Aanmelden en Beheer Gebruikersprofielen |
Bronnen via de net opdracht instellen
|
Om uw netwerkbronnen met andere gebruikers te kunnen delen moet u zich als beheerder aanmelden. Als beheerder kunt u gebruikersaccounts aanmaken voor andere (netwerk)gebruikers.
Standaard beschikt OS/2 over de volgende gebruikersaccounts:
De beheerder "userid" met wachtwoord "password". Dit belangrijke account kunt u tijdens de installatie door uw eigen user-id en wachtwoord vervangen (Zie: Gebruikers-ID en wachtwoord).
Het gastaccount "guest" dat standaard zonder wachtwoord is.
Alleen de beheerder kan de netwerkbronnen (mappen, printers en modem) op uw systeem vrijgeven. U kunt de legitieme netwerkgebruikers van uw OS/2 werkstation opvragen met net user:
[F:\]net user Gebruikers-ID's voor\\LAPTOP ____________________________ SJOERD De opdracht is uitgevoerd.
Op deze laptop ben ik de beheerder en is het gastaccount uitgezet. Alleen gebruiker sjoerd kan de bronnen benaderen. Maar op een nieuw systeem zijn de standaard accounts userid en guest de baas. En dat is qua beveiliging een slechte zaak. Gelukkig deelt OS/2 standaard niets.
De netwerkbronnen geeft de beheerder vrij met:
[F:\]net share Naam resource Resource Opmerking ______________________________________________ IPC$ IPC op afstand ADMIN$ F:\IBMLAN Systeembeheerder op afstand
Zoals u hierboven kunt zien kunnen leden van de groep ADMIN via de verborgen shares IPC$ en ADMIN$ systeembeheer op afstand plegen.
Daarom moet u als eerste de standaard beheerder userid aanpassen. Verander de naam of geef hem op zijn minst een niet te raden wachtwoord mee (verander "password"). Verder kan het ook geen kwaad om het inloggen als gast te verbieden. Of geef uw gasten op zijn minst een wachtwoord mee.
Hoe doet u dat?
Via Configuratie / Aanmelden en Beheer Gebruikersprofielen (Engels: UPM Services) / Beheer Gebruikers-accounts (User Account Management) / Beheren / Gebruikers beheren / Acties/ Gebruikers ID toevoegen kunt u wachtwoorden veranderen en andere gebruikers toevoegen. Het gaat om het PM programma MUGLIB\UPMACCTS.EXE. Dit werkt vanaf de prompt ook onder Warp 3 Connect en eCS. Zie Beheer Gebruikers-accounts voor details.
U meldt zich na een verse netwerk installatie in eerste instantie lokaal (/muglib/logon /l) aan bij het LAN onder het gebruikers-ID dat u bij de installatie instelde. Als u een beheerdersopdracht als "net share" geeft verschijnt dit inlogscherm meestal vanzelf. Log in met het account van de systeembeheerder. Vergeet de inlognaam en het wachtwoord niet! Ik koos voor een gemakkelijke te onthouden naam sjoerd, maar vertel u het wachtwoord natuurlijk niet. Daarna zult u als beheerder ook gewone accounts moeten aanmaken voor andere gebruikers die hetzij via OS/2 op afstand willen werken, hetzij uw bronnen moeten delen.
Als u de hoofdgebruiker/eigenaar van een PC bent, is het logisch om ook systeembeheerder te zijn. Op een multi-usersysteem moet u dat natuurlijk niet doen, maar op HPSS en JFS spelen lokale gebruikersrechten niet. Als lokale beheerder kunt aangeven wie, wat en waar wat met uw bronnen mag doen.
U start de OS/2 netwerkdiensten met NET SHARE.
[F:\]net share De functie PEER is niet gestart. De functie PEER wordt gestart.... De functie PEER is gestart. (C) Copyright IBM Corporation 1988, 1998. Alle rechten voorbehouden. (C) Copyright Microsoft Corporation 1988, 1991. Alle rechten voorbehouden. Naam resource Resource Opmerking -------------------------------------------------------------------- IPC$ IPC op afstand ADMIN$ F:\IBMLAN Systeembeheerder op afstand BIN I:\ DATA J:\ data van sjoerd De opdracht is uitgevoerd.
Met netstat -l(isten) kunt u controleren of OS/2 naar poort 139 luistert.
U stopt de PEER (evenknie) dienst op een OS/2 werkstation met NET STOP PEER (op een OS/2 Warp server NET STOP SERVER).
IBM maakt onderscheid tussen een netwerk, de servers op het netwerk en de resources. Hieronder een screenshot van mijn Verbindingen (Warps netwerkomgeving).
Het
PEER to PEER netwerk heet standaard LS (van Lan Server).
De servers in het netwerk zijn de computers die bestanden en
printers (resources, gedeelde netwerkbronnen)
aanbieden. Hier zijn dat OS/2 Warp (\\visser) en Linux (\\zolder). In
dit peer-to-peer thuisnetwerk ontbreekt een domein controller die
gebruikerswachtwoorden controleert. Een aanmelding op de LAN server
(verificatie op het domein met logon /v:d) heeft dus geen zin. We
moeten lokaal aanmelden en voor de "Bestanden en
Printers Client Aanmelding Werkstation" kiezen
(\muglib\logon /l). In het laatste geval krijgen ook andere servers
een seintje (broadcast) dat we er zijn.
Er zijn drie plaatsen waar u zich op het NetBIOS via TCP/IP netwerk aan kunt melden met een gebruikersnaam en wachtwoord: Op uw eigen machine (lokaal), op een andere machine (node, knoopunt) of op een domein. U vindt ze terug in de syntaxis van het commando logon dat u onder de prompt kunt gebruiken (zie "help logon"):
LOGON [userid [/R]] [/P[:|=]password] [[/L] | [/N[[:|=]node]] | [/V[:|=]{L | LOCAL | N | NONE}] | [[/D[[:|=]domain]] [/V[:|=]{D | DOMAIN}]]] [/T | /S] LOGON [/O{[:|=]option}]
Optionele parameters staan tussen [ ] tekens. Het pijpteken (|) staat voor of (bijv: :|=).
Logon optie |
Wachtwoord verificatie |
Waar meldt u zich aan? |
---|---|---|
/L |
/V:L(ocal) of /V:N(one) |
Lokaal op het werkstation |
/N:werkstation |
/V:L(ocal) of /V=N(none) |
Op een knooppunt (ander SMB werkstation of server) |
/D:domeinnaam |
/V:D(omain) |
Op het domein (domeincontroller) |
Normaal (met /V:L of zonder logon optie) meldt OS/2 u na controle van het wachtwoord op het LAN aan. Het wachtwoord wordt lokaal in NET.ACC gecontroleerd. Als u via het WPS programma Netwerkverbindingen onder het tabblad Verbindingen shares op Automatisch verbinden hebt staan, wordt u na het inloggen automatisch met deze externe bronnen verbonden. Meldt u zich op het hetzelfde werkstation een tweede keer aan, dan is dat lokaal.
Alleen een lokaal ingelogde beheerder kan met "net share" de lokale bronnen vrijgeven. Met de optie "LAN services tegelijk met het systeem starten" in Netwerkverbindingen zullen uw lokale systeembronnen na het als beheerder inloggen automatisch beschikbaar zijn. Logt niemand of alleen een gewone gebruiker in, dan worden de bronnen van het OS/2 werkstation niet gedeeld. Dit is wezenlijk anders dan de situatie onder Linux of Windows, waar "het systeem" of systeemdiensten de eenmaal door een beheerder ingestelde bronnen vrijgeeft.
Om te voorkomen dat u op uw werkstation altijd onder een beheerdersaccount (sjoerd, root?) moet werken kunt u zich tijdelijk als beheerder aanmelden, de net share opdracht geven, en de beheerder daarna weer afmelden. Daarna kunt u op het LAN inlogen zoals uw wilt. Gebruik hiervoor de volgende batch opdracht in startup.cmd:
REM Als beheerder -in en uitloggen om de bronnen vrij te geven. @echo off D:\MUGLIB\LOGON /O:multi D:\MUGLIB\LOGON beheerders-id /P:wachtwoord /L net share D:\MUGLIB\LOGOFF /Y exit
De optie /O:multi laat het lokaal inloggen van meerdere gebruikers(namen) toe. Dit is op een single-user systeem vooral handig om om shares onder verschillende gebruikersnamen te benaderen. In dit geval met "net share" -in en uitloggen onder het beheerders-id en daarna met "logon" inloggen op het LAN onder een gebruikers-id.
[F:\]logon bouke /V:none Dit gebruikers-ID is niet toegevoegd als naam voor berichten. De opdracht is voltooid. [F:\]net use r: \\zolder\homes * Typ het wachtwoord voor \\zolder\homes: De opdracht is uitgevoerd.
Ik gebruik in deze batch het volledige pad omdat ook andere programma's (en hackers) een logon opdracht kunnen presenteren. De OS/2 WPS maakt zelf geen gebruik van volledige paden. Gewoon omdat het netwerk installatieprogramma niet weet op welke drive u de netwerkprogramma's installeert. Het installatieprogramma voert de MUGLIB paden als eersten in de CONFIG.SYS toe. Maar Security/2 kent ook een logoff opdracht. Op een server kan het nooit kwaad om het volledige pad in de WPS objecten in te voeren. En regelmatig de PATH en LIBPATH volgordes in de CONFIG.SYS te controleren.
Onder eCS's MPTS stack kunt u zich met /Verify: NONE ook incognito aanmelden.
[F:\]logon sjoerd /P:wachtwoord /V:NONE Dit gebruikers-ID is niet toegevoegd als naam voor berichten. De opdracht is voltooid.
Het wachtwoord wordt dan niet gecontroleerd, maar wel in het geheugen bewaard. U bent nu niet op het LAN of het werkstation "als naam voor berichten" aangemeld. Het kan handig zijn op een PC waar u om wat voor reden ook (corrupt NET.ACC bestand, u bent lokaal niet bekend) lokaal niet wilt of kunt inloggen. Maar als u van andere bronnen gebruik wilt maken, moeten uw gebruikersnaam en wachtwoord natuurlijk wel kloppen. Tenzij u als hacker voor guest kiest en het eenvoudig delen voor alle gebruikers (incl. de user guest zonder wachtwoord) openstaat. Zie: Dezelfde toegang voor alle gebruikers.
Hier log ik anoniem in vanuit "laptop" waar het gastaccount uitgeschakeld was. Maar omdat niemand (/V:none) de gebruikersnaam controleert kom ik toch in het systeem.
[F:\]logon guest /V:none Dit gebruikers-ID is niet toegevoegd als naam voor berichten. De opdracht is voltooid. [F:\]net view Naam server Opmerking ------------------------------- \\CONNECT \\DESKPRO \\VISSER \\ZOLDER Samba Server De opdracht is uitgevoerd. F:\]net view \\multiboot NET3502: OS/2-fout 65 is opgetreden. SYS0065: U krijgt geen toegang tot een resource in het netwerk.
Ook op "visser" was het inloggen onder het gast account verboden. Maar op een standaard "eenvoudig delen" netwerkinstallatie zou ik wel kunnen inbreken.
De WPS map Aanmeldingen in Verbindingen geeft uw inlogsituatie grafisch weer.
De plaatsen van aanmelding zijn:
LAN Server Aanmelding = Verification by Domain: logon /vd meldt u aan op een domein van een IBM LAN Server (zakelijke omgeving).
Bestanden en Printers Client Aanmelding Werkstation: de eerste logon zonder opties meldt u aan op een Peer to Peer netwerk (netwerk aan huis).
Een lokale aanmelding wordt bewerkstelligt door de opdracht logon /l of door een tweede logon zonder opties.
Hoewel
op een single-user systeem maar een gebruiker actief kan zijn, opent
de lokale login de mogelijkheid om lokaal bronnen vrij te geven,
zonder dat de LAN gebruiker eerst moet uitloggen. In het voorbeeld
hierboven ben ik nog als sjoerd ingelogd, maar kan ik als Beheerder
(warp) de lokale bronnen beheren. En zoals gezegd kunt u met de
/O:multi optie van logon ook onder meer dan twee namen inloggen.
Zelfs als de inlognaam nergens werd geverifieerd (logon guest
/V:none).
Met het PM programma Beheer Gebruikers-accounts kunt u namen van gebruikers toevoegen, groepen creëren, accounts wijzigen e.d.
Log eerst in als beheerder, want als gebruiker kunt u alleen uw eigen wachtwoord wijzigen! Als u zich als beheerder lokaal aanmeldt, hoeft u zich niet eerst als gebruiker af te melden op het LAN. Zie hierboven.
Via Configuratie / Aanmelden en Beheer Gebruikersprofielen komt u in Beheer Gebruikers-accounts.
Het gaat om een PM programma dat ook vanaf de prompt te starten is: \MUGLIB\UPMACCTS.EXE.
Het vraagt u om een bestemming te selecteren. U hebt de keus tussen het profielbeheer op een Lokaal werkstation, Peer werkstation op afstand en Domein LAN server.
U kiest voor Lokaal werkstation tenzij er een domein controller aanwezig is. Uw computernaam (visser) opgeven als "Peer-werkstation op afstand" geeft als het goed is hetzelfde beeld!
U komt in Beheer Gebruikersprofielen, dat uw eigen gebruikersprofiel toont. Via Beheer Gebruikers-accounts / Beheren / Gebruikers beheren / Acties / Gebruikers ID toevoegen kunt u nieuwe gebruikers toevoegen. Vergeet vooral uw eigen inlognaam niet. Als wilt zonder wachtwoord wilt inloggen, dan laat u het wachtwoordveld blank (klinkt logisch nietwaar?)
Maar in de regel is verstandiger om gewoon wachtwoorden te gebruiken. Via batches met net-opdrachten is dat gemakkelijk te doen. Voor het delen van bestanden op OS/2, Linux en NT servers geldt dat inlognaam en wachtwoord van de gebruikers op beide PC's exact dezelfde moeten zijn. Als ze op de server nog niet bestaan, moet u hen alsnog (laten) aanmaken.
Verder is het wijs om groepen met bepaalde rechten aan te maken. Zoiets als de groep users onder Linux. Bij meerdere gebruikers vereenvoudigt dit het LAN server beheer.
Hieronder is voor Beheren / gebruikers beheren gekozen. Deze toont de lijst met gebruikers. U kunt een gebruiker selecteren en Gebruikersgegevens Bijwerken als actie kiezen:
U
kunt nu zien dat er verschillende soorten (profielen) gebruikers
zijn.
Een gewone gebruiker kan na aanmelding op het netwerk bronnen elders benaderen, maar geen bronnen van zijn eigen PC vrijgeven. Dat kan alleen de Beheerder.
Een gebruiker kan tevens Beheerder van de profielen zijn: bepalen wie wel en niet lokaal mogen inloggen en dit via groepen beheren.
Een Lokale beheerder (een per PC, typisch de hoofdgebruiker) kan anderen (gebruikers, groepen) toestaan al dan niet bepaalde objecten te gebruiken. Hij heeft toegang tot de SYSADM database.
De Beheerder is de systeembeheerder. Er kunnen meerdere beheerders ingevoerd worden. Alleen de beheerder kan de bronnen van de OS/2 PC vrijgeven.
Een andere (centrale) plaats waar u gebruikers en groepen kunt instellen is het object Gemeenschappelijke Resources en Netwerkverbindingen. Het gaat om de tabbladen Gebruikers en Groepen.
Een snel overzicht van gebruikers en groepen krijgt u resp. met de opdrachten "net user" en "net group".
[F:\]net user Gebruikers-ID's voor\\VISSER ---------------------------------------------------------------- BOUKE GUEST NELLEKE SJOERD WARP De opdracht is uitgevoerd.
Maar niet iedereen kan dit opvragen:
[F:\]net user NET2761: U kunt deze opdracht alleen geven als u beheerdersbevoegdheid hebt of als u beschikt over de volgende gebruikersrechten: ACCOUNTS. Voor meer informatie typt u HELP NET2761.
In dit geval was ik het laatst als bouke ingelogd en dat is een gewone gebruiker.
Als u er alleen maar op uit bent om met OS/2 andere servers te benaderen kunt u doorgaan naar Windows 95 voorbereiden en Zich toegang tot de bronnen verschaffen. Standaard biedt de OS/2 client geen netwerkbronnen aan.
De gebruikersnaam voor TCP/IP en OS/2's EMX (Emulate Unix) omgeving geeft u in met de %USER% omgevingsvariabele. Dit gebeurt meestal in de SET USER= GEBRUIKER in de CONFIG.SYS, maar het kan ook in een batch als u alleen daar (local) onder een andere naam wilt inloggen.
REM startbouke.cmd SET LOCAL set user= bouke set home =d:\home\bouke d: cd \ cd \home\bouke start "Gebruiker:bouke" cmd exit
Veel bescherming biedt dit overigens niet. Onder OS/2 kan iedere gebruiker ieder bestand gebruiken. Alleen HPFS386 en
Hier bespreek ik het vrijgeven van de bronnen van de OS/2 PC voor andere gebruikers die OS/2 via het NetBIOS protocol (LAN) en /of via NetBIOS over TCP/IP (LAN, WAN, internet) benaderen. Hiervoor moet u als beheerder ingelogd zijn.
Alleen een beheerder kan de "net share" of de meer specifieke "net start peer" opdracht geven. En omdat de WPS een object-georiënteerd systeem is krijgen de mappen pas een tabblad "Delen" nadat de peer to peer dienst is geactiveerd.
Als u in het Netwerkonderdelen object een share probeert te maken voordat de peer services zijn gestart (in Netwerkonderdelen / Tab Identiteit / "LAN Services tegelijk met het systeem starten" niet aangevinkt of zonder een "net start peer" in de startup.cmd of op de prompt) dan krijgt u de foutmelding:
NET2114: De server-functie is niet gestart. Oorzaak: de server is niet gestart. Als u deze opdracht geeft, moet de server gestart zijn. Actie: geef de opdracht opnieuw nadat de server is gestart.
Met net start vraagt u de in IBMLAN.INI geactiveerde diensten op.
[C:\]net start De volgende functies zijn gestart: REQUESTER MESSENGER De opdracht is uitgevoerd.
Zit daar de peer to peer service (bronnen delen) niet bij, dan geeft u een "net start peer" op de prompt:
[C:\]net start peer De functie PEER wordt gestart.... De functie PEER is gestart. (C) Copyright IBM Corporation 1988, 1998. Alle rechten voorbehouden. (C) Copyright Microsoft Corporation 1988, 1991. Alle rechten voorbehouden.
De via de WPS of direct via de net opdracht gegeven invoerwaarden m.b.t. het delen van de netwerkbronnen worden in het binaire bestand ibmlan\lsshare.ini opgeslagen.
In het handige WPS object Netwerkverbindingen geeft u de bronnen vrij via het tabblad Gemeenschappelijke resources. De toegangsrechten (Tabblad Machtigingen) komen in ibmlan\accounts\net.acc te staan (Zie: Toegang beheren).
Een andere manier om de netwerkbronnen op de OS/2 Warp PC vrij te geven is via het rechtsklikken op een map of station in Stations object. Het gaat om de optie Toegang beheren (zie hiernaast). In dit geval is er rechts geklikt op Station M, een FAT32 schijf met data.
U ziet vier opties die betrekking hebben op het NetBIOS.
Gemeenschappelijk gebruik starten
Gemeenschappelijk gebruik beëindigen
Gemeenschappelijk resource bijwerken
Toegang beheren
Maar alleen een beheerder zal deze netwerkopties zien! Een gewone sterveling mag zijn schijven wel formatteren (er wordt nog wel om een bevestiging gevraagd), maar nooit op het netwerk vrijgeven... De net share (netwerk delen) opdracht van een gewone gebruiker zal het niet doen.
RC:0 sjoerd@eCS F:\->net share NET2761: This command requires that you have administrator privilege or that you are a user who has been granted one of the following operator rights: PRINT,COMM,SERVER. For more information, type HELP NET2761.
De datapartitie M had ik al in lsshare.ini ingevoerd. Op een station als L dat niet eerder geconfigurerd is, ziet u alleen de opties Gemeenschappelijk gebruik starten en Toegang beheren. Dit context menu is een mooi voorbeeld van object georiënteerd programmeren.
Kiest u in de stationsobject Gemeenschappelijk gebruik starten dan ziet u het volgende dialoogvenster. De verplichte netbios Naam (hier LDRIVE) kunt u aanpassen, een Beschrijving is handig, maar is niet verplicht. Naam en beschrijving zijn in de Netwerkomgeving en bij "net share \\computernaam" opdrachten te zien.
Als u een een verwisselbare schijf A: (diskette) of L: (CD-Rom) deelt, voer dan niet A:\ of E:\ in, maar A: of L:
Want als u een schijfletter met een backslash (A:\) opgeeft zal OS/2 ook gebruikersrechten van de onderliggende mappen aanmaken. En dat heeft op een verwisselbare schijf geen zin. Sterker nog, het zal de database met gebruikersrechten (NET.ACC) volstoppen met niet relevante gegevens, zodat er (met 1 MB) geen ruimte meer overblijft voor wat wel belangrijk is!
Ook vaste schijven met veel submappen kunt u het best delen als C: (CDRIVE), D: (DRIVE) etc. OS2 zal dan de naam CDRIVE of DDRIVE voor de schijf suggereren. De naam DDRIVE mag u veranderen (daar gaat het niet om), als u OS/2 er maar van weerhoudt om de hele directorystructuur in de database op te nemen. Deze valkuil voorkomt u door bij de mededeling "Deze directory bevat subdirectory's. Kies OK om de toegangsmachtigingen op de subdirectoy's aan te brengen." voor ANNULEREN te kiezen. Zie: Toegangsmachtigingen distribueren.
Het Maximum aantal verbindingen staat standaard op onbeperkt. Helemaal onbeperkt is dit niet, want een OS/2 eCS client staat maximaal 65534 NetBIOS via TCP/IP sessies toe. De standaardwaarde is 130. Voor het oude NetBIOS geldt een maximum van 254. Uit veiligheidsoverwegingen is het zinvol om de toegang tot kritieke bronnen tot een minimum beperken. Bent u de enige legitieme gebruiker van de bron: zet het dan gewoon op 1. Een internet gast of WLAN buurman komt er dan minder snel bij en het kost minder overhead.
Resource beschikbaar stellen bij starten werkstation is de default. Staat deze aangevinkt dan komt de bron na "net start peer" of via het activeren van het WPS object "Start Bestanden en Printers Client" in de map Opstarten automatisch vrij. Voor ad-hoc situaties als het maken van een backup kunt u beter een "net share/stop bron" script aanmaken dat de bron maar tijdelijk vrij geeft. Met de vele net-opdachten (type "help net") en programma's als dSync for OS/2 kunt u perfecte backupscripts schrijven.
De benaming van het WPS object Start Bestanden en Printers Client suggereert dat OS/2 hiermee slechts als client optreedt, maar dit programma-object geeft via het achterliggende ibmlan\netprog\netstcmd.cmd script de parameters "start peer" aan net.exe door. Net start peer zal met de instellingen uit ibmlan\lsshare.ini de PEER-TO-PEER service opstarten.... Oftewel de NetBIOS (eventueel via TCP/IP!) client en server! Het wordt na het aanvinken van "Lan services tegelijkertijd met het systeem starten" in het WPS object Netwerkverbindingen in de folder Opstarten gezet.
Gelukkig is de standaard instelling dat niemand toegang tot de data heeft behalve de beheerder. Maar laat als u beheerder userid bent nooit het wachtwoord op password staan. Laat staan dat u als OS/2 super-user sjoerd het wachtwoord sjoerd kiest. Dat is vragen om moeilijkheden.
Het kàn wel voor gewone stervelingen (mijn kinderen op een Windows of Linux PC), maar ik geef dergelijke gebruikers dan geen toegang tot kritieke bronnen. Maar HPFS en JFS doen onder OS/2 niet aan gebruikersrechten. Ik geef mijn kinderen daarom liever een gebruikersaccount op Linux, Windows 2000 of XP, dan op OS/2. De OS/2 netwerkomgeving is voor hen te krachtig.
Tip: U kunt uw resources in de netwerkomgeving van Windows onzichtbaar maken door in \IBMLAN\IBMLAN.INI serverhidden op "yes" in plaats van "no" te zetten. Bij het opzetten van een netwerk is de in de netwerkomgeving onzichtbare server lastig. Maar vanuit beveiligingsoptiek is er veel voor te zeggen om hem na het opzetten van het netwerk weer op "yes" te zetten.
srvhidden = yes
Maar net view \\server zal de server nog wel laten zien! Ook net share blijft het doen. De shares zijn alleen niet meer te browsen.
De standaard instelling van Toegang beheren is dezelfde toegang voor alle gebruikers. Dit lijkt op het "Eenvoudig delen" van Windows. Alle aan het werkstation bekende gebruikers en groepen krijgen dezelfde toegang tot zijn bron. Dus ook iemand die inlogt via het gastaccount.
Resource Bevoegdheden Bevoegdheden ---------------------------------------------------------------- j:\ *GUESTS:RWCXDAP *USERS:RWCXDAP De opdracht is uitgevoerd.
Alleen de netwerkgebruikers die door de OS/2 LAN server aan hun gebruikersnaam en wachtwoord herkend worden mogen de inhoud van de vrijgegeven bron inzien. Aan onbekenden (onbekende gebruikersnaam en/of wachtwoord) wordt de toegang geweigerd. Maar schakel het universele guest account liever uit (wissen).
[F:\Desktop]net view \\multiboot NET3502: OS/2 error 65 has occurred. SYS0065: Network access is denied.
Voor het eenvoudig delen van bestanden hebt u de keus uit de volgende toegangsmachtigingen:
Geen toegang
Alleen lezen
Lees- en schijftoegang
Geen toegang is de standaardinstelling van een map of station. De resource is zichtbaar op de "net view \\server" opdracht, maar de bestanden niet. De netwerkgebruiker ziet slechts een lege map.
Tenzij hij de beheerder (praktisch: hoofdgebruiker) van het werkstation is!
[F:\]net access d: Resource Bevoegdheden Bevoegdheden --------------------------------------------------------------- i: *GUESTS:(geen) *USERS:(geen)
Met Alleen lezen zijn de bestanden niet alleen in te zien, maar ook uit te voeren. Voor zover daarvoor geen schrijftoegang (log- en configuratiebestanden) nodig is. Om die reden levert een "Alleen lezen" share soms "onverwachte netwerkfouten" op.
Met Lezen/schrijven aangevinkt zijn de via het netwerk gedeelde bestanden ook te veranderen (schrijven, wissen) of aan te maken.
Hoe dit uitpakt hangt ook af van het bestandssysteem dat u op de server gebruikt. Op bestandssystemen die gebruikersgegevens lokaal opslaan zoals HPFS386 onder OS/2 en NTFS onder Windows gelden de toegangsmachtigingen alleen voor de vrijgegeven map. Maar niet automatisch voor de bestandsinhoud en de submappen. Die kunt pas inzien als u ook volgens het lokale bestandssysteem ook de (mede)eigenaar van de bestanden en submappen bent en/of als u als beheerder inlogt.
Voor het FAT, FAT32, HPFS en JFS bestandssysteem gelden geen lokale beperkingen. Hier worden de toegangsrechten centraal in het bestand ibmlan\accounts\net.acc bewaard. Dit bestand, dat wegens een sharing violation normaal niet te openen is, begint met de term MICROSOFT LANMAN. Neem het altijd mee in een WPS backup!
Het alternatief voor "dezelfde toegang voor alle gebruikers" is het aangepaste toegangsbeheer.
In het aangepast toegangsbeheer maakt OS/2 onderscheid tussen individuele gebruikers en groepen, waarvan de groep " gebruikers" de belangrijkste is. Standaard hoort ieder nieuw aangemaakt OS/2 account tot de groep gebruikers. Iedere lokale OS/2 gebruiker heeft Power User controle over het OS/2 systeem. Hij kan op zijn persoonlijke computer installeren en wissen wat hij maar wil. Maar een gewonen gebruiker kan niet aan de netwerkpermissies komen. Hij kan andermans shares mounten als hij de wachtwoorden kent, maar hij kan zijn eigen bronnen alleen als beheerder vrijgeven.
Een blank OS/2 systeem kent de standaard beheerder USERID, het gastaccount GUEST en de volgende standaardgroepen:
[D:\]net groups Groeps-ID's voor \\VISSER -------------------------------------------------------- *ADMINS *GROUPID *GUESTS *LOCAL *USERS De opdracht is uitgevoerd.
Om wie gaat het?
GROUPID |
De Default Group ID is een lege standaard werkgroep. Deze kunt u meteen wissen in tegenstelling tot de groepen LOCAL, ADMINS, USERS en GUESTS die een speciale 'built in" betekenis hebben onder OS/2 LanManager . PS: Windows NT kent als gereserveerder groepen: Users, Administrators, Guests, Backup Operators and Replicators |
LOCAL |
De groep van locale netwerkgebruikers. LOCAL slaat hier op het werkstation. Maar HPFS, FAT, FAT32 en JFS doen niet aan locale bestandsrechten. Hier heeft iedereen (ingelogt of niet) de lokale toegangsrechten van de beheerder. Maar als u onder OS/2 met een HPFS386 bestandssysteem werkt en geen beheerdersaccount (ADMIN=beheerder) gebruikt moet u ervoor zorgen dat u als gewone gebruiker locale toegang krijgt tot de door u benodigde bestanden op het HPFS384 systeem. |
ADMINS |
De groep met administatierechten. Alle beheerders zijn lid van de groep ADMIN. Persoonlijk vindt ik het handig om mezelf tot beheerder van mijn OS/2 werkstation te bombarderen. Het werken onder een gewone gebruikersnaam heeft immers alleen zin als u van Security/2 of HPFS36 gebruik maakt. |
USERS |
De ook onder Linux bekende groepsnaam users is ook onder OS/2 bekend. Dit is een groep die altijd bestaat. U kunt hem niet aanmaken en niet wissen. Iedere gebruiker (incl. GUEST) is er lid van. Op het OS/2 systeem bekende users (anders dan guest) hebben een obligate inlognaam en een wachtwoord. |
GUESTS |
De groep gasten. Standaard hebben ze een inlogrecht zonder wachtwoord. U kunt het in NEBIOS ingebakken gastaccount GUEST niet wissen, maar u kunt er wel een wachtwoord aan koppelen of beter nog iedere inlogpoging van de gebruiker guest verbieden. |
Met groepen kunt u snel bestandspermissies aanmaken voor meerdere gebruikers. U regelt het niet voor Sjoerd, Bouke en anderen afzonderlijk, maar voor de leden van de groep THUIS. Het gebruik van groepen is ook handig bij het verspreiden van netwerkberichten via de UDP MESSENGER dienst.
Maar let op: iedere gebruiker (ook GUEST) behoort tot de groep USERS. Als u dus permissies toekent aan de groep USERS, zal ook GUEST hiervan profiteren, tenzij u het inloggen van gebruiker GUEST expliciet verbiedt. De veiligste weg is om gebruiker GUEST uit het tabblad Gebruikers (Users) te verwijderen. U kunt op een andere PC altijd nog als gast inloggen met logon guest /V:none.
Hoe moeten uw gasten dan inloggen? In ieder geval niet onder het op de hele wereld bekende standaard guest account. Geef uw gasten liever een originele gebruikersnaam (mijngast) met verplicht wachtwoord in Netwerkverbindingen / Tab Gebruikers. De gebruikersnaam en wachtwoord kunt u op een briefje bij de PC plaatsen. De inlognaam kan via het netwerk omgeroepen worden, maar het wachtwoord zal iemand uit Hongkong niet zien.
USERID |
De standaard gebruiker met administratierechten is userid met wachtwoord password. Ruim deze zo snel mogelijk op. Maar stel uzelf wel eerst als tweede beheerder met een andere naam en wachtwoord in! Als uw het beheerderswachtwoord kwijt bent moet u het bestand \ibmlan\account\net.acc door \ibmlan\install\net.acc (de standaardwaarden) vervangen. Zie: Eerste probleem: u kunt niet inloggen |
SYSASIS |
Blijkbaar een alias voor gebruikers met administratierechten. |
GUEST |
Een gast. |
Als u hier goed gebruik van maakt, biedt de OS/2 Warp cliënt een redelijke netwerkbeveiliging (zie verderop), maar OS/2 biedt niet de beveiliging van een echt multi-user systeem. Want daar speelt de bescherming zich op meerdere niveaus af - met als sluitpost de toegangspermissies tot individuele processen en de bestanden op het bestandssysteem. Onder Linux en Windows NT kunnen gewone gebruikers geen wachtwoordbestanden inzien, vaste schijven formatteren of andermans bestanden wissen. En ook krijgen ze geen toegang tot andermans processen. Maar een single-user systeem als OS/2 Warp biedt die bescherming niet. Zonder oplossingen als HPFS386 of Secure Session (Security/2) krijgt iedere OS/2 gebruiker rootrechten op het systeem. Want voor HPFS zijn ze allemaal gelijk. Lokale bestandspermissies ontbreken nu eenmaal op HPFS en JFS. De kans op ongelukken (bijv. een OS/2 INI bestand openen met het Windows kladblok) en/of opzettelijk misbruik is daarom vele malen groter. Of u nu lokaal of op afstand onder OS/2 werkt.
Zijn hier oplossingen voor?
Projecten die multi-user eigenschappen geven aan OS/2 (Security/2 en SESAM van Golden Code Development) staan nog in de kinderschoenen. En het is maar de vraag of een thuisgebruiker er wat mee moet doen. Deze vorm van beveiliging is meer bedoeld voor servers.
Bedrijven hebben de mogelijkheid om OS/2 via het netwerk te booten. Het is dan de netwerkserver die voor de beveiliging zorgt.
Voor het thuisnetwerk is het gewoon een kwestie van roeien met de middelen die je hebt. Voor de lokale gebruikers betekent dat een grafische desktop gebruiken, die de kwetsbare systeembestanden en gevaarlijke programma's uit het zicht houdt. En voor de netwerktoegang legt u de gebruikers strenge regels op.
Bij het aanbieden van netwerkbronnen kunt u het best het principe van de minst benodigde permissies hanteren. Geef alleen bronnen vrij aan degenen die het echt nodig hebben. En trek de gebruikersaccounts en rechten weer in zodra dat ze niet meer nodig zijn.
Het kan gemakkelijk zijn om continu een heel station aan te bieden, maar het is beter om Jan alleen toegang tot de map /home/jan te geven. Dat is zeker het geval als er ook systeembestanden op de schijf staan: in dat geval kunnen willekeurige netwerkgebruikers wachtwoordbestanden inzien en cruciale bestanden wissen of vernietigen, bijv. door ze met ongeschikte applicaties te bewerken. Bedenk dat ook Jans virussen netwerkgebruikers zijn en dat een ongeluk in een klein hoekje zit.
Door bij Toegang beheren voor Aangepast te kiezen kunt u exact bepalen wie welke toegang krijgt tot de betreffende netwerkbron. Dit is ingewikkeld, maar als u het goed doet - volgens het principe van de minst benodigde permissies - wel zo veilig.
Om bijv. een bestand te maken en te beschrijven hebt u lees-, schrijf- en maakrechten (RWC) nodig in de map waarin het bestand zich bevindt. Om een programma op een bron uit te voeren lees- en uitvoerrechten (RX). Maar het is niet nodig om een gebruiker in een gedeelde map het recht te geven andermans bestanden te wissen (RWX). In dat geval zou ik iemand een persoonlijke map geven.
In het voorbeeld hiernaast heeft zoon Bouke een aparte datamap Bouke in zijn persoonlijke map. Hij kan via het netwerk niet aan morrelen aan zijn configuratiebestanden in /home/bouke. Ook kan hij hier geen programma's uitvoeren.
De aangepaste toegangsrechten staan in het online handboek beschreven. Ze lijken wat op de toegangsrechten onder Linux/UNIX. Ook hier bestaat een complex samenspel van groepen en gebruikers.
De permissies worden vastgelegd in Access Control Lists (ACL), waarvan \ibmlan\accounts\net.acc de belangrijkste is.
Op Warp Server worden de toegangsrechten op het bestandssysteem (HPFS386) zelf bewaard. Met het utility prepacl zijn ze te bewerken (backup, verwijderen en herstellen)
N (none) Geen toegang tot de resource. Alle andere vinkjes zullen verdwijnen.
R (read) Read-only lezen van bestanden in een map of een station. Nodig voor het kunnen uitvoeren van programma's.
W (write) Beschrijven van bestanden in mappen, stations en seriële apparaten.
X (execute) Het uitvoeren van programma's in de map of het station.
C (create) Bestanden en submappen mogen maken in mappen en stations en het mogen beschrijven van mappen, stations, printers en seriële apparaten.
D (delete) Bestanden en submappen mogen wissen in de map of het station.
A (attributes) Bestandskenmerken mogen wijzigen van de bestanden in de map of het station.
P (permissions) Toegangsmachtiging mogen wijzigen in een map, station, printer of een seriële apparaat.
In het dialoogvenster Toegang beheren kunt u gebruikers en groepen definieren. De hoofdgebruiker van de PC (sjoerd) en de systeembeheerder staan niet in de lijst van gebruikers vermeld: ze hebben bij mij alle rechten.
Een vinkje bij Audit-functie voor resource activeren zorgt ervoor dat bijgehouden wordt wie er daadwerkelijk toegang heeft gehad tot de bron.
Hier ziet u dat de share van zoon Bouke nog niet is vrijgegeven. Er is zelfs nog geen naam voor de bron ingesteld. De beste plaats om dat te doen is in het het object Gemeenschappelijke Resources en Netwerkverbindingen, dat in een overzichtelijk tabblad de configuratie van alle belangrijke NetBIOS functies regelt.
Het nadeel van deze methode (via het stations object) is dat u snel het overzicht kunt verliezen. Op een gegeven moment weet u niet meer wat er allemaal open staat. De net opdrachten kunnen u helpen.
De syntaxis van de net-opdrachten vindt u in Handleiding eCS opdrachten (cmd.inf). U typt "help cmd" of "help net" op de prompt en gaat naar LAN server commands (eCS).
Daarnaast is er ook nog een hulp op de prompt.
[F:\]net share ? De syntaxis van deze opdracht is als volgt: NET SHARE [resnaam] resnaam=apparaat [wachtwoord] [/COMM] [/USERS:aantal | /UNLIMITED] [/REMARK:tekst] [/PERMISSIONS:XRWCDA] resnaam [wachtwoord] [/PRINT] [/USERS:aantal | /UNLIMITED] [/REMARK:tekst] [/PERMISSIONS:XRWCDA] NET SHARE resnaam=station:\pad [wachtwoord] [/USERS:aantal | /UNLIMITED] [/REMARK:tekst] [/PERMISSIONS:XRWCDA] NET SHARE [resnaam | apparaat | station:\pad] [/USERS:aantal | /UNLIMITED] [/REMARK:tekst] [/DELETE] [/PERMISSIONS:XRWCDA]
Een voorbeeld. Bron data (J:) alleen voor gebruiker sjoerd beschikbaar stellen. :
[F:\]net share data=j: data is gemeenschappelijk gebruikt. [F:\]net access j: /add De opdracht is uitgevoerd. [F:\]net access j: /grant sjoerd:rwxcda De opdracht is uitgevoerd. [F:\]net access j: /grant users:n De opdracht is uitgevoerd. [F:\]net access j: /grant guest:n De opdracht is uitgevoerd.
Wilt u toegangsrechtenrechten wijzigen:
[F:\]net access j: /change users:rx
Bij nogal wat PEER versies worden de gebruikersnaam en het wachtwoord van de beheerder er tijdens de MPTS installatie weer uitgegooid. Het speelt o.a. bij Warp 4 en eComStation.
Probeer
dan als eerste de standaard instellingen: Gebruiker userid en
wachtwoord password. Maar maak met het programma User Account
Profile Management (upmaccts.exe) snel twee nieuwe accounts aan voor
de beheerder en voor uzelf als gebruiker aan, onder andere namen en
zonder standaardwachtwoorden, sla ze op en probeer ze uit (logoff en
login) en en wis onder uw eigen beheerdersnaam in UPMACCTS de
beheerder met de gemakkelijk te raden naam USERID!!!!
Let op: als beheerder userid kunt u uzelf "beheerder userid" niet wissen. Maak dus als eerste een nieuwe beheerder aan, log uit en log onder uw nieuwe beheerdersnaam weer in. Pas dan kunt u zich van uw publieke alter ego ontdoen.
Komt u er niet uit dan moet u \ibmlan\account\net.acc door \ibmlan\install\net.acc (de standaardwaarden) vervangen. Dat werkt als een reset van een router. Dikke kans dat u er dan met gebruikersnaam userid en wachtwoord password wel uitkomt. U gaat dan weer met het voorgaande verder. En past de gemakkelijk te raden standaardwaarden natuurlijk weer aan.
Maar het bestand \ibmlan\account\net.acc is standaard gelocked. Logisch, want anders kan iedereen deze wisseltruc uithalen. U moet het NET.ACC bestand dus onder een tweede OS/2 bootpartitie, met behulp van een rw HPFS driver vanuit Linux of Windows of via de opdrachtaanwijzer van bootfloppies vervangen. Daarnaast kunnen Robosave en XWP backups het bestand herstellen.
NET.ACC |
De gebruikersnamen, wachtwoorden en toegangsrechten tot de bronnen worden in het bestand \IBMLAN\ACCOUNTS\NET.ACC bewaard. Net als een WPS INI bestand is dit bestand altijd geopend. Dit beschermt NET.ACC (niet de voorlaatste versie met de naam NET.BKP) tegen illegaal kopiëren. Neem NET.ACC altijd in een robosave of WPS backup mee. Evenals LSSHARE.INI dat de gedeelde bronnen bevat. |
RXP1AP.EXE |
De GUI interface maakt gebruik van het programma RXP1AP.EXE dat de gebruikersrechten van iedere gedeelde map in NET.ACC invoert. Zie de mededeling hiernaast: Deze directory bevat subdirectory's. Kies OK om de toegangsmachtigingen op de subdirectoy's aan te brengen. Doe dit als het even kan niet: Kies steeds voor ANNULEREN. Waarom? Als u de bron deelt, zal RXP1AP.EXE de gebruikersrechten van alle submappen van uw schijf in NET.ACC invoeren. Maar als u de bron niet meer deelt, blijven de ingangen bestaan. Op verwisselbare CD-Roms en diskettes levert dat een zinloze vervuiling van NET.ACC op met alleen de toegangsrechten van de mappen van die CD Rom (deel verwisselbare schijven daarom als A:, niet als A:\). De NET.ACC database niet ontworpen is voor de hedendaagse grote schijven met gigabytes aan data. NET.ACC kan maar 1 MB metadata bevatten en is op een schijf van een paar gigabytes snel gevuld. NET.ACC stamt nog uit de tijd dat we een 2 MB HPFS cache fors vonden en het in het geheugen laden van een 1 MB database voor gebruikersrechten een verspilling van resources. |
De valkuil |
Op grote schijven met veel gedeelde mappen en/of bij zeer veel gebruikers raakt het NET.ACC bestand gemakkelijk corrupt doordat de mappen met toegangscontrolelijsten er niet meer in passen. Het gevolg is dat dat u niet kunt meer inloggen of dat legitieme shares niet meer benaderbaar zijn. |
De oplossing |
Als u OS/2 als bestandenserver gebruikt kunt u de shares het best via de net opdrachten beheren. Verderop geef ik voorbeelden. Gebruikt u de GUI, dan kan het geen kwaad om het bestand \IBMLAN\NETPROG\RXP1AP.EXE in RXP1AP.EXE.NO te veranderen. Tenzij u slechts met HPF386 werkt: want op HPFS386 zal het programma de gebruiksrechten lokaal in het bestandssysteem opslaan. |
De noodoplossing |
Een backup van het NET.ACC bestand of het hernoemen van NET.BKP kan uw netwerk dan redden. Dit zult u onder een OS/2 reddingssysteem moeten doen. Of eventueel onder een Linux, Windows NT, 2000 of XP systeem met een passende HPFS driver. Als dat niet lukt kunt u de systeemwaarden (userid/password) herstellen door \ibmlan\install\net.acc naar \ibmlan\account\net.acc te kopiëren. Verander dan wel weer het userid wachtwoord. |
|
Een soortgelijk probleem |
IBMLAN_README.DOC: Multi-Protocol Transport Services \AnyNet* for OS/2*, Version 1.1 December 14, 1995 |
The number of objects that can be displayed in a folder through the LAN Server* Administration GUI is dependent on the length of the text strings used to define the individual objects. If all related strings are filled to the maximum, then as few as 100 may be shown. If no unnecessary text strings are used, then over 800 may be listed. This is a limitation of the LAN Server* 5.0 API, restricting the data size used by the GUI to 64KB. When the object data exceeds 64KB, the following error message is displayed, and the folder cannot be opened: SYS0234: More data is available. |
Als het gemeenschappelijk gebruik (net start peer) nog niet gestart is ziet u dit vanuit Linux:
sjoerd@zolder:~ > smbmount //visser/ldrive /home/sjoerd/ldrive -U sjoerd Added interface ip=192.168.0.2 bcast=192.168.0.255 nmask=255.255.255.0 Password: tree connect failed: ERRSRV - ERRinvnetname (Invalid network name in tree connect.) smbmount: login failed Could not umount /home/sjoerd/ldrive: Operation not permitted smbmount: exit
Maar start u het gemeenschappelijk gebruik met de standaard waarden (Standaard - dezelfde toegang voor alle gebruikers: Geen toegang), dan is het toch merkwaardig dat de hoofdgebruiker sjoerd via de Linux PC wel toegang krijgt. Via SecureShell/2 was de share //visser/ldrive op de Linux PC nu reeds te mounten:
sjoerd@zolder:~ > smbmount //visser/ldrive /home/sjoerd/ldrive -U sjoerd Added interface ip=192.168.0.2 bcast=192.168.0.255 nmask=255.255.255.0 Password: sjoerd@zolder:~ > ls ldrive Beosdocs Beosupdate RECYCLED Techdoc WP ROOT. SF zip-win32
OS/2 (P75) leverde als SMB server voor Linux (25 MHZ 486) bij mij doorvoersnelheden op van 300-900 k/s: beduidend sneller dan Windows 95, maar weer iets langzamer dan de bèta Windows 2000 met 128 MB Ram. Op moderne hardware (1-3 GHz Pentiums) met snelle vaste schijven mag u op het tienvoudige rekenen.
Wordt de de share //visser/ldrive gemount met de optie - U(ser) guest, dan ontstaat een vreemde situatie. Het mountpoint op Linux is door niemand te benaderen omdat de toegang voor de gebruiker guest op N(one) staat.
root@zolder:/home/sjoerd/data > ls ls: .: Permission denied
NB Het is mij nog onduidelijk waarom Warp standaard een gebruiker "guest" aanmaakt. Om de "guest" onder OS/2 toegang tot \temp te geven gaat mij te ver, omdat een ongenode gast onder OS/2 de door anderen bewerkte bestanden al zou kunnen lezen. Wilt u een guest logon op uw werkstation toestaan (ik niet) maak dan een lege map voor de guest aan.
[D:\]net share Dit gebruikers-ID is niet toegevoegd als naam voor berichten. Naam resource Resource Opmerking ------------------------------------------------------------------- IPC$ IPC op afstand ADMIN$ D:\IBMLAN Systeembeheerder op afstand De opdracht is uitgevoerd. [D:\]net share bin=e: bin is gemeenschappelijk gebruikt. [D:\]net access e: /add De opdracht is uitgevoerd. [D:\]net access e: /grant users:n De opdracht is uitgevoerd. Naam resource Resource Opmerking --------------------------------------------------------------------- IPC$ IPC op afstand ADMIN$ D:\IBMLAN Systeembeheerder op afstand DATA E:\ De opdracht is uitgevoerd. [D:\]net access e:\home\bouke /add De opdracht is uitgevoerd. [D:\]net access e:\home\bouke /grant bouke:rw De opdracht is uitgevoerd. [D:\]net share home=j:\home De functie SERVER is niet gestart. NET3502: OS/2-fout 32 is opgetreden. SYS0032: Het programma heeft geen toegang tot het bestand, omdat het bestand in gebruik is.
De OS/2 LAN Server houdt zijn transacties bij in \IBMLAN\LOGS. Het gaat om MESSAGES.LOG, NET.AUD, NET.ERR, en SCHED.LOG. U kunt LSERROR.EXE in het bestand NET.ERR bekijken en met LSAUDIT.EXE het bestand NET.AUD. De programma's satan in \IBMLAN\NETPROG.
Om het toegangslog te bekijken moet beheerder zijn. Met Administrator rechten kunt u ook foutenlogboeken op andere servers bekijken.
Uitleg over de in MESSAGES.LOG gemelde fouten wordt gegeven met "HELP foutcode". De opgeroepen tekst staat in \IBMLAN\ERROR.TXT. Helaas zet de toelichting u regelmatig op het verkeerde spoor. Bijvoorbeeld:
[F:\]HELP NET3101 NET3101: De resource die wordt opgegeven met *** is niet in voldoende mate beschikbaar. Oorzaak: onvoldoende resource aanwezig. Actie: wijzig de waarde van de afgebeelde resource in het bestand IBMLAN.INI. Oorzaak: onvoldoende resource aanwezig.
In dit geval zou u een van de IBMLAN.INI parameters moeten verhogen, maar als die al hoog genoeg staat voor uw doel kan de fout ook wel eens aan de SMB client liggen. De communicatie moet immers aan beide kanten kloppen (bedenk dat een SYN attack uw bronnen ook uitput).
Aan de Windows kant komt deze foutmelding voor:
The mapped network drive could not be created because the following error occured: No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept.
In dit geval levert Google "net3101 OS/2" een Microsofts Q323582 op: Net3101 Error on OS/2 Server Because of SessionSetup SMB. De oplossing was de registersleutel (DWORD) EnableDownLevelLogOff in een Windows 2000 of XP LM client op 1 te zetten.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\EnableDownLevelLogOff =1
De setting EnablePlainTextPasswords staat hier uit (0): Windows kan heel goed versleutelde wachtwoorden met OS/2 sambaservers delen.
De communicatie verloopt dan echter via het eenzijdig versleutelde LanManager 2.1 protocol. Het met Windows NT Fixpack 3 (1997) geïntroduceerde NT LM 0.12 protocol met tweezijdige versleuteling wordt niet door OS/2 ondersteund.
De setting EnablePlainTextPasswords = 1 is nodig voor als u Windows Clients met UNIX en DOS SMB servers wilt verbinden die slechts met met tekstwachtwoorden werken. Maar die situatie komt nog maar zelden voor.