Sono passati ormai quattro anni da quando Microsoft ha annunciato Cairo e Windows NT manca ancora di un servizio di directory funzionale, cioè di un database gestito centralmente costituito da oggetti che rappresentano le risorse di rete. L’imminente NT 5.0 comprenderà un servizio di directory denominato Active Directory. Tuttavia, Microsoft non rilascerà NT 5.0 fino all’inizio del 1998, quindi passerà ancora del tempo prima che si possa utilizzare tale servizio.
Nel frattempo, stanno emergendo tecnologie che forniscono temporanee alternative ad un servizio di directory NT nativo. Un’alternativa è rappresentata da un prodotto di Novell, Workstation Manager, il quale fa parte di una versione aggiornata di IntranetWare Client for Windows NT di Novell rilasciato lo scorso gennaio. Il modulo Workstation Manager consente di aggiungere sistemi NT a un albero Novell Directory Services (NDS) in un ambiente misto NetWare e NT. NDS è il noto servizio di directory basato su NetWare che memorizza informazioni sulle risorse di rete (cioè utenti, gruppi, stampanti e volumi) in un database distribuito. Gli oggetti organizzati in una rappresentazione gerarchica ad albero rappresentano le risorse di una rete completa a livello aziendale. Workstation Manager amplia le funzionalità del programma NetWare Administrator consentendo di aggiungere un nuovo tipo di oggetto che rappresenta una workstation NT, all’albero NDS.
NDS e NT
Numerose aziende utilizzano entrambi i servizi di rete NetWare e NT. Un esempio tipico è un negozio che utilizza NetWare per i servizi di file e di stampa oltre a server applicativi e workstation NT. Ma con questo ambiente misto nasce l’esigenza di gestire due diversi sistemi di controllo degli accessi.
Il sistema di controllo degli accessi basato su domini di NT fornisce soltanto funzionalità di base di un sistema di directory, come la protezione dei gruppi di utenti e delle password, e si limita ad utilizzare i sistemi operativi di Microsoft. NetWare, invece, dispone del più completo sistema di directory esistente sul mercato con oltre 17 milioni di postazioni dotate di NDS. NDS supporta client che utilizzano DOS e tutte le piattaforme Windows come pure sistemi Unix e Macintosh. NDS consente agli utenti di avere una panoramica della rete mediante un’interfaccia utente (UI) che supporta praticamente un numero illimitato di client e server. NDS contiene dati di configurazione per numerosi tipi di risorse di rete in un database che può essere distribuito fra i server NetWare all’interno di un ufficio o a livello mondiale.
A differenza di altri sistemi operativi supportati da NDS, tuttavia, NT richiede un logon con verifica anche per l’accesso a un sistema locale. Con Workstation Manager, è ora possibile utilizzare NDS per gestire e memorizzare le informazioni necessarie per stabilire il collegamento.
Novell Workstation Manager elimina la necessità di creare manualmente account utente su workstation NT 3.51 e 4.0 che utilizzano il client di Novell per NetWare. NDS memorizza tutte le informazioni necessarie relative agli utenti e crea dinamicamente account durante il processo di collegamento.
Per ottenere tale automazione, Workstation Manager consente agli amministratori di rete di creare oggetti ad albero NDS che rappresentano macchine NT. Il database NDS sui server NetWare memorizza tali oggetti che sono configurati con le informazioni di account necessarie per eseguire il collegamento al sistema NT. Gli oggetti vengono quindi associati a specifici utenti NDS in modo che quando un utente si collega all’albero NDS da un sistema NT, viene creato automaticamente un account sulla workstation NT utilizzando i dati memorizzati nel database NDS. Workstation Manager supporta anche la configurazione remota del client, compresi i profili utente, le regole di sistema e i gruppi di utenti NT.
L’obiettivo di Workstation Manager non è quello di risolvere completamente l’integrazione di NT con NetWare, ma di semplificare l’utilizzo di NT come sistema operativo client su reti NetWare. Se si utilizzano i domini NT per memorizzare informazioni sugli account per i propri utenti, Workstation Manager può non risultare utile poiché non dispone di alcuna funzionalità per gestire l’accesso degli utenti e dei gruppi ai server del dominio NT.
Un altro prodotto, Novell Admini-strator for NT (precedentemente denominato in codice Tabasco) risolve il problema dell’associazione dei domini NT a NDS. Questo prodotto è un modulo di NetWare Administrator che sincronizza le informazioni sugli utenti e sui gruppi di NT nel database NDS. Nel corso dell’anno Novell prevede di rilasciare un prodotto per il porting completo di NDS su NT. Questo sistema elimina la necessità di memorizzare il database NDS sui server NetWare.
Nonostante alcuni aspetti negativi, Workstation Manager è un primo passo significativo verso l’utilizzo di NDS come soluzione di servizi di directory completa a livello aziendale. Workstation Manager può risultare particolarmente utile per le postazioni NetWare con numerosi desktop NT in cui gli amministratori passano da un sistema all’altro per creare account utente o utilizzano i domini NT unicamente per la gestione centralizzata degli account.
Installazione di Workstation Manager
Per ottenere Workstation Manager è necessario scaricare IntranetWare Client for Windows NT che è disponibile gratuitamente al seguente indirizzo: http://www.novell.com/.
Workstation Manager è costituito da due componenti. Il primo componente è rappresentato da una versione aggiornata del modulo NetWare Graphical Identification and Authentication (NWGINA), che sostituisce il Microsoft GINA sul sistema NT. NWGINA si occupa di controllare le funzioni della finestra di dialogo di logon che appare quando si avvia il sistema.
L’altro componente di Workstation Manager è costituito da moduli snap-in. Tali moduli ampliano lo schema del database NDS in modo da consentire a un amministratore di rete di creare e gestire oggetti NT Client Configuration.
Le procedure di installazione automatica di IntranetWare Client installano entrambi i moduli. Il package IntranetWare comprende un programma SETUPNW.EXE che installa il software client (compreso NWGINA) sul sistema NT e un programma ADMSETUP.EXE che installa versioni NT delle utility di gestione di NetWare (compresi i nuovi moduli snap-in) sul volume SYS sul server NetWare.
SETUPNW.EXE installa il software client IntranetWare su una workstation NT andando a sostituire qualsiasi client NetWare già installato. Per installare Workstation Manager e attivare il modulo NWGINA che crea gli account utente dinamici sul sistema NT, occorre eseguire il modulo SETUPNW.EXE con il parametro /W. Includere il nome dell’albero NDS, nel seguente modo:
SETUPNW.EXE /W:nomealbero
Il parametro specifica il nome dell’albero NDS in cui verranno creati i nuovi oggetti.
Dopo aver eseguito SETUPNW. EXE occorre apportare le necessarie modifiche al Registro di NT. Novell fornisce queste impostazioni in un file chiamato WORKMAN.REG; per applicarle allo hive HKEY_CURRENT_USER del Registro è sufficiente fare doppio clic sul file in Explorer o File Manager di NT. Queste procedure di installazione aggiuntive sono necessarie in quanto il nuovo modulo NWGINA deve funzionare con privilegi di Administrator per poter creare dinamicamente gli account utente sulla macchina NT.
La nuova versione del programma ADMSETUP.EXE comprende Work-station Manager Administration Module come opzione di installazione con i programmi NetWare Administrator e Novell Application Laucher. Quando si seleziona questa opzione, ADMSETUP.EXE copia i nuovi moduli snap-in sul server NetWare a cui si accederà alla successiva esecuzione dell’utility NetWare Administrator.
Uno dei principali punti di forza di NDS è rappresentato dal fatto che è possibile modificarne lo schema (linee guida che definiscono i tipi di oggetti che possono essere creati in un servizio di directory, gli attributi degli oggetti e come essi interagiscono con altri tipi di oggetti). NetWare Administrator, il programma che utilizza lo schema per creare e gestire gli oggetti NDS può accedere a speciali DLL di Windows chiamate moduli snap-in che ampliano lo schema fornendo nuove definizioni dei tipi di oggetti. Sebbene Novell fornisca i moduli snap-in per Workstation Manager, anche sviluppatori terzi possono creare moduli snap-in che definiscono nuovi tipi di oggetti NDS.
Creazione di oggetti NT Client Configuration
Dopo aver installato le estensioni allo schema eseguendo ADMSETUP.EXE da un sistema NT, si scoprirà che quando si esegue NetWare Administrator è possibile creare oggetti NT Client Configuration. Tali oggetti rappresentano le workstation NT nell’albero NDS e memorizzano le informazioni utilizzate per creare account utente NT. Una chiave del Registro memorizzata nello hive HKEY_CURRENT _USER del sistema su cui si è installato Workstation Manager fa riferimento ai moduli snap-in che consentono a NetWare Administrator di creare oggetti NT Client Configuration. Se si desidera gestire gli oggetti Client Configuration da un altro sistema NT, occorre installare i moduli snap-in su tale macchina eseguendo nuovamente ADMSETUP.EXE oppure utilizzare un profilo utente per memorizzare le impostazioni del Registro su un’unità di rete.
Gli oggetti NT Client Configura-tion vengono creati nell’albero NDS esattamente come si creano altri tipi di oggetti. Assegnando valori ai parametri degli oggetti, è possibile configurare in modo remoto il client NetWare di una workstation NT e determinare in quale modo l’account NT dell’utente locale viene creato sul sistema durante un logon NDS. Quando si attiva la caratteristica dinamica dell’utente locale (che consente al client di creare automaticamente l’account utente quando necessario), è possibile scegliere di creare l’account NT con le informazioni NetWare dell’utente oppure è possibile specificare un nome utente. Quando il modulo NWGINA crea l’account utente, NWGINA assegna ad esso una password casuale e rende l’utente un membro dei gruppi NT selezionati.
A seconda degli schemi di accesso dell’utente, è possibile configurare il modulo NWGINA in modo da creare account utente permanenti oppure temporanei che vengono cancellati dal sistema quando l’utente si scollega. Se vi sono parecchi utenti che accedono a una macchina, l’utilizzo di account temporanei impedisce un eccessivo accumulo di account nel Registro.
Dopo aver creato un oggetto NT Client Configuration, lo si associa a uno o più utenti NDS. Questa associazione provoca la creazione degli account NT al momento del logon. Quando inizia il processo di logon, dapprima l’utente viene sempre identificato nell’albero NDS. Nel momento in cui NetWare concede l’accesso all’utente, il modulo NWGINA legge l’oggetto NT Client Configuration e utilizza i suoi parametri per determinare il nome utente NT. NWGINA quindi controlla il Security Accounts Manager (SAM) di NT per vedere se tale utente è già presente nel sistema. In caso negativo, NWGINA crea un nuovo account e il collegamento a NT prosegue. Al termine del processo, l’utente ha accesso sia alla rete NT che a quella NetWare con un nome utente e una password. La Figura 1 riepiloga il processo di logon.
Workstation Manager consente a un amministratore di rete di trasferire parte delle attività di sicurezza della workstation NT e di manutenzione del client a NDS. Infatti, è possibile configurare il client IntranetWare in modo da negare l’accesso al sistema NT a meno che il logon NDS non sia andato a buon fine. Tuttavia, se non si attiva questa caratteristica, Workstation Manager non interferisce con le normali operazioni di NT. È possibile comunque creare manualmente gli account utente e disabilitare la creazione dinamica degli account utente locali eliminando l’associazione dell’oggetto utente NDS o collegandosi con un diverso account NDS.
Configurazione di un client remoto
Anche senza la caratteristica degli utenti locali, Workstation Manager consente di creare configurazioni InternetWare Client su una workstation che possono essere applicate a workstation NT all’interno dell’azienda. Modificando i parametri degli oggetti NT Client Configuration, è possibile modificare la maggior parte delle impostazioni dei client che generalmente dovrebbero essere modificate su ciascun sistema NT configurato. È possibile controllare l’esecuzione degli script di logon degli utenti e dei profili, specificare i nomi di file di script alternativi e modificare la modalità con cui NWGINA appare agli utenti specificando una bitmap di propria scelta ed eliminando la visualizzazione di schermate specifiche nella finestra di dialogo di logon.
Tutti i client IntranetWare di Novell hanno una caratteristica Automatic Client Upgrade (ACU) che confronta la versione installata del client Novell con i file sorgente presenti su un’unità di rete. IntranetWare esegue l’upgrade del software soltanto quando i file sorgente sono più recenti rispetto alla versione installata. Quando si utilizza questa caratteristica con gli utenti locali dinamici su NT, tuttavia, emerge un problema. A differenza di Windows 3.1 o Windows 95, è necessario collegarsi a NT con privilegi di amministratore prima di poter effettuare l’upgrade del software client.
Poiché gli account utente creati da Workstation Manager generalmente non hanno privilegi di amministratore, l’oggetto Client Configuration dispone di un’impostazione speciale. Quando è abilitata, questa impostazione fa in modo che NWGINA confronti la data e l’ora dell’oggetto di configurazione durante il logon corrente con quello del logon precedente.
Quando tale parametro differisce, significa che un amministratore ha modificato l’oggetto. NWGINA esegue un logon con diritti di amministratore ed esegue uno speciale script di logon che lancia la procedura di upgrade.
Dopo l’upgrade, occorre riavviare il sistema. Questa volta, la data e l’ora dell’oggetto sono identiche e viene eseguita la normale procedura di logon. In tal modo è possibile utilizzare un upgrade del software client automaticamente per tutte le workstation NT senza passare da una macchina all’altra o violare le procedure di sicurezza.
Utenti roaming e profili di sistema
Poiché Workstation Manager rappresenta soltanto un meccanismo per creare account utente su macchine NT e memorizza le informazioni sugli account nel Registro di NT (non nel database NDS), è possibile associare un oggetto NT Client Configuration a più utenti e fare in modo che l’oggetto venga utilizzato per più workstation NT. Questa funzionalità esiste anche quando si utilizzano le caratteristiche di NT come i profili utente roaming o i file delle regole di sistema.
I profili utente sono insiemi di impostazioni del Registro di NT che definiscono l’ambiente desktop per uno specifico utente. Tali impostazioni controllano diversi elementi dell’interfaccia utente, come le icone del desktop, lo sfondo e la configurazione del menu Start, che sono univoci per ciascun utente NT. Se si memorizza il profilo di un utente su un’unità di rete (creando un profilo roaming) tale utente può collegarsi da qualsiasi macchina NT e lavorare con la stessa configurazione personalizzata.
Le regole di sistema sono un altro modo per memorizzare le impostazioni del Registro, ma tali impostazioni vengono applicate al computer e non allo specifico utente. L’amministratore di rete generalmente deve creare regole per limitare l’accesso degli utenti a specifiche sezioni del sistema operativo.
La creazione di account dinamici per utenti locali con Workstation Manager complica l’utilizzo di profili roaming e di regole di sistema ma non impedisce di utilizzarli. È possibile configurare un oggetto NT Client Configuration per accedere ai file dei profili e delle regole da locazioni specifiche sulla rete. Poiché il formato del profilo utente è diverso in NT 3.51 e 4.0, la schermata di configurazione dispone di campi per nomi di percorso separati in modo da gestire più workstation con versioni diverse del sistema operativo.
Quando si crea un oggetto per rappresentare più workstation, la definizione del percorso a un file non è pratica nel caso in cui ciascun utente dispone di un unico profilo. Di conseguenza, per gestire più utenti roaming con una configurazione, si seleziona la casella di controllo Relative to Home Directory e si immette il percorso a una directory di rete, invece che quello relativo a un file. Quindi si creano sottodirectory per i propri utenti al di sotto della directory specificata e vi si memorizzano i corrispondenti profili utente. Per esempio, immettendo il percorso SYS:USERS si memorizza il profilo dell’utente JSMITH nella directory SYS:USERS\JSMITH. Controllando i diritti di accesso degli utenti a tali directory, è possibile utilizzare uno specifico profilo o consentire agli utenti di modificare il proprio.
Futuri sviluppi
Novell Workstation Manager rappresenta un’ottima soluzione per le reti NetWare che includono NT come sistema operativo per desktop. La memorizzazione delle impostazioni di configurazione dei client nel database NDS consente di mantenere le funzionalità sia di IntranetWare Client che di NT, pur eliminando la necessità da parte dell’amministratore di eseguire le attività di manutenzione degli account e di configurazione dei client sulle singole workstation.
L’utilizzo di NDS come servizio di directory a livello aziendale ha numerosi vantaggi, soprattutto la disponibilità immediata. A causa dell’integrazione di NDS con NetWare, numerose aziende hanno già installato NDS, anche se non ne sfruttano tutte le funzionalità.
NDS ha anche alle spalle parecchi anni di sviluppo e debugging. Numerosi upgrade e patch hanno reso NDS un servizio di directory stabile e affidabile e lo stesso probabilmente accadrà per tutti i servizi di directory che verranno rilasciati in futuro.
Novell si sta ora concentrando sull’espansione delle funzionalità di NDS. Futuri articoli prenderanno in esame i prodotti di Novell che integreranno in modo ancora più completo le reti NT con NDS. Per esempio, il prodotto Novell Administrator consente di gestire gli account dei domini dei server NT con account di rete NetWare. In ultima analisi, grazie a un prodotto di Novell attualmente in fase di sviluppo, si sarà in grado di utilizzare NDS su una rete NT senza nemmeno eseguire NetWare.
Sono in corso di sviluppo servizi di
directory di altri fornitori, come pure standard quali Directory Access Protocol
(LDAP) che sono progettati per facilitare le connessioni dei servizi di
directory su collegamenti intranet o Internet. Tuttavia, se occorre subito una
soluzione, è indispensabile rivolgersi a NDS.