Detailregelungen zur Verwendung von Namen im Datennetz der WWU Münster
Stand: 14. Januar 1999
Aufgrund eines Entwurfes des Zentrums für Informationsverarbeitung (ZIV) vom 13.10.1998 hat die IV-Kommission in ihrer Sitzung vom 13.1.1999 eine Regelung für die Verwendung von Namen, soweit diese im Rechnernetz der WWU von Belang sind, beschlossen. Der Entwurf, der unten -bis auf eine geeigneter erscheinende Formatierung für die HTML-Wiedergabe- im Original dargestellt ist, ist damit verbindlich.
Hinsichtlich der Realisierung der damit notwendigen, aber bisher noch nicht besonders bereitgestellten Registrierverfahren, z.B. für
- Windows/NetBIOS-Scopes und -Domain-Controller sowie -Workgroups
- nutzereigene WINS-Server (nur mit eigenen Bereichs-IDs)
- Appletalk-Zonen
- Namenspräfixe
- Subdomains im DNS (Internet Domain Name Service)
erfolgt baldmöglichst an dieser Stelle ein Hinweis. Bei dringendem Registrierungsbedarf wenden Sie sich bitte an das Netz-Informations-Center (NIC) im ZIV.
Entwurf des ZIV vom 13.10.98
Beschlussantrag für die Vergabe von Namen im Netzbereich
Die immer größere Verbreitung von Betriebssystemen der Firma Microsoft, die eine auf NETBIOS und WINS basierende Kommunikation ermöglichen, macht es u.a. erforderlich, die Benutzung von Namen (Kennungen) für Benutzer, Benutzergruppen, Rechner, Arbeitsgruppen (Workgroups), LAN-Domains usw. zu regeln, damit keine unerwünschten Effekte auftreten wie fehlgeleitete Meldungen oder Behinderungen bei der Anmeldung in einzelnen Domains. Insbesondere ist es wegen der Einschränkungen im Bereich des WINS notwendig, dafür zu sorgen, dass kein Name in mehr als einer Bedeutung benutzt wird, dass also z.B. kein Rechner einen Namen hat, der auch Benutzerkennung ist. Darüberhinaus werden im Bereich des lokalen Rechnernetzes Netzwerk-Protokolle benutzt wie Appletalk oder Novell Netware, in denen Namen verwendet werden, über die bisher noch keine Detailregelungen bestehen, so dass bei Störungen die Ermittlung der Ursache sehr schwierig sein kann.
Entsprechend seiner Verpflichtung gemäß §3, Nr. 1 und 2 der zur Zeit gültigen "Betriebsregelung für das Datennetz der WWU Münster" schlägt das ZIV folgende Detailregelung vor, durch die §3, Nr. 2 und §4, Nr. 2 und 3 dieser Betriebsregelung präzisiert werden:
Detailregelungen zur Verwendung von Namen im Datennetz der WWU Münster
1. Namensbereiche, Netz- und Nutzerdatenbank
1.1. Objektnamen im Datennetz der WWU
Im Bereich des Datennetzes der WWU Münster werden durch die verwendeten Netzprotokolle Namen oder Kennungen für folgende Typen von Objekten benutzt:
- Domain (LAN-Server, Windows NT)
- Subdomain (IP)
- Zone (Appletalk)
- Bereichs-Id/Scope (Windows NT)
- Arbeitsgruppe/Workgroup (Windows)
- Endgerät im Netz (z.B. Rechner oder Drucker)
- Benutzergruppe (Windows, UNIX, VMS)
- Account/Benutzer
Gewisse Dienste im Datennetz können i.a. nur dann störungsfrei funktionieren, wenn diese Namen/Kennungen netzweit eindeutig sind und zwar innerhalb der Gesamtheit dieser Objekte. Das ZIV muss daher alle verwendeten Namen in Übereinstimmung mit den Anforderungen der IV-Versorgungseinheiten und den Betreibern von Endgeräten vergeben und kontrollieren, so dass die Eindeutigkeit der Namen gewahrt bleibt.
1.2. Netzdatenbank
Das ZIV unterhält eine Netzdatenbank, mit deren Hilfe alle Namen mit Ausnahme der Benutzerkennungen soweit notwendig verwaltet werden (Vergabe und Speicherung zum Zweck der Betriebsführung). Diese Namen sowie weitere Daten aus dieser Datenbank können bei berechtigtem Bedarf einem Personenkreis, der von den IV-Versorgungseinheiten zu benennen ist, unter Beachtung des Datenschutzes und der Netzsicherheit sowie der Sicherheit der Endsysteme im Netz zugänglich gemacht werden.
(Anmerkung: Die Daten der Netzdatenbank werden erst nach der erforderlichen Umstellung für andere zugänglich sein, also nicht vor Ende des Jahren 1998.)
1.3. Benutzerdatenbank
Das ZIV betreibt eine zentrale Benutzerdatenbank, in der alle Benutzerkennungen registriert sind, die in den Rechnersystemen des ZIV sowie den IV-Versorgungseinheiten, die der zentralen Nuzterverwaltung angeschlossen sind, benutzt werden. Weiterhin werden in dieser Datenbank Benutzergruppen im Sinne von z.B. UNIX, VMS und WINDOWS NT registriert, die dort als Projekte bezeichnet werden.
Diese Namen sowie weitere Daten aus dieser Datenbank können bei berechtigtem Bedarf einem Personenkreis, der von den IV-Versorgungseinheiten zu benennen ist, unter Beachtung des Datenschutzes und der Datensicherheit zugänglich gemacht werden.
2. Namen für Scopes, Domains, Workgroups usw.
2.1. Netbios-Scopes
Namen für Bereichs-Ids/Scopes innerhalb des Netbios-Protokolls sollten nur dann verwendet werden, wenn dies unbedingt erforderlich ist, da Netbios eine Kommunikation zwischen Rechnern unterschiedlicher Scopes nicht zulässt. Sollen dennoch Scopes verwendet werden, müssen diese Namen vor der Verwendung beim ZIV von den nutzenden Einrichtungen beantragt werden.
2.2. Domains
Namen für LAN-Server- und Windows-Domains müssen von den nutzenden Einrichtungen beim ZIV beantragt werden. Dabei muss angegeben werden, welche Rechner als Primary- oder Backup-Controller benutzt werden sollen.
Es wird empfohlen Namen zu beantragen, die mit einer Kurzbezeichnung des IV-Versorgungsbereiches oder des Instituts beginnen, in dem die Domain betrieben wird. Solche Namens-Präfixe können beim ZIV für die Einrichtungen an der WWU reserviert werden. Verantwortlich für die Anmeldung sind die Leiterinnen/Leiter der Einrichtungen oder die von diesen beauftragten Personen.
Internet-Subdomains werden an der WWU in der Regel nicht verwendet, um den Administrationsaufwand für das Netz gering zu halten. Bei berechtigtem Bedarf können auf Antrag von Einrichtungen der WWU einzelne Subdomains durch das ZIV eingerichtet und administriert werden.
2.3. Workgroups
Windows-Workgroup-Namen können in Entsprechung zu Abschnitt 2.2 vom ZIV reserviert werden. Für registrierte Workgroups besteht ein Anspruch auf ausschließliche Nutzung durch die dafür angemeldeten Rechner (s.u.). Die Durchsetzung dieses Anspruchs kann zur Zeit nicht technisch garantiert werden, jedoch wird das ZIV die Nutzer bei der Bereinigung von Konflikten, soweit möglich, unterstützen.
Bei der Anmeldung von Endgeräten , die in eine Windows-Workgroup eingebunden werden sollen, kann> diese angegeben werden, sofern sie beim ZIV registriert ist. Es wird empfohlen, dies grundsätzlich zu tun.
2.4. Appletalk-Zonen
Appletalk-Zonen müssen beim ZIV angemeldet werden. Endgeräte, die Appletalk-Zonen zugeordnet werden sollen, müssen entsprechend angemeldet werden.
3. Namen für Rechner und sonstige Endgeräte
3.1. Vergabe von Namen für Rechner und sonstige Endgeräte
Alle Endgeräte, die an das Datennetz der WWU angeschlossen werden sollen, müssen entsprechend der Betriebsordnung angemeldet werden und erhalten bei der Beantragung durch die nutzende Einrichtung von der zuständigen Abteilung des ZIV
- einen systematischen Namen, bestehend aus Institutskürzel und laufender Nummer,
- bei Bedarf einen oder mehrere weitere Namen nach Wahl des Betreibers mit der Einschränkung, dass die Eindeutigkeit des Namens im gesamten Namensbereich (Rechner-, Benutzer-, Gruppen-, Domain-Namen usw.) des Datennetzes nicht verletzt werden darf; die Kontrolle der Eindeutigkeit wird durch Überprüfung der relevanten Datenbank-Tabellen vom ZIV durchgeführt,
- bei Bedarf einen oder mehrere weitere Internet-DNS-Namen innerhalb von registrierten Subdomains an der WWU nach Wahl der nutzenden Einrichtung, die die Subdomain registrieren ließ(vgl. 2.2); diese Namen werden ausschließlich im Internet-DNS-Dienst an der WWU verwendet. Die Eindeutigkeit innerhalb der Subdomain wird vom ZIV sichergestellt
Wenn derselbe Betreiber mehrere Endgeräte anschließen lässt, kann er beantragen, dass diese Endgeräte Namen bekommen, die aus einem festen Namensteil (Präfix) und einer Nummer bestehen. Derartige Präfixe müssen von der nutzenden Einrichtung eigens beantragt und beim ZIV registriert werden.
Verantwortlich für die Anmeldung sind die Leiterinnen/Leiter der Einrichtungen oder die von diesen beauftragten Personen. Das ZIV wird darauf achten, dass Namen mit einem registrierten Präfix nur für Endgeräte der nutzenden Einrichtung vergeben werden, die das Präfix beantragt hat.
Es wird empfohlen, ein beantragtes Präfix für Rechnernamen auch in den Namen der Domain und/oder der Workgroup zu verwenden, in die die Rechner eingebunden werden sollen (vgl. 2.2).
(Anmerkung: Im Bereich der IVV4 "Naturwissenschaften außer Geowissenschaften" ist diese Form der Namen für die ans DECNET angeschlossenen Rechner seit langem üblich; diese Präfixe sind bereits vom ZIV registriert und müssen nicht mehr neu beantragt werden!)
3.2. Verwendung von Namen für Rechner und sonstige Endgeräte
In allen Netzwerk-Protokollen dürfen für die fest an das Datennetz der WWU angeschlossenen Endgeräte nur die vom ZIV vergebenen Rechnernamen benutzt werden, also z.B. auch bei der Anmeldung beim WINS oder im Appletalk-Bereich. In den WINS-Servern des ZIV werden diese Namen fest eingetragen.
Sofern im verwendeten Netzwerk-Protokoll zugelassen und erforderlich, sind Zusätze zum Rechnernamen erlaubt, die auf die Funktion des Endgerätes oder einen auf ihm angebotenen Dienst hinweisen (z.B. im Appletalk "ATK-DECNET-Gateway on VNWZ00").
Rechner, die nach Einwahl über Modem oder ISDN etc. mittels PPP oder vergleichbaren Protokollen vorübergehend an das Datennetz der WWU angebunden werden, müssen sich im WINS mit der Nummer des eigenen Telefon-Anschlusses einschließlich Vorwahl und Ländercode anmelden (z.B. 49251987654321), um die Eindeutigkeit zu gewährleisten.
4. Namen für Benutzergruppen und Accounts (Benutzerkennungen)
4.1. Vergabe von Namen für Benutzer und Benutzergruppen
Jedem Benutzer wird auf Antrag vom ZIV eine Kennung zugewiesen (in der Regel nur eine Kennung), die dann in allen beteiligten Systemen gleich ist, zu denen er Zugang haben soll ( zentral registrierte Kennung).
Die Benutzerkennungen werden Projekten zugeordnet, die von den Einrichtungen beim ZIV beantragt werden können. Jedem Projekt sind ein oder mehrere Rechner-Systeme zugeordnet, auf denen seine Mitglieder Zugang mit entsprechenden Gruppenrechten haben. Die Zugehörigkeit von Benutzern zu Benutzergruppen im Sinne der Betriebssysteme (z.B. Unix, VMS, Windows NT) entsteht auf Grund der Zuordnung zu den Projekten. Als Namen für Benutzergruppen werden nach Möglichkeit die Namen der entsprechenden Projekte benutzt.
Bei der Vergabe von Namen im übrigen Netzbereich wird zur Einhaltung der Eindeutigkeit die zentrale Benutzerdatenbank berücksichtigt und umgekehrt.
4.2. Verwendung von Benutzernamen
In Systemen, deren Benutzer sich bei zentral administrierten Diensten wie z.B. dem WINS-Service des ZIV anmelden können, dürfen nur Benutzerkennungen verwendet werden, die entweder in der zentralen Benutzerdatenbank für den jeweiligen Benutzer registriert sind ( zentral registrierte Kennungen) oder mit dem Namen des Rechners, der Workgroup bzw. der Domain oder dem entsprechenden Namens-Präfix beginnen (vgl. Abschnitt 3.1), auf das ein Unterstreichungszeichen (Underscore) folgen muss ( lokale Kennungen), oder entsprechend der Standard-Installation des Systems besondere Berechtigung für Notfälle haben und nur in Notfällen benutzt werden (z.B. "Administrator").
Für die Aufgaben der System-Administration sind im normalen Betrieb zentral registrierte oder lokale Kennungen zu verwenden. Für lokale Kennungen ist keine Konfliktfreiheit gewährleistet.
5. Einsatz und Nutzung zentraler und dezentraler namenssensitiver Dienste
Systeme, die namenssensitive Administrierungsdienste wie z.B. WINS benutzen, aber nicht zentral registrierte Benutzerkennungen und nicht lokale Kennungen entsprechend 4.2.b verwenden, müssen eigene, für das entsprechende Protokoll gegebene Unterscheidungsmerkmale (bei Netbios Bereichs-Ids) verwenden, wenn es sonst zu Identifikationskonflikten kommt. Die entsprechenden Server wie z.B. WINS-Server dürfen dann ebenfalls nur so betrieben werden, daß keine Konflikte mit zentralen Diensten entstehen (z.B. nutzereigene WINS-Server nur mit eigenen Bereichs-Ids). Zur Sicherstellung des universitätsweiten Regeldienstes sind diese nicht zentral bereitgestellten Server beim ZIV anzumelden; ihr Einsatz ist auf solche Fälle zu beschränken, in welchen der fachgerechte Betrieb gewährleistet ist (in der Regel nur durch die IV-Versorgungseinheiten oder in Abstimmung mit diesen) und triftige Gründe den Mehraufwand rechtfertigen.
Domain-Name-Server (Internet-DNS-Server) sind ausschließlich vom ZIV in ausreichender Zahl zur Gewährleistung der Betriebssicherheit zu betreiben. Dies betrifft auch den DNS-Dienst für Subdomains innerhalb der WWU. Das ZIV kann von dieser Regelung aus triftigen Gründen (z.B. bei hochkritischen Rechneranwendungen) abweichen, wenn die korrekte Verteilung der Namensinformationen sichergestellt ist; das ZIV stellt dann aktuelle Informationen automatisiert bereit.
6. Übergangs-, Fortschreibungs- und Kontroll-Regelungen
6.1. Anmeldung von alten und neuen Namen
Bereits benutzte Namen für Domains, Workgroups und Scopes usw. sind so bald wie möglich dem ZIV zu melden. Vor der Anwendung neuer Namen in diesen Bereichen ist eine Anmeldung beim ZIV erforderlich. Das ZIV wird baldmöglichst entsprechende Anmeldeverfahren, die möglichst DV-unterstützt abgewickelt werden sollen, anbieten.
6.2. Aufhebung von bestehenden Namenskonflikten
Weil bisher die Vergabe von Rechnernamen und Benutzerkennungen durch das ZIV unabhängig voneinander erfolgte, gibt es zur Zeit noch Überschneidungen der Namensbereiche, die im Einvernehmen mit den Betroffenen durch Ändern der Rechner- oder der Benutzerkennung nach und nach behoben werden.
6.3. Erweiterungen der geregelten Namensräume
Sofern weitere Objekte mit vergleichbarer Bedeutung wie in 1.1. bekannt werden, wird das ZIV weitere Regelungen in sinngemäßer Entsprechung zu den aufgeführten Regeln und in Abstimmung mit den IV-Versorgungseinheiten, im Zweifel auch mit der IV-Kommission, festlegen.
6.4. Überprüfung der Regelungen
Die vorstehenden Regelungen sind in regelmäßigen Abständen auf ihre Durchführbarkeit und Wirksamkeit hin zu überprüfen.
