Praca Dyplomowa technikum internet, Informatyka


Zespół Szkół Elektrycznych

Im. Prof. Janusza Groszkowskiego

PRACA DYPLOMOWA

Wykonawcy: Promotor:

Drobot Marcin mgr inż. Adam Aleksiejczuk

Sadowski Przemysław

Onoszko Paweł

Białystok 20.05.04

SPIS TREŚCI

  1. Internet, zarządzanie dostępem do Internetu 5

1. Rewolucja Internetowa 5

1.1 Internet Technicznie 7

1.2 Internet Socjologicznie 7

1.3 Co dziś daje Internet 8

1.4 Co zrobimy za chwilę? 10

2. Meta IP - zarządzanie adresami w sieciach IP 10

2.1 Kluczowe cechy Meta IP 12

2.2 Dynamiczne tłumaczenie nazw - DNS 12

2.3 Dynamiczne przydzielanie adresów IP - DHCP 13

2.4 Weryfikacja pracowników zdalnych - RADIUS 13

3. Komfortowe zarządzanie siecią i aplikacjami sieciowymi 14

3.1 Gdzie kończy się komfort a zaczyna polityka bezpieczeństwa? 15

3.2 Komfort administratora i komfort użytkownika 16

3.3 Tradycyjny model zarządzania uwierzytelnieniami 16

3.4 Cisco Secure ACS 17

3.5 Integracja CS ACS z innymi systemami 18

3.6 RSA ACE Server - przede wszystkim bezpieczeństwo 18

3.7 Uwierzytelnianie administracyjnego dostępu do urządzeń 19

3.8 Cut-through Proxy - uwierzytelnianie dostępu do usług 19

3.9 Wygodny i bezpieczny zdalny dostęp do sieci 20

4. Webmin program zarządzający serwerem i dostępem do Internetu 21

4.1 Instalacja 23

4.2 Logowanie do Webmin`a 24

4.3 Interfejs 25

4.4 Moduły kategori Webmin 27

4.4.1 Grupa Konfiguracja Webmina 27

4.4.2 Moduły kategorii System 28

4.4.3 Moduły kategorii Servery 30

4.4.4 Moduły kategorii Sieć 31

4.4.5 Moduły kategorii Sprzęt 32

4.4.6 Moduły kategorii Klaster 33

4.4.7 Moduły kategorii Inne 33

4.5 Podsumowanie 34

  1. Serwery plików 35

1 FTP 36

1.1 Instalacja servera FTP 37

1.2 Konfiguracja servera FTP 37

2. SMB 40

2.1 Implementacje Microsoftu 41

2.2 Dostęp do plików na innym komputerze 41

2.3 Różnice w systemach plików Windows i Unix 42

2.3.1 Ukrywanie plików 42

2.3.2 Dowiązania 42

2.3.3 Prawa dostępu i atrybuty plików 43

2.4 Współbieżny dostęp do plików 44

2.4.1 Blokady oportunistyczne 44

2.4.2 Buforowanie 44

2.5 Uwierzytelnianie, kontrola dostępu 45

2.5.1 Zabezpieczenia na poziomie udziału 45

2.5.2 Zabezpieczenia na poziomie użytkownika 45

2.5.3 Zabezpieczenia na poziomie serwera 45

2.5.4 Zabezpieczenia na poziomie domeny 46

2.6 Odporność na awarie 46

2.7 Instalacja i konfiguracja Samby 46

2.8 Uruchomienie Samby 53

3. NFS 55

3.1 Cele projektowe systemu NFS 55

3.1.1 Przezroczystość 55

3.2 Bezpieczeństwo 56

3.3 Implementacja NFS w systemie UNIX 57

3.3.1 Serwer NFS 57

3.4 Pamięć podręczna serwera 59

3.4.1 Ograniczenia 59

3.4.2 Protokół NFS 59

  1. Host Configuration Protocol 61

1. DHCP 61 2. Wybór metody przypisywania adresów IP 62 3. Multicast DHCP 71 4. Serwer DHCP 71 5. Proces dzierżawy DHCP 72 6. DHCP w Unix`ie 80

IV. Kosztorys i bibliografia 84

1. Bibliografia 84

2. Kosztorys 84

I. Internet, zarządzanie dostępem do Internetu

  1. Rewolucja Internetowa

Mało kto pamięta zapewne jak jeszcze bardzo niedawno korzystaliśmy z maszyny do pisania, teleksu czy telegramu, by zapisać, przekazać i odebrać myśli kierowane do naszych rozmówców, czy to prywatnych czy też służbowych. Pewnie lepiej pamiętamy, jaką przed zaledwie kilku laty rewolucyjną zmianę dokonał w naszych metodach komunikacji faks, z którego chętnie korzystamy przecież i dzisiaj. Ciągle jeszcze korzystamy z klasycznego telefonu, choć czy pamiętamy jeszcze panie telefonistki, które łączyły (godzinami) nasze rozmowy międzymiastowe, że nie wspomnieć o międzynarodowych, np. do Stanów Zjednoczonych, gdzie często po 24. godzinach oczekiwania nadal nie mieliśmy oczekiwanego połączenia. Nie tak dawno przecież ciężko było uzyskać połączenie telefoniczne pomiędzy dzielnicami Warszawy. Może pamiętacie jeszcze kilkukilogramowe pierwsze telefony komórkowe, z którymi paradowało się po mieście częściowo niezależnie od łaski monopolisty telekomunikacyjnego.

Jaki to miało wpływ na biznes? Ogromny! Jeśli chcieliśmy dowiedzieć się czegoś o produkcie, którym nasz potencjalny Klient lub Partner był zainteresowany prosiliśmy go o kilkanaście dni cierpliwości. Po czym kierowaliśmy nasze zapytania do producenta lub jego przedstawicieli pocztą, a w najlepszym wypadku faksem i cierpliwie (od czasu do czasu ponaglając telefonicznie) czekaliśmy na informacje. Potem spotkania i rozmowy z Klientem, a na końcu kontrakt. I wtedy następował krok drugi - zamawianie, uzgadnianie dostaw i oczekiwanie na towary czy materiały. W sumie jeden lub dwa miesiące. Głównie dlatego, że czas spędzony na komunikacji czyli wymianie informacji był często dłuższy niż czas wyprodukowania interesującego nas dobra! Już wtedy, kto szybciej potrafił pozyskać informację, ten szybciej był w stanie nie tylko zdobyć kontrakt, ale przede wszystkim szybciej uzyskać za niego zapłatę (tę samą co opieszały konkurent).

Nagle okazało się, że można inaczej - szybciej, skuteczniej i taniej. Nie od razu wszyscy to zauważyli. W Polsce, podobnie zresztą jak w krajach lepiej uprzemysłowionych, zaczęło się w świecie akademików, którym - z lenistwa chyba - zachciało się komunikować miedzy sobą przy pomocy sieci komputerowych. I tak w Instytucie Informatyki zaczęto zajmować się sieciami komputerowymi, by sprostać jakże dziś prostemu zadaniu - połączenia Instytutu z jednym z kilku węzłów sieci EARN zafundowanej kilku uczelniom przez IBM. Zadanie nie było proste. Okazało się, że wśród kilkunastu protokołów komunikacji istnieje coś takiego jak "IP" czyli Internet Protocol. I tak wkrótce (zamiast połączenia IBM-mainframe w węźle EARN) powstały dwa pierwsze profesjonalne węzły polskiego Internetu (Kraków - Warszawa, 1991rok). A dalej poszło już samo, jak lawina. Od raptem pięciuset użytkowników dziewięć lat temu do paru milionów dzisiaj! Nie wszyscy pamiętają zapewne, kiedy zaczęli powszechnie używać tajemniczego adresu internetowego na wizytówkach, kiedy powstały pierwsze serwisy WWW. Prawdziwy i powszechnie widoczny (w mediach) boom internetowy w Polsce zaczął się zaledwie rok temu!

    1. Internet technicznie

Pierwsza, bardziej techniczna, definicja określi "internet" jako ogólnoświatową sieć wzajemnie połączonych komputerów (hostów) porozumiewających się wspólnym językiem (protokołem komunikacji zwanym Internet Protocol, IP). Każdy z tych komputerów jest równoważny innym, określony jednoznacznym adresem wyróżniającym go w sieci. Każdy z tych komputerów może świadczyć dla wszystkich innych szeroki pakiet usług, zwanych usługami sieciowymi (podstawowe to np. poczta, transfer plików i serwis WWW). I tu trzeba dodać jeszcze pojęcie "intranet", które jest tym samym technologicznie tworem co "internet", a jedyną różnicą jest ograniczenie geograficzne do zasięgu budynku, korporacji czy dowolnej organizacji i przeznaczenie do wykorzystania przez upoważnione osoby (mówi się o sieci prywatnej czy korporacyjnej). Dla jasności: Gdy mówię "internet" myślę "Internet oraz tyle Intranetów, ile prywatnych sieci". Intranety oddziela się od Internetu ... łącząc poprzez tzw. ściany ogniowe (firewall).

1.2 Internet socjologicznie

Druga definicja ma raczej charakter socjologiczny - "internet" to spontaniczne zjawisko rozwijające się na świecie pod koniec XX wieku polegające na masowym łączeniu się ludzi w sieć komunikacyjną pozwalającą im czuć się bliżej siebie, niwelować odległości, cieszyć się i bawić, pracować i zarabiać pieniądze oraz ostatnio nawet podglądać innych w ich prywatnym życiu. Zjawisko to rozwija się w fantastycznym tempie we wszystkich zakątkach świata, a jedynym co może go ograniczyć to monopole telekomunikacyjne, które starają się zapobiegać wypieraniu klasycznej metody komunikacji głosowej (źródło ich dochodów) ograniczając (m.in. poprzez ceny) możliwości dołączania się kolejnych szaleńców do światowej pajęczyny połączeń internetowych. Zjawisko rozpowszechnia się w szalonym tempie zmieniając rzeczywistość, sposób postrzegania świata, sposób wychowania młodzieży, metody konkurowania i sposoby zarabiania pieniędzy. Podstawę rozwoju zjawiska zwanego internetem jest brak możliwości zapanowania nad jego pączkowaniem przez dowolną z organizacji oraz równość podmiotów uczestniczących w sieci. Na koniec XX wieku powstaje globalne społeczeństwo internetowe.

    1. Co dziś daje internet

Umiejętność korzystania z metod i zasobów internetu jest tak samo podstawowa jak umiejętność czytania, pisania i mówienia!


Czas przesłania wiadomości zredukowany do sekund. Błyskawiczna propagacja informacji do wybranej grupy odbiorców. Możliwość wysłania i odbioru informacji w dowolnym momencie (asynchronicznie) bez przeszkadzania sobie w pracy, bez zbędnych spotkań w błahej sprawie. Z szansą na odpowiedź za chwilę z dowolnego zakątka globu. Z automatycznym zapamiętaniem przekazanej wiadomości i odpowiedzi. Z możliwością przesłania "w załączeniu" rysunku, tabeli, tekstu, ruchomego obrazu. Nie udaje się na razie przesłać smaku i zapachu (na szczęście, bo ludzie przestali by się spotykać!).

    1. Co zrobimy za chwilę?

Będziemy szkolić Pracowników przez Internet (E-learning) korzystając z technologii telewizji przez Internet (IP/TV), bo klasyczne metody są zbyt drogie i zawodzą w tak szybko rozwijającej się dziedzinie. A za 2-3 lata, gdy pojawi się technologia UMTS, gdy powszechna będzie telefonia internetowa (IP-phone) i telewizja przez internet (IP/TV) prawdopodobnie każdy będzie wszędzie miał dostęp do głosu, obrazu i danych ze swojego przenośnego telefono-komputero-telewizora, z dowolnego miejsca, z pożądaną jakością głosu, obrazu.

Tak jak nikt nie przewidział pod koniec XIX wieku znaczenia i skutków wynalezienia maszyny parowej, tak i my jeszcze kilka lat temu, sto lat później, nie potrafiliśmy przewidzieć, że niepozorna i praktycznie nieznana sieć Internet używana jeszcze dziesięć lat temu prawie wyłącznie przez akademików rozwinie swe skrzydła na wszystkie dziedziny życia i zmieni naszą rzeczywistość w niewyobrażalny sposób. Tylko nieliczni potrafili przewidzieć dziesięć lat temu, czym może być Internet i wyprzedzić tę wielką zmianą. Nikt nadal nie jest w stanie przewidzieć czym będzie za lat trzy, pięć czy piętnaście.

Wraz z błyskawicznie rosnącymi sieciami opartymi na protokole IP wzrasta złożoność i pracochłonność zadań spoczywających na administratorach zasobów sieciowych. Współczesne sieci składają się z wielu strategicznych usług: poczty elektronicznej, systemów zabezpieczeń, aplikacji e-biznesowych. Skuteczne zarządzanie adresami IP w powiązaniu z serwisami nazw (DNS) warunkuje prawidłowe działanie sieci. Administrowanie bez odpowiednich narzędzi wiąże się z dużym nakładem pracy, pociąga za sobą niebezpieczeństwo pomyłek i nie zapewnia odpowiedniej wymiany informacji pomiędzy poszczególnymi usługami.

Pakiet Meta IP autorstwa izraelskiej firmy Check Point idealnie trafia w zapotrzebowania rynku na tego typu rozwiązania.

Check Point Software Technologies jest liderem wśród firm oferujących rozwiązania z dziedziny bezpieczeństwa Internetu. Oferuje między innymi:

Dla zapewnienia niezawodności i podniesienia wydajności:

Meta IP należy do kolejnej kategorii produktów wspomagających zcentralizowaną administrację infrastrukturą sieciową. Jest to zestaw narzędzi składający się z elastycznego i prostego w obsłudze serwisu zarządzającego dużymi sieciami, usługi katalogowej LDAP (Lightweight Directory Access Protocol), oraz standardowych serwisów sieciowych.

Zestaw ten zapewnia niezawodne i przezroczyste dla użytkownika dostarczanie usług sieciowych. Oferuje możliwość kontroli przydzielonych adresów IP, urządzeń i usług sieciowych a także ochronę przed awariami. Cechą charakterystyczną jest zarządzanie uprawnieniami w odniesieniu do użytkownika. Jest to możliwe przez wykorzystanie dwóch unikalnych technologii: Directory Enabled Network (DEN) oraz User-to-Address Mapping (UAM).

    1. Kluczowe cechy Meta IP:

W skład Meta IP wchodzą wzajemnie powiązane usługi sieciowe: Dynamic DNS (Domain Name Services), DHCP (Dynamic Host Configuration Protocol) oraz RADIUS (Remote Authentication Dial-In User Service). Oprócz doskonałej wymiany informacji pomiędzy sobą serwisy te umożliwiają współpracę z innymi standardowymi usługami sieciowymi. Modułowa struktura pozwala na elastyczne dostosowanie pakietu do potrzeb oraz jego selektywną konfigurację.

2.2 Dynamiczne tłumaczenie nazw - DNS

Należący do pakietu serwis DNS jest oparty na najnowszej wersji BIND (Berkeley Internet Naming Daemon). W chwili obecnej jest to wersja 8.2.2. Oprócz tłumaczenia nazw i adresów IP, zgodnie ze standardem IPv6, obsługuje również WINS (Windows Internet Naming Service) oraz raportowanie SNMP (Simple Network Management Protocol). W połączeniu z usługa DHCP potrafi tworzyć i dystrybuować dynamicznie tworzone adresy.

    1. Dynamiczne przydzielanie adresów IP - DHCP

Wspomniana wcześniej usługa DHCP udostępnia automatyczne przyporządkowywanie adresów IP. Meta DHCP i Dynamic DNS wspólnie śledzą informację związane z przydzielaniem adresów IP logującym się do sieci stacjom. Podobnie jak DNS informacje związane z przydzielonymi adresami są rozpowszechniane poprzez SNMP. Warto zaznaczyć, że obsługiwane są także sieci Token Ring.

2.4 Weryfikacja pracowników zdalnych - RADIUS

W wielu zastosowaniach (handel, serwis) coraz częściej wykorzystuje się zdalny dostęp do informatycznych zasobów firmy. Meta IP zawiera komercyjną wersję RADIUS umożliwiając bezpieczną pracę zdalnych i wdzwanianiających się użytkowników. Uwierzytelnienie i konfiguracja dostępu do serwerów komunikacyjnych opiera się na istniejących w sieci prawach dostępu.

System Meta IP dostarcza osobom zarządzającym działami IT narzędzia do bieżącej kontroli i raportowania wykorzystywanych adresów IP, wykrywania potencjalnych problemów, wyznaczania zadań. Poprzez replikację swojej bazy danych Meta IP zapewnia podwyższony poziom odporności na awarie. Konfiguracja i zarządzanie jest dostępne dzięki wykorzystaniu języka Java. Na wszystkich platformach obsługujących ten standard - VJM (Virtual Java Machine) - bez konieczności instalacji i poznawania oddzielnych narzędzi w różnych systemach. Pakiet pozwala na zdalne zarządzanie. Meta IP współpracuje z innymi systemami do monitorowania sieci (na przykład HP Open View) poprzez SNMP. Funkcje raportujące umożliwiają wizualizację za pomocą zewnętrznych narzędzi takich jak Microsoft Excel.

Poziomy dostępu to możliwość konfiguracji uprawnień w oparciu o użytkownika, grupę, sieć, usługę czy serwer.

Technologia UAM (User-to-Address Mapping) wiąże ze sobą użytkownika oraz przydzielony adres IP. Pozwala to na bardziej przejrzyste zarządzanie i monitorowanie aktywności w sieci.

Meta IP jest rozwiązaniem dedykowanym dla dużych sieci. Organizuje zarządzanie adresami IP niezależnie od środowiska czy lokalizacji. Zapewnia niezawodną pracę aplikacji sieciowych opartych o protokół IP. Ogranicza prawdopodobieństwo pomyłek w administracji siecią. Oferuje uproszczone zarządzanie zasobami i usługami sieciowymi w obrębie firmy oraz pozwala na redukcję czasu poświęcanego typowym zadaniom administracyjnym w obrębie sieci intranet.

    1. Komfortowe zarządzanie siecią i aplikacjami sieciowymi

Różnorodne środowisko sieciowe to środowisko obejmujące rozwiązania sprzętowe i programowe, pochodzące od niezależnych producentów, często nie do końca zgodne z otwartymi standardami. Zarządzanie takim środowiskiem zależy od zakresu wzajemnej zależności funkcjonalnej tych rozwiązań (dziedzina zastosowań), od zgodności z przyjętymi standardami oraz od posiadanego przez oprogramowanie czy sprzęt interfejsu współdziałania z innymi rozwiązaniami. Bardzo ważne są również narzędzia wspomagające zarządzanie (platforma zarządzania) oraz odpowiednio zaprojektowana i przemyślana strategia zarządzania. Ta ostatnia w znacznej mierze decyduje o komforcie zarządzania przy zachowaniu całej, pożądanej funkcjonalności systemu zarządzania i bez kompromisów w dziedzinie bezpieczeństwa zasobów sieci.

    1. Gdzie kończy się komfort a zaczyna polityka bezpieczeństwa?

Polityka bezpieczeństwa określa zasady bezpiecznego korzystania z zasobów systemów informatycznych. Na ile obowiązująca polityka bezpieczeństwa ogranicza komfort zarządzania? Czy zawsze konieczny jest kompromis pomiędzy komfortem zarządzania i bezpieczeństwem? Gdzie leży granica tego kompromisu? Odpowiedzi na te pytania należy szukać w będącej podstawą opracowania polityki bezpieczeństwa analizie ryzyka oraz świadomości zagrożeń. Inne będą też wymagania ochrony dla poszczególnych stref zaufania (segmenty sieci chronione mechanizmami firewall), grupujących zasoby na podstawie ich poziomu istotności oraz stopnia ryzyka ich nieuprawnionego wykorzystania czy naruszenia integralności. Analiza ryzyka warunkuje rodzaj zastosowanych mechanizmów ochrony. Z kolei, od zastosowanych mechanizmów ochrony będzie w znacznym stopniu zależał komfort zarządzania siecią. Zasada bezpieczeństwo przede wszystkim jest zdrową zasadą. Przy jej zachowaniu możliwe jest jednak uczynienie zarządzania komfortowym na miarę posiadanych narzędzi wspomagających zarządzanie i - co ważniejsze - na miarę dobrej strategii zarządzania, od której w znacznym stopniu zależał będzie nie tylko komfort pracy administratora.

    1. Komfort administratora i komfort użytkownika

Komfort zarządzania, a co za tym idzie komfort pracy administratora nie zawsze idzie w parze z komfortem pracy użytkownika. W interesie użytkownika jest niczym nielimitowany dostęp do pasma i usług sieci, jak najmniej restrykcji dostępowych, brak kontroli treści transmisji, anonimowość przy dostępie do stref i serwerów usług, brak kontroli aktywności użytkownika w sieci. Administrator, mając na celu rozsądne i bezpieczne zarządzanie zasobami będzie z kolei zainteresowany jak najsilniejszymi procedurami i mechanizmami bezpieczeństwa, skuteczną kontrolą dostępu do stref i usług, logowaniem zdarzeń związanych z aktywnością użytkowników w sieci, kontrolą treści transmisji.

Polityka bezpieczeństwa obowiązująca tak administratora, jak i użytkowników (w różnym zakresie kompetencji, praw i obowiązków) powinna wyznaczać granice kompromisu i platformę współdziałania. Wspólnym bowiem celem administratora i użytkowników powinno być utrzymywanie wysokiego poziomu bezpieczeństwa, minimalizowanie ryzyka a także stały, bezawaryjny dostęp do sieci.

3.3 Tradycyjny model zarządzania uwierzytelnieniami i autoryzacjami dostępu

Tradycyjny model zarządzania uwierzytelnieniami i autoryzacjami dostępu polega na stosowaniu lokalnych baz uwierzytelnień i autoryzacji, zapisanych w konfiguracji zarządzanych urządzeń. Jego zaletą jest prostota implementacji oraz niski koszt przy założeniu niewielkiej skali (liczba urządzeń).
Wady to niewielka skalowalność, stosunkowo niskie bezpieczeństwo i ewidentny dyskomfort zarządzania w dużej sieci. Możliwości komfortowego zarządzania uwierzytelnieniami i autoryzacjami dostępu. Możliwe do wykorzystania rozwiązania i narzędzia to:

Rozważając problem bezpieczeństwa dostępu należy mieć na uwadze:

    1. Cisco Secure ACS - jego miejsce w systemie zarządzania uwierzytelnieniami i autoryzacjami

Oprogramowanie Cisco Secure ACS stanowi zaawansowany zbiór narzędzi do zarządzania uwierzytelnieniami, autoryzacjami i accountingiem w sieci. Implementuje protokół TACACS+ oraz RADIUS. Dostępne jest na platformę systemu Solaris oraz na platformę Windows NT/Windows 2000 Server.
Posiada graficzny interfejs komunikacji z użytkownikiem. Oprogramowanie CS ACS może być wykorzystywane do celów uwierzytelnień dostępu administracyjnego do urządzeń sieciowych oraz do sieci (dial-up, wireless, uwierzytelnienia 802.1x, uwierzytelnienia Cut-through Proxy, uwierzytelnienia XAUTH).

    1. Integracja CS ACS z innymi systemami

Oprogramowanie Cisco Secure ACS może do celów uwierzytelnień wykorzystywać własne bazy użytkowników lub też korzystać z zewnętrznych baz danych. Przykłady zewnętrznych baz to:

    1. RSA ACE Server - przede wszystkim bezpieczeństwo

Współdziałanie serwera CS ACS (TACACS+/RADIUS) z serwerem RSA/ACE (RSA security firma zajmujaca się dostarczaniem programów do identyfikacji i zdalnego dostępu). Server skutkuje zwiększeniem poziomu bezpieczeństwa uwierzytelnień. Uwierzytelnienia w systemie RSA/ACE oparte są na silnym mechaniźmie połączenia elementu posiadania (karta tokenowa SecurID) i elementu wiedzy (unikalny numer PIN). Dopiero posiadanie tokena oraz znajomość numeru PIN umożliwia poprawne uwierzytelnienie i dostęp do sieci. 

    1. Uwierzytelnianie administracyjnego dostępu do urządzeń

Dostęp administracyjny oznacza dostęp przez fizyczną konsolę do zarządzanego urządzenia, dostęp terminalowy przez Telnet/SSH, dostęp dial-up, dostęp przez interfejs WWW (HTTP/HTTPS) a także dostęp do trybu uprzywilejowanego. Można go uczynić komfortowym przy zachowaniu maksymalnego bezpieczeństwa przez zastosowanie silnych uwierzytelnień stacji administratora (certyfikat), poprzez uwierzytelnienie użytkownika (TACACS+/RADIUS/RSA SecurID) oraz szyfrowanie transmisji. Dla dostępu przez Internet ale także dla dostępu z zewnątrz tzw. LAN-u zarządzającego czyli segmentu gdzie pracują urządzenia wykorzystywane do zarządzania siecią warto stosować połączenia VPN. Można też stosować szyfrowanie sesji dostępu administracyjnego na poziomie warstwy aplikacji, choć będzie to zależało od wsparcia dla mechanizmów kryptograficznych (SSH, SSL) na docelowym urządzeniu.

Dostęp administracyjny powinien także podlegać autoryzacjom w oparciu o protokół TACACS+ lub RADIUS. Tylko dzięki kompleksowemu zastosowaniu silnych, wielopoziomowych uwierzytelnień (poziom hosta, poziom użytkownika), autoryzacji oraz kryptografii dostęp administracyjny jest komfortowy, bo może odbywać się skądkolwiek (wyjście poza ograniczenia fizyczne zarządzania z LAN-u zarządzającego) bez kompromisów dla bezpieczeństwa.

    1. Cut-through Proxy - uwierzytelnianie dostępu do usług

Mechanizm Cut-through Proxy to godne polecenia uwierzytelnienie i autoryzacja połączeń realizowanych pomiędzy strefami firewalla PIX w oparciu o serwery TACACS+ lub RADIUS. Funkcjonalność ta może być wykorzystana jako dodatkowy mechanizm bezpieczeństwa przy dostępie do stref gdzie działają serwery wymagające szczególnego poziomu ochrony oraz do stref sieci gdzie pracują komputery z oprogramowaniem wspomagającym zarządzanie (dostęp do tzw. sieci zarządzających dla administratorów pracujących na zewnątrz - poza tymi sieciami). Warto także wspomnieć o wykorzystaniu cut-through proxy do przyznawania praw do tymczasowego (ważnego na określony czas trwania) dostępu do określonych stref dla gości czy dla pełniących czasowo obowiązki administratorów (na przykład zastępstwo na czas urlopu).
Mechanizm ten może być także wykorzystywany do śledzenia aktywności użytkowników nawiązujących połączenia do pewnych stref (auditing).

    1. Wygodny i bezpieczny zdalny dostęp do sieci

Wygodny, zdalny dostęp do sieci realizowany jest z wykorzystaniem infrastruktury wirtualnych sieci prywatnych (VPN - Virtual Private Networks). Dostęp taki może służyć tak administratorom  do zdalnego zarządzania siecią oraz użytkownikom do bezpiecznego i wygodnego dostępu do zasobów sieci korporacyjnej z praktycznie prawie każdego miejsca na świecie.

Funkcjonalność połączeń VPN zdalnego dostępu obejmuje nie tylko szyfrowanie przesyłanych danych. To także uwierzytelnienie komputera użytkownika (kluczem pre-share lub certyfikatem), uwierzytelnienie użytkownika (hasła, tokeny, systemy OTP, uwierzytelnienia biometryczne), kontrola integralności danych, uwierzytelnianie pochodzenia danych, ochrona przy pomocy osobistego firewalla. Idealnym urządzeniem do obsługi bezpiecznych, zdalnych połączeń VPN do sieci korporacyjnej jest koncentrator VPN 3000 firmy Cisco. Strona klienta, dla pełnej współpracy (w zakresie kompletnej funkcjonalności VPN) wymaga instalacji na stacjach roboczych użytkowników i administratora oprogramowania Cisco VPN Client. 

    1. Webmin program zarządzający serwerem i dostępem do Internetu w systemie operacyjnym opartym na Unix`ie

W dzisiejszych środowiskach sieciowych mamy do czynienia z rozproszonymi w prze­strzeni komputerami serwującymi usługi sieciowe - ich zarządzanie byłoby bardzo czasochłonne i kłopotliwe, jeśli dla każdej z oddalonych maszyn administrator byłby zmuszony dokonywać bezpośredniej konfiguracji np. poprzez terminal. Dodatkowo, jeśli serwery tworzą klaster to czas wymagany na konfigurację i administrację takiego systemu sieciowego przy użyciu zwyczajnych narzędzi stawia administratora w niewygodnej sytuacji. Ponadto usługi udostępniające zdalnie powłokę jak telnet, ssh, rsh najczęściej są nieefektywne i mało przyjaz­ne początkującemu administratorowi. Dzieje się tak głownie ze względu na ich tekstowy cha­rakter oraz fakt, że konfiguracja każdego z elementów serwera ma odmienny charakter (inną strukturę i zestaw słów pliku konfiguracyjnego). W przypadku połączenia telnet niezabezpie­czonego szyfrowaniem np. kerberos (to sieciowy system/protokół umożliwiający uwierzytelnianie się użytkownikom dzięki usługom udostępnianym przez serwer.) istnieje poważne zagrożenie podsłuchania haseł, gdyż protokół ten przesyła hasło otwartym tekstem.

Aby usprawnić administrowanie serwerem konieczne jest narzędzie o spójnym interfejsie, grupujące w przejrzystej formie wiele elementów zarządzania sprzętem oraz usługami serwera. Naprzeciw temu problemowi wychodzi narzędzie Webmin, które pozwala na zarządzanie zdal­ne za pomocą przeglądarki stron internetowych. Przeglądarka powinna wspierać tabele i formularze oraz applety JAVA (dla modułu zarządzania plikami).

Webmin to ogólnie mówiąc interfejs WWW pozwalający na administrację systemem Unixowym. Za jego pomocą można dokonywać rutynowych zadań administracji systemu zarządzać kontami użytkowników oraz grupami, instalować oraz usuwać pakiety oprogramo­wania, manipulować systemami plików i zarządzać limitami przydziałów przestrzeni dysko­wych (quota). Pakiet umożliwia także konfigurację i zarządzanie szerokim zestawem progra­mów serwerowych (daemons) np. serwerem WWW (Apache), FTP (WU-FTP oraz ProFTP), poczty elektronicznej (Sendmail, Postfix i QMail), SSH, DNS (Bind), DHCP, Proxy (Squid), bazami danych (MySQL, PostgresSQL) i innymi. Ponadto Webmin zawiera moduły pozwalające na administrację kartami sieciowymi, połączeniami PPP, partycjami dyskowymi, drukar­kami oraz manipulowanie konfiguracją samego Webmin.

Webmin składa się z prostego serwera WWW oraz pewnej liczby programów CGI, wszyst­kie te elementy zostały stworzone przy wykorzystaniu języka Perl 5 bez dodatkowych rozszerzeń. Autorem programu jest Jamie Cameron, który udostępnia swoje dzieło na zasadach licen­cji BSD.

W opracowaniu tym, przedstawiony został pakiet w wersji 1.R1. Działający na podłączonym do globalnej sieci serwerze pełniącym jednocześnie funkcję węzła dostępowego dla użytkowników sieci lokalnej. Systemem operacyjnym sprawującym kontrolę nad pracą serwera jest FreeBSD (wersja jądra 5.2).


    1. INSTALACJA

Jeśli pakiet nie jest dostępny wraz z dystrybucją systemu operacyjnego, to najświeższą wersję można pobrać spod adresu http://www.Webmin.com w postaci skompresowanego archiwum tar.gz lub pakietu RPM. Do działania Webmin niezbędny jest Perl w wersji piątej. Jeśli trans­misja ma być szyfrowana wymagany jest także pakiet serwera SSH. W przypadku instalacji z postaci tar.gz rozpakowujemy archiwum poleceniem tar zxvf webmin-1.050.tar.gz następnie w utworzonym katalogu, konieczne jest uruchomienie skryptu instalacyjnego setup.sh oraz odpowiedzenie na kilka konfiguracyj­nych pytań podając ścieżkę dla plików konfiguracyjnych Webmin, ścieżkę dla logów, ścieżkę do interpretera Perl 5, następnie należy podać typ systemu operacyjnego i jego wersję, w od­powiedzi na kolejne pytanie należy wprowadzić numer portu, na którym będzie działał Web-min (domyślnie 10000), następnie wprowadzić nazwę użytkownika mającego dostęp do Webmin oraz podać jego hasło. W kolejnym kroku skryptu konfiguracji należy wprowadzić nazwę hosta - maszyny, na której będzie działał system, odpowiedzieć na pytanie, czy transmisja ma być szyfrowana za pomocą SSL oraz czy Webmin ma być uruchamiany przy starcie. Przy instalacji z pakietu RPM wykonujemy polecenie:

urpmi webmin-1.050-1.noarch.rpm

Skrypty konfiguracyjne ustawiają opcje domyślne programu w zależności od zainstalowanego systemu operacyjnego / dystrybucji.

Kolejnym etapem może być edycja plików konfiguracyjnych Webmina, które znajdują się w katalogu /etc/webmin/. Plik /etc/webmin/miniserv.conf zawiera konfigurację serwera WWW dla Webmin, a wiersze na które warto zwrócić uwagę to:

port=10000


host=192.168.1.1

ssl=1


listen=10000

Plik /etc/webmin/config pozwala na konfigurację kolejnych opcji pakietu, niezwiązanych jednak bezpośrednio z procesem mimiserwera web - warto zmienić tu opcje językowe:

lang_user=pl


lang=pl

Ostatnim krokiem przed rozpoczęciem korzystania z Webmin jest skonfigurowanie uru­chamiania się miniserwera wraz ze startem systemu oraz jego wystartowanie poprzez wywoła-nie odpowiedniego skryptu:

/etc/init.d/Webmin start



    1. LOGOWANIE DO WEBMIN

Transmisja danych pomiędzy użytkownikiem systemu a serwerem jest szyfrowana przy użyciu SSL, zatem wywołanie strony logowania się Webmin wymaga użycia bezpiecznego protokołu https np. dla serwera pod adresem sieci lokalnej 192.168.1.1 Wywołanie w przeglądarce strony Webmin wygląda następująco: https://192.168.1.1:10000 . Przed pojawieniem się okienka logowania możemy zostać zapytani o potwierdzenie certyfikatu szyfrowania trans­misji serwera, jeśli nie jest on zainstalowany w przeglądarce.

W oknie przeglądarki (o ile wspomaga ona bezpieczne połączenie SSL) ukazuje się okno logowania do systemu Webmin:

0x01 graphic

Rys. Login Webmina

Domyślnie użytkownikiem posiadającym dostęp do Webmin jest administrator serwera (root), lecz może to być dowolny użytkownik serwera. Nazwy użytkowników, którzy mogą korzystać z systemu webmin wraz z listą modułów, z których dany użytkownik Webmin może korzystać znajduje się w pliku/etc/webmin/webmin.acl.

W tym opracowaniu administratorem Webmin jest użytkownik o identyfikowany w syste­mie przez login admin.

Jeśli logowanie do systemu przebiegło poprawnie, to kolejnym ekranem jest już interfejs Webmin, w przypadku braku autoryzacji użytkownika formularz autoryzacji jest wyświetlany ponownie.


    1. INTERFEJS

Po poprawnym załogowaniu się oczom Web-administratora powinien ukazać się interfejs Webmin, którego startową kategorią jest zestaw modułów konfiguracji samego narzędzia Webmin. Przy innych opcjach konfiguracji pakietu wyświetlana jest także wersja Webmin oraz nazwa sieciowa konfigurowanego poprzez narzędzie serwera. W prawym górnym rogu okna przeglądarki widoczne są także odnośniki do strony internetowej oraz poczta do autora narzędzia. Po prawej u dołu łącze służące do wylosowania się z Webmin.

Większość modułów jest zlokalizowana, więc nie ma problemów ze zrozumieniem sposobu konfiguracji i zarządzania za ich pomocą - przejrzysty interfejs zastosowanie pól wyboru, pól zaznaczania, formularzy oraz przycisków ułatwiają administrację nawet najbardziej zaawanso­wanymi z pośród elementów systemu. Większość modułów jest dobrze opisana a dodatkowo, przy niektórych z nich dostępna jest obszerniejsza pomoc w lewym górnym rogu strony modułu.

Tabela - Kategorie Modułów

Kategoria

Opis funkcji zgrupowanych modułów

Webmin

Opcje narzędzia Webmin

System

Konfiguracja i zarządzanie elementami systemu operacyjnego serwera

Serwery

Usługi / programy serwera / daemons

Sieć

Konfiguracja, diagnostyka i zarządzania elementami sieciowymi systemu operacyjnego

Sprzęt

Administrowanie zasobami sprzętowymi serwera

Klaster

Praca w środowisku serwera rozproszonego - cluster

Inne

Różnorodne moduły takie jak linia poleceń, zarządzanie plikami, logowanie do powłoki poprzez SSH, podgląd logów systemowych itp.

Ze względu na znaczną liczbę modułów oraz ograniczony pod kątem spełnianych funkcji ser­wera zestaw uruchomionych usług, część modułów zostanie przedstawiona skrótowo. Moduły mające praktyczne zastosowanie na omawianym serwerze zostaną omówione obszerniej.

    1. Moduły kategorii Webmin

Moduły te służą do konfiguracji opcji pracy narzędzia Webmin, lokalizacji innych serwerów Webmin w zarządzanej sieci, prezentacji dziennika korzystania z Webmin przez jego użytkowników.

Tabela - Moduły kategorii Webmin

Moduł

Opis funkcji modułu

Konfiguracja Webmina

Grupa modułów pozwalających na konfigurację narzędzia Webmin - zabezpieczenia, wygląd interfejsu, lista modułów i aktualizacja pakietu Webmin oraz modułów

Lista serwerów Webmina

Pozwala na wyszukanie serwerów Webmin w sieci ich dodanie i skonfigurowanie oraz podłączenie się przy wykorzystaniu tych ustawień

Log pracy Webmina

Obserwacja informacji o wykorzystaniu narzędzia (wymaga wcześniejszego włączenia logowania w Konfiguracji)

Usermin Configuration

Konfiguracja dostępu do modułów typowych dla zwykłych użytkowników serwera (wymaga zainstalowania pakietu Usermin)

Użytkownicy Webmina

Dodawanie, modyfikacja i usuwanie użytkowników i grup Webmin, zarządzanie dostępem do poszczególnych modułów, monitorowa­nie aktywnych sesji użytkowników oraz import i synchronizacja kont użytkowników systemowych z użytkownikami Wembin

      1. Grupa Konfiguracja Webmina

Tabela - Moduły grupy Konfiguracja Webmina

Moduł

Opis funkcji modułu

Kontrola dostępu IP

Ograniczanie dostępu do Webmin do pewnych adresów IP

Porty i adresy

Określenie portu i numeru IP, (jeśli serwer ma ich wiele) na którym Webmin ma nasłuchiwać zleceń

Logowanie

Konfiguracja logowania działań przeprowadzanych przez użytkownika Webmin

Serwer Proxy

Parametry serwera Proxy wymagane dla niektórych modułów, jeśli serwer znajduje się za firewall

Interfejs użytkownika

Opcje wyglądu interfejsu

Moduły Webmina

Instalacja, klonowanie i usuwanie modułów Webmin

System operacyjny

Wybór systemu operacyjnego, na którym działa Webmin

Język

Określenie języka, w jakim Webmin powinien się porozumiewać z użytkownikiem

Opcje strony indekso­wej

Opcje wyglądu strony indeksowej Webmin

Aktualizuj Webmina

Aktualizacja pakietu Webmin poprzez Internet oraz aktualizacja modułów

Autoryzacja

Opcje uwierzytelniania użytkownika Webmin (PAM / plik haseł),autoryzacji sesji, zabezpieczenie w przypadku ataku typu brute force na login.

Przeklasyfikowanie modułów

Zmiana kategorii modułów

Zmień kategorie

Zmiany nazw i identyfikatorów kategorii

Motywy Webmina

Wybór motywu graficznego Webmin

Zaufane odsyłacze

Wprowadzanie zaufanych adresów hostów

Anonymous Module Access

Anonimowy dostęp do niektórych modułów Webmin

Szyfrowanie SSL

Opcje szyfrowania SSL połączenia, generowanie i zmiana parame­trów klucza

Centrum autoryzacji

Określenie Centrum Autoryzacji i zarządzanie certyfikatami CA

4.4.2 Moduły kategorii System

Moduły ogólnego zarządzania systemem operacyjnym serwera

Tabela - Moduły kategorii System

Moduł

Opis funkcji modułu

Autoryzacja przez PAM

Zarządzanie usługami PAM (Pluggable Authentication Module) - dostęp programów do autoryzacji oraz sposób jej przepro­wadzania poprzez wykorzystanie modułów PAM.

CD Backup

Moduły służące do przeprowadzania archiwizacji i odtwarzania zbiorów serwera ze wsparciem dla nagrywania kopii bezpieczeństwa na płycie CDR.

Dokumentacja Systemu

Poszukiwanie podanych słów kluczowych w dokumentacji zbio­rach systemowej oraz wyszukiwarce internetowej Gogle.

Działające procesy

Moduł przedstawiający listę aktualnie uruchomionych proce­sów (numer PID, właściciela, wykorzystanie zasobów serwera oraz polecenie użyte do uruchomienia procesu). Możliwość sortowania (grupowania) według numeru PID, właściciela pro­cesu, wykorzystanej pamięci i czasu procesora. Dodatkowo opcja wyszukiwania procesów według różnych kategorii oraz uruchomienia nowego procesu.

Filesystem Backup

Moduł wykonywania kopii bezpieczeństwa systemu plików oraz jej odtworzenia.

Harmonogram zadań crona

Zarządzanie (tworzenie, edycja i usuwanie zadań) tablicą za-dań wykonywanych okresowo przez proces cron a także edy­cja opcji dostępu użytkowników do cron.

Konfiguracja inita (System V)

Dodawanie, edycja i usuwanie procesów uruchamianych pod­czas startu systemu jak i jego działania przez proces init (wy­godna edycja na podstawie formularzy WWW systemowego pliku /etc/inittab).

Logi systemowe

Operowanie na logach systemowych procesu syslog - doda­wanie, zmiana parametrów, usuwanie, przeglądanie dzienni­ków systemowych.

Lokalne i sieciowe systemy plików

Zarządzanie oraz montowanie i demontowanie systemów pli­ków w lokalnym drzewie systemu plików serwera.

MON Sernice Monitor

Konfiguracja, obserwowanie działania i administracja pakietem MON (wymaga zainstalowania).

Pakiety oprogramowania

Poszukiwanie, instalacja, usuwanie i informacja o pakietach oprogramowania.

Quota na dyskach

Włączanie, wyłączanie oraz edycja parametrów ograniczeń na dostępną dla użytkowników i grup przestrzeń dyskową serwera

Security Services

Konfiguracja pakietów detekcji ataków na serwer(skanowanie potrów - portsentry, prób nieautoryzowanego logowania do systemu - hostsentry oraz analizę podejrzanych zapisów w dziennikach systemowych - logcheck).

Start i zamykanie systemu

Zarządzanie serwisami uruchamianymi przy starcie systemu (daemon), zmiana trybu działania systemu operacyjnego (run-level), restart oraz zatrzymanie działania serwera.

System archiwizacji

Archiwizacja i odtwarzanie zbiorów za pomocą narzędzia tar oraz gzip.

Użytkownicy i grupy

Zarządzanie użytkownikami i grupami, możliwość wykorzysta­nia pliku wsadowego. Podgląd efektów logowań do systemu wybranego użytkownika.

Zlecone polecenia

Utworzenie jednokrotnego polecenia do wykonania w zapla­nowanym czasie.

Zmiany haseł

Zmiana hasła dla wybranego użytkownika.

isdn4unix control

Konfiguracja pakietu odpowiedzialnego za komunikację w sieci standardu ISDN (jeśli jest zainstalowany)

4.4.3 Moduły kategorii Serwery

Kategoria ta grupuje, moduły do administracji i konfiguracji serwerowych programów usługowych.

Tabela - Moduły kategorii Serwery

Moduł

Opis funkcji modułu

CVS Server

Calamaris Log Reports

Raport wykorzystania serwera proxy Squid - wymaga zainsta­lowania pakietu calmaris.

Jabber IM Server

Konfiguracja serwisu Instant Messaging - Jabber

Konfiguracja Postfiksa

Konfiguracja serwera pocztowego (MTA) Postfix

Konfiguracja Sendmaila

Edycja parametrów serwera pocztowego (MTA) Sendmail

Netatalk Apple File/Print Sharing

Konfiguracja Netatalk współdzielenia plików i drukarek z sys­temami firmy Apple

OpenLDAP server

Administracja serwera LDAP (Lightweight Directory Access Protocol) - daemon slapd

OpenSLP Server

Konfiguracja SLP (Service Location Protocol) - slpd

Pobieranie poczty przez fetchmaila

Opcje programu fetchmail - pobieranie poczty z wielu kont pocztowych (POP3, IMAP4)

Procmail Mail Filter

Zarządzanie filtrami poczty i regułami przekazywania poczty dla procmail

QMail Configuration

Ustawienia serwera pocztowego (MTA) Qmail

Serwer DHCP

Konfiguracja usługi DHCP (Dynamic Host Connection Proto­col), podgląd aktywnych dzierżaw DHCP.

Serwer DNS BIND

Administracja usługą nazw domen DNS (Domain Name Server) - serwer Bind

Serwer DNS BIND 4

Zarządzanie usługą nazw domen DNS (Domain Name Server) - serwer Bind wersja 4

Serwer ProFTP

Parametry serwera FTP - Pakiet ProFTP

Serwer SSH

Konfiguracja usługi SSH

Serwer WU-FTP

Opcje serwera FTP - Pakiet ProFTP

Serwer WWW Apache

Ustawienia serwera WWW - pakiet Apache

Serwer baz danych MySQL

Edycja ustawień Bazy Danych MySQL

Serwer baz danych Postgre-SQL

Konfiguracja Bazy Danych PostgreSQL

Serwer list dyskusyjnych Ma­jordomo

Zarządzanie serwerem grup dyskusyjnych - pakiet Majordomo

Serwer proxy Squid

Konfiguracja serwera WWW Proxy - Squid

SquidGuard

Opcje pakietu filtrującego żądania http na poziomie WWW Proxy

Udostępnianie dla Windows

Zarządzanie serwerem SMB - Samba - udostępnianie plików

przez Sambę

i drukarek w Windows

Wap gateway

Konfiguracja translatora Wap - http - pakiet Kennel

Webalizer Logfile Analysis

Opcje pakietu Webalizer - tworzącego wykresy w html ze sta­tystykami np. obciążenia serwera WWW


      1. Moduły kategorii Sieć

Kategoria ta zawiera moduły konfiguracji sprzętu sieciowego, zabezpieczeń, narzędzi diagno­styki sieci oraz usług sieciowych będących częścią systemu operacyjnego.

Tabela - Moduły kategorii Sieć

Moduł

Opis funkcji modułu

FreeS/WAN VPN

Zarządzanie narzędziem szyfrowania i enkapsulacji dla wir­tualnych sieci prywatnych (VPN)

Klient i serwer NIS

Opcje serwera oraz klienta NIS/YP (Network Information Server/ Yellow Pages) - uwierzytelnianie użytkowników w sieci.

Konfiguracja sieci

Ustawienia interfejsów sieciowych, routingu oraz bram, klienta DNS i adresów hostów

FreeBsd Firewall

Konfiguracja Firewala opartego o iptables

NetSaint Configuration

Konfiguracja pakietu monitorującego sieć - NetSaint

Network Utilities

Dostęp do programów diagnostyki sieciowej oraz informacji o sieci: ping, traceroute, lookup, nmap, whois, dig oraz kal­kulator maski podsieci

PPP Dialin Server

Ustawienia związane z odbieraniem I obsługą połączeń mo­demowych PPP

Rozszerzone usługi internetowe

Zarządzanie dodatkowymi usługami internetowymi - serwer xinetd (np. pop3, echo, imap, time)

SSL Tunnels

Edycja szyfrowania połączeń i ich tunelowania narzędziem Stunnel

Udostępnianie po NFS

Udostępnianie zasobów plikowych w sieci za pomocą proto­kołu NFS (Network File System)


4.4.5 Moduły kategorii Sprzęt

W tej grupie znajdują się moduły dotyczące urządzeń peryferyjnych, logicznego podziału prze­strzeni dyskowej oraz rozruchu systemu.

Tabela - Moduły kategorii Sprzęt

Moduł

Opis funkcji modułu

CD Burner

Tworzenie obrazów ISO oraz nagrywanie płyt CDR za pomocą programu cdrecord

Czas systemowy

Ustawienia czasu systemowego oraz sprzętowego, synchro­nizacja zegarów z internetowymi serwerami czasu

Konfiguracja startu Freebsd

Konfiguracja rozruchu - bootmanagera (lilo), wybór partycji oraz startowego jądra systemu

Logical Volume Management

Organizacja przestrzeni logicznych za pomocą narzędzi LVM

Partycje na lokalnych dyskach

Administrowanie partycjami, systemami plików, montowanie demontowanie, tworzenie i formatowanie partycji, strojenie parametrów dysków.

RAID w Freebsd

Zarządzanie macierzami dyskowymi RAID


4.4.6 Moduły kategorii Klaster

Moduły te usprawniają zarządzanie i konfigurację klastrem.

Tabela - Moduły kategorii Klaster

Moduł

Opis funkcji modułu

Cluster Software Packages

Zarządzanie pakietami oprogramowania na serwerach kla­stra przy pomocy jednego interfejsu

Cluster Users and Groups

Administracja kontami użytkowników i grup na wielu serwe­rach klastra przy pomocy jednego interfejsu

Cluster Webmin Servers

Edycja ustawień narzędzia Webmin dla wielu serwerów kla­stra jednocześnie

Configuration Engine

Konfiguracja klastra - cfengine

Heartbeat Monitor

Monitorowanie pracy klastra

      1. Moduły kategorii Inne

Tabela - Moduły kategorii Inne

Moduł

Opis funkcji modułu

Batch Apache Host Addition

Wsadowe dodawanie wielu domen wirtualnych dla serwera WWW Apache

Batch DNS Domain Addition

Wsadowe dodawanie domen DNS (master, slave) dla Bind

Download

Pobieranie zbiorów z sieci za pomocą narzędzia wget

File Upload

Przesyłanie zbiorów na serwer zdalny

Front Page 2000 Admin

Konfiguracja rozszerzenia Frontpage 2000 do Apache

Gehrigal Theme Configurator

Edycja motywów graficznych Webmin

LDAP Browser

Przeglądarka LDAP

LDAP Manager

Zarządzanie LDAP

LDAP users and group admini­stration

Administracja użytkownikami I grupami LDAP

Linia poleceń

Linia poleceń powłoki systemowej

Log Viewer

Podgląd parametrów pracy serwera oraz dzienników syste­mowych z aktualnego oraz poprzedniego tygodnia

Logowanie przez SSH/Telnet

Połączenie z serwerem poprzez SSH lun Telnet - applet JAVA

Moduły Perla

Instalacja moduów Perl

SA-Configurator

Konfiguracja ShopAdmin

SSH Login

Podłączenie się do serwera przez konsolę SSH

Stan systemu i serwerów

Monitorowanie usług sieciowych (daemons) serwera, jego zasobów i połączeń

VNC Client

Klient (VNC) Virtual Network Computing - śledzenia pulpitu

Odległych maszyn

Vacation Admin

Automatyczna odpowiedź na pocztę przychodzącą do użytkownika komunikatem o jego urlopie

Wybrane polecenia

Zarządzanie I uruchamianie poleceń użytkownika - skrypty, programy uruchamiane jednym przyciskiem

Zarządzanie plikami

Applet JAVA pozwalający na zarządzanie systemem plików serwera - tworzenie usuwanie, modyfikacja, zmiana atrybu­tów i właściciela plików i katalogów. Przesyłanie plików na serwer oraz pobieranie plików z serwera

rinetd configuration / administra­tion

Konfiguracja przekierowań połączeń rinetd

    1. PODSUMOWANIE

System zarządzania bazujący na interfejsie Web jest uniwersalny a przy tym prosty i przejrzy­sty, w większości przypadków szybszy w konfiguracji parametrów dzięki wykorzystaniu for­mularzy i przełączników nie jest wymagana składnia plików konfiguracji każdego z wielu ele­mentów systemu serwera Unix. Ponadto narzędzie to oferuje dobre i proste do skonfigurowania zabezpieczenia, przy tym znacznie ułatwiając zdalną administrację serwera.

II. Serwery plików

Wstęp

Serwery plików są jednym z podstawowych elementów niemal każdej sieci lokalnej, od ich efektywności, wydajności, niezawodności i uniwersalności zależy sprawne działanie sieci. Elementem dodatkowym utrudniającym wybór serwera jest fakt, że powstało wiele niekompatybilnych systemów udostępniania plików: NFS spotykany głównie w środowisku UNIX, NCP protokół udostępniania plików i drukarek w sieciach NetWare czy SMB wykorzystywany w rozwiązaniach firmy Microsoft.

Serwery plików powinny charakteryzować się wysokim poziomem niezawodności i stopniem dostępności dla użytkowników, gdyż ich ewentualna awaria pozbawia możliwości pracy bardzo wielu pracowników.

Serwery plików (FTP, NFS, SMB). Częścią wspólną tych usług jest możliwość udostępnienie plików znajdujących się na serwerze centralnym dla klientów znajdujących się zarówno w sieci lokalnej jak i poprzez sieć Internet. Usługi te są bardzo ważne dla firm, ponieważ odpowiednio ustalona polityka bezpieczeństwa wraz z dobrze zorganizowanym serwerem plików jest podstawowym narzędziem pracy w firmie. Pozwala ona zminimalizować niebezpieczeństwo utraty danych jednocześnie stanowiąc ochronę poufnych informacji.

File Transfer Protocol (FTP) to tradycyjny w Internecie sposób dystrybucji dużej ilości często zmieniających się danych takich jak cenniki, specyfikacje techniczne, dokumenty firmowe.

Network File System (NFS) jest rozproszonym systemem plików opracowanym przez firmę SUN Microsystems . Został wprowadzony do użytku w roku 1985 (wersja 2.0). Następną wersję (3.0), dominującą na rynku, wprowadzono w roku 1994. Obecnie rozwijana jest czwarta wersja NFS.

Srever Message Block (SMB) to pakiet narzędzi umożliwiających współdzielenie zasobów, takich jak drukarki i pliki, w sieci. Samba korzysta z protokołu Samba (SMB), wspólnego produktu Microsoftu i IBM, w celu przesyłania danych między klientami Windows i serwerami uniksowymi w sieci TCP/IP.

1. FTP

File Transfer Protocol, protokół umożliwiający przesyłanie plików poprzez sieć Internet. Aby możliwe było przesyłanie plików za pomocą tego protokołu, jeden komputer musi pełnić rolę serwera FTP. Teraz na drugim użytkownik może uruchomić program klienta FTP, za pomocą którego loguje się do serwera. Teraz możliwe jest już przesyłanie plików w dwie strony. Użytkownik nie zawsze jednak ma dostęp do wszystkich plików na serwerze, zależy to od uprawnień, jakie mu przysługują. Popularną usługą jest także anonimowe FTP. Użytkownik może się zalogować do komputera, na którym nie ma żadnych praw dostępu. Jako nazwę użytkownika podaje “anonymous”, hasłem zaś jest jego adres e-mail. Użytkownik ma wtedy możliwość korzystania z wybranych zasobów serwera.

FTP (File Transfer Protocol) jest internetowym protokołem do transferu plików, który używa protokołu TCP. Spośród wielu dostępnych serwerów FTP pod FreeBSD najpopularniejszym i uważanym za najbezpieczniejszy jest ProFTPD , chociaż jest trudniejszy w konfiguracji aniżeli systemowy ftpd. W serwerze jaki został oddany do użytku szkolnego znajduje się ProFTPD-1.2.9, jest to aplikacja darmowa udostępniana przez producenta w sieci Internet.

1.1 Instalacja servera FTP

Instalacje ProFTPD na FreeBSD odbywa się nieco inaczej niż w Linuxie.

Wszystko opiera się o porty. Wchodzimy do odpowiedniego portu

# cd /usr/ports/ftp/proftpd

po czym

# make build && make install && make clean

nasz ProFTPD jest zainstalowany.

Następnie przechodzimy do katalogu /etc

# cd /etc

sprawdzamy czy nie mamy przypadkiem uruchomionego demona FTPD

# vi inetd.conf

poniższa linijka musi być zahaszowana

# ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l.

1.2 Konfiguracja servera FTP

Przechodzimy do katalogu /usr/local/etc

# cd /usr/local/etc

zmieniamy nazwę proftpd.conf.default na proftpd.conf

# mv proftpd.conf.default proftpd.conf

pozostaje nam tylko wy edytować config  poustawiać według swoich potrzeb

# vi proftpd.conf

Plik konfiguracyjny pf.conf

========== proftpd.conf ===========

# tu wpisujemy nazwę naszego serwera
ServerName "nazwa.pl"

# e-mail do administratora serwera
ServerAdmin nazwa@domena.pl 

# typ serwera jako standalone
ServerType standalone 

# po takim ustawieniu użytkownik logujący się do naszego serwera nie będzie wiedział  
# z jakim demonem ftp pracuje nasz serwer
ServerIdent on "WinNT_FTP.2.0" 

# po uruchamianiu serwera będzie pracował z prawami użytkownika " nobody"
User nobody

# grupa (analogicznie do powyższego) " nobody "
Group nobody

# serwer ten jest serwerem domyślnym
DefaultServer on

# numer portu
Port 21

# maska dla nowo utworzonych katalogów
Umask 022

# uniemożliwienie użytkownikom opuszczenie swojego katalogu tzw. chroot w /home/*
DefaultRoot ~ 

# ustawiamy limity czasu dla za logowanych użytkowników
TimeoutIdle 240
TimeoutStalled 240
TimeoutLogin 60
TimeoutNoTransfer 320

# maksymalna ilość uruchomionych procesów przez demona proftpd
MaxInstances 30

# opcja ta ustala ile razy użytkownik może się "pomylić" podczas logowania do systemu
MaxLoginAttempts 3

# maksymalna liczba osób mogących się połączyć z jednego IP
MaxClientsPerHost 2 "Za dużo połączeń z serwerem ftp z jednego adresu IP"

# maksymalna liczba zalogowanych użytkowników na FTP
MaxClients 30 "Za dużo jednoczesnych połączeń do serwera ftp"

# logi serwera będą zapisywane do poniższego pliku:
ExtendedLog /var/log/proftpd/proftpd.log

# ograniczenie dostępu do serwera ftp tylko dla sieci LAN

        Order Allow,Deny
        Allow from 192.168.1.0/24
        Deny from all 

# jeżeli chcemy aby pliki nie mogły być nadpisywane wstawiamy off.
 
         AllowOverwrite on
 

# sekcja serwera anonimowego (przykład)

        User ftp
        Group ftp
        UserAlias anonymous ftp
                # zakaz zapisu dla anonimowych
               
                        DenyAll
               
========== End of proftpd.conf =========

Zapisujemy ustawienia i przechodzimy do katalogu /usr/local/etc/rc.d

# cd /usr/local/etc/rc.d

# mv proftpd.sh-dist proftpd.sh

nie pozostaje nam nic innego jak odpalić proftpd

# /usr/local/etc/rc.d/proftpd.sh start

  1. SMB

Samba, Server Message Block, to zbiór uniksowych aplikacji rozumiejących protokół SMB (Server Message Block). Wiele systemów operacyjnych, w tym Windows i OS/2, używa SMB do komunikacji sieciowej między klientami i serwerami. Samba umożliwia uniksowym serwerom porozumiewanie się za pomocą tego samego protokołu, którego używają systemy Microsoftu. Zatem uniksowy komputer z Sambą może udawać serwer w sieci Microsoftu i udostępniać następujące usługi:

Prezentacja ta dotyczy użycia protokołu SMB jako rozproszonego systemu plików. Samba feruje ponadto :

2.1 Implementacje Microsoftu

Implementacja SMB jest wbudowana we wszystkie Windowsy. Jest ich częścią. Dostęp do systemu plików znajdującego się na innym komputerze uzyskujemy poprzez kliknięcie na ikonę „Otoczenie Sieciowe”.

2.2 Dostęp do plików na innym komputerze

Do identyfikacji komputerów w SMB używa się nazw NetBios. Nazwa taka składa się maksymalnie z 15liter. Każdy komputer w segmencie sieciowym jest identyfikowany poprzez unikatową nazwę. Korzystanie z nazw NetBios nie jest koniecznością do uzyskania dostępu do zasobu. Każdy komputer może udostępniać fragmenty swojego systemu plików. Fragmenty te nazywamy zasobami. Inny komputer może uzyskać dostęp do zasobu znając nazwę komputera udostępniającego oraz nazwę tego zasobu. W przypadku Windowsa uzyskujemy do niego dostęp poprzez wywołanie \\<nazwa komputera>\<nazwa zasobu>. Jest on widziany jako zwykły katalog systemu Windows. <nazwa komputera> może być nazwą NetBios, ale może być także jego nazwą DNS'owa czy choćby po prostu adresem IP. W implementacji unixowej Samby mamy do dyspozycji polecenie „smbmount”. Wymaga ono nazwy komputera, nazwy zasobu oraz punktu montowania. Działa podobnie do polecenia „mount”. Po zamontowaniu możemy korzystać z udostępnionych plików w sposób przezroczysty dla użytkownika traktując je jako lokalne. Czasami do uzyskania zasobu lub dostępu do konkretnych plików stosuje się mechanizmy kontroli dostępu, o których mowa będzie w dalszej części. Jak można zauważyć, SMB jako rozproszony system plików zapewnia przeźroczystość dostępu oraz położenia. Nie pozwala on na zwielokrotnianie pliku. Przeźroczystość zmiany położenia można uzyskać podobnie jak w NFS za pomocą edycji tablic montowania u każdego klienta.

2.3 Różnice w systemach plików Windows i Unix

2.3.1 Ukrywanie plików

Czasami chcemy ukryć plik przed użytkownikiem, kiedy ten przegląda zawartość katalogu. Nie chodzi tu o odebranie praw dostępu do pliku. W systemach Windows pliki maj ˛ a atrybut, który pozwala na ich ukrycie podczas wyświetlania zawartości katalogu. W Uniksie tradycyjnie metodą ukrywania plików w katalogu jest nadanie im nazw zaczynających się od kropki (.). Dzięki

temu podczas wykonywania zwykłego polecenia ls nie są wyświetlane pliki konfiguracyjne lub pliki z parametrami domyślnymi. Jeśli jednak chcemy w ogóle pozbawić użytkownika możliwości dostępu do pliku, musimy posługiwać się zezwoleniami plikowymi i katalogowymi. Sposobem rozwiązania tego problemu w przypadku Samby jest ustawienie odpowiedniej opcji w jej pliku konfiguracyjnym. Samba zacznie wtedy automatycznie nadawać plikom z kropką na początku atrybut „ukryty”.

2.3.2 Dowiązania

W systemach plików DOS-a i Windows NT nie ma dowiązań symbolicznych. Systemy Windows 95/98/NT używają zamiast nich „skrótów”. Kiedy więc klient spróbuje otworzyć dowiązanie symboliczne w udziale serwera Samby, Samba podąża za dowiązaniem, aby znaleźć prawdziwy plik i umożliwić klientowi jego otworzenie, zupełnie tak, jakby użytkownik pracował na komputerze uniksowym. Można to wyłączyć ustawiając odpowiednią opcję w konfiguracji Samby.

2.3.3 Prawa dostępu i atrybuty plików

Dos nigdy nie miał być wielo dostępowym, sieciowym systemem operacyjnym, natomiast Unix był zaprojektowany w ten sposób od samego początku. Jedną z największych różnic między Uniksem i Dosem jest obsługa praw dostępu do plików. Wszystkie pliki Uniksa mają zezwolenia na odczyt, zapis i wykonywanie dla trzech kategorii użytkowników: właściciela, grupy i „reszty świata”. DOS/Windows (Windows z serii NT ma atrybuty jak unix) używa dla pliku atrybutów: Archiwalny, Systemowy, Ukryty, Tylko do odczytu. System plików DOS-a i Windows identyfikują pliki wykonywalne na podstawie rozszerzeń .exe, .com, .cmd, .bat. Z tego wynika, że trzy uniksowe bity wykonywalności nie mają żadnego zastosowania w odniesieniu do pliku przechowywanego w udziale dyskowym Samby. Samba może przechować atrybuty Archiwalny, Systemowy i Ukryty wykorzystując bity wykonywalności pliku unikowego - jeśli się od niej zażąda. Odwzorowanie bitów wiąże się jednak z niepożądanym efektem ubocznym - Unix może źle interpretować niektóre bity wykonywalności plików pochodzących od Windows.

2.4 Współbieżny dostęp do plików

Samba obsługuje standardowe żądania blokady DOS-a i systemu plików NT, które pozwalają na pisanie w całym pliku tylko jednemu procesowi w danej chwili. Samba nakłada także blokady zakresów bajtów. Ponadto Samba obsługuje nowy mechanizm blokowania, w terminologii Windows NT nazywany „blokadą oportunistyczną.

2.4.1 Blokady oportunistyczne

Dzięki tym blokadom klient może poinformować serwer Samby, że nie tylko będzie jedynym uprawnionym do pisania w pliku, ale że będzie buforował wszystkie zmiany lokalnie w celu przyspieszenia dostępu do pliku. Kiedy Samba wie, że plik został zablokowany oportunistycznie przez klienta, zaznacza swoją wersję tego pliku jako obłożoną blokadą i czeka, aż klient zakończy operacje na pliku i odeśle jego ostateczna wersję w celu wzajemnej synchronizacji. Jeśli inny klient zażąda dostępu do tego pliku, zanim pierwszy klient zakończy pracę, Samba może wysłać żądanie „przerwania blokady” do pierwszego klienta. Jest to informacja dla klienta, ze powinien zaprzestać lokalnego buforowania i zwrócić informacje o bieżącym stanie pliku, aby nowy klient mógł użyć go wedle swego uznania.

2.4.2 Buforowanie

Dostęp do pliku nie jest buforowany za wyjątkiem przypadku założenia blokady oportunistycznej. Starsze wersje Uniksa nie obsługiwały tego mechanizmu. Korzystać mogą one jedynie z trybu odmowy. Samba może nie dopuszczać do zakładania blokad oportunistycznych w celu zgodności ze starszymi uniksami. Niekiedy trzeba ponieść koszt nieefektywnego zapisu do plików z jakiegoś zasobu dla zapewnienia zgodności ze starszymi uniksami korzystającymi z niego.

2.5 Uwierzytelnianie, kontrola dostępu

Dostęp do zasobów może być swobodny. Jednak czasami zachodzi potrzeba ograniczania go dla wybranych użytkowników. Mamy do dyspozycji następujące sposoby uwierzytelniania użytkownika:

      1. Zabezpieczenia na poziomie udziału

Każdy udział w grupie roboczej jest chroniony oddzielnym hasłem. Każdy, kto zna hasło dostępu do udziału, może z tego udziału korzystać.

      1. Zabezpieczenia na poziomie użytkownika

Każdy udział w grupie roboczej jest skonfigurowany tak, aby pozwalał na dostęp tylko określonym użytkownikom. Po wstępnym nawiązaniu połączenia z zasobem, serwer Samby weryfikuje użytkowników i ich hasła, zanim przyzna im dostęp do udziału.

      1. Zabezpieczenia na poziomie serwera

Podobne do zabezpieczeń na poziomie użytkownika, ale Samba używa oddzielnego serwera SMB, który zatwierdza użytkowników i ich hasła przed przyznaniem dostępu do udziału.

      1. Zabezpieczenia na poziomie domeny

Samba staje się członkiem domeny Windows i uwierzytelnia klientów za pośrednictwem podstawowego kontrolera domeny (PDC). Po uwierzytelnieniu użytkownik otrzymuje specjalny żeton, który umożliwia mu korzystanie ze wszystkich udziałów, do których ma odpowiednie uprawnienia. Dzięki temu żetonowi, PDC nie będzie musiał ponownie weryfikować hasła użytkownika za każdym razem, kiedy ten spróbuje połączyć się z innym udziałem w domenie.

2.6 Odporność na awarie

Protokół SMB używa prawie wyłącznie TCP. Dzięki temu jest odporny na chwilowe niedyspozycje sieci - dba o to TCP. System plików oparty na SMB jest stanowy. Między klientem a serwerem jest ustanawiana sesja. Awaria serwera powoduje utratę dostępu do danych.

2.7 Instalacja i konfiguracja Samby

Instalacja wygląda niemal identycznie jak serwera FTP

Po zainstalowaniu musimy zmienić nazwę pliku konfiguracyjnego smb.conf.sample na smb.conf

# mv smb.conf.sample smb.conf

oraz plik uruchamiający nam sambę samba.sh.sample na samba.sh

# mv samba.sh.sample samba.sh

Pliki te znajduja się odpowiednio w katalogach /usr/local/etc i /usr/local/etc/rc.d

Plik konfiguracyjny smb.conf:

#================== Global Settings ===================

[global]

# Twoja grupa robocza w sieci;
workgroup = MYGROUP

# nazwa pod jaką będzie widoczny serwer w Otoczeniu Sieciowym;
netbios name = Server

# komentarz wyświetlany obok komputera;
server string = Samba Server
# tutaj możemy ustawić dostęp do udziałów (z jakich adresów (sieci) można łączyć się z sambą);
hosts allow = 192.168.1. 192.168.2. 127.

# tutaj z kolei możemy zabronić dostępu do udziałów (host  zostaje dopuszczony do udziałów tylko wtedy
# gdy jest na liście host allow i jednocześnie nie ma go na liście host deny;
host deny = 192.168.1.4 192.168.2.10

# umieszcza na liście przeglądania wszystkie drukarki wymienione w systemowym pliku parametrów 
# drukarek, używa opcji konfiguracyjnych z sekcji [printers]
# dozwolone wartości: YES, NO; wartość domyślna = YES; 
load printers = yes

# Samba użyje określonego pliku jako pliku parametrów drukarek, zwykle jest to plik 
# /etc/printcap możesz jednak ustawić tę opcję tak, aby wskazywała plik tylko z tymi 
# drukarkami, które chcesz udostępnić w sieci;
printcap name = /etc/printcap

# ta opcja konfiguracyjna informuje Sambę o systemie druku używanym przez serwer;
printing = bsd

# jeżeli chcemy umożliwić gościnny dostęp do niektórych udziałów musimy podać jakiego konta będzie
# używał użytkownik podczas uwierzytelniania (w tym wypadku opcja security = share);
guest account = nobody

# ścieżka do logów i pod jaką nazwą mają być zapisywane;
log file = /var/log/log.%m

# maksymalny rozmiar pliku z logami;
max log size = 50
# zabezpieczenie dostępu na poziomie użytkownika; security = share na poziomie zasobów;
security = user

# możesz skonfigurować Sambę do współpracy z serwerem haseł (kiedy używasz zabezpieczeń na poziomie serwera
# security = server). Zauważ, że w opcji password server możesz podać nazwy kilku komputerów. Samba będzie 
# łączyć się z kolejnym serwerem na liście, jeśli pierwszy wybrany będzie niedostępny. Serwery w opcji password
# server określa się za pomocą nazw NetBIOS-owych, a nie nazw DNS lub równoważnych im adresów IP;
password server = SERVERSAMBY1 SERVERSAMBY2    

# włącza szyfrowanie haseł metodą Windows NT, wymaga użycia programu smbpasswd w serwerze Samby;
encrypt passwords = yes

# ta opcja powoduje wczytanie pliku konfiguracyjnego dla komputera o określonej nazwie Net BIOS-owej (%m)
# jeżeli nazwa klienta to host1, a w katalogu samby (lub tym, którego nazwę podałeś w pliku konfiguracyjnym)
# znajduje się plik smb.conf.host1, Samba dołączy jego za wartość do domyślnego pliku konfiguracyjnego; jeśli plik
# smb.conf.host1 modyfikuje którąś zmienną konfiguracyjną, to zmieniona wartość będzie miała pierwszeństwo przed
# wartością zdefiniowaną wcześniej; jeśli któraś opcja konfiguracyjna zostanie zmodyfikowana w głównym pliku już po
# opcji include, Samba przyjmie jej nową wartość dla udziału, w którym została zdefiniowana;
include = /usr/local/etc/smb.conf.%m

# jest to opcja dostrajania systemu goszczącego Sambę (dokładnie nie wiem o co chodzi);
socket options = TCP_NODELAY

# jeśli chcesz, aby dane były wysyłane przez więcej niż jeden interfejs, musimy podać ich pełną listą w opcji interfaces
# ponieważ nie można zagwarantować, że podstawowy interfejs wybrany przez Sambę będzie tym właściwym;
interfaces = 192.168.10.1/24 192.168.20.1/24

# opcja ta określa, czy Samba zaraz po uruchomieniu spróbuje zostać główną przeglądarką lokalną w swojej podsieci
# domyślnie opcja jest ustawiona na yes i Samba bierze udział w wyborach, jednakże włączenie tylko tej opcji nie 
# gwarantuje zwycięstwa (pomogą w tym inne parametry, takie jak preferred master i oslevel);
local master = yes

# ustawia poziom systemu operacyjnego Samby podczas wyborów głównej przeglądarki lokalnej;
os level = 60

# Samba może przejąć funkcję głównej przeglądarki domeny we wszystkich podsieciach grupy roboczej dzięki tej opcji;
domain master = yes

# nakazuje Sambie ustawić bit preferowanej przeglądarki głównej podczas udziału w wyborach, dzięki temu komputer
# uzyskuje w grupie roboczej wyższą preferencję niż inne komputery o tym samym poziomie systemu operacyjnego
# jeśli chcesz, żeby komputer z Sambą został główną przeglądarką lokalną, powinieneś użyć poniższej opcji;
preferred master = yes

# Logowanie do domeny (włączenie tej opcji powoduje domyślne właczenie opcji domain master);
domain logons = yes

# Skrypt wykonywany podczas logowania (musi być umieszczony w udziale netlogon);
logon script = start.bat

# Ścieżka do katalogu w którym będą przechowywane profile mobilne (wędrujące) - dla systemów win9x/Me;
logon home = %L%U.win9x

# Ścieżka do katalogu w którym będą przechowywane profile mobilne (wędrujące) - dla systemów winNT/2000/XP;
logon path = %L%U.winNT

# Mapowanie katalogu domowego np. jako dysk P: (tylko dla winNT/2000/XP);
logon drive = P:


# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable it's WINS Server
; wins support = yes

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = w.x.y.z

# WINS Proxy - Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one WINS Server on the network. The default is NO.
; wins proxy = yes

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The built-in default for versions 1.9.17 is yes,
# this has been changed in version 1.9.18 to no.
dns proxy = no

# Client codepage settings
# for Greek users
; client code page=737
# for European users (Latin 1)
; client code page=850
# for European users (Latin 2)
; client code page=852

#================= Share Definitions ===================

# opcje występujące w tej sekcji:
# comment - komentarz wyświetlany przy udziale;
# browseable - jeżeli yes udział będzie widoczny dla wszystkich;
# writeable - możliwość pisania po udziale;
# read only - udział tylko do odczytu (zamienne z writeable);
# guest ok (public) - udział dostępny dla wszystkich;
# write list - lista osób lub grup oddzielonych przecinkami, które mają prawo pisania po udziale np.
# write list = user1, user2, @grupa1, @grupa2;
# path - ścieżka do udziału;
# only guest - udział, z którym łączymy się tylko za pomocą konta gościnnego;
# valid users - lista osób, które mogą korzystać z zasobu;
# create mask - maska nowo tworzonych plików np. create mask = 644;
# directory mask - maska nowo tworzonych katalogów;

# sekcja homes - katalogi domowe;
[homes]
      comment = Katalog domowy
      browseable = no
      writeable = yes
      guest ok = no
      create mask = 644
      directory mask = 755

# Udział, w którym zamieszczamy podstawowy skrypt logowania (w tym przypadku start.bat);
[netlogon]
      comment = Network Logon Service
      path = /usr/local/samba/lib/netlogon
      guest ok = yes
      writeable = no
      share modes = no
      browseable = no

# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
;[Profiles]
; path = /usr/local/samba/profiles
; browseable = no
; guest ok = yes

# NOTE: If you have a BSD-style print system there is no need to
# specifically define each individual printer
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
guest ok = no
writeable = no
printable = yes

# udział public, do którego mają dostęp wszyscy (tylko do odczytu), a zapisywać w tym udziale może 
# tylko user1, user3 i wszyscy z grupy grupa2; 
[public]
      comment = Katalog publiczny
      path = /home/samba/public
      public = yes
      browseable = yes
      read only = yes
      printable = no
      write list = user1 user3 @grupa2

# udział dostępny dla wszystkich łączących się z danego komputera (tzn. najpierw tworzymy katalogi 
# o nazwach takich jak nazwy komputerów klientów) a zmienna %m powoduje, że każdy komputer 
# posiada swój katalog na serwerze, do którego mają dostęp osoby łączące się z danej maszyny;
[pchome]
      comment = Katalog PC %m
      path = /usr/pc/%m
      public = no
      writeable = yes

# udział przeznaczony tylko i wyłącznie dla gości, po którym może pisać każdy;
[public-guest]
      path = /home/samba/public-guest
      public = yes
      only guest = yes
      writeable = yes
      printable = no

# ==================== End of file ==================

2.8 Uruchomienie Samby

Teraz wystarczy już tylko uruchomić demony Samby i skonfigurować klientów do współpracy z Sambą. Są dwie możliwości uruchomienia Samby: za pośrednictwem inetd lub jako osobne demony Samby. Jeśli chcemy uruchamić Sambę za pośrednictwem inetd, najpierw należy otworz w edytorze plik /etc/services. Jeśli nie ma w nim jeszcze poniższych linii, należy je dopisać:

#vi /etc/services

netbios-ns 137/tcp     #NETBIOS Name Service

netbios-ns 137/udp    #NETBIOS Name Service

netbios-dgm 138/tcp     #NETBIOS Datagram Service

netbios-dgm 138/udp     #NETBIOS Datagram Service

netbios-ssn 139/tcp     #NETBIOS Session Service

netbios-ssn 139/udp     #NETBIOS Session Service

Następnie robimy odpowiednie wpisy w inetd.conf

#vi /etc/inetd.conf

netbios-ssn    stream   tcp    nowait   root   /usr/local/sbin/smbd    smbd -D
netbios-ns      dgram   udp   wait      root   /usr/local/sbin/nmbd   nmbd -D

powiadamiamy demona inetd o zmianie w pliku konfiguracyjnym i sprawdzamy czy usługi zostały uruchomione:

#kill  -HUP inetd
# ps -ax

139     ??    Is    0:03.27   /usr/local/sbin/smbd -D
141     ??    Ss   0:31.07   /usr/local/sbin/nmbd -D

Drugim sposobem uruchomienia Samby jest użycie osobnych demonów. W tym celu trzeba zmienić nazwę pliku samba.sh.sample na samba.sh

#cp /usr/local/etc/rc.d/samba.sh.sample /usr/local/etc/rc.d/samba.sh

uruchomić Sambę za pmocą poleceń smbd stop i smbd restart możemy zatrzymać Sambę lub ją przeładować.

#smbd start
#nmbd start

3. NFS

NFS, network file system, implementuje architekturę klient - serwer. Każda stacja robocza może działać zarówno jako klient i serwer. NFS dostępny na niemal wszystkie platformy programowe i sprzętowe. Umożliwia użytkownikom korzystanie z katalogów i plików znajdujących się fizycznie na różnych stacjach roboczych przyjmując abstrakcyjny model systemu plików i odwzorowując go w lokalny system plików, zależny od systemu operacyjnego. Każdy serwer eksportuje jeden lub więcej swoich katalogów, udostępniając je odległym klientom. Eksportowane są całe drzewa katalogów. NFS posiada kilka elementów, które różnią go od innych systemów plików sieciowych. Po pierwsze korzysta z protokołu UDP (chociaż ostatnie wersje wykorzystuje także protokół TCP/IP). Stanowi to dużą przewagę ponieważ UDP jest protokołem nie wymagającym stałego połączenia, systemy plików oparte na NFS potrafią przetrwać awarię sieci bez problemów.

3.1 Cele projektowe systemu NFS

3.1.1 Przezroczystość

- Przezroczystość dostępu - klient NFS dostarcza interfejs dla aplikacji, umożliwiający przeprowadzanie operacji na zdalnych plikach identyczny z interfejsem dla lokalnego systemu plików. Oznacza, to że aplikacje działające na stacji klienckiej mogą wykonywać operacje na zdalnych plikach bez żadnych zmian w kodzie źródłowym.

- Przezroczystość położenia - Umożliwia klientowi NFS dostęp do zdalnych plików bez znajomości ich fizycznej lokalizacji. Klient NFS określa sieciową przestrzeń nazw plików dodając je do swojej lokalnej przestrzeni nazw. Miejsce montowania zdalnych plików w lokalnej hierarchii nazw jest wybierane przez klienta.

- Przezroczystość awarii - Ponieważ serwer NFS jest bezstanowy i większość operacji na plikach zdalnych jest powtarzalna sytuacje awaryjne dotyczące zdalnych plików są postrzegane przez klienta jako awarie lokalne. W przypadku wystąpienia awarii usługi świadczone przez serwer zostają zatrzymane do czasu ponownego uruchomienia serwera. Awaria procesu po stronie klienta nie wpływa na działanie żadnego z serwerów.

- Przezroczystość wydajności - Klient i serwer stosują buforowanie w celu poprawienia wydajności. Moduły klienta i serwera są instalowane w jądrze systemu UNIX.

- Przezroczystość wędrówki - W każdym kliencie zdalne pliki montowane są do lokalnego katalogu przez oddzielny proces. W przypadku gdy zmienia się fizyczne położenia plików należy uaktualnić tablice montowania u każdego klienta. Przydatnym narzędziem służącym do montowania plików jest automounter . Jest to proces, który niewidocznie, na żądanie, montuje i odmontowuje systemy plików. Z punktu widzenia aplikacji działających po stronie klienta zdalny system plików jest cały czas dostępny.

3.2 Bezpieczeństwo

Architektura protokołu NFS umożliwia wykorzystanie wielu mechanizmów bezpieczeństwa takich jak:

- Przekazywanie systemu plików tylko do wybranych grup klientów.

- Udostępnianie systemu plików tylko w trybie do odczytu.

- Przypisywanie numeru identyfikacyjnego jednego użytkownika drugiemu.

- Wyłączenie logowania się jako root ze zdalnego komputera.

- Blokowanie plików (tylko wersja czwarta).

3.3 Implementacja NFS w systemie UNIX

0x01 graphic

3.3.1 Serwer NFS

Moduł serwera, ze względów wydajnościowych, jest dołączony do jądra systemu UNIX. Jego głównym zadaniem jest udostępnianie (eksportowanie) klientom plików znajdujących się na serwerze. Listę udostępnionych zasobów administrator umieszcza w pliku konfiguracyjnym: /etc/exports. Katalogi wymienione w pliku konfiguracyjnym będą udostępnione klientom NFS po wykonaniu komendy

# /usr/sbin/exportfs -a

Przeważnie podczas startu systemu uruchamiany jest program, który czyta plik konfiguracyjny, następnie przekazuje do jądra systemu operacyjnego informacje o prawach dostępu do drzew katalogów (zdefiniowanych w pliku konfiguracyjnym) Następnie uruchamiane są demony:

portmap - dba o rejestrowanie usług RPC i zamianę numerów usług RPC na numery portów. Po uruchomieniu demon RPC nasłuchuje wszystkie porty, łączy się z programem portmap i rejestruje w nim numery portów. Kiedy program klienta wywołuje serwer RPC, otwiera połączenie z programem portmap na serwerze i podaje mu numer programu. Portmap odpowiada numerem portu, na którym serwer nasłuchuje, dalej klient może już bezpośrednio łączyć się z procesem na serwerze.

mountd - odpowiada za montowanie i demontowanie zasobów. Zapewnia on następujące działania:

- weryfikuje pliki /etc/host.allow i etc/hosts.decy pod kątem zezwolenia na połączenie klienta z serwerem.

- sprawdza, czy żądany system plików jest zapisany w pliku etc/exports

- sprawdza, czy klient jest uprawniony do korzystania z serwera, a jeśli tak to w jakim trybie.

- tworzy uchwyt do systemu plików i zwraca go klientowi.

- dodaje klienta do pliku etc/rmtab.

nfsd - Klient po zamontowaniu systemu plików kontaktuje się z demonem nfsd z takimi żądaniami jak otwieranie lub zamykanie plików, sprawdzanie ich statusu i typu oraz czytanie i zapisywanie danych.

Uwagi dotyczące serwera NFS:

w przypadku gdy drzewo katalogów zawiera elementy zamontowane z innego nośnika, to muszą być one osobno wymienione w pliku konfiguracyjnym.

nie można eksportować zamontowanego z innego serwera systemu plików.

3.4 Pamięć podręczna serwera

Serwery NFS korzystają z podręcznej pamięci buforowanej. Zapewniają czytanie z wyprzedzeniem, ale operacje zapisu s ˛ a wykonywane natychmiast ponieważ ewentualna awaria serwera mogłaby spowodować utratę danych, która byłaby przez klientów niezauważona.

3.4.1 Ograniczenia

Serwer może eksportować wyłącznie lokalne systemy plików.

Eksportowania zasobów lokalnych i montowania zasobów zewnętrznych może dokonywać jedynie administrator.

3.4.2 Protokół NFS

Protokół NFS działa w oparciu o RPC (Remote Procedure Call - zdalne wywołanie procedur). RPC jest usługą, dzięki której działający na komputerze lokalnym program klienta może wywoływać kod, który jest uruchamiany na serwerze w taki sam sposób jakby był uruchamiany lokalnie. Interfejs RPC dostarczany prze serwer NFS pozwala na wykonywania standartowych

operacji na plikach (m.in. zapisywanie, odczytywanie, zmiana nazwy). Jest jednak problem, który pojawia się, gdy procedury są wywoływane przez komputery z różną architekturą. Ponieważ RPC jest zaprojektowany do transferu struktur danych, elementy takie jak kolejność bajtów (które sążne dla różnych architektur) mają znaczenie dla danych przechowywanych w pamięci i mogą mieć wpływ w przypadku ich rozesłania w sieci. W związku z tym został stworzony standard nazwany XDR . Wszystkie dane przesyłane w sieci są

najpierw zamieniane na format XDR na komputerze lokalnym, a następnie ponownie zamieniane na format wewnętrzny przez komputer odbierający dane.

Tak ogólnie Serwerem można nazwać komputer lub program umożliwiający dostęp do pewnej usługi innym programom bądź komputerom zwanym klientami (tzw. architektura klient-serwer).

Do typowych przykładów należą: serwery plików umożliwiające dostęp innym komputerom w sieci do jakiegoś dysku, serwery usług internetowych - komputery podłączone do sieci Internet, których zadaniem jest udostępnianie różnych usług użytkownikom pracującym przy terminalach. Serwer powinien być zdolny do obsłużenia wielu żądań jednocześnie, w związku z tym powinien posiadać odpowiednio szybki procesor, dużą ilość pamięci operacyjnej i miejsca na dyskach twardych, serwery OLE, tzn. programy lub biblioteki umożliwiające innym programom używającym tej technologii dostęp do jakiegoś typu funkcjonalności za pomocą tzw. interfejsów.

III. Host Configuration Protocol

    1. DHCP

DHCP - (Dynamic Host Configuraton Protocol) czyli dynamiczny protokół konfiguracji hostów) jest protokołem umożliwiającym zdalną konfiguracje protokołu TCP/IP. Praktycznie każdy system operacyjny posiadający obsługę TCP/IP oferuje możliwość pobrania konfiguracji TCP/IP poprzez DHCP, czyli ustalenia: adresu IP, maski podsieci, domyślnej bramy w sieci, serwerów DNS, domeny w jakiej hosty pracują, oraz wielu innych parametrów.

W sieci, każdy komputer musi mieć protokół TCP/IP właściwie skonfigurowany. To znaczy, że adres IP, maska sieci, adres bramy oraz adres serwera DNS itd. musi być skonfigurowany na każdym komputerze. Jeżeli administrator musiałby wpisywać ręcznie parametry serwera na każdym komputerze, to trudno by było uniknąć pomyłki, np. używanie dwóch adresów - może powodować kolizje i w konsekwencji też niepoprawną pracę sieci.

DHCP jest używany dla dynamicznej konfiguracji protokołu TCP/IP na komputerach klientach. Podczas startu, komputer klient posyła żądanie, kiedy serwer DHCP otrzyma to żądanie, wtedy wybiera odpowiednie parametry niezbędne do automatycznej konfiguracji protokołu TCP/IP u klienta (zasada działania podobna jak przy użyciu modemów, np. w TPSA). Parametrami tymi są adres IP, maska sieci, adres bramy, adres serwera DNS, nazwa domeny, itd. Używając takich parametrów, serwer DHCP tworzy odpowiedź i posyła ją do klienta. Przydatną funkcją jest to, że serwer może dzierżawić konfigurację dla klienta przez ograniczony czas (jest to tak zwany "lease time"). Serwer DHCP zawsze przypisuje adres IP tak, że nie koliduje on z jakimkolwiek innym już przypisanym adresem dla innego klienta.

Więdnąć

    1. Wybór metody przypisywania adresów IP.

System Windows 2000 Professional udostępnia trzy metody przypisywania adresów TCP/IP klientom: protokół DHCP, który automatycznie konfiguruje wszystkich klientów w sieci przy użyciu serwera DHCP, automatyczne prywatne adresowanie IP (APIPA), które polega na automatycznym przypisywaniu adresów IP klientom w środowisku składającym się z jednej podsieci, oraz ręczną konfigurację adresów IP. Konieczne jest wybranie tej metody, która najlepiej odpowiada potrzebom organizacji i klientów.

0x01 graphic

Schemat przykładowej sieci wykorzystującej serwer DHCP

a) Jeżeli pożądana jest automatyczna konfiguracja hosta, a serwer DHCP jest dostępny, to należy korzystać z protokołu DHCP.

Protokół DHCP umożliwia automatyczną konfigurację adresów IP i innych parametrów klientów, przy użyciu jednego lub kilku serwerów DHCP. Jest to domyślna metoda adresowania w systemie Windows 2000 Professional. Informacje na ten temat znajdują się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie protokołu DHCP”.

b) Jeżeli pożądane jest automatyczne przypisywanie adresów IP, ale serwer DHCP nie jest dostępny, to należy korzystać z adresowania APIPA.

Automatyczne prywatne adresowanie IP umożliwia przypisywanie adresów IP komputerom w sieciach, w których nie ma serwera DHCP. Klient Windows 2000 Professional przypisuje sobie adres IP z zarezerwowanej sieci klasy B (169.254.0.0 z maską podsieci 255.255.0.0). Sieć ta nie może komunikować się bezpośrednio z hostami w innych podsieciach, w tym z hostami znajdującymi się w Internecie. Dlatego metoda ta znajduje zastosowanie jedynie w niewielkich, składających się z jednej podsieci, środowiskach, takich jak sieci domowe i biurowe. Adresowanie APIPA jest używane domyślnie, jeżeli w sieci nie jest dostępny serwer DHCP. Informacje na ten temat znajdują się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie automatycznego prywatnego adresowania IP”.

c) Jeżeli DHCP ani APIPA nie mogą być używane, należy ręcznie skonfigurować adresy IP.

Jeżeli w sieci nie jest dostępny serwer DHCP, a adresowanie APIPA nie może być używane, to należy ręcznie skonfigurować adresy IP i maski podsieci dla wszystkich stacji klienckich.

d) Omówienie przypisywania adresów IP

Każdy komputer w sieci TCP/IP jest identyfikowany przez unikalny, 32-bitowy adres IP, umożliwiający mu komunikowanie się z innymi hostami w sieci prywatnej lub w Internecie. Adresy IP można podzielić na dwie klasy: adresy publiczne oraz prywatne. Obie klasy są przydzielane przez instytucję o nazwie IANA (Internet Assigned Numbers Authority), która jest odpowiedzialna za zarządzanie i przydział adresów IP w Internecie oraz na prywatny użytek różnych organizacji.

e) Publiczne adresy IP

IANA przydziela organizacjom grupy adresów IP w Internecie. Organizacje te mogą następnie przypisywać otrzymane adresy poszczególnym swoim komputerom. Poszczególne komputery muszą korzystać z różnych adresów IP. Aby komputer był widoczny w sieci Internet, musi być osiągalny po podaniu publicznego adresu IP.

Publiczny adres IP może zostać przypisany komputerowi używającemu systemu Windows 2000 Professional za pośrednictwem dostępnego w sieci organizacji serwera protokołu DHCP, skonfigurowany ręcznie lub przyznany przez dostawcę usług internetowych (ISP) podczas nawiązywania połączenia telefonicznego.

f) Prywatne adresy IP

Instytucja IANA zarezerwowała pewną ilość adresów IP, które nigdy nie są używane w globalnej sieci Internet. Te prywatne adresy IP mogą być używane w sieciach, które nie są połączone bezpośrednio z Internetem, lecz wymagają łączności IP. Jeżeli użytkownik chce połączyć kilka komputerów używających systemu Windows 2000 Professional w niewielką sieć, to może skorzystać z funkcji automatycznego prywatnego adresowania IP, przydzielającej każdemu komputerowi prywatny adres IP. Eliminuje to konieczność konfigurowania adresu IP dla każdego komputera, nie jest również potrzebny serwer DHCP.

Łączność z Internetem w sieci używającej adresowania prywatnego można uzyskać korzystając z komputera działającego jako serwer proxy lub translator adresów sieciowych NAT (Network Address Translator). System Windows 2000 Professional zawiera funkcję Udostępniania połączenia internetowego, oferującą usługi NAT klientom w sieci prywatnej. Więcej informacji na temat Udostępniania połączenia internetowego znajduje się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie Udostępniania połączenia internetowego”.

g) Protokół DHCP

Serwer DHCP przechowuje bazę danych o dostępnych adresach IP. Serwer ten może też udostępniać klientom dodatkowe informacje konfiguracyjne, takie jak adresy serwerów DNS i WINS, adresy bram itp.

Podczas inicjalizacji każdy klient DHCP żąda od serwera danych konfiguracyjnych, umożliwiających automatyczne określenie adresu IP, maski podsieci i innych parametrów. Adres IP jest przydzielany każdemu klientowi na określony w serwerze czas, nazywany dzierżawą. Dzierżawa może być okresowo odnawiana przez klienta. Jeżeli tak się nie stanie, to jego adres IP jest zwracany do bazy danych, dzięki czemu staje się dostępny dla innych klientów DHCP. Protokół DHCP stanowi efektywną metodę przydzielania adresów IP w dużych sieciach, upraszczając konfigurację klientów i umożliwiając ponowne wykorzystanie zwolnionych adresów.

- Konfigurowanie protokołu DHCP

Aby protokół TCP/IP był łatwiejszy do zarządzania, firma Microsoft we współpracy z innymi wiodącymi firmami opracowała internetowy standard, którym jest protokół DHCP. Protokół ten umożliwia automatyczne przydzielanie parametrów konfiguracyjnych TCP/IP. DHCP nie jest standardem należącym do firmy Microsoft, lecz otwartą specyfikacją (RFC 2131), którą firma Microsoft zaimplementowała w swoich produktach.

Udostępnienie serwera DHCP w organizacji pozwala administratorowi sieci na określenie zakresu prawidłowych adresów IP dla poszczególnych podsieci oraz szeregu innych opcji, umożliwiających automatyczną konfigurację parametrów takich, jak maska podsieci, domyślna brama oraz adresy serwerów DNS i WINS. Poszczególne adresy IP z zakresów oraz powiązane z nimi opcje są przypisywane dynamicznie każdemu klientowi DHCP, który żąda adresu. Jeżeli protokół DHCP jest dostępny w całej organizacji, to użytkownik może przenosić się między podsieciami i zawsze otrzymuje poprawny adres IP. DHCP umożliwia także ustanowienie okresu dzierżawy, określającego jak długo konfiguracja adresu IP pozostaje aktualna. Funkcję serwera DHCP może pełnić komputer używający systemu Windows NT Server w wersji 3.5 lub późniejszej, w którym działa usługa DHCP.

h) Automatyczne prywatne adresowanie IP

Automatyczne prywatne adresowanie IP (APIPA) jest odpowiednim rozwiązaniem w niewielkich sieciach, nie podzielonych na podsieci. Jeżeli serwer DHCP nie jest dostępny, to komputer może automatycznie przypisać sobie adres IP z puli adresów prywatnych. Gdy serwer DHCP zostanie udostępniony w sieci, komputer automatycznie zmieni adres na otrzymany od tego serwera. Komputery korzystające z adresowania APIPA mogą komunikować się jedynie z innymi komputerami używającymi tego schematu, znajdującymi się w tej samej podsieci. Nie są one bezpośrednio osiągalne z sieci Internet.

- Konfigurowanie automatycznego prywatnego adresowania IP

Adresowanie APIPA umożliwia klientowi DHCP w systemie Windows 2000 Professional przydzielanie sobie adresu IP w następujących sytuacjach:

W opisanych wyżej sytuacjach klient DHCP w systemie Windows 2000 Professional dokonuje autokonfiguracji protokołu TCP/IP. Używa do tego celu adresu IP wybranego z zarezerwowanej przez IANA sieci klasy B o adresie 169.254.0.0, z maską podsieci 255.255.0.0. Klient DHCP przeprowadza badanie zduplikowanych adresów w celu sprawdzenia, czy wybrany adres IP nie jest już używany przez inny komputer. Jeżeli wybrany adres jest używany przez inną stację roboczą, to jest wybierany kolejny adres. Proces ten jest powtarzany 10 razy. Klient w dalszym ciągu próbuje w tle odszukać serwer DHCP, powtarzając żądanie DHCP co pięć minut, a po jego znalezieniu porzuca ustawienia skonfigurowane automatycznie i zaczyna korzystać z adresu zaoferowanego mu przez ten serwer.

- Aby sprawdzić, czy adresowanie APIPA jest aktualnie włączone, należy:

- Automatyczne prywatne adresowanie IP można wyłączyć na jeden z dwóch następujących sposobów:

i) Statyczne adresowanie IP

W przypadku statycznego adresowania IP konieczne jest ręczne określenie adresów IP dla każdego komputera w sieci. Metoda ta może być bardzo pracochłonna, ponadto pozwala ona na powstawanie błędów - szczególnie w średnich i dużych sieciach. Jest ona zalecana jedynie wówczas, gdy adresowanie APIPA lub DHCP nie jest możliwe lub opłacalne.

j) Ręczne konfigurowanie adresowania IP

Jeżeli korzystanie z DHCP lub APIPA w celu przypisywania adresów i podsieci IP nie jest możliwe, to adres IP klienta używającego systemu Windows 2000 Professional musi zostać określony ręcznie. Do wymaganych wartości, które należy skonfigurować, zaliczają się:

Adres IP dla każdego adaptera sieciowego zainstalowanego w komputerze.

Maska podsieci odpowiadająca sieci dołączonej lokalnie do każdego z adapterów.

- Aby ręcznie skonfigurować protokół TCP/IP, należy:

W Panelu sterowania otworzyć Połączenia sieciowe i telefoniczne.

Kliknąć prawym przyciskiem myszy połączenie lokalne, które ma być modyfikowane.

0x01 graphic

Wybrać opcję Właściwości. Na zakładce Ogólne wybrać Protokół internetowy (TCP/IP). Kliknąć opcję Właściwości.

0x01 graphic

Na zakładce Ogólne wybrać opcję Użyj następującego adresu IP.

W odpowiednich polach wpisać adres IP, maskę podsieci oraz adres bramy domyślnej. Administrator sieci musi udostępnić te wartości poszczególnym użytkownikom, w oparciu o plan adresowania w danej sieci.
Wartość w polu Adres IP identyfikuje adres IP przypisany danemu interfejsowi.Wartość w polu Maska podsieci jest używana do wyznaczania identyfikatora sieci dla danego adaptera sieciowego.

Zaznaczamy „PODAJ ADRES IP”. Wpisujemy adres IP, który nie będzie z zakresu przydzielanego przez nasz serwer DHCP, czyli 10.a.b.c. - gdzie a,b to dowolne liczby z zakresu 1-255 (włącznie), czy z zakresu 0-255. W przypadku, gdy a=b=0, wpisujemy adresy z zakresu przyznawanego przez DHCP gdyż może nastąpić konflikt związany z tym, że przydzieliliśmy adres z puli tych nadawanych przez serwer DHCP.

Akceptujemy maskę podsieci (taką, jaką odczytaliśmy po zastosowaniu polecenia WINIPCFG). Komputer zada nam pytanie, czy uruchomić komputer, aby nowe ustawienia zostały wprowadzone. Opowiadamy TAK i od tej pory nasz komputer będzie miał stały adres, który nie ulegnie zmianie. Podczas nadawania stałych adresów IP musimy pamiętać, że w sieci nie mogą istnieć komputery o tych samych adresach IP przyznawanych na stałe lub dynamicznie przez serwer DHCP. W tym przypadku, gdy nastąpi konflikt otrzymamy komunikat:

0x01 graphic

Dlatego też najlepiej podczas nadawania stałych adresów włączać tylko ten komputer któremu chcemy nadać stały adres i po nadaniu wyłączyć go. Podobnie należy postąpić z następnym. Jeżeli w ten sposób przyznamy adresy wszystkim komputerom w sieci, powinniśmy zabezpieczyć się przeciwko otrzymywaniu powyższego komunikatu, dzięki czemu unikniemy konfliktów podczas nadawania stałych adresów.

    1. Multicast DHCP

Wraz z MADCAP (Multicast Address Dynamic Client Allocation Protocol) pojawiła się w Windows 2000 DHCP możliwość skonfigurowania puli adresów typu multicast (224.0.0.0 do 239.255.255.255) pozwalająca na dzierżawienie adresów klasy D. Standardowo serwer DHCP jest używany do przydzielania adresów typu unicast klas A, B i C, pozwalających na komunikacje typu point-to- point pomiędzy dwoma hostami. Dzięki MADCAP jest możliwe dynamiczne przydzielanie adresów multicast w sieci TCP/IP. Ponieważ adres typu multicast jest dzielony jednocześnie przez wiele komputerów, a datagram IP wysyłany na multicast jest wysyłany do wszystkich hostów dzielących ten numer, to w ten sposób możliwa jest komunikacja od jednego komputera do wielu.

4. Serwer DHCP

Wykorzystanie serwera DHCP w sieci ogranicza do minimum pracę administratora przy konfiguracji protokołu TCP/IP oraz eliminuje możliwość popełnienia pomyłki. Pozwala również na centralne zarządzanie zasobami TCP/IP, co ułatwia pracę administratora. Przeniesienie hosta do innej podsieci lub zmiana adresów w podsieci nie wiąże się z potrzebą ręcznej konfiguracji wszystkich hostów w sieci. Wraz z nowymi cechami serwera Windows 2000 DHCP wyeliminowane zostały problemy, które występowały we wcześniejszej wersji systemu ­ konfiguracja stacji przy braku serwera, autoryzacja serwerów w Active Directory i współpraca z Dynamic DNS

a) Proces dzierżawy DHCP

Za pierwszym razem, gdy klient używający systemu Windows 2000 Professional z DHCP łączy się z siecią, automatycznie przeprowadza proces inicjalizacji konieczny do otrzymania dzierżawy adresu z serwera


5. Proces dzierżawy DHCP

  1. Klient DHCP systemu Windows 2000 Professional żąda przydzielenia adresu IP, rozgłaszając w lokalnej podsieci komunikat (tzw. komunikat DHCPDiscover).

  1. Serwer DHCP oferuje klientowi adres, odpowiadając mu komunikatem zawierającym adres IP i inne informacje konfiguracyjne (DHCPOffer). Jeżeli żaden serwer DHCP nie odpowie na żądanie klienta, to klient ten może postąpić na jeden z dwóch sposobów:

  1. Klient informuje serwer o zaakceptowaniu dzierżawy wybierając oferowany adres i odpowiadając serwerowi za pomocą komunikatu DHCPRequest.

  1. Adres jest przydzielany klientowi, a serwer DHCP odsyła komunikat potwierdzający (DHCPAck), zezwalając w ten sposób na dzierżawę. W komunikacie tym mogą być zawarte inne, opcjonalne informacje DHCP, takie jak brama domyślna lub adres serwera DNS.

  1. Po odebraniu potwierdzenia przez klienta, konfiguruje on swoje parametry TCP/IP, łącznie z opcjonalnymi informacjami zawartymi w komunikacie DHCPAck, a następnie kończy inicjalizację protokołu TCP/IP.

W rzadkich sytuacjach serwer DHCP może zwrócić klientowi potwierdzenie negatywne. Dzieje się tak, gdy klient żąda nieprawidłowego lub powtórzonego adresu IP. Jeżeli klient otrzyma potwierdzenie negatywne (DHCPNack), to musi ponownie rozpocząć cały proces dzierżawy.

b) Ponowne uruchomienie klienta DHCP

Gdy klient używający systemu Windows 2000 Professional, który uprzednio wydzierżawił adres IP, jest ponownie uruchamiany, to rozgłasza komunikat DHCPRequest, zawierający żądanie poprzednio przypisanego adresu IP. Jeżeli adres ten jest w dalszym ciągu dostępny, to serwer DHCP odpowiada komunikatem potwierdzającym, a klient przyłącza się do sieci.
     Jeżeli adres IP nie może być ponownie użyty przez klienta, ponieważ nie jest już prawidłowy, jest wykorzystywany przez innego klienta lub jest błędny, gdyż klient przeniósł się fizycznie do innej podsieci, to serwer DHCP odsyła klientowi potwierdzenie negatywne (DHCPNack). W takiej sytuacji klient musi na nowo rozpocząć proces dzierżawy.

c) Odnawianie dzierżawy DHCP

Aby zagwarantować, że adresy nie będą znajdowały się w stanie przypisania gdy nie będą już potrzebne, serwer DHCP nakłada na ich dzierżawę określany przez administratora limit czasu.

Podczas trwania dzierżawy klient DHCP żąda jej odnowienia, po czym serwer DHCP przedłuża ten czas. Jeżeli komputer przestanie korzystać z przydzielonego mu adresu IP (np. zostanie przeniesiony do innej sieci lub usunięty), to czas dzierżawy mija, a adres staje się dostępny do ponownego przypisania.

d) Konfigurowanie klienta DHCP w systemie Windows 2000 Professional

Po zainstalowaniu protokołu TCP/IP system Windows 2000 Professional automatycznie włącza opcję pobierania adresu IP z serwera DHCP. Opcję tą można wyłączyć, jeżeli adres IP ma zostać określony ręcznie.

Narzędzie konfiguracyjne protokołu IP (Ipconfig) pozwala użytkownikom i administratorom na sprawdzenie aktualnego adresu IP przypisanego do komputera, okresu jego dzierżawy oraz innych użytecznych danych dotyczących konfiguracji TCP/IP. 5)Ustalenie adresów komputerów

Ustalenie adresów komputerów możemy wykonać na kilka sposobów - za pomocą komendy WINIPCFG na komputerze uczniowskim lub za pomocą DHCP Manager na serwerze.

a) Ustalanie adresu IP komputera za pomocą komendy WINIPCFG

Aby sprawdzić adres IP komputera, należy zalogować się na danym komputerze - jako użytkownik, który ma możliwość uruchomić programy przez START/URUCHOM (w pracowni poziom B, C lub użytkownik należący do grupy o uprawnieniach administracyjnych) - i wpisać WINIPCFG.

0x01 graphic

Po naciśnięciu OK otrzymamy informację dotyczącą ustawień sieciowych naszego komputera, tzn. adres IP 10.0.0.238.

0x01 graphic

Po wybraniu Więcej informacji pojawi się okno:

0x01 graphic

W oknie tym otrzymamy dodatkowe informacje:

- nazwa NetBiosowa, jaką ma nasz komputer w sieci (wzorcowy),

- maska podsieci (255.255.255.0) - informacja ta będzie przydatna w przypadku nadawania stałego adresu IP w naszej sieci,

- adres serwera DHCP (10.0.0.2),

- czas, do jakiego adres naszego komputera nie ulegnie zmianie (16.11.2001) - choć w przypadku małej ilości komputerów korzystających z serwera DHCP adres ten może nie zmieniać się przez dłuższy okres czasu, gdyż przed wygaśnięciem okresu dzierżawy komputer będzie próbował przedłużyć okres dzierżawy od serwera DHCP (pod warunkiem, że komputer będzie uruchomiony przed wygaśnięciem tego okresu) i najprawdopodobniej serwer przedłuży DHCP okres dzierżawy bez zmiany okresu.

b) Uruchamianie serwera DHCP

Inną metodą ustalania i przydzielania adresów IP jest wykorzystanie serwera DHCP. Przydatna jest zwłaszcza dla leniwych administratorów, gdyż możemy ustalić i przydzielać IP komputerom bez wstawania od serwera. Serwera tego używa się między innymi do dynamicznego przydzielania adresów IP komputerów w sieci, co powoduje zmniejszenie potrzebnej konfiguracji w sieci i jest przydatne w przypadku podłączenia do sieci nowego komputera.

Serwer DHCP uruchamiamy, wpisując kolejno polecenia(w windows2000)

START/PROGRAMS/ADMINISTRATIVE TOOLS/DHCP

MANAGER lub przez wpisanie polecenia DHCPADMN w MENU/RUN.

0x01 graphic

Klikamy dwukrotnie na plus przy Local Machine. Możemy otrzymać informację, że DHCP jest aktywny (żółta żarówka) lub nie (szara żarówka) - ustawienia te zmienimy w MENU/SCOPE/DEACTIVE (ACTIVATE).

c) Odczytanie podstawowych informacji na temat ustawień serwera DHCP

Jeżeli chcemy uzyskać podstawowe informacje na temat ustawień serwera, uruchamiamy

MENU/SCOPE/PROPERTIES.

W oknie tym widzimy, jaki jest zakres przydzielanych przez DHCP adresów oraz maskę podsieci (Subnet Mask).

W polu Exclusion Range wpisujemy adresy (zakres adresów), które chcemy wydzielić z puli adresów przydzielanych przez serwer DHCP (np. przydzielonych na stałe określonym komputerom). Adresy te pojawią się w prawej górnej części okna i wtedy serwer nie będzie przydzielał adresów z tego zakresu. Dzięki temu nie będą występowały konflikty pomiędzy adresami przydzielanymi na stałe na stanowiskach uczniowskich a przydzielanymi przez serwer DHCP.W obszarze Lease Duration określamy długość czasu dzierżawy adresów - niewskazane jest ustawienie nieograniczonego czas dzierżawy (Unlimited), natomiast możemy zwiększyć czas dzierżawy do kilkunastu dni - będziemy mieli wtedy większą szansę, że przy ponownym podłączeniu komputera do serwera jego adres nie ulegnie zmianie (podczas instalacji serwera DHCP czas ten jest ustawiany domyślnie na 3 dni)

d) Ustalanie IP klienta za pomocą serwera DHCP

Wybieramy kolejno MENU/SCOPE/ACTIVE LEASES. Otrzymamy okno:

0x01 graphic

W pierwszej kolumnie możemy zobaczyć, jakie adresy przydzielił serwer DHCP komputerom, a w drugiej - jakie są nazwy NetBiosowe tych komputerów, w trzeciej może się pojawić informacja, że dany komputer ma przydzielony stały adres - (Reservation in use).
Klikając dwukrotnie na dany komputer (lub Properties), otrzymamy szczegółowe informacje:

0x01 graphic

zawierającą adres (10.0.0.229). nazwę (student1) oraz adres MAC karty (Unique Indentifier) Ta ostatnia informacja będzie przydatna podczas przydzielania "stałego adresu przez DHCP" oraz wtedy, kiedy wygaśnie okres dzierżawy adresu (Lease Expires).

e) Przydzielanie stałych adresów za pomocą serwera DHCP

Jeżeli chcemy za pomocą serwera DHCP przydzielić na stałe adres IP - ściślej mówiąc zarezerwować konkretny adres - wybieramy kolejno polecenia MENU/SCOPE/ACTIVE RESERVATION. Pojawi się okno:

0x01 graphic

Wypełniamy odpowiednie pola: - wpisujemy adres z zakresu, jaki ma serwer DHCP;
- w polu Unique Indentifier wpisujemy adres MAC karty (możemy go skopiować z okienka Client Properties),

- na koniec wpisujemy nazwę klienta. Od tej pory serwer temu komputerowi będzie przydzielał ten sam adres. Wybierając ponownie MENU/SCOPE/ACTIVE LEASES, otrzymamy okno, w którym w trzeciej kolumnie będzie zapisane, że dany komputer ma zarezerwowany na stałe adres (Reservation)

6. DHCP w Unix`ie

Opcje dostępne w dhcpd.conf (uruchamiamy : /usr/local/etc/dhcpd.conf)

a) Wyrażenia topologii

server-identifier nazwahosta; - rejestruje adres IP serwera;

group {[parametry][opcje]} - grupuje wyrażenia, aby zastosować zbiór parametrów do wszystkich członków grupy;

subnet adres netmask maskasieci {[parametry][opcje]} - definiuje adres IP sieci i jej maskę (zbędny komentarz);

host nazwahosta {[parametry][opcje]} - definiuje opcje dla indywidualnych klientów;

b) Parametry konfiguracyjne

range dolnyadres górnyadres; - zakres adresów IP do dynamicznego przydzielania;
default-lease-time sekundy; - czas dzierżawy adresu w sekundach używany, jeśli klient nie zażąda określonego czasu użytkowania adresu;

max-lease-time sekundy; - maksymalna długość czasu dzierżawy adresu, niezależnie od czasu zażądanego przez klienta;

hardware typ adres; - definiuje adres sprzętowy klienta;

fixed-address adres; - przypisuje jeden lub więcej adresów IP hostowi;

server-name nazwa; - nazwa hosta serwera DHCP udostępninego klientowi;

c) Opcje DHCP

option subnet-mask maska; - określa maskę sieci, jeśli nie jest podana, dhcpd używa maski z wyrażenia subnet;

option routers adres[, adres...]; - wymienia rutery, których powinien używać klient;

option domain-name-server adres[, adres...]; - serwery nazw DNS;

option domain-name domena; - definiuje domenę;

option broadcast-address adres; - (zbędny komentarz);

d) Edycja pliku : dhcpd.conf

Teraz przystępujemy do edycji pliku konfiguracyjnego 

# vi /usr/local/etc/dhcpd.conf:

Przykładowy plik konfiguracyjny dhcpd.conf:

#========== dhcpd.conf ==========
#
# Sample configuration file for ISC dhcpd
#

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;

# ad-hoc DNS update scheme - set to "none" to disable dynamic DNS updates.
ddns-update-style none;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# identyfikator serwera (nazwa naszego BSD)
server-identifier server.domena.com;

#=============== definicja naszej sieci ==================
# tutaj wpisujemy dane naszej sieci czyli adres sieci i jej maskę
subnet 192.168.1.0 netmask 255.255.255.0 {       

# zakres adresów IP, które chcemy przydzielać dynamicznie
range 192.168.1.100 192.168.1.190;

# dodatkowo możemy przydzielić dynamicznie adres serwera DNS, adres routera itd. 
# adresy serwerów DNS      
option domain-name-servers 194.204.152.34; 

# domena w jakiej pracujemy
option domain-name "twoja_domena.com";                  

# adres routera (bramki)
option routers 192.168.1.1;                            

# adres rozgłoszeniowy
option broadcast-address 192.168.1.255;        

# czasy, po których zostaną zwolnione adresy 
default-lease-time 7200;                                 
max-lease-time 14400;
}

# jeżeli konkretnym hostom chcemy przypisać stały adres IP dodajemy dyrektywę host
# gdzie xx:xx:xx:xx:xx:xx jest MAC adresem karty sieciowej danego hosta:

host komp1 { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address 192.168.1.10; }
host komp2 { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address komp2.domena.com; }

# w pierwszym przypadku z góry nadajemy adres IP
# w drugim przypadku trzeba dodać odpowiednie wpisy w dns'ie (zobacz DNS) lub /etc/hosts

#==================== End of file ====================

W ten oto sposób przydzielamy losowo adresy IP w naszej sieci (range 192.168.1.100 192.168.1.190;) a dwa hosty mają zawsze ten sam adres IP. Przy okazji jeszcze dynamicznie przyznajemy domyślną bramkę (option routers 192.168.1.1;) oraz domyślny serwer DNS (option domain-name-servers 194.204.152.34;) itd. Jest to przydatne gdyż komputery w sieci same pobierają wszystkie niezbędne dane i nie trzeba ich ręcznie konfigurować. 

Jest to przykład pliku gdzie przydzielamy adresy jednej sieci. Jeżeli jest taka sytuacja, że mamy kilka sieci to poniżej definiujemy nową sieć a opcje, które są wspólne dla wszystkich sieci umieszczamy w sekcji globalnej czyli na początku pliku a nie w dyrektywie subnet (zaoszczędzi nam to pisania).

Teraz wystarczy uruchomić nasz serwer DHCP:

#/usr/local/sbin/dhcpd

lub krócej

# dhcpd

  1. Kosztorys i bibliografia

1.Bibliografia:

"Komputer. Internet. Cyfrowa Rewolucja" prof. Piotr J. Durka http://www.rsasecurity.com http://www.checkpoint.com "Prezentacja systemu plików NFS" Jakub Jonik "SMB jako rozproszony system plików" Sławomir Zatorski http://freebsd.kie.pl

2. Kosztorys (dodany w załączniku do pracy dyplomowej)

84

84


Wyszukiwarka

Podobne podstrony:
streszczenie panelu, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu
2 praca dyplomowa sklep internetowy fixed YQEBDWOZT53SOADIG5SCLTTSVRLYEOS6UCAWVZI
Szkolenie iso zetom, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu
ISO PPJ, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
iso 7, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
Praca Magisterska(1)1 Portale Internetowe, Informatyka
IS0900, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
Praca Dyplomowa(2) Sieci Komputerowe, Informatyka
ISO 4, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
Praca dyplomowa - Sieci Neuronowe, informatyka, Sieci neuronowe
Praca dyplomowa1, Technika Rolnicza, Metody taksonometrii
iso 2, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
Praca dyplomowa, Technika Rolnicza, Metody taksonometrii
nadzor nad dokumentacja iso, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu
iso 5, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu, iso 9000
streszczenie panelu, Prace dyplomowe i magisterskie, praca dyplomowa, materiały z internetu
praca dyplomowa wytyczne 2011 03 02, Studia - Politechnika Opolska, Semestr 6, Techniki Internetowe

więcej podobnych podstron