OS X Tiger - Marcel Bresink Software
Contents
1. aaki Standort 2 Computer Compile VPN 1192 168 1 1 VPN Be Server 192 168 2 1 Server Computer 1 2 3 4 5 6 7 8 Computer ot DNS Server 192 168 1 2 Computer A Internet oder anderes unsicheres Netz Router Router Netzadresse an Standort 1 Netzadresse an Standort 2 192 168 1 0 Maske 255 255 255 0 192 168 2 0 Maske 255 255 255 0 Abbildung 14 4 Die Abbildung zeigt die typische Konfiguration eines Site to Site VPN Das in diesem Abschnitt erl uterte Fallbeispiel verwendet die im Bild genann ten Adressen die Adresse 5 6 7 8 erreicht werden Die Computer am Standort 1 verwenden als Netzadresse die 192 168 1 0 mit der Teilnetzmaske 255 255 255 0 die Computer am Standort 2 verwenden Adressen der Form 192 168 2 0 ebenso mit der Mas ke 255 255 255 0 Zwischen den beiden Servern wird ein VPN etabliert das die Daten durch das unsichere Internet tunnelt Anders als bei der im Hauptbuch be schriebenen VPN Einwahl ben tigen wir an dieser Stelle keinen f r das VPN re servierten privaten Adressbereich Wie technisch die Daten verschl sselt zwischen den Internet Adressen 1 2 3 4 und 5 6 7 8 laufen spielt f r die Konfiguration keine Rolle Intern wird hierzu L2TP ber IPSec verwendet Im folgenden Beispiel gehen wir davon aus dass ein Shared Secret zur Verschl s selung verwendet wird Alternativ k nnte auch ein Zertifikat zum Einsatz kommen2. Status Protocol Aus I CRL Certificate Revocation List Aus HA Priorit t OCSP Abbildung 9 8 Sie k nnen die Sicherheitseinstellungen weiter erh hen indem Sie die Verfahren OCSP und CRL nutzen um Zertifikate auf zur ckgezogene Beglaubi gungen zu pr fen Weitere interessante Einstellungen bez glich der Zertifikate finden Sie unter der Rubrik ALLGEMEIN Apple hat hier vorgesehen dass Zertifikate nicht nur auf der lokalen Platte sondern auch ber den Mac Dienst oder ber den Verzeichnisdienst Ihres Netzwerks gesucht werden sollen 9 3 3 Erzeugen eines Spielzertifikats zum SSL Zugriff auf den LDAP Server Wir hatten in Abschnitt 9 5 2 des Hauptbuchs festgehalten wie Sie mithilfe der Kommandozeile ein selbst unterzeichnetes Zertifikat erstellen k nnen beispiels weise um auf einem Mac OS X Server einen abgesicherten SSL Zugriff auf den LDAP Server realisieren zu k nnen Dank der neuen Funktionen in Tiger ist hierzu die Kommandozeile nicht mehr erforderlich Wir zeigen im Folgenden am gleichen Beispiel wie Sie diese Aufgabe mit einem 10 4 Server l sen k nnen 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem Ser ver der den LDAP Dienst beherbergt der mit SSL abgesichert werden soll 2 W hlen Sie auf der linken Seite des Fensters in der Tabelle COMPUTER amp DIEN STE den Namen des Servers aus und gehen Sie auf der rechten Seite in den Punkt EINSTELL 3 ffnen Sie d
3. Format um Einstellungen f r einzelne Dokumente festzulegen Formatierter Text RTF _ Seitenr nder einblenden amp Reiner Text Abbildung 6 16 Die Vorgabe f r das Textformat neuer Dokumente in TextEdit ist ein Beispiel wie Programme Einstellungen in Mac OS X speichern Es sei darauf hingewiesen dass Mac OS X alle diese Dateien anlegt nicht etwa die Programme selbst Es gibt leider einige schlecht programmierte Produkte von Drittanbietern die tats chlich selbst ndig Dateien in Library Preferences anlegen Das ist allerdings die Ausnahme und verst t klar gegen Apples Design Richtlinien f r Mac OS X Wenn ein Programm einen Einstellungswert speichern oder n dern m chte ist die korrekte Vorgehensweise dass das Programm ein Kommando der Form halte f r den Zust ndigkeitsbereich B und die Einstellungsdom ne D einen Einstellungswert W unter dem Namen N fest an Mac OS X bergibt Das Betriebssystem merkt sich dann den neuen Wert W und zwar zun chst nur im Hauptspeicher Sp testens wenn das laufende Programm beendet wird wird der neue Wert dauerhaft in einer plist Datei der Dom ne D abgespeichert worum sich Mac OS X v llig selbst ndig k mmert L uft das Programm sp ter wieder fragt es Mac OS X gibt es eine Einstellung die mit dem Namen N f r die Dom ne D im Zust ndigkeitsbereich B gespeichert ist Falls ja bernimmt das Programm diese Einstellung Schauen wir uns dies noch einm
4. W hlen Sie Computer aus die dieses Image verwenden k nnen Q Alle Computer von Apple zulassen Nur unten aufgef hrte Computer zulassen Aktivieren Er Mdl rn IK Mac mini N g Power Macintosh G3 a EA iMac G5 Xserve G4 PowerBook G4 Blau wei er Desktop Computer im geschwungenen Kunststoff Tower Geh use a Abbildung 13 3 Die Benutzerf hrung zum Einstellen des neuen Modellfilters hat Apple fast wie einen Produktkatalog gestaltet Im Gegensatz zu den anderen Funktionen k nnen Sie also keinen Administrator rechner verwenden um die Funktion ferngesteuert bers Netzwerk auszuf hren Hat der Server keine Grafikkarte oder Monitor wie es bei den aktuellen Xserve Modellen blich ist m ssen Sie entweder ber die ferne Kommandozeile SSH arbeiten oder Fernsteuerungssoftware wie z B Apple Remote Desktop verwenden 13 3 1 Hinzuf gen von Paketen zu einem vorhandenen Image Bei dieser Technik gehen wir davon aus dass die Software mit der Sie ein vorhan denes Image aktualisieren m chten in Form einer Mac OS X Paketes pkg vorliegt Dies entspricht der blichen Art und Weise in der Apple Updates zu Mac OS X ausliefert Beispielsweise haben Sie von einer Original Tiger DVD ein NetBoot In stallations Image von Version 10 4 erstellt und m chten dieses jetzt auf Mac OS X 10 4 2 aktualisieren Hierzu laden Sie von Apple das Combo Update Paket 10 4 2 von Mac OS X herunter und speichern es als
5. 2 2 2222 185 13 3 Image Dateien pflegen und anpassen 22m 189 13 3 1 Hinzuf gen von Paketen zu einem vorhandenen Image 190 13 3 2 Hinzuf gen durch Synchronisation 2222222 192 14 Fortgeschrittene Netzfunktionen 193 14 1 Der neue Software Aktualisierungsdienst 2 2 2222 193 14 1 1 Einf hrung 2 4 3 22 are 193 14 1 2 Einrichten der Software Aktualisierungsfunktion 195 14 2 Verschl sselte Teilnetze mit VPN 2 2 2 2 Hm on 198 viii INHALTSVERZEICHNIS Kapitel 1 Vorwort Anders als urspr nglich geplant erscheint die Aktualisierung des Buches Mac OS X Mac OS X Server Heterogene Netzwerke f r Apples neues System Mac OS X 10 4 Tiger mit einiger Versp tung Verantwortlich hierf r war leider der Zustand in dem Apple das neue Tiger System insbesondere in der Serverversion in den Markt ein gef hrt hatte Zwar lie en sich die ersten Systemversionen im privaten Umfeld al so f r den berwiegend h uslichen Gebrauch auf einem Familiencomputer recht gut einsetzen und das Betriebssystem lief dank seines Unix Unterbaus selbstver st ndlich sehr stabil jedoch stellten viele Profianwender schon nach kurzer Zeit fest dass der Einsatz in einem gr eren Netzwerk erst recht in einer heterogenen Umgebung einige technische Schwierigkeiten mit sich bringen konnte F r viele Anwender die ein Mac OS X Netz in einem Unternehmen einsetzen waren die Versionen 10 4 und 10 4 1 daher ein gro es Pro
6. Titel Na das kann ich auch Eintrag von Maria Schmitz Was der Hans kann kann ich schon lange Gr e Maria R ckverbindungs URL f r diesen Eintrag http www example private 16080 weblog maria permalink Nadaskannichauch htmli amp tb y 12 Oktober 2005 21 32 52 CEST 0 Kommentare 0 R ckverbindungen trackbacks M LEI EEE DEE EICHE Abbildung 12 8 Um die Adresse f r einen Trackback zu ermitteln m ssen Sie den fremden Eintrag aufrufen und die URL als R ckverbindungs URL in Ihren eigenen Eintrag kopieren 5 Kopieren Sie den Inhalt der Zwischenablage in das Eingabefeld R CKVERBIN DUNGS URL 6 F llen Sie die restlichen Felder aus und speichern Sie Ihren neuen Eintrag ab Wenn Sie nun in den fremden Weblog Eintrag zur ckgehen hat das Weblog System automatisch unter R CKVERBINDUNG TRACKBACK einen neuen Verweis auf gezeichnet Klicken Sie den Punkt nochmals an so werden die Inhalte der Blogs die auf diesen Eintrag verweisen aufgelistet Blog Eintr ge k nnen auch kommentiert werden wozu sich ein zweiter Link un ter jedem Eintrag befindet Die Kommentarm glichkeit steht dabei allen Lesern eines Blogs offen Das hei t dass nicht nur die Blog Teilnehmer sondern auch Au enstehende die keine Benutzerberechtigung auf dem Server haben an der Diskussion teilnehmen k nnen Die Festlegung wer Leserecht und damit auch Kommentarrecht f r ein Blog hat legt der
7. Die Funktionen zum Definieren von Vorgabewerten und Einschr nkungen f r ein Benutzerkonto wurden in der Standardversion von Mac OS X f r Tiger umbenannt Apple hat sie neu unter dem Stichwort Kindersicherung zusammengefasst Die Funktionalit t ist im Wesentlichen die Gleiche sie ist nur v llig anders gegliedert und es gibt auch einige neue Funktionen Wenn Sie im Programm Systemeinstellungen unter BENUTZER ein Benutzerkonto ohne Verwalterrechte ausw hlen k nnen Sie den neuen Punkt KINDERSICHERUNG aufrufen Es erscheint eine Tabelle mit f nf Rubriken wie in Abbildung 6 13 e Mail In der Rubrik Mail k nnen E Mail Adressen aufgelistet werden mit denen dieser Benutzer Korrespondenz austauschen darf Zus tzlich kann ei 6 7 VERWALTETE BENUTZERKONTEN IN DER STANDARDVERSION VON MAC OS X 73 Kennwort Bild F r Hans Schmitz die Kindersicherung in folgenden Programmen aktivieren Konfigurieren B K Finder amp System Konfigurieren o iChat Konfigurieren B Ko Safari Konfigurieren B gt Dictionary Informationen Abbildung 6 13 Die Funktionen zur lokalen Einschr nkung von Benutzerkonten wurden komplett neu gestaltet und werden nun als Kindersicherung bezeichnet 74 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER ne bestimmte E Mail Adresse festgelegt werden an die eine Bitte um Er laubnis geschickt wird wenn der Benutzer versucht an eine nicht gelistete Adresse Post zu senden Find
8. bede Bearbeiten Fertig j Zur ck Jetzt anwenden 1 von 4 Abbildung 6 20 Besitzt ein Programm ein Einstellungsmanifest so kann der Arbeitsgruppen Manager alle Werte die f r verwaltete Einstellungen von Inter esse sein k nnten auflisten Es ist nicht mehr n tig die Bedeutung der rohen plist Schl sselworte zu kennen Finder angezeigt wird Man bezeichnet dies als Verwaltete Netzwerkansicht Erin nern Sie sich hierzu an Kapitel 6 2 des Hauptbuchs Im Normalbetrieb enth lt der Netzwerkordner des Finders die folgenden Informationen e den Unterordner Servers der vollautomatische Mounts zu definierten Datei servern nach Servern gruppiert enth lt Auch der lokale Rechner selber ist als sein eigener Server aufgelistet e netzweit definierte Automounts mit vorbestimmten Namen Falls vorhanden Network Applications f r netzweit installierte Programme und Network Library f r netzweit definierte andere Ressourcen beispielsweise Schriftdateien e ber Dienstentdeckungsverfahren Service Recovery erkannte Server Netz dienste und Windows NT Dom nen im lokalen Teilnetz Indem Sie weitere Vorgaben f r den Netzwerkordner machen k nnen Sie in Tiger nun selbst virtuelle Unterordner f r den Netzwerkordner erstellen und bestimmte 88 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Vorgaben f r die Anzeige von Netzressourcen definieren Gliederungsm glichkei ten des Netzwerkordners k nnen hilfreich s
9. normal verhalten St rzt ein Prozess unerwartet ab so wird der Dienst automatisch wieder neu gestartet Abbildung 2 1 Nachteil der neuen launchd Technik ist dass die XML Konfigurationsdateien in be schr nkten Umgebungen z B bei der Verwendung eines Kommandozeileneditors ber eine SSH Verbindung hinweg nur sehr schwer gewartet werden k nnen da sie mehr syntaktische Markierungen als eigentliche Informationen speichern Sa lopp gesagt Vor lauter XML Tags ist der Inhalt kaum noch sichtbar Zudem scheint die neue Technik voller Kinderkrankheiten zu stecken was unter anderem f r ei nige Probleme der ersten Tiger Versionen mitverantwortlich ist Apple verwendet 2 2 NEU MITGELIEFERTE PROGRAMME UND FUNKTIONEN F R ENDBENUTZER 5 SKORS system log a Oct 5 18 49 18 g4server bootpd 11172 bsdpd re reading configuration Oct 5 18 49 18 g4server bootpd 11172 bsdpd shadow file size will be set to 48 megabytes Oct 5 18 49 18 g4server bootpd 11172 bsdpd age time 88 15 88 Oct 5 19 14 38 g4server servermgrd Ysize has grown to 495M Exiting to clear memory leak a Oct 5 19 14 36 g4server launchd com apple servermgrd exited with exit code 12 Oct 5 19 14 36 g4server launchd com apple servermgrd 9 more failures without 0 living at least 68 seconds will cause job removal Oct 5 19 18 12 g4server ctl_cyrusdb 11734 checkpointing cyrus databases Oct 5 19 18 13 g4server ctl_cyrusdb 11734 done checkpointing cyrus d
10. 5 Bet tigen Sie die Schaltfl che SICHERN Wenn ein Benutzer nun einen Unterordner Sites Streaming 12 5 QUICKTIME STREAMING SERVER 179 in seinem privaten Ordner anlegt und die Privatordner der Nutzer zentral auf dem Server abgelegt sind so kann er dort streaming f hige Mediendateien ablegen die von QTSS automatisch im Netz angeboten werden Zum Abruf der Medien sind Adressen nach dem Prinzip rtsp server benutzerkurzname mediendatei mov zu verwenden Der Ablageort f r Medien im Web Datenbereich des Servers wird innerhalb von QTSS Systembibliothek die Ablage im Privatordner BENUTZERBI BLIOTHEK genannt 12 5 2 Fallbeispiele Streaming und Erzeugung von Webseiten Um den Umgang mit dem neuen QTSS Publisher noch einmal an den im Buch genannten Fallbeispielen zu verdeutlichen wiederholen wir die Schritte mit der aktuellen Version 10 4 Wir gehen davon aus dass die QuickTime Dateien bereits als Stream mit Steuerspur transkodiert wurden Live bertragung einrichten Starten Sie den QTSS Publisher und melden Sie sich ber das Programm an einem Server an auf dem der QTSS aktiviert ist Ziehen Sie dann Ihre beiden streaming f higen Filmdateien ber das Symbol B BLIOTHEK in der linken Tabelle QuELLe des Fensters Hierdurch werden die Filme vom Publisher berpr ft und ber das Netzwerk auf den QTSS Computer bertragen W hrend der bertragung die einige Zeit in Anspruch nehmen kann erscheinen kleine blaue Synchr
11. BSD lt Domain Name gt zur Identifizierungs Suchrichtlinie hinzugef gt Abbrechen OK Abbildung 8 1 Das Dialogfenster f r die Einrichtung des Verzeichnisdienst Plug Ins f r lokale BSD Dateien und NIS kann den erstellten Verzeichnisknoten sofort in den Suchpfad f r die Identifizierung von Benutzern bernehmen Das Aufrufen des Rubrik IDENTIFIZIERUNG ist nicht mehr erforderlich Neue LDAP Verbindung Servername oder IP Adresse 192 168 40 66 U Verschl sselung mit SSL v F r Identifizierung verwenden FA F r Kontakte verwenden Abbildung 8 2 Auch das LDAPv3 Plug In kann neue Verzeichnisknoten sofort in die Suchpfade einf gen Ist der LDAP Server ein Mac OS X Server so ist nur noch dieses Dialogfenster auszuf llen der Rest wird automatisch ermittelt Kapitel 9 LDAP und Apple Open Directory 9 1 LDAP in Mac OS X Server nutzen 9 1 1 berwachung und Konfiguration des LDAP Servers nderung der Vorgabe f r den LDAP Suchpfad Wenn Sie einen neuen Server Computer einrichten hat Apple in Tiger die Strategie f r die automatische Vorgabe des LDAP Suchpfades ge ndert Nicht nur der DNS Name der Server Domain sondern der voll qualifizierte DNS Name des Servers wird als Vorgabe f r den LDAP Suchpfad vorgeschlagen F r unseren Beispielserver g4server example private wird demzufolge bei Einrichtung eines Open Directory Masters der Distinguished Name dc g4server dc example
12. Diesen Ordner E Eityseps az admin Erlauben LesenundS Nein Diesen Ordner I Computer F Dental I Educaton i Emergenc Entertai I Environm 3 Fantasy Fashion M lll G Flowers MLA tane E3 22 u G 3 Benutzer amp Gruppen Abbildung 5 2 Der Arbeitsgruppen Manager erm glicht den bequemen Zugriff auf Zugriffssteuerungslisten ber die grafische Oberfl che 7 Klicken Sie in der betreffenden Zeile auf den Eintrag in der Spalte TYP um entweder die Einstellung Erlauben oder die Einstellung Ablehnen auszuw h len 8 Klicken Sie nach gleicher Methode auf den Inhalt der Spalte ZUGRIFFSRECHT um das gew nschte Zugriffsrecht f r diesen ACE zu definieren Apple hat vier Standardeinstellungen n mlich VOLLST NDIGE STEUERUNG alle Rechte LESEN UND SCHREIBEN nur LESEN und nur SCHREIBEN bereits in einem Auf klappmen vorgesehen Wenn Sie frei zwischen allen 13 M glichkeiten der Zugriffsdefinition und den 4 M glichkeiten der Vererbung entscheiden m ch ten klicken Sie auf den Punkt AngePpassrt Es ffnen sich dann ein vergr Berbares Klappfenster in dem alle 98 304 Kombinationen von Einstellungen durch Ankreuzen der Optionen gemacht werden k nnen Abbildung 5 3 9 Dr cken Sie auf SICHERN um den neuen ACE abzuspeichern In der Spalte GEERBT der Tabelle k nnen Sie au erdem ablesen ob das gerade ausgew hlte Dateisystemobjekt einen wirklich eigenen Eintrag besitzt oder ob eine
13. Fenster erscheint Intern f hrt das Programm einen Mount auf die ausge w hlte Image Datei aus Wenn Sie die Betriebssystemversion durch Aktualisieren ndern m chten Sie wahrscheinlich den Beschreibungstext des Images anpassen Geben Sie unter ALLGEMEIN in das Feld BESCHREIBUNG auf Wunsch einen berarbeiteten Text ein Gehen Sie zum Punkt INHALT und dr cken Sie die Plus Schaltfl che neben der Tabelle ANDERE OBJEKTE W hlen Sie die pkg Datei mit der Aktualisierung aus die Sie vorbereitet ha ben Klicken Sie auf SICHERN rechts unten Das Programm f hrt eine Aktualisie rungsinstallation auf dem gemounteten Image durch Wenn der Vorgang abgeschlossen ist k nnen Sie in das Programm Server Admin zur ckgehen und das Image durch Ankreuzen von AKTIV wieder ver f gbar machen Die berarbeitung des Beschreibungstextes ist zwar im Programm vor gesehen funktioniert aber im Moment nicht richtig M glicherwei se behebt Apple diesen Fehler in zuk nftigen Versionen des System Image Dienstprogramms 192 KAPITEL 13 FERNSTART DIE NETBOOT FUNKTION 13 3 2 Hinzuf gen durch Synchronisation Eine alternative Art und Weise ein Image zu aktualisieren bietet sich dann an wenn Sie ein Image mit einem Startvolume auf Basis einer Festplatte erstellt hat ten die eine Muster Installation enthielt Sie k nnen in diesem Fall die Platte die als Vorlage dient nach Ihren eigenen W nschen aktu
14. Kennwort eeeeeee n Alle Eintr ge Abbrechen Anmelden Anmelden Abbildung 12 6 Um ein neues Weblog oder neue Eintr ge zu erstellen m ssen Sie sich anmelden vorhanden Sie k nnen durch Anklicken der Punkte NEUE KATEGORIE und KATEGORIE L SCHEN neue Unterordner anlegen bzw sie wieder entfernen Das Anklicken des Punktes NEUER EINTRAG f hrt schlie lich zur wichtigsten T tigkeit n mlich dem Anlegen einer neuen Ver ffentlichung In einem Klappmen werden Sie nochmals nach der Kategorie des neuen Eintrags gefragt und k nnen sie falls n tig ndern Ist der Eintrag unkategorisiert wird dies durch den Stammordnerpfad gekennzeichnet Im Feld T TEL m ssen Sie einen Titel f r die Ver ffentlichung eingeben Die An gabe ist zwingend da auf Basis des Titels die interne Ablage des Eintrags erfolgt Im unbeschrifteten gro en K stchen k nnen Sie schlie lich den Text des Eintrags schreiben der ver ffentlicht werden soll Dies ist kein reiner Text es stehen Ihnen zur Ver ffentlichung viele Markierungs elemente des HTML Standards zur Verf gung Sie d rfen folgende HTML Tags ver wenden a b blockquote br code dd dl div em h1 h2 h3 h4 h5 h6 i img ol lik p pre span strong sub sup table td th tr u ul Beachten Sie dass das href Tag zum Erstellen von Hyperlinks nicht in der Liste enthalten ist Das Sy stem versucht stattdessen Hyperlinks di
15. aus und geben Sie die Adresse ein die Sie im QTSS Publisher unter STREAMING LINK URL angezeigt be kommen Es handelt sich um URLs nach dem Muster 12 5 QUICKTIME STREAMING SERVER 181 Quelle v Broadcast Status Bibliothek Wiedergabeliste gestoppt Start v Inhalt der Wiedergabeliste Gewichtung Datenrate Zeit Dateipfad T 196 44 KB s 6 33 Library Application Support App mme 56 74 KB s 4 01 Library Application Support App Wiedergabemodus Sequenzie Ii Objekte wiederholen wenn 1 andere wiedergegeben wurden v Broadcast Server Abbildung 12 15 Das Live Programm wird zusammengestellt Die Bedienungs schritte sind hnlich einfach wie bei iTunes rtsp server wiedergabeliste sdp Hierbei ist server durch den DNS Namen des QTSS und wiedergabeliste durch den URL Namen zu ersetzen den Sie festgelegt hatten Sie k nnen ausprobieren den Stream von mehreren Client Computern in Ihrem Netz abzurufen Die Player m s sten alle ungef hr die gleiche Stelle des Films wiedergeben woraus Sie sehen k n nen dass es sich um eine echte Direkt bertragung handelt Wir gehen nun noch einen Schritt weiter und sorgen daf r dass der Live Stream auch innerhalb einer Webseite abrufbar wird Rollen Sie in der rechten H lfte des Publisher Fensters noch einmal hinunter zum Punkt STREAMING LINK und schalten Sie das Klappmen AKTION AUF WEB SEITE auf IN DIE WEB SEITE EINBETTEN Geben Sie bei BERSCHRIFT AUF WEB SEIT
16. logfenster zum An und Ausw hlen der im Image enthaltenen System bestandteile Abbildung 13 2 e Die neue Karteikarte MODELLFILTER legt fest auf welchen Macintosh Compu tern das zu erstellende Image benutzt werden darf Die Grundeinstellung ist ALLE COMPUTER VON APPLE ZULASSEN Nach Anklicken von NUR UNTEN AUFGE F HRTE COMPUTER ZULASSEN k nnen Sie die unterst tzen Hardware Modelle entsprechend ausw hlen Interessanterweise wird sogar zu jedem Computer typ ein kleines Bild und eine Kurzbeschreibung angezeigt Abbildung 13 3 e Sie k nnen festlegen welcher Name sp ter f r den startenden Computer ver wendet wird Hierbei handelt es sich um den Ger tenamen der auf jedem Mac OS X System beim Punkt SHARING in System Einstellungen notiert ist nicht um den DNS Namen Da ja sp ter mehrere Computer von dem glei chen Image booten und der Ger tename entweder bereits als Vorlage in der Image Quelle eingestellt war oder unkonfiguriert ist weil bei einer Image Erstellung von CD ja keine volle Installation mit Namensvergabe stattgefun den hat muss vermieden werden dass alle Computer den gleichen Namen bekommen Normalerweise versucht das System beim ersten Booten per DH CP seinen Computernamen zu ermitteln Gelingt dies nicht werden je nach Betriebssystemversion Namen wie Default oder Macintosh verwendet die durch nachgestellte Nummern im Netz eindeutig gemacht werden Das System Image Dienstprogramm bietet jedoch auf der Karteikar
17. mit einem Aufdeckungspfeil unter dem Stichwort EINSTELLUNGEN BEST TIGEN gruppiert die von Ihnen einstellbaren Richtlinien nach denen das ausgew hlte Zertifikat auf die sem Computer verwendet werden darf Genauer gesagt k nnen Sie mit den Einstel lungen festlegen f r welche Anwendungen Mac OS X dem Zertifikat trauen darf und f r welche nicht Sie k nnen f r jede Verwendungsm glichkeit eines Zertifi kats zwischen den folgenden vier M glichkeiten entscheiden Abbildung 9 7 e Systemeinstellungen verwenden Sie verwenden die in Mac OS X eingebau te Sicherheitsrichtlinie um dieses Zertifikat zu pr fen Dies wird im n chsten Absatz noch detailliert erl utert e Immer vertrauen Sie akzeptieren dieses Zertifikat grunds tzlich als echt so fern Mac OS X von sich aus nicht schon strengere Pr fungsrichtlinien vor schreibt e Genehmigung einholen Mac OS X soll bei jeder Verwendung dieses Zerrtifi kats anfragen ob Sie es als vertrauensw rdig anerkennen e Nie vertrauen Sie vertrauen diesem Zertifikat grunds tzlich nicht Mit dem obersten Klappmen BEI VERWENDUNG DIESES ZERTIFIKATS k nnen Sie die Einstellungen f r alle m glichen Anwendungsf lle der Zertifikats gleichzeitig n dern Die Verwendungsm glichkeiten und die jeweils als Systemeinstellungen vor gesehenen Sicherheitsrichtlinien lauten wie folgt 9 3 ARBEITEN MIT ZERTIFIKATEN 123 e SECURE SOCKETS LAYER SSL Der Name der im Zertifikat genannt ist m
18. Bet tigen Sie die Schaltfl che GEERBTE GRUPPEN EINBLENDEN unter der Mit gliedschaftstabelle Mac OS X notiert neben dem Knopf auf welchem Stand die aktuelle Mitgliedschaftsberechnung basiert und blendet eventuell vorhan dene geerbte Gruppen in kursiver Schrift in die Tabelle ein 46 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Allgemein Erweitert Gruppen Privat E Mail Druckkontingente Info Windows Prim rgruppen ID 20 Kurzname staff Name Andere Gruppen Name acD employee 1025 supergroup 1026 Geerbte Gruppen Mitgliedschaften werden kursiv angezeigt _ Geerbte Gruppen einblenden Aktualisiert am 21 09 2005 10 41 Uhr Abbildung 5 6 Durch die GUID Technik der ACLs lassen sich auch verschachtelte Gruppen anlegen Bez glich der Benutzerkonten entstehen daraus geerbte Grup penmitgliedschaften die im Arbeitsgruppen Manager per Knopfdruck dargestellt werden k nnen 5 4 3 Einstellung von SACLs Um auch den Zugriff auf Dateiserverdienste ber ACLs steuern zu k nnen m ssen Sie das Programm Server Admin verwenden Wir erl utern dies am Beispiels des AFP Servers 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem be treffenden Server 2 W hlen Sie in der Liste COMPUTER amp DIENSTE den Servereintrag selbst aus nicht einen seiner Untereintr ge 3 Klicken Sie in der rechten H lfte des Bildes auf den Punkt EINSTELL 4 W hlen Sie die Rubrik ZUGRIF
19. Falls Sie mehr ber die interne Funktionsweise von SpamAssassin erfahren wollen k nnen Sie den offiziellen Webauftritt http spamassassin apache org der allerdings nur in englischer Sprache zur Verf gung steht verwenden Manuelles Trainieren des Filters Um den Filter zu trainieren muss er wie im vorigen Abschnitt beschrieben einge richtet werden Selbstverst ndlich sollten Sie zun chst den Punkt UNAUFGEFORDER TE E MAIL WERDEN ZUGESTELLT ausw hlen damit bei Falschbewertung auf keinen Fall Sendungen verloren gehen Legen Sie dann in einem Mail Programm zwei Postf cher an in die Sie sauber getrennt mindestens 200 erw nschte Mails bzw 200 unerw nschte Mails ko pieren Sie k nnen hierzu jedes Mail Programm verwenden das die einzelnen E Mail Sendungen in normale Textdateien speichert zum Beispiel Apple Mail Es ist wichtig dass es sich wirklich um echte typische E Mail handelt die in Ihrem Netz blicherweise eingeht da sonst die Lernergebnisse verf lscht werden Sie sollten also keine Texte aus einem anderen Netz zum Anlernen des Filters verwenden In Apple Mail k nnte Sie beispielsweise mit dem Men punkt PosTFAcH NEU ES POSTFACH zwei F cher Werbung und KeineWerbung anlegen und dort mit gedr ckt gehaltener alt Taste die entsprechende Post hineinkopieren Danach be finden sich Kopien der Sendungen sauber getrennt in den Ordnern Library Mail Mailboxes Werbung mbox Messages Library Mail Mailboxes Keine
20. dem Darwin Streaming Server hat Apple inzwischen die Unterst tzung der Plattformen Microsoft Windows NT und SUN Solaris aufgege ben Es werden damit neben Mac OS X ab 10 3 9 noch Linux in der Distribution Red Hat Version 9 Microsoft Windows 2000 Server und Microsoft Windows Server 2003 unterst tzt Neben diesen technologischen Verbesserungen liefert Apple eine komplett neue Version des QTSS Publisher mit Tiger Server zusammen aus Besitzer der Standard version von Mac OS X k nnen das Programm unter der im Hauptbuch genannten Adresse im Internet herunterladen Statt 7 0 v33 tr gt die neue Version des Pro gramms nun die Nummer 10 4 66 Wir werden im Folgenden die im Hauptbuch genannten Beispiele zur Einarbeitung in die QTSS Technik noch einmal anhand der neuen Programmversion durchspielen An der Steuerung des QuickTime Streaming Servers in Server Admin hat sich kaum etwas ge ndert Genannt werden sollte eine wichtige Neuerung des QTSS n mlich dass Benutzer nun selbst ndig in ihrem eigenen Privatordner Streaming Medien ver ffentlichen d rfen Hierzu sind folgende Schritte durchzuf hren 1 Starten Sie Server Admin und verbinden Sie sich mit dem Server auf dem QTSS l uft 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt QUICKTIME STREA MING aus 3 Gehen Sie im rechten Teil des Fensters zum Punkt EIiNSTELLUNGEN und dort zu ZUGRIFF 4 Kreuzen Sie den Punkt STREAMING VON PRIVAT ORDNERN ERLAUBEN an
21. die die n tigen Adresspr fungen und DNS Anfragen nur sehr ineffizient ausf hren Je nach Ihrer Netzumgebung kann es also sein dass die gut programmierte Konfigurations funktion wesentlich langsamer interpretiert wird als die Einfachl sung in Listing 12 1 Sollten Sie also bei Verwendung von Listing 12 2 Geschwindigkeitsbu en beim La den von Webseiten feststellen so ist zu empfehlen auf die einfachere L sung aus Listing 12 1 auszuweichen 12 1 NUTZUNG EINES PROXY CACHE SERVERS 159 12 1 2 Alternative L sungen f r Proxy und Inhaltsfilterung Das im Hauptbuch empfohlene kostenlose und quelloffene Programm Squid so wie dessen Partner DansGuardian leisten auch in Tiger gute Dienste Die Mac OS X Portierung der Programme hat inzwischen Dave Lopata bernommen deshalb hat sich auch die Adresse zum Herunterladen der Software ge ndert Sie lautet jetzt etwas sperrig http mambo lopata net component option com docman task cat_view gid 14 Itemid 29 Die nderungen die sich bei der Installation der neu zusammengestellten Software ergeben stellen wir im Folgenden kurz vor Neuinstallation der Software Das Paket aus Dansguardian Squid und zwei neuen Hilfsprogrammen zur Konfi guration wird in Form einer Unix tar gz Datei DGComplete angeboten Nach dem Auspacken erhalten Sie die Software installationsfertig als Mac OS X Paketdateien Bei Redaktionsschluss waren Squid Version 2 5 Stable 10 und DansGuardian Versi on 2 8 0
22. e f r wen dieser Eintrag gilt z B f r einen bestimmten Benutzer oder eine Benutzergruppe ob es sich um ein Zugriffsrecht oder Zugriffsverbot handelt e um welches Recht es im Detail geht und wie dieses Recht in einer Hierarchie von Ordnern an Ordner tiefer in der Hier archie vererbt werden soll bzw ob es sich bei diesem Eintrag um ein geerb ten Eintrag handelt Beginnen wir mit dem ersten Punkt Mac OS X speichert die Information wel cher Benutzer oder welche Benutzergruppe ein bestimmtes Recht besitzt ber ei 5 2 ACLS IM DETAIL 33 Mitglieder Name ID Typ Kurzname SL System Administrator 0 Benutzer root m berkommene Gruppe aktualisieren Abbildung 5 1 Eine oder mehrere Gruppen die Sie aus fr heren Mac OS X Versionen bernommen haben k nnen mit dem Knopf rechts unten auf die Ver wendung von GUIDs aktualisiert werden ne GUID Globally Unique Identifier global eindeutiger Bezeichner ab In fr he ren Versionen von Mac OS X hat Apple diese Identifikation auch Generated Unique Identifier erzeugter eindeutiger Bezeichner genannt In der deutschen Fachspra che ist sowohl die Sprechweise der GUID als auch die GUID gel ufig GUIDs sind eindeutige Schl sselnummern mit 128 Bit L nge Sie werden in der Form 19ADB10A 4471 11D8 9B71 000393C0ECE6 geschrieben also als hexadezimale Zahlenfolge die mit Bindestrichen in f nf Teile mit jeweils vier zwei zwei zwei und sechs B
23. han lautet Falls Sie versehentlich Mails falsch kategorisiert ha ben ist dies kein gr eres Problem SpamAssassin identifiziert jede einzelne Post sendung und kann sie wiedererkennen Wenn Sie mit den falschen eingeordneten Mails die Lernphase sp ter mit der richtigen Kategorisierung wiederholen wird das Programm die Bewertung anpassen und damit die Fehler automatisch korrigieren Halbautomatisches Trainieren des Filters Wie bereits erw hnt kann der Filter auch nach und nach angelernt werden indem Sie Benutzer veranlassen typische Mails an zwei bestimmte Mail Adressen in Ihrem Hause weiterzuleiten 1 Starten Sie das Programm Arbeitsgruppen Manager f r den Server auf dem die Mail Dienste laufen 2 Legen Sie ein neues Benutzerkonto mit dem Kurznamen junkmail an Sie d r fen diesen Namen nicht ab ndern Es ist nicht n tig dass Sie den Account im netzweiten Verzeichnisknoten anlegen der Benutzer muss nur lokal auf dem Server bekannt sein W hlen Sie also vorher am besten den Punkt LOKAL im Men neben dem kleinen Globussymbol aus 3 Speichern Sie das neue Benutzerkonto durch Bet tigen der Schaltfl che S CHERN gehen Sie dann zur Rubrik E Ma L und schalten den Auswahlknopf auf E MAIL AKTIVIERT so dass f r diesen Account ein Postfach eingerichtet wird 154 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST 4 Wiederholen Sie die letzten Punkte indem Sie noch ein zweites Benutzerkon to mit dem Kurznamen notjunkmail an
24. jetzt komfortabler ber die grafische Oberfl che von Server Admin abgerufen werden Das Weiterleiten von E Mail an einen MTA der Authentifizierung verlangt siehe Abschnitt 11 3 3 des Hauptbuchs ist allerdings immer noch nicht vorgesehen und muss unver ndert durch manuelle Anpassung der main cf Datei konfiguriert werden Ebenso wurde die Steuerung der Kontingentierungsm glichkeiten stark verbessert Das Beschr nken der Postfachgr e jedes Benutzers ist noch einfacher steuerbar und Absender die an ein berlaufendes Postfach Mails geschickt haben k nnen durch einstellbare R ckmeldungen ber diesen Zustand informiert werden Zudem wurde das Einrichten von virtuellen Hosts ber die grafische Oberfl che erleichtert Verwaltet ein MTA die Weiterleitung elektronischer Post gleich f r mehrere DNS Dom nen so l sst sich dies jetzt viel bequemer konfigurieren als in Panther Die 143 144 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST Einrichtung der neuen Funktionen wird in diesem Kapitel jeweils kurz beschrieben 11 1 3 Aktualisierung der Mail Dienste Wenn Sie einen Mac OS X Server von Panther auf Tiger aktualisieren ist in den meisten F llen eine bernahme der Konfiguration problemlos m glich ohne dass zus tzliche Schritte ausgef hrt werden m ssen Selbst die in Abschnitt 11 3 3 des Hauptbuchs erw hnte Warnung dass eventuell der Inhalt der Datei etc postfix main cf neu berarbeitet werden muss falls Sie dort n
25. kein g ltiger Name f r eine Einstellung ist da dieser Name nicht im Manifest enthalten ist Klicken Sie nun auf die neben dem Namen stehenden kleinen Pfeilsymbole Sie erhalten ein Men das in deutscher Sprache alle interessan ten Einstellungsm glichkeiten von Safari beschreibt Abbildung 6 20 Sie k nnen nun beispielsweise die Einstellung BILDER ANZEIGEN ausw hlen Der Datentyp wechselt hierdurch sofort auf BOOL SCHER WERT und es wird der Stan dardwert WAHR vorgeschlagen M chten Sie Ihren Netzwerkbenutzer verbieten dass Safari Bilder anzeigt so k nnten Sie diesen Wert auf FALSCH umstellen e Durch Anklicken der Schaltfl che STANDARD FESTLEGEN stellt der Arbeitsgrup pen Manager f r die gerade ausgew hlte Einstellung einen Wert ein der dem vom Programm definierten Standardwert entspricht e Haben Sie aus einer plist Datei Einstellungen importiert die das Manifest als nicht sinnvoll f r eine Voreinstellung beschreibt wie beispielsweise die Liste der zuletzt ge ffneten Dateien so k nnen Sie alle diese au erhalb des Manifests liegenden Voreinstellungen auf einen Schlag durch Dr cken der Taste NICHT BEREINSTIMMENDE L SCHEN entfernen Die orangefarbenen Warnmarkierungen werden entsprechend verschwinden 6 9 Einstellungen f r den Netzwerkordner des Fin ders 6 9 1 Einf hrung Eine weitere neue Funktion von Mac OS X Tiger besteht darin dass Sie ber ei ne besondere verwaltete Einstellung steuern k nne
26. nern ber NFS spezielle Regeln die beachtet werden m ssen Diese Regeln gelten grunds tzlich f r alle NFS Server egal von welchem Hersteller sie stammen und unter welchem Betriebssystem sie laufen F r Mac OS X hat Apple inzwischen eine weitere spezielle Einschr nkung dokumentiert die beachtet werden sollte Wenn Sie einen NFS Export so anlegen dass die zugreifenden Client Rechner nicht berpr ft werden in Apples Terminologie also einen Export an World vorneh men siehe Abbildung 7 1 dann akzeptiert Mac OS X dies nur auf einem einzi gen Volume Ist Ihr Server Computer zum Beispiel mit drei Partitionen ausgestattet oder besitzt drei Festplatten und Sie geben eines dieser Volumes per NFS mit dem Klienten Zugriffsrecht WoRruLD frei so d rfen Sie keinen anderen Volumes ebenfalls ber NFS an WORLD exportieren Tun Sie dies trotzdem so ignoriert Mac OS X die zus tzlichen Freigaben v llig Nur der Exporteintrag der in der internen Datenbank als letzter definiert wurde funktioniert Dies ist insbesondere f r den Fall wichtig wenn Sie mit der NetBoot Funktion arbeiten Die Betriebssystem Images werden in der Regel per NFS freige geben und Mac OS X muss in diesem Fall einen World Export verwenden was auch automatisch so konfiguriert wird Beachten Sie also diese Einschr nkungen wenn Sie den NetBoot Ordner NetBootSPx auf einem Volume haben einrichten lassen 7 3 BER AFP AUF NFS RESHARING 99 Allgemein Zu
27. neue Zertifikat wird angezeigt Wenn Sie den oben beschriebenen Ablauf einmal ausprobieren werden Sie sehen dass auch im Programm Schl sselbund das neue Zertifikat und dessen Schl ssel sofort sichtbar werden W hlen Sie hierzu den Schl sselbund SYsTem aus In der Kategorie ALLE OBJEKTE werden sowohl das neue Zertifikat als auch der ffentliche und private Schl ssel die zum Zertifikat geh ren angezeigt Abbildung 9 10 Das im Hauptbuch angegebene manuelle Handling von pem Dateien ist in Tiger nicht mehr erforderlich Nun m ssen Sie nur noch das Open Directory System so konfigurieren dass SSL auf Basis des neuen Zertifikats zum Einsatz kommt Wechseln Sie zur ck ins Programm Server Admin und w hlen Sie den Dienst OPEN DIRECTORY aus ffnen Sie die Rubrik EINSTELLUNGEN W hlen Sie die Karteikarte PROTOKOLLE aus Setzen Sie im unteren Bereich das H kchen beim Punkt SSL SECURE SOCKETS LAYER AKTIVIEREN W hlen Sie im Klappmen das soeben erstellte ZERTIFIKAT aus Bet tigen Sie die Schaltfl che SICHERN 9 3 ARBEITEN MIT ZERTIFIKATEN Allgemeing ltiger Name Organisation Organisationseinheit Stadt Ort Bundesland G ltig von Schl sselkennwort Kennwort best tigen Instanz Bearbeiten g4server example private g4server example private Beispielfirma GmbH Rechenzentrum Bonn Nordrhein Westfalen Selbst signiert Das Kennwort wird verwendet um einen e
28. r die beteilig ten Kommunikationspartner m glich festzustellen ob der Computer am anderen Ende der Leitung echt oder gef lscht ist Technisch l uft dies so ab dass bei der ersten Kontaktaufnahme zur Bindung eines Klienten an das LDAP Verzeichnis das Kennwort des Verzeichnisdienstverwalters auf dem Client eingegeben werden muss Ist das Kennwort richtig legt der LDAP Server ein Computerkonto f r den Client an in dem sich ein generierter Hashwert befindet Bei sp teren Kontaktauf nahmen wird dieser Wert als Schl ssel verwendet um den Client Computer wieder zu identifizieren Auf dem Server kann eingestellt werden dass dieses Sicherheitsmerkmal auf Wunsch angeboten wird Zus tzlich kann konfiguriert werden dass der Server bei der er sten Verbindungsaufnahme auf Eingabe eines Verbindungskennworts besteht Leider ist Apples L sung des Sicherheitsproblems etwas halbherzig Statt eine zweiseitige gegenseitige Identifikation der Computer bei je der Kontaktaufnahme zum Verzeichnisdienst anzufordern wird nur die erste Bindung zwischen Client und Server authentifiziert Die Absi cherung ist also nicht so sicher wie man das beim ersten Lesen vermu ten k nnte Hinzu kommt dass alle diesbez glichen Optionen in der grafischen Oberfl che irref hrend beschriftet sind Dies gilt sowohl f r das englische Original als auch f r die deutsche bersetzung die die Situation noch weiter verschlimmert Ohne zus tzliche Lit
29. 162 Mobiler Benutzer 53 mod_sherlock_apple 162 mod_spotlight_apple 162 MPEG 4 Teil 10 178 netatalk 19 NetWare 19 Netzwerk Image Dienstprogramm 185 Netzwerkansicht 90 Netzwerkordner 86 Netzwerkumgebung 90 Nickname 174 NTLMv2 59 OCSP 124 Online Certificate Status Protocol 124 Open Directory Replik 102 p12 134 INDEX PAC Datei 15 PDC 102 Ping 202 plist Dateien 4 Prim rer Dom nen Controller 102 Property List Editor 77 Property Lists 4 Protokolle 140 Pseudonym 174 QTSS 177 QTSS Publisher 178 Quartz Extreme 2D 1 QuickTime Streaming Server 177 r ckf hrbare Identifizierungsmethoden 60 R ckverbindung 168 Really Simple Syndication 6 Rendezvous 107 Retrospect 51 root 20 Root Certificate Authority 120 RSS 6 s2svpnadmin 200 SACL 37 Schl sselbund 119 Service Access Control List 37 Service Recovery 18 Shared Secret 199 Sherlock 162 Sicherungs Dom nen Controller 100 Site to Site Virtual Private Networking 198 Site to Site VPN 8 Software Aktualisierungsdienst 193 SourceForge 160 SPAM 143 SpamAssassin 7 148 Spotlight 5 34 Squid 159 squid 15 Standardansicht 90 Synchronisation 192 System Profiler 1 System Image Dienstprogramm 185 Systembibliothek 179 INDEX Telefax 14 template spotlight 163 TextEdit 78 Trackback 168 Trainingsphase 148 Trusted Binding 115 UCE 143 Vertrauensw rdige Bindu
30. 2 2 u nun 144 11 2 1 Basiseinstellungen 22 2 non 144 11 2 2 Kontingentierung 2 22 m mn 145 11 2 3 Wartungsarbeiten ber Server Admin 2 2222 146 11 3 Filterung von E Mail 2 2 Co Con 148 11 3 1 Allgemeines ss se mn nee a IR Er a w 148 11 3 2 Ausfiltern von unerw nschter Werbepost 148 11 3 3 Ausfiltern von Computerviren 2 2 22 aa 154 INHALTSVERZEICHNIS vii 12 Web Dienste 157 12 1 Nutzung eines Proxy Cache Servers oaoa a a a 157 12 1 1 Arbeiten mit automatischer PAC Konfiguration 157 12 1 2 Alternative L sungen f r Proxy und Inhaltsfilterung 159 12 1 3 Konfiguration von DansGuardian 2 222 160 12 2 Apples Erweiterungsmodule zu Apache 2 2 2 2222 162 12 3 Der Weblog Dienst Blojsom 22 u nun 163 12 3 1 Einrichten des Weblog Dienstes 2 222m 164 12 3 2 Aufruf der Weblog Funktion 2 2 2222 166 12 3 3 Terminologie und Funktionen des Bloggens 166 12 4 Instant Messaging mit dem iChat Server 2 2 22 nun 171 12 4 1 Einf hrung 222222 mono 171 12 4 2 Einrichten des Chat Servers 2 2222 2 173 12 4 3 Verwendung von iChat aaa aaa 174 12 5 QuickTime Streaming Server 2 nun 177 12 5 1 Neuerungen 2 2 2 m non 177 12 5 2 Fallbeispiele Streaming und Erzeugung von Webseiten 179 13 Fernstart die NetBoot Funktion 185 13 1 nderungen in Server Admin 2 222222 22er 185 13 2 Das neue System Image Dienstprogramm
31. 4 Das Programm Verzeichnisdienste 22 nun 80 vi INHALTSVERZEICHNIS 8 5 DieAnbindung anNIS 2 n nun 109 8 6 Netinfo der klassische Verzeichnisdienst 2 22 2 2200 109 9 LDAP und Apple Open Directory 111 9 1 LDAP in Mac OS X Server nutzen 2 2 2 2 Cum 111 9 1 1 berwachung und Konfiguration des LDAP Servers 111 9 1 2 Die abgesicherte Bindung zwischen Server und Klienten 114 9 1 3 Weitere Sicherheitsmerkmale 2 2 2 nn 117 9 2 Arbeiten mit dem LDAP Browser 2 2 2 nun 119 9 3 Arbeiten mit Zertifikaten 2 2 Con 119 9 3 1 Das neu gestaltete Schl sselbund Programm 119 9 3 2 Ung ltigwerden von Zertifikaten 2 2 123 9 3 3 Erzeugen eines Spielzertifikats zum SSL Zugriff auf den LDAP SEIVEn aaa an a a ee fee 125 9 3 4 Eine private Zertifizierungsstelleeinrichten 128 10 Drucken im Netz 139 10 1 Verwendung von USB Druckern an Airport Basisstationen 139 10 2 IPP als bertragungsprotokoll der Wahl 222 22 139 10 3 Verbesserungen im Server Admin Programm 2 2 2222 139 10 4 Neue Features auf Client Seite 22 u nun 140 11 E Mail die elektronische Post 143 IE Einf hrung za Bar re N ee 143 11121 Korfekt r a 34 Sr nae ca o D ie a a a a E A k 143 11 1 2 berblick ber die Neuerungen 22222222000 143 11 1 3 Aktualisierung der Mail Dienste 2222 144 11 2 Einrichtung des Mail Servers 2
32. ACL von einem bergeordneten Ordner geerbt wurde Die letzte Spalte GiLT F R die sehr breit werden kann formuliert noch einmal im Klartext welche Verer bungseinstellungen in diesem ACE wirksam sind Um einen bereits bestehenden Zugriffssteuerungseintrag zu ndern w hlen Sie den Eintrag in der Tabelle aus und dr cken Sie den mit einem Stift markierten Knopf unterhalb der Tabelle Um einen ACE zu l schen bet tigen Sie die Schaltfl che die mit einem gro en Minuszeichen markiert ist Falls Sie die obigen Schritte einmal mit einem gef llten Ordner Ihres Servers auspro bieren werden Sie bemerken dass danach die im Ordner enthaltenen Objekte wie 42 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Benutzer Gruppe employee Art der Zugriffsrechte Erlauben Geerbt Nein Zugriffsrecht vL verwaltung C Zugriffsrechte ndern Eigent mer ndern vL Lesen C Attribute lesen U Erweiterte Attribute lesen U Ordnerinhalt auflisten Daten lesen C Ordner durchqueren Datei ausf hren C Zugriffsrechte lesen vL schreiben U Attribute schreiben U Erweiterte Attribute schreiben U Dateien erstellen Daten schreiben U Ordner erstellen Daten anh ngen C L schen C Unterordner und Dateien l schen vM Vererbung v Auf diesen Ordner anwenden v Auf direkt enthaltene Ordner anwenden vi Auf direkt enthaltene Dateien anwenden Auf alle enthaltenen Objekte anwenden Abbrechen Cox A Abbildung 5 3 ber den Punkt
33. Admin Programm sind nur Klei nigkeiten zu vermelden Eine nett gestaltete neues Anzeige unter NETBOOT BER SICHT zeigt nun tabellarisch an welche Basisdienste f r die einzelnen NetBoot Funktionen notwendig sind und ob diese momentan laufen Abbildung 13 1 Der neue Unterpunkt PROTOKOLLE erlaubt es bei den EINSTELLUNGEN die ge w nschte Ausf hrlichkeit des Verlaufsberichts der NetBoot T tigkeiten anzugeben Ein neues Eingabefeld unter EINSTELLUNGEN ALLGEMEIN erlaubt es schlie lich die H chstzahl an AFP Verbindungen festzulegen die f r das Booten von alten Mac OS Klienten oder von plattenlosen Klienten auf dem jeweiligen Server beansprucht werden d rfen 13 2 Das neue System Image Dienstprogramm Das Programm zum Erstellen von NetBoot Image Dateien wurden dagegen in sehr vielen Punkten berarbeitet Die erste Neuerung betrifft die Tatsache dass das Programm statt Netzwerk Image Dienstprogramm jetzt System Image Dienstpro gramm hei t 185 186 KAPITEL 13 FERNSTART DIE NETBOOT FUNKTION NetBoot Status Arbeitet Images und verwandte Dienste Arbeitet Gestoppt Image Type Aktiviert AFP NFS HTTP DHCP NetBoot Mac OS X 0 NetBoot Mac OS X Diskless 1 e e Mac OS X Netzwerkinstallation 2 e e NetBoot Mac OS 9 0 F r Mac OS X Diskless NetBoot und Mac OS 9 Images ist AFP erforderlich Mac OS X Images ben tigen HTTP oder NFS DHCP wird nur ben tigt wenn dieser Server IP Adressen zuweist Letzte
34. AnGeEPassT k nnen alle Zugriffs und Vererbungs definitionen im Detail eingestellt werden 5 4 ARBEITEN MIT ACLS 43 W hlen Sie die Informationen aus die auf direkt enthaltene Objekte bertragen werden sollen _ Eigent mername _ Zugriffsrechte des Eigent mers _ Gruppenname _ Zugriffsrechte der Gruppe _ Zugriffsrechte f r jeden v Zugriffssteuerungsliste Abbrechen OK Abbildung 5 4 ber dieses Dialogfenster wird der Arbeitsgruppen Manager veran lasst POSIX und ACL Attribute an weiter unten in der Ordnerhierarchie liegende Objekte zu vererben auch wenn keine neuen Objekte angelegt werden vorher keine Zugriffssteurungseintr ge besitzen auch wenn alle Vererbungsoptio nen eingeschaltet waren Dies ist das erwartete und richtige Verhalten Erinnern Sie sich daran dass die Vererbung nur dann aktiv wird wenn Sie ein neues Ob jekt in der betreffenden Ordnerhierarchie anlegen oder wenn Sie ein Programm ausdr cklich anweisen die Vererbung nun auf die enthaltenen Unterobjekte an zuwenden Um dies im Arbeitsgruppen Manager durchzuf hren dr cken Sie den mit einem Zahnrad markierten Knopf unterhalb der Tabelle und w hlen Sie den Men punkt ZUGRIFFSRECHTE BERTRAGEN aus Es erscheint das Dialogfenster aus Abbildung 5 4 mit dem Sie steuern k nnen welche Attribute Sie nun auf die un tergeordneten Objekte kopieren m chten Die obere H lfte des Dialogfenster be zieht sich auf die POSIX Eins
35. Empf nger gesandt sondern an ein vorgegebenes Sammelpostfach das Sie einrichten m ssen Haben Sie die gew nschten Einstellungen vorgenommen bet tigen Sie bitte den Knopf SICHERN rechts unten im Fenster Ist der Filter aktiv so werden in alle weitergeleiteten Sendungen zus tzliche Kopf zeilen mit den Schl sselworten 11 3 FILTERUNG VON E MAIL 151 X Spam Status X Spam Level eingef gt Die Zeile hinter dem Doppelpunkt bei X Spam Status gibt die Bewer tung durch den Bayes Filter an wobei der angegebene Wert hits den Grad der Wahrscheinlichkeit angibt dass es sich um SPAM handelt Mail Programme zei gen zus tzliche Kopfzeilen von Mail Sendungen in der Regel nicht an sie k nnen jedoch immer sichtbar gemacht werden In Apple Mail k nnen Sie beispielswei se durch Auswahl des Men punktes DARSTELLUNG E MAIL LANGE HEADER oder auch durch DARSTELLUNG E Ma L REINE DATEI die verborgenen Inhalte jeder Sen dung anzeigen lassen Die Zeile die mit X Spam Level markiert ist ist als eine Art Balkendiagramm anzusehen die den Grad der SPAM Wahrscheinlichkeit noch ein mal grafisch wiederholt Je mehr Sterne desto sicherer die Beurteilung Abbildung 11 3 zeigt eine Reihe von Werbe Mails die in Apple Mail empfangen und vorher von SpamAssassin korrekt mit einer Werbemarkierung versehen wurden F r die ausgew hlte Sendung wurde die Ausgabe der Kopfzeilen eingeschaltet so dass Sie die zus tzlichen X Spam Angaben sehen k nnen
36. Kennwort der Benutzername ist jedoch Ihr Chat Pseudonym Wie oben beschrieben muss er nach dem Prinzip kurz name server aufgebaut sein z B hans g4server example private 5 Falls Sie zum Aufbau der Vermittlung wahlweise auch Bonjour nutzen m ch ten k nnen Sie dies im n chsten Bild aktivieren 6 Im n chsten Bild k nnen Sie falls vorhanden und falls gew nscht eine Ka mera f r den Aufbau einer Videokonferenz konfigurieren Ebenso wird durch einen horizontalen Balken die St rke des vorhandenen Audiosignals symboli siert falls Ihr Computer mit einem Mikrofon ausgestattet ist Die Konfigura tion von Bild und Ton muss ber andere Programme z B die iSight Software und Systemeinstellungen erfolgen Dr cken Sie nach Abschluss der Konfigu ration von Audio und Video auf FORTFAHREN 7 Best tigen Sie das letzte Bild mit FERTIG Wenn mindestens zwei Benutzer diese Konfigurationsschritte ausgef hrt haben kann eine Chat Sitzung er ffnet werden 1 Bet tigen Sie im Fenster JABBER LISTE von iChat den Knopf mit dem Pluszei chen links unten 2 Dr cken Sie im erscheinenden Dialogfenster den Knopf NEUE PERSON 3 Geben Sie das iChat Pseudonym des Benutzers ein den Sie kontaktieren m ch ten Sie k nnen auf Wunsch auch ein Symbol Vorname Nachname und E Mail Adresse dieses Benutzers eingeben um den Kontakt netter zu gestalten 4 Die Person wird in die Tabelle aufgenommen Durch Ausw hlen des Eintrags und Druck auf die
37. Library WebServer Documents befindet Sollte Sie dies so umkonfiguriert haben dass ein anderes Volume oder mehrere Volumes benutzt werden so m ssen Sie auch diese mit mdutil freischal ten und die Pfadangabe entsprechend ersetzen Die eigentliche Indexerstellung f r Spotlight wird manuell mit dem Befehl mdim port ausgel st Legen wir wieder den Standardablagepfad zugrunde so lautet der Aufruf sudo mdimport f Library WebServer Documents bei anderen Ordnern ist die Pfadangabe wieder entsprechend anzupassen bzw mehrere Aufrufe einzugeben Die Option f ist wichtig um zu erzwingen dass Spotlight wirklich alle Dateien im Webordner indexiert Intern hat Spotlight n m lich bestimmte Namensregeln die automatisch Dateien und Ordner mit bestimm ten Namen ausschlie en w rden Beachten Sie allerdings dass auch bei diesem manuellen Aufruf die gleichen Beschr nkungen f r Dateitypen gelten wie im her k mmlichen Spotlight Betrieb Propriet re Dateiformate f r die der Hersteller der zugeh rigen Programme keine Spotlight Import Unterst tzung anbietet bleiben auch in diesem Fall aus dem Index ausgeschlossen Apple unterst tzt jedoch die meisten g ngigen Dateiformate von Hause aus 1 Starten Sie danach Server Admin und verbinden Sie sich mit dem Server auf dem die Web Dienste laufen 12 3 DER WEBLOG DIENST BLOJSOM 163 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt WEB aus 3 Gehen Sie im rechten Teil de
38. Neu hinzugef gt in der Ser verversion wurde neben einer uneingeschr nkten Laufzeitlizenz f r Apples Web Applikationsserver WebObjects ein RSS orientierter Weblog Dienst und ein Instant Messaging Service die wir in diesem Kapitel kurz beschreiben berarbeitet wur de zudem der QuickTime Streaming Server und seine Hilfsprogramme Von Dritt anbieterseite m ssen wir au erdem auf nderungen bez glich der Proxy Cache Software DansGuardian und Squid eingehen die im Hauptbuch zum Einsatz f r professionelle Zwecke empfohlen wurden 12 1 Nutzung eines Proxy Cache Servers 12 1 1 Arbeiten mit automatischer PAC Konfiguration Einrichten von Mac OS X Klienten Apple hat im Programm System Einstellungen die M glichkeiten zur automati schen Konfiguration auf einen Proxy Cache Server in der Benutzerf hrung ber arbeitet Im Punkt NETZWERK PROXIES gibt ein neues Klappmen PROXIES KONFI GURIEREN das auf den Punkt PAC DATEI VERWENDEN voreingestellt ist Es braucht nur noch ein Pfad zu einer PAC Datei oder die URL Adresse f r eine solche Datei an gegeben zu werden Abbildung 12 1 Die aus Panther bekannten Optionen stehen aber auch in der alten Form noch zur Verf gung wenn das Men auf den Punkt MAnueELL umgeschaltet wird Leider funktioniert die Verwendung von PAC Dateien im Zusammenhang mit der Tiger Version von Safari bis einschlie lich Mac OS X 10 4 2 nur mangelhaft Egal ob der neue Men punkt oder die bisherige alte Einstellung
39. Sie im Einzelfall gesetz lich verpflichtet sein k nnen so beginnen Sie mit einer stark eingeschr nk ten POSIX Berechtigung z B nur Schreib Leserecht f r root Gruppe admin und f gen Sie nach und nach Gruppenerlaubniseintr ge f r die Gruppen hin zu denen ein Recht erteilt werden soll Nutzen Sie die Vererbungseinstellungen wann immer m glich Die Vererbung ist eine effiziente Technik eine gro e Zahl von Objekten automatisch mit den richtigen Berechtigungseinstellungen zu versehen Durch Einstellen der richtigen Rechte von oben nach unten in der Ordnerhierarchie kommen Sie mit so wenig Einstellungen wie m glich aus Vermeiden Sie es Eintr ge mit der Einstellung Ablehnen zu verwenden Zu griffsverbote k nnen sehr schnell zu unbeabsichtigten Nebenwirkungen f h ren Im schlimmsten Fall verlieren alle Benutzer Zugriff auf ein Objekt und die Einstellung kann nicht mehr r ckg ngig gemacht werden Ablehnungs eintr ge sollten speziellen Sonderf llen vorbehalten bleiben und der System verwalter sollte sich notieren an welcher Stelle er einen Ablehnungseintrag aus welchem Grund angelegt hat Wenn ein Problem mit einer Berechtigung auftritt z B wenn einem Benutzer unerwartet der Zugriff auf ein Objekt verweigert wird lassen Sie sich vom Sy stem nicht nur die reine ACL anzeigen sondern lassen Sie Mac OS X die ACL abarbeiten so dass das tats chlich wirksame Zugriffsrecht berechnet wird 40 KAPITEL 5 DAS BERECHTIGUNGS
40. Sie mit einem g ltigen Kennwort am Verzeichnisknoten angemeldet sind der die betreffen den Konten enth lt 5 W hlen Sie in der linken H lfte des Fensters die gew nschten Konten Benut zer Gruppen oder Computerlisten aus Klicken Sie in der Symbolleiste den Punkt EINSTELLUNGEN an W hlen Sie in der rechten H lfte des Bildes die Rubrik DETAILS aus Dr cken Sie unterhalb der Tabelle den Knopf HINZUF GEN oo oO N Q Es erscheint ein gleitendes Dialogfenster zum ffnen von Dateien W hlen Sie das Programm TextEdit im Programme Ordner von Mac OS X aus wobei die Option EINSTELLUNGEN DES PROGRAMMS IMPORTIEREN eingeschaltet bleiben sollte Danach erscheint ein neuer Eintrag f r die Dom ne com apple TextEdit in der Ta belle Beachten Sie dass Mac OS X automatisch aus dem ausgew hlten Programm bestimmt hat wie die Einstellungsdom ne des jeweiligen Programms lautet Wenn Sie den Namen bereits wissen h tten Sie im Dialogfenster brigens auch direkt die plist Datei aus Ihrem oder einen fremden Preferences Ordner von TextEdit aus w hlen k nnen Beim Anlegen der neue Eintragung hat der Arbeitsgruppen Manager automatisch alle derzeitigen Einstellungen des Programms TextEdit aus Ihrem derzeitigen Be nutzerkonto bzw aus der plist Datei die Sie ausgew hlt hatten in die Kategorie H ufig der verwalteten Einstellungen bertragen Dies ist eine hilfreiche Komfort funktion Sie k nnen so ein bestimmtes Benutzer
41. Warnschwelle in Prozent und die H ufigkeit der Warnung in Tagen kann einzeln eingestellt werden Abbildung 11 1 146 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST Allgemein Weiterleitung Filter Kontingente Listen Protokoll Erweitert A Eingehende Nachrichten gr er 30 MB ablehnen Eingehende Mail f r Benutzer bei Kontigent berschreitung deaktivieren Fehlermeldung bei Kontingent berschreitung d quota _ Kontingentwarnungen aktivieren Warnhinweis f r Kontigent Warninc erver usage J Kontingentwarnung senden bei mehr als 0 Kontingentwarnung senden alle 1 Tage Abbildung 11 1 Tiger erlaubt es ber die grafische Oberfl che zu definieren wie sich der Mailserver vor und nach berschreiten von E Mailkontingenten gegen ber dem Benutzer verhalten soll 11 2 3 Wartungsarbeiten ber Server Admin Weitere Optionen die fr her ebenso nur ber die Kommandozeile zur Verf gung standen lassen sich im Bereich Ma L ber die Rubrik WARTUNG aufrufen Die in Panther vorhandene Rubrik AccounTs ist in Tiger zum ersten Unterpunkt von WARTUNG geworden ber den Punkt DATENBANK k nnen Sie schnell feststellen wieviel Speicherplatz das Postfachsystem im Moment auf dem Server verbraucht Au erdem ist die Repa ratur der Datenbank ber die grafische Oberfl che m glich Statt das in Abschnitt 11 2 5 vorgegebene Verfahren zu benutzen reicht es in Tiger also aus an dieser Position die Schaltfl che REPARIEREN z
42. Zugriffssteuerungslisten f r Dateisy stemobjekte unterst tzen Im Moment werden nur drei Dateisysteme unterst tzt e lokaler Zugriff auf ein Dateisystem im Format HFS e Netzwerkzugriff auf einen AFP Dateiserver AppleShare der ACLs unterst tzt e Netzwerkzugriff auf einen CIFS SMB Dateiserver Windows der ACLs unter st tzt Die lokalen Dateisysteme UFS DOS FAT oder NTFS sowie der Fernzugriff ber die Protokolle NFS FTP und WebDAV sind also von der Nutzung von ACLs ausgeschlos sen 5 3 2 Anwendung der Zugriffssteuerung auf Dienste Nicht nur Dateien und Ordner sondern auch Dienste eines Tiger Servers k nnen mit ACLs versehen werden Man spricht in diesem Fall von SACLs oder Service Access Control Lists Im Moment ist die Vergabe dieser Berechtigungen auf die folgenden Dienste beschr nkt 38 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X e Anmeldung am Anmeldefenster von Mac OS X Zugriff auf den AFP Dateiserver Zugriff auf den FTP Server Zugriff auf den iChat Serverdienst Zugriff auf die Mail Serverdienste Zugriff ber die ferne Kommandozeile Secure Shell SSH Fernverbindung ber einen VPN Zugang Zugriff auf den Web Server Zugriff auf Weblog Funktionen Zugriff auf den CIFS SMB Dateiserver Windows Zugriff auf Xgrid Funktionen Die entsprechende Einstellung wird mit dem Programm Server Admin vorgenom men und weiter unten n her erl utert 5 3 3 Ratschl ge zur Verwendung Aus den Ausf
43. aufrufen und sie im Detail selbst konfigurieren Die Konfiguration findet statt indem der Benutzer den Punkt EINSTELLUNGEN ZUR SYNCHRONISIERUNG VON PRIVAT im Men leistensymbol aufruft oder indem er das Programm Systemeinstellungen verwendet 1 Starten Sie als ortsungebundener Benutzer das Programm Systemeinstellun gen 2 W hlen Sie die Rubrik BENUTZER aus 3 Dr cken Sie auf der Karteikarte den Knopf KONFIGURIEREN neben dem Punkt MOBILEN ACCOUNT ERSTELLEN Es erscheint das Dialogfenster aus Abbildung 6 4 Mit dem Klappmen SYNCHRONI SIEREN k nnen Sie einstellen ob Mac OS X sich grunds tzlich automatisch um die Synchronisation k mmern soll oder ob Sie als mobiler Benutzer die Synchronisati on immer manuell ausl sen m chten Mit dem Knopf JETZT SYNCHRONISIEREN wird der Abgleich der Datenbest nde sofort vorgenommen In der Datei bersicht in der Mitte des Fensters k nnen Sie ein und ausschalten welche Unterordner Ihres pri vaten Ordners abgegelichen werden sollen Hierzu k nnen Sie die Kn pfe zwischen dem Punkt ALLE und AUSGEW HLTE ORDNER umschalten und die entsprechenden Ordner ankreuzen Das H kchen STATUS IN DER MEN LEISTE ZEIGEN steuert ob das Men leistensymbol verwendet werden soll 6 1 ORTSUNGEBUNDENE BENUTZER 57 Fenster Hilfe Privat jetzt synchronisieren Einstellungen zur Synchronisierung von Privat Abbildung 6 3 Men leistensymbol f r mobile Dateisynchro
44. dann f r das betreffende Be nutzerkonto die Safari Kindersicherung eingeschaltet werden Versucht der eingeschr nkte Benutzer nun Internet Adressen von Dom nen aufzurufen f r die keine Lesezeichen vorhanden sind so erscheint eine Sperre wie in Ab bildung 6 14 Nat rlich wird auch die Lesezeichen Liste f r Ver nderungen gesperrt Dictionary Dieser Punkt kann nur an und ausgeschaltet werden Ist er ein geschaltet kann der Benutzer im englischen W rterbuch keine Begriffe mehr nachschlagen die nach Meinung des Herstellers Oxford University Press nicht f r Kinder geeignet sind 6 8 Verwaltete Einstellungen f r Benutzerkonten Die verwalteten Einstellungen die per Open Directory im ganzen Netz verteilt wer den k nnen weisen ebenfalls nderungen auf Der fr here Punkt ORTSUNGEBUN DENE ACCOUNTS wurde in MOBILIT T umbenannt und dessen neue Funktion zur Synchronisation privater mobiler Ordner hatten wir bereits beschrieben Neu sind auch die Punkte NETZWERK und SOFTWARE AKTUALISIERUNG Auf letzteren Punkt gehen wir in Kapitel 14 noch detaillierter ein 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 75 e0 ffnen der Seite fehlgeschlagen gA e http www abc com i _ Q Apple 20 v Amazon eBay Yahoo Newsv Safari wird durch eine Kindersicherung eingeschr nkt Safari kann die Seite http www abc com nicht ffnen da es in Ihrer Lesezeichenleiste kein Lesezeichen mit abc com gib
45. des Kerberos Bereichs Realm Name und der Distinguished Name des LDAP Suchpfades ergibt Diese Werte nach der Installati on noch zu ndern erfordert ganz erhebliche Systemkenntnisse und k nnte einige Probleme nach sich ziehen 18 KAPITEL 3 INSTALLATION EINES MAC OS X NETZES Stellen Sie daher unbedingt sicher dass ein DNS Server f r Ihr eigenes Netzwerk korrekt l uft und auch der DNS Domain Name f r Ihr privates Netz richtig und endg ltig eingerichtet ist Sollten Sie noch keinen eigenen DNS Server haben son dern soll der gerade zu installierende Mac OS X Server zum DNS Server werden so m ssen Sie die Installation in folgenden Schritten durchf hren 1 Stellen Sie bei der Installation die Konfiguration des prim ren Netzwerkan schlusses auf MaAnuELL und geben Sie IP Adresse und Domain Name von Hand ein Lassen Sie den Eintrag f r DNS SERVER zun chst weg 2 Stellen Sie sicher dass w hrend dieser Installation der Rechner noch nicht als Open Directory Master konfiguriert wird Dies w rde sonst dazu f hren dass der Rechner seinen Bonjour Namen f lschlicherweise als Basisname f r den LDAP Suchpfad und den Kerberos Bereichsnamen heranzieht Stellen Sie beim Konfigurationsschritt VERZEICHNISNUTZUNG Zun chst die Betriebsart E GENST NDIGER SERVER ein 3 Ist die Installation des Serverbetriebssystems beendet richten Sie als Erstes den DNS Dienst falls gew nscht zusammen mit dem DHCP Dienst ein wie in Kapitel 3 des Buch
46. ein wenn die Internet Bandbreite ausreicht Die bei Tiger mit gelieferte Antivirus Datenbank bleibt auf dem Stand von M rz 2005 falls Sie diese nicht aktualisieren sollten Entscheidend f r die Aktivit t des Virenscanners sind die Einstellungen die sich un terhalb von E MAIL NACH VIREN DURCHSUCHEN befinden Das Klappmen INFIZIERTE E MAILS WERDEN definiert die Aktion die der Scanner veranlassen soll falls in einer E Mail ein Virus oder ein hnliches Schadprogramm erkannt wurde e ABGELEHNT bewirkt dass die E Mail vom MTA erst gar nicht angenommen wird Der Absender erh lt eine entsprechend Nichtannahmenachricht e GEL SCHT entfernt die Sendung kommentarlos e ISOLIERT f hrt dazu dass die Mail an ein spezielles Postfach das Sie angeben m ssen weitergeleitet wird Der Virus wird hierbei nicht entfernt Der Benut zer der dieses Isolierungspostfach sp ter eventuell ffnet sollte also genau wissen was er tut 11 3 FILTERUNG VON E MAIL 155 v E Mail nach Viren durchsuchen Infizierte E Mails werden Abgelehnt ES _l Benachrichtigung an virus admin example com v Empf nger benachrichtigen v Datenbank f r Junk Mail und Viren 1 Mal am Tag aktualisieren Letztes Update Dienstag 11 Oktober 2005 12 34 Uhr Europe Berlin Abbildung 11 4 Der Virenscanner f r die Maildienste wird mit wenigen Handgrif fen aktiviert In den ersten beiden F llen kann auch eine andere E Mail Adresse mit BENACH RICHTIGU
47. einem Mac OS X Server ein geschaltet haben beginnt der betreffende Computer in regelm igen Abst nden 193 194 KAPITEL 14 FORTGESCHRITTENE NETZFUNKTIONEN durch Internet Anfragen bei Apple festzustellen welche Update Pakete zur Verf gung stehen Wenn neue Pakete entdeckt werden werden diese automatisch her unter geladen und auf dem Server zwischengespeichert Die Server Software selbst wird hierbei nicht aktualisiert Durch Verwendung der Verzeichnisdienstfunktion Verwaltete Einstellungen k nnen Sie bestimmte oder alle Computer in Ihrem loka len Netz dazu zwingen die Software Aktualisierungsfunktion von Mac OS X nicht mehr durch Anfragen bei Apple zu realisieren sondern die Anfragen auf Ihren ei genen Server umzuleiten Hierbei k nnen Sie zentral auf dem Server bestimmen welche Pakete den Klienten angeboten werden sollen Insbesondere l sst sich auch sperren dass die Clients bestimmte Pakete zu Gesicht bekommen Da Apples Ak tualisierungen oftmals Defekte enthalten und zu Kompatibilit tsproblemen f hren k nnen haben Sie damit die Chance die automatische Aktualisierung bestimmter Programme zu verhindern Sie k nnen die automatische Installation zentral ge steuert so lange verz gern bis Sie das Paket selbst getestet und als unbedenklich eingestuft haben Neben Updates im Zusammenhang mit Mac OS X sind auch alle anderen Software Produkte von Apple Teil des Aktualisierungsdienstes Updates von Drittanbietern werden b
48. gendeines Programms der betreffende Einstellungswert dieses Benutzers mit dem verwalteten Einstellungswert berschrieben Das ist im Prinzip der ganze Trick Auf diese Weise werden dem Benutzer die gew nschten Einstellungen vorgegeben In Wirklichkeit ist der Vorgang etwas komplizierter da Mac OS X die verwalteten Einstellungen in einem Zwischenspeicher Cache Dateien ablegt damit nicht bei jedem Anmeldevorgang ein aufw ndiger Abgleich ber Open Directory erforderlich ist Weiterhin ist Mac OS X auch in der Lage verwaltete Einstellungen zu sch tzen also zu verhindern dass der Benutzer die Einstellung w hrend der laufenden An meldesitzung ndert Diese Details spielen aber f r die weitere Betrachtung keine Rolle Die verwalteten Einstellungen sind nach dem gleichen Ablageprinzip wie die nor malen Einstellungen gespeichert Einziger Unterschied ist dass sie sich an einem speziellen Ablageort f r verwaltete Einstellungen befinden und die benannten Ein stellungswerte zus tzlich noch in die Kategorien e EINMAL nur beim ersten Anmeldevorgang berschreiben e H UFIG bei jedem Anmeldevorgang berschreiben aber w hrend der Benut zersitzung nderungen zulassen e IMMER bei jedem Anmeldevorgang berschreiben und die Einstellung f r den Benutzer sperren unterteilt sind Wie dies im einzelnen abl uft k nnen Sie sehen indem Sie im Arbeitsgruppen Manager bei den verwalteten Einstellungen die neue Rubrik DE TAILS ausw hl
49. hrungen in den letzten Abschnitten ist ersichtlich geworden dass ACLs Ihnen zwar wesentlich feiner abstimmbare M glichkeiten er ffnen Rechte f r Objekte zu erteilen jedoch gibt es so viele M glichkeiten dass dies zu einer komplexen Angelegenheit werden kann Es gibt 13 Zugriffsarten und 12 m gliche Vererbungskombinationen wodurch sich 213 12 98304 m gliche Einstellungen f r einen Zugriffssteuerungseintrag ergeben Dieser kann entweder als Erlaubnis oder Ablehnung definiert werden und sich auf eine beliebi ge im System vorhandene GUID beziehen Der Eintrag ist Teil einer Liste mit belie big vielen Eintr gen und es besteht die Freiheit jedes Dateisystemobjekt auf einem Volume mit unterschiedlichen Listen auszustatten Die Wartung all dieser Eintr ge kann leicht zu einem Albtraum werden wenn Sie es mit der Anwendung von ACLs bertreiben Wenn Sie keine Erfahrung mit ACLs haben kann es au erdem pas sieren dass Sie aus Versehen ein Zugriffsverbot f r eine Datei definieren das von keinem Benutzer mehr ge ndert werden kann Eine solche Datei l sst sich m gli cherweise nie mehr l schen es sei denn Sie formatieren das komplette Volume neu oder schalten die ACL Unterst tzung f r das Volume ab Aus diesen Gr nden sollten Sie ACLs nur mit u erster Zur ckhaltung einsetzen Folgende Ratschl ge sind sinnvoll 5 3 WICHTIGE HINWEISE ZUM EINSATZ VON ACLS 39 e Verwenden Sie ACLs nur dann wenn es unbedingt sein muss d h w
50. im Open Directory Verzeichnisdienst verbieten k nnen Wie in Abschnitt 5 3 4 des Hauptbuchs erl utert ist Open Directory in der Lage Kennwort Hashes auch f r fremde Netzwerkdienste in jedem Benutzerkonto abzulegen Je nach dem Verschl sselungsverfahren das f r die Speicherung der Hashes zum Einsatz kommt sind die unterschiedlichen Verfahren unterschiedlich sicher Indem Sie al le in Ihrer Netzumgebung nicht gebrauchten Speicherungsverfahren ausschlie en k nnen Sie die Sicherheit erh hen da ein Angreifer damit weniger M glichkeiten hat einen verschl sselten oder gar unverschl sselten Hash Code zu analysieren Dies w re im Fall einer Offline Attacke denkbar bei dem es einem Angreifer be reits gelungen sein sollte die physischen und logischen Schutzma nahmen eines Open Directory Servers oder LDAP Replikatsservers zu knacken und die Datei der Kennwortdatenbank auszulesen Apple bezeichnet in der deutschsprachigen Oberfl che von Mac OS X Tiger Kennwortpr fungsverfahren die Kennworte unverschl sselt ab legen als r ckf hrbare Identifizierungsmethoden Gemeint ist da mit dass die abgelegten Kennworte entweder gar nicht oder nur so schwach verschl sselt verschleiert sind dass ein Angreifer der es geschafft hat einen Datenbankeintrag zu stehlen aus den gespeicher ten Daten das Kennwort wieder r ckermitteln kann ohne alle M glich keiten durchprobieren zu m ssen Wenn Sie einzelne Identifi
51. immer drei Parteien f r die man Zugriffsprivilegien definieren kann Rechte f r den Eigent mer des Objekts Rechte f r eine Benutzergruppe und Rechte f r Jeden Der Begriff Jeder schlie t hier wirklich den komplet ten Rest der Welt ein also alle Personen die auf irgendeine Weise Zugriff auf den betreffenden Computer erlangen egal ob sie sich daf r identifizieren m ssen oder nicht F r jede Partei lassen sich Rechte f r die Operationen Lesen Schreiben und Ausf hren vergeben Mit Ausf hren ist bei Dateien das Starten eines Pro gramms das sich in dieser Datei befindet gemeint bei Ordnern das Auflisten des Ordnerinhalts 31 32 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Hinzu kommen eventuelle Sonderrechte wie die SUID SGID oder Sticky Mar kierungen die im Hauptbuch detailliert erl utert werden Zwar haben sich diese Unix POSIX Berechtigungen in den letzten 30 Jahren sehr gut bew hrt jedoch gibt es einige kleine Nachteile die man versucht mit den ACLs zu umgehen Hierzu geh rt beispielsweise das Problem das man in der Praxis F lle hat in denen man auch das Zugriffsrecht auf die Rechte selbst steuern m chte Dies ist mit der her k mmlichen Methode nicht m glich denn das Recht Zugriffsattribute ver ndern zu d rfen ist an das Schreibrecht auf den umschlie enden Ordner gekoppelt Eine feinere M glichkeit dies einstellen und abstimmen zu k nnen ist nicht m glich Ebenso ist in der Praxi
52. in den Sie die p12 Datei gespeichert haben Geben Sie dann den Befehl openssl pkcs12 in Mailzertifikat pl2 nocerts nodes out Mailschluessel pem ein Hierbei ist Mailzertifikat p1l2 durch den Namen der exportierten Datei und der Name Mailschluessel pem durch die gew nschte Bezeichnung der Zieldatei zu ersetzen Das Programm fragt nach dem Kennwort f r die p12 Datei und erstellt daraus eine neue Datei im pem Format Vergewissern Sie sich im Finder ob die Da teien im richtigen Ordner angekommen sind Da wir immer noch im root Account arbeiten liegen die Dateien standardm ig im Ordner var root Library Keychains 9 3 ARBEITEN MIT ZERTIFIKATEN 135 Falls Sie zur bung bereits das Spielzertifikat in Abschnitt 9 3 3 erstellt hatten und nun ein neues Zertifikat mit dem gleichen Allgemeinen Na men dem DNS Namen des jeweiligen Servers importieren wird Server Admin das neue Zertifikat nicht akzeptieren da ein Dokument mit ei nem solchen Namen bereits vorhanden ist In diesem Fall m ssen Sie das alte Zertifikat erst l schen und die nderung sichern bevor Sie den Import versuchen Sie d rfen solche nderungen auf keinen Fall durchf hren w hrend Clients mit dem Server verbunden sind da diese den Zugriff auf Open Directory verlieren w rden wenn sie zwar auf SSL konfiguriert sind aber vor bergehend kein g ltiges Zertifikat hinterlegt ist 1 Starten Sie das Programm Server Admin und w hlen Sie in der
53. in the Middle Angriffe blockieren Kerberos erforderlich Abbildung 9 3 Apple bezeichnet die vertrauensw rdige Bindung in Server Admin im Moment als Verzeichnisbindung Das erste H kchen erm glicht das zweite H k chen erzwingt die Authentifizierung von LDAP Klienten bei der allerersten Verbin dungsaufnahme 5 Um zus tzlich zu erzwingen dass neu eingerichtete Clients sich beim ersten Verbindungsaufbau durch Eingabe von Name und Kennwort des Verzeichnis dienstverwalters identifizieren m ssen kreuzen Sie den Punkt CLIENTS M S SEN SICH AN DAS VERZEICHNIS BINDEN an 6 Bet tigen Sie die Schaltfl che SICHERN Abbildung 9 3 zeigt die neuen Sicherheitsrichtlinien auf der Serverseite Auf der Sei te des Clients richten Sie zun chst wie bisher die Anbindung an den LDAP Server mit dem Programm Verzeichnisdienste ein siehe Abschnitt 9 3 1 des Hauptbuchs Geben Sie die IP Adresse des LDAP Servers ein so erscheint jedoch ein erweitertes Eingabefenster Abbildung 9 4 wenn Mac OS X erkennt dass der Server die ver trauensw rdige Bindung unterst tzt oder sogar erzwingt Geben Sie wie bereits besprochen den aktuellen Computernamen in korrekter Gro Kleinschreibung so wie Name und Kennwort des Verzeichnisdienstverwalters ein Sind die Daten kor rekt wird das Computerkonto auf dem Server entsprechend eingerichtet bzw erg nzt und die LDAP Verbindung aufgenommen 9 1 3 Weitere Sicherheitsmerkmale Neben der Identifizi
54. iota 192 168 1 10 kappa 192 168 1 11 lambda 192 168 1 12 my 192 168 1 13 ny 192 168 1 14 omikron 192 168 1 15 pi 192 168 1 16 rho 192 168 1 17 sigma 192 168 1 18 tau 00 03 93 11 ef 93 192 168 1 19 phi eale li bersicht Protokoll Clients Einstellungen Zur cksetzen Sichern bi Abbildung 4 5 Es k nnen beliebig viele statische Adressen f r den DHCP Server eingerichtet werden Achten Sie darauf dass die Eintragungen in der dritten Spalte eindeutig sind Kapitel 5 Das Berechtigungskonzept in Mac OS X 5 1 Die neue Technik Zugriffssteuerungslisten Mit den sogenannten Zugriffssteuerungslisten auf englisch Access Control Lists ACLs genannt f hrt Apple neben den klassischen POSIX Berechtigungen eine zu s tzliche Methode f r die Vergabe von Benutzerrechten ein Diese stellen eine Er g nzung der bisherigen Technik dar und lassen sich nicht nur auf Dateisystemob jekte wie Dateien und Ordner anwenden sondern sie k nnen auch f r bestimmte Netzwerkdienste eingesetzt werden Apple verwendet ACLs in einer Form die auch mit anderen Unix Systemen sowie mit allen neueren Windows Systemen Windows NT Windows XP Windows 2003 Server kompatibel ist Zur Erinnerung Die klassischen POSIX Berechtigungen ba sieren auf den folgenden Prinzipien e F r jedes Dateisystemobjekt Datei oder Ordner wird ber einen Satz von Attributen das Zugriffsrecht auf dieses Objekt definiert Es gibt
55. ndert werden Stellen Sie bei ADMINISTRATOR MA L die Mailadresse der Person ein die diesen DNS Server verwaltet 26 KAPITEL 4 EINRICHTEN DER NETZINFRASTRUKTUR Zone bearbeiten example private Zonenname example private Servername g 4server Vollst ndig qualifizierter Server Name Server IP Adresse 192 168 1 1 ka Nameserver g server example private Administrator Mail osxadmin example private Zone ist g ltig f r 24 Stunden bersicht Protokoll Einstellungen Zur cksetzen Sichern Abbildung 4 1 Einrichtung einer neuen Zone ber Server Admin 9 Geben Sie bei ZONE IST G LTIG F R die Standardlebensdauer bis zur n chsten Wiederauffrischung der Zonendaten ein Sie k nnen den Standardwert von 24 Stunden bernehmen 10 Bet tigen Sie die Schaltfl che SICHERN rechts unten im Fenster Abbildung 4 1 fasst noch einmal die eingetragenen Werte zusammen Durch diesen ersten Schritt richtet Mac OS X die Konfigurationsdatei etc named und die beiden Zonendateien f r Vor und R ckw rtsaufl sung unter var named ein in unserem Beispiel mit den Namen var named example private zone var named db 192 168 1 Als n chstes richten wir die institutionellen Allasnamen f r unseren Server ein und f llen die Beschreibungsfelder aus Gleichzeitig markieren wir den Server als Mail Server f r unsere Domain Server Admin erstellt f r uns automatisch die n tigen C
56. pkg Datei in einem zug nglichen Ord ner auf dem Server 1 Deaktivieren Sie das zu aktualisierende Image um zu verhindern dass Clients es w hrend der nachfolgenden Prozedur benutzen Melden Sie sich hierzu direkt auf dem NetBoot Server als Administrator an und stellen Sie sicher dass kein Client im Moment die NetBoot Funktion nutzt 2 Starten Sie Server Admin und w hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt NETBOOT aus 3 Gehen Sie in der rechten H lfte des Fensters zu EINSTELLUNGEN und w hlen Sie dort den Punkt IMAGES aus 13 3 4 IMAGE DATEIEN PFLEGEN UND ANPASSEN 191 W hlen Sie das Image aus das aktualisiert werden soll und entfernen Sie das H kchen AKTIV um es vor bergehend abzuschalten Dr cken Sie auf SICHERN rechts unten Starten Sie das System Image Dienstprogramm und w hlen in der Symbol leiste den Punkt IMAGES aus Es erscheint eine Liste der auf diesem Server vorhandenen Images W hlen Sie das zu aktualisierende Image aus und bet tigen Sie die Schaltfl che BEARBEITEN in der Symbolleiste Entscheiden Sie ob Sie eine Sicherungskopie des Images anlegen wollen Wir gehen hier davon aus dass Sie NEIN dr cken Falls Sie Ja ausw hlen wird vorher eine vollst ndige Kopie des nbi Ordners in einem von Ihnen gew hlten Zielordner erstellt Das Programm fragt nach dem Kennwort des Systemver walters Warten Sie bis die Meldung IMAGE BEREIT ZUR BEARBEITUNG links unten im
57. r erh hte Sicherheitsanforderungen ist es deshalb notwendig nicht nur das G l tigkeitsdatum eines aktuell vorgelegten Zertifikates zu pr fen sondern das Glei che auch f r alle Zertifikate der Vorinstanzen der Beglaubigungskette bis hin zur Root Zertifizierungs Instanz zu tun und hierbei auch auf zur ckgezogene Zertifika te zu pr fen Ob ein Zertifikat einer Vorinstanz offiziell als zur ckgezogen gilt kann durch eine Sicherheits berpr fung ber das Internet festgestellt werden Hierf r haben sich zwei Standards etabliert e OCSP OCSP ist die Abk rzung f r Online Certificate Status Protocol und bezeichnet die M glichkeit bei jedem einzelnen Zertifikat durch eine Abfrage im Internet herausfinden zu k nnen ob es eventuell zur ckgezogen wurde e CRL CRL bezeichnet die Certificate Revocation List und bezieht sich auf ei ne im Internet gewartete Gesamtliste die alle Zertifikate enth lt die jemals zur ckgezogen wurden Die Arbeitsweise von OCSP ist mit der eines DNS Servers vergleichbar Ein Client sendet eine kurze Anfrage an OCSP ob ein gegebenes Zertifikat g ltig ist und ein OCSP Server liefert eine simple R ckantwort mit den M glichkeiten g ltig ab gelaufen oder unbekannt CRL arbeitet dagegen hnlich wie ein Web Server von dem man ein Dokument herunterl dt Die Liste der zur ckgezogenen Zertifikate wird vom Client angefordert herunterkopiert und durch Durchsuchen der Liste kann der Client feststellen ob ein g
58. was sich insbesondere anbietet wenn ein VPN Server gleich mit mehreren Site to Site Netzen in Verbindung steht Au erdem setzen wir voraus dass auf beiden Servern bereits ein Firewall Dienst eingeschaltet ist und die Filterregeln an das je weilige Hausnetz und die in Betrieb befindlichen Dienste an beiden Standorten angepasst sind 200 KAPITEL 14 FORTGESCHRITTENE NETZFUNKTIONEN In der unten stehenden Anleitung werden einige Konfigurationsschrit te an der Firewall mithilfe der deutschen Oberfl che von Server Admin erkl rt Bis Redaktionsschluss wies jedoch die deutschsprachige Ober fl che von Tiger einen Fehler auf der die Einrichtung einer Filterregel f r Sonderprotokolle verhindert Dies betrifft die Schritte am Schluss bei denen Filterregeln f r die Protokolle esp und ipencap definiert wer den Das Textfeld zur Eingabe des Protokollnamens ist in der deutschen Version inaktiv geschaltet so dass Sie gar nichts eingeben k nnen Solange Apple diesen Fehler nicht behoben hat m ssen Sie Server Ad min f r die Ausf hrung dieser Schritte auf den Betrieb in englischer Sprache schalten Beenden Sie hierzu Server Admin starten Sie das Programm Systemeinstellungen ffnen Sie den Punkt LANDESEINSTEL LUNGEN und schieben Sie in der Tabelle SPRACHE mit der Maus den Eintrag ENGLISH an die oberste Position Starten Sie danach Server Ad min wieder Nach Abschluss der Konfigurationsarbeiten k nnen Sie die Sprachentabelle zur ck auf Norm
59. wird 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 77 Zur Speicherung der Einstellungen wird eine speziell eingeschr nkte Form von Mac OS X Property Lists also dem Standardformat von Mac OS X zur Speicherung von Eigenschaftslisten verwendet Eigenschaftslisten sind Datenstrukturen die aus einer Aufreihung von Werten bestehen wobei diese Werte entweder in einer be stimmten Sortierung oder mit zus tzlichen Schl sselnamen versehen gespeichert sind Als Werte sind Zahlen Texte Ja Nein Werte Bytefolgen oder beliebig ver schachtelte Folgen dieser Werte erlaubt Die entsprechenden Dateien tragen das Suffix plist wobei zwischen vollwertigen Property Lists und Einstellungsdateien im Suffix nicht unterschieden wird Der Dateiname vor der plist Endung muss bei Einstellungsdateien nach einem speziellen Prinzip aufgebaut sein das man als Glo bally Unique Naming weltweit eindeutige Benennung bezeichnet Hierbei verwen det man hnlich wie beim DNS Namensschema hierarchisch durch Punkte getrenn te Namensteile anders als bei DNS jedoch in der richtigen Reihenfolge von der obersten zu den unteren Hierarchieebenen von links nach rechts Apple schreibt vor dass zun chst der entsprechend umgedrehte DNS Dom nenname des Pro grammherstellers und danach eine hierarchisch gegliederte Beschreibung der Ein stellungen im Dateinamen genannt werden muss Dieses Benennungsverfahren ga rantiert dass jede Einstellungsdatei f r jedes Programm ein
60. 0 0 1600 1178 NSWindow Frame NSFindPanel String 879 808 578 200 0 0 1600 1178 NSWindow Frame NSFontPanel String 956 295 557 422 0 0 1600 1178 NSWindow Frame NSNavGotoPanel String 554 941 432 134 0 0 1600 1178 RichText Boolean No ShowRuler Boolean No 0 WebiconDatabaseDirectoryDefaultsKey String Library icons v Abbildung 6 17 Einstellungsdaten werden von Mac OS X vollautomatisch in Pro perty List Dateien abgelegt Die Vorgabe f r das Standardformat von TextEdit schl gt sich beispielsweise unter der Eigenschaft mit dem Namen Rich Text nie der Regel nirgendwo festgehalten welcher Name sich auf welche Einstellung bezieht aber mit etwas Sp rsinn und guten Englischkenntnissen l sst sich oft erraten was unter den einzelnen Namen abgespeichert ist Die von uns beschriebene Wahlm glichkeit f r die Betriebsart formatierter Text ist unter dem Namen Rich Text gespeichert Der Hinweis BOOLEAN in der zweiten Spalte Class gibt an dass es sich um einen Ja Nein Wert handelt In der dritten Spalte Vauue ist schlie lich der aktuelle Wert zu finden Er lautet in diesem Falle No wenn TextEdit neue Fenster nicht in der Betriebsart formatierter Text ffnen soll und Yes wenn dies der Fall ist Beachten Sie dass der Eintrag RICH TEXT auch komplett fehlen darf Das hat zur Folge dass das Programm keine vom Benutzer eingestellte Vorgabe sondern den vom Programmhersteller in das Programm ein gebauten Standardwert verwend
61. 09 30 2005 G ltig bis 06 09 2019 Weitere Infos 0 C Zur ck Fortfahren Abbildung 9 13 Das Zertifikat f r die eigene Root Zertifizierungs Instanz wird aus gef llt Schl sselbunde amp Anmeldung amp Privatzertifikate amp System F f Beispielfirma GmbH Root Zertifizierungs Instanz amp X509Anchors Root Zertifizierungs Instanz G ltig bis Sonntag 9 Juni 2019 19 23 Uhr Europe Berlin Dieses Zertifikat ist g ltig Ge ndert Schl sselbund amp Beispielfirma GmbH Root Zertifizierungs Instz Zertifikat E beTRuSTed Root CAs Zertifikat X509Anchors Abbildung 9 14 Das Schl sselbund Programm best tigt dass wir nun ein g ltiges Zertifikat haben das uns selbst als Root Zertifizierungs Instanz ausweist 9 3 ARBEITEN MIT ZERTIFIKATEN 133 en Der Zertifikatsassistent hat einen Programmierfehler in der Benutzer oberfl che Sobald Sie das Fenster geschlossen haben bekommen Sie kein neues mehr auf Sie m ssen das Assistentenprogramm be enden und es dann entweder ber den Schl sselbund oder ber System Library CoreServices Certificate Assistent app neu star ten 1 Sie m ssen immer noch als root angemeldet sein ffnen Sie den Zertifikats assistenten erneut und w hlen Sie im zweiten Dialogfenster OPTIONEN den Punkt EIN EIGENES ZERTIFIKAT ERSTELLEN aus 2 F llen Sie wie
62. 2 EINRICHTUNG DES MAIL SERVERS 147 Allgemein Weiterleitung Filter Kontingente Listen Protokoll Erweitert Sicherheit Hosting Datenbank Pfad zur Datenbank var imap zu Pfad zum Mail Speicher var spool imap Zus tzliche Mail Name der Partition Speicherort der Partition Speicher Unterschiedliche Postf cher k nnen in unterschiedlichen Teilen des Dateisystems gesichert werden Ordnen Sie mit dem Arbeitsgruppen Manager Partitionsnamen f r einzelne Benutzer zu bersicht Protokolle Verbindungen Wartung Einstellungen Abbildung 11 2 Die Speicherorte f r die Mail Datenbank und die IMAP Postf cher lassen sich in Mac OS X 10 4 ber die grafische Oberfl che von Server Admin kon figurieren Die Ablage der Postf cher kann hierbei dynamisch auf mehrere Platten verteilt werden vergeben sie m ssen jedoch eindeutig sein Sie sollten die Speicherorte angeben bevor Sie einen neuen Mailserver in Betrieb nehmen Sind die Maildienste bereits in Benutzung m s sen Sie diese stoppen die neuen Speicherorte vorgeben und hierbei die Daten von Hand unter Beibehaltung aller Berechtigungen an den neuen Ort verschieben Diese Aufgabe wird nicht automatisch f r Sie erledigt Wenn Sie nur einen neuen Speicherort angeben so erstellt das Mailsystem einen komplett neuen leeren Arbeitsbereich am ange gebenen Ort Der alte wird beibehalten aber nicht mehr benutzt Das Hinzuf gen v
63. 2 6 Verbesserte Benutzeroberfl che auf dem Server 2 2 2 2 7 Eingeschr nkte Features von Mac OS X 10 A 2 2 2 2 2 7 1 Aktualisierung eines Panther Servers 2 22 22 2 2 7 2 Einrichten der Netzinfrastruktur 2 2222 2 7 3 Arbeiten mit verwalteten Einstellungen 2 7 4 Unterst tzung klassischer Mac OS Systeme 2 7 5 Arbeiten mit einem zentralen Netzwerkordner f r Schriftarten 2 7 6 Anbindung an NIS Verzeichnisdienste 2 2 2 7 7 Drucken im Netz 2 2 oo 2 7 8 Faxempfangsserver und Faxempfang auf Clients 2 7 9 Automatische Proxy Konfiguration auf Clients 2 7 10 Verwendung von squid 2 2 2 nn nn 2 7 11 Verwendung der NetBoot Funktionen 2 2 3 Installation eines Mac OS X Netzes 3 1 Installationsplanung Km nn 3 2 Einsatz von AppleTalk 2 nun 13 3 3 3 4 INHALTSVERZEICHNIS Fernverwaltung eines Tiger Servers 2222 une Ablauf der Server Installation 22 2 22mm nn Einrichten der Netzinfrastruktur 4 1 Ber DNS Dienst 3 Hamm He a nein 4 1 1 Neuerungen im weltweiten DNS Betrieb 2 2 2 4 1 2 Einrichtung eines DNS Servers 22222 n nn 4 1 3 Einrichtung eines DHCP Servers 2 222 Das Berechtigungskonzept in Mac OS X 5 1 5 2 5 3 5 4 Die neue Technik Zugriffssteuerungslisten 2 22222000 AGES im Detall 4 44 3 2 men ea 5 2 1 GUIDs und ihre Anwendung 2 2 2 2 22 nn 5 2 2 Z
64. 4 Bestandteil des Pakets Kopieren Sie die Software auf ein Tiger System das als Proxy Server dienen soll und starten Sie als Administrator durch Doppelklick auf dgcomplete pkg die Installation Es reicht aus wenn Sie eine EINFACHE IN STALLATION ausw hlen Als Zielordner sollten Sie den Programmeordner oder einen Unterordner davon ausw hlen Nach Abschluss der Installation finden Sie ein Programm DG Console im Zielordner Es handelt sich um eine f r Mac OS X entwickelte grafische Benutzeroberfl che um DansGuardian und Squid zu konfigurieren ohne dass Sie die Kommandozeile be m hen m ssen Das Programm ist sogar zu gro en Teilen ins Deutsche bersetzt Die im Hauptbuch beschriebenen technischen Kenntnisse ber die Funktionsweise und Konfiguration der beiden Programme sind allerdings trotzdem unabdingbar Da das Programm sowohl von der Gestaltung als auch von der Benutzerf hrung nicht besonders Mac like ist und auch die handprogrammierte Frage nach dem Administrationskennwort unter sicherheitstechnischen Aspekten nicht besonders berzeugt werden wir das Programm im Folgenden allerdings nicht beschreiben sondern wie bisher zur Arbeit direkt an den Konfigurationsdateien raten Besten falls zum Starten und Stoppen der Dienste l sst sich die DG Console brauchbar einsetzen Die eigentlichen Hintergrundprogramme die die Arbeit erledigen befinden sich nicht mehr wie fr her unter usr local sondern nun unter opt squid opt dan
65. 63 6 3 Der neue Kennwortassistent Mac OS X Tiger enth lt eine neue Funktion mit der Sie beim ndern Ihres Kenn worts die Sicherheit des Kennworts neutral berpr fen lassen k nnen Ebenso k n nen Sie sich ein neues Kennwort nach ausw hlbaren Sicherheitskriterien vom Sy stem erzeugen lassen Diese neuen Funktionen werden ber den Kennwortassi stenten angeboten Er steht immer dann zur Verf gung wenn neben einem Feld zur Kennwortvergabe ein kleines Schl sselsymbol angezeigt wird Abbildung 6 8 Es erscheint ein Dialogfenster zur Vergabe oder Beurteilung von Kennworten Mit dem Klappmen ART stellen Sie ein wie Sie ein neues Kennwort anlegen m ch ten Manuell Sie geben das neue Kennwort selbst ein und der Assistent beur teilt wie sicher das Kennwort ist Ein Wort das zu kurz ist oder in einem W rterbuch nachgeschlagen werden kann ist zum Beispiel sehr unsicher da automatisierte Kennwortknackprogramme solche Worte in wenigen Minuten erraten k nnen Einpr gsam Bei Auswahl dieser Betriebsart werden Ihnen mehrere Kennwor te vorgeschlagen die teilweise aus normalen Worten bestehen und sich daher gut einpr gen lassen Das Kennwort wird nach dem Prinzip Wort 1 Ziffernfolge Sonderzeichen Wort 2 in einer vorgegebenen L nge zusam mengesetzt Buchstaben und Ziffern Zuf llige Folgen von Gro buchstaben Kleinbuch staben und Ziffern werden zu Kennwortvorschl gen zusammengesetzt Nur Ziffern Zuf llig
66. AM Filters 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem Ser ver der als Mailserver arbeitet 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt Mall aus 3 Klicken Sie bei den Schaltfl chen auf der rechten Seite unten den Punkt EIN STELLUNGEN an und gehen Sie zur Rubrik FILTER 4 Schalten Sie den Werbefilter ein indem Sie den Punkt E MAIL NACH UNAUF GEFORDERTER MAIL DURCHSUCHEN ankreuzen Es stehen sechs weitere Einstel lungen zur Verf gung die im Nachfolgenden beschrieben werden Die Auswahl MINIMUM F R JuUnK MAIL steuert nach welcher Gewichtung der Fil ter den Entschluss fasst ob es sich um eine unerw nschte Sendung handelt oder nicht Der Bayes Filter berechnet intern aus jeder E Mail eine Bewertungszahl Ist die Zahl hoch handelt es sich aller Wahrscheinlichkeit nach um SPAM ist sie nied rig dann eher nicht Der mit dem Schieberegler einstellbare Trefferwert erlaubt Ihnen die Schwelle einzustellen nach der eine Postsendung als SPAM kategorisiert wird Beachten Sie dass bei Verwendung eines niedrigen Wertes zwar sehr vie le Sendungen als SPAM eingestuft werden gleichzeitig aber die Gefahr ansteigt dass zul ssige Mails versehentlich als unerw nscht erkannt werden Kein SPAM Filter kann die E Mails wirklich verstehen bei der Filterbewertung han delt es sich ja um rein statistische Auswertungen von Worth ufigkeiten Es zeigt sich in der Praxis dass die Filterung nicht gut f
67. AP verwenden d rfen werden die eingehenden E Mails dauerhaft auf dem Server gespeichert bis sie vom jeweiligen Empf nger gel scht werden nicht im Mail Programm und damit nicht im Privat ordner des Benutzers In diesem Fall kann es leicht passieren dass die Nutzer zu viel Speicherplatz auf dem Mailserver verbrauchen daher sollten Sie den Mailspei cher entsprechend kontingentieren siehe Abschnitt 5 7 2 des Hauptbuchs Auf der neuen Karteikarte KONTINGENTE der Maileinstellungen k nnen Sie hierzu weitere Anpassungen vornehmen Der Punkt EINGEHENDE NACHRICHTEN GR SSER X MB ABLEHNEN erlaubt die Einstel lung der maximalen E Mail Gr e inklusive kodiertem Anhang die ein Benutzer empfangen darf Ist die E Mail gr er wird sie schon beim Eingang auf dem MTA abgeblockt und der Absender mit einer Warnmeldung hier ber informiert Hat ein Benutzer zu viel E Mail in seinem Server Postfach so kann das komplette Benutzerkonto mit dem Punkt EINGEHENDE MAIL F R BENUTZER BEI KONTINGENT BERSCHREITUNG DEAKTIVIEREN vom Empfang von E Mail ausgeschlossen werden Sollte dieser Fall eintreffen wird nat rlich auch hierbei der Absender durch ei ne entsprechende Warnmeldung informiert Auch der Benutzer selbst kann ber t gliche Warnmeldungen dar ber in Kenntnis gesetzt werden wenn er sich mit dem Mail Speicherplatz dem kritischen Bereich n hert Hierzu ist die Option Kon TINGENTWARNUNGEN AKTIVIEREN anzukreuzen Die gew nschte Warnmeldung die
68. AUTOM PROXY KONFI GURATION verwendet wird st rzt Safari regelm ig nach kurzer Benutzungszeit ab 157 158 KAPITEL 12 WEB DIENSTE TCP IP PPPoE AppleTalk Proxies Ethernet Proxies konfigurieren PAC Datei verwenden H URL der PAC Datei http www example private proxy pac Datei ausw hlen M Passiven FTP Modus PASV verwenden Abbildung 12 1 Die Einstellm glichkeiten zur automatischen Proxy Konfiguration wurden in Tiger berarbeitet und noch einfacher gestaltet Eigentlich eine gute Sache doch f hrt die Verwendung von PAC Dateien zu einem sehr instabilen Be trieb von Safari Das Umstellen auf manuelle Konfiguration behebt das Problem bis Apple eine funktionsf hige L sung bietet was die Verwendung von PAC Dateien in der Praxis verbietet Bis Apple den Fehler behebt ist deshalb zur manuellen Konfiguration von Proxy Servern zu raten Dies funktioniert einwandfrei Hinweise zur Geschwindigkeitsoptimierung auf den Clients In Kapitel 12 2 3 des Hauptbuchs werden zwei m gliche Musterl sungen f r PAC Dateien zur automatischen Konfiguration eines HTTP Proxy Servers vorgestellt Die in Listing 12 2 wiedergegebene L sung ist zwar wesentlich eleganter programmiert und entspricht auch den Vorschl gen die von Netscape dem urspr nglichen Erfinder der PAC Konfiguration gegeben werden stellt aber nicht die schnell ste L sung dar Leider gibt es viele Browser und Betriebssysteme
69. Blog Autor selbst fest indem er den Punkt EINSTELLUNGEN in der rechten Leiste anklickt Es erscheint ein Dialogfenster wie in Abbildung 12 9 Neben Titel Untertitel und Stil des Weblogs sowie Name und Mail Adresse des Eigent mers steht die Tabelle LESER zur Verf gung mit der die Zugriffsberechtigung gesteuert wird Normalerweise ist die Tabelle leer was bewirkt dass keinerlei Zugriffsbeschr nkungen bestehen sondern alle Personen die auf den Webserver zugreifen das Blog einsehen und kommentieren k nnen Durch Eintippen von Kurznamen von Benutzern oder Gruppen wird dagegen ei ne Zugriffsbeschr nkung eingerichtet und nur noch die aufgef hrten Teilnehmer 12 4 INSTANT MESSAGING MIT DEM ICHAT SERVER 171 Weblog Einstellungen Weblog Name Hans Schmitz s Weblog Weblog Beschreibung Created with Mac OS X Server Eigent mer Name Hans Schmitz Eigent mer E Mail hans example private Thema Blau Leser Lassen Sie dieses Feld leer damit jeder der auf den Weblog Dienst zugreifen kann Ihr Weblog lesen kann Um nur bestimmten Benutzern und Gruppen Zugriff zu gew hren geben Sie die Kurznamen jeweils einen pro Zeile ein Abbrechen Sichern Abbildung 12 9 Die Einstellungen f r jedes Weblog werden vom Autor selbst vor genommen Eine Zugriffsbeschr nkung kann auf Wunsch durch Ausf llen der Ta belle LESER eingerichtet werden k nnen das jeweilige Weblog aufrufen Neben der P
70. Computer als Administrator an und stellen Sie dem Client z B per File Server Datentr ger oder E Mail die erstellte cer Datei zur Verf gung 2 Doppelklicken Sie die cer Datei im Finder 3 Es ffnet sich das Schl sselbund Programm Best tigen Sie dass die Datei im portiert werden soll und w hlen Sie als Ziel den Schl sselbund X509AncHoRS aus Abbildung 9 15 Nun lassen sich auf diesem Computer alle Zertifikate die auf dem Server ausgestellt und mit dem Root Zertifikat signiert wurden ohne Probleme und Warnmeldungen nutzen Sie k nnen beispielsweise das Programm Mail so umstellen dass Ihr Mail Account jetzt die elektronische Post per SSL vom Server abruft Die Einstellungen sind in Mail unter MAIL EINSTELLUNGEN ACCOUNTS ERWEITERT SSL VERWEN DEN zu finden H tten wir das Root CA Zertifikat nicht auf dem Client hinterlegt w re beim Abrufen der E Mail die Meldung aus Abbildung 9 16 erschienen 9 3 ARBEITEN MIT ZERTIFIKATEN 137 r 0900o Zertifikate hinzuf gen Certifeate Kernen Zertifikate anzeigen Abbrechen u M chten Sie die Zertifikate der Datei Beispielfirma GmbH Root Zertifizierungs Instanz cer zum Schl sselbund hinzuf gen Schl sselbund X509Anchors Abbildung 9 15 Auf den Client Computern kann das private Zertifikat der selbst erzeugten Root Zertifizierungs Instanz per Mausklick bekannt gemacht werden Der SSL Server g4server example p
71. DAP Rohdaten k nnen Sie au erdem alle Objekte der Klasse Computers berpr fen Enthal ten die Objekte das Attribut AuthenticationAuthority OD Name dsAttrType Native authAuthority so handelt es sich um vertrauensw rdig gebundene Client Computer Um die vertrauensw rdige Bindung auf dem Server m glich zu machen oder f r neu hinzukommende Clients zu erzwingen f hren Sie die folgenden Schritte durch 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem Ser ver der f r diese Verzeichnisdienstdom ne als Open Directory Master arbei tet W hlen Sie in der Tabelle CoMPUTER amp DIENSTE den Punkt OPEN DIRECTORY aus Klicken Sie im unteren Bereich des Fensters auf die Schaltfl che EINSTELLUN GEN im oberen Bereich auf RicHTLINIEN dort auf den Unterpunkt BINDUNG Um m glich zu machen dass der Server Anfragen von Clients beantwortet sich per Authentifizierung diesem LDAP Server zuzuordnen sorgen Sie daf r dass der Punkt VERZEICHNISBINDUNG AKTIVIEREN angekreuzt ist 9 1 LDAP IN MAC OS X SERVER NUTZEN 117 Allgemein Protokolle Richtlinien ini Kennw rter Bindung Sicherheit Verzeichnisbindung M Verzeichnisbindung aktivieren v Clients m ssen sich an das Verzeichnis binden Sicherheit l Klartext Kennw rter deaktivieren Alle Pakete digital signieren Kerberos erforderlich l Alle Pakete verschl sseln SSL oder Kerberos erforderlich _ Man
72. DAP Schema kann zwischen ver schiedenen LDAP Servern repliziert werden Synchronisation privater Ordner f r ortsungebundene Benutzer Mit gewissen Einschr nkungen unterst tzt Tiger Server nun den automatischen Abgleich des privaten Ordners mobiler Benutzer Ausgew hlte Inhalte k nnen zwi schen der Platte eines portablen Computers und einem zentralen Ordner ei nes Dateiservers in beide Richtungen synchronisiert werden Verwaltete Ansicht des Netzwerkordners Die Pr sentation der Daten ber das Symbol Netzwerk des Finders l sst sich nun zentral ber einen Verzeichnis dienst konfigurieren Definition von Einstellungsmanifesten f r Drittanbieterprogramme Wenn Sie die Funktionen der verwalteten Benutzerkonten verwenden k nnen nicht nur Vorgaben f r Einstellungen von Mac OS X gemacht werden es lassen sich nun beliebige Einstellungen auch anderer Programme zentral vorgeben Vereinheitlichte Dateisperren Wenn Sie auf einem Dateiserver sowohl das AFP als auch das CIFS SMB Protokoll zum Sharing im heterogenen Netzwerk nut zen werden Dateisperren Locks jetzt auch ber Protokollgrenzen hinweg vom Server beachtet Wenn z B ein Macintosh Benutzer und ein Windows Benutzer gleichzeitig auf die gleiche Datei des Servers zugreifen wird einer der Zugriffe jetzt sauber gesperrt so dass die Datei nicht durch gleichzeitigen Zugriff besch digt werden kann Betrieb als Backup Dom nencontroller Beim Betrieb in einem Netz mit Windows N
73. Dantz f r Ende 2005 die Unterst tzung der ACLs von Tiger ange k ndigt Voraussichtlich wird im Laufe des Oktobers die Version 6 1 lieferbar sein die ACLs unterst tzen soll Pr fen Sie bei der Verwendung anderer Sicherungspro gramme ob oder wann der jeweilige Hersteller ACLs unterst tzen wird 52 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Kapitel 6 Benutzer Gruppen und Computer 6 1 Ortsungebundene Benutzer 6 1 1 Neue Funktionen Apple hat das Funktionsmerkmal zur Unterst tzung ortsungebundener Konten wei ter ausgebaut Die Hauptneuerung ist dass nicht nur die reinen Kontodaten eines Benutzers zwischen einem mobilen Computer und einem Server automatisch abge glichen werden es l sst sich nun auch steuern dass die Dateien dieses Benutzers zwischen der Festplatte des Mobilcomputers und einem zentralen Netzwerkordner synchronisiert werden Dies erm glicht es dem Benutzer eines Notebooks wenn er gerade im Hause ist seinen privaten Ordner zentral auf dem Fileserver zu halten aber wenn er gerade unterwegs ist und keine Verbindung zum Netz hat mit einer Kopie seiner aktuel len Daten auf der Festplatte des Notebooks zu arbeiten Kehrt der Benutzer sp ter wieder zur ck werden die unterwegs gemachten nderungen wieder mit seinem Privatordner auf dem Fileserver abgeglichen Die Steuerung dieser neuen Funktion ist ber zus tzliche verwaltete Einstellungen m glich die an ein Benutzerkonto oder andere Ko
74. Datei Ordnername Computer Benutzer hans Tats chlicher Zugriff _ Verwaltung _ Zugriffsrechte ndern Eigent mer ndern vV Lesen V Attribute lesen vV Erweiterte Attribute lesen A Ordnerinhalt auflisten Daten lesen V Ordner durchqueren Datei ausf hren A Zugriffsrechte lesen _ Schreiben _ Attribute schreiben _ Erweiterte Attribute schreiben _ Dateien erstellen Daten schreiben _ Ordner erstellen Daten anh ngen _ L schen l Unterordner und Dateien l schen Abbildung 5 5 Welche Rechte tats chlich auf einem Dateisystemobjekt wirksam werden kann man sich f r jeden Benutzeraccount in diesem Fenster berechnen lassen 5 4 ARBEITEN MIT ACLS 45 ges Dateisystemobjekt und f r ein beliebiges Benutzerkonto die aktuelle Zugriffs berechtigung von Mac OS X ausrechnen lassen Verwenden Sie hierzu den Punkt DETAILANSICHT F R TATS CHLICHE ZUGRIFFSRECHTE ANZEIGEN im Zahnrad Men nach dem Sie ein Objekt im Dateisystem ausgew hlt haben Es erscheint ein Fenster wie in Abbildung 5 5 Ziehen Sie nun einen Benutzereintrag aus dem Schubfach ber das Feld BENUTZER so wird die effektive Berechtigung ausgewertet und das Ergeb nis durch H kchen bei den entsprechenden Optionsfeldern angezeigt Falls Sie mit Zugriffssteuerungslisten auf einem Datentr ger arbeiten m chten der nachtr glich hinzugef gt wurde beispielsweise bei einer Wechselplatte oder einem extern angesch
75. E einen kurzen Text ein der als berschrift dienen soll und bet tigen Sie die Schaltfl che ANWENDEN Auch f r ein Miniaturbild das als statische Vorschau auf dieser Webseite erscheint solange das Video noch nicht l uft l sst sich sorgen Sie k nnen es im QTSS Publis her unter MINIATUR W HLEN nach Ihren W nschen angeben Tun Sie dies nicht generiert der Publisher automatisch f r Sie eine PNG Datei indem das erste Bild des Videos verwendet wird Dr cken Sie nun in der Symbolleiste die Schaltfl che NEUE WEB SEITE Geben Sie im erscheinenden Dialogfenster bei NAME eine berschrift f r die Seite ein Unter URL NAME ist der Dateiname f r das zu erstellende HTML Dokument anzugeben Dr cken Sie nun auf ERSTELLEN erscheint in der linken Tabelle unter dem einge gebenen Namen ein neuer Punkt markiert mit dem Mac OS X Symbol f r einen Weblink Gleichzeitig wurde im Hintergrund bereits ein HTML Dokument in den folgenden Ordner Ihres Web Servers gelegt Library WebServer Documents qtmedia W hlen Sie nun das neue Symbol in der Tabelle QuELLE an Die Anzeige des Pub 182 KAPITEL 12 WEB DIENSTE v Speicherort der Webseite http 192 168 72 40 gtmedia G5Werbeaktion html ffnen KALLEING TANTE TI A Name Datenrate Zeit Dateipfad 1 lal G5 Werbeaktion 201 58 KB s 6 33 G5 Werbeaktion ES D v Einstellungen der Webseite Vorlage Contemporary Contem y sample template for QTSS Publisher Beschreibung Dies ist
76. F aus 5 Entfernen Sie das H kchen bei GLEICHER ZUGRIFF F R ALLE DIENSTE 6 W hlen Sie in der linken Tabelle einen Dienst aus f r den Sie eine SACL ein richten m chten 7 Schalten Sie die Auswahl ber der rechten Tabelle auf den Knopf Nur BENUT ZER UND GRUPPEN UNTEN um 5 4 ARBEITEN MIT ACLS 47 N 9 auch a zuf gen Server entfernen Trennen Aktualisieren Neues Fenster Zur Auswahl hierher bewegen n Allgemein Netzwerk Datum amp Uhrzeit Zertifikate Zugriff Bene o A Gruppenname O Alle Benutzer und Gruppen zulassen i employee C Gleicher Zugriff f r alle Dienste Nur Benutzer und Gruppen unten ih netboot Dienst Name h osxadmin AFP 2 Administrator Server Anmeldefenster MM employee FTP A iChat Mail SSH VPN Web Weblog Windows Xgrid AI Zugriff auf den Dienst ist beschr nkt Anzahl der Eintr ge 3 bersicht Protokolle System Graphen SW Aktualisieruni g Einstell Zur cksetzen Sichern Abbildung 5 7 In Tiger k nnen auch bestimmten Netzwerkdiensten Zugriffssteue rungslisten sogenannte SACLs zugewiesen werden 8 Nutzen Sie die Plus Schaltfl che unter der Tabelle um ber das erscheinende Schubfach Benutzer oder Gruppen in die Tabelle Name zu ziehen Hiermit wird das entsprechende Zugriffsrecht auf den Dienst erteilt Ein Eintrag kann mit der Minus Schaltfl che wieder entfernt werden 5 4 4 ACLs auf der Kommandozeile Die be
77. Je nach Geschwindigkeit Ihrer Internet Leitung wird dies mehrere Minuten oder Stun den ben tigen Sie k nnen die T tigkeit des Dienstes beobachten indem Sie den Punkt PROTO KoLL ausw hlen Die Liste der einzelnen Pakete k nnen Sie einsehen wenn Sie bei EINSTELLUNGEN auf die Karteikarte UPDATES wechseln Abbildung 14 2 Wichtig ist hier die Einstellung in der Spalte AxKT v die f r jedes Paket entscheidet ob die Klienten in Ihrem Netz das Paket sehen und herunter laden d rfen Sie k nnen eine sofortige Synchronisation der Pakete zwischen diesem Server und Apples Ser ver erzwingen indem Sie die Schaltfl che JETZT SUCHEN bet tigen Die Uhrzeit des letzten Suchvorgangs wird unter der Tabelle hinter LETZTE PR FUNG angezeigt Wenn Sie sehen dass Ihr Server alle Pakete komplett gespiegelt hat und damit auf dem aktuellen Stand ist k nnen Sie die Clients anweisen Ihren Hausserver als offiziellen Update Server zu verwenden Hierzu richten Sie eine entsprechende verwaltete Einstellung ein die Sie an die betreffenden Netzwerkkonten binden Es bietet sich an hierf r ein Computerlistenkonto zu verwenden das alle Clients einschlie t 14 1 DER NEUE SOFTWARE AKTUALISIERUNGSDIENST 197 Allgemein Updates Qr Er Gespiegelt Aktiv Name Version Gr e f as w Backup 3 0 4 8 MB T M M iPod Updater 2005 09 23 32 8 MB security Update 2005 008 1 0 4 5 MB M v Logic Express Update 71 1 6 5 MB l Logic Pro Up
78. KONZEPT IN MAC OS X Hierzu gibt es z B im Arbeitsgruppen Manager die Ansicht TATS CHLICHE ZU GRIFFSRECHTE Das Arbeiten mit ACLs wird im nachfolgenden Abschnitt noch genauer erl utert Sch tzen Sie nicht nur Ihre Datendateien sondern auch alle installierten Pro gramme Um den einwandfreien Betrieb zu garantieren ist es sinnvoll nur der Personengruppe die Programme installieren darf Schreibrecht auf die Programme zu geben Dies bewahrt Sie vor absichtlicher oder unabsichtli cher Besch digung der Programme z B durch Bedienungsfehler unzufriede ne Mitarbeiter unkooperative Sch ler oder Studierende trojanische Pferde und Computerviren Der Schutz wird weiter erh ht wenn getrennte Benut zerkonten f r die Installation von Programmen und die normale Nutzung des Computers verwendet werden Im Normalfall ist dann kein Benutzer am Sy stem angemeldet der Programme ndern k nnte 5 4 Arbeiten mit ACLs 5 4 1 ACLs in der grafischen Oberfl che Das Arbeiten mit ACLs auf der grafischen Oberfl che von Mac OS X steht nur in der Serverversion des Betriebssystems zur Verf gung da hierzu das Programm Arbeitsgruppen Manager verwendet werden muss In der Standardversion m ssen Sie entweder die Kommandozeile oder Programme von Drittanbietern einsetzen Wir erl utern das Anlegen eines ACEs an folgendem Beispiel Starten Sie den Arbeitsgruppen Manager und verbinden Sie sich mit dem gew nschten Server W hlen Sie in der Sym
79. Klicken Sie auf die Schaltfl che ANWENDEN rechts unten und warten Sie bis ein Sendesymbol links neben dem Filmeintrag in der oberen Tabelle erscheint Dies kann mehrere Minuten dauern 5 Klicken Sie in der Symbolleiste auf NEUE WEB SEITE 6 Geben Sie wie schon bekannt NAME und URL NAME f r die neue Webseite ein Sie d rfen keinen Namen einer bereits bestehenden Seite verwenden da diese sonst ohne Warnung berschrieben wird 7 Ziehen Sie das Symbol des Films aus der Tabelle ber das Symbol der neuen Web Seite in der Spalte QUELLE 184 KAPITEL 12 WEB DIENSTE 8 Klicken Sie das Symbol der neuen Web Seite in der Spalte QUELLE an 9 Geben Sie auf der rechten Seite einen Text in das K stchen BESCHREIBUNG ein und stellen Sie den Punkt VORLAGE auf MODERN um 10 Dr cken Sie die Schaltfl che ANWENDEN rechts unten 11 Klicken Sie auf den Knopf FFNEN rechts oben Die Web Seite wird generiert und in Ihrem Standardbrowser angezeigt Sie k nnen zur bung den Vorgang mit der zweiten Datei wiederholen Kapitel 13 Fernstart die NetBoot Funktion Am Grundprinzip des NetBoot Verfahrens hat sich auch in Tiger nichts ge ndert Sie sollten allerdings darauf achten mindestens 10 4 2 Server besser eine h he re Version auf dem NetBoot Server einzusetzen da es in den ersten Fassungen gr ere Fehler bis hin zum Totalausfall von NetBoot gab 13 1 nderungen in Server Admin Bez glich der Verwaltung von NetBoot im Server
80. LDAP Browser ist vorsichtig und fragt an ob er einem nicht beglaubigten Zertifikat trauen soll Schulen ein teurer Luxus Und der Einsatz von selbst signierten Zertifikaten kann zu unerw nschten Warnmeldungen in Programmen f hren wie wir oben gezeigt haben Auch hierf r gibt es eine kosteng nstige L sung die in Mac OS X 10 4 mit wenigen Schritten eingerichtet werden kann Sie erstellen ein selbst signiertes Zertifikat das Sie selbst als Zertifizierungsstelle ausweist und weisen alle Rechner in Ihrem Haus netz an dieses Zertifikat als g ltige Root Zertifizierungs Instanz Root CA anzuer kennen In den Augen Ihrer eigenen Computer werden Sie damit zu einem g ltigen Zertifikatsaussteller Zwar sind Sie nicht wirklich offiziell beglaubigt aber Sie k n nen Ihr eigenes Netz dazu bringen dem Zertifikat trotzdem zu trauen indem Sie das Zertifikat in die Liste der X509Anchors einf gen Auf Basis dieses Prim rzer tifikats k nnen Sie dann selbst beliebig viele weitere Zertifikate zur Verwendung in Ihrem Haus f r den LDAP Server den Intranet Webserver den SMTP Server den POP IMAP Server etc erzeugen Die Klienten trauen diesen Zertifikaten dann automatisch und ohne weitere Warnung denn es ist ja eine g ltige Beglaubigungs instanz bekannt Es sei noch einmal darauf hingewiesen dass alle diese Zertifikate nur f r den pri vaten Einsatz geeignet sind Sobald mit diesen Zertifikaten signierte Daten nach au en gelangen z B we
81. MPUTER Wenn Sie die Vorgaben f r eine Einstellungsdom ne im Arbeitsgruppen Manager ge ffnet haben k nnen Sie auch die Schaltfl che NEUER SCHL SSEL bet tigen um selbst ndig einen Eintrag neu anzulegen Voraussetzung ist nat rlich dass Sie den Namen dieser Einstellung und deren Datentyp Zeichenkette W rterbuch Ar ray Ganzzahl Flie kommazahl Bool scher Wert Datum Daten Alias URL wissen m ssen Dies ist ein Nachteil den Programme mit einem sogenannten Einstel lungsmanifest abstellen k nnen 6 8 3 Arbeiten mit Einstellungsmanifesten Die vorgestellte Technik zum Definieren von verwalteten Einstellungen ist sehr lei stungsstark erfordert aber einige technische Kenntnisse ber ein Programm Den Namen der Einstellungsdom ne kann der Arbeitsgruppen Manager noch selbst herausfinden bei den Namen der Einstellung selbst und deren Datentyp ist dies jedoch unm glich da diese Angaben vom jeweiligen Programm v llig frei defi niert werden k nnen und es keinen Weg gibt diese Daten aus einem vorhandenen Programm zu ermitteln Bis jetzt haben wir uns nur eine vorhandene Pr ferenzen datei mit dem Property List Editor angeschaut und versucht zu erraten was die einzelnen Einstellungen bedeuten Einstellungen die noch nie ge ndert wurden sondern noch auf dem Standardwert stehen schlagen sich gar nicht in der plist Datei nieder Um diesen Mangel beheben zu k nnen gibt Apple den Programmen ab Mac OS X Tiger die M g
82. Marcel Bresink Mac OS X Mac OS X Server Heterogene Netzwerke Aktualisierung zu Mac OS X 10 4 Tiger Oktober 2005 Addendum zum Buch Mac OS X Mac OS X Server Heterogene Netzwerke mitp Verlag Bonn ISBN 3 8266 1351 X Version 25 Oktober 2005 Alle Rechte auch die der bersetzung vorbehalten Kein Teil des Werkes darf ohne Genehmigung des Urhebers und des mitp Verlags Bonn verbreitet werden Autor und Verlag bernehmen keine Gew hr f r die Funktion einzelner Programme oder von Teilen derselben Insbesondere bernehmen Autor und Verlag keinerlei Haftung f r eventuelle aus dem Gebrauch resultierende Folgesch den Die Wiedergabe von Gebrauchsnamen Handelsnamen Warenbezeichnungen usw in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht in der Annahme dass solche Namen im Sinne der Warenzeichen oder Markenschutzgesetzgebung als frei zu betrachten w ren und daher von jedermann benutzt werden d rfen Copyright 2005 by Marcel Bresink Gesetzt mit dem KIEX Dokumentensatzsystem unter Mac OSX Inhaltsverzeichnis 1 Vorwort 2 berblick Neue Funktionen in Mac OS X Tiger 2 1 nderungen in der Architektur des Systems 2 2 2 22 2 2 2 2 Neu mitgelieferte Programme und Funktionen f r Endbenutzer 2 3 Neu mitgelieferte Programme f r den Server 2 22 2 2 2 4 Neue M glichkeiten f r Zugriffsrechte 2 2222 2 5 Neue und ge nderte Netzwerkfunktionen 2 2 2 2 2
83. NAME TXT und MX Eintr ge 1 Wechseln Sie zur Karteikarte COMPUTER Sie befinden sich immer noch in der Zonenkonfiguration example private 2 Doppelklicken Sie den ersten erstellten Eintrag in unserem Beispiel g4server 3 Das Konfigurationsblatt zum Einrichten eines Adresseintrags ffnet sich Be t tigen Sie neben dem Feld Au ase den Plus Knopf 4 1 DER DNS DIENST 27 4 Geben Sie an das neu erscheinende Feld den Aliasnamen in unserem Beispiel smtp ein 5 Wiederholen Sie die letzten beiden Schritte f r die Allasnamen pop und na meserver 6 Kreuzen Sie das Feld Ist EIN MAIL SERVER F R DIE ZONE an Geben Sie als Priorit t den Standardwert 10 ein 7 Geben Sie auf Wunsch Beschreibungstexte in die Felder HARDWARE INFO SOFTWARE INFO und KOMMENTAR und dr cken Sie OK Beachten Sie dies bez glich die Sicherheitshinweise im Hauptbuch Wenn es sich um ein ab geschlossenes privates Netz handelt k nnen diese Eintr ge die Wartungs freundlichkeit erh hen Wenn es sich um einen Server handelt auf den vom Internet aus zugegriffen werden kann machen Sie den Server angreifbarer wenn Sie zu viele technische Informationen ffentlich preisgeben Abbildung 4 2 zeigt den fertigen Eintrag Dr cken Sie nun die Plus Schaltfl che unterhalb der Computertabelle um die Eintr ge f r die anderen Computer unseres Beispielnetzes anzulegen In diesem Fall reicht es in das Konfigurationsformular nur die Eintr ge IP ADRESSE und NAME
84. NG AN und auch der urspr ngliche Empf nger der E Mail mit EMPF NGER BENACHRICHTIGEN ber die Situation informiert werden Letzteres ist sinnvoll be sonders dann wenn es sich nicht um b swillige E Mail gehandelt hat sondern wenn z B ein Gesch ftspartner Ihnen unabsichtlich einen infizierten Anhang zuge sandt hat Abbildung 11 5 zeigt wie eine solche Information aussieht Der Typ des Virus wird angezeigt und es wird falls m glich auch versucht die wahre Einliefe rungsstelle der Postsendung zu ermitteln Dies ist eine interessante Angabe denn die meisten Viren werden mit gef lschten Absenderadressen versandt Falls Sie detaillierte Informationen zum technischen Hintergrund von ClamAV oder von Viren und deren Benennung ben tigen k nnen Sie die Herstellerdokumenta tion unter der Internetadresse http www clamav net abrufen Informationen ber die T tigkeiten des Filters und Hinweise auf gefunde ne Viren k nnen Sie als Administrator in Server Admin bekommen indem Sie unter Ma L PROTOKOLLE die neuen Klappmen punkte SUCHE NACH UNAUFGEFORDERTER MAIL VIREN VIRUS und UPDATE DER VIRUS DATENBANK aufrufen 156 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST Absender Betreff Empfangen o 26 Content filter at g4server ex VIRUS Worm Mydoom M IN MAI Heute 12 58 7 27 Content filter at g4server ex VIRUS Worm SomeFool Gen 1 I Heute 12 58 0 28 Content filter at g4server ex VIRUS Worm Mydoom M IN MAI Heu
85. Punkt DIE VERZEICHNISDIENSTE EINSTELLUNGEN DIE SES COMPUTERS AUF ALLE CLIENTS ANWENDEN an um die aktuelle Konfiguration unver ndert in das Image hinein zu kopieren oder bet tigen Sie die Schalt fl che IDENTIFIZIEREN um einen bestimmten anderen Verzeichnisknoten auszuw hlen Hierbei lassen sich allerdings auch nur Konfigurationen aus w hlen auf die der aktuell vorliegende Computer gerade zugreifen kann e Der automatische Namensvorschlag f r die nbi Ordner hat sich ge ndert Er hat jetzt den Aufbau Image xmmdahhnn wobei x die vergebene Identifika tionsnummer des Images mm der aktuelle Monat dd der Tag und hhnn die Erstellungsuhrzeit sind 13 3 Image Dateien pflegen und anpassen Im Hauptbuch hatten wir verschiedene Techniken erl utert ein bereits vorhande nes NetBoot Image zu aktualisieren beispielsweise wenn Apple ein Betriebssystem Update herausbringt Auch diese Aufgabenstellung hat Apple in der neuen Versi on des System Image Dienstprogramms st rker als vorher ber cksichtigt Es gibt zwei neue Vorgehensweisen mit denen Sie ein vorhandenes Image aktualisieren k nnen Sie m ssen allerdings beachten dass die neuen Funktionen in der hier beschriebenen Form nur dann zur Verf gung stehen wenn Sie das System Image Dienstprogramm direkt auf dem Server laufen lassen der als NetBoot Server dient 190 KAPITEL 13 FERNSTART DIE NETBOOT FUNKTION Allgemein Inhalt Modellfilter Sharing Verzeichnisdienste
86. RICHTEN DER NETZINFRASTRUKTUR IP Adresse 192 168 1 1 Name g 4server Vollst ndig qualifizierter Name g4server example private Aliase smtp pop nameserver 1 v Ist ein Mail Server f r die Zone Mail Server Priorit t 10 Hardware Info Apple Mac mini Software Info Mac OS X 10 4 Server Kommentar Dies ist unser Hauptserver 4 Abbildung 4 2 Eintrag f r unseren Beispielserver der neben anderen Aufgaben als DNS und Mailserver arbeiten soll 4 1 DER DNS DIENST 29 g Zone bearbeiten example private Name Prim re Adresse Kommentar g4server 192 168 1 1 Dies ist unser Hauptserver alpha 192 168 1 2 beta 192 168 1 3 router 192 168 1 4 Internet Router 555535 bersicht Protokoll Einstellungen Zur cksetzen Sichern Abbildung 4 3 Das Beispielnetz beschr nkt sich auf wenige Eintr ge 6 Geben Sie in das Feld IP ADRESSE die statische Adresse im IPv4 Format ein 7 Geben Sie in das Feld BESCHREIBUNG den DNS Kurznamen des jeweiligen Computers ein und dr cken Sie auf OK 8 Sind alle gew nschten Adresszuordnungen eintragen bet tigen Sie die Schalt fl che SICHERN in der unteren rechten Ecke des Fensters Abbildung 4 4 zeigt ein Beispiel eines Einzeleintrags Abbildung 4 5 eine ganze Tabelle von Rechnern Eine Falle ist das Feld BESCHREIBUNG des DHCP Eintrags Apples Be schriftung suggeriert es w rde sich hier um ein Bemerkungsfeld h
87. RTIFIKATSASSISTENT auf 7 Der Assistent begr t Sie zun chst mit einem Fenster Einf hrung Durch Druck auf FORTFAHREN wird der eigentliche Dialog gestartet 8 W hlen Sie den Punkt EINE ZERTIFIZIERUNGSINSTANZ ERSTELLEN aus und dr cken Sie auf FORTFAHREN 9 Es erscheint die Eingabemaske Zertifikatsinformationen hnlich wie in Abbil dung 9 13 Lassen Sie den Punkt ZERTIFIKAT WIRD SELBST SIGNIERT WUR ZEL angekreuzt und f llen Sie alle Felder der Maske mit Ihren Daten aus Als ALLGEMEINER NAME sollte Ihr Firmen oder Schulname angegeben werden Anders als im vorigen Abschnitt muss es sich nicht um einen DNS Namen handeln denn wir stellen ja kein Zertifikat f r die Identit t eines Server Computers aus sondern bescheinigen uns selbst unsere eigene Identit t 10 Lassen Sie das Feld SERIENNUMMER auf 1 stehen und geben Sie bei G L TIGKEITSDAUER die gew nschte Dauer an Da wir das Zertifikat nur f r Privat zwecke benutzen k nnen kann die G ltigkeitsdauer ruhig sehr hoch sein Dr cken Sie auf FORTFAHREN 11 Sie k nnen die n chsten sechs Dialogfenster jeweils auf Standardwerten be lassen und auf FORTFAHREN dr cken bis der Punkt ORT F R DAS ZERTIFIKAT ANGEBEN erscheint 12 W hlen Sie in diesem Dialog den Schl sselbund aus den wir gerade neu ein gerichtet haben und dr cken Sie auf FORTFAHREN 13 Veranlassen Sie im n chsten Dialogfenster die Erstellung des neuen Zertifi kats Sie sollten den vorgeschlagene
88. T Dom nen kann Mac OS X nicht nur als prim rer Dom nencontroller PDC sondern nun auch als Replikat eines solchen Servers als Backup Dom nen controller BDC konfiguriert werden Mitgliedsserver einer Active Directory Dom ne Ein Mac OS X Server kann nun Mitgliedsserver einer bestehenden Active Directory Dom ne Windows 2000 oder 2003 Server werden Unterst tzung von NTLM Version 2 Neben den Identifizierungsmethoden LAN Manager und NTLM die in Windows Netzwerken zur Kennwort berpr fung eingesetzt werden unterst tzt Tiger jetzt auch die Nachfolgetechnik NTLMv2 Virtuelle Hosts bei der E Mail Weiterleitung Der Tiger Server ist nun innerhalb gewisser Grenzen in der Lage mehrere DNS Dom nen auf einem einzelnen Computer zu verwalten ohne dass Anpassungen ber die Kommandozeile erfolgen m ssen Ein und derselbe Computer kann als E Mail Server f r meh rere Domains fungieren 10 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER Vollst ndige Integration von CUPS Alle Druckdienste sind nun vollst ndig auf CUPS umgestellt so dass keine Altlasten mehr vorhanden sind Der Netz werkdruck ber das moderne Protokoll IPP ist nun der empfohlene Standard Der Server kann zus tzlich Deckbl tter f r Druckauftr ge erstellen Neue Technologien f r QuickTime Streaming Der QuickTime Streaming Server unterst tzt einige neue Technologien zur Datenkompression wie H 264 das Senden von HD Filmen oder Datenstr me im 3GPP Forma
89. TE den Punkt Mall aus 2 W hlen Sie in der rechten H lfte des Fensters den Punkt EINSTELLUNGEN und hierunter die Karteikarte ERWEITERT 136 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY 3 Schalten Sie unter dem Punkt SSL SECURE SOCKETS LAYER das Men IMAP UND POP SSL je nach Wunsch auf VERWENDEN oder ERZWINGEN und w hlen Sie im nebenstehenden Men das neue Zertifikat aus 4 Bet tigen Sie die Schaltfl che SICHERN Nutzung auf Client Seite Wie erw hnt m ssen alle Client Computer im Netz dar ber informiert werden dass Sie den Server als inoffizielle Zertifizierungsstelle akzeptieren d rfen Ist dies ein mal erfolgt so werden sie danach allen von ihm ausgestellten Zertifikaten trauen Wir legen hierzu das Zertifikat das uns als g ltige Root Zertifizierungs Instanz aus weist nicht das Zertifikat f r SSL als Datei auf einen zentralen Fileserver oder Datentr ger 1 Starten Sie auf dem Server das Schl sselbund Programm und w hlen Sie den Schl sselbund X509AncHORS aus 2 W hlen Sie in der Liste der Zertifikate das selbst erstellte Zertifikat der Root Zertifizierungs Instanz Abbildung 9 14 aus 3 Rufen Sie den Men punkt ABLAGE EXPORTIEREN auf 4 Stellen Sie sicher dass als Dateiformat ZERTFIKAT CER eingestellt ist und geben Sie den gew nschten Ablageort f r die Datei an Dr cken Sie auf S CHERN Auf allen Clients sind dann die folgenden Schritte vorzunehmen 1 Melden Sie sich auf dem Client
90. TZEN 103 Allgemein Zugriff Protokoll Erweitert FA Gastzugriff erlauben Clientverbindungen Unbegrenzt s 500 maximal Identifizierung M NTLMv2 amp Kerberos M NTLM FA LAN Manager Abbildung 7 4 NTLMv2 amp Kerberos sind aktuelle Identifizierungsverfahren der Windows Welt die ab Tiger auch f r Mac OS X Server zur Verf gung stehen Active Directory Dom ne wird beziehungsweise im Zusammenhang mit Windows 2000 Server und Windows Server 2003 eingesetzt wird Sie k nnen damit das aktu elle Kennwortpr fungsverfahren von Windows und die Gesamt Authentifizierung Single Sign On auch f r CIFS SMB Dienste von Mac OS X verwenden 7 5 Probleme in gemischten Netzen 7 5 1 Kompatibilit tsprobleme des NFS Automounters Die grundlegenden Probleme die in Abschnitt 6 10 4 des Hauptbuchs beschrieben werden bestehen auch weiterhin Eine der denkbaren L sungsm glichkeiten steht in Mac OS X ab Version 10 4 jedoch nicht mehr zur Verf gung Der alternative Berkeley Automounter AMD wird in Tiger nicht mehr mitgeliefert und auch das Startskript das ber die etc hostconfig aktiviert werden konnte ist nicht mehr enthalten Falls Sie experimentierfreudig sind k nnen Sie sich eine Darwin Version von AMD aus dem Quellcode erstellen und selbst installieren Dokumentation und Quellcode sind ber die Website http www am utils org erh ltlich Es sei allerdings nochmals darauf hingewiesen dass zu Redakti
91. Tabelle Com PUTER amp DIENSTE den gew nschten Server Eintrag aus 2 W hlen Sie rechts den Punkt EINSTELL und dort ZERTIFIKATE 3 Bet tigen Sie die Schaltfl che IMPORTIEREN rechts unten 4 Es erscheint ein Dialogfenster zur Angabe der Dateien Sie k nnen die Schalt fl chen mit den drei Punkten verwenden um jeweils einen weiteren Hilfsdia log zum Suchen der Datei aufzurufen Hierbei verh lt sich das Server Admin Programm allerdings oft fehlerhaft und zeigt nicht alle Dateien an Geben Sie bei ZERTIFIKATSDATEI die Datei des Zertifikats an die wir zun chst im pem Format erstellt hatten 5 Geben Sie bei PRIVATE SCHL SSELDATEI die pem Datei an in die wir den pri vaten Schl ssel umgewandelt hatten 6 Das Feld DATEI DER ZERTIFIZIERUNGSINSTANZ kann leer bleiben In das Feld KENNWORT F R PRIVATEN SCHL SSEL brauchen Sie nur etwas einzugeben falls Sie beim Export des privaten Schl ssels ein Kennwort vergeben hatten Bet tigen Sie die Schaltfl che IMPORTIEREN 7 Falls die Dateien in Ordnung sind und kein Namenskonflikt mit einem bereits bestehenden Zertifikat aufgetreten ist wird das Zertifikat mit Name Ausstel ler und G ltigkeit in die Tabelle eingetragen Nutzen des Zertifikats Das private Zertifikat kann nun f r Serverdienste verwendet werden Wir verwen den es im folgenden Beispiel f r den POP IMAP Zugang zu unserem Mailserver 1 W hlen Sie im Programm Server Admin in der Tabelle COMPUTER amp DIENS
92. Taste mit dem Symbol A unterhalb der Tabelle k nnen Sie einen Chat Sitzung im Textmodus zum angegebenen Partner aufbauen Durch Druck auf die anderen Symbole k nnen entsprechend Audio und Vi deo dem Chat hinzugef gt werden falls die technischen Voraussetzungen gegeben sind 176 KAPITEL 12 WEB DIENSTE 5 l Jabber Instant Messaging konfigurieren Jabber ist ein offenes Protokoll f r Instant Messaging Falls Ihre Firma oder Organisation einen Jabber Server betreibt k nnen Sie iChat verwenden um Nachrichten und Dateien an andere Personen auf dem Server zu senden und zu empfangen Um Jabber Instant Messaging zu konfigurieren geben Sie Ihren Jabber Account Namen und das Kennwort ein Sie k nnen diesen Schritt auch ber Fortfahren berspringen M Jabber Instant Messaging verwenden Benutzername hans g4server example p Kennwort Abbildung 12 12 Die Daten f r die Verbindungsaufnahme ber den Jabber Server werden in iChat eingegeben 12 5 QUICKTIME STREAMING SERVER AOOO Jabber Liste a Maria Schmitz Anwesend 7 Ta Auf Identifizierung warten e O n Chat mit hans Jabber Nachricht mit hans g4server example private Abbildung 12 13 Der erfolgreiche Aufbau einer iChat Sitzung ber Jabber 177 5 Auf dem Bildschirm des anderen Benutzers erscheint ein Fenster JABBER IDENTIFIZIERUNG nachdem er auch iChat gestartet hat Wird die Anfrage durch Druck auf die T
93. Weblog Dienst Blojsom Unter dem plakativen Titel Dienste f r die Zusammenarbeit liefert Apple die Server version von Mac OS X Tiger unter anderem mit dem Weblog Dienst Blojsom aus Blojsom wird wie blossom dem englischen Wort f r Bl te ausgesprochen Der Dienst hilft dabei die neumodische T tigkeit des Bloggens dem interaktiven Ver ffentlichen von Tageb chern im Internet mit der M glichkeit der Zusammenfas sung und Kommentierung durch eine komfortable Umgebung zu unterst tzen In einem Firmennetz k nnen Blogs beispielsweise als virtuelles Schwarzes Brett oder als Hilfsmittel zur technischen Dokumentation und Diskussion eingesetzt werden 164 KAPITEL 12 WEB DIENSTE e 0 Spotlight Content Search Results gt 6 http www example private spotlight oaa QA Apple 6 v Amazon eBay Yahoo Newsv Literatur Search Hits 3 bresink com osx documents html bresink com en contactosx html bresink com kontaktosx html Copyright 2004 Apple Computer Inc Abbildung 12 3 Spotlight kann in Tiger auch zur Suche nach ver ffentlichten Web Dokumenten genutzt werden Hierzu ist es n tig die Sites von Hand mit einem Spotlight Index zu versehen und Apples neues Spotlight Modul f r Apache zu ak tivieren 12 3 1 Einrichten des Weblog Dienstes Die Dateien von Blojsom befinden sich im Ordner Library Tomcat blojsom root Aus Sicht des Administrators ist das Einrichten vo
94. Werbung mbox Messages 152 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST f E l t 6182 Brady Middleton WERBUNG investor News Letter Heute 09 20 3 5 KB 1 t e f 0 Mail h lt diese E Mail f r Cider ader wa unerw nschte Werbung e CMU Sieve 2 2 10 e text plain charset US ASCII us Yes hits 5 68 tagged_above 999 required 5 tests RATWARE_RCVD_PF UNWANTED_LANGUAGE_BODY l YES 09 20 36 0200 i 4 Tue 11 Oct 2005 09 20 53 0200 The Bat v1 62i Business 3 Normal lt 766657859 20051009023041 57 82 1 73 gt MOMENTUM ALERT ISSUED FOR OCTOBER 11 2005 EXPLOSIVE PICK FOR OUR MEMBERS HIRIDE THE STAIRWAY TO HEAVEN Date 11 Oct 2885 Stock Name CWTD OB Company Name China World Trade Corporation Current Price 2 06 18 Day Target 4 Abbildung 11 3 Eine Reihe von unerw nschten Werbe Mails wurde von SpamAs sassin korrekt erkannt und mit einer Markierung in der Betreffzeile versehen Zu s tzlich enth lt auch jede einzelne Sendung die ber den Mailserver hereinkommt eine Bewertung falls Sie die Filterung aktiviert haben Schalten Sie die Anzeige der Kopfzeilen ein so k nnen Sie in der Zeile X Spam Status die Bewertung der Postsendung sehen In diesem Beispiel wurde die Mail mit einem Grad von 5 68 bewertet Da die Schwelle bei 5 required liegt wurde die Sendung korrekt als SPAM eingestuft und die zus tzliche Kopfzeile X Spam Flag YES eingef gt Hin ter dem Sc
95. al im konkreten Beispiel an Das Programm Text Edit verwendet beispielsweise einen Einstellungswert in dem es speichert ob neue Textfenster wahlweise in der Betriebsart formatierter Text oder in der Betriebsart Reiner Text ge ffnet werden sollen Im ersten Fall verh lt sich das entsprechende Textfenster wie ein Textverarbeitungsprogramm in letzterem Fall wie ein Textedi tor Wenn Sie diese Vorgabe im Fenster EINSTELLUNGEN von TextEdit vornehmen siehe Abbildung 6 16 f hrt dies letztendlich dazu dass Mac OS X einen ge nder ten Wert in TextEdits Einstellungsdatei abspeichert Wenn Sie einen Blick in den privaten Ordner Library Preferences eines Benutzers werfen der TextEdit bereits genutzt und Einstellungen ge ndert hat werden Sie feststellen dass eine Datei mit dem Namen com apple TextEdit plist vorhanden ist Dies muss die Einstellungsdatei von TextEdit sein ffnen Sie die Datei im Property List Editor und klappen Sie die enthaltene Eigenschaftsliste auf so erhalten Sie eine Liste mit einer Vielzahl von Einstellungswerten Abbildung 6 17 Jeder Wert ist mit einem eindeutigen Namen versehen Diese Namen sind in der linken Spalte aufgelistet und werden vom jeweiligen Programm frei vergeben Leider ist in der 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 79 e ka _ com apple TextEdit plist J New Sibling Delete Dump Property List Class Value NSWindow Frame NSColorPanel String 761 522 214 367
96. albetrieb setzen indem Sie DEUTSCH wieder an die oberste Stelle schieben Die erste Phase der Konfiguration kann nur ber die Kommandozeile vorgenom men werden Hierzu wird das Programm s2svpnadmin Site to Site Virtual Private Network Administration verwendet 1 ffnen Sie ein Terminal Fenster auf dem Server und geben Sie den Befehl sudo s2svpnadmin ein Geben Sie Ihr Kennwort ein wenn das System danach fragt 2 W hlen Sie im Auswahlmen den Punkt 3 um eine neue Site to Site Ver bindung einzurichten 3 Geben Sie einen neuen Konfigurationsnamen ein wobei Sie kein Leerzeichen oder Sonderzeichen verwenden d rfen z B standort1 4 Geben Sie die ffentliche IP Adresse des lokalen Servers ein in diesem Fall 1 2 3 4 5 Geben Sie die ffentliche IP Adresse des entfernt stehenden Servers ein in diesem Fall 5 6 7 8 6 W hlen Sie s um die Verwendung eines Shared Secrets zu best tigen 7 Geben Sie das Shared Secret ein 8 Nun werden die Adressierungsrichtlinien f r das VPN eingestellt Geben Sie zuerst die Netzwerkadresse des diesseitigen Netzes ein hier 192 168 1 0 9 Geben Sie die zugeh rige Netzmaske an indem Sie die Anzahl der Bits ein tragen Siehe hierzu auch Abschnitt 3 2 9 im Hauptbuch In diesem Fall sind es 24 Bits 14 2 VERSCHL SSELTE TEILNETZE MIT VPN 201 10 20 21 22 23 Geben Sie jetzt die Netzwerkadresse des fernen Netzes an in diesem Fall 192 168 2 0 Ge
97. alisieren ohne unbedingt auf pkg Dateien angewiesen zu sein Das System Image Dienstprogramm kann dann auf Basis des ge nderten Platteninhalts ein vorhandenes Image durch Synchroni sation auf den neuesten Stand bringen Stellen Sie genau wie im letzten Abschnitt beschrieben sicher dass niemand im Moment mit dem zu aktualisierenden Image arbeitet indem Sie es in Ser ver Admin deaktivieren Schlie en Sie die Platte an den Server an auf der sich das bereits nach Ihren W nschen angepasste Mustersystem befindet Vorsicht Es muss sich wirklich um genau die Vorlage handeln die urspr nglich einmal verwendet wurde um das Image zu erstellen das jetzt aktualisiert werden soll Falls es sich um das falsche Volume handelt kann die Synchronisation fehlschlagen und das Image wird unbrauchbar Starten Sie das System Image Dienstprogramm und w hlen Sie den Men punkt SYSTEM IMAGE DIENSTPROGRAMM EINSTELLUNGEN Schalten Sie in der unteren H lfte des Einstellungsfensters die Option OBJEKTE HINZUF GEN UND QUELLE SYNCHRONISIEREN ein Schlie en Sie das Einstellungs fenster wieder Klicken Sie den Punkt IMAGes in der Symbolleiste an W hlen Sie das zu aktualisierende Image aus und klicken dann auf den Punkt BEARBEITEN in der Symbolleiste Das Programm fragt nach dem Kennwort des Systemverwalters Gehen Sie zur Rubrik INHALT W hlen Sie im Klappmen IMAGE QuELLE die Festplatte aus die das aktuali sierte M
98. an deln in dem Sie z B den Rechnertyp beschreiben k nnen Dies ist je doch nicht der Fall Es handelt sich in Wirklichkeit um den Namen mit dem der DHCP Server den fertigen Eintrag in der NetInfo Datenbank abspeichert Dieser Name muss eindeutig sein Haben Sie beispielswei se mehrmals den Begriff PowerBook in neu angelegte Beschreibun gen eingetragen werden Sie beim Dr cken der Taste SICHERN eine b se berraschung erleben Server Admin l scht in diesem Fall oh ne Vorwarnung alle Eintr ge mit doppelten Vorkommen des Wortes PowerBook also alle Datens tze die einen gleichen Inhalt im Feld BE SCHREIBUNG aufweisen Sie m ssen alle betroffenen Eintr ge wieder neu eingeben Sie sollten daher in dieses Feld keine Beschreibung sondern den DNS Kurznamen der jeweiligen IP Adresse eintragen 30 KAPITEL 4 EINRICHTEN DER NETZINFRASTRUKTUR Identifizieren Sie Computer per Ethernet Adresse z B 00 05 02 b7 b5 88 und geben Sie die zuzuordnende IP Adresse z B 10 0 1 3 ein Ethernetadresse 00 03 93 11 ef 82 IP Adresse 192 168 1 2 Abbrechen Eok Abbildung 4 4 Beispiel f r einen statischen Adresseintrag im DHCP Server Teilnetze Statische Zuordnungen Protokolle Hardware Adresse IP Adresse Beschreibung KIEFER IRIE 192 168 1 3 beta 192 168 1 4 gamma 192 168 1 5 delta 00 03 93 11 ef 86 192 168 1 6 epsilon 00 03 93 11 ef 87 192 168 1 7 zeta 192 168 1 8 theta 192 168 1 9
99. andere IP Pakete enthalten Wiederholen Sie den letzten Schritt wobei Sie die Quell und Zieladressen vertauschen Stellen Sie sicher dass bei den sechs neu hinzugef gten Regeln jeweils das H kchen AKTIV gesetzt ist Klicken Sie auf die Schaltfl che SICHERN rechts unten und starten Sie die Firewall neu Wiederholen Sie alle Konfigurationsschritte f r die Firewall auf dem Server an Standort 2 Kontrollieren Sie ob der VPN Dienst an beiden Standorten l uft Falls nicht schalten Sie ihn auf beiden Seiten durch Klick auf DIENST STARTEN in der Symbolleiste von Server Admin ein Es ist nicht n tig dass Sie an den VPN Einstellungen in Server Admin etwas ndern oder hinzuf gen Sie werden auch keine Verbindungsmeldungen oder Protokolleintragungen f r den Site to Site Betrieb an dieser Stelle abrufen k nnen Nur das Einschalten des VPN Dienstes ist wichtig Danach ist die Verbindung zwischen beiden Netzen eingerichtet Sie k nnen bei spielsweise ber die Kommandozeile oder ber das Netzwerk Dienstprogramm von einem Rechner an Standort 1 ein Ping an einen Rechner an Standort 2 senden um die Konnektivit t zu testen Index ffentliche Ansicht 90 3GPP 178 3rd Generation Partnership Project 178 64 Bit Technologie 3 Access Control Entry 32 Access Control Lists 7 31 ACE 32 ACL 7 31 AFP zu NFS Resharing 99 AIM 172 AMD 103 Apache 157 AppleShare 18 AppleShare IP 66 AppleTalk 18 asr 50 Autom
100. app E QuickTime QuickTime Safari app FF Server Pr YI Y Y Y YYY Y YY YY Y Y Y Y Y FY e Abbildung 7 2 Der Arbeitsgruppen Manager ist nun selbst ndig in der Lage einen statischen NFS Automount einzurichten der per AFP wieder freigegeben werden kann Hierzu befindet sich eine neue Schaltfl che unterhalb der Tabelle im Bereich Sharing ber diese Taste l sst sich ein Eintrag brigens auch wieder entfernen 102 KAPITEL 7 DIE DATEISERVERFUNKTIONEN Allgemein Zugriff Protokoll Erweitert Funktion Sicherungs Dom nen Controller BDC HJ Dieser Server stellt Datei und Druckdienste f r Windows bereit Er kann Benutzerprofile und Basisverzeichnisse f r Benutzer der Dom ne bereitstellen Zus tzlich stellt er Ersatz Identifizierungsdienste f r eine Dom ne bereit die auf einem Mac OS X Server bereitgestellt wird Beschreibung Mac OS X Computername replica Dom ne EXAMPLE Abbildung 7 3 Arbeitet ein Server bereits als Open Directory Replik eines anderen Servers so kann er durch simples Wechseln der Einstellung FunKTion der Windows Dienste auch als Sicherungs Dom nen Controller arbeiten mehr an ihre Verwaltungs und Authentifizierungsdaten kommen Um dies zu vermeiden k nnen ein oder mehrere Sicherungs Dom nen Controller eingerichtet werden die die Daten des prim ren Dom nen Controllers PDC spiegeln und die sen im Notfall vollst ndig ersetzen
101. aste AKZEPTIEREN in diesem Fenster bejaht wird auch in um gekehrter Richtung ein Kontakteintrag diesmal f r den anderen Benutzer erstellt 6 F hrt einer der beiden Benutzer einen Doppelklick auf den Personeneintrag des Anderen in der Jabber Liste aus so erscheint ein Chat Fenster und die Verbindung wird aufgebaut Selbstverst ndlich k nnen wir an dieser Stelle kein vollst ndiges Benutzerhandbuch f r iChat liefern aber der Verbindungsaufbau ber Jabber sollte damit verst ndlich geworden sein 12 5 QuickTime Streaming Server 12 5 1 Neuerungen Apple hat das QuickTime Streaming System in Tiger von QuickTime 6 auf den Stand von QuickTime 7 aktualisiert Das hei t dass einige neue Codecs und Datenformate f r die Videodatenstr me zur Verf gung stehen 178 KAPITEL 12 WEB DIENSTE e Es wird das Streaming von Daten im 3GPP Format 3rd Generation Partner ship Project unterst tzt Die entsprechenden 3gp Dateien sind zum Indu striestandard f r das Streamen von Videodaten auf Mobiltelefonen gewor den QTSS ist in der Lage die HD Filmformate High Definition zu unterst tzen die sich in der Zukunft als Standard f r Film und Fernsehen durchsetzen wer den Die neue Norm ITU T H 264 zur Komprimierung von hochaufl senden Vide odaten auch bekannt als MPEG 4 Teil 10 oder ISO 14496 10 wird unter st tzt Das zu Tiger geh rige QTSS tr gt nun die Versionsnummer 5 5 Bez glich des quell offenen Kerns von QTSS
102. at blojsom root webapps RO0T blojsom resources includes Die Protokolle ber den Betrieb des Weblog Dienstes befinden sich im Ordner Library Tomcat blojsom_root logs Es ist ein Hauptprotokoll und jeweils ein Protokoll f r jeden Betriebstag vorhan den Interessanterweise k nnen diese Berichte nicht ber Server Admin angezeigt werden Die pers nlichen Einstellungen die jeder Weblog Teilnehmer f r seine eigenen Blogs vornehmen kann werden in Unterordnern von 166 KAPITEL 12 WEB DIENSTE Library Tomcat blojsom_root webapps ROOT WEB INF gespeichert wobei die Unterordner den Kurznamen des jeweiligen Benutzers tra gen Sollten Sie n here Informationen ber den technischen Hintergrund von Bloj som ben tigen so k nnen Sie die offiziellen Webseiten des Programms unter http wiki blojsom com wiki aufrufen 12 3 2 Aufruf der Weblog Funktion Um auf ein Weblog zuzugreifen starten Sie einen Web Browser und rufen die Adresse http www example private weblog auf Hierbei ist www example private nat rlich durch den DNS Namen des Servers zu ersetzen auf dem der Weblog Dienst l uft Falls Sie f r Ihren Web Server ein SSL Zertifikat eingerichtet haben k nnen Sie statt des Protokolls http alternativ auch das Protokoll https verwenden wodurch die Daten bei der bertragung verschl sselt werden Dies ist besonders dann wichtig wenn die Weblogs dazu benutzt werden um m glicherweise vertrauliche Firmeninformationen zu dis
103. atabases Oct 5 19 48 12 g4server ctl_cyrusdb 12356 checkpointing cyrus databases Oct 5 19 48 12 g4server ctl_cyrusdb 12356 done checkpointing cyrus databases b d Oct 5 20 01 19 q4server ntpd 104 time reset 0 315885 s Abbildung 2 1 Ein Blick ins Systemprotokoll zeigt dass launchd auch gute Eigen schaften hat Fehlerhaft arbeitende Prozesse die sich abnormal verhalten werden neu gestartet Das Programm servermgrd das im Hintergrund die Dienste f r das Programm Server Admin erbringt ist in den ersten Tiger Version so verheerend programmiert dass es nach ein paar Stunden Laufzeit den kompletten Speicher des Servers aufbraucht Das Programm merkt das und beendet sich In diesem Fall erkennt launchd das Problem und startet den fehlerhaften Prozess automatisch neu launchd um einen aggressiv optimierten Systemstart zu erm glichen bei dem die einzelnen Systembestandteile parallel nur mit wenig gegenseitiger Synchronisa tion hochgefahren werden Dies erm glicht auf einem Einzelplatzcomputer zwar sehr schnelle Startzeiten von unter 30 Sekunden was Mac OS X Tiger auf den er sten Blick sehr gut aussehen l sst im Netzwerk sieht dies jedoch ganz anders aus Durch mangelnde Abstimmung untereinander scheinen die Prozesse in zuf lliger Reihenfolge gestartet zu werden wodurch sie oft in der falschen Abfolge aufein ander warten und sich so gro e Verz gerungen beim Start ergeben Teilweise sind Wartezeiten ber 2 Minuten festst
104. ator 6 Backup Domain Controller 100 Bayes Thomas 148 BDC 100 benannte Ansicht 90 Blog 166 Bloggen 163 Blojsom 7 163 Bonjour 107 CA 120 Certificate Authority 120 Certificate Revocation List 124 Chat Namen 172 Chat Server 172 Chatten 171 chmod 47 ClamAV 7 148 Computer 90 Computerkonto 88 CRL 124 cron 4 Cyrus 143 DansGuardian 159 Darwin Streaming Server 178 Dashboard 6 DG Console 159 diradmin 19 ditto 50 Drucker Dienstprogramm 141 Druckerpool 140 Dynamische Liste 90 Einstellungsdom ne 77 Einstellungsmanifest 84 Eintrag Weblog 167 Encapsulating Security Payload 202 Extensible Messaging and Presence Pro tocol 173 FFAgent 107 FIPS 181 63 Forwarder 24 fsaclctl 50 geerbte Gruppe 45 Generated Unique Identifier 33 Globally Unique Identifier 33 Globally Unique Naming 77 Grapher 6 gTLD 23 GUID 33 H 264 178 HD 178 High Definition 178 iChat 171 175 iChat Server 7 172 203 204 init 4 Instant Messaging 171 IPP 139 ISO 14496 10 178 ITU T H 264 178 Jabber 172 Jabber XMMP 173 jabberd 7 173 Kategorie Weblog 167 Kennwortassistent 63 Kindersicherung 72 L2TP ber IPSec 199 Latente Semantische Analyse 148 Launch Daemon 4 launchd 4 Link Aggregation 8 loginwindow 80 Lopata Dave 159 Is 47 LSA 148 mach _init 4 Macintosh Manager 19 main cf 143 MDS5 14 mdimport 162 mdutil
105. ben Sie die entsprechende Netzmaske hier wieder 24 Bits an Beantworten Sie die Frage Do YOU WANT TO ADD NEW POLICIES mit n In diesem Fall sind keine weiteren Adressierungsregeln n tig Weitere Regeln k nnten erforderlich sein wenn Sie beispielsweise nur Teilnetze der beiden Standorte miteinander verkn pfen wollten Best tigen Sie durch Eingabe von y dass diese Konfiguration aktiviert werden soll Das Programm sollte mit SUCCESSFULLY ADDED SERVER antworten Beenden Sie das Programm durch Auswahl des Men punktes 5 Wiederholen Sie alle Schritte nun auf dem zweiten Server am zweiten Stand ort Hierbei sind die Rollen von lokalem und fernen Netz nat rlich alle zu vertauschen ffnen Sie das Programm Server Admin an Standort 1 und verbinden Sie sich mit dem lokalen Server W hlen Sie in COMPUTER amp DIENSTE den Punkt FIREWALL aus Gehen Sie zum Punkt EINSTELLUNGEN dort zu ADRESSGRUPPEN F gen Sie mit der Plus Schaltfl che unterhalb der Tabelle eine Adressgruppe hinzu Als Name k nnen Sie beispielsweise StandortT verwenden Ersetzen Sie die Adresse any durch die CIDR Angabe 1 2 3 4 32 F gen Sie mit der Plus Schaltfl che unterhalb der Tabelle eine weitere Adress gruppe hinzu Als Name k nnen Sie beispielsweise Standort2 verwenden Er setzen Sie die Adresse any durch die CIDR Angabe 5 6 7 8 32 W hlen Sie die Adressgruppe BELIEBIG ANY Kreuzen Sie auf der Karteikarte DIENSTE an dass S
106. bilit t A Netzwerk Ar Programme of Software Systemeinstellungen Aktualisierung Q Diese Einstellung wird f r die ausgew hlten Objekte verwaltet Diese Einstellung wird f r einige der ausgew hlten Objekte verwaltet Abbildung 6 15 Die verwalteten Einstellungen im Arbeitsgruppen Manager weisen einige Neuerungen gegen ber Panther auf kommende Benutzer beim ersten Anmelden eine optimal auf Ihre Gegebenheiten zugeschnittene Umgebung mit den richtigen Einstellungen f r alle Programme vor findet 6 8 1 Einrichten von Einstellungen f r nicht unterst tzte Pro gramme Technische Grundlagen Um Einstellungen f r vom Arbeitsgruppen Manger nicht direkt unterst tzte Pro gramme verwalten zu k nnen ist es notwendig einen kurzen Blick darauf zu wer fen wie das Verwalten von Einstellungen intern abl uft Wie Sie vielleicht wissen speichert Mac OS X die Einstellungen von Programmen immer im Unterordner Library Preferences desjenigen Zust ndigkeitsbereichs auf den sich die Einstellungen beziehen Bei be nutzerbezogenen Einstellungen wird der entsprechende Unterordner im Privatord ner des Benutzers verwendet computerbezogene Einstellungen die f r alle Be nutzer eines Computers gelten werden im Wurzelordner also Library Preferences gespeichert Denkbar w re auch eine netzweite Speicherung von Einstellungen im Ordner Network Library Preferences was im Moment jedoch von Mac OS X noch nicht unterst tzt
107. bjekte dieses Ordners auf tieferen Hierarchie Ebenen Wenn Sie nun sp ter ein solches Objekt in der Hierarchie ausw hlen und dessen Zugriffsrechte erneut ndern findet eine Kombination von Zugriffsrechten statt Zum einen gibt es die Rechte die dieses Objekt von einem bergeordneten Ord ner ererbt haben kann zum anderen gibt es Rechte die Sie zus tzlich auf diesem Punkt der Ordnerhierarchie setzen Mac OS X bezeichnet ersteres als bernomme ne Zugriffsrechte letzteres als explizite Zugriffsrechte Hierbei kann es nat rlich passieren dass Sie einen von weiter oben in der Ordner hierarchie bernommenen Zugriffssteuerungseintrag im aktuellen Objekt ndern m chten z B weil Sie ein neues Recht vergeben m chten das mit dem ererbten in Widerspruch steht In diesem Fall m ssen Sie zun chst f r dieses Objekt eine Um wandlung von einem bernommenen in einen expliziten Zugriffssteuerungseintrag durchf hren 5 2 4 Auswertung der Zugriffssteuerungseintr ge Wie erw hnt kann eine Zugriffssteuerungsliste aus einer ganzen Reihe von Eintr gen bestehen Hierbei kann es leicht dazu kommen dass zwei Eintr ge sich auf ein und dieselbe Zugriffspartei beziehen und sich erg nzen oder miteinander in Kon flikt stehen Z B k nnten Sie gleichzeitig ein Recht f r einen bestimmten Benutzer und ein Verbot f r eine Gruppe in der dieser Benutzer Mitglied ist definieren Damit es hier zu einer eindeutigen Regelung kommt h lt Mac OS X eine
108. blem denn viele Systemfunk tionen die mit Panther noch einwandfrei ihren Dienst verrichteten funktionierten in Tiger nur noch fehlerhaft oder berhaupt nicht mehr Schon das erfolgreiche Update eines Servers von Panther auf Tiger kann eine gr ere H rde sein denn je nachdem welche Dienste auf dem Server aktiviert sind bleibt das System bereits beim ersten Start stehen und es kann sich ein Totalausfall ergeben der nur mit erheblichen Systemkenntnissen beseitigt werden kann Die Aktualisierung auf Mac OS X 10 4 2 und das Sicherheits Update 2005 07 Ver sion 1 1 zeigten einen ersten Schritt in die richtige Richtung Mehr als 100 der schlimmsten Produktm ngel und mehr als 35 Sicherheitsl cken wurden beseitigt Trotzdem sind auch mit diesem Release Stand immer noch nicht alle Probleme be hoben Spezielle Funktionen wie zum Beispiel die Einbindung in NIS Netzwerke sind immer noch nicht verwendbar andere urspr nglich angek ndigte Features wie etwa die neue Grafiktechnologie Quartz Extreme 2D sind immer noch nicht freigeschaltet Einige Komponenten scheinen berhastet zusammengestellt wor den zu sein So fehlt beispielsweise auf der Server DVD der gr te Teil der deutsch sprachigen Anpassung des Programms System Profiler w hrend diese auf der DVD der Standardversion mitgeliefert wird Apple scheint schlicht vergessen zu haben die hierf r n tigen Dateien mit auf die DVD zu packen 2 KAPITEL 1 VORWORT Ab der Version 10 4 3 d
109. bolleiste den Punkt SHARING aus W hlen Sie in der linken H lfte des Fensters entweder ber NETZWERKORDNER oder ALLE einen Ordner oder eine Datei aus f r den Sie einen Zugriffssteue rungseintrag anlegen m chten W hlen Sie in der rechten H lfte des Fensters den Punkt ZUGRIFF aus Im obe ren Teil der Anzeige erscheinen die POSIX Berechtigungseinstellungen die Sie bereits kennen Der untere Teil enth lt die Zugriffssteuerunggsliste Abbildung 5 2 Dr cken Sie den Knopf BENUTZER UND GRUPPEN um ein Schubfach mit den zur Verf gung stehenden Benutzer und Gruppenkonten zu ffnen Es wer den alle Benutzer und Gruppen mit GUIDs aus dem gew hlten Verzeichnis knoten angezeigt Ziehen Sie einen Benutzer oder Gruppeneintrag mit der Maus in die Zugriffs steuerungsliste Ein neuer ACE wird eingerichtet 5 4 ARBEITEN MIT ACLS 41 ee Arbeitsgruppen Manager g4server example private o Verzeichnis LDAPv3 127 0 0 1 Fr auch ee od Admin RERA Netzwerk _Aceounts_Ensteltungen Verbinden Trennen Aktliieren Neues Forster 12 i GG Allgemein WZUGHRH Protokolle Netzwerkordner Q7 Buchhalt D Abstract a o m PE O orici Eigent mer osxadmin Lesen amp Schreiben FF admin 80 I Amsignin rin HE Kiir tasan E employee 1025 Ani_King staff 20 Architet Jeder Nur Lesen IE B Arrows E An s crf P Zugriffs Borders Building Gitt f r Erlauben
110. cate Authority Nun m ssen allerdings noch alle anderen Klienten im Netz die unsere Zertifikate nutzen m chten ebenso best tigen dass sie dieser nicht offiziell akkreditierten Zertifizierungsstelle trauen sollen Auch dort muss das CA Zertifikat in die Liste der X509Anchors eingetragen werden Dies l sst sich zum Beispiel so realisieren dass das Zertifikat per Verzeichnisdienst oder E Mail an andere Nutzer weitergeleitet wird Die einfachste L sung ist nat rlich die Verteilung ber den File Server Wir zeigen dies im folgenden Beispiel das auch noch einmal veranschaulicht wie auf Basis der neuen Zertifizierungsinstanz eigene Zertifikate ausgestellt werden Erstellen eigener Zertifikate Wir nehmen an dass Ihr Server Computer als POP Mailserver arbeitet und erstellen im folgenden Beispiel ein neues Zertifikat um eine SSL gesicherte Verbindung mit dem POP Dienst aufbauen zu k nnen 132 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY r een Certificate Assistant Zertifikatsinformationen Bitte geben Sie unten Zertifikatsinformationen ein v Zertifikat wird selbst signiert Wurzel E Mail des Benutzers hans example private Allgemeiner Name Beispielfirma GmbH Root Zertifizierungs Instanz Organisation Beispielfirma GmbH Organisationseinheit Rechenzentrum Stadt Ort Bonn Bundesland Nordrhein Westfalen Land DE Seriennummer 1 G ltigkeitsdauer Tage 5000 G ltig von
111. ch Vorsicht Server Ad min f llt das Dialogfenster zur nachtr glichen Authentifizierung in vielen F llen mit dem Benutzernamen des Serververwalters aus anstatt nach einer Anmeldung f r den Verzeichnisdienstverwalter zu fragen Dies kann zu verwirrenden Situationen 3 4 ABLAUF DER SERVER INSTALLATION 21 f hren Melden Sie sich mit einem falschen der drei Verwalterkonten an schl gt der laufende Konfigurationsvorgang mit irref hrenden Meldungen fehl Bei der Ersteinrichtung von Serverdiensten w hrend der Installation k nnen Sie in Tiger die folgenden neuen Dienste zus tzlich ausw hlen e Apple Remote Desktop e iChat Server e Software Aktualisierungsserver e WebDAV Dateiserver e Weblog Server e Xgrid Agent Xgrid Controller Hierbei sind Apple Remote Desktop und der WebDAV Dateiserver nicht wirklich neu aber Sie k nnen nun zu einem fr heren Zeitpunkt w hlen ob Sie diese Dienste als Option einschalten m chten Die hier genannten neuen Dienste k nnen auch zu einem sp teren Zeitpunkt noch aktiviert werden die Auswahl die Sie hier treffen bestimmt nur ob diese Dienste sofort erstkonfiguriert und beim n chsten Start des Servers automatisch mitgestartet werden 22 KAPITEL 3 INSTALLATION EINES MAC OS X NETZES Kapitel 4 Einrichten der Netzinfrastruktur 4 1 Der DNS Dienst 4 1 1 Neuerungen im weltweiten DNS Betrieb Zu den im Hauptbuch genannten DNS Namen der obersten Ebene die nicht l n d
112. chen Gr nden musste diese Technologie in Bonjour umbenannt werden 8 3 Das Lookup Subsystem Die klassische Unix Technik zur Zuordnung von MAC Adressen zu IP Adressen wird in den Verzeichnisdiensten unterst tzt Der FFAgent des Lookup Subsystems ver wendet die bliche BSD Konfigurationsdatei etc ethers um nach diesen Daten zu suchen 107 108 KAPITEL 8 VERZEICHNISDIENSTE Informationskategorie Bezeichnung im Lookup Subsystem Bezeichnung in Directory Services Zugriffsrechte auf Verzeichnisdienstdaten AccessControls Verweise auf Benutzerkonten AFP AFPUserAliases E Mail Aliasnamen von Benutzern aliases Aliases Beschreibung der Verzeichnisdienstdaten AppleMetaRecord Daten f r Serverkonfiguration AutoServerSetup Server f r NetBoot BootP Protokoll bootp Bootp Zertifikatsstellen CertificateAuthorities MAC Adressen ethers Ethernets FileMaker Datenbankserver FileMakerServers Computernamen hosts Hosts Serverdienste HostServices Standort von verteilten Netzdiensten locations Locations Verwaltete Netzansichten Neighborhoods Dom nen NetDomains Computergruppen netgroups NetGroups Netzwerknamen networks Networks Kennwortserver PasswordServer Personenbezogene Kontaktdaten People Druckserverdienst PrintService Benutzer eines Druckserverdienstes PrintServiceUser TCP IP Protokolle protocols Protocols Ferne P
113. chon eine Wechselwirkung zwischen dem Aufgabenbereich AccounTs und dem Aufgabenbereich NETZWERK die auf den ersten Blick nicht ganz einfach zu verstehen ist Sie sollten im Hinterkopf behalten dass es in Mac OS X Computerkonten gibt die aber aus Sicht des Arbeitsgruppen Managers nur indirekt entweder als Mitglied einer Computerliste siehe Abschnitte 5 2 1 und 5 7 5 des Hauptbuchs oder als Eintrag f r verwaltete Netzwerkansichten angelegt werden k nnen Die berar beitete Eingabemaske in Tiger zum Anlegen der Computerkonten zeigt Abbildung 6 21 Die obere H lfte mit den Feldern NAME COMPUTERLISTE ETHERNET ID spiegelt die Rolle des Eintrags bei seiner Verwendung in einem Computerlisten Account wider die untere H lfte mit den Punkten NETZWERKANSICHT und URLs dient der Verwendung innerhalb einer verwalteten Netzwerkansicht ber das Aufdeckungs dreieck WEITERE OPTIONEN gibt es zudem noch einen dritten Bereich n mlich die M glichkeit optional Kommentare und Schl sselworte eingeben zu k nnen Bevor wir uns genauer um die Einstellm glichkeiten f r verwaltete Netzwerkan sichten k mmern m ssen ein paar Details zum technischen Hintergrund und den von Apple verwendeten Begriffen gekl rt werden 6 9 EINSTELLUNGEN F R DEN NETZWERKORDNER DES FINDERS 89 Wi Diesen Namen als Computername f r verwaltete Clients verwenden Computerliste Verwaltete Computer HJ Ethernet ID 00 03 93 11 ef 82 Netzwerkansicht und URL
114. chts unter der Tabelle 2 Es erscheint eine bersicht mit den Kategorien EINMAL H UFIG IMMER Klap pen Sie den Punkt H UFIG mit dem nebenstehenden Dreieck auf 3 Suchen Sie die Einstellung RICH TEXT und pr fen Sie ob sie tats chlich auf No steht Die deutsche Fassung des Arbeitsgruppen Managers bersetzt diesen Wert mit dem Begriff FALSCH 4 Falls unter dem Namen H UFIG noch andere Einstellungen au er RICH TEXT enthalten sein sollten w hlen Sie diese Zeilen aus und bet tigen Sie den Knopf L schen Wiederholen Sie diesen Vorgang bis R cH TEXT der einzige Eintrag im Bereich H UFIG ist Abbildung 6 19 5 Dr cken Sie den Knopf FERTIG unterhalb der Tabelle Wenn sich nun ein Benutzer im Netzwerk anmeldet und sein Konto befindet sich unter den Benutzer Gruppen oder Computerlistenkonten die Sie ausgew hlt hatten wird sein Einstellungswert f r neue Dokumente in TextEdit wie gew nscht auf die Betriebsart Reiner Text umgestellt Nach dem gleichen Prinzip k nnen Sie f r beliebige Programme Voreinstellungen in Ihrem Netz definieren Die einzige Voraussetzung ist dass es sich um native Mac OS X Programme handeln muss F r einige Altlastenprogramme die noch aus der klassischen Mac OS Welt stammen geht dies nicht da dort die Programme sich noch selbst um Einstellungen k m mern mussten und Mac OS X somit keine Kontrolle hat wie ein solches Programm seine Einstellungen verwaltet 84 KAPITEL 6 BENUTZER GRUPPEN UND CO
115. chung des Zugriffs auf Gruppenordner f r die Grup penmitglieder 2 2222 Coon 6 7 Verwaltete Benutzerkonten in der Standardversion von Mac OS X 6 8 Verwaltete Einstellungen f r Benutzerkonten 2 2 2 2 72 6 8 1 Einrichten von Einstellungen f r nicht unterst tzte Programme 76 6 8 2 Die Realisierung verwalteter Einstellungen 6 8 3 Arbeiten mit Einstellungsmanifesten 2 22 2 2200 6 9 Einstellungen f r den Netzwerkordner des Finders 6 9 1 Einf hrung a a A a a a a e a 6 9 2 Aufbau von verwalteten Netzwerkansichten 6 9 3 Erstellen einer verwalteten Netzwerkansicht 6 9 4 Zuweisung verwalteter Netzwerkeinstellungen an Klienten Die Dateiserverfunktionen 7 1 Maximale Pfadl ngen bei Verwendung von Automounts f r Privat Ordner 2 0 88 BE ra Erica 7 2 Einschr nkungen des NFS Servers 2 2 22 nun 7 3 ber AFP auf NFS Resharing 2 22 2222 cum ennnreneenn 7 4 Der CIFS SMB Server 2 22 Hmmm 7 4 1 Sicherungs Dom nen Controller 2 2 2 7 4 2 Neue ldentifizierungsmethoden 2 2 7 5 Probleme in gemischten Netzen 2 2 22 nenn 7 5 1 Kompatibilit tsprobleme des NFS Automounters 7 6 Unerw nschten Kerberos Einsatz verhindern 22 22 2 2 Verzeichnisdienste 8 1 Unterst tzte Informationskategorien 2 2 nme 8 2 Quellen f r Verwaltungsinformationen 2 22 8 3 Das Lookup Subsystem 2 2 2 2 2 2 nun 8
116. cken Sie im Abschnitt BENUTZERKENNWORT auf die Schaltfl che SICHER HEIT Dieser Knopf ist nur vorhanden wenn es sich wirklich um einen Ac count mit Shadow Kennwort handelt 6 Im nun erscheinenden Dialogfenster Abbildung 6 6 k nnen einzelne Identi fizierungsmethoden abgeschaltet werden Das ge nderte Konto ist mit Druck auf den Knopf SICHERN abzuspeichern F r den Fall der Speicherung der Kennworte in der Open Directory Datenbank 1 Starten Sie Server Admin und verbinden Sie sich mit dem betreffenden Server der den Open Directory Dienst beherbergt 62 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Allgemein Protokolle Richtlinien Kennw rter Bindung Sicherheit Bitte w hlen Sie die Identifzierungsmethoden f r Dienste die die Verzeichnis Domain dieses Servers verwenden Hash Methoden Diese Methoden speichern Kennw rter so dass es f r Angreifer schwieriger ist sie zu entschl sseln M NTLMv1 und NTLMv2 Windows NT 98 oder neuer M LAN Manager Windows 95 Clients M MS CHAPv2 VPN Clients R ckf hrbare Identifizierungsmethoden Diese Methoden speichern Kennw rter so dass Angreifer sie enschl sseln k nnen sofern sie Zugriff auf die Kennwortdatenbank des Servers erlangen M WebDAV Digest Web Clients M APOP POP3 Mail Clients bersicht Protokolle Archivieren Einstellungen tze jerr Abbildung 6 7 Sind die Kennworte in der Datenbank von Open Directory abgele
117. cu Optional L nge eefa 2 oj ane Tipps Verwenden Sie Gro Kleinschreibung Satzzeichen und Zahlen elde Opt Abbildung 6 8 Der Kennwortassistent ist eine neue Funktion von Mac OS X Tiger die oft bersehen wird Der Assistent kann die Sicherheit eines Kennworts einsch t zen und selbst gute Kennworte vorschlagen 6 4 Ausfall der Kerberos Funktionen in Tiger Wie erw hnt haben die ersten Versionen von Mac OS X 10 4 Server noch einige Kinderkrankheiten die sich besonders auf den Startvorgang des Betriebssystems auswirken Es kann in bestimmten Konfigurationen dazu kommen dass auch der Kerberos Schl sselverteilungsserver nicht startet Dies ist nat rlich besonders kri tisch da alle kerberisierten Dienste im Netzwerk auf die korrekte Funktion des Kerberos Servers angewiesen sein k nnen Im schlimmsten Fall kann sich au er den lokalen definierten Benutzern kein Benutzer im Netz mehr anmelden Grund f r das Versagen der Kerberos Funktionen ist in den meisten F llen ein Kom munikationsproblem mit dem DNS Server beim Start des Betriebssystems Wenn der DNS Server auf dem gleichen Computer wie der Kerberos Server l uft dann kann es das in Abschnitt 2 7 2 erw hnte Startproblem des DNS Dienstes sein das dann in einer Kettenreaktion zum Ausfall von Kerberos und aller anderen Netz dienste f hrt L uft der DNS Server auf einem Nicht Tiger System k nnen aber auch andere Probleme beim Hochfahren der N
118. date ZD 15 0 MB M QuickTime 7 0 3 33 1MB m RAID Admin 1 5 5 2 MB m M iTunes 6 0 12 8 MB tE iTunes Producer 1 1 MB iTunes Producer 1 3 1 includes support for Japanese album and track pricing It also includes a number of minor enhancements Gesamt 78 Gespiegelt 78 Aktiviert 78 Letzte Pr fung 10 18 05 11 47 13 Europe Berlin Jetzt suchen Abbildung 14 2 Die Liste der Update Pakete wird angezeigt Im Laufe der Zeit kommt ber 1 GByte an Software zusammen ber die Spalte AKTIV k nnen Sie steuern ob Sie das jeweilige Paket zum Einsatz auf Ihren Klienten freigeben m ch ten 1 Starten Sie das Programm Arbeitsgruppen Manager und verbinden Sie sich mit dem Server auf dem der Open Directory Dienst l uft an den Ihre Klienten gebunden sind 2 Sorgen Sie daf r dass der richtige Verzeichnisknoten f r netzweite Verwal tung ausgew hlt ist und melden Sie sich ber das Schlosssymbol bei diesem Knoten an 3 Klicken Sie in der Symbolleiste auf den Punkt EINSTELLUNGEN 4 W hlen Sie in der linken H lfte das Konto aus an das die Einstellung der Software Aktualisierung gebunden werden soll siehe auch Abschnitte 5 7 5 und 5 7 6 des Hauptbuchs 5 W hlen Sie rechts den Punkt SOFTWARE AKTUALISIERUNG aus 6 Stellen Sie die Option VERWALTEN auf IMMER 7 Geben Sie bei ZU VERWENDENDER SOFTWARE UPDATE SERVER die Adresse des Servers an den Sie oben als Spiegelserver konfiguriert hatten Es handelt
119. dc private als Vorschlag bernommen Auf bereits bestehende aktualisierte Server hat dies keinen Einfluss nderungen bei der Konfiguration Rufen Sie mit dem Server Admin Programm die Verwaltung des Dienstes OPEN DIRECTORY auf so sind in Tiger einige neue Protokollabfragen m glich Neben den schon in Panther vorhandenen Aufzeichnungen ber Open Directory Aktivit ten 111 112 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY k nnen Sie jetzt zus tzlich ber Server Admin die folgenden Protokolle anzeigen lassen e kadmin Protokoll Problemmeldungen und Statusberichte die bei der Ver waltung der Kerberos Dienste angefallen sind kdc Protokoll T tigkeitsbericht des Kerberos Schl sselverteilungsdienstes lookupd Protokoll Fehlermeldungen des lokalen Lookup Subsystems des Ser vercomputers Kennwort Server Replizierungsprotokoll T tigkeitsbericht ber das regel m igen Kopieren der Kennwortserverdaten an Replikatserver slapconfig Protokoll T tigkeitsbericht f r das ndern der Such und Ver waltungseinstellungen f r den LDAP Server und die Replizierungsfunktionen Ganz neu ist der Punkt ARCHIVIEREN der in Tiger Einzug in die Verwaltung des Open Directory Systems gehalten hat Mit diesem Punkt ist es m glich eine Da tensicherung aller Open Directory Daten durchzuf hren um eine vollst ndige Ko pie der Daten zu haben die im Falle eines Notfalls wieder ins System eingespielt werden kann Um diese Funktion nutzen zu
120. der Benutzersitzung synchronisiert werden sollen In beiden F llen sind die Einstell m glichkeiten gleich Abbildung 6 5 Die obere Tabelle erlaubt es die Unterordner des privaten Ordners ausw hlen die automatisch abgeglichen werden sollen Das Dr cken der Schaltfl che mit dem Pluszeichen legt einen neuen Eintrag an der von Hand eingegeben werden muss Beachten Sie dass nur Objekte des Privatordners synchronisiert werden k nnen die Pfade m ssen als BSD Pfade relativ zum Privatordner angegeben werden d r fen also nicht mit einem Schr gstrich beginnen Denken Sie auch daran dass die tats chlichen Ordnernamen auf Systemebene nicht mit der bersetzten Darstellung der Namen im Finder bereinstimmen m ssen Apple bevorzugt f r die relativen 58 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Synchronisieren Automatisch HJ Jetzt synchronisieren O Alle Nur ausgew hlte Ordner Synchronisieren Ordner id Bilder 5 Dokumente f a Filme f amp Musik a ffentlich BE Schreibtisch f L tmp J Web Sites M Status in der Men leiste anzeigen Abbrechen EED Abbildung 6 4 Anzeige der nicht verwalteten Synchronisationseinstellungen f r einen ortsungebundenen Benutzer auf einem mobilen Computer Pfade die bliche Unix Schreibweise bei der die Tilde als Platzhalter f r den Privat ordner verwendet wird Mit dem Minuszeichen l sst sich ein Eintrag wieder l schen die drei Punkte erlau b
121. der das Formular ZERTIFIKATIONSINFORMATIONEN Mit Ihren Da ten aus Hierbei ist wichtig dass als ALLGEMEINER NAME der DNS Name des POP Servers angegeben wird Das H kchen ZERTIFIKAT WIRD SELBST SIGNIERT WURZEL wird dieses Mal ausgeschaltet denn wir wollen ja unsere eige ne Zertifizierungsstelle das Zertifikat unterschreiben lassen Dr cken Sie auf FORTFAHREN 3 W hlen Sie im n chsten Dialogfenster den gew nschten Aussteller Dies soll te unsere oben erzeugte Root Zertifizierungs Instanz sein Dr cken Sie auf FORTFAHREN 4 W hlen Sie den Schl sselbund in dem das neue Zertifikat abgespeichert wer den soll 5 Es erscheint ein Abschlussfenster dass das neue Zertifikat erfolgreich erstellt wurde Das Zertifikat sollte mit einem gr nen H kchen als g ltig markiert sein Im angelegten Schl sselbund f r unsere privaten Zertifikate sollte nun drei neue Eintr ge f r das Zertifikat selbst und dessen Schl ssel zu finden sein Beachten Sie dass das Zertifikat der Zertifizierungsstelle gelb und das normale Zertifikat blau dargestellt wird Importieren des Zertifikats Wir haben das neue Zertifikat dieses Mal im Zertifizierungsassistenten erstellt nicht wie in Abschnitt 9 3 3 beschrieben im Server Admin Programm Um das Zertifikat f r den POP Server nutzen zu k nnen m ssen wir es erst in die Serveradministra tion kopieren Hierzu sind weitere Schritte erforderlich 1 W hlen Sie das soeben neu erzeugte bla
122. der das betreffende Gruppenkonto speichert und melden Sie sich als Ver zeichnisdienstverwalter an 2 W hlen Sie in der linken H lfte des Fensters das Symbol f r Benutzergruppen aus und klicken Sie die betreffende Gruppe an 6 6 ARBEITEN MIT GRUPPENORDNERN Objekte im Dock Aussehen des Docks A gt AN e Verwalten Nie J Einmal Immer Diese Objekte im Dock des Benutzers anzeigen Programme Objekt Ar amp mail Programm ES A Safari Programm 0 Hinzuf gen ichat Programm EHERTER W Adressbuch Programm X Dokumente und Ordner M Gruppenordner hinzuf gen Objekt Art F employee Ordner Hinzuf gen Entfernen Bewegen Sie die Objekte in die gew nschte Anzeigereihenfolge M Mit Dock des Benutzers zusammenf hren Andere Ordner hinzuf gen Meine Programme _ Dokumente _ Privat im Netzwerk 71 Abbildung 6 11 ber verwaltete Einstellungen ist es m glich den Mitgliedern der Gruppe ein Symbol f r den Gruppenordner im Dock einzublenden Die Verbin dung kann manuell hergestellt werden ohne dass eine Adresse eingegeben wer den muss 3 W hlen Sie in der Symbolleiste den Punkt EINSTELLUNGEN 4 W hlen Sie in der bersicht der Einstellungen die Rubrik Dock aus 5 Stellen Sie die Auswahl VERWALTEN auf IMMER 6 Kreuzen Sie ber der unteren Tabelle den Punkt GRUPPENORDNER HINZUF GEN an 7 Bet tigen Sie die Schalfl chen JETZT ANWENDEN und FERTIG Abbil
123. derungen vorgenommen haben muss im Moment nicht beachtet werden Sind die Gliederungs und Syntaxregeln der Datei eingehalten worden beh lt das Mailsystem bei der Tiger Aktualisierung die Einstellungen bei und es ist keine erneute Anpassung n tig Falls die Konfiguration Ihres Mailservers das Problem aufweisen sollte dass zwar lokale E Mails mit Adressen nach dem Muster hans oder hans g4server korrekt zugestellt werden die Weiterleitung von Inhaus Mails mit den Adressen hans example private falls Ihre DNS Dom ne example private ist jedoch verweigert wird versuchen Sie zur Abhilfe virtuelles Hosting f r Ihre eige ne Dom ne einzuschalten Hierzu gehen Sie nach Auswahl des Dienstes MAIL im Programm Server Admin in den Punkt EINSTELLUNGEN ERWEITERT HOSTING und kreuzen dort das Feld VIRTUELLES HOSTING AKTIVIEREN an Danach f gen Sie ber die Plus Schaltfl che neben der Tabelle Ihren eigenen DNS Dom nennamen in die Tabelle ein 11 2 Einrichtung des Mail Servers 11 2 1 Basiseinstellungen ffnen Sie in Server Admin den Dienst MAIL und gehen zu EINSTELLUNGEN ALLGE MEIN so werden Sie neben einer starken berarbeitung der Eingabemasken zwei neue Funktionen entdecken die jetzt ber die grafische Oberfl che verf gbar sind Der Punkt An VAR MAIL ZUSTELLEN WENN POP unD IMAP DEAKTIVIERT SIND be zieht sich auf klassische Art und Weise wie E Mail vor der Erfindung der Post fachprotokolle POP und IMAP in einem N
124. des Betriebssystems ausmachen in zwei verschiedenen Versio nen eine f r 32 eine f r 64 Bit mitliefert so dass sich die Programme den f r 3 4 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER sie passenden Code heraussuchen k nnen Aus technischen Gr nden l sst sich die Adressierung innerhalb eines laufenden Programms nicht zwischen 32 und 64 Bit mischen so dass jeder Prozess sich strikt in einer der beiden Betriebsarten befinden muss Zur Kompatibilit t mit lteren Programmen werden die 32 Bit Module des Betriebssystems noch f r viele Jahre erhalten bleiben Alle Komponenten f r die grafische Oberfl che zum Beispiel stehen mit Absicht noch nicht in einer 64 Bit Variante zur Verf gung da die 64 Bit Technik hier keine Vorteile bringt eher sogar Nachteile da die doppelt so langen Adressen mehr wertvollen Speicherplatz ver brauchen w rden Als Konsequenz kann die 64 Bit Adressierung in Mac OS X 10 4 nur f r nicht grafische Programme genutzt werden Ein Programm mit grafischer Oberfl che das trotzdem 64 Bit Technik nutzen soll muss daher in ein Front End in 32 Bit Technik und ein Back End mit 64 Bit geteilt werden und beide H lften m ssen ber eine Schnittstelle miteinander kommunizieren Die Trennung der Programmkomponenten in 32 und 64 Bit macht es auch m g lich den Code so zu optimieren dass andere Vorteile der G5 Architektur wie z B dessen ge nderte AltiVec Architektur genutzt werden k nnen Apple verwend
125. des Programms geschieht ber sudo launchct load Library LaunchDaemons org dansguardian dansguardian plist sudo launchct unload Library LaunchDaemons org dansguardian dansguardian plist 162 KAPITEL 12 WEB DIENSTE 12 2 Apples Erweiterungsmodule zu Apache Bei den von Apple mitgelieferten Modulen des Webservers ist zu beachten dass ab 10 4 das im Hauptbuch erl uterte Modul mod_sherlock_apple nicht mehr mit geliefert wird Die Technologie Sherlock wurde von Apple aufgegeben und durch Spotlight ersetzt Dementsprechend gibt es ein neues Modul mit der Bezeichnung mod_spotlight_apple Um dieses Modul zu nutzen m ssen Sie Spotlight zumindest f r den Datenbereich in dem die HTML Dateien Ihres Webservers liegen einschalten Wie bereits erw hnt ist Spotlight aus gutem Grund in einer Installation von Mac OS X Server deaktiviert Wenn Sie Spotlight auch nur teilweise einschalten kann das einige Performance Probleme nach sich ziehen so dass Sie diese Funktion nur dann nutzen sollten wenn es unbedingt n tig ist und der Server ausschlie lich als Web Server arbeitet Um Spotlight auf den Web Speicherbereich anzusetzen muss zun chst das physi sche Volume auf dem die Web Dokumente liegen f r die Benutzung von Spotlight freigeschaltet werden Dies geschieht durch Eingabe des Befehls sudo mdutil i on Hierbei sind wir davon ausgegangen dass der Web Speicherbereich sich an seinem Standardort also auf dem Start Volume im Ordner
126. det werden soll Das Klappmen bietet Ihnen automatisch die Zertifikate an die Sie wie in Abschnitt 9 3 beschrieben in Server Admin eingerichtet haben ber den Knopf in der Symbolleiste k nnen Sie den Chat Server starten oder stop pen Berichte ber den Betrieb des Jabber Dienstes k nnen Sie bekommen indem Sie den Punkt PROTKOLL am unteren Fensterrand aufrufen 12 4 3 Verwendung von iChat Haben Sie einen privaten iChat Server erfolgreich eingerichtet k nnen Ihre Benut zer an hausinternen Chats mit iChat oder anderen XMMP Programmen teilnehmen Der typische Aufbau einer iChat Sitzung l uft folgenderma en ab 12 4 INSTANT MESSAGING MIT DEM ICHAT SERVER 175 1 Starten Sie das Programm iChat Es befindet sich im Programme Ordner 2 Falls Sie das Programm in diesem Benutzer Account zum ersten Mal verwen den erscheint ein Begr ungsfenster Bet tigen Sie die Schaltfl che FORT FAHREN 3 Es erscheint das Fenster ICHAT INSTANT MESSAGING KONFIGURIEREN Sie sollten an dieser Stelle Ihren Namen und Vornamen in die entsprechenden Felder eintragen Das Ausf llen der anderen Felder ist f r hausinternes Messaging ber den iChat Server unn tig Bet tigen Sie die Taste FORTFAHREN 4 Es erscheint das Fenster JABBER INSTANT MESSAGING KONFIGURIEREN Abbil dung 12 12 Kreuzen Sie bitte den Punkt JABBER INSTANT MESSAGING VER WENDEN an und geben Ihren Benutzernamen und Kennwort ein Das Kenn wort ist Ihr normales Open Directory
127. dienst ermittelt die technischen Details wie der Partner momentan zu erreichen ist und koordi niert als Chat Server den Verbindungsaufbau Apple stellt in Mac OS X Tiger Server einen solchen Dienst unter dem Namen iChat Server bereit Er wird in Wirklichkeit durch das quelloffene Programm Jabber englisch plappern realisiert Wenn Sie iChat verwenden um eine IM Sitzung ber das Internet aufzubauen bietet Ihnen Apple normalerweise an entweder ein Benutzerkonto in Apples Mac Dienst oder ein A M Benutzerkonto America Online Instant Messenger als Basis f r die Vermittlung einzusetzen Mit einem eigenen iChat Server in Ihrem Hausnetz ist dies nicht mehr n tig zumindest wenn Sie sich auf Kommunikationspartner im eigenen Netz beschr nken Gegen ber einem gro en Chat Verzeichnisdienst bietet ein privater iChat Server die folgenden Vorteile e Die Nutzung ist kostenlos und nicht an fremde Nutzungsvertr ge gebunden e Die Chat Teilnehmer werden durch Open Directory identifiziert indem sie Na me und Kennwort eingeben Sie k nnen daher in der Regel sicher sein dass 12 4 INSTANT MESSAGING MIT DEM ICHAT SERVER 173 Ihre Kommunikationspartner auch die sind f r die sie sich ausgeben e Wenn Sie auf dem Server ein SSL Zertifikat hinterlegt haben wird die Kom munikation verschl sselt durchgef hrt Sie k nnen daher auch vertrauliche Firmendaten im Chat diskutieren Der iChat Server ist nicht auf Kommunikationspartner die iC
128. dung 6 11 zeigt das Einrichten der verwalteten Einstellung Abbildung 6 12 das Ergebnis Beim ersten Start erscheint ein Fragezeichensymbol im Dock Nach dem Anklicken wird ein Mount Befehl ausgel st und das Symbol verwandelt sich in ein Ordnersymbol Der bergeordnete Gruppenordner erscheint als verbundenes Netzwerk Volume Einrichten eines Startobjekts zum halbautomatischen Mount 1 Starten Sie den Arbeitsgruppen Manager verbinden Sie sich mit dem Server der das betreffende Gruppenkonto speichert und melden Sie sich als Ver zeichnisdienstverwalter an 72 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Abbildung 6 12 Vorher und Nachher Im Dock wird das Symbol zun chst als Fra gezeichen angezeigt Nach Anklicken und Herstellen der Verbindung ist der Grup penordner verf gbar 2 W hlen Sie in der linken H lfte des Fensters das Symbol f r Benutzergruppen aus und klicken Sie die betreffende Gruppe an W hlen Sie in der Symbolleiste den Punkt EINSTELLUNGEN W hlen Sie in der bersicht der Einstellungen die Rubrik ANMELDUNG aus Stellen Sie die Auswahl VERWALTEN auf IMMER a v PR W Kreuzen Sie in der unteren H lfte des Fensters den Punkt GRUPPENVOLUME HINZUF GEN an 7 Bet tigen Sie die Schalfl chen JETZT ANWENDEN und FERTIG In diesem Fall wird die Verbindung zum Gruppenordner unmittelbar nach der An meldung hergestellt 6 7 _ Verwaltete Benutzerkonten in der Standardversi on von Mac OS X
129. e Um den Standard zu ndern klicken Sie im Weblog in Einstellungen Abbildung 12 4 Der Administrator hat beim Einrichten des Weblog Dienstes wenig zu tun Nur ein paar Einstellungen sind zur Inbetriebnahme n tig Die Organisation des Dienstes wird von den Weblog Teilnehmern selber durchgef hrt Library Application Support Weblogs es steht Ihnen aber frei aus organisatorischen Gr nden einen anderen Ordner anzugeben Beachten Sie dass Sie den Ordner einstellen sollten bevor Sie den Weblog Dienst in Betrieb nehmen da bereits angelegte Blogs nicht an den neuen Ort umkopiert werden Im Feld E Ma L DoMain sollten Sie den DNS Dom nenna men der Dom ne eintragen unter der die Blog Benutzer blicherweise elektroni sche Post empfangen Diese Einstellung wird von Blojsom benutzt um in der Be nutzerf hrung jeweils g ltige E Mail Adressen zur Kontaktaufnahme mit den Blog Teilnehmern angeben zu k nnen Aus Sicht des Verwalters ist dies fast alles was zu tun ist Alle anderen Aufgaben werden direkt von den Blog Teilnehmern selber erledigt was wir im Folgenden kurz beschreiben Als Administrator sollten Sie nur darauf achten dass der oben erw hnte Blog Ordner regelm ig in einer Datensicherung gesichert wird Wichtig in diesem Zusammenhang sind auch die folgenden Hinweise Die Stylesheets im CSS Format befinden sich in den Ordnern Library Tomcat blojsom root webapps RO0T blojsom resources stylesheets Library Tomc
130. e Folgen von Ziffern werden zu Kennwortvorschl gen zu sammengesetzt Diese Konstruktionsprinzip gilt allerdings als nicht so sicher wie andere Verfahren Zuf llig Es wird eine v llig zuf llige Folge von lateinischen Schriftzeichen zu Kennwortvorschl gen zusammengesetzt FIPS 181 kompatibel Es werden Kennwortvorschl ge zusammengestellt die nach der Durchf hrungsverordnung FIPS 181 der Vereinigten Staaten Fe deral Information Processing Standards Publication 181 berechnet wurden Im Feld VORSCHLAG wird der derzeitige Kennwortvorschlag angezeigt Es handelt sich um eine Kombobox die Sie aufklappen k nnen um insgesamt zehn Vorschl ge anzeigen zu lassen Au erdem steht ein Men punkt zur Verf gung um zehn neue Vorschl ge berechnen zu lassen Der Schieberegler L NGE erlaubt Ihnen die gew nschte L nge des neuen Kennworts einzustellen Sie k nnen zwischen 8 und 31 Zeichen w hlen Das Feld QuaLIT T stellt mit einem verschieden langen Balken dar wie hoch die Sicherheit des gerade gew hlten Kennworts eingesch tzt wird Au erdem wechselt der Balken die Farben von rot nach gr n je sicherer das Passwort gilt Warum ein Kennwort als eventuell unsicher eingestuft wird wird mit einem Ratschlag wie man es besser machen k nnte im Feld Tipp angezeigt 64 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Kennwort sseessssese g 0 oOc Kennwort Assistent Er Art FIPS 181 kompatibel EL Merkhilfe Vorschlag yugdywanga
131. e Sie in den Text eingeben automatisch zu erkennen und erstellt daraus einen korrekten Link Sie k nnen selbstverst ndlich auch Links verwenden die auf andere Weblog Ein tr ge von Ihnen oder von anderen Autoren verweisen Dar ber hinaus gibt es in Weblogs aber noch eine zweite Art von Link die verwendet werden kann Eine sogenannte R ckverbindung oder Trackback ist ein Link der in einem fremden Weblog Eintrag an einer besonderen Stelle erscheint und dann auf Ihren jetzigen 12 3 DER WEBLOG DIENST BLOJSOM 169 Hans Schmitz s Weblog Created with Mac OS X Server Heh schaut mal Kategorie Test Weblog Die Maria macht mir alles nach Oktober 2005 Son Mon Die Mit Don Fre Sam Hans 1 Eintrag von Hans Schmitz 5 7 8 10 11 12 13 14 15 0219120 21 22 24 25 26 27 28 29 31 Bloggen ist cool lt Sep Heute Nov gt Kategorie Test Weblog 12 Oktober 2005 21 36 20 CEST 0 Kommentare 0 R ckverbindungen 17 trackbacks Hallo Leute dies ist mein neuer Weblog Eintrag von Hans Schmitz Alle Eintr ge 12 Oktober 2005 21 29 09 CEST 2 Kommentare 0 R ckverbindungen trackbacks Test Weblog C E A Anmelden Abbildung 12 7 Weblogs werden in einer schicken Oberfl che pr sentiert Die Ein tr ge werden automatisch nach Datum und Uhrzeit sowie nach frei w hlbaren Kategorien abgelegt Eintrag zur ckverweist An einem Beispiel wird de
132. e durch die verwalteten Einstellungen gegebenen Punkt zu seinen normalen Objekten im Netzwerkord ner hinzuf gen Wird jedoch die Einstellung NETZWERKANSICHT ERSETZEN einge stellt so wird bis auf symbolische Links und Mount Points der gesamte Inhalt des Netzwerkordners durch die Objekte der verwalteten Netzwerkansicht ersetzt Kapitel 7 Die Dateiserverfunktionen 7 1 Maximale Pfadl ngen bei Verwendung von Au tomounts f r Privatordner In der Vergangenheit hat Apple mehrmals nderungen bez glich der Strategie durchgef hrt wie der Automounter von Mac OS X die Pfade f r die symbolischen Links auf Client Seite zusammengesetzt hat siehe hierzu Abschnitt 6 3 1 im Haupt buch Diese nderungen haben w hrend der Lebenszeit von Panther zu kritischen Problemen gef hrt In manchen Systeminstallationen wurden Automount Eintr ge f r die privaten Home Ordner der Benutzer ung ltig weil eine bestimmte L nge der Ordnerpfade berschritten wurde Apple hat sich daher veranlasst gesehen bestimmte Vorschriften ber die maximale L nge der Pfadangaben f r Privatord ner zu machen Die maximale L nge bezieht sich auf die Anzahl der Zeichen die zur Speicherung des BSD Dateipfades zum Zugriff auf einen privaten Ordner auf einem Client Computer verwendet wird Beispiel Auf unserem Server g4server example private haben wir einen ber AFP geshareten Ordner f r die privaten Ordner aller Netzwerkbenutzer eingerichtet der auf einem
133. e teilweise durch Aufrufe auf der Kom mandozeile ersetzt Wir skizzieren im Folgenden das Einrichten eines Gruppenord ners auf einem Mac OS X Server 6 6 1 Einrichten eines Gruppenordners auf einem zentralen Datei server Wir gehen davon aus dass Sie auf einem Mac OS X Server einen Dateiserverdienst wie AFP aktiviert haben Es soll nun ein Gruppenordner f r die Benutzergruppe em ployee eingerichtet werden Wir legen diesen Gruppenordner als Unterordner eines zentral freigegebenen Ordners f r Gruppenordner an Apple schl gt in Mac OS X Server den Ordner Groups der im deutschsprachig eingestellten Finder als Grup pen angezeigt wird als bergeordneten Ordner vor 1 Starten Sie den Arbeitsgruppen Manager und verbinden Sie sich mit dem 6 6 ARBEITEN MIT GRUPPENORDNERN 67 Kurzname UID Bedeutung accessibility 83 Abtrennung der Rechte f r Bedienungshilfendienste amavisd 83 Abtrennung der Rechte f r SpamAssassin appowner 87 M gliche Abtrennung der Rechte f r Programme authedusers 50 Windows Gruppe Angemeldete Benutzer certusers 29 Abtrennung der Rechte f r Umgang mit Zertifikaten clamav 82 Abtrennung der Rechte f r ClamAV consoleusers 53 Windows Gruppe Terminal Server Benutzer daemon 1 Abtrennung der Rechte f r Unix Systemdienste everyone 12 Gruppe zur Abbildung der Windows Gruppe Jeder group 16 Windows Gru
134. echten Teil des Fensters zum Punkt EINSTELLUNGEN 174 KAPITEL 12 WEB DIENSTE Allgemein Host Domains g4server example private L Begr ungsmeldung Willkommen beim iChat Dienst der Beispielfirma GmbH SSL Zertifikat g4server example private J Abbildung 12 11 Die Einrichtung des iChat Servers ist sehr bersichtlich Es reicht aus den Domain Namen eine Begr ungsmeldung und eventuell ein SSL Zertifikat anzugeben Es erscheint die Anzeige aus Abbildung 12 11 Geben Sie im oberen Feld Host Domains mindestens einen Dom nennamen an unter dem Jabber die einzelnen Benutzerkonten f hren soll Auf Chat Benutzer wird durch Adressen der Form benutzer dom nenname Bezug genommen Diese Adressen sehen wie E Mail Adressen aus m ssen aber nicht mit ihnen identisch sein Sie dienen als Pseudonym Nickname der Chat Benutzer wobei allerdings schon festgelegt ist dass es sich beim Benutzerna men um den Kurznamen des Accounts um beim Dom nennamen um eine g lti ge DNS Namen des Servers handeln muss Befindet sich der Server in mehreren DNS Dom nen oder weist er Aliasnamen auf k nnen weitere Eintr ge ber die Plus Taste in die Tabelle eingef gt werden Im Feld BEGR SSUNGSMELDUNG k nnen Sie eine mehrzeilige Meldung definieren die den Chat Partnern nach erfolgreichem Aufbau der Verbindung angezeigt wird Im Feld SSL ZERTIFIKAT w hlen Sie ein Zertifikat aus das f r die SSL Verschl sselung verwen
135. egebenes Zertifikat g ltig ist Wahrscheinlich erkennen Sie dass OCSP gegen ber CRL das elegantere System ist Man sch tzt dass sich auf absehbare OCSP als Pr fungsverfahren durchsetzen wird Um OCSP CRL oder beide Verfahren in Mac OS X nutzen zu k nnen brauchen Sie nur eine Einstellung im Schl sselbund zu ndern Abbildung 9 8 1 Rufen Sie im Programm Schl sselbund den Men punkt SCHL SSELBUND EINSTELLUNGEN auf 2 W hlen Sie die Rubrik ZERTIFIKATE aus 3 W hlen Sie in den Klappmen s f r OCSP und CRL jeweils die von Ihnen ge w nschte Sicherheitsrichtlinie aus Sie k nnen entweder keine Pr fung auf zur ckgezogene Zertifikate durchf hren Aus versuchen eine Pr fung durch zuf hren aber falls die Pr fung kein schl ssiges Ergebnis liefert das Zertifikat trotzdem akzeptieren BESTER VERSUCH die Pr fung immer dann durchf h ren falls im Zertifikat ein entsprechender Vermerk angegeben ist ERFOR DERLICH FALLS IM ZERTIFIKAT ANGEGEBEN oder generell erzwingen dass alle Zertifikate streng gepr ft werden m ssen F R ALLE ZERTIFIKATE ERFORDER LICH 4 ber den Punkt PRIORIT T k nnen Sie einstellen ob OCSP oder CRL der Vor zug gegeben werden soll beziehungsweise ob sogar beide Verfahren heran gezogen werden m ssen bevor ein Zertifikat als g ltig anerkannt wird 9 3 ARBEITEN MIT ZERTIFIKATEN 125 r 0 00O Einstellungen Allgemein Erste Hilfe Zertifikate OCSP Online Certificate
136. ei Komponenten aus denen sich eine Netzwerkansicht zusammen setzt unterscheidet Apple drei Arten von Ansichten die entscheiden auf welchen Computern im Netz letztendlich welche Ansichtseinstellungen wirksam werden benannte Ansicht Eine benannte Ansicht ist die speziellste Form einer Netz werkansicht Wie der Begriff schon andeutet muss sie mit einem Namen versehen werden Der Name ist mit einer bestimmten Gruppe von Compu tern des Netzwerks verkn pft f r die die jeweiligen Ansichtseinstellungen g ltig werden sollen Die Gruppe der Computer wird entweder ber deren MAC Adresse ber deren IP Adressen ber deren Zugeh rigkeit zu einem IP Teilnetz oder ber Computerkonten bestimmt Standardansicht Die Standardansicht kann nicht selbst benannt werden sondern tr gt den von Apple vorgegebenen Namen Standard Sie wird auto matisch f r alle Computer aktiv die sich nicht schon innerhalb einer benann ten Ansicht befinden und die einen Verzeichnisdienstsuchpfad verwenden in dem sich der Open Directory Server befindet auf dem diese Ansicht definiert ist ffentliche Ansicht Eine ffentliche Ansicht ist die lockerste Form der Bin dung die zwischen der Definition der Ansicht und einem Client Computer bestehen kann Ist ein Computer nicht bereits an eine benannte Ansicht ge bunden und ist auch keine Standardansicht in seinem Verzeichnisdienstsuch pfad vorhanden so fragt er im Netz ob nicht irgendein Open Directory Ser ver Ans
137. eibweise an um damit eine ganze Gruppe von Computern auszuw hlen Das Teilnetz 192 168 1 0 mit der Maske 255 255 255 0 wird in CIDR Schreibweise zum Beispiel als 792 168 1 0 8 geschrieben N here Hinweise finden Sie unter dem Stichwort CIDR Schreibweise im Hauptbuch Sie geben eine frei gew hlten Namen an und m ssen diesen Namen an schlie end noch in einem zweiten Schritt an ein Computerkonto kn p fen Dies wird weiter unten beschrieben Das Ankreuzfeld AKTIVIERT erm glicht es eine eingerichtete Ansicht kurzfri stig aus und einzuschalten Sie k nnen somit auch ruhende Einstellungen in Reserve halten Bet tigen Sie die Schaltfl che mit dem Plus Zeichen unterhalb der Tabelle Es erscheint ein Men mit dem Sie eine neue Netzwerkumgebung einen Com puter oder eine dynamische Liste hinzuf gen k nnen Durch Wiederholung dieses Schritts stellen Sie nach und nach die Netzwerkansicht zusammen wo bei sich die einzelnen Eintr ge in der Tabelle der Rubrik Layout sammeln F gen Sie eine neue Netzwerkumgebung hinzu so erscheint ein entsprechendes Ordnersymbol in der Tabelle Sie m ssen nur noch einen neuen Namen f r den Ordner angeben Dies entspricht der Vorgehensweise wenn Sie ber den Finder einen neuen Ordner im Dateisystem anlegen w rden Sie k nnen Eintr ge bri gens auch mit der Maus in Ordner verschieben ganz so wie Sie es auch im Finder machen w rden Legen Sie einen Eintrag vom Typ Computer an so ersc
138. ein um den Netzbenutzern die Pr sen tation der Netzumgebung so bersichtlich wie m glich zu gestalten Das Verwalten des Netzwerkordners ist f r sehr gro e sehr heterogen zersplitterte Netze gedacht Dort kommt man oft nicht umhin dass Benutzer auch einmal manuell eine Verbindung zu einem bestimm ten Server im Netz herstellen m ssen In einem kleinen Netz ist das weniger sinnvoll Hier bleibt es nat rlich wesentlich komfortabler mit Automounts zu arbeiten so dass Netzwerkordner bereits an der rich tigen Stelle im Dateisystem erscheinen ohne dass sich die Benutzer um Server und Details des Netzes k mmern m ssen Auf den ersten Blick scheinen die Einstellungen f r den Netzwerkordner sich wie verwaltete Einstellungen zu verhalten Im Detail sieht dies jedoch anders aus Die Einstellungen werden nicht spezifischen Benutzern oder Gruppen zugeordnet Sie werden deshalb nicht wie blich an Konten gebunden Stattdessen wird diese Art von Einstellung bestimmten Computern oder einem IP Teilnetz zugewiesen Aus diesem Grund wird daf r im Arbeitsgruppen Manager ein komplett neuer Auf gabenbereich eingef hrt Es handelt sich um das neue Symbol NETZWERK in der Symbolleiste Doch Vorsicht Die Einstellungen f r den Netzwerkordner nutzen Computereintr ge Hierbei handelt es sich um die gleichen Eintr ge die auch in den Computerlisten Accounts verwendet werden um einen Computer zu beschreiben Von daher be steht s
139. ein f hrender Schr gstrich der hinter diese Adresse geh ngt wird Abbildung 6 10 zeigt ein Beispiel 6 Geben Sie in das Feld EIGENT MER im unteren Bereich des Fensters den Kurz namen eines Benutzers an der im Dateisystem als Eigent mer f r den Grup penordner fungieren soll Dieser Benutzer wird damit eine Art Gruppenver walter Sie k nnen die Schaltfl che mit den drei Punkten bet tigen um sich die Liste der Benutzerkonten einblenden zu lassen und einen Eintrag mit der Maus ins Feld zu ziehen 7 Bet tigen Sie die Schaltfl che SICHERN um die Einstellungen abzuspeichern Sie k nnen die Schritte des letzten Abschnitts wiederholen um alle Gruppenord ner die Sie im Moment brauchen zu definieren Beachten Sie dass die Gruppen ordner noch gar nicht im Dateisystem existieren Sie werden nun angelegt 1 ffnen Sie ein Terminal Fenster 2 Geben Sie das Kommando sudo CreateGroupFolder v an Mac OS X erstellt hierdurch alle Gruppenordner die Sie definiert haben und richtet entsprechende Unterordner mit den richtigen Berechtigungsein stellungen ein Die Option v bewirkt dass wir einen ausf hrlichen Status bericht erhalten Durch Hinzuf gung des Optionsbuchstabens f k nnen Sie erzwingen dass Mac OS X auch bei bereits existierenden Ordnern die Berech tigungen noch einmal neu anpasst Diese Option ist mit Vorsicht zu genie en 70 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Geben Sie den Mac OS X Server an a
140. eine Demonstration von QTSS Abbildung 12 16 Die Daten f r die zu erstellende Web Seite werden eingegeben lishers ver ndert sich und erlaubt nun Details f r die neue Web Seite einzugeben Als erstes m ssen wir noch einmal best tigen dass unsere Wiedergabeliste tat s chlich in die neue Web Seite eingeblendet werden soll Sie m ssen hierzu sicher stellen dass die Wiedergabeliste immer noch im Sendezustand ist der Broadcast Status lautet wird gesendet und neben dem Listensymbol erscheint ein hellblau es Sendesymbol Ziehen Sie in der Tabelle QuELLE das Symbol der Wiedergabe liste auf das Symbol der Web Seite Danach wird die Liste in der Tabelle INHALT DER WEBSEITE angezeigt Abbildung 12 16 Beim Punkt BESCHREIBUNG k nnen Sie einen Text eingeben der auf der Seite unterhalb des Videos erscheinen soll Bet tigen Sie zum Schluss die Schaltfl che ANWENDEN rechts unten und dr cken oben auf der Seite unter SPEICHERORT DER WEBSEITE auf FFNEN Die Web Seite wird generiert auf den Server geschickt und Ihr Standard Web Browser ge ffnet der zugleich die neue Seite anzeigt Abbildung 12 17 zeigt das Endergebnis in Safari Wie bereits im Hauptbuch erw hnt erzeugt der QTSS Pu blisher allerdings immer noch HTML Code mit einigen Unstimmigkeiten wie nicht zueinander passenden Bildgr en von Miniatur Filmgr e und Player In Version 10 4 ist dies nicht besser geworden hier werden auch teilweise die berschriften fa
141. eine neue Deckblattoption zur Verf gung die im Druckermen erscheint Abbildung 10 2 10 4 NEUE FEATURES AUF CLIENT SEITE 141 Drucker Testprinter Voreinstellungen Standard EREJE I Deckblatt Deckblatt drucken O Ohne Vor dem Dokument O Nach dem Dokument Art des Deckblatts Geheim B Rechnungsinformationen Abteilung Buchhaltung PDFw Vorschau Abbrechen Drucken Abbildung 10 2 Client seitig stehen mehr Deckblattoptionen zur Verf gung Das Deckblatt kann auch nachgestellt werden und Informationen zur Abrechnung ent halten Unabh ngig von der eingestellten Sprache erscheinen die Deckbl tter mo mentan allerdings immer auf englisch Das Blatt kann wahlweise vor oder nachgestellt werden und es l sst sich ein op tionaler Vermerk RECHNUNGSINFORMATIONEN auf das Blatt drucken wer hausin tern den Druckjob zahlen soll Hiervon unabh ngig wird wie bisher der Name des druckenden Benutzers erfasst was in eine eventuell eingeschaltete Kontingentie rung mit eingeht Die Einrichtung eines neuen Netzwerkdruckers im Drucker Dienstprogramm wur de vollst ndig berarbeitet Bet tigen Sie die Schaltfl che HINZUF GEN erscheint dank Bonjour in der Rubrik STANDARD BROWSER automatisch eine Liste der in Ihrem Teilnetz vorhandenen Mac OS X Tiger Druckserver genauer gesagt deren Drucker warteschlangen Durch Anklicken einer der aufgelisteten Drucker werden automa tisch s mtlic
142. eizugriff AFP verwendet wird Erst nachdem die erste Synchronisation des Privatordners erfolgt ist kann ein VPN eingesetzt werden e Bedenken Sie die Konsequenzen f r Ihre Datenschutz und Datensicherheits richtlinien wenn sie ortsungebundene synchronisierte Privatordner einset 56 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER zen Dateien die auf der lokalen Offline Kopie ge ndert oder neu angelegt werden nehmen so lange nicht an einer zentralen Datensicherung des Fileser vers teil bis die n chste Synchronisierung stattgefunden hat Da die mobilen Privatordner Kopien von Daten des Fileservers enthalten die sich vom Netz weg in m glicherweise nicht vertrauensvolle Umgebungen bewegen berle gen Sie ob Sie nicht zus tzliche Schutzma nahmen wie die Verschl sselung ber FileVault das Einrichten von Open Firmware Kennworten auf allen Mo bilcomputern etc etablieren m ssen 6 1 2 Einrichten der Synchronisationsregeln f r private Dateien Nicht verwaltete Einstellungen Sind keine verwalteten Einstellungen f r die Synchronisation privater Dateien de finiert aber ein ortsungebundener Benutzer verwendet Mac OS X Tiger auf einem Clientcomputer so verwendet dieser Computer Standardwerte f r die Synchroni sation Der Benutzer sieht an einem zus tzlichen Men leistensymbol Abbildung 6 3 dass f r seinen Privatordner Synchronisationsfunktionen zur Verf gung ste hen Er kann diese auch manuell ber das daran h ngende Men
143. ekt vom Benutzer ndern zu lassen 7 6 UNERW NSCHTEN KERBEROS EINSATZ VERHINDERN 105 r SKORS hans G4SERVER EXAMPLE PRIVATE 10 Stunden oO hans G4SERVER EXAMPLE PRIV 1 G Q Y G Aktiver Benutzer Neu Erneuern L schen Kennwort nformat Ticket Cache Verbleibende Zeit v5 hans G4SERVER EXAMPLE PRIVATE 10 00 Tickets Verbleibende Zeit Y v5 hans G4SERVER EXAMPLE PRIVATE krbtgt G4SERVER EXAMPLE PRIVATE G4SERVER EXAMPLE PRIVATE 10 00 afpserver g4server example private G4SERVER EXAMPLE PRIVATE 10 00 Abbildung 7 6 Ebenso hat das Programm zur Verwaltung von Kerberos Tickets eine neue Oberfl che bekommen Es steht jetzt auch in deutscher Sprache zur Ver f gung 106 KAPITEL 7 DIE DATEISERVERFUNKTIONEN Kapitel 8 Verzeichnisdienste 8 1 Unterst tzte Informationskategorien Apple hat viele Informationskategorien in den Directory Services erg nzt und ein paar Eintragstypen umbenannt Im Wesentlichen betrifft dies die Speicherung von Daten f r neue Features und die weitere Vereinheitlichung der fr heren NetInfo mit der heutigen LDAP basierten Verzeichnisdienststrategie in Mac OS X Tabelle 8 1 zeigt die ge nderten Eintragungen Die vollst ndige Tabelle ist in Abschnitt 7 2 4 des Hauptbuchs enthalten 8 2 Quellen f r Verwaltungsinformationen Apples Version der Technik ZeroConf zur vollautomatischen Konfiguration und Diensterkennung in TCP IP Netzen hei t in Tiger nicht mehr Rendezvous Aus mar kenrechtli
144. ellbar bis das Anmeldefenster erscheint in den ersten Tiger Versionen war in Netzwerken oft berhaupt kein zuverl ssiger System start m glich 2 2 Neu mitgelieferte Programme und Funktionen f r Endbenutzer Apple liefert Mac OS X 10 4 mit neuen Features auf der Benutzeroberfl che aus die sich an Endanwender richten F r den Serverbetrieb sind vieler dieser Funktionen jedoch uninteressant Spotlight Die fr here Indexfunktion des Finders wurde durch ein neu entwickel tes B ndel von Index und Suchdiensten mit dem Namen Spotlight ersetzt die nun etwas n her an das Dateisystem gebunden sind und systemweit allen Anwendungen zur Verf gung stehen Der Finder und die Men leiste 6 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER des Systems unterst tzen Spotlight durch neue Benutzerschnittstellen In der Server Version von Mac OS X ist Spotlight standardm ig abgeschaltet da die Verwendung hier zu starken Geschwindigkeitseinbu en oder Fehlfunktio nen f hren w rde Dashboard Mit Dashboard f hrt Apple einen auf Web Technologien basierenden Dienst ein der es erm glicht dass Kleinstprogramme in der Regel zur aktuel len Informationspr sentation per Knopfdruck auf einer zweiten Bildschirme bene ein und ausgeblendet werden k nnen Diese zweite Ebene zieht sich wie eine Folie ber die normale grafische Arbeitsfl che und erm glicht es Helferprogramme die im Hintergrund bereit gehalten werden sehr schnell zu a
145. en Abbildung 6 18 Die Karteikarte DETAILS enth lt eine dreispaltige Tabelle mit allen verwalteten Ein stellungen des gerade angew hlten Accounts In der ersten Spalte wird der bliche Markierungspfeil angezeigt der symbolisiert ob in der jeweiligen Zeile Einstellun gen wirksam werden die f r die gerade ausgew hlten Konten g ltig sind Die zweite Spalte enth lt die Namen der Komponenten f r die die Einstellungen gel ten die dritte Spalte den Namen der Einstellungsdom ne In vielen F llen ist der Inhalt der zweiten und dritten Spalte gleich n mlich dann wenn Mac OS X der Dom ne nicht eindeutig einen bestimmten Namen zuordnen konnte Hierzu sp ter mehr Haben Sie bereits verwaltete Einstellungen ber die Karteikarte BERSICHT defi niert so spiegelt sich deren Definition unter DETAILS wider In der Regel wird zum Beispiel f r die Dom ne com apple mcx ein Eintrag definiert sein Es handelt sich hierbei um die Verwaltung der Einstellung der verwalteten Einstellungen 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 81 Einstellungen bersicht Details W hlen Sie ein Objekt aus der Liste aus und klicken Sie unten in Bearbeiten um nderungen vorzunehmen oder verwenden Sie die Taste Hinzuf gen um Objekte zur Liste hinzuzuf gen Einstellungs ID GlobalPreferences GlobalPreferences com apple internet com apple internet com apple loginwindow com apple loginwindow com app
146. en die Auswahl von Ordnern ber einen FFnen Dateidialog Hierbei ist allerdings zu beachten dass zur Auswahl der Dateien der Privatordner des gerade mit dem Arbeitsgruppen Manager arbeitenden Benutzers verwendet wird In der unteren Tabelle kann auf hnliche Weise eine Ausschlussliste definiert wer den Hierbei stehen leistungsf hige Auswahlkriterien zur Verf gung Sie k nnen den eingegebenen Ausschlusstext mit einer der Bedingungen e beginnt mit endet mit Name enth lt e Name ist Vollst ndiger Pfad Teilpfad versehen und somit zur sp teren Laufzeit komplexe Abfragen der relativen Da teipfade des jeweiligen Benutzers realisieren 6 2 BEHANDLUNG VON KENNWORTEN IN MAC OS X TIGER 59 Diese Einstellungen gelten f r mobile Accounts unter Mac OS X Version 10 4 oder neuer Beim Anmelden und Abmelden synchronisieren Ordner Projekte 2 Pictures 0 Documents Movies M 1 Objekte berspringen die eines dieser Kriterien erf llen bereinstimmung String Datei oder Ordner m Vollst ndig Library 1 i v Mit Einstellungen des Benutzers zusammenf hren Abbildung 6 5 ber die verwalteten Einstellungen kann die gew nschte Betriebs art der Synchronisation auf dem Verzeichnisdienstserver noch exakter definiert werden Der Auswahlpunkt MIT EINSTELLUNGEN DES BENUTZERS ZUSAMMENF HREN bestimmt ob die hier gemachten verwalteten Einstellungen mit den m glicherwe
147. en neuen Kurznamen jabber 84 Abtrennung der Rechte f r den iChat Server mmuser 17 dieses Konto ist in Tiger nicht mehr vordefiniert securityagent 92 Abtrennung der Rechte f r privilegierte Operationen smmsp 25 dieses Konto ist in Tiger nicht mehr vordefiniert tokend 91 Abtrennung der Rechte f r die SmartCard Verwaltung windowserver 88 Abtrennung der Rechte f r den Window Server xgridagent 86 Abtrennung der Rechte f r Xgrid Einzelserver xgridcontroller 86 Abtrennung der Rechte f r die Xgrid Verwaltung Tabelle 6 1 Vom System reservierte Benutzerkonten in Mac OS X Tiger Die Tabelle enth lt nur Eintr ge die sich gegen ber Panther ge ndert haben 6 6 Arbeiten mit Gruppenordnern In den vergangenen Jahren hat Apple das Arbeiten mit Gruppenordnern immer wieder ge ndert oder umgestellt In bestimmten Versionen von Mac OS X funktio nieren Gruppenordner schlicht und einfach gar nicht Wie im Hauptbuch Abschnitt 5 7 4 beschrieben sind Gruppenordner eigentlich ein Fremdk rper in Mac OS X da Unix Systeme blicherweise nicht mit Gruppenordnern arbeiten Apple hat jedoch dieses Konzept in Mac OS X eingef hrt um die Funktionalit t von Vorg ngerpro dukten wie AppleShare IP wenigstens dem Anschein nach beizubehalten W hrend der Lebensdauer von Panther und f r Mac OS X Tiger hat Apple den Um gang mit Gruppenordnern noch einmal genauer dokumentiert Funktionalit t die urspr nglich automatisch geplant war wurd
148. enden sollen Hierzu dient die Kartei karte EINSTELLUNGEN 1 W hlen Sie in der linken Tabelle NETZWERKANSICHTEN einen Eintrag aus der so benannt ist dass Client Computer ihm nicht automatisch zugeordnet werden k nnen 2 W hlen Sie in der rechten H lfte des Fensters die Karteikarte EINSTELLUNGEN aus 3 Bet tigen Sie die Plus Schaltfl che rechts neben der Tabelle CLIENTS Es er 6 9 EINSTELLUNGEN F R DEN NETZWERKORDNER DES FINDERS Name Standard Name Fileserver HPLASERJET2420 marvin vw Sonstige Server alpha C Bonjour U Bonjour local sLp O SLP DEFAULT C SMB U SMB WORKGROUP m In Ooo lM a V Aktiviert Art Computer Computer Computer Netzwerkumgebung Computer Dynamische Liste Dynamische Liste Dynamische Liste Dynamische Liste Dynamische Liste Dynamische Liste Eintrag kann nicht geladen werden Der Computereintrag 5A4000C6 E6E3 4119 A738 F2DFO2AD6A69 auf den sich Netzwerkumgebung Standard bezieht konnte nicht geladen werden Verwenden Sie die Detailansicht um den Eintrag und dessen bergeordnete Objekte zu berpr fen f l Diese Warnung nicht erneut zeigen 95 Abbildung 6 25 Ein Beispiel f r eine fertig definierte verwaltete Netzwerkansicht Abbildung 6 26 Die vielen Querbeziehungen zwischen Computerlisten Computer konten und verwalteten Netzwerkansichten scheinen oft auch den Arbeitsgru
149. enn ei ne besondere Zugriffsberechtigung vorliegt die sich mit den herk mmlichen POSIX Einstellungen nicht mehr formulieren l sst Wenn Sie in einem Netz werk Vererbungsregeln f r die Rechte beim Zugriff auf AFP oder CIFS SMB Fileserver brauchen so k nnen Sie dies auch ber eine Einstellung des Fi le Servers ohne Verwendung von ACLs realisieren siehe Abschnitt 6 5 3 im Hauptbuch Definieren Sie so wenig Benutzergruppen wie m glich Es sollte keine ber organisation der Benutzer stattfinden nur weil es m glich ist Legen Sie eine Benutzergruppe immer dann an wenn Sie in Ihrem Netz eine Gruppe von Be nutzern ausmachen denen gleiche Berechtigungen zugewiesen werden sol len Vermeiden Sie es Berechtigungen einzelnen Benutzerkonten zuzuweisen Ver wenden Sie stattdessen wann immer es geht Gruppenberechtigungen so dass Sie ber jede Gruppe jeweils einen bestimmten Typ von Zugriffsart de finieren k nnen Es sollten sich einfache Regeln f r diese Zugriffsklassen for mulieren lassen zum Beispiel Nur die Gruppen Buchhaltung und Admini stratoren haben Schreibzugriff auf den Ordner Public Buchhalt und alle dar in enthaltenen Objekte Die Definition von Gruppen erm glicht es einer gro en Zahl von Benutzern mit einem einzigen Mausklick ein Recht zu ertei len oder wegzunehmen egal wie sich die Anzahl der Benutzer und die Anzahl der angelegten Unterordner entwickelt Wenn Sie Daten vor Zugriff sch tzen m ssen wozu
150. er HTTP zur Verf gung gestellt wird ist in den ersten Versionen von Mac OS X Tiger nicht mehr m glich da hierdurch auf den Clients Safari extrem instabil wird und sich so nicht mehr benutzen l sst Als Abhilfe k nnen Sie entweder einen ande ren Web Browser verwenden oder eine manuelle Konfiguration auf allen Clients vornehmen Die explizite Konfiguration von Proxy Servern ohne PAC Datei funktio niert 2 7 10 Verwendung von squid Die im Buch vorgeschlagene Verwendung des freien Proxy Servers squid ist noch m glich Bei einer bernahme der Konfiguration im Zusammenhang mit einer Ak tualisierungsinstallation von Mac OS X 10 4 Server ist jedoch zu beachten dass das System m glicherweise die Sicherheitseinstellungen der Startskripte bem n gelt und deshalb squid nicht mehr automatisch startet Sie k nnen das Problem l sen indem Sie die Einstellungen von Hand z B mit sudo chown R root wheel System Library squid sudo chown R root wheel System Library dansguardian sudo chmod R go w System Library squid sudo chmod R go w System Library dansguardian anpassen 2 7 11 Verwendung der NetBoot Funktionen Bestimmte Versionen von Mac OS X 10 4 Server f hren zum Totalausfall der NetBoot Funktionen Stellen Sie sicher dass Sie auf dem Server mindestens Version 10 4 2 einsetzen KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER Kapitel 3 Installation eines Mac OS X Netzes 3 1 Installationsplanung Im gro en u
151. er amp System Dieser Abschnitt dient als Ersatz f r die Funktionen die Sie fr her in Panther unter dem Stichwort EINSCHR NKUNGEN gefunden haben Es l sst sich festlegen ob ein vollwertiger oder ein eingeschr nkter Finder ver wendet soll ob nderungen an den Einstellungen von Dock Druckern und anderen Systemeinstellungen zul ssig sind ob optische Medien gebrannt werden d rfen und welche Programme gestartet werden d rfen An dieser Stelle sei nochmals daran erinnert dass es sich hier nicht um die Definition von Zugriffsrechten handelt sondern nur um einfache Blockadema nahmen Benutzer mit Systemkenntnissen k nne Wege finden diese Sperren zu um gehen Bei Zugriffsrechten w re dies nicht m glich iChat hnlich wie beim Punkt Mail kann hier eine Liste erlaubter Chat Partner angegeben werden Safari Die Beschr nkung von Safari basiert auf einem etwas anderen Prin zip und muss in zwei Schritten durchgef hrt werden Der Systemverwalter muss sich als Erstes als der verwaltete Benutzer anmelden und Safari starten Innerhalb von Safari kann er dann die Lesezeichen anpassen Safari wird im Anschluss so eingeschr nkt dass der jeweilige Benutzer nur noch Webseiten aufrufen kann die ber die vorhandenen Lesezeichen erreichbar sind Eine vorbereitete Liste von Lesezeichen k nnen erfahrene Verwalter auch durch Er setzen der Datei Library Safari Bookmarks plist vorbereiten Nach Abmelden und Wiederanmelden als Administrator kann
152. er erforderlich 198 MB Sprachpaket deutsch 78 7 MB Sprachpaket franz sisch 78 MB Sprachpaket japanisch 81 MB Brother Druckertreiber 17 5 MB Canon Druckertreiber 345 MB efi Druckertreiber 58 1 MB EPSON Druckertreiber 652 MB Gimp Print Druckertreiber 6 6 MB Hewlett Packard Druckertreiber 257 MB Lexmark Druckertreiber 299 MB Ricoh Druckertreiber 944 KB Xerox Druckertreiber 15 7 MB X11 90 8 MB Xcode Tools 1 5 GB Tabelle 3 1 Aktuelle Gr en der Installationspakete von Mac OS X Server Dinge handelt siehe Seite 66 im Hauptbuch Achten Sie wie bisher darauf dass die w hrend der Installation von Mac OS X angelegten Benutzerkonten alle mit dem gleichen Kennwort versehen werden Dies betrifft e den lokalen Verwalter des Servercomputers Name wird vom Benutzer vorge geben e den obersten Systemverwalter root UID 0 e und optional den Verzeichnisdienstverwalter diradmin UID 1000 falls der Open Directory Server aktiviert wird Nach der Installation k nnen Sie die Kennworte dieser drei Konten auf unterschied liche Werte setzen falls erw nscht Es gibt verschiedene Konfigurationsschritte beim sp teren Betrieb von Mac OS X Server bei dem das Programm Server Admin nach einem Kennwort fragt auch wenn Sie bereits als Administrator des jeweiligen Servers angemeldet sind In die sem Fall handelt es sich meist um Konfigurationsschritte die die Eingabe von Name und Kennwort des Verzeichnisdienstverwalters erfordern Do
153. er TCP IP um schalten Aktualisierungen von AppleShare sind kostenlos ber die Webseite http www apple com support 3 3 FERNVERWALTUNG EINES TIGER SERVERS 19 erh ltlich Auch falls Sie die folgenden Betriebssysteme in Ihrem Netzwerk einset zen pr fen Sie vor der Installation von Tiger Clients oder Servern unbedingt ob dies nicht den Zugriff auf alte Dateiserverdienste versperren w rde e Microsoft Windows NT Server auf denen Services for Macintosh laufen e Novell NetWare in Versionen vor 5 1 e Unix Server mit netatalk in Versionen vor 1 4 3 3 Fernverwaltung eines Tiger Servers Wenn Sie aus organisatorischen Gr nden einen 10 4 Server von einem anderen Arbeitsplatz aus ferneinrichten m chten oder m ssen z B weil der Server nicht mit einer Grafikkarte ausgestattet ist stellen Sie sicher dass Sie den Administra torrechner bereits unter Mac OS X 10 4 laufen haben und aktualisieren Sie dessen Software zur Fernadministration auf den Tiger Releasestand Die neueste Version der Software bleibt auch in der Tiger Version mit den vorigen Serverversionen kom patibel Sie k nnen also damit wie bisher noch ltere Jaguar und Panther Server aus der Ferne verwalten Es empfiehlt sich stets die neueste Version der Administratorprogramme von Ap ple herunter zu laden Sie finden das Paket ber die Adresse http www apple com support downloads unter dem Namen Server Admin Tools 10 4 Der Macintosh Manager zum Arbeiten mit v
154. er URL erlaubt k nnen keine Optionen zur Verbindungs herstellung angegeben werden Viele NFS Server ben tigen aber zum Beispiel die Sicherheitsoption P damit der Server den Zugriff von Mac OS X akzeptiert Sie m ssen in diesem Fall doch wieder zumin dest teilweise auf das manuelle ndern der NetiInfo Datenbank zu r ckgreifen Folgen Sie hierzu der Anleitung im Hauptbuch ab Schritt 11 um bei dem erstellen Mount Eintrag eine Eigenschaft opts zu de finieren und sie mit Optionen zu versehen 7 4 Der CIFS SMB Server 7 4 1 Sicherungs Dom nen Controller Im Server Admin Programm k nnen Sie auf der Karteikarte ALLGEMEIN nun denEin satz des Windows Dienstes als Sicherungs Dom nen Controller ausw hlen Diese Funktion die auch BDC oder Backup Domain Controller genannt wird ist die in der Microsoft Welt bliche Technik die Verzeichnisreplikation zu realisieren Sollte der Server ausfallen der die Windows Verzeichnisdienste beherbergt w rde dies sofort den Ausfall aller Windows Klienten im Netz bedeuten da diese nicht 7 4 DER CIFS SMB SERVER 101 PJApplications Address p Developer AppleScript Groups r Automator ap Library M Calculator app I Public Chess app r Shared Items Dashboard ap F System Dictionary app J Users DVD Font Book app A iCal app iChat app a Image Q Internet iSync app A iTunes app Mail app Preview
155. er diesen Mechanismus nicht unterst tzt Die Authentizit t der Software wird dadurch gesichert dass alle Pakete mit digitalen Signaturen versehen sind die ber Apples Server einzeln gepr ft werden Auch der Fall dass Apple ein Paket aus Sicherheitsgr nden zur ckziehen muss ist vorgesehen Bei der Synchronisierung kann Apple bewirken dass ein mangelhaftes Update Paket auf den Spiegelservern wieder gel scht wird Der Software Aktualisierungsdienst ist ein neues Produkt und als solches in einigen Punkten noch etwas unausgegoren Es gibt im Moment folgende Schw chen e Es gibt keine M glichkeit den Ablageort f r die Update Pakete auf dem Ser ver zu beeinflussen Die Pakete werden fix in den Ordner usr share swupd html gelegt Die Speichermenge kann v llig unkontrolliert anwachsen wobei Platz auf der Systempartition verbraucht wird e Es ist zwar m glich die Download Bandbreite zwischen Clients und Server nicht jedoch die Bandbreite zwischen eigenem Server und Apples Server zu begrenzen Besonders in kleinen Netzen w re die letztere Einstellung wichti ger da mehr als 1 GByte Software aus dem Internet geladen werden m ssen Diese Menge wird in Zukunft weiter steigen e Es ist zwar m glich zur Lastverteilung im lokalen Netz mehrere Aktualisie rungsserver bereit zu halten aber diese arbeiten dann v llig autark und ko ordinieren sich nicht untereinander Es ist nicht m glich eine Haupt und Neben Server Hierarchie auf
156. er einzugehen 9 3 4 Eine private Zertifizierungsstelle einrichten In gr eren Betrieben Schulen oder Universit ten ist es in der Regel kaum mach bar die Netzwerkhardware physisch abh rsicher einzurichten Gerade hier ist aber die Gefahr b swilliger Angriffe auch aus dem eigenen Hausnetz heraus ge geben Von daher ist es durchaus blich das eigene Netz durch Einsatz von Ver schl sselungs und Signatur Verfahren mithilfe von Zertifikaten abzusichern Doch beglaubigte Zertifikate die jedes Jahr erneuert werden m ssen sind besonders f r 9 3 ARBEITEN MIT ZERTIFIKATEN 129 g4server example private Selbst signiertes Root Zertifikat G ltig bis Freitag 29 September 2006 0 00 Uhr Europe Berlin Dieses Zertifikat wurde von einer unbekannten Instanz signiert Art Ge ndert Schl sselbund E Default Zertifikat System g4server example private Zertifikat System Abbildung 9 11 Mac OS X wei dass das selbst erstellte Zertifikat nicht von einer h heren Zertifizierungsstelle beglaubigt wurde Im Schl sselbund wird eine rote Warnmeldung angezeigt re 00 Server CA Certificate missing Do you want to trust the following CA certificate Subject L Bonn ST Nordrhein Westfalen C DE OU Rechenzentrum O Beispielfirma GmbH CN g server example private Yalid from Thu Sep 29 20 38 59 CEST 2005 Yalid to Fri Sep 29 00 00 59 CEST 2006 amays No Abbildung 9 12 Auch der
157. eratur bleibt die Funktionsweise v llig unverst ndlich Auch der Name dieses neuen Funktionsmerkmals bleibt unklar In Apples Handb chern wird es als vertrauensw rdige Bindung Trusted Binding bezeichnet in al len Programmen jedoch als Verzeichnisbindung Diese Terminologie widerspricht dem blichen Sprachgebrauch bei dem als Verzeichnisbindung die Nutzung ei nes Verzeichnisdienstes durch einen Klienten bezeichnet wird wobei der Klient Verwaltungs und Authentifizierungsdaten des Dienstes bernimmt Was in Wirk lichkeit bei diesem Funktionsmerkmal geschieht ist eher als Beitritt zu einer Ver zeichnisdienstdom ne zu bezeichnen M glicherweise war dieses Feature von Ap ple zun chst sehr viel aufw ndiger geplant aber ist dann zur ckgezogen worden weil es nicht rechtzeitig fertiggestellt werden konnte Die derzeitige Umsetzung der vertrauensw rdigen Bindung hat folgende Konsequenzen e Wenn Sie auf dem Server erzwingen dass Klienten eine vertrauensw rdi ge Bindung herstellen m ssen brauchen sich bereits eingerichtete Klienten trotzdem nicht zu authentifizieren Computer die Ihren LDAP Server per DH 116 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY CP zugewiesen bekommen k nnen ohne Pr fung auf die Verzeichnisdienst daten zugreifen Ebenso k nnen Klienten die bereits einen LDAP Servereintrag im Programm Verzeichnisdienste aufweisen unver ndert auf den LDAP Server zugreifen Die Angriffsm glichkei
158. erbezogen sind den gTLDs Generic Top Level Domains haben sich inzwischen zwei neue Eintr ge gesellt n mlich jobs und travel Tabelle 4 1 zeigt die aktuali sierte Gesamt bersicht 4 1 2 Einrichtung eines DNS Servers Die von Apple in Tiger verwendete Version des DNS Servers BIND ist die gleiche wie auch schon in 10 3 n mlich die Fassung 9 2 2 Von daher ergeben sich keine grunds tzlichen nderungen f r die Konfiguration des Servers auf der Komman dozeile F r die Verwaltung von BIND ber ein Fremdprogramm wie das grafische Server Admin hat Apple jedoch die Sicherheitseinstellungen leicht erh ht Wenn Sie einen fr here von Hand angepasste DNS Server Konfiguration aus Panther ber nehmen stellen Sie bitte sicher dass die Steuerungsoptionen von BIND richtig ein gestellt sind Damit die Steuerung ber Server Admin richtig funktioniert m ssen mindestens die folgenden beiden Optionen in der Rubrik controls der Konfigurati onsdatei etc named conf eingetragen sein include etc rndc key controls inet 127 0 0 1 port 54 allow any keys rndc key 3 23 24 KAPITEL 4 EINRICHTEN DER NETZINFRASTRUKTUR Name Beabsichtigte Nutzung aero Luftfahrtindustrie aeronautical biz Firmen zur Erg nzung der berf llten com Domain business com Firmen commercial coop Verb nde cooperative associations edu Bildungseinrichtungen der Vereinigten Staaten von Ame
159. erungsm glichkeit bei der ersten Kontaktaufnahme zwischen Client und Server hat Apple in Tiger weitere Sicherheitsrichtlinien eingef hrt die sich gegen das F lschen von Servern und das Abh ren der Netzkommunikation richten Sie finden die Optionen in der unteren Bildh lfte der neuen Karteikarte BINDUNG Abbildung 9 3 118 Abbildung 9 4 Die erste Bindung zum Server findet statt Auf Seiten des Clients l sst die Beschriftung der Optionen noch mehr zu w nschen brig als auf dem Server In der deutschen Version ist der Text nicht nur abgeschnitten sondern auch falsch bersetzt Achten Sie bei der Eingabe der Daten auf korrekte Gro KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY Neue LDAP Verbindung Servername oder IP Adresse 192 168 72 40 _ Verschl sselung mit SSL v F r Identifizierung verwenden vV F r Kontakte verwenden Einbinden in Verzeichnisse Das Einbinden von Verzeichnissen ist erforderlich Geben Sie Ger tename alpha Verzeichnis Administrator diradmin Kennwort ee Manuell Abbrechen Fortfahren Kleinschreibung 9 2 ARBEITEN MIT DEM LDAP BROWSER 119 Mit der Option KLARTEXT KENNW RTER DEAKTIVIEREN wird die M glichkeit gesperrt dass Klienten Anfragen mit unverschl sselten Kennworten an den Open Directory Dienst senden k nnen falls alle Versuche ein verschl sseltes Kennwortverfahren auszuhandeln fehlgeschlagen sind Beachten Sie diesbe z glich die m g
160. erwalteten Einstellungen klassischer Mac OS Rechner geh rt nicht mehr zum Administrationspaket und wird unter Tiger nicht mehr offiziell unterst tzt Exem plare dieses Programms die aus lteren Jaguar und Panther Servern bernommen wurden laufen jedoch weiterhin 3 4 Ablauf der Server Installation Die Dateigr en der Installationspakete haben sich f r Mac OS X 10 4 Server na turgem ge ndert Tabelle 3 1 aktualisiert die Namen und die Gr enangaben Die Installation kann wahlweise von einer DVD oder von CD ROMs erfolgen Richten Sie w hrend der Installation den Servercomputer als Open Directory Ma ster ein so legt Tiger wie auch schon in Panther einen zus tzlichen Benutzer als Verwalter der Verzeichnisdienste an der zum initialen Benutzer in der Verzeich nisdatenbank wird Dieses Benutzerkonto tr gt jetzt nur einen neuen vorgegebe nen Namen n mlich diradmin und besitzt die UID 1000 Diese Technik macht auch unerfahrenen Netzverwaltern deutlicher dass es sich bei dem Verwalter des Servercomputers und dem Verwalter der Verzeichnisdienste um zwei verschiedene 20 KAPITEL 3 INSTALLATION EINES MAC OS X NETZES Paket Paketgr e Grundlegende Systemsoftware erforderlich 1 8 GB Notwendige Serversoftware erforderlich 200 MB Server Administrations Software erforderlich 72 9 MB QuickTime Streaming Server erforderlich 37 2 MB Software f r Anwendungsserv
161. erzeichnisdienst abgelegt Sie sollten also ein gutes Kennwort verwenden 9 1 LDAP IN MAC OS X SERVER NUTZEN Datenbank zu archivieren oder wiederherzustellen Verwenden Sie die Steuerungen unten um eine Kopie Ihrer Open Directory Archivieren in Users osxadmin Documents Archivpfad eingeben oder danach suchen Archivieren Wiederherstellen von Archiv eingeben oder danach suchen Wiederherstellen 113 Abbildung 9 1 Ein neues Feature von Tiger ist das Erstellen einer kompletten Datensicherung aller Open Directory Daten Eine Archivkopie kann mit wenigen Mausklicks angelegt werden Bitte geben Sie Name und Kennwort f r dieses Archiv ein Archivname OD Sicherung 2005 09 14 Kennwort ssssssesssosoe Abbrechen Ex Abbildung 9 2 Die Archivkopie muss mit einem Namen versehen werden und wird mit einem Kennwort verschl sselt Da es sich um die kritischsten Sicherheitsdaten des Servers handelt sollten Sie ein sicheres Kennwort vergeben 114 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY Der Vorgang sollte nach wenigen Minuten beendet sein Die Archivdatei die an gelegt wird ist in Wirklichkeit ein verschl sseltes Mac OS X Plattenabbild Disk Image Es enth lt alle Daten um selbst bei v lligem Ausfall eines Server Computers die Open Directory Daten auf einem anderen Server wiederherstellen zu k nnen Unter anderem sind im Archiv enthalten der vollst ndige In
162. es beschrieben und testen Sie den Dienst intensiv auf kor rekte Funktion Der Server muss seinen eigenen vollst ndigen DNS Namen d h mitsamt seinem endg ltigen DNS Domainnamen korrekt ermitteln k n nen 4 F hren Sie dann mit dem Programm Server Admin eine H herstufung der Be triebsart EIGENST NDIGER SERVER auf die Betriebsart OPEN DIRECTORY MASTER durch N here Hinweise siehe auch in Kapitel 9 des Hauptbuches Es sei nochmals daran erinnert dass die Einrichtung eines Zeitsynchronisations dienstes auf Basis des NTP Protokolls wie von Apple vorgesehen und in Kapitel 3 des Hauptbuches beschrieben f r den Einsatz von Kerberos notwendig ist 3 2 Einsatz von AppleTalk Der Einsatz von AppleTalk ist wie im Hauptbuch beschrieben seit 1999 nicht mehr empfohlen In den Tiger Betriebssystemen hat Apple die Verwendungsm glichkei ten f r AppleTalk weiter eingeschr nkt AppleTalk ist nur noch zum Aufsp ren von lteren Netzwerkdiensten Service Recovery verwendbar die Verwendung als Transportprotokoll ist nun endg ltig nicht mehr m glich Sie k nnen deshalb ins besondere AppleShare over AppleTalk zum Netzzugriff auf Dateien sehr alter Mac OS Computer nicht mehr einsetzen L uft auf diesen Computern jedoch minde stens Mac OS 8 so k nnen Sie diese auf AppleShare over TCP IP umr sten indem Sie die Computer mindestens mit der Version 3 7 von AppleShare ausstatten und sie vom Datentransport ber AppleTalk auf den Datentransport b
163. et Angenommen der Benutzer mit dem Account hans schaltet durch Dr cken des Knopfes REINER TEXT in Abbildung 6 16 die Einstellung von TextEdit um In diesem Fall sendet TextEdit intern das Kommando halte f r den Zust ndigskeitsbereich Benutzer hans und die Einstellungsdom ne com apple TextEdit den Wert No f r die Einstellung mit dem Namen Rich Text fest Zu einem von Mac OS X gew hl ten Zeitpunkt sp testens jedoch beim Beenden von TextEdit ndert Mac OS X die Einstellungsdatei die sich in unserem Beispielnetz an der Stelle Network Servers g4server Users hans Library Preferences com apple TextEdit plist befindet so ab dass die neue Vorgabe gespeichert wird Durch dieses Beispiel be kommen Sie eine ungef hre Vorstellung wie Mac OS X alle Einstellungen im Hin tergrund verwaltet Doch wie l uft das Ganze ab wenn es sich um eine verwaltete Einstellung handelt 80 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER 6 8 2 Die Realisierung verwalteter Einstellungen Im Prinzip findet nur ein zus tzlicher Schritt statt der unmittelbar nach dem An meldevorgang eines verwalteten Benutzers ausgef hrt wird Das Programm lo ginwindow das das Anmeldefenster anzeigt und auch die komplette Verwaltung des Anmeldevorgangs bernimmt fragt beim System nach ob f r diesen Benut zer entweder in der lokalen Kindersicherung oder in der Open Directory Datenbank verwaltete Einstellungen enthalten sind Falls ja dann wird noch vor dem Start ir
164. et f r einige Tiger Programme hierzu die Fat Binary Technik also die M glichkeit unterschiedliche Codes f r verschiedene Prozessortypen in ein und derselben Pro grammdatei unterzubringen So gibt es in Tiger Programmdateien die zum einen 32 Bit Code f r G3 und G4 Computer zum anderen zus tzlich noch 64 Bit Code f r G5 Computer enthalten Einen weiterer gro er Eingriff in die Architektur des Systems wird unter anderem beim Start eines Tiger Computers wirksam Es gibt einen neuen bergeordneten Startdienst mit dem Namen launchd Launch Daemon der sowohl f r das Be triebssystem als auch f r einzelne Benutzer den Start von Hintergrundprogrammen und diensten berwacht und organisiert Launchd ist eine Eigenentwicklung von Apple und soll die bisherigen Unix Dienste mach_init Start des Systemkerns init Start des Betriebssystems xinetd Start von Netzdiensten und cron terminge steuerter Programmstart auf lange Sicht abl sen Vorteil von launchd ist dass die zahlreichen Konfigurations und Skriptdateien die f r all diese unterschiedlichen Startmechanismen zust ndig sind vereinheitlicht und an einem zentralen Punkt zusammengefasst werden k nnen Der launchd Dienst verwendet die in Mac OS X blichen plist Dateien Property Lists im XML Format um die Konfiguration zu speichern Das Programm launchd bernimmt auch weitere Aufgaben So kontrolliert es unter anderem ob die Dienstprozesse in Mac OS X korrekt arbeiten und sich
165. etz an die Endbenutzer zugestellt wurde Fr her war es blich alle eingehenden Postsendungen auf dem Mailserver in einer Datei 11 2 EINRICHTUNG DES MAIL SERVERS 145 var mail lt benutzername des empf ngers gt zu speichern Neu hinzukommende Briefe wurden hinten an diese Dateien ange h ngt Damit die Post auf den Client Computern abgerufen werden konnte wurde der Ordner var mail per NFS in gleichnamige Ordner auf allen Klienten eingeblen det Mail Programme MUAs haben dann einfach die Dateien in diesem Ordner ausgelesen um die Mails anzuzeigen Unix Programme wie PINE und ELM beherr schen diese Technik heute noch Falls Sie diese Art der Mailzustellung bevorzugen k nnen Sie den entsprechenden Punkt ankreuzen und dann auf POP und IMAP verzichten Das zweite neue Ankreuzfeld ist AUSGEHENDE MAIL HALTEN Es ist im Wesentli chen f r vor bergehende Wartungsarbeiten am SMTP Server gedacht Wird das Feld angekreuzt kann immer noch E Mail von den Benutzern eingeliefert werden der Server speichert jedoch die ganze Post zwischen bis die Option wieder auf gehoben wird Dies kann n tzlich sein um kurzzeitig die SMTP Weiterleitung zu stoppen beispielsweise wenn es Probleme mit der Internet Leitung Kommunikati onsprobleme mit dem SMTP Weiterleitungsserver oder einen Virenverdacht gibt der es erfordert die ausgehende Mail unter Quarant ne zu stellen 11 2 2 Kontingentierung Falls Ihre Benutzer das Zustellungsprotokoll IM
166. etzfunktionen von Tiger dazu f h ren dass das Kerberos Subsystem nicht rechtzeitig mit DNS Daten versorgt wird und somit den Betrieb einstellt Ob der Kerberos Dienst korrekt arbeitet k nnen Sie in Server Admin auf der Seite BERSICHT des Dienstes OPEN DIRECTORY pr fen jedenfalls falls Sie es noch schaffen das Programm Server Admin zu starten Wird in der letzten Zeile der bersicht der Text KERBEROS STATUS ARBEITET angezeigt ist der Betriebszustand in Ordnung Haben Sie jedoch h ufiger Probleme mit dem 6 5 VORDEFINIERTE KONTEN 65 Start von Kerberos so k nnen Sie mit folgender Anleitung versuchen die Sache in den Griff zu bekommen 1 ffnen Sie auf dem Server ein Terminal Fenster und laden Sie die Datei host config ber den Befehl sudo pico etc hostconfig in einen Texteditor Suchen Sie die Zeile mit dem Schl sselwort HOSTNAME In der Standardkon figuration des Servers lautet die entsprechende Konfigurationszeile HOSTNAME AUTOMATIC ndern Sie diese Zeile indem Sie den Eintrag AUTOMATIC durch den voll qualifizierten DNS Dom nennamen des Servers berschreiben zum Beispiel HOSTNAME g4server example private Dr cken Sie ctrl X und beantworten Sie den Dialog mit y f r yes um die Datei zu speichern Geben Sie den Befehl sudo slapconfig kerberize diradmin REALM ein Hierbei muss diradmin durch den Kurznamen des Verzeichnisdienstver walters und REALM durch den Namen Ihres Kerberos Bere
167. gef hrt ist Ist er das nicht wechseln Sie in die Tabelle ALLE navigieren Sie zu Groups und kreuzen auf der Karteikarte ALLGEMEIN den Punkt DIESES OBJEKT UND SEINEN INHALT FREIGEBEN an 4 Pr fen Sie unter dem Bereich PROTOKOLLE ob die Fileserver Protokolle mit denen der Ordner freigegeben wird nach Ihren W nschen aktiviert bzw deaktiviert sind Es sei darauf hingewiesen dass vollautomatische Mounts f r Gruppenordner nicht unterst tzt werden deshalb muss auf der Karteikarte NETZWERKORDNER nichts ein gestellt werden Ein freigegebener bergeordneter Ordner f r Gruppenordner ist nun vorhanden Im n chsten Schritt legen wir den Gruppenordner an und verbin den ihn mit einem Gruppenkonto 1 Verbinden Sie sich ber den Arbeitsgruppen Manager mit dem Server auf dem sich das Gruppenkonto befindet dem ein Gruppenordner zugeordnet werden soll und melden Sie sich als Verzeichnisdienstverwalter an 2 W hlen Sie in der Symbolleiste den Punkt AccouNTS 3 W hlen Sie in der linken H lfte des Fensters die Rubrik f r Gruppenordner aus und klicken Sie die betreffende Gruppe an 4 Wechseln Sie in der rechte H lfte des Fensters zur Karteikarte GRUPPENORD NER 5 Wenn der freigegebene bergeordnete Ordner mit Standardeinstellungen im Arbeitsgruppen Manager erstellt wurde zeigt das Programm bereits einen korrekten Vorschlag f r die Netzwerkadresse in der Tabelle an In Abbildung 6 9 haben wir einen zentralen Gruppenordner und ei
168. ger wurde diese Funktion erweitert Es ist jetzt auch m glich zwei komplette Teilnetze ber ein VPN miteinander zu verbinden Diese Betriebsart wird Site to Site Virtual Private Networking genannt Eine solche Konfiguration wird b licherweise dann gew hlt wenn das Netz einer Firmenfiliale an einem entfernten Standort mit dem Netz der Firmenzentrale verbunden werden muss Dank der Ver schl sselung kann das unsichere Internet zur Verbindung der beiden Netze zum Einsatz kommen ohne dass teure Standleitungen zwischen beiden Orten geschal tet werden m ssen Abbildung 14 4 zeigt wie eine solche Konfiguration in der Praxis aussieht Es wer den zwei Mac OS X Tiger Server ben tigt auf denen jeweils die VPN Funktionalit t eingeschaltet ist Das Hauptnetz mit eigenem DNS Server befindet sich an Standort 1 die Filiale mit ihrem Nebennetz befindet sich an Standort 2 Die beiden Net ze sind ber zwei Router gekoppelt der Weg dazwischen kann ungesichert sein und wird durch die Verschl sselung des VPNs gesch tzt Das Bild zeigt beispielhaft IP Adressen die im Folgenden verwendet werden um die Einrichtung zu veran schaulichen Wir nehmen an das VPN Gateway des Standorts 1 mit anderen Worten der Mac OSX Server auf dem die VPN Dienste laufen ist im ffentlichen Internet ber die Adresse 1 2 3 4 erreichbar und der VPN Server des Standorts 2 kann ber 14 2 VERSCHL SSELTE TEILNETZE MIT VPN 199
169. griff Protokolle Netzwerkordner NFS Export Einstellungen B v Dieses Objekt und seinen Inhalt exportieren an World HJ Der Export dieses Objekts an World erlaubt den Zugriff auf das Objekt und seinen Inhalt ohne vorherige Identifzierung Abbildung 7 1 Ein Volume kann per NFS an beliebige Client Computer freigegeben werden was Apple als World Export bezeichnet Es ist zu vermeiden auf einem Server mehr als einen Export mit dieser Einstellung einzurichten 7 3 ber AFP auf NFS Resharing In fr heren Versionen war es n tig manuelle nderungen an der Netinfo Daten bank vorzunehmen um ein AFP zu NFS Resharing einzurichten Wie in Abschnitt 6 7 des Hauptbuchs erl utert handelt es sich hierbei um die Technik Mac OS X Server ein NFS Volume eines Unix Rechners mounten zu lassen und dieses per AFP an Macintosh Klienten wieder neu freizugeben Der Server kann somit als Vermitt ler zwischen NFS Servern und AppleShare Klienten dienen Ab Mac OS X Tiger ist die Einrichtung dieser Funktion ber die grafische Oberfl che m glich Auch ist es nicht mehr notwendig einen leeren Ordner f r den NFS Mount Point auf dem Server anzulegen 1 Beachten Sie die Sicherheitshinweise aus Kapitel 6 7 des Hauptbuchs Der NFS Server darf Zugriffe des Benutzers root nicht abblocken oder auf einen anderen Benutzer abbilden 2 Starten Sie den Arbeitsgruppen Manager verbinden Sie sich mit dem Server der al
170. gt so k nnen die zul ssigen Speicher und Uberpr fungsmethoden in diesem dreifach verschachtelten Dialogfenster definiert werden 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt OPEN DIRECTORY dieses Servers aus 3 W hlen Sie auf der rechten Seite den Punkt EINSTELLUNGEN dort die Kartei karte RICHTLINIEN und dort deren Unterpunkt SICHERHEIT 4 Entfernen Sie die H kchen der Identifizierungsmethoden die Sie abschalten m chten Abbildung 6 7 5 Bet tigen Sie die Schaltfl che SICHERN Es ist wichtig festzuhalten dass durch das Sperren einzelner Identifizierungsme thoden die zugeh rigen Kennworteintr ge nicht sofort aus der Datenbank ent fernt werden Das ist technisch gar nicht m glich denn um einen ge nderten Ein trag in der Datenbank zu erstellen ist Mac OS X gezwungen Kennwort Hashes neu abzuspeichern Hierzu wird aber das Kennwort des Benutzerkontos ben tigt das Mac OS X im allgemeinen Fall nicht r ckermitteln kann Aus diesem Grund wird die nderung in einem Benutzerkonto erst dann aktiv wenn der Benutzer das n ch ste Mal sein Kennwort ndert Der Netzverwalter kann nat rlich die betreffenden Benutzerkonten mit den M glichkeiten des Arbeitsgruppen Managers zur ckset zen so dass die Benutzer gezwungen werden beim n chsten Anmeldevorgang ein neues Kennwort zu vergeben was je nach Sicherheitsrichtlinien nat rlich mit dem alten identisch sein darf 6 3 DER NEUE KENNWORTASSISTENT
171. halt der LDAP Datenbank im LDIF Format eine Kopie der lokalen NetInfo Datenbank des Servers e eine Kopie aller Kerberos Schl sseldaten und der Kerberos Konfiguration eine Kopie der Datenbank des Kennwortservers e Kopien von allen Dateien die Shadow Kennworte enthalten Informationen ber die gegenw rtige Konfiguration aller Open Directory Dienste Informationen ber die Netzwerkkonfiguration des Servers soweit sie den Betrieb von Open Directory betreffen Analog kann ber die Schaltfl che WIEDERHERSTELLEN eine Archivkopie wieder zu r ckgeladen werden Beachten Sie dass das Zur ckladen nur m glich ist wenn der Server den gleichen Kerberos Bereichsnamen Realm verwendet wie der Server auf dem die Archivkopie erstellt wurde Der Server auf den zur ckgeladen wird muss noch kein Open Directory Master sein das Zur ckladen bewirkt jedoch dass er danach als Open Directory Master arbeitet Beim Zur ckladen mischen sich die Daten aus der Archivkopie mit den momentanen Inhalten der Datenbanken Dies hei t zum Beispiel dass bestehende Benutzerkonten nicht gel scht werden es sei denn sie werden durch gleichnamige Konten aus der Datensicherung berschrie ben Musste ein Open Directory Master ber eine Datensicherung wiederhergestellt wer den so geht hierbei die Bindung zwischen Master und Replikatservern verloren Um dieses Problem zu l sen sind alle Replikatserver vor bergehend in Open Directo ry Master umzu
172. hat nutzen beschr nkt Auch mit fremden Chat Programmen und anderen Betriebssystemen wie Linux und Windows k nnen Chats ber den iChat Server vermittelt werden solange sie das Kommunikationsprotokoll Jabber XMMP unterst tzen Auch einige PDA Computer beherrschen diese Technik XMMP bedeutet Extensible Messaging and Presence Protocol und ist ein Internet Standard f r Chat Dienste der aus dem Jabber Projekt heraus entstanden ist XMMP basiert auf XML Technologien und ist in den Internetstandards RFC 3920 und RFC 3921 definiert Der Server Dienst wird durch das Programm jabberd Jabber Daemon realisiert der sich an der Stelle usr sbin jabberd befindet Die Konfiguration des Servers wird durch eine XML Datei an der Position etc jabber jabber xm gespeichert Im Normalfall reicht es aber aus das Programm Server Admin zur Einrichtung des IM Dienstes zu verwenden Falls Sie detaillierte Informationen zum Jabber Projekt oder zum Programm jabberd ben tigen k nnen Sie die offiziellen Webseiten http www jabber org http jabberd jabberstudio org besuchen 12 4 2 Einrichten des Chat Servers hnlich wie bei Blojsom ist die Einrichtung von Jabber aus Sicht des Administrators auf wenige Schritte beschr nkt und denkbar einfach 1 Starten Sie Server Admin und verbinden Sie sich mit dem Server auf dem die IM Dienste laufen sollen 2 W hlen Sie in der Tabelle CoMPUTER amp DIENSTE den Punkt ICHAT aus 3 Gehen Sie im r
173. he Einstellungen der Warteschlange vom Server bernommen und der Drucker ist sofort funktionsbereit 142 KAPITEL 10 DRUCKEN IM NETZ e SK Drucker bersicht B w Q Standard Browser IP Drucker Suchen Verbindung 192 168 72 17 Gemeinsam genutzter Drucker Gemeinsam genutzter Drucker Gemeinsam genutzter Drucker Name 192 168 72 17 Ort Rechenzentrum gt Drucken mit HP Laserjet 2420 J Nach neuen Treibern suchen Weitere Drucker Abbildung 10 3 Dank Bonjour ist die Einrichtung eines neuen Netzwerkdruckers auf einem Klienten mit zwei Mausklicks erledigt Voraussetzung ist dass die War teschlange auf einem Tiger Server beheimatet ist Kapitel 11 E Mail die elektronische Post 11 1 Einf hrung 11 1 1 Korrektur Die Internetadresse f r n here Informationen ber das Postfachverwaltungssystem Cyrus wurde im Hauptbuch leider abgeschnitten angegeben Die korrekte Adresse lautet http asg web cmu edu cyrus 11 1 2 berblick ber die Neuerungen Die Mail Dienste in der Server Version von Mac OS X Tiger wurden mit zahlreichen Neuerungen versehen Es stehen nun einfach konfigurierbare Filterm glichkeiten zur Verf gung um bereits auf dem MTA unerw nschte Postsendungen die Com puterviren enthalten als auch unerw nschte Werbung UCE SPAM zu entfernen Ebenso k nnen viele Funktionen die fr her nur ber die Kommandozeile oder Kon figurationsdateien abrufbar waren
174. heint das Dialogfenster zum Eingeben von Computerkonten das wir oben bereits erw hnt haben Bitte be achten Sie dass Sie kein neues Computerkonto an dieser Stelle anlegen m ssen wenn Sie den betreffenden Computer bereits in einem Computerlisten Account 92 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Verzeichnis LDAPv3 127 0 0 1 amp amp A 4 aa o 2 y aso Admin Sharing Netzwerk Accounts Einstellungen Neue Netzwerkansicht L schen Verbinden Trennen Aktualisieren Neues Fenster Q rAngemi iradmin bei Verzeichnis LDAPv3 127 0 0 1 Netzwerkansichten Standard Name Standard F Aktiviert yout Einstellungen alpha Name Art DL alpha Computer ohne URL Abbildung 6 22 Wird ein bereits bestehendes Computerkonto als Computereintrag in eine verwaltete Netzwerkansicht bernommen so ist dies durch Einblendung des Schubfachs und Ziehen mit der Maus m glich Der Arbeitsgruppen Manager warnt wenn ein Kontoeintrag noch zu unvollst ndig ist um ihn f r die verwaltete Ansicht einsetzen zu k nnen aufgef hrt haben In diesem Fall ist es einfacher bzw zum korrekten Aufbau Ih rer Computerlisten vielleicht sogar erforderlich wenn Sie sich an dieser Stelle auf ein bereits bestehendes Computerkonto beziehen Wenn Sie ein neues Computer konto ber den Funktionsbereich NETZWERK anlegen und das Klappmen CoMPU TERLISTE unber hrt lassen erscheint der Computer im Funktionsbereich ACCOUNTS automat
175. heitlich ist und niemals zwei Hersteller zuf llig den gleichen Namen f r ihre Einstellungen w hlen Ein Pro gramm kann so niemals versehentlich die Einstellungen eines anderen Programms berschreiben Im einfachsten Fall wird nur der Programmname an die DNS Dom ne angeh ngt zum Beispiel com apple Safari plist f r die Einstellungsdatei Safari des Herstellers mit der DNS Domain apple com Aber auch tiefer verschachtelte Hierarchieebenen wie com apple quicktime plugin preferences plist com apple speech recognition feedback prefs list sind nicht un blich Jeder dieser Namen bezeichnet eine sogenannte Einstellungs dom ne F r das Dock ist zum Beispiel die Einstellungsdom ne com apple dock zust ndig deren Inhalt in einem oder mehreren Preferences Ordnern jeweils unter dem Namen com apple dock plist abgespeichert ist Die Einstellungsdateien k nnen mit Apples Programm Property List Editor ange zeigt und ver ndert werden Ist Mac OS X mitsamt der Entwicklerumgebung Xcode installiert worden so befindet sich der Editor an der Position Developer Applications Utilities Property List Editor app Das gleiche Programm befindet sich aber auch im Paket mit den Administrations Tools von Mac OS X Server Sie finden es in der von Apple herunterladbaren DMG Datei im Ordner Utilities 78 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER 0o Einstellungen Neues Dokument ffnen und Sichern Format Verwenden Sie das Men
176. hen und neu anzulegen sollte sie fehlerhaft arbeiten 2 7 2 Einrichten der Netzinfrastruktur Der DNS Dienst von Mac OS X 10 4 Server startet in vielen F llen sehr unzuverl ssig Sie sollten nach jedem Systemstart von Hand kontrollieren ob der DNS Server l uft beispielsweise durch Eingabe von host lt name des servers gt in der Kommandozeile Kann das System seinen eigenen Servernamen nicht mehr aufl sen so ist der Start des DNS Dienstes fehlgeschlagen Dies kann in einer Ket tenreaktion dazu f hren dass fast alle anderen Netzdienste auf dem Server und auf allen Clients ausfallen Versuchen Sie in diesem Fall zun chst eine Neuinitialiserung des DNS Dienstes durch Eingabe von sudo killall HUP named was das Problem bis zum n chsten Systemstart behebt Sind allerdings mehrere andere Netzdienste durch den Ausfall von DNS in Mitleidenschaft gezogen worden und h ngen nun starten Sie lieber den kompletten Server neu Wiederholen Sie in diesem Fall den Start des Systems so oft bis der DNS Server auf Anhieb funktioniert Es ist unklar wann Apple diesen schweren Fehler behebt 2 7 EINGESCHR NKTE FEATURES VON MAC OS X 10 4 13 2 7 3 Arbeiten mit verwalteten Einstellungen In vielen Konfigurationen funktioniert das Arbeiten mit verwalteten Einstellungen MCX nicht mehr zuverl ssig Das kann sich in folgenden Symptomen u ern e Das Anmelden von lokalen Benutzern an Clients von Benutzern die keine netzweiten Konten i
177. her Das Programm Grapher ist eine mathematische Anwendung mit der sich zwei und dreidimensionale Funktionen grafisch darstellen lassen VoiceOver Mit der VoiceOver Technik k nnen visuell eingeschr nkte Anwender sich Textinhalte und Systemdialoge akustisch vorlesen lassen Diese Funktion ist im Moment nur f r den englischsprachigen Markt interessant da andere Sprachen nicht ber cksichtigt werden 2 3 Neu mitgelieferte Programme f r den Server Auch serverseitig hat Apple die Anzahl der mitgelieferten Dienste und Programme erweitert Dies betrifft unter anderem die folgenden Punkte 2 4 NEUE M GLICHKEITEN F R ZUGRIFFSRECHTE 7 Xgrid Die fr her nur im Internet von Apples Forschungsabteilung herunterladbare Umgebung Xgrid zum Selbstprogrammieren und Verwalten im Netz verteil ter Anwendungen ist nun offizieller Bestandteil von Mac OS X Server gewor den Xgrid erm glicht es einen Pool von Computern zu einem Rechencluster zusammenzufassen wobei die einzelnen Systeme gemeinsam an einem Pro blem arbeiten Xgrid erfordert speziell entwickelte Software und richtet sich berwiegend an technisch wissenschaftliche Anwender die selbst program mieren WeboObjects Laufzeitumgebung Apples Applikationsumgebung f r selbst ent wickelte web basierte Anwendungen WebObjects wird nun als offizieller Bestandteil von Mac OS X Server mit einer unbeschr nkten Nutzungslizenz ausgeliefert Es erg nzt die JBoss und Tomcat Umgebungen Spam Filte
178. hl sselwort tests ist eine Reihe von Schl sselworten aufgelistet die die Kriterien angeben warum es sich h chstwahrscheinlich um unerw nschte Mail handelt 11 3 FILTERUNG VON E MAIL 153 wobei Sie dies am besten als Administrator durchf hren damit dieser Benutzer Account auch Berechtigung f r den Zugriff auf die Dateien hat Nach dem Anlernen k nnen Sie diese beiden F cher mit POSTFACH L SCHEN wieder entfernen ffnen Sie dann ein Terminal Fenster auf dem Mailserver und geben Sie die folgen den Befehle ein sa learn showdots spam Library Mail Mailboxes Werbung mbox Messages x Hiermit lernt SpamAssassin wie blicherweise Werbung auf Ihrem Mailserver aus sieht Die Option showdots bewirkt dass der Lernfortschritt durch eine Reihe von Punkten angezeigt wird Das letzte Befehlszeilenargument ist der Pfad zu den ent sprechenden rohen Maildateien was Sie eventuell anpassen m ssen Der Stern als Platzhalter bewirkt dass nicht nur die im Ordner enthaltenen Dateien sondern auch alle Unterordner durchsucht werden was wichtig sein kann wenn Sie nicht Apple Mail sondern ein Mail Programm verwenden das die Post in einer anderen Art und Weise ablegt Die Verarbeitung der Daten wird einige Minuten in Anspruch nehmen Mit dem Befehl sa learn showdots ham Library Mail Mailboxes KeineWerbung mbox Messages x wird dem Filter die normale E Mail zur Begutachtung vorgelegt Beachten Sie dass hier die Option
179. hten unterst tzt Mac OS X zus tzlich nun auch Zugriffssteuerungslisten Access Control Lists ACLs die eine noch feiner gegliederte Steuerung des Zugriffs auf Dateisystemobjekte und Dienste m glich 8 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER machen Die ACL Technik ist dar ber hinaus kompatibel mit den von Windows Systemen verwendeten Berechtigungen Im einzelnen ergeben sich hierdurch fol gende neue M glichkeiten Die Pr fung der Gruppenmitgliedschaft ist nicht mehr nur auf den Kurzna men einer Gruppe beschr nkt sondern auch der Langname kann herangezo gen werden e Neben Rechten des Zugriffs k nnen nun auch Verbote des Zugriffs ausge sprochen werden Nicht nur die Parteien Eigent mer Eigent mergruppe und Jeder k nnen f r die Definition einer Zugriffserlaubnis verwendet werden sondern beliebige Listen von Benutzer oder Gruppenkonten e Gruppenmitgliedschaften d rfen verschachtelt werden Zugriffsrechte k nnen nun von Ordnern ber eines von vier einstellbaren Ver fahren auf im Ordner enthaltene Objekte vererbt werden e Neben Schreib Lese Ausf hrungs und Auflistungsrechten gibt es feiner gegliederte Rechte f r den Zugriff auf die Berechtigungsattribute selbst den Zugriff auf die Eigent mervermerke und verschiedene L schungsprivilegien Nicht nur Dateisystemobjekte sondern auch bestimmte Netzwerkdienste k n nen mit ACL Berechtigungen versehen werden 2 5 Neue und ge nderte Netzwe
180. ich ein spezieller Schl sselbund der mit dem Namen X509Anchors versehen ist In diesem speziellen Schl sselbund sind ausschlie lich Zertifikate enthalten n mlich solche die die Echtheit von weltweit bekannten Zertifikatsausstellern Certificate Authorities CAs best tigen Auch Ap ple selbst ist in der Liste enthalten Wie im Hauptbuch in Abschnitt 9 5 1 erl utert beruht die Funktion von Zertifika ten darauf dass sie jeweils von einer Partei digital unterschrieben wurden deren Identit t wiederum von einer anderen Partei durch digitale Unterschrift best tigt wurde Es bildet sich eine Kette von Echtheitsbest tigungen an deren oberem En de eine Zertifizierungsstelle stehen muss deren Echtheit man vertraut Diese Kette von Best tigungen wird ber einen Austausch digitaler ffentlicher Schl ssel nach der Norm X 509 verwaltet das Ende der Kette bildet einen festen Anker deshalb die Bezeichnung X509Anchors Ein solcher Anker ist damit die oberste letzte In stanz um die Echtheit eines Zertifikats best tigen zu k nnen Die entsprechende Zertifizierungsstelle wird als Root Certificate Authority bezeichnet von Apple als Root Zertifizierungs Instanz bersetzt Wenn Sie ein Zertifikat in der Liste anklicken werden s mtliche Detaildaten ber 9 3 ARBEITEN MIT ZERTIFIKATEN 121 Apple Root Certificate Authority Apple Root Certificate Authority Certi eote zn FR Root Zertifizierungs Instanz m G ltig bis Mo
181. ichs ersetzt werden Geben Sie den Befehl sso_util configure r REALM f LDAPv3 127 0 0 1 a diradmin p pass v 1 all ein Hierbei muss REALM durch den Namen Ihres Kerberos Bereichs diradmin durch den Kurznamen des Verzeichnisdienstverwalters und pass durch das Kennwort dieses Verwalters ersetzt werden Beachten Sie dass das Kennwort im Klartext auf dem Bildschirm erscheint und im Eingabepuffer des Terminal Fensters und der History der Shell gespeichert werden Geben Sie den Befehl sso_util configure r REALM f LDAPv3 127 0 0 1 a diradmin p pass v 1 ldap ein wobei Sie die gleichen Ersetzungen vornehmen wie im vorigen Schritt Starten Sie den Rechner neu 6 5 Vordefinierte Konten In der Version 10 4 des Betriebssystems haben sich hinsichtlich der vordefinierten Accounts ein paar nderungen ergeben Tabelle 6 1 zeigt die nderungen bez g lich der Benutzerkonten Tabelle 6 2 die nderungen bei den vordefinierten Grup penkonten Die Tabellen enthalten nur die nderungen die sich gegen ber Panther ergeben haben Die vollst ndigen Tabellen sind in Abschnitt 5 5 1 des Hauptbuchs enthalten 66 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Kurzname UID Bedeutung amavisd 83 Abtrennung der Rechte f r SpamAssassin appowner 87 M gliche Abtrennung der Rechte f r Programme clamav 82 Abtrennung der Rechte f r ClamAV cyrusimap 77 das fr here Konto cyrus hat ein
182. ichtseinstellungen bereitstellt die er verwenden k nnte In diesem Fall wird eine Ansicht mit dem Namen ffentlich aktiv 6 9 3 Erstellen einer verwalteten Netzwerkansicht Im folgenden Beispiel m chten wir kurz zeigen wie eine verwaltete Netzwerkan sicht eingerichtet und verwendet werden kann 6 9 EINSTELLUNGEN F R DEN NETZWERKORDNER DES FINDERS 91 Starten Sie den Arbeitsgruppen Manager und melden Sie sich mit einem ge eigneten Kennwort bei einem Verzeichnisdienstserver an f r dessen Netzum gebung eine verwaltete Netzwerkansicht definiert werden soll Es erscheint ein Dialogfenster mit dem Sie den Typ der Netzwerkansicht aus w hlen m ssen Entscheiden Sie sich f r einen der Typen benannt Standard oder ffentlich und dr cken Sie die Schaltfl che ERSTELLEN In der bersicht auf der linken Seite wird der Name der neuen Ansicht hin zugef gt ebenso wird der neue Name auf der rechten Seite in einem Einga befeld aufgef hrt so dass Sie ihn ndern k nnen Handelt es sich um eine benannte Ansicht so m ssen Sie den Namen nach bestimmten Regeln ver geben denn der Name bestimmt f r welche Gruppe von Computern die Ansichtseinstellungen g ltig werden Folgende Namen sind m glich e Sie geben die MAC Adresse des betreffenden Computers an f r den die Einstellung gelten soll Sie geben die IP Adresse des Computers an f r den die Einstellung gel ten soll Sie geben eine Teilnetzadresse in CIDR Schr
183. ie sich auf gleicher H he oder weiter unten in der Ordnerhierarchie befinden Diese Vererbung findet nur dann statt wenn entweder eine Datei oder ein Ordner in dieser Ordnerhierarchie neu angelegt wird oder wenn mit einem Programm zum Einstellen von Dateirechten das Recht des obersten Ordners der Teilhierarchie ge ndert wird 36 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X 1 2 314 Vererbung auf berhaupt kein Objekt e diesen Ordner e nur direkt enthaltene Unterordner dieses Ordners diesen Ordner und direkt enthaltene Unterordner nur direkt in diesem Ordner enthaltene Dateien diesen Ordner und direkt in diesem Ordner enthaltene Dateien direkt enthaltene Objekte jedoch nicht auf diesen Ordner diesen Ordner und alle direkt enthaltenen Objekte nicht sinnvolle Kombination nicht sinnvolle Kombination direkt enthaltene Ordner und deren Unterordner in beliebiger Tiefe diesen Ordner und alle enthaltenen Ordner in beliebiger Tiefe nicht sinnvolle Kombination nicht sinnvolle Kombination alle enthaltenen Objekte jedoch nicht auf diesen Ordner diesen Ordner und alle enthaltenen Objekte in beliebiger Tiefe Tabelle 5 1 Zul ssige Kombinationen der Vererbungsmethoden 1 dieser Ordner 2 unmittelbar enthaltene Ordner 3 direkt enthaltene Dateien 4 untergeord nete O
184. ie Druckerhersteller f r die Kompatibilit t verantwortlich sind Zur Problem behebung beim Anschluss von USB Druckern an eine Basisstation verweist Apple auf folgenden Artikel bei Redaktionsschluss nur auf englisch verf gbar http docs info apple com article html artnum 107418 10 2 IPP als bertragungsprotokoll der Wahl Inzwischen hat es sich auf allen Plattformen egal ob Mac OS X andere Unix Versionen oder Windows durchgesetzt das im Hauptbuch erw hnte Protokoll IPP Internet Printing Protocol bevorzugt zum Netzwerktransport von Druckdaten ein zusetzen Auch in Tiger ist dies zu empfehlen sofern f r alle beteiligten Clients m glich Da die Aktualisierung der Druckerkonfiguration von Panther auf Tiger in vielen F llen recht holprig verl uft bietet sich f r ltere Installationen eine gute Gelegenheit die Warteschlangen neu anzulegen und auf IPP umzustellen 10 3 Verbesserungen im Server Admin Programm Das Server Admin Programm weist in Tiger einige kleinere Verbesserungen auf 139 140 KAPITEL 10 DRUCKEN IM NETZ ISMB Die Freigabe mit SMB ben tigt die Windows Dienste Kontingente _ Kontingente f r diese Warteschlage erzwingen Verwenden Sie den Arbeitsgruppen Manager um Kontingente f r Benutzer einzustellen Verschlusssache Vertraulich Geheim Standard Streng geheim Nicht klassifiziert O C Abbildung 10 1 Der Server kann veranlasst werden Druckjobs automa
185. ie Rubrik ZERTIFIKATE 4 Dr cken Sie die Schaltfl che mit dem Pluszeichen unterhalb der Tabelle um ein neues Zertifikat anzulegen Es erscheint eine Eingabemaske wie in Abbil dung 9 9 die Sie ausf llen m ssen Beachten Sie dass im unteren Teil der 126 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY Text INSTANZ SELBST SIGNIERT angegeben ist Wir erstellen also ein Zertifikat bei dem wir uns selbst beglaubigen siehe auch Abbildung 9 9 Geben Sie bei ALLGEMEING LTIGER NAME den DNS Namen des LDAP Servers an der auf SSL umgestellt werden soll Es muss der voll qualifizierte Dom nenname FQDN angegeben werden Dies ist wichtig denn wie im vorigen Abschnitt erl utert ist die voreingestellte Sicherheitsrichtlinie in Tiger den Namen des Zertifikats gegen den DNS Namen des Servers zu pr fen F llen Sie die brigen Felder mit den Daten Ihrer Organisation aus Geben Sie bei G LTIG BIS das gew nschte Ablaufdatum des Zertifikats an Mac OS X schl gt als Startdatum das Tagesdatum und als G ltigkeitsdauer ein Jahr vor Lassen Sie das Feld PRIVATE SCHL SSELL NGE auf der Standardeinstellung und geben Sie bei SCHL SSELKENNWORT Nichts ein Dies vermeidet eventuelle Kom patibilit tsprobleme mit dem LDAP Server Bet tigen Sie die Schaltfl che S cHErn Die Erstellung des Zertifikats kann einige Sekunden Rechenzeit ben tigen Gehen Sie mit dem Pfeilknopf links oben auf die Zertifikatstabelle zur ck Das
186. ie das Programm Safari im Programme Ordner von Mac OS X aus Bei einem Programm mit Manifest bekommt das Ankreuzfeld EINSTELLUNGEN DES PROGRAMMS IMPORTIEREN nun eine entscheidende Bedeutung Ist das Feld nicht an gekreuzt bernimmt der Arbeitsgruppen Manager nur das Manifest und Sie k n nen danach mit einer leeren Schablone f r das Programm beginnen bestimmte 86 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Einstellungen vorzudefinieren Ist das Feld dagegen angekreuzt bernimmt der Arbeitsgruppen Manager Manifest und die derzeitigen Einstellungen aus der plist Datei des aktuellen Benutzers um sie als Vorlage zu verwenden Haben Sie die oben skizzierten Schritte durchgef hrt so werden zwei neue Eintr ge mit dem Namen Safari in der Tabelle angelegt 1 W hlen Sie nun den Eintrag mit der Einstellungs ID com apple Safari in der Tabelle aus und dr cken Sie auf BEARBEITEN 2 Eserscheint das bekannte Dialogfenster zum Editieren der Eigenschaftswerte Haben Sie Einstellungen aus dem Benutzerkonto bernommen so sind Werte in der Rubrik H UFIG vorhanden Haben Sie keine Einstellungen importiert so sind alle drei Rubriken leer W hlen Sie nun die Rubrik H UFIG aus indem Sie die Zeile anklicken und danach das Aufklappdreieck anklicken 3 Bet tigen Sie die Schaltfl che NEUER SCHL SSEL 4 Der Arbeitsgruppen Manager legt einen neuen Leereintrag mit dem Namen NEUES OBJEKT an Eine orangefarbene Markierung warnt dass Neues Objekt
187. ie den Verkehr VPN L2TP LAYER TWO TUNNELING PROTOKOLL auf Port 1701 zulassen und dr cken Sie SICHERN Wechseln Sie auf die Karteikarte ERWEITERT und dr cken Sie die Plus Schalt fl che unterhalb der Tabelle F gen Sie eine erweiterte Regel mit folgenden Einstellungen hinzu AKTI ON ERLAUBEN PROTOKOLL UDP QUELLE ADRESSE Standort1 ZIEL ADRESSE Standort2 SCHNITTSTELLE ANDERE isakmp Diese Regel erlaubt den Schl sse laustausch f r IPSec von diesem zum entfernten Server F gen Sie eine erweiterte Regel mit folgenden Einstellungen hinzu AKTI ON ERLAUBEN PROTOKOLL UDP QUELLE ADRESSE Standort2 ZIEL ADRESSE Standort1 SCHNITTSTELLE ANDERE isakmp Diese Regel erlaubt den Schl sse laustausch f r IPSec vom entfernten zu diesem Server 202 24 25 26 27 28 29 30 31 KAPITEL 14 FORTGESCHRITTENE NETZFUNKTIONEN F gen Sie eine erweiterte Regel mit folgenden Einstellungen hinzu AKTI ON ERLAUBEN PROTOKOLL ANDERES esp QUELLE ADRESSE Standort ZIEL ADRESSE Standort2 Diese Regel erlaubt die Verwendung des Protokolls En capsulating Security Payload Wiederholen Sie den letzten Schritt wobei Sie die Quell und Zieladressen vertauschen F gen Sie eine erweiterte Regel mit folgenden Einstellungen hinzu AKTION ERLAUBEN PROTOKOLL ANDERES ipencap QUELLE ADRESSE StandortT ZIEL ADRESSE Standort2 Diese Regel erlaubt die bertragung von verschl ssel ten IP Paketen die
188. ie sich im Moment noch in der Entwicklung befindet werden Ger chten zufolge zwischen 500 und 1 000 Produktm ngel behoben sein so dass hier mit einer Besserung der allgemeinen Lage zu rechnen ist Wie immer steht diese zuk nftige Version jedoch unter gro er Geheimhaltung und Ap ple droht mit juristischen Schritten falls Informationen ber Vorabversionen von 10 4 3 publik werden Auch ein Zeitplan f r die Ver ffentlichung steht noch nicht fest ber die voraussichtlich erste auch f r heterogene Netzwerke brauchbare Version von Mac OS X Tiger Server kann und darf daher noch nicht berichtet werden Mit 10 4 2 liegt jedoch eine vorl ufige Fassung vor die zumindest in Teilen einsetzbar ist und bereits von einigen Anwendern verwendet wird die auf den Umstieg zu Tiger gezwungen sind weil f r Neuinstallationen Panther nicht mehr im Handel erh ltlich ist oder weil sie neue Hardware gekauft haben auf denen sich Mac OS X Panther nicht mehr installieren l sst Die nachfolgenden Abschnitte gehen deshalb auf Version 10 4 2 des Betriebssy stems ein so wie es bei Redaktionsschluss Mitte Oktober 2005 vorlag Hierbei wird versucht die gleiche Reihenfolge der Themen wie im Hauptbuch Heterogene Netz werke beizubehalten Kapitel 2 berblick Neue Funktionen in Mac OS X Tiger Mac OS X 10 4 stellt eine Reihe neuer und ge nderter Funktionen zur Verf gung Dies betrifft sowohl die innere Architektur des Systems als auch die mitgelieferte
189. ieder die Gruppen Buchhaltung Marketing und Personalabteilung enth lt 34 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Um sich die GUIDs anzeigen zu lassen stellen Sie sicher dass die Detailansicht im Arbeitsgruppen Manager aktiviert ist Sie k nnen dies ber den Men punkt ARBEITSGRUPPEN MANAGER EINSTELLUNGEN durch Ankreuzen des Felds TITEL ALLE EINTR GE UND DETAILANSICHT EINBLENDEN bewirken In der Detailansicht der jeweiligen Objekte sind die GUIDs nun unter dem Namen GeneratedUID bzw dem Open Directory Rohnamen dsAttrTypeNative apple generateduid sichtbar Der zweite Punkt eines Zugriffssteuerungseintrags n mlich ob es sich um ein Recht oder ein Verbot handelt ist recht schnell abgehandelt Mac OS X speichert entwe der die Markierung Erlauben oder die Markierung Ablehnen im ACE ab 5 2 2 Zugriffsoperationen Kommen wir zum dritten Punkt der Art des Zugriffs f r die ein Recht erteilt oder verweigert werden soll Mac OS X unterst tzt insgesamt 13 verschiedene Opera tionen f r die eine Berechtigung definiert werden kann Daten lesen Das Recht den Inhalt einer Datei zu lesen oder den Inhalt eines Ordners auflisten zu lassen Daten ausf hren durchqueren Das Recht eine Datei als Programm aus f hren zu k nnen beziehungsweise bei Ordnern einen Unterordner zu ff nen Attribute lesen Das Recht die Attribute zu einem Dateiobjekt zum Beispiel Name Erstellungsdatum und Gr e
190. ildung 12 10 Blojsom kann Weblogs auch in Form von RSS Feeds anbieten Der Aufbau einer Chat Verbindung gleicht einem Telefonanruf bzw dem Aufbau einer Konferenzschaltung Es muss daher eine Art Vermittlungsstelle geben ber den die Kommunikationspartner ihren Anrufwunsch u ern k nnen damit die ent sprechenden Datenpakete an die richtige Stelle gesandt werden Der Datenaus tausch selbst wird zwar von den einzelnen Chat Programmen bernommen aber zum Zeitpunkt des Verbindungsaufbaus ist noch nicht bekannt wo sich das je weils andere Ende der Verbindung befindet Zwar w re es theoretisch denkbar dass der Verbindungsaufbau durch Nennung des DNS Namens oder der IP Adresse des entfernt stehenden Rechners erfolgt aber diese Daten k nnen sich durch die Verwendung dynamischer IP Adressen oder durch roamende Benutzer jederzeit n dern Es w re also n tig vor dem Aufbau der Verbindung sich auf einem anderen Kommunikationskanal Telefon Fax E Mail erst ber die technischen Details der Verbindungsaufnahme zu einigen ein sehr unpraktisches Verfahren Aus diesem Grund wird beim Instant Messaging in der Regel ein spezieller Ver zeichnisdienst verwendet in dem alle potenziellen Teilnehmer registriert sind Dies gleicht einem Telefonverzeichnis Statt einer sich m glicherweise st ndig ndern den IP Adresse reicht es damit zur Kontaktaufnahme einen Chat Namen des ge w nschten Kommunikationspartners anzugeben Der Verzeichnis
191. ine Neuinstallation von Mac OS X 10 4 Server vorgenommen werden und nach erfolgreicher Einrichtung k nnen die Arbeitsdaten vom alten Ser ver auf den neuen von Hand migriert werden 12 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER Ist dies nicht m glich pr fen Sie ob statt einer Aktualisierung nicht die Installati onsart ARCHIVIEREN UND INSTALLIEREN eingesetzt werden kann Sie m ssen in dem Fall Teile der Konfiguration von Hand nachf hren und Benutzerdaten m glicher weise manuell wieder aus der Archivkopie in das laufende System zur ck kopieren Falls Sie eine Aktualisierung also keine Neuinstallation durchf hren laden Sie vor her das Handbuch Mac OS X Server Aktualisieren und Migrieren auf Version 10 4 unter der Adresse http images apple com movies euro de server documentation pdfs 2005 Migration_v10 4 pdf herunter Selbst wenn die automatische Aktualisierung funktioniert m ssen Sie die folgenden Punkte von Hand nacharbeiten e Aktualisieren Sie alle Gruppenkonten indem Sie die Gruppen im Arbeitsgrup pen Manager ausw hlen und den Punkt BERKOMMENE GRUPPE AKTUALISIE REN ausw hlen e Falls Sie SSL Zertifikate eingesetzt haben pr fen Sie die Zertifikate in Server Admin und importieren Sie sie eventuell neu e Kontrollieren Sie die Konfigurationen aller Web Dienste und aller Druckdien ste Ist die Anzahl der Drucker gering lohnt es sich eventuell die Konfigu ration der Druckdienste komplett zu l sc
192. instellung n mlich ein Verweis auf einen Schablonendatei zur Ausblendung einer Webseite in einer bersetzten Version M chten Sie die Ablehnungsmeldung auf Deutsch erhalten so suchen Sie bitte die Zeile mit der Markierung language und stellen diese auf language german2 12 1 NUTZUNG EINES PROXY CACHE SERVERS 161 eoe DansGuardian Zugriff verweigert 4 gt e http www adserver com Qr Google Q Apple 7 v Amazon eBay Yahoo Newsv ZUGRIFF WURDE VERWEIGERT Zugriff auf die Seite http www adserver com wurde aus folgendem Grund verweigert Nicht zugelassene Site adserver com Powered by DansGuardian Abbildung 12 2 DansGuardian wird in der neuen Version auch mit Fehlermel dungsschablonen in deutscher Sprache geliefert um Danach erscheinen die Ablehnungsmeldungen in deutscher Sprache wie in Abbildung 12 2 Eine Schwarze Liste mit Internet Adressen l sst sich wie bisher von urlblacklist com herunterladen Wenn Sie sich mit cd im Ordner befinden in dem der Ordner mit den ausgepackten Blacklists liegt k nnen Sie diese mit dem Befehl sudo cp R blacklists opt dansguardian etc an ihren Einsatzort kopieren In der Datei opt dansguardian etc bannedsitelist w re dann gem den Anweisungen in Kapitel 12 3 3 des Hauptbuchs zum Beispiel die Konfigurationszeile Include lt opt dansguardian etc blacklists ads domains gt am Ende einzuf gen Starten und Stoppen
193. isch in der Computerliste Alle Computer W hlen Sie bei einem bereits bestehenden Computerkonto bei der Plus Schaltfl che den Men punkt COMPUTER EINBLENDEN Es erscheint ein Schubfach mit einer Liste aller Computerkonten Durch Ziehen mit der Maus k nnen Sie Eintr ge direkt in die Layout Tabelle ber tragen Mit einem Achtung Symbol warnt Sie der Arbeitsgruppen Manager falls im Computerkonto zu wenig Felder ausgef llt sind um den Computer als Netz werkansichtseintrag verwenden zu k nnen Abbildung 6 22 Einen Computereintrag in eine verwaltete Netzwerkansicht einzuf gen hei t dass Sie den betreffenden Computer in den Netzwerkordner einblenden m chten und dass beim sp teren Anklicken im Finder einer oder mehrere Dienste abrufbar sein sollen Aus diesem Grund muss jeder Eintrag mit mindestens einer Dienstadresse in Form einer URL versehen werden Sie tragen diese Adressen in die Tabelle URL des Dialogfensters f r das Computerkonto ein und best tigen au erdem ber das Klappmen NETZWERKANSICHT f r welche Ansicht das Computerkonto g ltig wer den soll Beispiel Sie haben im Netz einen Fileserver f r die Protokolle AFP und CIFS SMB den Sie unter dem Begriff Fileserver standardm ig in den Netzwerkordner ein blenden m chten Die MAC Addresse f r die prim re Ethernet Schnittstelle des Ser vercomputers lautet 00 0d 93 4e 56 fd im Netzwerk besitzt er den DNS Namen g4server example private Nach Auswahl der gew nschten Ne
194. ise vorhan denen unverwalteten Einstellungen des jeweiligen Benutzers siehe voriger Ab schnitt gemischt werden sollen Bez glich der Synchronisation im Hintergrund k nnen Sie ber die dritte Karteikarte OPTIONEN w hlen in welchen Zeitabst nden die Synchronisation w hrend einer Benutzersitzung stattfinden soll Neben dem rein manuellen Betrieb kann ein Zeitintervall zwischen 5 und 60 Minuten ausge w hlt werden 6 2 Behandlung von Kennworten in Mac OS X Tiger 6 2 1 Zus tzliches Verfahren zur Pr fung von Kennworten Neben den in Abschnitt 5 3 4 des Hauptbuchs genannten Verfahren zur Verschl s selung und berpr fung von Kennworten steht ab Version 10 4 des Betriebssy stems das neue Verfahren NTLMv2 Windows Secure Password Exchange New Technology and LAN Manager Version 2 zur Verf gung das von neueren Windows Versionen verwendet wird Damit wird insbesondere die Kompatibilit t mit Win dows 2003 Server weiter erh ht Falls Sie vorhaben Benutzerkonten zu definieren in denen die Kennworte der Benutzer ausschlie lich ber NTLMv2 berpr ft wer den m ssen Sie allerdings bedenken dass ltere Versionen von Mac OS X damit nicht zurecht kommen 60 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER 6 2 2 Ausschlie en bestimmter Verfahren zum Pr fen von Kenn worten Eine weitere neue Funktion in diesem Zusammenhang besteht darin dass Sie nun gezielt die Nutzung bestimmter Verfahren zur Speicherung und Pr fung von Kenn worten
195. iste Neue Web Seite Quelle Name Datenrate Zeit Art Interpret Autor Album Jahr Copyright 1 a Apple Switch 128 77 KB s 0 29 Medien Datei 2002 Apple Ir A amp Apple Switch 140 5 KB s 0 29 Medien Datei 2002 Apple Ir 8 Apple Switch 147 54 KB s 0 29 Medien Datei 2002 Apple Ir F Apple Switch 155 3 KB s 0 29 Medien Datei 2002 Apple Ir S Apple Switch 163 61 KB s 0 29 Medien Datei 2002 Apple Ir fff i Apple Switch 128 28 KB s 0 30 Medien Datei 2002 Apple Ir fE iS Apple Switch 130 84 KB s 0 29 Medien Datei 2002 Apple Ir amp Apple Switch 135 45 KB s 0 29 Medien Datei 2002 Apple Ir amp EinarDern mov 144 39 KB s 0 30 Medien Datei GSintroduction mov 8 C5SuperComputer mov Medien Datei 4 01 Medien Datei British Broadcas w G MEE i Streaming Server Adresse 192 168 72 40 Dateien in Unterordner atmedia ver ffentlichen brary QuickTimeStreaming Movies qtmedia Web Site 80 1x2 Dateien in Unterordner m g d ver ffentlichen media Uibrary WebServer Documents qtmedia v Speicherort der Bibliothek Dateien suchen in O Benutzerbibliothek sichert Dateien im Privat Ordner Steuerspuren f r G5SuperComputer mov erstellen Abbildung 12 14 Die beiden Testfilme werden in die Medien Bibliothek einsortiert und auf den QTSS bertragen Markieren Sie nun die beiden Filme i
196. k nnen Gleichzeitig wird die Leistung verbes sert Sollte der PDC kurzfristig berlastet oder durch hohen Netzverkehr schlecht er reichbar sein k nnen sich die Client Computer automatisch mit einem Sicherungs Dom nen Controller verbinden der schneller reagiert Ein BDC arbeitet also als Replik eines PDC genau wie eine Open Directory Re plik als Sicherung eines Open Directory Masters arbeitet Konsequenterweise hat Apple diese beiden Parallelen miteinander verkn pft Sie k nnen nur dann einen Mac OS X Server als BDC einsetzen wenn dieser auch gleichzeitig als Open Directo ry Replik konfiguriert ist Gedacht ist es so dass Sie im Netz einen Hauptserver als Open Directory Master und PDC einrichten der sowohl von Macintosh Windows und Unix Klienten benutzt werden kann Danach sichern Sie beide Verzeichnisdien ste ber die Aufstellung eines oder mehrerer Replikationsserver gegen Ausf lle ab Jeder Replikationsserver arbeitet dann als Open Directory Replik und Windows BDC 7 4 2 Neue Identifizierungsmethoden Mac OS X Server unterst tzt neue Identifizierungsverfahren zum Anmelden von Be nutzern an den Windows Diensten In Server Admin k nnen Sie f r den Dienst WINDOWS unter EINSTELLUNGEN ZUGRIFF IDENTIFIZIERUNG das neue Ankreuzfeld NTLMv2 amp KERBEROS finden Abbildung 7 4 Hierbei handelt es ich um Identifizie rungsverfahren die zum Einsatz kommen wenn der Server Mitglied einer Windows 7 5 PROBLEME IN GEMISCHTEN NE
197. k nnen muss der Server als Open Di rectory Master konfiguriert sein Die Datensicherung kann mit wenigen Mausklicks durchgef hrt werden Abbildung 9 1 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem be treffenden Server der als Open Directory Master arbeitet 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt OPEN DIRECTORY aus 3 Klicken Sie die Rubrik ARCHIVIEREN am unteren Rand des Fensters an 4 Geben Sie bei ARCHIVIEREN IN entweder den absoluten Unix Pfad eines Ord ners an in dem die Datensicherung gespeichert werden soll oder bet tigen Sie die Schaltfl che mit den drei Punkten um einen Ordner auszuw hlen Beachten Sie dass Server Admin hierbei auf das lokale Dateisystem desjeni gen Servers zugreift mit dem Sie gerade verbunden sind Dies muss nicht unbedingt der lokale Computer sein auf dem Server Admin gerade l uft 5 Dr cken Sie die Schaltfl che ARCHIVIEREN um die Datensicherung zu erstellen 6 Geben Sie einen Dateinamen f r diese Datensicherung in das erscheinende Dialogfenster Abbildung 9 2 ein Es empfiehlt sich einen Namen zu w h len der das jeweilige Tagesdatum beinhaltet Ebenso m ssen Sie ein Kenn wort f r die Verschl sselung der Datensicherung an dieser Stelle eingeben Denken Sie daran dass die Open Directory Daten die sicherheitskritischsten Daten sind die Ihr Server gespeichert hat denn es sind unter anderem al le Kennwort Hashes aller Benutzer im V
198. kannten Befehle s zum Anzeigen von Ordnerinhalten und chmod zum n dern von Berechtigungseinstellungen wurden in Mac OS X Tiger so erweitert dass sie jetzt auch mit ACLs umgehen k nnen Wenn Sie einen Ordner im Langformat Option auflisten lassen so markiert Mac OS X das Vorhandensein einer ACL mit einem zus tzlichen Pluszeichen neben den POSIX Markierungen g4server Public osxadmin 1s 1 total 0 drwxr xr x 2 osxadmin admin 68 Sep 20 12 27 Buchhaltung drwxr xr x 63 osxadmin admin 2142 Jun 14 2002 Clipart drwxr xr x 2 osxadmin admin 68 Sep 20 12 28 Marketing In diesem Beispiel ist der Unterordner Clipart mit einer ACL versehen Um sich den Ordner inklusive der ACLs anzeigen zu lassen f gen Sie dem Is Befehl einfach die Option e hinzu Hier das entsprechende Beispiel g4server Public osxadmin Is le 48 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X Einstellung Schl sselwort Zugriff erlauben allow Zugriff ablehnen deny Daten lesen bei Dateien read bei Ordnern list Daten ausf hren durchqueren bei Dateien execute bei Ordnern search Attribute lesen readattr Erweiterte Attribute lesen readextattr Zugriffsrechte lesen readsecurity Daten schreiben bei Dateien write bei Ordnern add_file Daten anh ngen bei Dateien append bei Ordnern add_subdirectory Attribute schreiben writeattr Erweiterte Attribute schreiben writeextattr Zugriffsrech
199. karte EINSTELLUNGEN FILTER der Rubrik Mall in Server Admin konfiguriert Je nachdem in welchem Land Sie sich befinden und in welcher Rechts beziehung Sie zu den Nutzern Ihres Mailservers stehen kann der Ein satz eines E Mail Filters illegal sein Auch wenn Sie nur Gutes im Sinn haben stellt dies je nach Rechtslage einen unerlaubten Eingriff in die Weiterleitung von Telekommunikationsdaten dar Sie sollten sich bei einem Rechtsbeistand n her informieren falls Sie diese Features ein setzen m chten Ebenso sollten Sie daran denken dass bei jedem SPAM als auch bei jedem Virenfilter falsche Positivausk nfte vorkommen werden Es wird also Postsendungen geben die zu Unrecht als b swillig eingestuft werden was weitere rechtliche Probleme und Sch den nach sich zie hen kann 11 3 2 Ausfiltern von unerw nschter Werbepost Das Programm SpamAssassin verwendet zur Erkennung von Werbe Mails ein ganz anderes mathematisches Verfahren als Apple es auf Client Seite im Programm Mail tut Apple Mail verwendet ein neuronales Netz das eine selbst anpassende Latente Semantische Analyse LSA durchf hrt w hrend SpamAssassin einen sogenannten Bayes Filter benannt nach dem englischen Mathematiker Thomas Bayes 1702 1761 einsetzt Beide Verfahren ben tigen eine Trainingsphase d h es m ssen den Programmen positive und negative E Mails vorgelegt werden aus denen sie nach und nach lernen wie neue E Mails zu kategorisieren si
200. konto als Musterbenutzer ein richten und dessen plist Dateien als Basis f r die verwalteten Einstellungen ber nehmen Oft ist es aber zuviel des Guten Einige Einstellungen zum Beispiel die 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 83 com apple TextEdit Neuer Schl ssel L schen tandard festleg Name Typ Wert y Einmal W rterbuch v H ufig W rterbuch RichText Bool sc falsch vimmer W rterbuch Abbildung 6 19 Wir definieren eine verwaltete Einstellung f r TextEdit ber die manuelle Vorgabe von Eigenschaftslisten lassen sich auch Programme die im Arbeitsgruppen Manager nicht vorgesehen sind mit verwalteten Einstellungen ver sehen Liste der zuletzt ge ffneten Dateien die immer auch in den plist Dateien abge speichert ist sollten nicht unbedingt als Vorlage f r die verwalteten Einstellungen dienen In unserem Beispiel wollen wir ausschlie lich die Einstellung Rich Text auf No setzen alle anderen Werte sollen so bleiben wie sie sind Falls Sie im aktuellen Benutzerkonto TextEdit noch nie benutzt hatten ist die Einstellung die wir gerade eben ge ndert hatten die einzige Einstellung und es stimmt bereits alles Hatten Sie aber TextEdit in der Vergangenheit bereits benutzt so m ssen wir die berfl s sigen Einstellungen die nicht als Vorlage dienen sollen l schen 1 W hlen Sie die Zeile cOM APPLE TEXTEDIT in der Tabelle aus und dr cken Sie den Knopf BEARBEITEN re
201. ktivieren und wieder vom Schirm verschwinden zu lassen RSS Integration Die Internet Technik mit der Bezeichnung RSS Really Simple Syndication ist nun in die Web Bibliotheken des Betriebssystems integriert und l sst die Nutzung in verschiedenen Programmen und Systemkomponen ten wie z B dem Webbrowser Safari zu RSS erm glicht es Web Inhalte auf einfache Weise zu ver ffentlichen und zu verbreiten und diese Inhalte in Form von Nachrichten Feeds sammeln lesen und zusammenfassen zu k nnen Automator Das Programm Automator erm glicht es Endanwendern auch ohne Programmier oder Skriptkenntnisse verschiedene Anwendungen automati siert zu steuern und damit vorher festgelegte Arbeitsabl ufe definieren zu k nnen Kindersicherung Die M glichkeit Benutzer auch auf einem Einzelplatzsystem zu verwalten und deren Umgebung auch ber die Definitionen von Unix Berech tigungen hinaus einschr nken zu k nnen wurde erweitert und ist in ein neu es Kindersicherungskonzept integriert worden Intelligente Ordner im Finder Der Finder erm glicht es virtuelle Ordner anzu legen die sich nicht auf einen konkreten Ordner im Dateisystem beziehen sondern stattdessen definierte Suchabfragen darstellen mit denen in Echtzeit eine Sicht auf ausgew hlte Dateiobjekte zusammengestellt wird So kann bei spielsweise ein virtueller Ordner erstellt werden in dem sich alle JPEG Bilder die jeweils in der vergangenen Woche ge ndert wurden befinden Grap
202. ku tieren Da sich die Benutzer am Weblog Dienst anmelden m ssen um Beitr ge zu erstellen betrifft dies nat rlich auch die bertragung der Kennworte Wenn Sie direkt auf das Blog eines bestimmten Benutzers zugreifen m chten k n nen Sie an die oben genannte Adresse auch den Kurznamen des Benutzers anh n gen F r den Benutzer mit dem Account hans also zum Beispiel http www example private weblog hans 12 3 3 Terminologie und Funktionen des Bloggens Bei der Arbeit mit Weblogs hat sich eine eigene Terminologie herausgebildet um bestimmte Grundfunktionen zu beschreiben Ein Weblog oder kurz Blog ist ein elektronisch gef hrtes Dokument das in einem Netzwerk abgerufen werden kann und wie ein Tagebuch organisiert ist Ein Weblog kann entweder von einem einzel nen Benutzer oder von einer Benutzergruppe gef hrt werden Es wird dabei immer unter dem Kurznamen des jeweiligen Benutzer oder Gruppen Accounts verwaltet Wer auf ein Weblog zugreifen d h die Eintr ge lesen darf wird durch den Autor des jeweiligen Weblogs bestimmt In der Standardeinstellung darf jeder der Zu griff auf den Webserver hat also auch Fremde die keine Weblog Teilnehmer sind die Blogs abrufen 12 3 DER WEBLOG DIENST BLOJSOM 167 Mac OS X Server Created with Mac OS X Server Hans Schmitz s Weblog Created with Mac OS X Server Geben Sie Ihren Kurznamen ein und dr cken Sie die Zeilenschaltung um Ihr eigenes Weblog zu erstellen Maria Schmit
203. l schen Das Recht einen Unterordner mitsamt den enthalte nen Dateien zu l schen 5 2 3 Vererbung der Eintr ge in der Ordnerhierarchie Der vierte Punkt eines Zugriffssteuerungseintrags betrifft die Vererbung von Zu griffsrechten auf Unterordner Es gibt insgesamt vier M glichkeiten auf diesen Ordner anwenden der Eintrag bezieht sich auf genau den Ord ner mit dem der Eintrag verkn pft ist auf unmittelbare Unterordner vererben der Eintrag wird auf Unterordner vererbt die direkt in diesem Ordner enthalten sind nicht auf Objekte weiter unten in der Hierarchie auf unmittelbar enthaltene Dateien vererben der Eintrag wird auf die di rekt enthaltenen Dateien vererbt nicht auf Dateien die sich weiter unten in der Ordnerhierarchie befinden auf weiter unten enthaltene Objekte vererben der Eintrag wird auf weiter unten in der Hierarchie enthaltenen Ordner und Dateien vererbt jedoch nicht auf Dateien und Ordner die unmittelbar in diesem Ordner liegen Vorsicht Sie m ssen beachten dass Sie diese vier Vererbungsmethoden kombinie ren k nnen jedoch nicht in allen theoretisch denkbaren Kombinationen Es gibt 12 von insgesamt 16 m glichen Kombinationen die sinnvoll sind Tabelle 5 1 erl utert dies noch einmal genauer F hren Sie sich au erdem noch einmal vor Augen dass es hier nicht um die direkte Anwendung von Rechten auf Dateisystemobjekte geht sondern nur um die Vererbung der Rechte eines Ordners auf andere Objekte d
204. le MCX com apple MCX k o com apple SoftwareUpdate com apple SoftwareUpdate com apple systempreferences com apple systempreferences Klicken Sie in Hinzuf gen um ein Programm oder eine Einstellungsdatei zu w hlen Abbildung 6 18 Wie Mac OS X intern mit den verwalteten Einstellungen umgeht l sst sich mit der neuen Funktion DETAILS feststellen Sie kann genutzt werden um Voreinstellungen f r beliebige Drittanbieterprogramme zu definieren 82 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Angenommen wir m chten das Programm TextEdit aus unserem vorangegange nen Beispiel nun so einrichten das auf einer bestimmten Liste von Computern TextEdit grunds tzlich mit der Voreinstellung neue Dokumente werden als reiner Text angelegt betrieben werden soll Dies ist ein durchaus praxisnahes Beispiel es k nnte sich zum Beispiel um Computer in einem B ro oder Klassenraum handeln wo TextEdit haupts chlich zur Programmentwicklung nicht zur Textverarbeitung eingesetzt wird Wir erinnern uns Hierzu m ssen wir in der Einstellungsdom ne com apple TextEdit die Eigenschaft mit dem Namen Rich Text auf den logischen Wert No setzen 1 Starten Sie TextEdit und ffnen Sie den Men punkt TEXTEDIT EINSTELLUN GEN 2 Stellen Sie im Einstellungsfenster beim Absatz ForMAaT die Einstellung auf REINER TEXT um siehe auch Abbildung 6 16 3 Beenden Sie TextEdit 4 Sorgen Sie daf r dass der Arbeitsgruppen Manager l uft und
205. legen Auch dieser Name darf nicht abge ndert werden Veranlassen Sie nun eine Reihe von Benutzern in Ihrem Netz ein paar Tage lang alle E Mails die sie erhalten e an die Mailadresse junkmail in Ihrem Netz weiterzuleiten falls es sich um Werbung handelt e an die Mailadresse notjunkmail weiterzuleiten falls es sich nicht um Werbung handelt SpamAssassin wertet die Postf cher dieser beiden Benutzer jede Nacht um 1 Uhr aus falls sie existieren und f hrt damit eine Lernphase durch wodurch sich die Bewertungsergebnisse nach und nach verbessern Nach einer gewissen Laufzeit k nnen Sie die beiden Benutzerkonten und ihre Postf cher wieder l schen 11 3 3 Ausfiltern von Computerviren Eng mit der Filterung unerw nschter E Mail verbunden ist das Filtern von Viren und hnlichen Schadprogrammen wie z B Trojanischen Pferden Diese Funktionen werden in der unteren H lfte des Fensters MAIL EINSTELLUNGEN FILTER in Server Admin konfiguriert Abbildung 11 4 Ein Ankreuzen des Feldes E MAIL NACH VIREN DURCHSUCHEN reicht aus um das Programm ClamAV zu aktivieren Wie jedes Antivirenprogramm ist auch diese An wendung auf eine stets aktuelle Datenbank bekannter Viren angewiesen Die Op tion DATENBANK F R JUNK MAIL UND VIREN X MAL AM TAG AKTUALISIEREN erlaubt die Einstellung ob und wie oft pro Tag diesen Datenbank neu ber das Internet abgefragt werden soll Besonders vorsichtige Administratoren stellen hier mehrere Pr fungen pro Tag
206. lichen Identifizierungsverfahren f r den Zugriff auf Open Di rectory die bereits in Abschnitt 6 2 2 diskutiert wurden Die Funktion ALLE PAKETE DIGITAL SIGNIEREN steuert ob beim Datenaustausch zwischen Client und Server alle Daten mit digitalen Unterschriften versehen werden sollen Wird die Funktion eingeschaltet kann ein Angreifer der das Netz abh rt keine Datenpakete abfangen und durch gef lschte Pakete erset zen Die Auswahl ALLE PAKETE VERSCHL SSELN bewirkt dass ein Angreifer der das Netz abh rt die Daten nicht mehr mitlesen kann ber die Option MAN IN THE MIDDLE ANGRIFFE BLOCKIEREN werden zus tz liche Sicherheitsma nahmen eingeschaltet die verhindern dass sich ein An greifer mit einem eingeschleusten Computer f lschlicherweise als LDAP Server ausgeben kann Dieses Funktion sollte immer mit der Funktion ALLE PAKETE DIGITAL SIGNIEREN kombiniert werden 9 2 Arbeiten mit dem LDAP Browser Die Internet Adresse f r den im Hauptbuch vorgestellten LDAP Browser hat sich inzwischen ge ndert Bitte verwenden Sie nun die Adresse http www unix mes anl gov gawor 1dap Bei Redaktionsschluss war Version 2 8 2 Beta 2 die neueste erh ltliche Version 9 3 Arbeiten mit Zertifikaten 9 3 1 Das neu gestaltete Schl sselbund Programm In Mac OS X Tiger hat Apple eine gro e Zahl neuer Funktionen eingef hrt die den Umgang mit Zertifikaten erleichtern Dies betrifft sowohl die Standardversion als auch die Serverversi
207. lichkeit ihre Einstellungen in einer zus tzlichen Datei freiwillig auf zulisten und zu beschreiben Eine solche Datei wird Einstellungsmanifest genannt Sie k nnen sich ein solches Manifest wie einen Lieferschein oder eine Art Lexikon vorstellen das e alle Einstellungen auflistet bei denen es sinnvoll sein k nnte sie als verwal tete Einstellungen zu nutzen e den richtigen Datentyp f r diese Einstellung angibt e in nat rlicher Sprache beschreibt wozu diese Einstellung dient und e beschreibt welche Bedeutung die Werte der Einstellung haben und wie sie interpretiert werden Es sei betont dass ein solches Manifest freiwillig ist Im Moment gibt es nur sehr sehr wenige Anbieter die ihre Programme mit Einstellungsmanifesten ausstatten Auch in Mac OS X selbst werden die Manifeste bis jetzt nur an wenigen Stellen ein gesetzt Sie k nnen wie folgt feststellen ob ein Programm ein Einstellungsmanifest besitzt 1 W hlen Sie das Symbol des Programms im Finder aus 2 ffnen Sie ber die rechte Maustaste oder ctrl Klick das Kontextmen und w hlen Sie den Punkt PAKETINHALT ZEIGEN aus 6 8 VERWALTETE EINSTELLUNGEN F R BENUTZERKONTEN 85 3 Navigieren Sie in den Unterordner Contents Resources 4 Suchen Sie nach Dateien mit dem Suffix manifest bzw mit der Art Mana ged Preference Manifest Diese Dateien tragen blicherweise den Namen der Einstellungsdom ne Wenn Sie keine solche Datei finden dann hat dieses Prog
208. lossenen Plattenlaufwerk so behandelt Mac OS X das Volume standardm ig ohne Ber cksichti gung von Benutzerrechten Sie m ssen in diesem Fall erst die Funktion ZUGRIFFSSTEUERUNGSLISTEN AUF DIESEM VOLUME AKTIVEREN in der Rubrik ALLGEMEIN des Bereichs SHARING ankreuzen bevor Sie mit ACLs arbei ten k nnen 5 4 2 Verschachtelte Gruppen im Arbeitsgruppen Manager Das Anlegen von verschachtelten Gruppen im Arbeitsgruppen Manager funktio niert wie erwartet Angenommen Sie haben eine bergeordnete Gruppe A in die Sie eine Gruppe B integrieren m chten dann ziehen Sie einfach im Arbeitsgruppen Manager das Gruppenkonto von B in die Mitgliedertabelle von A Machen Sie sich bewusst was passiert wenn ein Benutzer nun Mitglied der Gruppe B ist Da B selbst ein Mitglied der Gruppe A ist wird dieser Benutzer automatisch auch Mitglied der bergeordneten Gruppe A Im Arbeitsgruppen Manager wird dies als geerbte Gruppe bezeichnet Sie k nnen das Erben von Gruppenmitglied schaften auf Wunsch im Arbeitsgruppen Manager anzeigen lassen Das System berechnet auf Knopfdruck wie die tats chliche Gruppenmitgliedschaft eines Be nutzers aussieht Geerbte Gruppen werden hierbei durch kursive Schrift dargestellt Abbildung 5 6 1 Stellen Sie sicher dass im Arbeitsgruppen Manager das Symbol ACCOUNTS ausgew hlt ist und w hlen Sie in der Account Liste ein Benutzerkonto aus 2 Gehen Sie im rechten Teil des Fensters zur Rubrik GRUPPEN 3
209. lsch bernommen Beachten Sie dass die Live bertragung wenn auch nur geringf gig Rechenzeit auf Ihrem Server beansprucht Nach Abschluss des Tests sollten Sie ber den STOPP Knopf unter BROADCAST STATUS der Wiedergabeliste die bertragung beenden 12 5 QUICKTIME STREAMING SERVER 183 G5Werbeaktion e0 a amp ec lhttp 192 168 72 40 gtmedia G5Werbeaktion htmi EKQ Google i G5Werbeaktion Dies ist eine Demonstration von QTSS Y Apple G5 Werbeaktion Get For optimal viewing experience viewers should QuickTime y p E E FreeDowmissa download Quicktime 6 Abbildung 12 17 Der erste selbst definierte Live Stream in Aktion Die Qualit t des HTML Codes f r die Web Seite ist allerdings wenig berzeugend So gut wie nichts funktioniert auf Anhieb Web Seiten f r Streaming erstellen Um unsere zwei Web Seiten f r On Demand Streaming zu erstellen m ssen wir wieder in den QTSS Publisher zur ckgehen W hlen Sie in der Spalte QuELLE den Punkt BIBLIOTHEK und in der Ubersichtstabelle eine der beiden Filmdateien aus 1 Rollen Sie den unteren Bereich des Fensters nach unten bis Sie den Punkt STREAMING LINK sehen Kreuzen Sie dort den Punkt MEDIENDATEI MIT QUICK TIME STREAMING SERVER VER FFENTLICHEN SOFORTIGE WIEDERGABE an 2 Stellen Sie den Punkt AKTION AUF WEB SEITE auf IN DIE WEB SEITE EINBETTEN 3 Geben Sie bei BERSCHRIFT AUF WEB SEITE einen Text f r die berschrift an 4
210. m ssen Sie alle Dienstentdeckungsbereiche die ver wendet werden sollen ausw hlen SCHE LISTE HINZUF GEN aus Es erscheint ein Dialogfenster das alle Dienstent deckungsdom nen die im lokalen Netz gefunden werden auflistet Die Bereiche werden in Form von Verzeichnisdienstpfaden siehe Abschnitte 6 2 1 und 7 2 5 des Hauptbuchs angegeben Abbildung 6 24 Sie m ssen einen oder mehrere Such bereiche f r die Dienstentdeckung ausw hlen und dann den Knopf HINZUF GEN dr cken Eintr ge in der Tabelle k nnen mit dem Minus Symbol gel scht und mit dem Stift Symbol ver ndert werden Es sei darauf hingewiesen dass die komplexen M glichkeiten der Wiederverwendung von Computerkonten teilweise auch den Arbeitsgruppen Manager selbst berfordern In einigen Versionen von Mac OS X Tiger erhalten Sie in vielen F llen Meldungen wie in Abbildung 6 26 In einem sol chen Fall bleibt Ihnen oft nur noch die M glichkeit eine verwaltete Netzwerkan sicht komplett zu l schen oder sie roh in der LDAP Datenbank zu bearbeiten 6 9 4 Zuweisung verwalteter Netzwerkeinstellungen an Klien ten Wir hatten bereits erw hnt dass benannte Netzwerkansichten die in ihrem Na men weder ein Teilnetz in CIDR Schreibweise noch eine IP Adresse noch eine MAC Adresse auff hren zun chst keinem Client Computer zugewiesen werden Sie m ssen in dem Fall die Computer einzeln auff hren die in ihrem Netzwerord ner die entsprechende Netzwerkansicht einbl
211. m Verzeichnisdienst besitzen funktioniert m glicherwei se nur mit gro en Verz gerungen und erzeugt zahlreiche Fehlermeldungen im Konsolprotokoll Bestimmte Einstellungen funktionieren nicht oder fehlerhaft Sind zum Bei spiel Vorgaben f r die Benutzung von Druckerwarteschlangen und Standard drucker definiert so kann es sein dass sich diese Konfiguration auf den Cli ents in regelm igen Abst nden dupliziert Drucker werden mehrfach oder falsch eingerichtet 2 7 4 Unterst tzung klassischer Mac OS Systeme Die folgenden Funktionen die f r die Integrationen von klassischen Mac OS Syste men in ein Netzwerk ben tigt werden k nnen werden nicht mehr unterst tzt e Der Kommunikation mit Mac OS Dateidiensten die nur AFP over AppleTalk unterst tzen ist nicht mehr m glich Es muss zwingend AFP over TCP IP ein gesetzt werden e Das Programm Macintosh Manager zur Verwaltung von Mac OS Systemen im Netz wird nicht mehr unterst tzt Es ist noch lauff hig falls Sie es bei ei ner Aktualisierungsinstallation aus einem Panther oder Jaguar System ber nommen haben gilt jedoch nicht mehr als unterst tzte Komponente von Mac OS X Tiger 2 7 5 Arbeiten mit einem zentralen Netzwerkordner f r Schrift arten Die Konfiguration eines zentralen Netzwerkordners f r Schriftarten am Pfad Network Library Fonts ber einen AFP Automount Eintrag funktioniert nicht mehr zuverl ssig Die Clients k nnen von folgenden Symptomen betroffe
212. n Programme 2 1 nderungen in der Architektur des Systems Das Tiger Betriebssystem unterst tzt nun die 64 Bit Technologie so gut wie voll st ndig Die innere Aufbau der von Apple bisher verwendeten PowerPC Prozessoren war immer schon auf 64 Bit ausgerichtet seit der f nften Generation G5 steht mit dem IBM PPC 970 jedoch auch ein Prozessor f r Macintosh Systeme zur Ver f gung der die Verwendung von 64 Bit in noch gr erem Umfang insbesondere auch f r die Adressierung des Hauptspeichers beherrscht F r die Praxis hei t das dass ein laufendes Programm nun mehr als 4 GByte Speicher vom System anfor dern darf Besonders f r gro e Datenbanksysteme in professionellen Netzwerken ist dies ein entscheidender Schritt da es hierdurch m glich wird z B Teile einer Datenbank besonders deren Suchindex im Hauptspeicher zu halten so dass beim Zugriff nicht st ndig auf die Festplatte zugegriffen werden muss Dies kann zu enormen Geschwindigkeitssteigerungen f hren F r Programme die nicht st ndig mit sehr gro en Datenmengen arbeiten ergibt sich jedoch so gut wie kein Vorteil aus der 64 Bit Technik Um mehr als 4 GByte Speicher ansprechen zu k nnen m ssen die Programme ent sprechend angepasst sein Die Adressen um die einzelnen Speicherstellen ausw h len zu k nnen werden von 32 Bit auf 64 Bit erweitert Bei den Systemkomponen ten von Mac OS X ist dies so gel st dass Apple die einzelnen Codebibliotheken die die Funktion
213. n wie der Netzwerkordner im 6 9 EINSTELLUNGEN F R DEN NETZWERKORDNER DES FINDERS 87 Manager Serve Inhalt neuer Fenster Ife 0 Vorgehensweise beim Entfernen von geladenen Objekten Server example private Sichere geladene Objekte automatisch ffnen Fe Safari A Externe Links in vorhandenen Fenstern ffnen z a Standardschrift Admin s NE standardschriftgr e fard PFA Nichtproportionale Standardschrift a Nat _Standardgr e f r nichtproportionale Schriften Wert i Bilder anzeigen le d lo yi Standardm ige Text Codierung i Lesezeichenleiste enth lt das Adressbuch Q BEE esezeichenteiste entn n Bonjour m er gt I Lesezeichenmen enth lt die Lesezeichenleiste je Lesezeichenmen enth lt das Adressbuch a Gas Lesezeichenmen enth lt Bonjour J Win Lesezeichen Sammlungen enthalten das Adressbuch 8 Alle Lesezeichen Sammlungen enthalten Bonjour Surfen mit Tabs aktiviert Neue Tabs sofort ausw hlen Tableiste immer anzeigen Mit Adressbuch automatisch ausf llen Kennw rter automatisch ausf llen Verschiedene Formulare automatisch ausf llen Plug Ins aktiviert Java aktiviert JavaScript aktiviert JavaScript erlauben Fenster automatisch zu ffnen Hinweis vor dem Senden von unsicheren Formularen Minimale Schriftgr e Tab f r Links Style Sheet des Benutzers aktivieren ng Ort des Style Sheets des Benutzers E Hintergrund drucken Kopf und Fu zeilen drucken Neues Objekt
214. n Blojsom ein Kinderspiel Es muss im Prinzip nur ein H kchen im Programm Server Admin gesetzt werden 1 Starten Sie Server Admin und verbinden Sie sich mit dem Server auf dem die Weblog Dienste eingerichtet werden sollen Auf diesem Server m ssen bereits die Web Dienste aktiviert sein 2 W hlen Sie in der Tabelle COMPUTER amp DIENSTE den Punkt WEB aus 3 Gehen Sie in der rechten Seite des Fensters zum Punkt EINSTELLUNGEN und w hlen dort die Rubrik WEBLOGS aus 4 Setzen Sie das H kchen bei WEBLOGS AKTIVIEREN Mit den weiteren drei Feldern Abbildung 12 4 k nnen Sie zus tzliche Einstellun gen festlegen Das Klappmen STANDARDTHEMA w hlt einen bestimmten Darstel lungsstil aus mit dem Weblogs standardm ig angezeigt werden sollen Technisch stecken dahinter normale CSS Stylesheets die im Blojsom Ordner siehe unten ab gelegt sind Der Ort an dem eigentlichen Blogs gespeichert werden wird mit dem Feld WEBLOG ORDNER vorgegeben Apples Vorschlag folgt den blichen Richtlinien f r Mac OS X Anwendungen und lautet 12 3 DER WEBLOG DIENST BLOJSOM 165 Allgemein Sites MIME Typen Weblogs Proxy Module v Weblogs aktivieren Zugriff auf die Weblogs haben Sie unter http lt servername gt weblog Standardthema Blau x Weblog Ordner Library Application Support Weblogs E Mail Domain example private Die standardm ige E Mail Adresse f r Weblogs lautet benutzername example privat
215. n Namen bernehmen und das Feld DIE SE ZERTIFIZIERUNGSINSTANZ ALS STANDARD VERWENDEN angekreuzt lassen 9 3 ARBEITEN MIT ZERTIFIKATEN 131 14 Das Zertifikat und die zugeh rigen Schl ssel werden erstellt was einige Se kunden dauern kann Der Assistent zeigt abschlie end eine Zusammenfas sung Sie k nnen den Assistenten beenden Im neuen Schl sselbund finden Sie nun das neue Zertifikat mit dessen privaten und ffentlichen Schl sseln Wenn Sie das Zertifikat ausw hlen wird wieder eine Warnung angezeigt dass das Zertifikat von einem unbekannten Aussteller unter schrieben wurde Dies ist korrekt Wir m ssen diesem und allen weiteren Compu tern Ihres Netzes nun beibringen dass wir uns selbst trauen k nnen indem wir das Zertifikat in die Liste der X509Anchors bertragen 1 Ziehen Sie mit der Maus das neue Zertifikat nach links ber den Schl sselbund X509ANCHORS Es ist nicht wichtig ob das Schlosssymbol ge ffnet ist 2 Beenden Sie das Programm Schl sselbund 3 Starten Sie das Programm Schl sselbund wieder neu 4 Gehen Sie zum Schl sselbund X509AncHo Rs und w hlen Sie das neue Zerti fikat aus Wenn alles geklappt hat ist das neues Zertifikat jetzt mit einem gr nen H kchen als g ltig markiert Abbildung 9 14 Wir sind erfolgreich zu unserer eigenen Zerti fizierungsstelle geworden Die Dateien die hierzu angelegt wurden befinden sich brigens im Ordner var root Library Application Support Certifi
216. n der rechten Tabelle und ziehen Sie diese mit der Maus nach links ber das neu eingef gte Symbol der Wiedergabeliste Es tr gt den Namen den Sie gerade eingegeben haben W hlen Sie danach das Symbol der Wiedergabeliste aus Die rechte H lfte des Fensters ver ndert sich und zeigt nun die Einstellungen f r die Wiedergabeliste an Stellen Sie bitte unter EINSTELLUNGEN DER WIEDERGABELISTE bei WIEDERGABEMODUS den Wert ENDLOS SEQUENZIELL ein und bet tigen Sie die Taste ANWENDEN rechts unten Um die Wiedergabe einzuleiten dr cken Sie den Knopf START unter dem Punkt BROADCAST STATUS Falls Sie eine Meldung erhalten dass der Server einen Fehler zur ckmeldet soll ten Sie noch einmal kontrollieren ob es sich bei den Videodateien tats chlich um Streams mit Steuerspur handelt nicht um normale Videodateien Leider sind die vom QTSS Publisher zur ckgelieferten Fehlermeldungen wenig hilfreich Genauere Meldungen finden Sie eventuell wenn Sie auf dem Server selbst in den Dateien Library Application Support Apple QTSS Publisher Playlists lt playlist gt lt playlist gt err Library Application Support Apple QTSS Publisher Playlists lt playlist gt lt playlist gt log nach Eintr gen suchen Aber auch hier sind Meldungen oft r tselhaft und bestehen z B nur aus dem Hinweis error 15 oder hnlichem Um die Live Sendung zu sehen k nnen Sie den QuickTime Player auf einem Rech ner im Netz starten W hlen Sie ABLAGE URL FFNEN
217. n sein e Der Schriftverwaltungsprozess von Mac OS X ATSServer kann beim System start oder bei der Anmeldung in eine Endlosschleife geraten was ein Einfrie ren des Systems zur Folge hat 14 KAPITEL 2 BERBLICK NEUE FUNKTIONEN IN MAC OS X TIGER e Es kann passieren dass die Clients in unregelm igen Abst nden s mtliche Netzwerkschriften aktivieren auch wenn diese Schriften explizit von den Be nutzern deaktiviert wurden Da hierbei der komplette Zeichensatz Cache neu aufgebaut werden muss k nnen sich beim Anmelden am Client Rechner Ver z gerungen von mehreren Minuten ergeben bis das System wieder reagiert Das unerwartete Aktivieren einer gro en Anzahl von Schriften kann zudem weitere Verz gerungen und Fehlfunktionen in Carbon Programmen ausl sen 2 7 6 Anbindung an NIS Verzeichnisdienste Die Anbindung an einen NIS Verzeichnisdienst ist im Moment von kritischen Feh lern betroffen so dass dringend davon abgeraten werden muss Mac OS X 10 4 bereits jetzt in einem Netzwerk mit einem NIS Verzeichnisdienst einzusetzen Ver wenden Sie ein heterogenes Unix Netz das auf die Verwendung von NFS und NIS ausgerichtet ist so muss Tiger zurzeit als unbrauchbar bezeichnet werden Es gibt ernst zu nehmende Anzeichen daf r dass ab Version 10 4 3 das System wieder im Zusammenhang mit NIS verwendbar wird Ebenso gibt es Anzeichen daf r dass Apple ab 10 4 3 auch die Verschl sselung von Kennworten nach dem Verfahren MD5 bei der Ver
218. nd Ein Bayes Filter kann bereits nach dem Training mit circa 30 E Mails berraschende Trefferquoten erzielen Apple empfiehlt jedoch dem Programm mindestens 200 unerw nschte Werbemails und 200 g ltige Postsendungen vorzulegen bevor den Analyseergebnissen vertraut wird Falls Sie Zugriff auf eine entsprechende Anzahl von Mails haben zum Beispiel indem Sie ein paar Tage lang von einem bereits 11 3 FILTERUNG VON E MAIL 149 trainierten Apple Mail Programm SPAM Sendungen sammeln und diese nicht au tomatisch l schen lassen k nnen Sie das Training mit SpamAssassin selbst von Hand durchf hren Alternativ k nnen Sie jedoch auch ein halbautomatisches Training verwenden f r das die Mithilfe Ihrer Benutzer erforderlich ist Sie m ssen hierzu ein paar Freiwil lige unter Ihren Benutzern dazu auffordern f r eine gewisse Zeit alle eingehen den E Mails von Hand zu begutachten ob es sich dabei um SPAM handelt oder nicht Die Benutzer m ssen die Mails dann je nach Ergebnis an zwei hausinter ne Mail Adressen weiterleiten Mac OS X Server l sst jede Nacht vollautomatisch das Trainingsprogramm auf diesen beiden Mail Adressen laufen wodurch sich die Analyseergebnisse nach und nach verbessern Egal f r welches der beiden Trainingsverfahren Sie sich entscheiden muss der SPAM Filter zun chst in einer Art Probebetrieb eingeschaltet werden Wir gehen deshalb zun chst auf die Aktivierung des Filters ein Einschalten und Konfigurieren des SP
219. nd ganzen verl uft die Installation eines Netzes auf Basis mindestens eines Serversystems der Version 10 4 hnlich wie schon unter 10 3 so dass dem Installations und Planungskapitel nicht viel hinzuzuf gen ist Das deutsche Instal lationshandbuch inklusive Arbeitsbl ttern zum Notieren der Konfigurationsdaten liefert Apple nun auch bereits bei den ersten in Deutschland ausgelieferten Server paketen mit Seit Juni 2005 stehen auch die auf 10 4 aktualisierten Handb cher mit insgesamt 17 B nden unter der bekannten Adresse http www apple com de server documentation als PDF Downloads zur Verf gung Es sei an dieser Stelle nochmals darauf hingewiesen dass das Vorhandensein ei nes korrekt funktionierenden und richtig konfigurierten DNS Servers ganz entschei dend daf r ist ein Mac OS X Serversystem einwandfrei installieren zu k nnen Die se zwingende Voraussetzung hat sich in der Tiger Version noch versch rft da noch mehr Dienste kerberisiert sind Planen Sie den Server als neuen Zentralrechner zum Aufbau eines Netzwerks einzusetzen so dass in der Regel der Einsatz des Rechners als Open Directory Master und Kerberos Schl sselverteilungsserver erforderlich ist so ist dies von entscheidender Wichtigkeit Die DNS Domain des Server Computers genauer gesagt der Domain Name zur IP Adresse seines prim ren Netzwerkan schlusses muss vor der Installation richtig eingerichtet sein da sich hieraus indirekt w hrend der Installation der Name
220. nen zentralen Benut zerordner ber das AFP Protokoll auf dem Server g4server example private definiert und das Programm schl gt bereits die richtigen Adressen zur Ver bindungsherstellung vor Wenn Sie in der Tabelle den Vorschlag afp gA4server example private Groups anklicken wird in der Zeile ber der Tabelle die letztendlich korrekte Adresse f r den Gruppenordner n mlich afp gA4server example private Groups employee angezeigt Der vollst ndige Pfad entsteht immer dadurch dass der Langname der Gruppe an den bergeordneten Pfad angeh ngt wird Sie k nnen bei Be darf auch einen neuen Eintrag in der Tabelle manuell erstellen indem Sie die 6 6 ARBEITEN MIT GRUPPENORDNERN 69 830 Mitglieder Gruppenordner Detailansicht Q7 Adresse afp g4server example private Groups employee Name ID Ort MR employee 1025 ohne M supergroup 1026 afp g4server example private Groups afp g4server example private Users a a a a Abbildung 6 9 Ein Gruppenkonto wird im Arbeitsgruppen Mananger mit einem Gruppenordner verbunden Wenn Sie die Standardeinstellungen von Apple beibe halten haben werden die richtigen Eintr ge bereits vorgeschlagen Plus Schaltfl che unter der Tabelle bet tigen Geben Sie in dem erscheinen den Dialogfenster im oberen Teil unter Mac OS X SERVER NETZWERKORDNER URL die Netzwerkadresse des bergeordneten freigegebenen Ordners an und unter Prap den relativen Teilpfad hierzu k
221. nes Windows NT Servers durch einen Mac OS X Ser ver wird nun direkt auf der grafischen Oberfl che unterst tzt Apple stellt ein eigenes Handbuch f r diese Funktion bereit 2 7 Eingeschr nkte Features von Mac OS X 10 4 Bei den nachfolgend genannten Funktionen ist Vorsicht geboten falls Sie jetzt be reits ein heterogenes Netzwerk auf die Tiger Version umstellen m chten Sollten Sie auf eine dieser Funktionen angewiesen sein so ist dringend zu empfehlen im Moment noch auf Tiger zu verzichten sofern m glich Bei einigen Punkten wer den m gliche L sungen genannt Die einzelnen Punkte werden in der Reihenfolge aufgef hrt in der das Buch Heterogene Netzwerke gegliedert ist Die Problemliste erhebt keinen Anspruch auf Vollst ndigkeit 2 7 1 Aktualisierung eines Panther Servers Die automatische Aktualisierung eines Servers der unter Mac OS X Server 10 3 9 l uft ist in bestimmten Installationen nur eingeschr nkt oder nur mit vielen Nach arbeiten m glich da die Konfigurationen einiger Systemdienste nicht richtig auf den neuesten Stand gebracht werden Beachten Sie die folgenden Punkte F hren Sie auf jeden Fall eine vollst ndige Datensicherung vor der Aktualisierung durch und richten Sie sich auf eine l ngere Au erbetriebnahme des Netzes ein Pr fen Sie ob es Ihnen nicht m glich ist statt einer Aktualisierung den vor ber gehenden Parallel und Probebetrieb eines zweiten Servers einzurichten Auf dem zweiten Server kann e
222. ng 115 Verwaltete Einstellungen 194 Verwaltete Netzwerkansicht 87 Verzeichnisbindung 115 Verzeichnisdienste 109 Verzeichnisreplikation 100 virtueller Host 143 VoiceOver 6 VPN 198 Weblog 166 WebObjects 7 157 Windows NT Server 19 x509Anchors 120 Xgrid 7 xinetd 4 XMMP 173 ZeroConf 107 Zertifikatsassistent 129 Zertifikatsaussteller 120 Zugriffsrecht bernommenes 36 Zugriffsrecht explizites 36 Zugriffssteuerungseintrag 32 Zugriffssteuerungslisten 7 31 Zur ckgezogenes Zertifikat 124 205
223. nhang mit der SPAM Filterung vorgenommen werden muss Sie bestimmt was passieren soll wenn eine Postsendung schlie lich als unerw nscht eingestuft wurde e Die Einstellung ABGELEHNT f hrt dazu dass die Mail bereits auf dem MTA ab gewiesen wird Sie wird zusammen mit einer entsprechenden Warnmeldung an den Absender zur ckgeschickt Au erdem k nnen Sie optional ber das Ankreuzfeld BENACHRICHTIGUNG AN eine weitere E Mail Adresse angeben die ber diesen Vorfall informiert werden soll Bei der Einstellung GEL SCHT wird die E Mail ohne weiteres Aufhebens ge l scht Dies kann eine sehr gef hrliche Einstellung sein wenn der Filter nicht mit hoher Treffsicherheit arbeitet Wie beim vorhergehenden Punkt gibt es aber auch hier die optionale M glichkeit der BENACHRICHTIGUNG AN ein be stehendes Postfach Der Punkt ZUGESTELLT veranlasst dass die Postsendung ganz normal an den Empf nger ausgeliefert wird Sie k nnen jedoch zus tzlich einstellen dass ein bestimmter Text in die Betreffzeile der Mail eingef gt wird z B WERBUNG xx Au erdem k nnen Sie erzwingen dass in diesem Fall die ur spr ngliche Mail als Anhang eingepackt wird Auf diese Weise bekommen Sie die Werbung nur dann zu Gesicht wenn Sie explizit den Anhang ffnen Dies kann besonders in dem Fall sinnvoll sein wenn Sie auf dem empfangenden MUA einen weiteren SPAM Filter laufen haben ber die Auswahl UMGELEITET wird die E Mail nicht an den urspr nglichen
224. nisation Beachten Sie dass die Synchronisation der Daten sehr viel Zeit in An spruch nehmen kann wenn Sie mit gro en Datenmengen beispiels weise in der Videoproduktion arbeiten oder Sie nur eine langsame Netzverbindung wie z B ein Airport Funknetz zum Fileserver haben der Ihren privaten Netzordner beherbergt Ist die Synchronisationszeit unakzeptabel lang sollten Sie berlegen die gro en Dateien in einen besonderen Ordner zu packen der von der Synchronisation ausgeschlossen wird Verwaltete Einstellungen Sollen die Einstellungen f r die Synchronisation privater Dateien jedoch zentral verwaltet werden m ssen Sie den Arbeitsgruppen Manager auf dem Server ver wenden und auf die Karteikarte REGELN in der Einstellungsrubrik MOBILIT T des entsprechenden Accounts wechseln Hier stehen weitergehende M glichkeiten zur Verf gung Das Programm ist in der Lage den Mobilcomputer anzuweisen die automatische Synchronisation der Dateien entweder beim An und Abmelden des ortsungebundenen Benutzers vorzunehmen oder im Hintergrund d h in w hlba ren Zeitabst nden w hrend der Benutzer gerade angemeldet ist Nach Ordnern gestaffelt k nnen auch beide Verfahren gleichzeitig verwendet werden Im Punkt AN UND ABMELDESYNCHRONISIERUNG w hlen Sie die Objekte aus die vor und nach der Benutzersitzung abgegelichen werden sollen im Punkt HIN TERGRUNDSYNCHRONISIERUNG die Objekte die in regelm igen Abst nden w hrend
225. nn Sie solch ein Zertifikat f r einen HTTPS Web Server ein setzen der aus dem Internet heraus erreichbar ist werden die Empf nger der Da ten Warnmeldungen bekommen dass dem Absender nicht vertraut werden kann Um ein Zertifikat zu erstellen dass uns als Root Zertifizierungs Instanz ausweist verwenden wir ein weiteres neues Programm von Tiger den Zertifikatsassisten ten Er wird gestartet indem man im Programm Schl sselbund den Men punkt 130 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY SCHL SSELBUND ZERTIFIKATSASSISTENT aufruft Bevor wir das tun um die Einrich tung der Zertifizierungsinstanz durchzuspielen erstellen Sie bitte zun chst einen neuen Schl sselbund Das Anlegen eines neuen Schl sselbunds ist sinnvoll um un ser Prim rzertifikat und die danach ausgestellten weiteren Zertifikate sowie alle dazugeh rigen Schl ssel sauber unter einem Stichwort gruppieren zu k nnen 1 Melden Sie sich auf dem Server Computer als Benutzer root an Die Admini strator Kennung reicht f r einige der folgenden Schritte nicht aus Sie m ssen als root Benutzer arbeiten 2 Starten Sie das Programm Schl sselbund 3 Rufen Sie den Men punkt ABLAGE NEUER SCHL SSELBUND auf 4 Geben Sie den Namen des neuen Schl sselbunds z B Privatzertifikate ein und dr cken Sie die Taste ERSTELLEN 5 Vergeben Sie ein Kennwort f r den neuen Schl sselbund im darauffolgenden Dialogfenster 6 Rufen Sie den Men punkt SCHL SSELBUND ZE
226. nnen Sie Ihre Eintr ge auch unter selbst gew hlten Oberbegriffen gruppieren Ein solche Gruppierung wird Kategorie genannt Sie k nnen sich eine Kategorie als Ordner vorstellen in dem Ihre Eintr ge liegen und technisch ist er auch genau so realisiert Wenn Sie einen Eintrag ohne Kategorisierung ver ffentlichen landet er im Stammordner Ih res Blogs Wenn Sie eine Kategorie anlegen wird intern ein Unterordner erzeugt in den dann die Texte eingestellt werden Kategorien werden automatisch in der Leiste rechts aufgelistet falls vorhanden und durch Anklicken k nnen Sie in diese Kategorie navigieren In jedem Fall ist der Link ALLE EINTR GE vorhanden der zur Auflistung s mtlicher Eintr ge unabh ngig von deren Kategorie f hrt Wie erw hnt werden Blogs in Form eines Tagebuchs organisiert deshalb ist als eigentliches Hauptsortierungskriterium der Eintr ge die Datums und Uhrzeitangabe der Ver ffentlichung anzusehen In der Liste befindet sich deshalb ein Kalender in dem Sie navigieren k nnen wodurch die entspre chenden Eintr ge herausgesucht werden Auch ein Suchfeld zur Freitexteingabe ist 168 KAPITEL 12 WEB DIENSTE Y Hans Schmitz s Weblog Created with Mac OS X Server Keine Eintr ge gefunden CO E Oktober 2005 Son Mon Die Mit Don Fre Sam 1 Bu 6 7 B EnO 2 123 M 15 Bez 19 20 21 22 23 24 25 26 27 28 29 30 31 lt Sep Heute Nov gt Anmeldeinformationen Name hans
227. ntag 10 Februar 2025 1 18 Uhr Europe Berlin Dieses Zertifikat ist g ltig Details Land US Organisation Apple Computer Inc Organisationseinheit Apple Computer Certificate Authority A llIgemeiner Name Apple Root Certificate Authority Land US Organisation Apple Computer Inc Organisationseinheit Apple Computer Certificate Authority Allgemeiner Name Apple Root Certificate Authority Version 3 Seriennummer 1 Signaturalgorithmus SHA 1 mit RSA Verschl sselung 12 840 113549 115 Parameter Ohne I Abbildung 9 6 Auch Apple selbst ist in der Liste der mitgelieferten Zertifikate als letzte Instanz der Beglaubigungskette enthalten Das Schl sselbundprogramm kann s mtliche Details des Zertifikats anzeigen 122 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY Y Einstellungen best tigen Bei Verwendung dieses Zertifikats Systemeinstellungen verwenden Systemkriterien verwenden E Systemkriterien verwenden B Systemkriterien verwenden rn S Systemkriterien verwenden 7 Systemkriterien verwenden x Systemkriterien verwenden Abbildung 9 7 M chten Sie die Sicherheitsrichtlinien bei der Verwendung von Zer tifikaten weiter einschr nken k nnen Sie das im unteren Bereich des Zertifikats fensters vornehmen Aussteller Version digitale Unterschriften und Verwendungsm glichkeiten ange zeigt Abbildung 9 6 Am Ende des Zertifikatsfensters befinden sich
228. nten gekn pft werden k n nen Der betreffende Benutzer wird damit zum mobilen Benutzer Die Einstellun gen werden ber den Arbeitsgruppen Manager vorgenommen Abbildung 6 1 1 Starten Sie den Arbeitsgruppen Manager und verbinden Sie sich mit dem Verzeichnisdienstserver der das betreffende Benutzerkonto enth lt 2 W hlen Sie in der linken Spalte die Benutzer Rubrik aus und klicken Sie das betreffende Benutzerkonto an 3 Klicken Sie in der Symbolleiste des Programms auf EINSTELLUNGEN 53 54 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Verwalten J Nie Einr 9 Immer Diese Einstellungen gelten f r Mac OS X 10 3 oder neuer v Account f r Benutzung ohne Verbindung synchronisieren Mobilen Account erstellen wenn sich der Benutzer das n chste Mal beim Netzwerk Account anmeldet v Best tigung vor Erstellen mobiler Accounts einholen Fertig Zur cksetzen Jetzt anwenden Abbildung 6 1 ber die verwalteten Einstellungen kann ein Benutzer zum mobilen Nutzer gemacht werden 4 W hlen Sie in der rechten H lfte die Rubrik MOBILIT T 5 Schalten Sie auf der Karteikarte SYNCHRONISIERUNG die Option VERWALTEN auf den Punkt IMMER 6 Kreuzen Sie den Punkt ACCOUNT F R BENUTZUNG OHNE VERBINDUNG SYNCHRO NISIEREN an Der ausgew hlte Benutzer wird damit zu einem mobilen Benutzer Falls Sie dem Benutzer die Wahl lassen m chten ob er beim n chsten Anmeldevorgang wirklich zum mobilen Benu
229. o im Arbeitsgruppen Manager ausw hlen und in der Symbolleiste EiNsTELLUNGEN anklicken wird Ihnen zun chst eine erweiterte Legende am unteren Bildrand auffallen Wenn Sie mehre re Konten im linken Teil des Fensters ausw hlen unterscheidet die grafische Dar stellung nun durch ein dunkelgrau oder hellgrau markiertes Pfeilsymbol ob alle bzw nur ein Teil der ausgew hlten Konten von verwalteten Einstellungen betrof fen sind Abbildung 6 15 Der Auswahlknopf DeTaiLs ist komplett neu Mit ihm ist es zum einen m glich genau nachzuvollziehen was innerhalb von Mac OS X technisch geschieht sobald Sie eine verwaltete Einstellung aktivieren zum anderen k nnen Sie damit auch Ein stellungen beliebiger Drittanbieterprogramme verwalten also Vorgaben f r eige ne Programme definieren die Apple standardm ig nicht vorgesehen hat Dieses Funktionsmerkmal erfordert zwar im Einzelfall technische Kenntnisse ber die Art und Weise wie in Mac OS X Programmeinstellungen gespeichert werden kann sich aber als sehr hilfreich erweisen Sie k nnen nun einen kompletten Vorgabensatz f r alle in Ihrem Netz installierten Programme definieren so dass jeder neu hinzu 76 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Einstellungen W hlen Sie Objekte in der Liste und klicken Sie auf die Einstellung die Sie ndern m chten o Anmeldung Bedienungshilfen g Classic Dock Drucken o Energie sparen En Y K Finder o amp Internet 5 Medienzugriff Q G Mo
230. on Zertifikate Zertifikatsaussteller sowie deren private und ffentliche Schl ssel k nnen nun zentral ber das Programm Schl sselbund ein gesehen und ver ndert werden ohne dass man als Benutzer wissen muss welche Dateien dahinter stecken und wo sie sich befinden Um einen Eindruck hiervon zu bekommen starten Sie das Programm Schl sselbund im Ordner Dienstprogramme und bet tigen Sie die Schaltfl che SCHL SSELBUN DE EINBLENDEN links unten falls der linke Teil des Fensters nicht aus zwei Tabellen 120 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY 600e Schl sselbunde amp Anmeldung amp System Schl sselbund 8 Klicken Sie hier um den Schutz des Schl sselbunds X509Anchors aufzuheben AAA Certificate Services Certifeate Root Zertifizierungs Instanz Q G ltig bis Montag 1 Januar 2029 0 59 Uhr Europe Berlin o Kategorie A Alle Objekte gt 2 Kennw rter E Zertifikate E Meine Zertifikate Schl ssel Sichere Notizen E AAA Certificate Services E AddTrust Class 1 CA Root E AddTrust External CA Root E AddTrust Public CA Root EI AddTrust Qualified CA Root E America Online Root Certification Authority 1 EI America Online Root Certification Authority 2 E AOL Time Warner Root Certification Authority 1 E AOL Time Warner Root Certification Authority 2 E Apple Root Certificate Authority Art Zertifikat Zertifikat Zertifikat Zertifikat Zertifikat Zertifikat Ze
231. on zus tzlichem Speicher ist dagegen auch im lau fenden Betrieb m glich Aber auch dieser Speicher wird erst dann be nutzt wenn Sie bei den Benutzerkonten die jeweiligen neuen Partiti onsnamen zur Mail Ablage angeben Ebenfalls in der Rubrik WARTUNG finden Sie den neuen Punkt MaA L WARTELISTE der tabellarisch die Sendungen auflistet die vom MTA noch nicht nach drau en weitergeleitet wurden Dies kann verschiedene Gr nde haben z B die vor berge hende Nichterreichbarkeit des MTAs an den die Zustellung erfolgen soll Vielleicht haben Sie auch wie oben beschrieben die Zustellung angehalten um einen Computervirus zu l schen bevor er Ihr Netz verl sst Mit den Kn pfen L SCHEN und ERNEUT VERSUCHEN k nnen Sie bei einzelnen noch in der Warteschlange be 148 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST findlichen Sendungen entscheiden was letztendlich passieren soll Der neue Punkt MIGRATION betrifft schlie lich die bernahme der Daten eines Mail servers von Mac OS X 10 1 oder 10 2 und wird an dieser Stelle nicht beschrieben 11 3 Filterung von E Mail 11 3 1 Allgemeines Mac OS X Tiger Server kann auf Wunsch jede eingehende E Mail daraufhin un tersuchen ob es sich m glicherweise um unerw nschte Werbemail UCE SPAM handelt bzw ob eine Postsendung einen Computervirus enth lt Hierzu werden die freien Programme SpamAssassin und ClamAV eingesetzt Beide Programme werden im Wesentlichen ber die Kartei
232. onisationssymbole neben den betreffenden Eintr gen Abbil dung 12 14 Der Vorgang ist erfolgreich abgeschlossen wenn die blauen Symbole verschwinden und in der Spalte DATENRATE ein Wert angezeigt wird Wird kein Wert angezeigt ist die Datei nicht akzeptiert worden z B wenn die Datenrate viel zu hoch ist oder ein ung ltiger Codec eingesetzt wurde Wir m chten mit den beiden Dateien Folgendes machen Zum einen wollen wir eine Web Seite einrichten auf denen die beiden Dateien immer wieder hinterein ander als Live Sendung abgespielt werden Zum anderen wollen wir zwei weitere Web Seiten erstellen auf denen jede Datei on demand gestreamt wird d h der Benutzer kann den Film anklicken worauf er von Anfang bis Ende abgespielt wird Damit wir aus den beiden Filmen ein Live Programm machen k nnen das endlos abgespielt wird m ssen wir eine Wiedergabeliste erstellen Dr cken Sie in der Sym bolleiste die Schaltfl che NEUE MEDIEN WIEDERGABELISTE Geben Sie im erscheinen den Dialogfenster Name und URL NAME ein Der Name ist ein beliebiger Titel der f r die Wiedergabeliste vergeben wird der URL Name wird sp ter verwendet um Dateinamen f r verschiedene Web Dokumente zu erzeugen deshalb darf er keine Leer oder Sonderzeichen enthalten Bet tigen Sie dann die Schaltfl che ERSTELLEN 180 KAPITEL 12 WEB DIENSTE ee QTSS Publisher 192 168 72 40 Si E z Q Verbinden Aktualisieren Neue MP3 Wiedergabeliste Neue Medien Wiedergabel
233. onsschluss der NIS Klient in Tiger unbrauchbar war so dass die Installation eines eigenen Au tomounters f r NFS NIS Netze nicht unbedingt zu einer funktionierenden L sung f hrt 104 KAPITEL 7 DIE DATEISERVERFUNKTIONEN Bei Kerberos anmelden F r AFP Client m ssen Sie Ihr Kerberos Kennwort eingeben c 2 u Name hans Realm G4SERVER EXAMPLE PRIVATE te Kennwort ELLLILD Abbildung 7 5 Das Dialogfenster f r die Anmeldung ber Kerberos wurde in Tiger stark berarbeitet 7 6 Unerw nschten Kerberos Einsatz verhindern Die Vorgehensweise um den Einsatz von Kerberos in den Situationen zu verhin dern in den die Gesamt Authentifizierung nicht erw nscht ist hat sich nicht ge ndert Apple hat allerdings die Gestaltung sowohl des Kerberos Anmeldefensters als auch des Kerberos Wartungsprogramms stark berarbeitet Au erdem sind die Programme nun vollst ndig in die deutsche Sprache bersetzt Abbildung 7 5 zeigt das neue Anmeldefenster Die fr heren Zusatzoptionen die in Panther ber einen Aufklapppfeil zur Verf gung standen sind jetzt ber ein Men abrufbar das mit der Zahnradtaste links unten ge ffnet wird Neu ist die Funktion an dieser Stelle auch das Kerberos Kennwort ndern zu k nnen Das Wartungsprogramm f r Kerberos Tickets in Mac OS X Tiger zeigt die Abbil dung 7 6 Auch hier steht ber die Symbolleiste eine neue M glichkeit zur Verf gung das Kennwort dir
234. ontaktinformationen der ein zelnen Benutzer wie zum Beispiel Telefonnummern direkt ber den Arbeits gruppen Manager eingegeben werden NFS to AFP Resharing Die Verwendung eines Mac OS X Servers als Gateway um ber das AFP Protokoll auf NFS Server zuzugreifen kann nun direkt im Arbeits gruppen Manager eingerichtet werden und erfordert nicht mehr die Verwen dung der Kommandozeile Verbesserte Mailserver Schnittstelle Verschiedene Wartungs und Verwaltungs funktionen im Zusammenhang mit Postverteilungsservern die bisher nur ber 2 7 EINGESCHR NKTE FEATURES VON MAC OS X 10 4 11 die Kommandozeile verf gbar waren k nnen nun ber das Server Admin Programm aufgerufen werden CUPS Protokolle Die Protokolle der Druckserver Funktionen k nnen nun auch auf niedrigeren Systemebenen ber die Programme zur Serververwaltung einge sehen werden Zertifikatsverwaltung Digitale Zertifikate lassen sich nun ber eine Funktion des Server Admin Programms verwalten Ebenso k nnen Unterzeichnungsforde rungen Certficate Signing Requests bequem zum Weitergeben an eine Zer tifizierungsstelle vorbereitet werden QuickTime Streaming Server QTSS Die Benutzeroberfl che des QTSS wurde voll st ndig berarbeitet Zus tzlich ist der Einsatz von AppleScript m glich Einrichtung des Paketfilters Die grafische Oberfl che zur Einrichtung des Paket filters Firewall wurde erweitert und verbessert NT Migration Das Ersetzen ei
235. ppe Erstellergruppe interactuser 51 Windows Gruppe Interaktiver Benutzer jabber 84 Abtrennung der Rechte f r den iChat Server Ip 26 Abtrennung der Rechte f r die Druckerverwaltung mailman 78 Abtrennung der Rechte f r die Mailinglisten Funktion mysql 74 Abtrennung der Rechte f r den MySQL Datenbankserver netboot 120 Abtrennung der Rechte f r die NetBoot Funktionen netusers 52 Windows Gruppe Netzwerkbenutzer network 69 Windows Gruppe Netzwerkkonfigurationsbenutzer owner 10 Windows Gruppe Eigent mer postfix 27 Abtrennung der Rechte f r SMTP Mailserver qtss 76 Abtrennung der Rechte f r QuickTime Streaming Server securityagent 92 Abtrennung der Rechte f r privilegierte Operationen tokend 91 Abtrennung der Rechte f r die Smartcard Verwaltung windowserver 88 Abtrennung der Rechte f r den Window Server xgridagent 86 Abtrennung der Rechte f r Xgrid Einzelserver xgridcontroller 86 Abtrennung der Rechte f r die Xgrid Verwaltung Tabelle 6 2 Vom System reservierte Gruppenkonten in Mac OS X Tiger Die Tabelle enth lt nur Eintr ge die sich gegen ber Panther ge ndert haben 68 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER Server der als Dateiserver f r die Gruppenordner arbeiten soll und melden Sie sich als Verzeichnisdienstverwalter an 2 W hlen Sie in der Symbolleiste den Punkt SHARING 3 Stellen Sie sicher dass in der Tabelle NETZWERKORDNER der Ordner Groups auf
236. ppen Manager zu berfordern Ein besch digter Eintrag muss gel scht oder von Hand repariert werden 96 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER 000 Sonstige Server 4i rw A Applications a Fileserver WE Library a marvin 4 Servers Sonstige Server Macintosh HD 4 Mac OS X Abbildung 6 27 Das Ergebnis der ganzen Bem hungen Im Netzwerkordner der Client Computer erscheinen selbst definierte Eintr ge scheint ein Men mit dem Sie entweder ein neues Computerkonto erstellen k nnen oder das Schubfach ffnen um bereits vorhandene Computerkonten in die Tabelle zu ziehen Unterhalb der Tabelle k nnen Sie noch zwei wichtige Einstellungen f r die ausge w hlte Netzwerkansicht vornehmen Mit dem Punkt CLIENTS SUCHEN NACH NDE RUNGEN ALLE k nnen Sie einen Zeitraum einstellen nach dem alle Client Computer die diese verwaltete Netzwerkansicht verwenden pr fen ob sich an den Ansichts einstellungen etwas ge ndert hat Hier ist zu raten eine recht kurze Zeit einzustel len w hrend Sie mit verwalteten Netzwerkeinstellungen zum ersten Mal experi mentieren Sp ter sollten Sie jedoch f r den Normalbetrieb ein gr eres Zeitinter vall verwenden Apple schl gt 10 Stunden vor Die Option FINDER DES CLIENT WIRD gibt an wie im Detail mit der verwalteten An sicht verfahren werden soll In der Einstellung ZUR NETZWERKANSICHT HINZUF GEN wird der Finder auf den betroffenen Client Computern di
237. r acltest osxadmin chmod a admin allow write delete dateil g4server acltest osxadmin 1s le total 0 rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 dateil 0 group admin allow write delete rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 datei2 g4server acltest osxadmin chmod a employee deny delete dateil g4server acltest osxadmin ls le total 0 rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 dateil 0 group employee deny delete 1 group admin allow write delete rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 datei2 50 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X g4server acltest osxadmin chmod ai employee allow append dateil g4server acltest osxadmin 1s le total 0 rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 dateil 0 group employee deny delete 1 group admin allow write delete 2 group employee inherited allow append rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 datei2 g4server acltest osxadmin chmod a 2 dateil g4server acltest osxadmin 1s le total 0 rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 dateil 0 group employee deny delete 1 group admin allow write delete rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 datei2 Um die Unterst tzung von ACLs auf einem Volume einzuschalten bei dem dies noch nicht automatisch geschehen ist verwenden Sie das neue Kommando fsaclctl file system access control list control Der Befehl fsaclct p einblendungspunkt zeigt an ob auf einem be
238. r Die Maildienste wurden um das freie Programm SpamAssassin er weitert das unerw nschte Werbepost bereits auf dem Server zentral ausfil tern kann Viren Filter Ebenso als Erg nzung der Maildienste stellt Apple das freie Programm ClamAV als Antivirenl sung bei der Weiterleitung elektronischer Post f r den Tiger Server bereit Weblog Dienste Um die neumodische Technik des Bloggens also des Ver ffentli chens von aktuellen Informationen auf einem elektronischen Schwarzen Brett mithilfe der RSS und Atom XML Technik verwenden zu k nnen liefert Apple das freie Programm Blojsom mit Instant Messaging Dienste Zum Austausch elektronischer Nachrichten in Echt zeit zwischen identifizierten Benutzern von Macintosh Windows oder Linux Systemen stellt Apple einen Chat Server als Bestandteil von 10 4 zur Verf gung Der auch als iChat Server bezeichnete Dienst wird vom freien Pro gramm jabberd realisiert Software Aktualisierungsdienst Es kann eine Art Proxy Server eingerichtet wer den der im Hintergrund alle verf gbaren Software Update Pakete von Apple sammelt und diese zentral einem ganzen lokalen Netzwerk zur Verf gung stellt Die Update Funktion kann dabei f r die Klienten transparent konfigu riert werden d h auf einem Client Computer kann wie vorher die Funkti on Software Aktualisierung des Programms Systemeinstellungen verwendet werden 2 4 Neue M glichkeiten f r Zugriffsrechte Neben den klassischen Unix Zugriffsrec
239. r der die Aktualisierungspakete beherbergen soll W hlen Sie in der Tabelle CoMPUTER amp DIENSTE den Punkt SOFTWARE AKTU ALISIERUNG aus Gehen Sie auf der rechten Seite des Fensters zum Punkt EINSTELLUNGEN Kar teikarte ALLGEMEIN Kreuzen Sie den Punkt UPDATES VON APPLE AUTOMATISCH SPIEGELN an 5 Falls Sie alle Aktualisierungspakete die Apple anbietet ungepr ft auf die Cli ents bernehmen m chten kreuzen Sie den Punkt GESPIEGELTE UPDATES AU TOMATISCH AKTIVIEREN an Die sicherere Einstellung ist jedoch diesen Punkt auszuschalten In diesem Fall m ssen Sie selbst in regelm igen Abst nden die Liste der vorhandenen Pakete durchgehen und einzeln pr fen welche Sie in Ihrem Hausnetz anbieten m chten Erst wenn Sie ein Paket von Hand akti vieren k nnen Ihre Klienten darauf zugreifen Falls Sie die Bandbreite zwischen einem Client und diesem Server beim Her unterladen der Software Aktualisierung begrenzen m chten kreuzen Sie den Punkt BANDBREITE F R UPDATES BEGRENZEN AUF an und geben Sie den ge w nschten Wert an Der Wert ist pro Client gemeint Wenn Sie also 10 Client Computer haben und die Bandbreite auf 50 KB s begrenzen werden im Ex tremfall insgesamt 500 KB s auf dem Server beansprucht wenn alle Clients gleichzeitig Software herunterladen Beachten Sie dass es durch regelm Bigen Betriebsablauf und die Funktionsweise der Software Aktualisierung in Systemeinstellungen sehr wahrscheinlich ist da
240. r sentation der Blog Inhalte auf Webseiten beherrscht Blojsom auch das Erzeugen von RSS Feeds Mit einem passenden Aggregator z B einem RSS f higen Browser wie Safari k nnen Sie die Weblogs auch in Form einer Zusammen fassung abrufen Abbildung 12 10 12 4 Instant Messaging mit dem iChat Server 12 4 1 Einf hrung Ebenso wie das Bloggen geh rt auch das Chatten englisch plaudern schw tzen zu den neumodischen Kulturtechniken beim Austausch digitaler Nachrichten Bei diesem auch als Instant Messaging IM bezeichneten Verfahren kommunizieren zwei oder mehr Partner ber ein Netzwerk indem sie live Textnachrichten austau schen die im Moment des Tippens oder zeilenweise bei allen Kommunikationspart nern sichtbar werden Auch das Austauschen von Internet Adressen oder Dateien ist m glich Diese Grundfunktionalit t kann durch Einbeziehung von Audio bezie hungsweise Audio und Videosignalen erg nzt werden falls die Kommunikations partner hierzu technisch in der Lage sind In Mac OS X liefert Apple das Programm iChat mit das s mtliche blichen Chat Techniken beherrscht 172 KAPITEL 12 WEB DIENSTE Hans Schmitz s Weblog 2 Gesamt Heh schaut mal Artikel durchsuchen Die Maria macht mir alles nach a Hans Artikell nge Weitere Informationen 6 Sortiert nach Bloggen ist cool Datum Titel Quelle Neu Hallo Leute dies ist mein neuer Weblog Weitere Informationen Neue Artikel Abb
241. r das noch kein Eintrag in einem Computerlistenkonto oder in einer anderen verwalteten Netzwerkansicht bestanden hat Wir haben das Klappmen CoMPU TERLISTE nicht ber hrt sondern es auf dem Standardwert LISTE F R DIESEN EINTRAG W HLEN belassen Das neue Konto wurde hierdurch der vordefinierten Computer kontenliste Alle Computer zugeordnet was Sie im Bereich Accounts berpr fen k nnen Eine alternative Methode einen neuen Computereintrag zu erzeugen besteht dar in in diesem Moment auf dem Computer auf dem der Arbeitsgruppen Manager gerade l uft eine Dienstentdeckung anzusto en Sie k nnen dann einen der ge fundenen Eintr ge als Computereintrag in die Tabelle bernehmen Dr cken Sie hierzu die Taste mit den drei Punkten unterhalb der Layout Tabelle Im erscheinen den Dialogfenster m ssen Sie den etwas verwirrend beschrifteten Knopf VERBIN DEN dr cken um einen ausgew hlten Eintrag zu bernehmen Der dritte Kategorie von Eintr gen betrifft wie erw hnt die dynamischen Listen W hlen Sie hierzu ber das Pluszeichen unterhalb der Tabelle den Punkt DYNAMI 94 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER W hlen Sie Orte zur Dienstentdeckung die in dieser Netzwerkumgebung durchsucht werden Ort zur Dienstentdeckung Bonjour Bonjour local SLP SLP DEFAULT SMB SMB BRESINK SMB WORKGROUP Abbildung 6 24 F gen Sie einen Eintrag des Typs Dynamische Liste einer verwal teten Netzwerkansicht hinzu
242. r kann zwar im loka len Netz zwischen beliebigen st ndig mit dem Netz verbundenen Computern hin und her wechseln freies Roaming er darf aber nicht zwischen mehreren mobilen also nicht mit dem Netz verbundenen Computern wechseln da es ansonsten zu Problemen kommen kann die Daten korrekt nachzuverfolgen e Sie m ssen die Mobilit tsfunktion nicht unbedingt an ein Benutzerkonto kn p fen Sie k nnen ebenso ein Gruppenkonto oder ein Computerlistenkonto ver wenden Hierbei werden dann alle Benutzer der Gruppe bzw alle Benutzer der entsprechenden Computer als mobil markiert e Die Synchronisation von Dateien ist nur m glich wenn sowohl auf dem Ser ver als auch auf dem mobilen Client mindestens Mac OS X 10 4 verwendet wird e Die Detaileinstellungen welche Dateien zu welchen Zeitpunkten automatisch abgeglichen werden werden mit dem Punkt REGELN bei den verwalteten Mo bilit tseinstellungen im Arbeitsgruppen Manager vorgenommen Dies wird im nachfolgenden Abschnitt erl utert e Verbindet sich ein mobiler Nutzer zum ersten Mal mit dem Netz so kann dessen mobiler Privatordner auf den Fileserver kopiert werden Automatisch ist dies beim ersten Mal nur dann m glich wenn AFP als Protokoll f r den Pri vatordnerzugriff konfiguriert ist bei anderen Protokollen NFS oder CIFS SMB muss die erste Synchronisation manuell erfolgen e Ebenso darf die allererste Verbindung zum Netz nicht ber ein VPN erfol gen selbst wenn f r den Dat
243. ramm kein Manifest Die Tiger Version von Safari wird beispielsweise mit einem Einstellungsmanifest gelie fert Sie finden es an der Position Applications Safari app Contents Resources com apple Safari manifest Das Manifest von Safari ist besonders interessant weil es sich gleich auf zwei Ein stellungsdom nen bezieht Safari verwendet n mlich die Dom ne com apple Safari f r die Einstellungen des eigentlichen Programms und com apple WebFoundation f r die Betriebssystemfunktionen die die HTML Dokumente interpretieren und im Fenster von Safari darstellen Wir zeigen am Beispiel von Safari wie man mit einem solchen Manifest arbeitet 1 Stellen Sie wie im letzten Beispiel sicher dass das Programm Safari im aktuel len Benutzerkonto mindestens einmal aufgerufen wurde so dass Einstellun gen vorhanden sind 2 Sorgen Sie daf r dass der Arbeitsgruppen Manager l uft und Sie mit einem g ltigen Kennwort am Verzeichnisknoten angemeldet sind der die Konten enth lt f r die verwaltete Einstellungen definiert werden sollen 3 W hlen Sie in der linken H lfte des Fensters die gew nschten Konten Benut zer Gruppen oder Computerlisten aus Klicken Sie in der Symbolleiste den Punkt EINSTELLUNGEN an W hlen Sie in der rechten H lfte des Bildes die Rubrik DETAILS aus Dr cken Sie unterhalb der Tabelle den Knopf HINZUF GEN nn oa u A Es erscheint ein gleitendes Dialogfenster zum ffnen von Dateien W hlen S
244. rekt auf den Konfigura tionsdateien n mlich etc named und den Dateien im Ordner var named arbeiten Hierzu z hlt auch die Einrichtung eines privaten DNS Servers der vom offiziellen In ternet aus nicht erreichbar ist also eine Forwarder Konfiguration wie in Abschnitt 3 2 7 des Hauptbuches beschrieben Bei der Einrichtung der Forwarder Eintr ge ndert sich diesbez glich in Tiger nichts Richten Sie eine neue DNS Konfiguration ein so ist es kein Problem die Arbeit zwi schen grafischer Oberfl che und der Arbeit auf der Kommandozeile aufzuteilen Sie erstellen zun chst eine Basiskonfiguration mit Server Admin wobei Sie die be quemen Einstellm glichkeiten im Konfigurationsprogramm nutzen und wechseln danach f r alle fortgeschrittenen Einstellm glichkeiten auf die Kommandozeile 4 1 DER DNS DIENST 25 Computerkurzname Voller Name FQDN IPv4 Adresse g4server gAserver example private 192 168 1 1 smtp smtp example private pop pop example private nameserver nameserver example private alpha alpha example private 192 168 1 2 beta beta example private 192 168 1 3 router router example private 192 168 1 4 Tabelle 4 2 Die Ausgangsdaten f r ein kleines Beispielnetz Konfiguration ber das Server Admin Programm Um Ihnen den Umgang mit dem stark berarbeiteten DNS Teil des Server Admin Programms zu erl utern zeigen wir Ihnen nachfolgend die Konfiguration am Bei spiel eines kleinen Privatnetze
245. rika educational gov Beh rden der Vereinigten Staaten von Amerika governmental info Domain f r Sonstiges informational int durch Staatsvertr ge geschaffene internationale Organisationen international jobs Arbeitsvermittlung jobs mil milit rische Einrichtungen der Vereinigten Staaten von Amerika military museum Museen museum name Privatleute names net Einrichtungen der Netzwerkinfrastruktur network org Gemeinn tzige Organisationen non profit organizations pro Zulassungspflichtige Berufe wie z B Arzte credentialed professionals travel Tourismusindustrie travel Tabelle 4 1 Aktuelle Liste der nicht l nderbezogenen Domain Namen der obersten Ebene Diese Einstellungen bewirken dass von einem Prozess des Servercomputers aus das laufende BIND Programm gesteuert werden darf und dass Standardeinstellungen f r eventuelle verschl sselte Kommunikation auf dieser Steuerverbindung genutzt werden sollen Arbeiten mit den Konfigurationsdateien Apple stellt in Tiger eine komplett berarbeitete grafische Oberfl che f r die Ein richtung von DNS Eintr gen zur Verf gung und die meisten M ngel aus Panther sind behoben Die Vorgehensweise wird im n chsten Abschnitt beschrieben Kon figurieren Sie den DNS Dienst jedoch in der Standardversion von Mac OS X oder verwenden Sie weitergehende Konfigurationsm glichkeiten von BIND so reicht die grafische Oberfl che nicht aus Sie m ssen in diesem Fall di
246. rivate konnte nicht berpr ft werden Dieser Server hat ein Zertifikat f r g4dserver example private ausgestellt Mail konnte die Identit t des Servers jedoch nicht berpr fen Fehler Das root Zertifikat f r diesen Server konnte nicht berpr ft werden M glicherweise sind Sie mit einem Computer verbunden der vorgibt g4server example private zu sein und gef hrden dadurch Ihre vertraulichen Informationen M chten Sie trotzdem fortfahren Gerti eete Chondkord Details g4server example private Ausgestellt von Beispielfirma GmbH Root Zertifizierungs Instanz G ltig bis Montag 30 Juni 2008 15 08 Uhr Europe Berlin Dieses Zertifikat wurde von einer unbekannten Instanz signiert Zertifikat ausblenden Abbrechen Fortfahren Abbildung 9 16 Ist ein Client noch nicht dar ber informiert worden dass er dem Zertifikat der privaten Zertifizierungsstelle trauen kann werden immer noch Warn meldungen ausgegeben 138 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY Kapitel 10 Drucken im Netz 10 1 Verwendung von USB Druckern an Airport Basis stationen Apple hat es inzwischen aufgegeben eine Kompatibilit tsliste mit USB Druckern zu pflegen die mit Mac OS X und dem Drucken ber die Airport Basisstation ver tr glich sind Die im Hauptbuch angegebene Internet Adresse zum Abrufen der Vertr glichkeitsliste ist nicht mehr g ltig Apple vertritt inzwischen die Meinung dass d
247. rkannt ist kein weiterer Konfigurationsschritt mehr n tig alle n tigen Daten werden dynamisch ermittelt Dar ber hinaus gibt es eine neue Authentifizierungsm glichkeit bei der erstmali gen Bindung an den LDAP Server die wir in Kapitel 9 noch detailliert beschreiben 8 5 Die Anbindung an NIS Bei Redaktionsschluss war die Verwendung von Mac OS X Tiger im Zusammenhang mit NIS Netzwerken aufgrund mehrerer kritischer Fehler nicht m glich Es wird erwartet dass ab Mac OS X 10 4 3 die NIS Funktionen wieder brauchbar werden Ist dies der Fall ergeben sich keine gr eren nderungen im Vergleich zu Panther 8 6 Netinfo der klassische Verzeichnisdienst Bez glich NetInfo hat sich Tiger gegen ber Panther nichts ge ndert so dass keine Erg nzungen oder Anmerkungen zu Kapitel 8 des Hauptbuchs notwendig sind 110 KAPITEL 8 VERZEICHNISDIENSTE Lokale BSD Dateien etc zur Identifizierung verwenden Wenn Sie die Verwendung zur Identifizierung aktivieren wird die Verzeichnis Domain BSD local zur Identifizierungs Suchrichtlinie hinzugef gt Konfiguration des NIS Servers Domain Name example nis Server 192 168 40 66 Aus Sicherheitsgr nden Namen oder IP Adresse n des NIS Servers hinzuf gen Sie m sen IP Adressen verwenden falls DNS in Ihrem Netzwerk nicht verf gbar ist v NIS Domain zur Identifizierung verwenden Wenn Sie die Verwendung zur Identifizierung aktivieren wird die Verzeichnis Domain
248. rkfunktionen Neben den komplett neuen Programmen wurden viele bestehende Funktionen berarbeitet und durch neue Features erg nzt Link Aggregation Ist ein Servercomputer mit mehreren Netzwerkanschl ssen aus gestattet so lassen sich nun mehrere physische Anschl sse unter dem Stich wort Link Aggregation zu einem einzelnen virtuellen Anschluss mit einer einzigen Adresse zusammenfassen um die Leistung zu steigern VPN zwischen Netzwerken W hrend in Panther nur die M glichkeit bestand sich mit einem einzelnen Rechner per VPN in ein Netzwerk einzuw hlen bietet Tiger die M glichkeit zwei lokale Netze ber eine verschl sselte Kommunika tionsverbindung miteinander zu koppeln Site to Site Virtual Private Networ king LDAPv3 Vertrauensstellung Bei der Bindung von Open Directory Klienten ber das LDAPv3 Protokoll an einen Verzeichnisdienst Server kann nun eine abge sicherte Vertrauensbeziehung definiert werden Sicherheitsl cken die durch gef lschte Clients entstehen k nnen werden vermieden indem sich beide Kommunikationspartner bei der ersten Kontaktaufnahme als echt identifizie ren m ssen 2 5 NEUE UND GE NDERTE NETZWERKFUNKTIONEN 9 Erweiterte Kerberos Funktionen Mehr Dienste als in Panther wurden kerberi siert so dass sie nun Bestandteil der Gesamt Authentifizierung Single Sign On sind LDAP Schemareplikation Nicht nur die LDAP Datenbank selbst sondern auch die Metabeschreibung ihrer Organisation das L
249. rozeduraufrufe SUN RPCs rpcs RPC TPC IP Portnummern services Services AFP Freigaben SharePoints Tabelle 8 1 Liste der ge nderten Informationskategorien die Mac OS X in Ver zeichnisdiensten abfragen kann Die Tabelle ist alphabetisch nach den Directory Service Namen geordnet 8 4 DAS PROGRAMM VERZEICHNISDIENSTE 109 8 4 Das Programm Verzeichnisdienste Das Programm Verzeichnisdienste wurde f r Tiger leicht berarbeitet Vor allem der fr her strikt getrennte Konfigurationsvorgang in den drei Programmbereichen DIENSTE IDENTIFIZIERUNG und KONTAKTE wurde etwas benutzerfreundlicher gestal tet In den Dialogfenstern zur Einrichtung des LDAPv3 und des NIS Klienten unter DIENSTE stehen nun Ankreuzfelder zur Verf gung mit denen das Hinzuf gen eines gerade neu definierten Verzeichnisknotens in die Suchpfade IDENTIFIZIERUNG und KONTAKTE sofort durchgef hrt werden kann Man erspart sich so die Punkte IDEN TIFIZIERUNG und KONTAKTE noch einmal getrennt aufrufen zu m ssen Abbildung 8 1 Auch der Dialog beim manuellen Einrichten einer Verbindung zu einem LDAP Server wurde vereinfacht Nachdem die Adresse des LDAP Servers eingegeben und die wichtigsten Verbindungsparameter ber das Dialogfenster in Abbildung 8 2 eingegeben wurden verbindet sich das Programm Verzeichnisdienste sofort pro beweise mit dem Server um festzustellen um welche Art von Datenbankschema es sich handelt Wird ein Apple Open Directory Server e
250. rtifikat Zertifikat Zertifikat Zertifikat Zertifikat Ge ndert Schl sselbund X509Anchors X509Anchors X509Anchors X509Anchors X509Anchors X509Anchors X509Anchors x509Anchors X509Anchors X509Anchors X509Anchors E Baltimore CyberTrust Root E beTRUSTed Root CAs E Certinomis E Class 1 Public Primary Certification Authority 5 Class 1 Public Primary Certification Authority G Zertifikat E Class 2 Public Primary Certification Authority Zertifikat Class 2 Public Primary Certification Authority G Zertifikat Schlusselbunde ausblenden ij 95 Objekte di Zertifikat Zertifikat Zertifikat X509Anchors X509Anchors X509Anchors X509Anchors X509Anchors X509Anchors Abbildung 9 5 Das Schl sselbund Programm hat in Tiger eine komplett neue Be nutzeroberfl che bekommen Bei der Arbeit mit Zertifikaten stellt es eine gro e Vielzahl neuer Funktionen bereit besteht Die obere Tabelle zeigt die Liste der aktiven Schl sselbunde die vom aktu ellen Benutzer Account aus zugreifbar sind die untere Tabelle die Informationska tegorien die innerhalb des ausgew hlten Schl sselbunds genutzt werden k nnen Abbildung 9 5 In der Rolle des Verwalters sollten Ihnen mindestens drei Schl sselbunde angezeigt werden Ihr eigener Schl sselbund der entweder unter dem Stichwort Anmeldung oder unter Ihrem Kurznamen angezeigt wird der Schl sselbund dieses Computers der als System angezeigt wird und schlie l
251. s Wir verwenden dazu das Beispiel aus dem Haupt buch das in Tabelle 4 2 noch einmal in leicht ver nderter Form wiedergegeben ist BIND soll hierbei auf dem Mac OS X 10 4 Server mit dem DNS Namen g4server in der Domain example private laufen 1 Starten Sie Server Admin und stellen Sie die Verbindung mit dem Server her auf dem der DNS Dienst eingerichtet werden soll W hlen Sie in der bersicht COMPUTER amp DIENSTE den Punkt DNS und ffnen Sie dort die Rubrik EINSTELLUNGEN Stellen Sie auf der Karteikarte ALLGEMEIN die gew nschte Betriebsart des DNS Servers ein wie in Abschnitt 3 2 4 des Hauptbuchs beschrieben Wechseln Sie zur Karteikarte Zonen und bet tigen Sie die Schalfl che unterhalb der Tabelle Wir richten den Server f r die Zone example private ein Geben Sie in das Feld ZONENNAME den DNS Namen der Domain ein In unse rem Beispiel w rde er example private lauten Ein abschlie ender Punkt nach dem Namen zur Kennzeichnung der obersten DNS Namensebene ist an dieser Stelle nicht erforderlich Geben Sie in das Feld SERVERNAME den Kurznamen des Servers ein den Sie gerade konfigurieren Sie sollten in diesem Fall den Rufnamen des Servers keinen institutionellen Aliasnamen verwenden In unserem Beispiel lautet der richtige Eintrag g4server Stellen Sie sicher dass bei SERVER IP ADRESSE die richtige prim re Adresse des lokalen Servers eingestellt ist Normalerweise muss hier nichts ver
252. s AFP Server dient 3 W hlen Sie in der Symbolleiste den Punkt SHARING aus 4 Wechseln Sie in der linken H lfte des Fensters auf den Punkt ALLE 5 Klicken Sie auf die zweite Schaltfl che unterhalb der Tabelle Abbildung 7 2 Diese Taste dient zum Arbeiten mit NFS Mounts 100 6 KAPITEL 7 DIE DATEISERVERFUNKTIONEN Geben Sie die Adresse des NFS Exports als URL ein Im Hauptbuch wurde auf dem NFS Beispielserver linux eine Freigabe exports home verwendet Die Adresse w rde in URL Form nfs linux exports home lauten Mac OS X richtet einen Ordner nfs_reshares ein und blendet dort das NFS Volume ein Als Name wird die letzte Pfadkomponente der Exportdefinition verwendet In unserem Beispiel w rde Sie den Mount also unter nfs_reshares home finden Das Netzwerk Volume wird in der am weitesten links stehenden Spal te der Tabelle ALLE angezeigt W hlen Sie diesen neuen Eintrag in der Tabelle ALLE aus und richten Sie eine Freigabe ber das AFP Protokoll ein wie Sie es gewohnt sind In den ersten Versionen von Tiger zeigt der Finder f lschlicherweise ein Auswurf Symbol Eject f r das NFS Netzvolume an obwohl es sich um einen statischen Automount handelt Sie sollten es vermeiden das Auswurfsymbol anzuklicken da der Finder damit nicht richtig zurechtkommt Leider unterst tzt diese Vorgehensweise nur NFS Mounts die mit Standardeinstellungen durchgef hrt werden k nnen Da Apple nur die Eingabe ein
253. s Client Update Freitag 14 Oktober 2005 16 55 Uhr Europe Berlin Abbildung 13 1 Die vielen Einzeldienste die an der Realisation von NetBoot mit wirken und deren Zustand werden jetzt in einer h bschen Tabelle dargestellt 13 2 DAS NEUE SYSTEM IMAGE DIENSTPROGRAMM 187 Ebenso wurde die Stabilit t und Zuverl ssigkeit des Programms stark verbessert Es ist jetzt nicht mehr n tig als root Benutzer angemeldet zu sein damit das Pro gramm wie erwartet funktioniert Neue Funktionen machen es au erdem m glich vorzukonfigurieren wie ein ferngestarteter Computer seinen eigenen Namen er mitteln soll und an welchen Verzeichnisdienst er sich zu binden hat Ein Modellfilter erf llt die Funktion ein Netboot Image so zu erstellen dass es nur auf bestimm ten Typen von Apple Computern genutzt werden kann Auf diese Weise k nnen zum Beispiel Computer f r den Start von Tiger ausgeschlossen werden die mit Mac OS X 10 4 gar nicht kompatibel sind Eine weitere neue Funktion besteht darin dass nun auch die grafische Oberfl che die Funktion beherrscht ein Image so zu anzulegen dass es nicht auf dem Server liegen muss der als NetBoot Server dient sondern auf einem anderen NFS oder HTTP Fileserver platziert werden kann Hierzu wird ein indirekter Mountverweis in den entsprechenden NetBoot Image Ordner eingef gt Dies war fr her nur ber die Kommandozeile m glich Die in Kapitel 13 5 des Hauptbuchs zu findende Anleitung zur Er
254. s Fensters zur Rubrik EINSTELLUNGEN und w hlen dort den Punkt MODULE aus 4 Suchen Sie das Modul APPLE_SPOTLIGHT_MODULE und kreuzen Sie das Feld AKTIVIERT an 5 Speichern Sie die nderung durch Druck auf die Schaltfl che SICHERN ab Danach k nnen Nutzer die auf Ihren Webserver zugreifen Web Dokumente nach Inhalt durchsuchen lassen Hierzu ist es notwendig dass eine spezielle HTML Datei mit dem Namen template spotlight im Stammordner der entsprechenden Website gespeichert ist Apple stellt eine solche Datei als Vorlage bereits unter Library WebServer Documents template spotlight zur Verf gung Sie k nnen die Datei nach eigenen W nschen anpassen Wenn Ihr Webserver mehrere virtuelle Hosts beherbergt m ssen Sie die Datei jeweils in die Stammordner der entsprechenden Sites kopieren Die HTML Datei besteht im Kern aus einem HTML Formular nach dem Muster lt FORM ACTION spotlight METHOD post gt dem eine spezielle Ergebnismarkierung lt SPOTLIGHTOUT gt folgt Um das Ganze schlie lich auf Client Seite zu nutzen m ssen Sie einen Web Link der Form http www example private spotlight aufrufen Abbildung 12 3 zeigt wie eine typische Suchabfrage mit der von Apple vorgegebenen Schablone aussieht Es ist darauf hinzuweisen dass Spotlight wie sonst auch die Dokumententreffer nach G te sortiert Es ist jedoch nicht m glich eine Rang Angabe in Form von horizontalen Balken ausgegeben zu bekommen 12 3 Der
255. s oft die Allmacht des root Benutzers ein Problem Das Be nutzerkonto root definiert einen speziell ausgezeichneten Benutzer der das Recht hat alle Zugriffsattribute beliebig ndern zu d rfen In Firmen geh rt das root Benutzerkonto blicherweise einem oder mehreren Mitarbeitern der IT Abteilung Auch wenn das root Konto niemals zur normalen Arbeit genutzt wird kann dies ein Datenschutzproblem darstellen denn auf diese Weise hat diese Abteilung grund s tzlich Zugriff auf alle Informationen die auf allen Computern gespeichert sind zum Beispiel auch auf personenbezogene vertrauliche Personaldaten die von Ge setz wegen besonders gesch tzt sein m ssten Mit ACLs lassen sich solche Proble me l sen indem die Rechte feiner abgestimmt auf mehr als drei Parteien verteilt und auch Zugriffsverbote definiert werden k nnen 5 2 ACLs im Detail 5 2 1 GUIDs und ihre Anwendung Eine Zugriffssteuerungsliste erg nzt die herk mmlichen POSIX Rechte Sie sind al so nicht gezwungen mit ACLs zu arbeiten Die bisherige Rechtevergabe gilt auch weiterhin noch sie wird nur durch neue Regeln erweitert Technisch gesehen sind ACLs ber Listen realisiert die an die einzelnen Dateisystemobjekte gekn pft wer den k nnen Eine ACL kann entweder leer sein dann gelten nur die POSIX Rechte wie bisher oder sie enth lt einen bzw beliebig viele Zugriffssteuerungseintr ge Access Control Entries ACEs In einem solchen Eintrag ist verzeichnet
256. s sind zur Verwaltung des Durchsuchens des Netzwerks erforderlich F r das Verwalten von Computereinstellungen sind sie optional Netzwerkansicht Keine Netzwerkansicht hJ URLs ps Beispiele afp server apple com smb server apple com Abbrechen Eo Weitere Optionen Abbildung 6 21 Zum Anlegen eines Computerkontos wird in Tiger ein neues Dia logfenster verwendet Es deutet die beiden Verwendungsm glichkeiten eines Com putereintrags an n mlich entweder als Mitglied in einem Computerlistenkonto oder als Teil einer Netzwerkansicht 90 KAPITEL 6 BENUTZER GRUPPEN UND COMPUTER 6 9 2 Aufbau von verwalteten Netzwerkansichten Eine Netzwerkansicht kann aus einer beliebigen Zusammenstellung der folgenden Komponenten zusammengesetzt sein einem Computer ein Eintrag der einen Computer symbolisiert der im Netz werk Dienste anbietet Hierzu werden Computer Accounts verwendet einer dynamischen Liste eine Gruppe von Computern die ber Dienstent deckungsverfahren Service Recovery im Netzwerk vorgefunden werden wo bei diese Liste jeweils aktuell von den Client Computern anhand bestimmter vorgegebener Kriterien erstellt wird einer Netzwerkumgebung ein Eintrag der die anderen Eintragstypen in ei ner Gruppe zusammenfasst Hierdurch wird im Netzwerkordner ein Unterord ner erstellt Dieser Unterordner kann dann wiederum Computer dynamische Listen und Netzwerkumgebungen enthalten Neben diesen dr
257. saubere Auswertungsreihenfolge ein in der die Liste der Zugriffssteuerungseintr ge abge 5 3 WICHTIGE HINWEISE ZUM EINSATZ VON ACLS 37 arbeitet wird Hierbei kommen folgende Grunds tze zur Anwendung e Soll eine Zugriffsoperation stattfinden f r die eine ACL Berechtigung defi niert werden kann so geht Mac OS X die ACL von oben nach unten durch um zu ermitteln ob der Zugriff erlaubt ist oder abgelehnt werden muss Die Liste wird hierbei immer bis zum Ende abgearbeitet und die Auswertung nicht vorher abgebrochen sobald der erste passende Eintrag gefunden wird e Nach Auswertung der ACL werden zus tzlich die POSIX Berechtigungen ge pr ft Ist die ACL leer werden demzufolge ausschlie lich die POSIX Attribute getestet Die Einstellung Ablehnen hat immer Vorrang vor der Einstellung Erlauben Findet Mac OS X einen zutreffenden Ablehnungseintrag so wird der Zugriff verweigert auch wenn zus tzliche Erlaubniseintr ge f r den Benutzer vor handen sein sollten Die Erlaubnis Eintr ge erg nzen sich Ist ein Benutzer beispielsweise Mitglied einer Gruppe die Schreibrecht auf ein Objekt hat und Mitglied einer Gruppe die Leserecht f r ein Objekt hat so hat dieser Benutzer am Ende Schreib und Leserecht f r dieses Objekt 5 3 Wichtige Hinweise zum Einsatz von ACLs 5 3 1 Beschr nkte Einsatzm glichkeit ACLs k nnen nur im Zusammenhang mit solchen Dateisystemen verwendet wer den die die Speicherung und Auswertung von
258. sguardian Auf einem Tiger System werden automatisch Startdateien f r das neue launchd Verfahren Abschnitt 2 1 am korrekten Ort n mlich 160 KAPITEL 12 WEB DIENSTE Library LaunchDaemons erzeugt so dass die Dienste beim Systemstart automatisch mitgestartet werden Konfiguration von Squid Bevor Sie Squid zum ersten Mal einsetzen m ssen Sie die Konfigurationsdatei an Ihren Server anpassen so wie in Abschnitt 12 3 2 des Hauptbuchs beschrieben Es ergeben sich zur hier vorgestellten Version die folgenden nderungen Die nderung der Konfigurationsdatei erfolgt jetzt an einem anderen Ort sudo pico opt squid etc squid conf Das Starten von Squid geschieht nun mit dem Befehl sudo launchct load Library LaunchDaemons org squid cache squid plist Beendet wird der Dienst durch Eingabe von sudo launchct unload Library LaunchDaemons org squid cache squid plist 12 1 3 Konfiguration von DansGuardian Das DansGuardian Team ist momentan dabei die Dokumentation und Wartung des Programms auf SourceForge umzustellen den weltweiten Dienst zur Pflege und Weiterentwicklung offener Software Sie k nnen verschiedene Versionen der Dokumentation mit Benutzerf hrung in verschiedenen Sprachen unter der neuen Adresse http sourceforge net docman index php group_id 131757 abrufen Die zentrale Konfigurationsdatei befindet sich nun unter opt dansguardian etc dansguardian conf In der Konfigurationsdatei befindet sich eine neue interessante E
259. sich um eine URL der Form http servername 8088 Hierbei ist servername durch den DNS Namen oder die IP Adresse des Aktua lisierungsservers zu ersetzen und 8088 durch die Portnummer die Sie bei der Einrichtung des Servers ausgew hlt haben Abbildung 14 3 198 KAPITEL 14 FORTGESCHRITTENE NETZFUNKTIONEN 4 timo Verwalten O Nie r Immer 2 Name Gast Computer Windows Computer Zu verwendender Software Update Server Alle Computer Verwaltete Computer Bij m B B http g4server example private 8088 Geben Sie eine URL der Form http someserver apple com 8088 Abbildung 14 3 Die Client Computer verwenden Ihren lokalen Aktualisierungs dienst nur dann wenn sie ber eine verwaltete Einstellung dazu gezwungen wer den Es reicht die Angabe der URL 8 Bet tigen Sie die Schaltfl che FERTIG Wenn auf einem der betroffenen Client Computer nun automatisch oder manuell der Punkt SOFTWARE AKTUALISIERUNG in Systemeinstellungen aufgerufen wird ver bindet er sich nicht mehr mit Apple sondern mit Ihrem eigenen Server Die Pakete die in der Liste als aktiv markiert sind werden angeboten und k nnen installiert werden 14 2 Verschl sselte Teilnetze mit VPN Wie in Kapitel 14 2 1 des Hauptbuchs beschrieben war Mac OS X Server bisher darauf beschr nkt bei der Nutzung von VPN Funktionen einzelnen sich in das Hausnetz einw hlenden Computern eine verschl sselte Verbindung zur Verf gung zu stellen In Ti
260. ss alle Clients die Software zur gleichen Zeit abrufen 196 KAPITEL 14 FORTGESCHRITTENE NETZFUNKTIONEN v Updates von Apple automatisch spiegeln v Gespiegelte Updates automatisch aktivieren Bandbreite f r Updates begrenzen auf 0 KB s Ea Updates ber folgenden Port bereitstellen 8088 Abbildung 14 1 Wenn Sie den zweiten Punkt ankreuzen stehen alle von Apple angebotenen Pakete sofort auf den Clients zur Verf gung Schalten Sie diese Op tion ab haben Sie die Gelegenheit die Pakete manuell zu pr fen Sie k nnen so verhindern dass sich Kompatibilit tsprobleme oder Probleme mit fehlerbehafteten Updates ergeben 7 Wenn Sie einen speziellen Port definieren m chten auf dem das Herunter laden in Ihrem Netz erfolgen soll k nnen Sie die Portnummer bei UPDATES BER FOLGENDEN PORT BEREITSTELLEN eingeben Im Normalfall bleibt der Wert 8088 eingestellt Falls Sie den Wert ndern m ssen Sie dies nat rlich wei ter unten bei der Konfiguration der Clients ber cksichtigen Zum Sharing der Aktualisierungspakete verwendet Mac OS X einen Mini HTTP Server der von den restlichen Web Diensten unabh ngig ist 8 Sind alle Werte eingestellt bet tigen Sie die Schaltfl che SICHERN rechts un ten im Fenster 9 Klicken Sie auf DIENST STARTEN in der Symbolleiste um die Software Aktu alisierung in Gang zu setzen Das System wird nach kurzer Zeit beginnen Apples Software Aktualisierungspakete auf diesen Server zu spiegeln
261. stellung von Net Boot Image Dateien ist in folgenden Punkten zu erg nzen e Da die Einstellung der Sprache zum Booten des Systems erst vorgenommen werden konnte nachdem bereits die Quelle f r das Image ausgew hlt war hat Apple konsequenterweise die Einstellung SPRACHE von der Karteikarte ALLGEMEIN auf die Karteikarte INHALT verschoben Wenn man die Eingaben zur Erstellung des Images jetzt von oben nach unten und links nach rechts abarbeitet steht der Punkt SPRACHE nun an der richtigen Stelle ber die neuen Auswahlkn pfe PFAD zum IMAGE kann angegebenen werden ob das Image sp ter auf dem gleichen Server liegt ber den die NetBoot Funktionen verwaltet werden Bei der Einstellung Lokau verh lt sich das Pro gramm wie fr her In diesem Fall muss der Server der als NetBoot Server arbeitet auch als NFS oder HTTP Server arbeiten von dem das letztendli che Boot Image sp ter geladen wird ber die Einstellung ENTFERNT haben Sie die M glichkeit in den NetBoot Image Ordner einen Verweis auf einen fremden Fileserver einzuf gen Vorsicht Apples Namensgebung bei dieser Funktion ist sehr verwirrend Man k nnte den Eindruck erhalten der NetBoot Image Ordner w rde direkt vom System Image Dienstprogramm aus auf ei nem entfernt stehenden Server abgelegt und Sie k nnten sich den Vorgang des Hochladens des Images auf den Server sparen falls das System Image Dienstprogramm nicht auf dem Computer l uft der der NetBoot Server ist Dies is
262. stimmten Volume die Unterst tzung von ACLs ein oder ausgeschaltet ist Hierbei muss an der Position einblendungspunkt eine Unix Pfad angabe f r den Einblendungspunkt Mount Point des entsprechenden Volumes gesetzt werden zum Beispiel g4server osxadmin fsaclctl p Access control lists are supported on F gen Sie zus tzlich die Option e hinzu so wird die Unterst tzung von ACLs auf diesem Volume eingeschaltet F gen Sie dagegen die Option d hinzu so wird die Unterst tzung f r dieses Volume abgeschaltet Hierbei werden alle ACLs auf dem Volume entfernt und unwirksam es gelten danach nur noch die klassischen POSIX Attribute Wenn Sie auf einem Tiger Server professionelle Datensicherung auf Band durchf hren m ssen Sie mit dem Einsatz von ACLs sehr vorsich tig sein In den meisten aktuellen Datensicherungsprogrammen ist die Verwendung von ACLs noch nicht ber cksichtigt Wenn Sie eine Da tensicherung mit einem solchen Programm durchf hren werden zwar die Dateiinhalte die Forks und alle POSIX Attribute gesichert nicht jedoch die Zugriffssteuerungslisten Nur die zu Mac OS X selbst geh renden Sicherungsprogramme wie ditto und asr sowie alle Drittan bieterprogramme zum Klonen von Systeminstallationen die auf die sen beiden Mac OS X Programmen beruhen beherrschen im Moment ACLs 5 4 ARBEITEN MIT ACLS 51 F r das im Hauptbuch erw hnte Datensicherungsprogramm Retrospect hat der Hersteller EMC
263. t Um diese Web Site zu Ihrer Lesezeichenleiste hinzuzuf gen klicken Sie in Web Site hinzuf gen Sie ben tigen daf r ein Administrator Kennwort Die Web Site wird ge ffnet nachdem sie zur Lesezeichenleiste hinzugef gt wurde Web Site hinzuf gen Abbildung 6 14 Aufrufen einer gesperrten Seite in Safari Zun chst ist zu bemerken dass auch bez glich dieser Funktionen Tiger noch einige Kinderkrankheiten aufweist So l sst sich zum Beispiel in bestimmten Systemkon figurationen beobachten dass Client Computer verwaltete Benutzer immer wie der neu fragen zu welcher verwalteten Arbeitsgruppe sie sich zuordnen m chten Auch ist zu beobachten dass zentral vorgegebene Druckereinstellungen sich im mer wieder auf die Klienten vererben auch wenn diese bereits konfiguriert sind Wenn Sie ausschlie lich PostScript Drucker in Ihrem Netz haben f llt die st ndi ge nderung der Druckerkonfiguration auf den ersten Blick vielleicht gar nicht auf da alle Drucker dann weitgehend miteinander kompatibel sind Das ffnen einer Druckerauswahlliste kann aber zur gro en berraschung werden wenn alle Drucker pl tzlich doppelt und dreifach auftauchen und nur als generische Stan darddrucker konfiguriert sind Sie sollten in diesem Fall der Sache nachgehen und das Verwalten der Druckereinstellungen wenn n tig abschalten bis Apple das Pro blem in den Griff bekommen hat Wenn Sie ein Benutzer Gruppen oder Computerlistenkont
264. t 2 6 Verbesserte Benutzeroberfl che auf dem Server Viele Bestandteile des Servers die bisher nur ber die Kommandozeile verwaltet werden konnten lassen sich jetzt auch ber die grafische Oberfl che bedienen Dies betrifft im einzelnen die folgenden Punkte Gateway Assistent Soll ein Servercomputer als TCP IP Gateway konfiguriert wer den umgangssprachlich auch als Router bezeichnet so kann die Einrich tung der entsprechenden Netzumgebung mit den Diensten DHCP DNS NAT VPN und dem Paketfilter jetzt ber ein grafisches Assistentenprogramm er folgen Erweiterte DNS Konfiguration Die Konfiguration des DNS Server BIND ber die grafische Oberfl che hat nun weitergehende Funktionen und ist nicht mehr so fehlerhaft wie in Panther Allerdings stehen immer noch nicht alle Funktio nen in grafischer Form zur Verf gung Statische DHCP Adressverteilung Um statische IP Adressen f r den DHCP Dienst zu konfigurieren steht jetzt eine Eingabem glichkeit in den Administrati onsprogrammen bereit Es ist nicht mehr n tig direkt Eintr ge der NetInfo Datenbank zu ndern Archivieren und Replizieren der LDAP Datenbank Im Zusammenhang mit den Open Directory Verzeichnisdienstfunktionen k nnen nun verschiedene War tungsarbeiten an der LDAP Datenbank direkt ber das Programm Server Ad min ausgef hrt werden Kontaktinformationen f r Benutzerkonten In der LDAP Datenbank k nnen nun neben den eigentlichen Benutzerdaten auch K
265. t ber das Einschmuggeln eines manipulierten DHCP Servers besteht also weiterhin Es ist daher zu empfehlen die Option VoM DHCP SERVER GELIEFERTE LDAP SERVER VERWENDEN UM SUCHPFADE ZU AUTO MATISIEREN auf allen Klienten ausgeschaltet zu lassen Nur wenn ein neuer Klient zum ersten Mal mit dem LDAP Server verbunden wird muss beim Fordern einer vertrauensw rdigen Bindung auf dem Client Computer Name und Kennwort des Verzeichnisdienstadministrators eingege ben werden Nur Klienten mit Mac OS X Tiger oder h her k nnen die Anfrage des Servers nach Eingabe der Authentifizierungsdaten beantworten Wird die vertrauens w rdige Bindung gefordert so k nnen ltere Mac OS X Systeme nicht mehr auf Nutzung des LDAP Servers eingerichtet werden es sei denn sie werden per DHCP auf den LDAP Server verwiesen F r ltere Systeme die den LDAP Server bereits nutzen ergeben sich keine nderungen Apple dokumentiert nicht wie der Server die erfolgreiche Bindung jedem Kli enten zuordnet Hierf r werden die normalen Computerkonten verwendet die auf Basis der Computernamen nicht der DNS Namen verwaltet wer den Vorsicht ist geboten wenn sich Computernamen ndern und auch die richtige Gro und Kleinschreibung der Namen spielt eine Rolle Sie k n nen mit dem Arbeitsgruppen Manager die Computerlisten Accounts durch suchen welche Konten in welcher Namensschreibweise angelegt sind Schal ten Sie den Arbeitsgruppen Manager auf die Anzeige der L
266. t ndern writesecurity Eigent mer ndern chown L schen delete Unterordner l schen delete_child auf diesen Ordner anwenden limit_inherit auf unmittelbare Unterordner vererben directory _inherit auf unmittelbar enthaltene Dateien vererben file_inherit auf weiter unten enthaltene Objekte vererben only_inherit Tabelle 5 2 Schl sselworte mit denen ACLs auf der Kommandozeile notiert wer den total 0 drwxr xr x 2 osxadmin admin 68 Sep 20 12 27 Buchhaltung drwxr xr x 63 osxadmin admin 2142 Jun 14 2002 Clipart 0 group employee allow list search readattr readextattr readsecurity file_inherit directory_inherit 1 group admin allow list add_file search delete add_subdirectory delete_child readattr writeattr readextattr writeextattr readsecurity file_inherit directory_inherit drwxr xr x 2 osxadmin admin 68 Sep 20 12 28 Marketing Referenzen auf GUIDs werden in Klartext nach dem Muster user benutzername auf gel st wenn es sich um ein Benutzerkonto handelt bzw group gruppenname falls es sich um ein Gruppenkonto handelt F r die bersetzung der Begriffe Erlauben Ablehnen sowie den Zugriffs und Vererbungseinstellungen in Schl sselworte f r die Kommandozeile verwenden Sie bitte Tabelle 5 2 Um nun die ACLs von Dateisystemobjekten manipulieren zu k nnen wurden dem chmod Befehl neue Optionen hinzugef gt 5 4 ARBEITEN MIT ACLS 49 a schl sselworte bewirkt dass einem Dateisystemobjekt ein ber die Schl s sel
267. t das Feld ERWEITERTE SCHL SSELVERWENDUNG vorhanden so muss dieses einen g ltigen Wert besitzen ICHAT SICHERHEIT Im Zertifikat m ssen alle Felder f r Schl sselverwendung vorhanden sein die f r die Nutzung von iChat n tig sind e X 509 STANDARD PoLicy Die Echtheit dieses Zertifikats muss anhand einer X 509 Best tigungskette nachgewiesen werden k nnen wobei der Zertifi katsaussteller am Ende der Kette in der Liste X509AncHo BSs enthalten sein muss 9 3 2 Ung ltigwerden von Zertifikaten Aus den gleichen Gr nden aus denen ein Reisepass nur ein paar Jahre g ltig bleibt hat auch ein Zertifikat immer nur eine begrenzte G ltigkeitsdauer G ltigkeit und berpr fungsergebnis werden nach Ausw hlen eines Zertifikats im oberen Bereich des Schl sselbundfensters angezeigt siehe Abbildung 9 6 Neben dem voreinge stellten Verfallsdatum jedes Zertifikats kann es aber auch andere Gr nde geben weshalb ein Zertifikat ung ltig werden kann Es k nnte sein dass ein anderes Zer tifikat das die Echtheit eines Glieds in der Beglaubigungskette bescheinigt ab gelaufen ist In dem Fall k nnen alle von dieser Partei unterzeichneten Zertifikate ebenfalls nicht mehr als beglaubigt anerkannt werden Auch kann die Firma des Zertifikatsausstellers erloschen sein oder beim Aussteller wurde eine Sicherheits l cke entdeckt so dass dieser Aussteller nicht mehr als vertrauensw rdig erscheint 124 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY F
268. t nicht der Fall Das System Image Dienstprogramm legt den erstellten NetBoot Image Ordner immer auf dem Rechner ab auf dem es gerade l uft Den Ordner an die richtige Stelle zu kopieren liegt immer in Ihrer Verantwor tung Die Einstellung PFAD zuM IMaGE legt fest ob w hrend des sp teren NetBoot Vorgangs ein frei definierbarer Mountpfad zu einem fremden NFS oder HTTP Server gew hlt werden soll Die Strategie welche Installationspakete eines Betriebssystems ausgew hlt werden wenn Sie ein Installations Image erstellen hat sich ge ndert Sie 188 KAPITEL 13 FERNSTART DIE NETBOOT FUNKTION h ngt dar ber hinaus von der Image Quelle ab die Sie angeben Wenn Sie ein Installations Image zur Installation von Jaguar erstellen enth lt das Image grunds tzlich s mtliche Pakete der Jaguar CDs Da die Image Datei hierbei sehr gro werden kann empfiehlt Apple in diesem Fall den Punkt EINSTELLUNGEN BEIM ERSTELLEN ODER BEARBEITEN KOM PRIMIEREN im System Image Dienstprogramm einzuschalten Es sei noch einmal daran erinnert dass bestimmte Firmware Versionen und HTTP Server damit Probleme haben Image Dateien zu verarbeiten die gr er als 2 GByte sind Wenn Sie ein Installations Image zur Installation von Panther oder Ti ger erstellen werden optionale Systembestandteile nicht in das Image mit aufgenommen Sie k nnen das ndern indem Sie neben dem Punkt IMAGE QUELLE die Schaltfl che Anpassen bet tigen Es erscheint ein Dia
269. te 12 58 Content filter at g4server ex VIRUS Worm Mydoom AT IN MA Von Content filter at g4server example private lt virusalert example private gt Betreff VIRUS Worm Mydoom AT IN MAIL TO YOU from lt alpha example private gt Datum 11 Oktober 2005 12 58 40 MESZ An hans example private VIRUS ALERT Our content checker found virus Worm Mydoom AT in an email to you from unknown sender alpha example private claiming to be lt maria example private gt First upstream SMTP client IP address 192 168 72 41 alpha example private According to the Received trace the message originated at 192 168 72 41 192 168 72 41 alpha example private 192 168 72 41 Our internal reference code for this message is 04596 08 The message has been quarantined as virus 20051011 125840 04596 08 Please contact your system administrator for details Abbildung 11 5 Ist die Option eingeschaltet den Empf nger bei Eingang einer von Viren befallenen E Mail zu benachrichtigen wird die Originalmail durch eine Nachricht in dieser Form ersetzt Die Art des Virus und die wahrscheinliche wahre Herkunftsadresse nicht die oft gef lschte Absenderadresse werden angezeigt Kapitel 12 Web Dienste Bez glich der eigentlichen Web Server Funktionen hat sich in Mac OS X Tiger nichts ge ndert Sowohl in der Serverversion als auch in der Standardfassung ist die ein gesetzte Software wie bisher Apache Release 1 3
270. te SHA RING neue M glichkeiten den Namen zu vergeben Entweder Sie geben einen Namen in das Feld CoMPUTERNAME an In diesem Fall wird dieser Name ver wendet und die MAC Adresse des sp ter installierten Computers hinten an geh ngt Alternativ k nnen Sie bei DATEIPFAD eine Datei angeben die der installierte Computer zur Wahl seines eigenen Namens verwenden soll Es muss sich um eine Textdatei handeln die zeilenweise die MAC Adressen und die gew nschten Namen auflistet wobei beide Angaben jeweils durch ein Tabulatorzeichen zu trennen sind e Auf der neuen Karteikarte VERZEICHNISDIENSTE l sst sich einstellen an wel chen Verzeichnisdienst der sp ter fernstartende Computer gebunden werden 13 3 IMAGE DATEIEN PFLEGEN UND ANPASSEN 189 een System Image Dienstprogramm oO Images Installation Startvolume Protokoll Allgemein inhalt Installationsoptionen Modellfilter W hlen Sie eine Image Quelle Andere Objekte sind optional Image Quelle 4 Mac OS X Install DVD B Anpassen Standardsprache Deutsch Andere Objekte Beispiele Pakete pkg Skripte nach Installation Neues Netzwerk Installations Image Abbildung 13 2 Die Benutzerf hrung zur Erstellung eines Installations Image wur de berarbeitet soll Als Grundlage hierf r wird die Verzeichnisdienstkonfiguration des Com puters verwendet auf dem das System Image Dienstprogramm gerade l uft Kreuzen Sie entweder den
271. tellungen die untere H lfte die nur aus der Option ZUGRIFFSSTEUERUNGSLISTE besteht auf die ACL Eintr ge in der Zugriffssteuerungsliste die von oben geerbt wurden erscheinen in der Tabelle grau Sie k nnen einen solchen geerbten Eintrag nicht als solchen ndern aber er l sst sich l schen Sie k nnen auch alle geerbten Eintr ge gleich zeitig l schen indem Sie im Men der Zahnrad Schaltfl che den Punkt GEERBTE EINTR GE ENTFERNEN ausw hlen Um einen geerbten Eintrag in einem untergeordneten Teilbaum der Ordnerhierar chie doch ndern zu k nnen m ssen Sie den Men punkt GEERBTE EINTR GE DURCH EXPLIZITE ERSETZEN verwenden Auch in diesem Fall werden die von oben ererbten Zugriffssteuerungseintr ge zun chst gel scht sie werden aber danach als ech te Eintr ge f r dieses Objekt neu angelegt Dadurch haben Sie anschlie end die M glichkeit die Detaileinstellungen des ACE wie gew nscht anzupassen Der Auswertungsmechanismus der bernommenen und expliziten Zugriffssteue rungseintr ge macht es im Einzelfall schwer nachzuvollziehen welche Berechti gung f r ein bestimmtes Objekt denn nun wirklich aktiv wird Der Arbeitsgruppen Manager stellt hierzu eine bequeme Hilfe bereit Sie k nnen sich f r ein beliebi 44 KAPITEL 5 DAS BERECHTIGUNGSKONZEPT IN MAC OS X O O O Detailansicht tats chliche Zugriffsrechte Bewegen Sie Benutzer hierher um deren tats chlichen Zugriffsrechte festzustellen
272. tisch mit Deckbl ttern zu versehen falls der druckende Client nicht von sich aus Deckblatt optionen vorgibt e Es ist jetzt auch von hier aus m glich mehrere Warteschlangen zu einem Druckerpool zusammenzufassen e Im Bereich Protokolle steht Zugriff auf mehr von CUPS verwaltete T tigkeits berichte zur Verf gung e Bei der Einrichtung der Warteschlange kann ein Drucker so konfiguriert wer den alle Auftr ge automatisch mit Deckbl ttern zu versehen Apple stellt hierzu verschiedene Standardtexte zur Verf gung Abbildung 10 1 Die letztgenannte Option wird nur dann wirksam wenn das druckende Client Betriebssystem nicht schon von sich aus eine Einstellung f r das Deckblatt vor nimmt Wenn Sie also von der grafischen Oberfl che eines Tiger Systems drucken so ist auch da eine Deckblatteinstellung vorgesehen die als Standard auf DEck BLATT DRUCKEN OHNE steht Hierdurch wird das von der Server Warteschlange vor geschlagene Deckblatt wieder abgeschaltet und beim Ausdruck erscheint kein zu s tzliches Blatt Drucken Sie jedoch z B von der Unix Kommandozeile aus auf die Warteschlange des Servers so wird der Standardwert auf Serverseite aktiv und das Deckblatt wird gedruckt Momentan erscheinen brigens alle Deckbl tter in engli scher Sprache egal auf welche Prim rsprache das entsprechende Mac OS X System konfiguriert ist 10 4 Neue Features auf Client Seite Wie schon erw hnt steht auch in der Standardversion von Mac OS X
273. tzer werden soll kreuzen Sie zus tzlich den Punkt BEST TIGUNG VOR ERSTELLEN MOBILER ACCOUNTS EINHOLEN an Meldet sich der Benutzer nun an seinem Mobilcomputer an so wird er erst gefragt ob er seine Kontodaten wirklich mit dem Verzeichnisdienst synchronisieren will Er kann damit immer noch ableh nen zum mobilen Benutzer zu werden Abbildung 6 2 Ist die Mobilit tsfunktion aktiv geworden werden nun in jedem Fall die Account Daten dieses Benutzers zum Beispiel Kennwort nderungen zwischen dem lokalen Verzeichnisdienst des eigenen Computers dieses Benutzers und dem zentralen Verzeichnisdienstserver synchronisiert Zus tzlich steht ab Mac OS X 10 4 die neue Funktion zur Verf gung private Dateien zwischen der Festplatte des eigenen Computers und einem zentralen Dateiserver automatisch abgleichen zu lassen Be achten Sie hierbei die folgenden wichtigen Hinweise e Die Nutzung dieser Funktion setzt voraus dass der mobile Benutzer an einen 6 1 ORTSUNGEBUNDENE BENUTZER 55 M chten Sie jetzt einen portablen Ordner MA Privat auf diesem Computer erstellen Ein portabler Ordner Pripat enth lt eine synchronisierte Kopie Ihfes Netzwerk Accounts falls dieser Computer vom Netzwerk getrennt wird Sp ter Nie I Abbildung 6 2 Je nach Einstellung darf der Benutzer bei seiner n chsten Anmel dung ablehnen dass er zum mobilen Nutzer wird bestimmten mobilen Computer gekn pft ist Der Benutze
274. tzwerkansicht bet tigen Sie die Plus Taste unterhalb der Layout Tabelle um den Punkt NEUER COMPU TER aufzurufen Sie geben in das Feld Name den Wert Fileserver ein und tragen in das Feld ETHERNET ID den Inhalt 00 0d 93 4e 56 fd ein Neben der Tabelle URLs bet tigen Sie die Plus Schaltfl che um die Zeile afp gA4server example private einzugeben Sie wiederholen den letzten Schritt um ebenso die Adresse 6 9 EINSTELLUNGEN F R DEN NETZWERKORDNER DES FINDERS 93 Name Fileserver Diesen Namen als Computername f r verwaltete Clients verwenden Computerliste Liste f r diesen Eintrag w hlen Ethernet ID 00 0d 93 4e 56 fd Netzwerkansicht und URLs sind zur Verwaltung des Durchsuchens des Netzwerks erforderlich F r das Verwalten von Computereinstellungen sind sie optional Netzwerkansicht Standard HA URLs afp g4server example private smb g4server example private Beispiele afp server apple com smb server apple com Weitere Optionen Te Abbrechen Sichern Abbildung 6 23 Einrichten eines neuen Computereintrags f r eine verwaltete Netz werkansicht smb g4server example private einzutragen Danach bet tigen Sie die Schaltfl che SICHERN Siehe hierzu auch Ab bildung 6 23 Wenn Sie auch den Knopf SICHERN des Aufgabenbereichs NETZWERK bet tigen wird der Eintrag wirksam Beachten Sie dass in diesem Beispiel ein neues Computerkonto angelegt wurde f
275. u dr cken Der verbrauchte Speicherplatz der Maildaten wird getrennt f r die eigentliche DA TENBANK die nur den Index der einzelnen Mailsendungen speichert und den Mall SPEICHER der die eigentlichen Inhalte der IMAP Postf cher enth lt angegeben Letzterer Speicher kann ab 10 4 problemlos erweitert werden falls es Ihre Anwen dungen erfordern Sie k nnen ein oder mehrere Festplatten hinzuf gen dort nach Wunsch Partitionen einrichten und diese Partitionen als zus tzlichen Speicherplatz f r die IMAP Postf cher konfigurieren Die entsprechenden Partitionen werden in der Tabelle WEITERE SPEICHERORTE F R DEN MAIL SPEICHER aufgelistet Das eigentliche Hinzuf gen von neuem Speicherplatz und die Angabe des Speicher ortes f r Mail Datenbank und Mail Postf cher geschieht dagegen an einer anderen Stelle W hlen Sie f r den Dienst Mail den Punkt EINSTELLUNGEN ERWEITERT DA TENBANK aus so erscheinen die Eingabefelder aus Abbildung 11 2 Sie k nnen hier die Unix Pfade f r die Ordner angeben an denen sich die Datenbereiche befin den sollen Mithilfe der Schaltfl chen unter der Tabelle ZuUs TZLICHE MAIL SPEICHER k nnen Sie zus tzliche Partitionen f r die Postablagen hinzuf gen oder l schen Das Postfach welches Benutzers sich in welcher Partition befinden soll wird ber den Arbeitsgruppen Manager dort ACCOUNTS BENUTZER E MAIL ALTERNATI VE PARTITION VERWENDEN eingestellt Die Namen der Partitionen k nnen Sie selber 11
276. ue Zertifikat im Programm Schl s selbund aus 2 Rufen Sie den Men punkt ABLAGE EXPORTIEREN auf 134 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY 3 W hlen Sie als Dateiformat PRIVACY ENHANCED MAIL PEM und ndern oder best tigen Sie den Dateinamen 4 W hlen Sie den soeben neu erzeugten privaten Schl ssel der zum Zertifikat geh rt im Programm Schl sselbund aus 5 Rufen Sie wieder den Men punkt ABLAGE EXPORTIEREN auf 6 ndern oder best tigen Sie den Dateinamen und dr cken Sie auf OK 7 Geben Sie auf Wunsch ein Kennwort ein mit dem die Datei f r den privaten Schl ssel gesichert wird Der Schl ssel ist eine sehr sicherheitskritische Infor mation Je nachdem wie Sie ihn weitergeben ist die Vergabe eines Kenn worts sinnvoll Im Moment scheint es jedoch mit einigen Versionen von Ti ger Kompatibilit tsprobleme bei der Verwendung von Schl sseldateien zu geben die mit einem Kennwort versehen wurden Lassen Sie im Zweifelsfall das Kennwort leer 8 Die Datei wird gespeichert Das Schl sselbund Programm ben tigt eventu ell noch einmal ein Kennwort um auf den privaten Schl ssel zugreifen zu d rfen An dieser Stelle gibt es ein kleineres Problem denn das Schl sselbund Programm kann Schl ssel nur im Dateiformat p12 exportieren w hrend Server Admin auch hier das pem Format erwartet Wir m ssen dies ber die Kommandozeile l sen ffnen Sie ein Terminal Fenster und gehen Sie mit cd in den Ordner
277. uf dem Gruppenordner erstellt werden sollen Mac OS X Server Netzwerkordner URL afp server supernetz de Volumes Gruppen Beispiel afp realtime apple com Groups Pfad i BereichA Buchhaltung Beispiel Macgroups staff Abbrechen CK Abbildung 6 10 Haben Sie eine komplexere angepasste Struktur f r die Platzie rung von Gruppenordnern angelegt so k nnen Sie die n tigen Adressdaten ma nuell eingeben da hierbei Sicherheitseinstellungen die die Gruppenadministratoren eventu ell bereits angepasst haben durch die Standardeinstellungen von Mac OS X berschrieben werden 6 6 2 Vereinfachung des Zugriffs auf Gruppenordner f r die Grup penmitglieder Wie erw hnt hat das Anlegen und Definieren eines Gruppenordners keinen wei teren Effekt au er dass er nun existiert M chten die Mitglieder der Gruppe den Ordner verwenden so m ssen sie wissen auf welchem Server er sich befindet und manuell eine Verbindung herstellen Dies ist nicht besonders benutzerfreundlich Mac OS X kann den manuellen Zugriff etwas erleichtern indem im Dock die richti ge Adresse f r das Herstellen der Verbindung eingeblendet wird oder ein halbau tomatischer Mount zu den Startobjekten der Gruppenmitglieder hinzugef gt wird Diese Funktionalit t wird ber verwaltete Einstellungen eingerichtet Einblenden eines Symbols f r den Gruppenordner im Dock 1 Starten Sie den Arbeitsgruppen Manager verbinden Sie sich mit dem Server
278. ugriffsoperationen 2 2 2 2 2 Cun nn 5 2 3 Vererbung der Eintr ge in der Ordnerhierarchie 5 2 4 Auswertung der Zugriffssteuerungseintr ge 2 2 Wichtige Hinweise zum Einsatz von ACLs 2 22 5 3 1 Beschr nkte Einsatzm glichkeit 2 222 5 3 2 Anwendung der Zugriffssteuerung auf Dienste 5 3 3 Ratschl ge zur Verwendung 2 2 2 22 n nenn Arbeiten mit ACLs 2 2 2 2 Con 5 4 1 ACLs in der grafischen Oberfl che 2 2 2222 5 4 2 Verschachtelte Gruppen im Arbeitsgruppen Manager 5 4 3 Einstellung von SACLs 2 2 2 EEE 5 4 4 ACLs auf der Kommandozeile 2 2 22 une Benutzer Gruppen und Computer 6 1 6 2 6 3 Ortsungebundene Benutzer aa aa aaa 6 1 1 Neue Funktionen 2 2 2 2 aaa 6 1 2 Einrichten der Synchronisationsregeln f r private Dateien Behandlung von Kennworten in Mac OS X Tiger 2 222 222 6 2 1 Zus tzliches Verfahren zur Pr fung von Kennworten 6 2 2 Ausschlie en bestimmter Verfahren zum Pr fen von Kenn WOHENME SEE Re Ber Ba N ei a Der neue Kennwortassistent 2 2 2 222 nn nn 23 23 23 23 27 31 31 32 32 34 35 36 37 37 37 38 40 40 45 46 47 INHALTSVERZEICHNIS 8 6 4 Ausfall der Kerberos Funktionen in Tiger aaa 2 22 6 5 Vordefinierte Konten aaou aa 6 6 Arbeiten mit Gruppenordnern 2 2 2 22m nn 6 6 1 Einrichten eines Gruppenordners auf einem zentralen Datei SCHWEFEL t A a en Bl a A Re eG 6 6 2 Vereinfa
279. und falls Sie dies nutzen m chten die Felder HARDWARE INFO SOFTWARE INFO und KOMMENTAR auszuf llen F r unser Beispielnetz erhalten wir schlie lich die Tabelle in Abbildung 4 3 Sie k nnen die Konfiguration mit dem Knopf SICHERN abspeichern und den DNS Dienst mit dem Knopf in der Symbolleiste starten 4 1 3 Einrichtung eines DHCP Servers Bez glich der Einrichtung des DHCP Servers verh lt es sich in Tiger hnlich wie bei BIND Der Unterbau ist gleich geblieben jedoch stellt die grafische Oberfl che von Server Admin zus tzliche M glichkeiten zur Verf gung Neu hinzugekommen ist die M glichkeit statische Adressen f r die DHCP Vergabe nun direkt eingeben zu k nnen ohne die NetInfo Datenbank manipulieren zu m ssen Sie k nnen Kapitel 3 3 2 des Hauptbuches nun durch folgende Vorgehensweise ersetzen 1 Starten Sie Server Admin und stellen Sie die Verbindung mit dem DHCP Server her auf dem Sie statische Adresszuordnungen einrichten wollen 2 W hlen Sie in der bersicht CoMPUTER amp DIENSTE den Dienst DHCP aus 3 W hlen Sie die Rubrik EINSTELLUNGEN und dort die Rubrik STATISCHE ZUORD NUNGEN 4 Durch Dr cken der Plus Schaltfl che unterhalb der Tabelle k nnen Sie einen neuen Eintrag anlegen Es erscheint ein Eingabeformular 5 Geben Sie in das Feld ETHERNETADRESSE die MAC Adresse des Ethernet Firewire oder WLAN Anschlusses ein auf dem Sie eine statische Adresszu ordnung vornehmen m chten 28 KAPITEL 4 EIN
280. unktioniert also zu Fehlern neigt wenn Mails in einer anderen Sprache eingehen als die mit der die Trainingsphase durchgef hrt wurde Neben der fremden statistischen Verteilung der Worte in der anderen Sprache spielt hier auch eine Rolle in welchem Zeichensatz die Mails ko diert sind Beim Versand von E Mail wird oft noch nicht das Unicode Verfahren ver wendet sondern landestypische Zeichenkodierungen Sie k nnen einstellen dass 150 KAPITEL 11 E MAIL DIE ELEKTRONISCHE POST E Mails die in bestimmten Sprachen oder mit bestimmten Zeichenkodierungen eingehen generell nicht als SPAM bewertet werden Dr cken Sie den Knopf mit dem Stiftsymbol neben dem Feld ZuL SSIGE SPRACHEN um die Sprachen auszuw hlen die generell nicht als SPAM einzustufen sind Sie m ssen bedenken dass es sich auch bei der Spracherkennung um eine Sch tzung handelt die auf statistischen Methoden beruht Auch sie kann fehlerhaft sein Bei LocALES werden in analoger Weise die Zeichens tze eingestellt die von der Fil terung ausgeschlossen werden sollen Besonders im europ ischen Sprachraum ist es allerdings nicht ungew hnlich regelm ig elektronische Post in verschiedenen Sprachen zu erhalten Es kann deshalb sinnvoll sein aller hier eingetragenen Spra chen und Zeichens tze zu entfernen damit keine Filterung anhand landessprachli cher Kriterien mehr erfolgt Das Klappmen UNAUFGEFORDERTE E MAIL WERDEN ist die wichtigste Einstellung die im Zusamme
281. uss mit mindestens einem DNS Namen des Computers bereinstimmen zu dem eine Verbindung mit SSL aufgenommen wird SSL Client Zertifikate sind hiervon ausgenommen Ist im Zertifikat das Feld ERWEITERTE SCHL SSELVERWENDUNG vorhanden so muss dieses einen g ltigen Wert besitzen S MIME SECURE MAIL Um eine Mail digital unterzeichnen oder verschl sseln zu k nnen muss die E Mail Adresse des Benutzers im Zertifikat aufgef hrt sein Au erdem m ssen alle Felder f r Schl sselverwendung im Zertifikat vor handen sein die f r das Absichern einer E Mail Nachricht n tig sind e EAP EXTENSIBLE AUTHENTICATION Der Name der im Zertifikat genannt ist muss mit mindestens einem DNS Namen des Computers bereinstimmen zu dem eine Verbindung ber ein Netzwerk aufgenommen wird das eine Identi fizierung gem der Norm IEEE 802 1X anfordert Client Zertifikate sind hier von ausgenommen Ist im Zertifikat das Feld ERWEITERTE SCHL SSELVERWEN DUNG vorhanden so muss dieses einen g ltigen Wert besitzen e CODE SIGNIERUNG Im Zertifikat m ssen alle Felder f r Schl sselverwendung vorhanden sein die zum Signieren von Code n tig sind IP SECURITY IPSEC Der Name der im Zertifikat genannt ist muss mit minde stens einem DNS Namen des Computers bereinstimmen zu dem eine Ver bindung ber ein Netzwerk aufgenommen wird das eine Identifizierung ge m IPSec Standard anfordert Client Zertifikate sind hiervon ausgenommen Ist im Zertifika
282. ustersystem enth lt Dr cken Sie auf SICHERN rechts unten Wenn der Vorgang abgeschlossen ist k nnen Sie das Image im Server Admin Programm wieder verf gbar machen Kapitel 14 Fortgeschrittene Netzfunktionen 14 1 Der neue Software Aktualisierungsdienst 14 1 1 Einf hrung Eine komplett neue Entwicklung von Apple ist der Software Aktualisierungsdienst der in Tiger Server zum ersten Mal zum Einsatz kommt Diese Funktion erlaubt es die Mac OS X Software Aktualisierung die auf jedem System als Teil des Pro gramms Systemeinstellungen abrufbar ist auf einen eigenen Server im Hause um zuleiten wobei Apples offizieller Update Server gespiegelt wird Dies bringt fol gende Vorteile e Sie k nnen verhindern dass Benutzer in Ihrem Netz die lokale Administrati onsrechte haben ohne Genehmigung Software Updates von Apple einspie len und damit Probleme verursachen e Sie sparen Internet Bandbreite denn nur noch ein einziger Rechner ruft die aktuellen Software Updates von Apple ab Danach k nnen die Pakete per LAN im Haus verteilt werden Es besteht stets eine aktuelle Kontrolle welche Software Updates Apple mo mentan anbietet und ob Sie diese in Ihrem Netz einsetzen m chten F r die Endbenutzer im Netz ist dies ein v llig transparenter Vorgang denn sie k nnen nicht unterscheiden ob die Aktualisierungen von Apple oder aus dem Hausnetz herunter geladen werden Nachdem Sie den Software Aktualisierungsdienst auf
283. utlicher was gemeint ist Nehmen wir an Hans hat einen Blog Eintrag von Maria gelesen und will in seinem eigenen Blog darauf Bezug neh men Wenn Hans einen neuen Eintrag erzeugt in dem er Marias Eintrag kommen tiert kann er auf ganz normale Weise einen Link in seinem Eintrag setzen der auf Marias Blog verweist Er ist aber zus tzlich dazu berechtigt auch die Leser von Marias Blog darauf hinzuweisen dass er auf einen Eintrag von Maria Bezug nimmt Hierzu legt Hans in seinem neuen Eintrag zus tzlich noch ein Trackback f r Marias Eintrag an Bei Marias Eintrag wird hierdurch eine abrufbare Markierung erscheinen die wiederum auf den neuen Eintrag von Hans verweist Dies kann sich in Diskussionen als n tzliches Hilfsmittel erweisen damit ein zweiseitiger Bezug nicht nur eine einzige Verweisrichtung wie sonst blicherweise im Web entsteht Um ein Trackback zu erstellen m ssen Sie folgende Schritte durchf hren 1 Rufen Sie den fremden Weblog Eintrag auf auf den Sie sich beziehen wollen 2 Klicken Sie rechts unter dem Eintrag auf den Punkt R CKVERBINDUNG TRACK BACK 3 Verwenden Sie die Funktion BEARBEITEN KOPIEREN in Ihrem Web Browser um die Internetadresse die unter R CKVERBINDUNGS URL F R DIESEN EINTRAG notiert ist in die Zwischenablage zu kopieren Abbildung 12 8 4 Legen Sie einen neuen Eintrag in Ihrem eigenen Weblog an 170 KAPITEL 12 WEB DIENSTE Maria Schmitz s Weblog Created with Mac OS X Server
284. utzer 6 2 BEHANDLUNG VON KENNWORTEN IN MAC OS X TIGER 61 Bitte w hlen Sie Identifizierungsmethoden f r diesen Benutzer Account Hash Methoden Diese Methoden speichern Kennw rter so dass es f r Angreifer schwieriger ist sie zu entschl sseln M CRAM MDS Mail Clients v NTLMv1 und NTLMv2 Windows NT 98 oder neuer A LAN Manager Windows 95 Clients R ckf hrbare Identifizierungsmethoden Diese Methoden speichern Kennw rter so dass Angreifer sie enschl sseln k nnen sofern sie direkten Zugriff auf die Kennwortdatenbank des Servers erlangen v WebDAV Digest und APOP Web und Mail Clients Abbrechen Co Abbildung 6 6 Bei Benutzerkonten mit Shadow Kennworten k nnen die zul ssigen Identifizierungsmethoden ein und ausgeschaltet werden konto einzeln im Arbeitsgruppen Manager eingestellt werden im Open Directory Fall wird die Einstellung global f r den ganzen Verzeichnisdienstserver ge ndert wobei das Server Admin Programm zum Einsatz kommt F r den Fall eines Benutzerkontos mit Shadow Kennwort 1 Starten Sie den Arbeitsgruppen Manager und verbinden Sie sich mit dem Server der das betreffende Benutzerkonto enth lt 2 W hlen Sie in der Symbolleiste den Punkt AccounrTs aus 3 W hlen Sie in der linken H lfte des Fensters die Benutzer bersicht aus und w hlen Sie den gew nschten Benutzer 4 ffnen Sie auf der rechten Seite des Fensters die Karteikarte ERWEITERT 5 Kli
285. wandeln und dann wieder neu als Repliken des eigentlichen Open Directory Masters zu konfigurieren 9 1 2 Die abgesicherte Bindung zwischen Server und Klienten Wie in Abschnitt 9 3 1 des Hauptbuchs beschrieben gibt es ein Sicherheitsrisiko bei der Benutzung von Open Directory wenn Sie die Client Computer den LDAP Server automatisch per DHCP zuweisen lassen und mit einem automatischen Verzeich nissuchpfad arbeiten Ein m glicher Angreifer k nnte nach Eindringen ins Netz werk einen manipulierten DHCP Server aufsetzen und damit die Client Computer auf einen fremden LDAP Server umleiten den er selbst mit seinen eigenen Daten installiert hat Somit k nnen alle Klienten mit manipulierten Sicherheitsinformatio nen versorgt werden um damit alle Schutzma nahmen im Netz auszuhebeln 9 1 LDAP IN MAC OS X SERVER NUTZEN 115 Doch nicht nur das Aufstellen eines gef lschten Servers ist m glich In umgekehrter Richtung k nnte ein Angreifer auch einen manipulierten Client Computer ins Netz bringen und diesen dazu veranlassen durch eine Reihe von LDAP Anfragen an Be nutzerdaten Kontaktdaten und eventuell auch verschl sselte Kennwort Hashes zu kommen Die Hashes k nnten dann in einer Offline Attacke geknackt werden In Tiger hat Apple ein zus tzliches Sicherheitsmerkmal integriert Der Open Directo ry Server und die Client Computer k nnen so konfiguriert werden dass sie sich bei der ersten Kontaktaufnahme identifizieren m ssen Somit wird es f
286. wendung von NIS unterst tzen wird siehe Abschnitt 7 4 3 des Hauptbuchs Dies erh ht die Kompatibilit t mit modernen Unix System deutlich 2 7 7 Drucken im Netz Die bernahme einer fr heren zentralen Druckserverkonfiguration in Tiger kann zu erheblichen Problemen bis hin zu einem Totalausfall aller Netzwerkdruckfunktio nen f hren In diesem Fall ist die einfachste L sung die Definitionen aller Drucker warteschlangen auf dem Server komplett zu l schen und neu einzurichten Ver wenden Sie in diesem Fall bevorzugt das Protokoll IPP und lassen Sie die Clients die Drucker ber Bonjour automatisch erkennen 2 7 8 Faxempfangsserver und Faxempfang auf Clients Apple hat das in Mac OS X enthaltene Telefaxprogramm auf eine Version aktua lisiert die mit dem Rest des Systems nicht mehr vollst ndig kompatibel ist Als Folge davon ist der Absender eingehender Telefaxsendungen nicht mehr sichtbar und wird vom System nicht mehr richtig verarbeitet Bei der Weiterleitung der Fax sendung per E Mail werden alle Sendungen mit dem Vermerk FAX from Unknown pdf versehen Besonders beim Betrieb als Faxeingangsserver kann die Zuordnung der eingehenden Sendungen an einen Endempf nger daher nicht mehr automatisiert 2 7 EINGESCHR NKTE FEATURES VON MAC OS X 10 4 15 erfolgen sondern muss manuell durchgef hrt werden 2 7 9 Automatische Proxy Konfiguration auf Clients Die automatische Konfiguration von Proxy Servern ber eine PAC Datei die p
287. worte angegebener ACE hinzugef gt wird e ai schl sselworte f gt einen ACE ebenso hinzu erzwingt jedoch dass der Eintrag als vererbt markiert wird a n schl sselworte f gt einen ACE an die n te Position in der ACL ein ai n schl sselworte f gt einen ACE an die n te Position in der ACL ein und erzwingt dass der Eintrag als vererbt markiert wird a schl sselworte l scht den gegebenen ACE a n l scht den ACE an der n ten Position der ACL a n schl sselworte ersetzt den ACE an der n ten Position der ACL durch den angegebenen Eintrag i entfernt alle Markierungen dass ACEs geerbt sind aus der gesamten ACL I entfernt alle ACEs die als geerbt markiert sind Benutzer und Gruppenangaben sollten bei Verwendung des Befehls chmod ber deren Kurznamen erfolgen Die Schl sselworte group und user d rfen nicht ver wendet werden Das Kommando versucht die Kurznamen auch ohne diese Anga ben automatisch dem richtigen Kontotyp zuzuweisen Liegen gleichnamige Gruppen und Benutzerkonten im System vor hat der Benutzereintrag Vorrang Die oben erw hnten Schl sselworte werden durch Kommas voneinander getrennt Hier ein paar Beispiele und ihre Wirkung g4server osxadmin mkdir acltest g4server osxadmin cd acltest g4server acltest osxadmin touch dateil datei2 g4server acltest osxadmin Is 1 total 0 rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 dateil rw r r 1 osxadmin osxadmin 0 Sep 20 19 26 datei2 g4serve
288. xportierten privaten Schl ssel einzupacken Um den privaten Schl ssel unverschl sselt zu lassen lassen Sie das Kennwort leer Signiertes Zertifikat von einer Zertifizierungsinstanz anfordern Signiertes Zertifikat hinzuf gen nderungen m ssen gesichert werden bevor Sie ein signiertes Zertifikat anfordern oder hinzuf gen L ndercode De I 09 29 05 G ltig bis 09 29 06 Private Schl ssell nge 1024 127 Abbildung 9 9 Dank der neuen Zertifikatsfunktionen l sst sich auf dem Server per Knopfdruck ein selbst signiertes Zertifikat erstellen das zur Absicherung des LDAP Servers ber SSL genutzt werden kann 128 KAPITEL 9 LDAP UND APPLE OPEN DIRECTORY e 0e Schl sselbund 8 Klicken Sie hier um den Schutz des Schl sselbunds System aufzuheben a Schl sselbunde 4 i a Anmeldung g4server example private Privater Schl ssel RSA 1024 bit amp System 9 Entschl sseln Zeichen Auspacken amp X509Anchors Art Ge ndert Schl sselbund Programm Kennwort Gestern 19 11 System Ak certificateManager A com apple ras Programm Kennwort 16 09 05 17 54 System a J com apple samba Programm Kennwort 28 09 05 10 53 System Kategorie Q Default ffentlicher Schl ssel System a Alle Objekte Default Privater Schl ssel System gt Kennw rter E Default Zertifikat System E Zertifikate P g4server example private ffentlicher Schl ssel S
289. ystem E Meine Zertifikate Q g4server example private Privater Schl ssel System Schl ssel E 94server example private Zertifikat Sichere Notizen Schl sselbunde ausblenden Gi 9 Objekte A olla OO Abbildung 9 10 Das neu erstellte Zertifikat und dessen Schl ssel werden sofort verf gbar ohne dass ein Importieren oder Exportieren der Daten oder das Kopieren von pem Dateien erforderlich ist Vorsicht Denken Sie daran dass Sie auch alle Klienten im Netz auf SSL umstellen m ssen F r den Fall dass Sie den LDAP Server automatisch per DHCP konfigurie ren ist die Vorgehensweise im Hauptbuch beschrieben Bei manueller Konfigurati on m ssen Sie mit dem Programm Verzeichnisdienste auf jedem Client Computer unter LDAPV3 KONFIGURIEREN das Feld SSL ankreuzen Die Verzeichnisdienstklienten werden das Zertifikat des LDAP Server problemlos ak zeptieren Zeigen Sie die Daten des soeben erstellten Zertifikats jedoch im Schl ssel bund Programm an oder versuchen Sie sich ber den in Abschnitt 9 2 erw hn ten LDAP Browser per SSL zu verbinden so funktioniert zwar auch das aber Sie werden mit unsch nen Sicherheitswarnungen konfrontiert Abbildungen 9 11 und 9 12 Den Programmen ist bewusst dass das benutzte Zertifikat nur von Jeman dem unterzeichnet wurde der nicht durch eine Root Zertifizierungs Instanz be glaubigt wurde Wir nutzen diesen Effekt um im n chsten Abschnitt auf weitere neue F higkeiten von Tig
290. yte unterteilt ist Mac OS X verwen det ein spezielles Verfahren zum Erzeugen solcher GUIDs das es so gut wie un m glich macht dass zwei jemals erzeugte GUIDs zuf llig gleich sein k nnen F r alle Objekte dieser Welt die verschieden sind werden also unterschiedliche GUIDs verwendet GUIDs entsprechen ungef hr den SIDs aus der Windows Welt siehe Hauptbuch werden jedoch anders notiert Seit Mac OS X 10 2 sind die Konten aller Benutzer bereits mit solchen GUIDs ver sehen verwendet werden sie jedoch erst ab Mac OS X 10 4 F r Konten von Be nutzergruppen gilt das nicht Wenn Sie ein System von einer fr heren Version auf Mac OS X Tiger aktualisieren sollten Sie deshalb nach der Installation alle Benutzer gruppen die sp ter ACLs verwenden d rfen mit GUIDs versehen Dies geschieht indem Sie im Arbeitsgruppen Manager die betreffende Benutzergruppe ausw hlen und den rechts unten erscheinenden Knopf BERKOMMENE GRUPPE AKTUALISIEREN dr cken Abbildung 5 1 Hierbei werden auch die Verweise auf die Gruppenmitglieder aktualisiert Die Mit glieder werden also nicht mehr nur per Kurznamensnennung sondern intern auch per GUID Verweis gespeichert Da sowohl Benutzer als auch Gruppen sich ber GUIDs identifizieren lassen k nnen auch Gruppen als Mitglieder einer Gruppe auf treten Mit anderen Worten Es ist jetzt durchaus erlaubt verschachtelte Gruppen anzulegen Sie k nnen also eine Benutzergruppe Angestellte anlegen welche als Mitgl
291. z s Weblog Created with Mac OS X Server Geben Sie den Kurznamen der Gruppe ein und dr cken Sie die Zeilenschaltung um ein Weblog f r diese Gruppe zu erstellen Abbildung 12 5 Auf der Startseite des Weblog Dienstes werden die bereits vorhan denen Blogs aufgelistet Sie k nnen die Erstellung eines neuen Blogs vorbereiten indem Sie in das Eingabefeld den Kurznamen eines Benutzers oder einer Benutzer gruppe eintragen Die auf dem Webserver vorhandenen Blogs werden auf der Startseite des Weblog Dienstes angezeigt Um die Erstellung eines neuen Weblogs vorzubereiten geben Sie Ihren Kurznamen oder den Namen einer Benutzergruppe in das Feld rechts un ten ein Abbildung 12 5 Beachten Sie dass hierbei noch kein neues Blog angelegt wird Das System pr ft nur ob ein Blog unter diesem Namen registriert ist und bereitet die m gliche Erstellung vor falls kein Eintrag gefunden wird Um tats chlich ein neues Blog zu erstellen m ssen Sie sich mit Namen und Kenn wort am Weblog Dienst anmelden Es sei noch einmal darauf hingewiesen dass das Kennwort nur dann sicher und verschl sselt bertragen wird wenn Sie https Adressen statt http Adressen verwenden Es erscheint ein Anmeldedialog wie in Abbildung 12 6 Nach der Anmeldung k nnen Sie nun ein von Ihnen verfasstes St ck Text im Web log ver ffentlichen Jede Textver ffentlichung wird Eintrag genannt Falls Sie zu verschiedenen Themen Texte ver ffentlichen m chten k
292. zierungsmethoden deaktivieren sollten Sie genau wis sen welche Methoden von den einzelnen Diensten und Softwareprodukten in Ih rem Netzwerk eingesetzt werden In ung nstigen F llen kann es passieren dass sich durch das Abschalten eines Speicherverfahrens der gegenteilige Effekt ergibt Schalten Sie zum Beispiel das Identifizierungsverfahren X auf dem Open Directory Server ab ein Dienst im Netzwerk verwendet jedoch das Verfahren X um einen Benutzer beim Server zu identifizieren so wird dieser Dienst sofort merken dass die Methode X nun fehlschl gt Einige Dienste sind jedoch so programmiert dass sie in diesem Fall nicht aufgeben sondern auf ein anderes m glicherweise nicht verschl sseltes Verfahren zur Benutzeridentifizierung umschalten Zwar haben Sie in diesem Fall die Sicherheit der Kennwortdatenbank auf dem Server erh ht im Netz aber vielleicht vermindert da jetzt Dienste anfangen Kennworte im Klartext ber das Netz zu schicken was sie mit dem vorigen Verfahren vielleicht nicht ge macht h tten Aufgrund der Vielzahl der Betriebssysteme Softwareprodukte und ihrer Netzwerkdienste l sst sich hier keine klare Empfehlung geben Das Sperren bestimmter Identifizierungsmethoden geschieht an unterschiedlichen Stellen je nachdem ob es sich um ein Benutzerkonto mit Shadow Kennwort oder Kennworte in der Open Directory Datenbank selbst handelt siehe Abschnitt 5 3 3 des Hauptbuchs Bei Shadow Kennworten kann die Sperrung f r jedes Ben
293. zu lesen Erweiterte Attribute lesen Das Recht weitere Zusatzdaten die zu einer Da tei gespeichert sein k nnen zu lesen Mac OS X Tiger besitzt die M glich keit Attribute die von Programmen relativ frei definiert werden k nnen an Dateisystemobjekte anzuh ngen Solche Attribute werden zum Beispiel von Spotlight verwendet Zugriffsrechte lesen Das Recht die Zugriffsrechte eines Dateiobjekts lesen zu d rfen Daten schreiben Das Recht den Inhalt einer Datei zu schreiben und zu n dern bei einem Ordner das Recht eine Datei neu anzulegen Daten anh ngen Das Recht an eine Datei weitere Daten anzuh ngen bzw bei einem Ordner das Recht einen Unterordner neu anzulegen Attribute schreiben Das Recht die Attribute eines Dateiobjekts zum Bei spiel das Erstellungsdatum zu ver ndern Erweiterte Attribute schreiben Das Recht zus tzliche von einem Programm frei definierbare Attribute f r ein Dateisystemobjekt anzulegen oder zu n dern 5 2 ACLS IM DETAIL 35 Zugriffsrecht ndern Das Recht ein Zugriffsrecht zu ndern Eigent mer ndern Das Recht den Eigent mereintrag eines Dateisystem objekts zu ndern Dieses Recht ist zus tzlich so eingeschr nkt dass nur ein Rechteinhaber sich selbst zum Eigent mer machen kann Es ist jedoch nicht m glich jemand anders zum Eigent mer zu machen also ein Objekt zu ver schenken L schen Das Recht dieses Dateisystemobjekt zu l schen Unterordner
294. zubauen Die herunter geladenen Pakete k nnen nur im Zusammenhang mit der Soft ware Aktualisierungsfunktion in Systemeinstellungen verwendet werden Es ist ohne weiteres nicht m glich die Pakete z B auf DVD zu brennen um sie auf nicht vernetzte Computer zu bertragen 14 1 DER NEUE SOFTWARE AKTUALISIERUNGSDIENST 195 e Es gibt keine grafische Schnittstelle um vorhandene Pakete auf dem Aktua lisierungsserver gezielt zu l schen Sie k nnen nur deaktiviert werden Auch das L schen ber die Kommandozeile ist schwierig da alle Dateien unter ver schl sselten Namen abgespeichert werden e Die Funktion steht ausschlie lich f r Klienten ab Mac OS X Version 10 4 zur Verf gung ltere Systeme und Software Produkte werden nicht aktualisiert Im Zuge der Kapazit tsplanung Ihres Netzes sollten Sie ber cksichtigen dass die Anforderungen beim Einsatz des Software Aktualisierungsdienstes hnlich sind wie beim Betrieb eines NetBoot Servers N here Hinweise finden Sie in Abschnitt 13 1 des Hauptbuchs 14 1 2 Einrichten der Software Aktualisierungsfunktion Die Einrichtung des Dienstes besteht aus zwei Teilen Zum einen m ssen Sie den Spiegelungsserver einrichten der die Update Pakete speichert zum anderen m s sen Sie ber verwaltete Einstellungen die Client Computer anweisen diesen Spie gelungsserver als Aktualisierungsserver zu verwenden 1 Starten Sie das Programm Server Admin und verbinden Sie sich mit dem Ser ve
295. zweiten Volume unter dem Server Pfad Volumes UserStuff Users liegt Hierzu passend wurde im Arbeitsgruppen Manager au erdem ein Automount Eintrag mit der Option PRIVAT ORDNER F R BENUTZER erstellt F hrt nun ein Netzwerk Client unter Mac OS X Tiger den diesbez glichen Automount durch so legt der Automounter auf dem Klienten einen Mount Point an der mit dem Pfad private Network Servers g4server example private Volumes UserStuff Users zu erreichen ist In unserem Beispiel betr gt die L nge dieses Pfades 73 Zeichen 97 98 KAPITEL 7 DIE DATEISERVERFUNKTIONEN Betriebssystemversion Maximale L nge des Mount Pfads Mac OS X 10 2 bis 10 2 8 65 Zeichen Mac OS X 10 3 bis 10 3 4 51 Zeichen Mac OS X 10 3 5 bis 10 3 9 65 Zeichen Mac OS X 10 4 bis 10 4 2 73 Zeichen Tabelle 7 1 Maximal erlaubte L ngen f r Pfade zum Automount von Privatordnern auf Client Computern Aufgrund von verschiedenen Beschr nkungen der am Automount Prozess beteilig ten Programme garantiert Apple nur dann dass der Automount unter allen denk baren Umst nden funktioniert wenn die L ngen aus Tabelle 7 1 nicht berschrit ten werden Die maximalen L ngen h ngen von den Betriebssystemversionen ab die auf den Clients eingesetzt werden Es spielt keine Rolle ob AFP oder NFS als Protokoll genutzt wird 7 2 Einschr nkungen des NFS Servers Wie in Abschnitt 6 6 3 des Hauptbuchs erl utert gelten f r das Freigeben von Ord
Download Pdf Manuals
Related Search