Arbeiten mit macOS-Verzeichnisknoten
Wie in der Einführung erläutert, ist NFS insbesondere für große Netze mit einer hohen Zahl von Freigaben und Servern geeignet. Durch die Verwendung von Autoaktivierungen wird die vollautomatische Verbindung mit einem oder mehreren NFS-Servern komfortabel gesteuert. Da in einem Netzwerk in der Regel viele Computer auf die gleichen Freigaben zugreifen sollen, liegt es nahe, auch die Autoaktivierungsliste selbst an einem zentralen Punkt im Netz bereit zu halten. Wird ein Autoaktivierungseintrag neu hinzugefügt oder geändert, so erfahren automatisch alle Computer im Netz von der Änderung. Es ist also nicht nötig, alle NFS-Klienten einzeln zu konfigurieren.
Wie im Abschnitt über NFS-Sicherheit erläutert, verwendet macOS Verzeichnisdienste, um Accounts oder ähnliche Verwaltungsdaten gemeinsam nutzen zu können. Aus den oben genannten Gründen werden die Autoaktivierungseinträge auch in einem solchen Verzeichnis gespeichert. Ein Ort, an dem ein Verzeichnis gespeichert ist, wird Verzeichnisknoten genannt.
Ein Verzeichnisknoten muss nicht unbedingt gemeinsam benutzt werden. Jedes macOS-System besitzt seinen eigenen Verzeichnisknoten, der nur von ihm allein benutzt wird. In diesem sind zum Beispiel die lokalen Benutzer-Accounts gespeichert. Auf diesen Verzeichnisknoten wird über die Technik Apple Open Directory zugegriffen, die in jedes macOS-System eingebaut ist. Der lokale Verzeichnisknoten trägt immer den Namen /Local/Default.
Auch in einem Netz, das nur aus zwei Computern besteht, muss zwingend Open Directory und ein Verzeichnisknoten zur Speicherung der Autoaktivierungsliste verwendet werden. In diesem einfachen Fall legt der Computer, der als Klient arbeiten soll, die Daten seiner Autoaktivierungsliste in seinen eigenen Verzeichnisknoten /Local/Default ab. Nur er selbst greift darauf zu.
Open Directory ist in der Lage, auch Daten über NFS-Freigaben in einem Verzeichnisknoten zu speichern. Da aber auch in großen Netzen immer nur jeder NFS-Server selbst die Liste seiner eigenen Freigaben „kennen“ muss, ist die gemeinsame Nutzung per Verzeichnis nicht nötig. Aus diesem Grund verwenden Apple und NFS Manager die Verzeichnisdienste nur zur Speicherung der Autoaktivierungseinträge, nicht zur Ablage der Freigabelisten, auch wenn dies technisch möglich wäre.
Namen von Verzeichnisknoten
macOS verwendet Namen nach einem bestimmten Schema, um auf lokale oder im Netz befindliche Verzeichnisknoten zuzugreifen. Diese Namen sind nach folgendem Muster aufgebaut:
/<Name der Zugriffsart>/<Quelle der Verzeichnisdatenbank>
Beispiele:
- /Local/Default: Das Standardverzeichnis (Default) auf dem lokalen Computer.
- /LDAPv3/192.168.4.23: Das Verzeichnis auf dem Computer mit IP-Adresse 192.168.4.23, auf das mit dem Protokoll LDAPv3 zugegriffen wird.
Mit dem Programm Verzeichnisdienste im Ordner /System/Library/CoreServices/Applications wird eingerichtet, welche Verzeichnisdienste ein macOS-Computer verwenden soll. Der Knoten /Local/Default wird immer verwendet und kann nicht abgeschaltet werden. Die Einrichtung von Verzeichnissen und Knoten geht über den Umfang dieses Handbuchs hinaus und wird deshalb nicht weiter erläutert.
Anmeldung bei Verzeichnisknoten
Verzeichnisknoten enthalten Konfigurations- und Account-Daten, die für den Betrieb des Computers und des Netzes von entscheidender Bedeutung sind. Um Missbrauch zu verhindern, sind Verzeichnisknoten deshalb normalerweise per Kennwort geschützt. Nur berechtigte Benutzer, die Verzeichnisverwalter, dürfen den Inhalt eines Verzeichnisses ändern.
Sie brauchen deshalb Name und Kennwort eines Verzeichnisverwalters, um mit NFS Manager Einträge von Autoaktivierungen in einem Verzeichnis speichern zu dürfen. Für das lokale Verzeichnis von macOS gilt eine einfache Regel: Jeder Verwalter des macOS-Computers ist gleichzeitig auch Verzeichnisverwalter des jeweiligen Knotens /Local/Default. Er kann sich deshalb mit gleichen Namen und Kennwort anmelden.
macOS kann nicht „wissen“, mit welchem Betriebssystem ein Verzeichnisknoten betrieben wird. Beim Anmeldevorgang geht Open Directory deshalb immer davon aus, dass ein Betriebssystem vorliegt, das die Komfortfunktionen von macOS (Anmeldung über den vollständigen Namen, egal in welcher Groß-/Kleinschreibung) nicht unterstützt. Die Anmeldung bei einem Verzeichnisknoten muss immer mit dem Kurznamen des Accounts, mit exakt übereinstimmender Groß-/Kleinschreibung erfolgen!
Beispiel: Der Verzeichnisverwalter hat den Benutzer-Account Manfred Mustermann mit dem Kurznamen musterm. Während macOS normalerweise alle Namen Manfred Mustermann, manfred mustermann, MUSTERM oder musterm bei der Anmeldung zulässt, ist bei der Anmeldung am Verzeichnisknoten nur die Schreibweise musterm erlaubt.
Sofern Open Directory auch auf dem Computer verwendet wird, der den Verzeichnisknoten beherbergt — dies ist üblicherweise der Fall, wenn Computer mit macOS zum Einsatz kommen —, ist zusätzlich eine Fernkonfiguration dieses Computers möglich: NFS Manager kann von einem Mac aus auf einen Verzeichnisknoten zugreifen, die ein anderer macOS-Rechner verwendet, selbst wenn der erste Mac diesen Verzeichnisknoten nicht verwendet.
Beispiel: Computer A verwendet einen Verzeichnisknoten auf Computer B. Computer B verwendet einen Verzeichnisknoten auf Computer C. Obwohl A das Verzeichnis von C nicht verwendet, kann A den Computer B fernsteuern und so indirekt die Daten im Verzeichnis C ändern.
Diese Funktion steht in NFS Manager über den Menüpunkt Ablage > Neues Fernzugriffsfenster zur Verfügung.
Nur-Lese-Knoten
Ein Verzeichnisdienst kann so eingerichtet sein, dass er Schreibzugriffe nicht zulässt. Manche Verzeichnisdienst-Protokolle (wie NIS) sind mit Absicht so gestaltet, dass Datenänderungen über einen Open Directory-Zugriff hinweg grundsätzlich nicht möglich sind. Die Daten werden nur zum Lesen im Netz angeboten. Änderungen müssen auf anderem Wege erfolgen. NFS Manager weist auf einen solchen Nur-Lese-Knoten mit dem untenstehenden Symbol hin. Die Beschränkung auf Leseoperationen kann in diesem Fall niemals aufgehoben werden, egal mit welchem Kennwort Sie sich anmelden.
