摘 要:Novell4.X 网络操作系统由于其客户端(工作站)采用无盘方式启动,成本较低、维护方便,目前广泛应用于大型局域网中(如证券交易营业部),其用户的规范与否对整个网络系统的安全性影响重大,因此规范Novell用户是Novell4.X 网络操作系统安全性的核心工作。
关键词:Novell;用户管理、脚本
一、目前Novell4.X 网络操作系统Novell用户普遍存在的问题
1、 无盘机有Login界面,用户界面没有做死,客户系统不是通过菜单调用而是需要客户输入命令完成。
2、 引导过程中的F5和F8、Ctrl+Break没有屏蔽。
3、 不同的用户MAP设置不同、用户执行批处理文件中也存在Map命令。
4、 Login /ns参数有效
二、如何规范Novell用户
针对以上普遍存在的问题,可采用如下方法解决,以消除隐患,规范管理。
1、 采用专业电脑公司开发的Novell用户图型菜单程序解决用户界面没有做死的问题,该类程序配置方便,用户无法从菜单中退出(退出后机器重启)
2、 网卡配置程序(Config.Sys)中增加防中断、屏蔽功能。
例如: Config.Sys中的命令:
Switches=/F /N
Device=Himem.sys
Device=Emm386.exe Noems 1600
Device=Huge-brk.sys /c (防中断命令)
files=60
buffers=35
lastdrive=z
break=off ( 屏蔽Ctrl+Break)
(3)、做好Novell用户管理规范建设是解决问题的关键。
Novell用户管理规范建设大致分为以下几个部份:
* 登录脚本的编写
用户建立好后首先是从脚本的编写开始,用户登录脚本编得好,后期的维护也相应会方便许多。Novell的用户登录脚本优先级从高到底分为系统脚本、用户组脚本和用户脚本三级,系统脚本如能编写成为一个通用脚本,那一个NDS树就只需要一个系统脚本就够了,其他两个脚本就不需要,通过对以下的系统脚本的剖析来讲述Novell系统通用登录脚本的编写:
第一部份:登录预环境设置
MAP DISPLAY OFF /不显示MAP的盘符
MAP ERRORS OFF /不显示登录脚本出错信息
第二部份:服务器卷映射
MAP F:=server1VOL1: /映射server1的vol1卷为F盘
IF ERROR_LEVEL <> ""0"" THEN MAP F:=SER6VOL1:
/如果映射F盘失败,映射server2的vol1卷为F盘
MAP G:=SER6VOL2: /映射server2的vol2卷为G盘
IF ERROR_LEVEL <> ""0"" THEN MAP G:=STZQSRVOL2:
/如果映射G盘失败,映射server1的vol2卷为G盘
map y:=server2sys: /映射server2的sys卷为Y盘
IF ERROR_LEVEL <> ""0"" THEN MAP Y:=server1sys:
MAP Z:=server1sys: /映射server1的sys卷为Z盘
IF ERROR_LEVEL <> ""0"" THEN MAP Z:=server2sys:
建议:数据卷映射从F盘往下顺序排列,系统券从Z盘往上顺序排列,Novell默认是F盘是系统券,系统券上的文件必须加以重点保护,考虑到我们大多数人的操作习惯,修改成从最后一个盘符开始反序排列。
第三部份:文件路径设置
MAP INS S16:=Z:LOGIN
MAP INS S16:=Z:PUBLIC
MAP INS S16:=F:TOOLDOS
MAP INS S16:=F:TOOLNC
MAP INS S16:=F:TOOLFOXPRO25
MAP INS S16:=F:TOOLFOX
MAP INS S16:=F:UCDOS
MAP INS S16:=F:TOOLBAT //所有用户登录后运行的批处理文件目录
MAP INS S16:=F:TOOLCCDOS
MAP INS S16:=F:TOOLACIOS
以上MAP INS后面全部都是S16,Novell脚本中的S16为一通配MAP盘符,系统会自动从最后一个未用的盘符往前加,此处所有用户需要的文件路径全部加上,用户有权限可以获得,用户无权限也会跳过且不显示错误信息;映射路径时不要采用服务器卷名映射而必须全部采用卷对应的盘符映射。
第四部分:参数变量设置
SET S_FILE=""%STATION"" /获得该站点登录序号
COMSPEC=Z:LOGIN%OS_VERSIONCOMMAND.COM /对应DOS版本的command.com
EXIT ""%LOGIN_NAME"" /登录用户对应的用户批处理文件,
上面三个参数,“%STATION”、“%OS_VERSION”和“%LOGIN_NAME”必须为大写字母,引入参数变量到登录脚本的最大好处就是使登录脚本真正成为通用脚本。以上三项,无论什么样的服务器,都无需做任何改动。
Login目录下有V6.20、V6.21、V6.22、V5.00、V3.11等下级目录,里面只放相应版本DOS的Command.com文件。
脚本结束后执行与用户名相对应的批处理文件,用户名为abc,则对应的批处理为abc1.bat,该登录脚本即可作为系统脚本,也可作为组用户脚本,还可作为用户脚本,同一个服务器无须做任何改动,做系统脚本一个就足够,做用户脚本,则所有的用户脚本都完全一样。
* IMG文件生成:
IMG文件尽可能做小,制作前先对软盘彻底格式化并传输系统,命令格式:format a: /u /s
生成的系统盘中有一个D*.bin的隐含文件,将该文件删除,拷入相应文件,后对软盘进行碎片整理,完成以上各步骤后再调用dosgen生成映像文件,一般可控制在750K以下。
IMG文件中的Config.sys文件编写:
SWITCHES = /K /N 屏蔽F5和F8
device=himem.sys /testmem:off
device=emm386.exe noems
devicehigh=setver.exe
dos=high,umb
files=60
buffers=35
lastdrive=z VLM模式必须
break=off 屏蔽Ctrl+Break
* 用户登录后执行批处理文件
所有的用户批处理都放在F:TOOLBAT目录下,并与用户一一对应,Usera用户对应Usera.bat; Userb用户对应Userb.bat,以此类推,不再管一个文件是放到哪一个MAP盘上,我们只关心它是在哪个卷上,卷对应的盘符固定,批处理以卷对应的盘符编写
(4)、重要用户设置登录地址、时间、用户数等限制,使系统更安全。
* 设置用户登录地址限制的操作流程如下:
用Admin管理员用户登录-》运行Netdmin-》进入Manage Objects
-》选择用户-》进入 Account Restrictions-》进入Network address Restrictions-》选择Ipx/Spx-》添加允许登录的机器Mac地址。
* 设置用户登录时间、用户数限制的操作类似上述。
(5)、管理员密码专人负责、定期修改、设置符合要求,密码应满足以下条件的前2个,且至少满足其余4个中的3个。
* 长度至少12个字
符
* 不包含用户名
* 包含大写字母
* 包含小写字母
* 包含数字
* 包含非字母数字字符(如#、!等)
三、 结束语
系统管理标准化的目标是提高系统安全性、效率、可管理性,其中安全性是前提条件,在Novell4.X 网络操作系统中,做好Novell用户规范管理工作尤为重要,只要把用户规范化,系统的效率自然就会提高,管理也将逐步标准化。
参考文献:
[1]计算机网络技术(第二版) 劳动和社会保保障部教材办公室组织编写 安淑芝主编 中国劳动保障部出版社 1999年8月
[2]Novell Netware 5 网络指南 作者: Jeffrey F.Hughes & Blair W.Thomas 中国水利水电出版社 2000 年10月