nderungen an diesen Umgebungseinstellungen vor wer den diese beim Abmelden nicht gespeichert Tivoli SecureWay User Administration Management Handbuch 7 Bunyemasausddnig pun 9z1nuag L Konzepte f r plattformspezifische Benutzerverwaltung Benutzer und Gruppen Tivoli Alle Benutzer in Windows NT werden mindestens einer Gruppe zugeordnet Wie auch auf den UNIX Plattformen erleichtert das Zusammenfassen von Benutzern in Gruppen die Benutzerverwal
491. ureWay User Administration Management Handbuch 97 Bunyema9aAuOMUUDY E Kennwortqualit tsregeln gebenen Kennworts g ltig sein soll In der folgenden Liste finden Sie eine Beschreibung der Codes die in der Zeichen folge verwendet werden k nnen A Alphabetische Zeichen und die Sonderzeichen und C Konsonanten L Alphanumerische Zeichen Dazu geh ren alphabeti sche Zeichen numerische Zeichen und die Sonderzei chen und Wenn in der Kennwortregel L ange geben wird muss das Kennwort mindestens ein alphabetisches Zeichen oder eines der Sonderzeichen sowie ein numerisches Zeichen enthalten N Numerische Zeichen V Vokale A E T Or und U W Konsonanten Sonderzeichen und numerische Zei chen beliebiges alphanumerisches Zeichen Im folgenden Beispiel wird eine Regel definiert die angibt dass ein Kennwort acht Zeichen mit Konsonanten in den Positionen 1 3 5 6 und 8 sowie Zahlen in den Positionen 2 und 4 enthalten muss 8 0 CNCNCCHC RFPwSyntax Wenn der Wert auf T True gesetzt ist werden RACF Kenn w rter anhand der Kriterien die f r das Attribut RFPwRules angegeben wurden berpr ft Der Standardwert lautet F False 98 Version 3 8 Kennwortqualit tsregeln Nicht unterst tzte Security Manager Kennwort richtlinien Im Folgenden werden die f r die Tivoli SecureWay Security Mana ger Systemrichtliniendatens tze geltenden Kennwortrichtlinien attri
492. usrs im Handbuch Tivoli SecureWay User Administration Refe rence Manual Benutzerdatens tze l schen Wenn Sie ein Benutzerkonto nicht mehr ben tigen k nnen Sie es aus dem Profil l schen Wenn Sie das Profil erneut verteilen wird der Datensatz aus allen Subskribenten die die neue Profilkopie erhalten gel scht und das Benutzerkonto wird aus den Konfigurationsdateien des Systems gel scht In der folgenden Tabelle werden die Umgebung und die Berechti gungsklassen die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklassen Benutzerkontodatensatz Benutzerprofil admin l schen Admin_Edit_Account Admin_Del_Account Arbeitsoberfl che F hren Sie folgende Schritte aus um einen Benutzerkontodatensatz zu l schen 1 Suchen Sie mit dem Dialog Benutzersuchfunktion den Benut zer den Sie l schen m chten Weitere Informationen zur Verwen dung der Benutzersuchfunktion finden Sie unter 2 W hlen Sie die zu l schenden Datens tze aus 236 Version 3 8 Allgemeine Vorg nge f r Benutzerdatens tze 3 Klicken Sie auf Benutzer l schen um einen Warndialog anzuzeigen M chten Sie das Basisverzeichnis des Benutzers l schen oder beibehalten r Basisverzeichnis beibehalten Abbrechen A E Basisverzeichnis l schen Klicken Sie auf Basisverzeichnis l schen um das UNIX Basis verzeichnis des Benutzers zu l schen oder klicken Sie auf Basis verze
493. ustellungsmodus BREAK oder NOTIFY gesendet werden Eine ganze Zahl zwischen 0 und 99 394 Version 3 8 AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl sselwortwerte O0S400_Obj_Audit NONE Gibt die Ebene der CHANGE Objektverwendungsprotokollierung f r diesen Benutzer an ALL Anmerkung Dieses Attribute ist eine Schnittstelle zum Befehl CHGUSRPRF OS400_Obj_Create_Audit YES Gibt an ob Protokolleintr ge gesendet wer NO den wenn dieser Benutzer Objekte erstellt 0S400_Obj_Delete_Audit YES Gibt an ob Protokolleintr ge gesendet wer NO den wenn dieser Benutzer Objekte l scht O0S400_Obj_Mgmt_Audit YES Gibt an ob Protokolleintr ge gesendet wer NO den wenn dieser Benutzer nderungen an der Objektverwaltung vornimmt und bei spielsweise ein Objekt versetzt oder umben ennt 0S400_Office_Audit YES Gibt an ob Protokolleintr ge gesendet wer NO den wenn dieser Benutzer B roanwendungen ndert OS400_Optical_Audit Gibt an ob bei nderungen an optischen Einheiten Protokolleintr ge gesendet werden Anmerkung Dieses Attribut wird nicht von V3R2 unterst tzt es wird ignoriert wenn es an V3R2 weitergegeben oder verteilt wird YES NO Tivoli SecureWay User Administration Management Handbuch 395 usyemion 19z nu g 00t SV V AS 400 spezifische Benutzerinformationen AS 400 Attribute und Beschreibung Schl
494. uten Keine Konstante oder Skript fr her Prozedur Wenn Sie die Option Konstante ausw hlen geben Sie einen konstanten Wert in das Feld Wert ein F hren Sie folgende Schritte aus wenn Sie die Option Skript ausgew hlt haben a Klicken Sie auf Skriptargumente editieren fr her Prozedurargumente editieren um den Dialog Argumente des Richtlinienskripts fr her Argumente der Richtlinien prozedur anzuzeigen Bestimmen Sie in diesem Dialog die Reihenfolge der Skriptargumente ZS Argumente der Richtlinienprozedur lofx Konfigurationsprofil Benutzer in Profilmanager admin Prozedurargumente UNIX Benutzerinformationen GECOS Benutzername UNIX Gruppen ID UNIX Anmeldename UNIX Gruppenaliasnamen f r E Mail UNIX Host f r E Mail UNIX Kennwort UNIX Kennwortg ltigkeit UNIX Pr f Flag Festlegen und schlie en Festlegen b W hlen Sie in der Liste Attribute die Attribute aus die Sie als Skriptargumente f r das Richtlinienskript des aktuellen Attributs verwenden m chten Klicken Sie auf den Rechts pfeil um die Attribute in die Liste Skriptargumente fr her Prozedurargumente zu verschieben Sie k nnen die Reihenfolge der Argumente f r eine Richtlinie ndern indem Sie das Argument ausw hlen und auf den Auf w rtspfeil bzw den Abw rtspfeil klicken um das Argument an die gew nschte Position zu verschieben c Klicken Sie auf Festlegen und schlie en um die neuen Argumen
495. utzer unter diesem Benutzerkonto am Netzwerk anmelden kann 1 W hlen Sie die Option Windows 2000 Anmeldezeit in der Merkmalliste aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen p Anmeldezeit f r aktives Verzeichnis AM P M So Di Do al ai Ia al Tel Ia Te ai sii 1 A ma m aa a mOn ii Tel Tei Is stets a a a A ee A a a ee A A am Am a a m a a aan m m m ISS fat bes a ai A Il Tel Tel Lei RSC m m a a m a m m a a a a a an m m m a aA an m m m aA a aa ai m LZLZULELELELGL VELELELELEULGL m m a i a a a aA a a a m a m aan a EK KE a a m m m m 2 W hlen Sie die Uhrzeiten und Tage aus auf die Sie den Zugriff des Benutzers auf das Netzwerk beschr nken m chten indem Sie die entsprechenden Kontrollk stchen ausw hlen Ein ausgew hl tes Kontrollk stchen wird dunkel dargestellt der wei e Punkt ist nicht sichtbar Erfolgt keine Auswahl kann sich der Benutzer jederzeit am Netzwerk anmelden 184 Version 3 8 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Kennwort Mit der Option Windows 2000 Kennwort k nnen Sie das Kennwort des Benutzers festlegen und bestimmte Kenndaten bez glich dieses Kennworts definieren 1 W hlen Sie in der Merkmalliste die Option Windows 2000 Kennwort aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeig
496. utzerdatens tze verglei chen gibt der Befehl wchkusrs eine Liste mit Benutzerdatens tzen zur ck die sich in der Systemdatei und nicht im Benutzerprofil befinden und eine Liste mit Benutzerdatens tzen die sich in beiden befinden jedoch unterschiedlich sind Beispiel wchkusrs UserProfile nbUSEROl ManagedNode puma Dabei gilt Folgendes UserProfile nbUSERO1 Gibt den Namen des zu berpr fenden Profils an ManagedNode puma Gibt den Namen des Systems an anhand dessen die ber pr fung erfolgt Dieser Befehl gibt Informationen nach dem folgenden Muster zur ck Endpunkt ManagedNode puma wird gepr ft Diese Benutzer wurden zwar im System nicht aber im angegebenen Profil bzw in der angegebenen Datenbank gefunden Root smtp listen nancy joe sweetp Diese Benutzer wurden im angegebenen Profil bzw in der angegebenen Datenbank aber nicht im System gefunden jon03 robyn bbranden Diese Unterschiede wurden im Profil bzw in der Datenbank nicht aktuali siert Verwenden Sie zur Aktualisierung den Befehl wchkusrs mit Option f Weitere Informationen hierzu finden Sie in der Beschreibung des Befehls wchkusrs im Handbuch Tivoli SecureWay User Administra tion Reference Manual Version 3 8 Benutzerdatens tze verwalten Benutzerdatens tze berpr fen Tivoli SecureWay User Administration berpr ft automatisch Daten s tze anhand der Profilrichtlinie wenn ein Datensatz hinzugef gt oder ge ndert
497. utzerprofile mit dem angegebenen Anmeldenamen der Administrator Zugriff hat Beispiel Version 3 8 Berechtigungsklassen f r Kennwort nderungen m Verf gt der Administrator ber die Berechtigungsklasse admin oder Admin_Mod_Password werden die nderungen an den Benutzerprofilen erfolgreich vorgenommen m Bei Anforderung einer sofortigen Weitergabe durch Angabe der Argumente l oder L bei Befehl wpasswd gilt dasselbe auch f r die Subskribenten der Benutzerprofildatens tze Mit der Berechtigungsklasse Admin_Mod_Password kann der Administrator keine Kennw rter ber den Befehl wsetusr oder den Dialog Benutzerprofilmerkmale der Tivoli Arbeits oberfl che ndern Um dem Administrator dies zu erm glichen muss ihm die Berechtigungsklasse Admin_Edit_Account oder Admin Mod Account zugeordnet werden oder es m ssen ihm eine bzw mehrere Berechtigungsklassen zugeordnet werden die nderungen an Endpunktattributen erm glichen Kennw rter und Endpunktarten Tivoli SecureWay User Administration hat das Konzept der Endpunktart eingef hrt eptype um die Objektklassen die von Tivoli SecureWay User Administration verwaltet werden zu abstra hieren Jede Endpunktart entspricht einem Betriebssystem UNIX NT bzw einer Anwendung LDAP Policy Director dessen bzw deren Benutzer mit Hilfe von Tivoli SecureWay User Administration verwaltet werden Alle Endpunktarten werden Tivoli SecureWay User Administration durch Aufruf des Befehls
498. verteilt wurden und die Profildaten weitergeben konnten Version 3 8 Produktgeschichte Tivoli SecureWay User Administration Version 3 0 unterst tzte erst mals Windows NT und NetWare ber Proxys mit Hilfe der Ressourcenklasse PcManagedNode die vom CCMS Profilendpunkt bernommen wurde Mit Version 3 6 stellte Management Framework eine dreistufige Architektur zur Verf gung die die Tivoli SecureWay User Administration Unterst tzung f r Windows NT und NetWare durch die Verwendung eines TMA Endpunktprozesses der mit dem TMR Server ber einen Gateway kommunizierte erm glichte Tivoli SecureWay User Administration Version 3 6 2 unterst tzte erstmals UNIX TMA Endpunkte LDAP Verbindungen OS 2 AS 400 0S 390 in RACF Umgebungen und GSO Tivoli SecureWay User Administration Version 3 7 unterst tzte erstmals Windows 2000 RedHat Linux und Tivoli SecureWay Policy Director Andere Unter st tzungsfunktionen f r Endpunkte wurden von Partnern und Modul herstellern bereitgestellt CCMS Komponenten und Prozesse Mit Hilfe von CCMS einem wesentlichen Tivoli Framework Dienst k nnen Anwendungsdaten verwaltet und die Daten ber ein hier arisches Subskriptionsmodell an Endpunktagenten verteilt werden Eine Subskriptionsbeziehung wird erstellt indem ein Endpunkt einer Objektgruppe die Daten enth lt als Subskribent zugeordnet wird Wenn Objektgruppen einander als Subskribenten zugeordnet werden bilden sie eine Subskriptionsbaumstr
499. verwechselt werden Weitere Informationen zu den Tivoli SecureWay User Administration Profilen finden Sie unter ee RACF Segmente Bei den Segmenten f r RACF Profile handelt es sich um optionale Erweiterungen des Basisprofils die Informationen zu einer bestimm ten Anwendung bzw Verwaltungsfunktion enthalten Wenn der Benutzer beispielsweise das Programm Customer Information Cont rol System CICS ausf hren muss ben tigt das Benutzerprofil ein CICS Segment M glicherweise ben tigen Benutzerprofile weitere Segmente um die f r den Benutzer erforderlichen Aktionen ausf h ren zu k nnen Benutzerauthentifizierung Wenn sich Benutzer am Betriebssystem anmelden m ssen sie eine g ltige Benutzer ID und ein Kennwort eingeben RACF unterst tzt auch Alternativen zum herk mmlichen Kennwort RACF unterst tzt beispielsweise Passtickets Ein Passticket kann von RACF oder einer anderen Funktion die ber entsprechende Berechtigungen ver f gt generiert und nur ein einziges Mal innerhalb eines begrenzten Zeitraums auf einem bestimmten System verwendet werden Bei der Benutzerauthentifizierung berpr ft RACF Folgendes m Ob der Benutzer f r RACF definiert ist m Ob der Benutzer ein g ltiges Kennwort oder eine g ltige Alter native beispielsweise ein Passticket angegeben hat m Ob die Benutzer ID UID und Gruppen ID GID unter OS 390 g ltig sind m Ob der Benutzer ID der Status Widerrufen zugeordnet ist
500. voli SecureWay User Administra tion for AS 400 zur Verf gung Erm glicht Administratoren das Edi tieren von OS 390 Attributen Diese Task spezifische Berechtigungsklasse steht nur bei der Installation von Tivoli SecureWay User Administra tion for OS 390 zur Verf gung Berechtigt Administratoren aus schlie lich zum Editieren von UNIX Attributen Diese Task spezifische Berechtigungsklasse wird zusammen mit Tivoli SecureWay User Adminis tration installiert Berechtigt Administratoren aus schlie lich zum Editieren von Win dows 2000 Attributen Diese Task spezifische Berechtigungsklasse wird zusammen mit Tivoli SecureWay User Administration installiert Tivoli SecureWay User Administration Management Handbuch 37 Bunyemasausddnig pun Jezinueg LU Task spezifische Berechtigungsklassen 38 Beim Erweitern von Tivoli SecureWay User Administration um Tivoli AEF Application Extension Facility und Hinzuf gen neuer Kontoarten mit dem Befehl waddusreptype stehen zus tzliche Task spezifische Berechtigungsklassen zur Verf gung Weitere Informatio nen finden Sie unter ecure und in der Beschreibung des Befehls wad ds im Handbuch Tivoli SecureWay User Administration Reference Manual Gro e Anzahl Benutzer verwalten Wenn Sie eine gro e Anzahl von Benutzern mit Tivoli SecureWay User Administration verwalten ist es sehr wichtig dass Sie eine sinnvolle Strategie f r die Verwendung von Profilmanagern und Pro
501. w hlten Attribut sortiert 4 W hlen Sie ein Attribut aus dessen Kennung in der linken Spalte des Fensters Benutzerprofilmerkmale angezeigt werden soll Sie k nnen in der linken Spalte des Profilfensters die linke Maus taste dr cken um Datens tze auszuw hlen 5 Klicken Sie auf Sortieren und schlie en um die Datens tze zu sortieren und zum Fenster Benutzerprofilmerkmale zur ckzu kehren Tivoli SecureWay User Administration Management Handbuch 271 U LMI A zsu ep 1 z nu g Z Benutzerdatens tze verwalten Benutzerdatensatzattribute sortieren Sie k nnen festlegen welche Benutzerattribute angezeigt und in wel cher Reihenfolge diese im Fenster Benutzerprofilmerkmale aufge f hrt werden Wenn Sie jedoch das Fenster schlie en geht die Sor tierung verloren Wenn Sie das Fenster erneut ffnen werden die Datens tze in der Standardreihenfolge angezeigt In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Datensatzattribute sor Benutzerprofil user tieren und anzeigen Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h ren F hren Sie folgende Schritte aus um die Benutzerattribute zu sortie ren 1 Klicken Sie im Profilmanager doppelt auf ein Profil um das Fenster Benutzerprofilmerkmale anzuzeigen Benutzerprofilmerkmale Iolx
502. wendig ein Konto mit Administrator berechtigungen und melden Sie sich an Tivoli SecureWay User Administration Management Handbuch 441 usyemion 49z1nuag 2 SO 9 OS 2 Verteilungsfehler 442 Version 3 8 Glossar Dieses Glossar enth lt die in Zusammenhang mit dem Tivoli Produkt verwendete Terminologie sowie ausgew hlte Begriffe und Definitio nen die folgendem Buch entnommen sind m Dem vom American National Standards Institute herausgegebe nen W rterbuch American National Standard Dictionary for Information Systems ANSI X3 172 1990 Copyright 1990 Sie k nnen dieses W rterbuch beim American National Standards Institute 11 West 42nd Street New York New York 10036 bestellen Definitionen aus diesem W rterbuch sind mit A gekennzeichnet m Information Technology Vocabulary erstellt von Subcommittee 1 Joint Technical Committee 1 der International Organization for Standardization und der International Electrotechnical Com mission ISO IEC JTC1 SC1 Die Definitionen aus diesem W r terbuch sind durch das Symbol I nach der jeweiligen Definition gekennzeichnet Das Symbol T nach einer Definition kenn zeichnet Entw rfe f r internationale Standards und Arbeitspa piere der Komitees die derzeit von ISO IEC und JTC1 SC1 erstellt werden jedoch von den beteiligten nationalen K rper schaften von SC1 noch nicht abgesegnet worden sind m IBM Dictionary of Computing New York McGraw Hill 1994 m Internet Request
503. wird die ausgew hlte verwaltete Ressource in die Liste Aktuelle Ressourcen verschoben 2 Klicken Sie auf Festlegen und schlie en um die neue verwal tete Ressource dem Richtlinienbereich hinzuzuf gen und schlie en Sie den Dialog Verwaltete Ressourcen festlegen Befehlszeile Im folgenden Beispiel werden Benutzerprofile als verwaltete Res sourcen dem Richtlinienbereich hinzugef gt wsetpr UserProfile PolicyRegion Noon region Dabei gilt Folgendes UserProfile Gibt die verwaltete Ressourcenart an die dem Richtlinien bereich hinzugef gt werden soll PolicyRegion Noon region Gibt den Namen des Richtlinienbereichs an Weitere Informationen zur Verwendung der Befehlszeile um einem Richtlinienbereich Benutzerprofile als verwaltete Ressourcen hinzu zuf gen finden Sie im Abschnitt zum Befehl wsetpr des Handbuchs Tivoli Framework Reference Manual Benutzerprofile erstellen Zum Verwalten von Benutzerkonten mit Tivoli SecureWay User Administration m ssen Sie zuerst ein Benutzerprofil erstellen Je nachdem wie viele Benutzer Sie zu verwalten haben k nnte es sich empfehlen mehr als ein Benutzerprofil zu erstellen Ein Benutzer profil enth lt zun chst keine Datens tze es enth lt jedoch eine Reihe von Standardwertegruppen und Richtlinien f r G ltigkeitspr fung die von Tivoli bereitgestellt werden In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind a
504. ws Nbemzusnft 178 Informationen zu Windows 2000 Benutzerkonten 2 2 2222200 180 Windows 2000 Merzechns nenn 181 Windows 2000 Gruppen 182 Windows 2000 Anmeldung 183 Tivoli SecureWay User Administration Management Handbuch Windows 2000 Anmeldezeit 2 2 2222 cc con 184 Windows 2000 Kennwott 2 2 2222 see aaaea 185 Windows 2000 Fernzugriff 2 onana aaau aeaa 186 Windows 2000 Webgruppe 188 Windows 2000 Zus tzliche Identifikationsgruppe 189 Informationen zu NetWare Benutzerkonten 2 22222222 190 Informationen zur NetWare Anmeldung 222222200 190 Informationen zur NetWare Anmeldezeit 2 2 2222 cce200 193 Informationen zum NetWare Kennwort 194 Informationen zum NetWare Verzeichnis n a nananana aana 196 Informationen zur NetWare Netzwerkadtresse 197 Informationen zur NetWare Gruppenzugeh rigkeit 201 Informationen zur NetWare Sicherheit 22 222222 201 Informationen zu NetWare E Mail 202 Informationen zu NetWare fremden E Mail Adressen 203 Informationen zu NetWare Anmeldeskripts 204 Informationen zur NetWare Speicherplatzbeschr nkung auf Datentr SEM unrecht 207 Informationen zu NetWare Workstations 2 22222222 208 Dienst Browser f r NetWare Verzeichnisse verwenden 209 Informationen zu UNIX Benutzerkonten 210 Informationen zur UNISX Anmeldung 210 Informationen zum UN
505. zer mit seinem Anmeldenamen an der in der Regel vom tats chlichen Namen abgeleitet wurde verfolgt das Sys tem gem der numerischen Benutzer ID alle Besitz und Zugriffs rechte Mit der Datei ete passwd wird der Anmeldename in die Benutzer ID umgesetzt Tivoli SecureWay User Administration erm glicht die Verwaltung von Benutzerinformationen die in den verschiedenen UNIX System dateien enthalten sind Eine Liste der betreffenden Dateien sowie der Namen auf den unterschiedlichen UNIX Plattformen finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual Benutzer und Gruppen Jeder Benutzer im System geh rt mindestens einer Gruppe an Die einzelnen Gruppen setzen sich aus Benutzern zusammen die ber hnliche Zugriffsrechte und Berechtigungen verf gen Einer 4 Version 3 8 Konzepte f r plattformspezifische Benutzerverwaltung Benutzergruppe kann mit Hilfe der Gruppenberechtigung der Zugriff auf bestimmte Dateien oder Verzeichnisse auf einfache Weise einge r umt werden Die meisten Benutzer geh ren normalerweise der Standardgruppe staff Personal an Systemadministratoren K nnen Gruppen erstellen und diesen Benutzer zuordnen Ein einzelner Benutzer kann mehreren Gruppen gleichzeitig angeh ren In allen UNIX Systemen gibt es Standardsystemgruppen und benut zer die bei der Installation des Systems definiert werden Informatio nen zu UNIX Benutzer und Gruppenkonten die von Tivoli Secure Way User Ad
506. zer vorhandener Gruppen nicht an die Liste mit den Gruppenteilnehmern aus cougar angeh ngt Standardwerte f r Verteilung festlegen Sie k nnen die Standardwerte steuern die von einem Profil bei sei ner Verteilung durch Tivoli SecureWay User Administration verwen det werden Wenn Sie ein Profil von einem Profilmanager verteilen werden Ihnen keine Optionen daf r angeboten wie die Verteilung ausgef hrt werden soll Stattdessen verwendet Tivoli SecureWay User Administration die Standardoptionen die Sie mit dem Dialog Standardwerte verteilen definieren Die Standardwerte bestimmen auch welche Optionsfelder standardm ig ausgew hlt sind wenn Sie den Dialog Profil verteilen entweder ber das Kontextmen des Benutzerprofils oder ber die Option Verteilen im Fenster Gruppen profilmerkmale aufrufen Die Standardwerte werden f r jedes Profil gesondert festgelegt Die Standardoptionen jedes Profils K nnen sich von denen anderer Profile unterscheiden In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Standardwerte f r Vertei Profilmanager admin lung festlegen Tivoli SecureWay User Administration Management Handbuch 299 us y9L1ula a Jo dusddnig oe Gruppenprofile verwalten Sie k nnen diese Task nur ber die Tivoli Arbeitsoberfl che ausf h Ten F hren Sie folgende Schritte
507. zerprofil enth lt eine Reihe von Standardwertegruppen und Richtlinien f r G ltigkeitspr fung Standardwertegruppen defi nieren Standardwerte die verwendet werden wenn Sie einen neuen Profildatensatz erstellen Richtlinien f r G ltigkeitspr fung legen die zul ssigen Werte f r die Optionen von Profildatens tzen fest Tivoli SecureWay User Administration Management Handbuch 285 us y9L1ula a Jo dusddnig oe Mit Standardwertegruppen und Richtlinien von Gruppenprofilen arbeiten Standardwertegruppen definieren Die Standardwertegruppen des Profils geben die Standardwerte an die verwendet werden wenn ein neuer Datensatz hinzugef gt wird Standardwertegruppen sind profilspezifisch In der folgenden Tabelle werden die Umgebung und die Berechti gungsklasse die f r diese Task erforderlich sind aufgef hrt Aktivit t Umgebung Berechtigungsklasse Standardwertegruppen von Gruppenprofil Gruppenprofilen editieren senior Sie k nnen diese Task entweder ber die Tivoli Arbeitsoberfl che oder ber die Befehlszeile ausf hren Arbeitsoberfl che F hren Sie folgende Schritte aus um Standardwertegruppen von Gruppenprofilen zu editieren 1 Klicken Sie in einem Profilmanager doppelt auf das Symbol eines Gruppenprofils um das Fenster Gruppenprofilmerkmale anzuzeigen Gruppenprofilmerkmale Iolx Profil Editieren Ansicht Hilfe E a Konfigurationsprofil Rechenzentrum Subskriptionspfad
508. zerprofil f r nlloyd ausf hren m chten geben Sie den folgenden Befehl in der Befehlszeile ein wgetusr x 0S400_DLT_Action UserProfile Austin nlloyd Dabei gilt Folgendes x 0OS400_DLT _Action Gibt den Wert des Attributs OS400_DLT _Action zur ck Tivoli SecureWay User Administration Management Handbuch 401 usyemion J9Z1nu9g 007 SV V OS 400 Benutzerkonten ndern UserProfile Austin Gibt den Namen des Benutzerprofils an f r das eine Abfrage ausgef hrt werden soll nlloyd Gibt den Anmeldenamen an Mit dem Befehl wsetusr k nnen Sie die Attribute eines im angege benen Benutzerprofil bereits vorhandenen Benutzers ndern Wenn Sie beispielsweise den Wert des Attributs OS400_DLT_Action f r die Benutzer nlloyd und nmceginnis festlegen m chten geben Sie den folgenden Befehl in der Befehlszeile ein wsetusrs x 0S400_DLT_Action DLT UserProfile Austin nlloyd nmcginnis Dabei gilt Folgendes x OS400_DLT_Action Setzt den Wert des Attributs OS400_DLT_ Action UserProfile Austin Gibt den Namen des Benutzerprofils an in dem die neuen Informationen festgelegt werden nlloyd nmceginnis Gibt die Anmeldenamen an Weitere Informationen zum Erstellen und ndern von Benutzerdaten s tzen in Benutzerprofilen finden Sie im Tivoli SecureWay User Administration Management Handbuch Weitere Informationen zur Befehlssyntax sowie zur Verwendung finden Sie im Handbuch Tivoli SecureWay User Administration Reference Manual
509. zers ein 4 Geben Sie weitere URLs an auf die der Benutzer Zugriff haben soll indem Sie die entsprechende URL im Feld am unteren Rand der Anzeige eingeben und auf die Schalfl che Hinzuf gen die sich neben dem Feld befindet klicken 188 Version 3 8 Informationen zu Windows 2000 Benutzerkonten Windows 2000 Zus tzliche Identifikationsgruppe Mit der Option Windows 2000 Zus tzliche Identifikationsgruppe k nnen Sie zus tzliche Benutzerinformationen wie beispielsweise Mitarbeiter ID Handynummer etc angeben 1 W hlen Sie in der Merkmalliste die Option Windows 2000 Zus tzliche Identifikationsgruppe aus Windows 2000 Zus tzliche Identifikationsgruppe Unternehmen Unternehmensbereich Manager Mitarbeiter ID Mobiltelefon l l IP Telefon z EI zi 2 Geben Sie im Feld Unternehmen den Firmennamen ein 3 Geben Sie im Feld Unternehmensbereich den Namen der Abtei lung in der der Benutzer arbeitet ein 4 Geben Sie im Feld Manager den Namen des Vorgesetzten des Benutzers ein 5 Geben Sie im Feld Mitarbeiter ID die Mitarbeiter ID des Benut zers ein 6 Geben Sie in der Liste Mobiltelefon die Handynummer des Benutzers ein 7 Geben Sie in der Liste IP Telefon die IP Telefonnummer des Benutzers ein Tivoli SecureWay User Administration Management Handbuch 189 ugjla s a azjesusjep szinuag 9 Informationen zu NetWare Benutzerkonten In
510. zers nur f r die Erstanmeldung g ltig ist At USER Gibt an dass der Benutzer unter Windows NT die Kontoart USER besitzt ct ENABLED Erm glicht dass der Benutzer das Windows NT Kennwort steuert Et ENABLED Legt fest dass das Windows N T Kennwort des Benutzers nur f r die Erstanmeldung g ltig ist Ft F PUBLIC LOGIN Gibt den Pfad des Windows NT Anmeldeskripts des Benut zers an ht C Gibt die Position des Windows NT Basisverzeichnisses an Lt ENABLED Aktiviert die Windows NT Anmeldung des Benutzers Pt Marketing Gibt den Namen des Windows NT Benutzerprofils an dem dieser Benutzer hinzugef gt werden soll Version 3 8 Allgemeine Informationen zu Benutzerkonten UserProfile Marketing Gibt den Namen des Benutzerprofils an dem dieser Benutzer hinzugef gt werden soll Jon Smith Gibt den tats chlichen Namen dieses Benutzers an Weitere Informationen zum Hinzuf gen eines Benutzerdatensatzes zu einem Profil ber die Befehlszeile finden Sie in der Beschreibung des Befehls wertusr im Handbuch Tivoli SecureWay User Administ ration Reference Manual Informationen zur Sicherheitsrichtlinie ber die Option TME Sicherheitsrichtlinie kann ein Tivoli Administrator einem bestimmten Benutzerdatensatz einen System richtliniendatensatz in einem Sicherheitsprofil zuordnen Au erdem werden dem Administrator auf der Tivoli Arbeitsoberfl che die im ausgew hlten Systemrichtliniendatensatz gespeicherten
511. zung von auf Profilen basierenden Anwendungen zur Verf gung gestellt AEF Aktionen Hierbei handelt es sich um Skripts die w hrend einer Profilverteilung ausgef hrt werden Sonderverarbeitung von Kennw rtern und zugeh rigen Attributen Steuerungsdatenfluss zwischen Tivoli Framework und Tivoli SecureWay User Administration w hrend der Verteilung von Benutzerprofilen Die verschiedenen Optionen f r die Verteilung von Benutzer profilen deren Auswirkungen auf Benutzerkonten und kennw r ter sowie die Anderung von Datens tzen auf den Endpunkten Benutzer und Gruppen Indexdatenbanken und wchkadmdb Dienstprogramm zur Kundenunterst tzung Standardwertegruppendatensatz und die Befehle waddusrprop waddprop wgenusrdef Tivoli SecureWay User Administration Management Handbuch 355 Ueuaul S1ayoM ZL Welche Themen sollten Sie lesen Wenn Sie ein Systemadministrator sind der f r die Ausf hrung von Operationen zust ndig ist sollten Sie die Abschnitte zur Verteilung des Benutzerprofils und zur Sonderverarbeitung von Kennw rtern lesen Wenn Probleme auftre ten und die Tivoli Kundenunterst tzung die Verwendung des Befehls wchkadmdb empfiehlt sollten Sie den betreffenden Abschnitt lesen Wenn Sie f r die Entwicklung Implementierung bzw den Einsatz zust ndig sind sollten Sie alle Abschnitte lesen Produktgeschichte 356 Tivoli SecureWay User Administration war das urspr ngliche Tivoli Produkt Hierbei handelte es sic
512. zur Verf gung stehen zu begrenzen Dadurch wird die Anzahl der noch m gli chen Anmeldungen begrenzt Wenn Sie dieses Kontrollk stchen nicht ausw hlen werden dem Benutzer standardm ig noch sechs m gliche Anmeldungen gew hrt Geben Sie im Feld Zul ssige noch m gliche Anmeldungen die Anzahl der noch m glichen Anmeldungen ein Im Feld Verbleibende noch m gliche Anmeldungen wird die Anzahl der noch m glichen Anmeldungen angezeigt die f r die ses Benutzerkonto verf gbar sind 195 uaj la s a 9zjesusjep szinuag 9 Informationen zu NetWare Benutzerkonten 196 Informationen zum NetWare Verzeichnis ber die Option NetWare Verzeichnis k nnen Sie Informationen zu einem Basisverzeichnis eingeben 1 W hlen Sie in der Merkmalliste die Option NetWare Verzeich nis aus um Folgendes im Merkmalbereich des Dialogs Benutzermerkmale anzuzeigen p NetWare Verzeichnis Sprache Basisverzeichnis Datentr ger Pfad Standarg Sener Hinzuf gen L schen Geben Sie im Feld Datentr ger den Datentr ger ein auf dem sich dieses Basisverzeichnis befindet Hier m ssen Sie den voll st ndigen NDS Namen des Datentr gers angeben Wenn zum Beispiel der Datentr ger SYS auf dem Server OLYMPUS in der NDS Baumstruktur NOON verwendet werden soll geben Sie OLYMPUS_SYS NOON ein ODER Klicken Sie auf Datentr ger um den Dialog Dienst Br

Download Pdf Manuals

Related Search

Related Contents

  Manual de Instalação, Configuração e Uso  41018 ABRASIVE BLASTER - Terry`s Auto Paint Supply, Inc.  Epson 8200i Projector User Manual  Peças - Graco Inc.  powersupp lie s multiple output dual range dc power supply  

Copyright © All rights reserved. Failed to retrieve file