Zespół Szkół Elektrycznych
Im. Prof. Janusza Groszkowskiego
PRACA DYPLOMOWA
Wykonawcy: Promotor:
Drobot Marcin mgr inż. Adam Aleksiejczuk
Sadowski Przemysław
Onoszko Paweł
Białystok 20.05.04
SPIS TREŚCI
Internet, zarządzanie dostępem do Internetu 5
1. Rewolucja Internetowa 5
1.1 Internet Technicznie 7
1.2 Internet Socjologicznie 7
1.3 Co dziś daje Internet 8
1.4 Co zrobimy za chwilę? 10
2. Meta IP - zarządzanie adresami w sieciach IP 10
2.1 Kluczowe cechy Meta IP 12
2.2 Dynamiczne tłumaczenie nazw - DNS 12
2.3 Dynamiczne przydzielanie adresów IP - DHCP 13
2.4 Weryfikacja pracowników zdalnych - RADIUS 13
3. Komfortowe zarządzanie siecią i aplikacjami sieciowymi 14
3.1 Gdzie kończy się komfort a zaczyna polityka bezpieczeństwa? 15
3.2 Komfort administratora i komfort użytkownika 16
3.3 Tradycyjny model zarządzania uwierzytelnieniami 16
3.4 Cisco Secure ACS 17
3.5 Integracja CS ACS z innymi systemami 18
3.6 RSA ACE Server - przede wszystkim bezpieczeństwo 18
3.7 Uwierzytelnianie administracyjnego dostępu do urządzeń 19
3.8 Cut-through Proxy - uwierzytelnianie dostępu do usług 19
3.9 Wygodny i bezpieczny zdalny dostęp do sieci 20
4. Webmin program zarządzający serwerem i dostępem do Internetu 21
4.1 Instalacja 23
4.2 Logowanie do Webmin`a 24
4.3 Interfejs 25
4.4 Moduły kategori Webmin 27
4.4.1 Grupa Konfiguracja Webmina 27
4.4.2 Moduły kategorii System 28
4.4.3 Moduły kategorii Servery 30
4.4.4 Moduły kategorii Sieć 31
4.4.5 Moduły kategorii Sprzęt 32
4.4.6 Moduły kategorii Klaster 33
4.4.7 Moduły kategorii Inne 33
4.5 Podsumowanie 34
Serwery plików 35
1 FTP 36
1.1 Instalacja servera FTP 37
1.2 Konfiguracja servera FTP 37
2. SMB 40
2.1 Implementacje Microsoftu 41
2.2 Dostęp do plików na innym komputerze 41
2.3 Różnice w systemach plików Windows i Unix 42
2.3.1 Ukrywanie plików 42
2.3.2 Dowiązania 42
2.3.3 Prawa dostępu i atrybuty plików 43
2.4 Współbieżny dostęp do plików 44
2.4.1 Blokady oportunistyczne 44
2.4.2 Buforowanie 44
2.5 Uwierzytelnianie, kontrola dostępu 45
2.5.1 Zabezpieczenia na poziomie udziału 45
2.5.2 Zabezpieczenia na poziomie użytkownika 45
2.5.3 Zabezpieczenia na poziomie serwera 45
2.5.4 Zabezpieczenia na poziomie domeny 46
2.6 Odporność na awarie 46
2.7 Instalacja i konfiguracja Samby 46
2.8 Uruchomienie Samby 53
3. NFS 55
3.1 Cele projektowe systemu NFS 55
3.1.1 Przezroczystość 55
3.2 Bezpieczeństwo 56
3.3 Implementacja NFS w systemie UNIX 57
3.3.1 Serwer NFS 57
3.4 Pamięć podręczna serwera 59
3.4.1 Ograniczenia 59
3.4.2 Protokół NFS 59
Host Configuration Protocol 61
1. DHCP 61 2. Wybór metody przypisywania adresów IP 62 3. Multicast DHCP 71 4. Serwer DHCP 71 5. Proces dzierżawy DHCP 72 6. DHCP w Unix`ie 80
IV. Kosztorys i bibliografia 84
1. Bibliografia 84
2. Kosztorys 84
I. Internet, zarządzanie dostępem do Internetu
Rewolucja Internetowa
Mało kto pamięta zapewne jak jeszcze bardzo niedawno korzystaliśmy z maszyny do pisania, teleksu czy telegramu, by zapisać, przekazać i odebrać myśli kierowane do naszych rozmówców, czy to prywatnych czy też służbowych. Pewnie lepiej pamiętamy, jaką przed zaledwie kilku laty rewolucyjną zmianę dokonał w naszych metodach komunikacji faks, z którego chętnie korzystamy przecież i dzisiaj. Ciągle jeszcze korzystamy z klasycznego telefonu, choć czy pamiętamy jeszcze panie telefonistki, które łączyły (godzinami) nasze rozmowy międzymiastowe, że nie wspomnieć o międzynarodowych, np. do Stanów Zjednoczonych, gdzie często po 24. godzinach oczekiwania nadal nie mieliśmy oczekiwanego połączenia. Nie tak dawno przecież ciężko było uzyskać połączenie telefoniczne pomiędzy dzielnicami Warszawy. Może pamiętacie jeszcze kilkukilogramowe pierwsze telefony komórkowe, z którymi paradowało się po mieście częściowo niezależnie od łaski monopolisty telekomunikacyjnego.
Jaki to miało wpływ na biznes? Ogromny! Jeśli chcieliśmy dowiedzieć się czegoś o produkcie, którym nasz potencjalny Klient lub Partner był zainteresowany prosiliśmy go o kilkanaście dni cierpliwości. Po czym kierowaliśmy nasze zapytania do producenta lub jego przedstawicieli pocztą, a w najlepszym wypadku faksem i cierpliwie (od czasu do czasu ponaglając telefonicznie) czekaliśmy na informacje. Potem spotkania i rozmowy z Klientem, a na końcu kontrakt. I wtedy następował krok drugi - zamawianie, uzgadnianie dostaw i oczekiwanie na towary czy materiały. W sumie jeden lub dwa miesiące. Głównie dlatego, że czas spędzony na komunikacji czyli wymianie informacji był często dłuższy niż czas wyprodukowania interesującego nas dobra! Już wtedy, kto szybciej potrafił pozyskać informację, ten szybciej był w stanie nie tylko zdobyć kontrakt, ale przede wszystkim szybciej uzyskać za niego zapłatę (tę samą co opieszały konkurent).
Nagle okazało się, że można inaczej - szybciej, skuteczniej i taniej. Nie od razu wszyscy to zauważyli. W Polsce, podobnie zresztą jak w krajach lepiej uprzemysłowionych, zaczęło się w świecie akademików, którym - z lenistwa chyba - zachciało się komunikować miedzy sobą przy pomocy sieci komputerowych. I tak w Instytucie Informatyki zaczęto zajmować się sieciami komputerowymi, by sprostać jakże dziś prostemu zadaniu - połączenia Instytutu z jednym z kilku węzłów sieci EARN zafundowanej kilku uczelniom przez IBM. Zadanie nie było proste. Okazało się, że wśród kilkunastu protokołów komunikacji istnieje coś takiego jak "IP" czyli Internet Protocol. I tak wkrótce (zamiast połączenia IBM-mainframe w węźle EARN) powstały dwa pierwsze profesjonalne węzły polskiego Internetu (Kraków - Warszawa, 1991rok). A dalej poszło już samo, jak lawina. Od raptem pięciuset użytkowników dziewięć lat temu do paru milionów dzisiaj! Nie wszyscy pamiętają zapewne, kiedy zaczęli powszechnie używać tajemniczego adresu internetowego na wizytówkach, kiedy powstały pierwsze serwisy WWW. Prawdziwy i powszechnie widoczny (w mediach) boom internetowy w Polsce zaczął się zaledwie rok temu!
Internet technicznie
Pierwsza, bardziej techniczna, definicja określi "internet" jako ogólnoświatową sieć wzajemnie połączonych komputerów (hostów) porozumiewających się wspólnym językiem (protokołem komunikacji zwanym Internet Protocol, IP). Każdy z tych komputerów jest równoważny innym, określony jednoznacznym adresem wyróżniającym go w sieci. Każdy z tych komputerów może świadczyć dla wszystkich innych szeroki pakiet usług, zwanych usługami sieciowymi (podstawowe to np. poczta, transfer plików i serwis WWW). I tu trzeba dodać jeszcze pojęcie "intranet", które jest tym samym technologicznie tworem co "internet", a jedyną różnicą jest ograniczenie geograficzne do zasięgu budynku, korporacji czy dowolnej organizacji i przeznaczenie do wykorzystania przez upoważnione osoby (mówi się o sieci prywatnej czy korporacyjnej). Dla jasności: Gdy mówię "internet" myślę "Internet oraz tyle Intranetów, ile prywatnych sieci". Intranety oddziela się od Internetu ... łącząc poprzez tzw. ściany ogniowe (firewall).
1.2 Internet socjologicznie
Druga definicja ma raczej charakter socjologiczny - "internet" to spontaniczne zjawisko rozwijające się na świecie pod koniec XX wieku polegające na masowym łączeniu się ludzi w sieć komunikacyjną pozwalającą im czuć się bliżej siebie, niwelować odległości, cieszyć się i bawić, pracować i zarabiać pieniądze oraz ostatnio nawet podglądać innych w ich prywatnym życiu. Zjawisko to rozwija się w fantastycznym tempie we wszystkich zakątkach świata, a jedynym co może go ograniczyć to monopole telekomunikacyjne, które starają się zapobiegać wypieraniu klasycznej metody komunikacji głosowej (źródło ich dochodów) ograniczając (m.in. poprzez ceny) możliwości dołączania się kolejnych szaleńców do światowej pajęczyny połączeń internetowych. Zjawisko rozpowszechnia się w szalonym tempie zmieniając rzeczywistość, sposób postrzegania świata, sposób wychowania młodzieży, metody konkurowania i sposoby zarabiania pieniędzy. Podstawę rozwoju zjawiska zwanego internetem jest brak możliwości zapanowania nad jego pączkowaniem przez dowolną z organizacji oraz równość podmiotów uczestniczących w sieci. Na koniec XX wieku powstaje globalne społeczeństwo internetowe.
Co dziś daje internet
Umiejętność korzystania z metod i zasobów internetu jest tak samo podstawowa jak umiejętność czytania, pisania i mówienia!
Po pierwsze - poczta komputerowa (każdy zwykle zaczyna od tej usługi sieciowej).
Czas przesłania wiadomości zredukowany do sekund. Błyskawiczna propagacja informacji do wybranej grupy odbiorców. Możliwość wysłania i odbioru informacji w dowolnym momencie (asynchronicznie) bez przeszkadzania sobie w pracy, bez zbędnych spotkań w błahej sprawie. Z szansą na odpowiedź za chwilę z dowolnego zakątka globu. Z automatycznym zapamiętaniem przekazanej wiadomości i odpowiedzi. Z możliwością przesłania "w załączeniu" rysunku, tabeli, tekstu, ruchomego obrazu. Nie udaje się na razie przesłać smaku i zapachu (na szczęście, bo ludzie przestali by się spotykać!).
Po drugie - wewnętrzne ogłoszenia i biblioteka wszelakiej użytecznej w firmie wiedzy. Wewnętrzny serwis WWW stał się podstawową metodą przekazywania informacji do Pracowników. Zarówno w dół struktury (zarządzenia, regulaminy, instrukcje), jak i w poprzek ( materiały szkoleniowe, projekty, teksty techniczne, nowości itp.).
Po trzecie - dostęp do zewnętrznych składnic wiedzy: możliwość skorzystania z dowolnych zasobów serwisów WWW na świecie bez potrzeby zbędnych wyjazdów, zbędnej komunikacji, straty czasu czy zostawiania rodziny na długie dni delegacji.
Po czwarte - dostęp do specjalizowanych serwisów naszych głównych partnerów technologicznych, czyli do bazy wiedzy o produktach oraz do bazy wiedzy i bezpośrednich kontaktów z służbami serwisowymi producentów.
Po piąte - możliwość szybkiego zamawiania i sprowadzania towarów i materiałów z dowolnego zakątka świata, a także śledzenia drogi tych towarów do miejsca dostawy (e-commerce).
Po szóste - możliwość dostępu do olbrzymich składnic specjalizowanego oprogramowania wykorzystywanego przez naszych specjalistów do budowy ... internetu.
Po siódme - możliwość informowania o naszej działalności zainteresowanych, tanio, bez nachalności, w każdej chwili... to nasz serwis WWW
Po ósme - możliwość dostępu do wspólnych baz danych z dowolnego oddziału (księgowość, kasy, bazy adresowe, oferty, serwis i wiele innych)
Po dziewiąte - możliwość zarządzania i administrowania zasobami komputerowymi z jednego miejsca (taniej tak i bezpieczniej)
Po dziesiąte - między oddziałowe (międzymiastowe) rozmowy telefoniczne bez korzystania z połączeń telekomunikacyjnych (stały i z góry określony koszt i brak stresu wywoływanego długą i kosztowną rozmową na odległość)
Co zrobimy za chwilę?
Będziemy szkolić Pracowników przez Internet (E-learning) korzystając z technologii telewizji przez Internet (IP/TV), bo klasyczne metody są zbyt drogie i zawodzą w tak szybko rozwijającej się dziedzinie. A za 2-3 lata, gdy pojawi się technologia UMTS, gdy powszechna będzie telefonia internetowa (IP-phone) i telewizja przez internet (IP/TV) prawdopodobnie każdy będzie wszędzie miał dostęp do głosu, obrazu i danych ze swojego przenośnego telefono-komputero-telewizora, z dowolnego miejsca, z pożądaną jakością głosu, obrazu.
Tak jak nikt nie przewidział pod koniec XIX wieku znaczenia i skutków wynalezienia maszyny parowej, tak i my jeszcze kilka lat temu, sto lat później, nie potrafiliśmy przewidzieć, że niepozorna i praktycznie nieznana sieć Internet używana jeszcze dziesięć lat temu prawie wyłącznie przez akademików rozwinie swe skrzydła na wszystkie dziedziny życia i zmieni naszą rzeczywistość w niewyobrażalny sposób. Tylko nieliczni potrafili przewidzieć dziesięć lat temu, czym może być Internet i wyprzedzić tę wielką zmianą. Nikt nadal nie jest w stanie przewidzieć czym będzie za lat trzy, pięć czy piętnaście.
Meta IP - zarządzanie adresami w sieciach IP
Wraz z błyskawicznie rosnącymi sieciami opartymi na protokole IP wzrasta złożoność i pracochłonność zadań spoczywających na administratorach zasobów sieciowych. Współczesne sieci składają się z wielu strategicznych usług: poczty elektronicznej, systemów zabezpieczeń, aplikacji e-biznesowych. Skuteczne zarządzanie adresami IP w powiązaniu z serwisami nazw (DNS) warunkuje prawidłowe działanie sieci. Administrowanie bez odpowiednich narzędzi wiąże się z dużym nakładem pracy, pociąga za sobą niebezpieczeństwo pomyłek i nie zapewnia odpowiedniej wymiany informacji pomiędzy poszczególnymi usługami.
Pakiet Meta IP autorstwa izraelskiej firmy Check Point idealnie trafia w zapotrzebowania rynku na tego typu rozwiązania.
Check Point Software Technologies jest liderem wśród firm oferujących rozwiązania z dziedziny bezpieczeństwa Internetu. Oferuje między innymi:
VPN-1 Product Family - zintegrowane rozwiązanie dla wirtualnych sieci prywatnych i ogólnie pojętego bezpieczeństwa
FireWall-1 - standard wśród systemów zabezpieczeń sieciowych (firewall)
Check Point RealSecure - wykrywanie w czasie rzeczywistym zagrożeń związanych z bezpieczeństwem w sieci
Dla zapewnienia niezawodności i podniesienia wydajności:
FloodGate-1 - zarządzanie pasmem sieciowym
High Availability Module - zabezpieczenie dostępności serwisów na wypadek awarii
VPN-1 Accelerator Card - sprzętowe rozwiązanie przyspieszające szyfrowanie
ConnectControl - równomierne rozłożenie obciążenia pomiędzy serwerami aplikacji
Meta IP należy do kolejnej kategorii produktów wspomagających zcentralizowaną administrację infrastrukturą sieciową. Jest to zestaw narzędzi składający się z elastycznego i prostego w obsłudze serwisu zarządzającego dużymi sieciami, usługi katalogowej LDAP (Lightweight Directory Access Protocol), oraz standardowych serwisów sieciowych.
Zestaw ten zapewnia niezawodne i przezroczyste dla użytkownika dostarczanie usług sieciowych. Oferuje możliwość kontroli przydzielonych adresów IP, urządzeń i usług sieciowych a także ochronę przed awariami. Cechą charakterystyczną jest zarządzanie uprawnieniami w odniesieniu do użytkownika. Jest to możliwe przez wykorzystanie dwóch unikalnych technologii: Directory Enabled Network (DEN) oraz User-to-Address Mapping (UAM).
Kluczowe cechy Meta IP:
zarządzanie adresami IP i nazwami poprzez jeden wspólny interfejs
powiązanie użytkowników z ich aktualnymi adresami sieciowymi
połączenie usług sieciowych z katalogiem LDAP
możliwość zdalnego zarządzania niezależnego od platformy
trzy poziomy zabezpieczenia przed awariami
zgodność ze standardem SNMP
W skład Meta IP wchodzą wzajemnie powiązane usługi sieciowe: Dynamic DNS (Domain Name Services), DHCP (Dynamic Host Configuration Protocol) oraz RADIUS (Remote Authentication Dial-In User Service). Oprócz doskonałej wymiany informacji pomiędzy sobą serwisy te umożliwiają współpracę z innymi standardowymi usługami sieciowymi. Modułowa struktura pozwala na elastyczne dostosowanie pakietu do potrzeb oraz jego selektywną konfigurację.
2.2 Dynamiczne tłumaczenie nazw - DNS
Należący do pakietu serwis DNS jest oparty na najnowszej wersji BIND (Berkeley Internet Naming Daemon). W chwili obecnej jest to wersja 8.2.2. Oprócz tłumaczenia nazw i adresów IP, zgodnie ze standardem IPv6, obsługuje również WINS (Windows Internet Naming Service) oraz raportowanie SNMP (Simple Network Management Protocol). W połączeniu z usługa DHCP potrafi tworzyć i dystrybuować dynamicznie tworzone adresy.
Dynamiczne przydzielanie adresów IP - DHCP
Wspomniana wcześniej usługa DHCP udostępnia automatyczne przyporządkowywanie adresów IP. Meta DHCP i Dynamic DNS wspólnie śledzą informację związane z przydzielaniem adresów IP logującym się do sieci stacjom. Podobnie jak DNS informacje związane z przydzielonymi adresami są rozpowszechniane poprzez SNMP. Warto zaznaczyć, że obsługiwane są także sieci Token Ring.
2.4 Weryfikacja pracowników zdalnych - RADIUS
W wielu zastosowaniach (handel, serwis) coraz częściej wykorzystuje się zdalny dostęp do informatycznych zasobów firmy. Meta IP zawiera komercyjną wersję RADIUS umożliwiając bezpieczną pracę zdalnych i wdzwanianiających się użytkowników. Uwierzytelnienie i konfiguracja dostępu do serwerów komunikacyjnych opiera się na istniejących w sieci prawach dostępu.
System Meta IP dostarcza osobom zarządzającym działami IT narzędzia do bieżącej kontroli i raportowania wykorzystywanych adresów IP, wykrywania potencjalnych problemów, wyznaczania zadań. Poprzez replikację swojej bazy danych Meta IP zapewnia podwyższony poziom odporności na awarie. Konfiguracja i zarządzanie jest dostępne dzięki wykorzystaniu języka Java. Na wszystkich platformach obsługujących ten standard - VJM (Virtual Java Machine) - bez konieczności instalacji i poznawania oddzielnych narzędzi w różnych systemach. Pakiet pozwala na zdalne zarządzanie. Meta IP współpracuje z innymi systemami do monitorowania sieci (na przykład HP Open View) poprzez SNMP. Funkcje raportujące umożliwiają wizualizację za pomocą zewnętrznych narzędzi takich jak Microsoft Excel.
Poziomy dostępu to możliwość konfiguracji uprawnień w oparciu o użytkownika, grupę, sieć, usługę czy serwer.
Technologia UAM (User-to-Address Mapping) wiąże ze sobą użytkownika oraz przydzielony adres IP. Pozwala to na bardziej przejrzyste zarządzanie i monitorowanie aktywności w sieci.
Meta IP jest rozwiązaniem dedykowanym dla dużych sieci. Organizuje zarządzanie adresami IP niezależnie od środowiska czy lokalizacji. Zapewnia niezawodną pracę aplikacji sieciowych opartych o protokół IP. Ogranicza prawdopodobieństwo pomyłek w administracji siecią. Oferuje uproszczone zarządzanie zasobami i usługami sieciowymi w obrębie firmy oraz pozwala na redukcję czasu poświęcanego typowym zadaniom administracyjnym w obrębie sieci intranet.
Komfortowe zarządzanie siecią i aplikacjami sieciowymi
Różnorodne środowisko sieciowe to środowisko obejmujące rozwiązania sprzętowe i programowe, pochodzące od niezależnych producentów, często nie do końca zgodne z otwartymi standardami. Zarządzanie takim środowiskiem zależy od zakresu wzajemnej zależności funkcjonalnej tych rozwiązań (dziedzina zastosowań), od zgodności z przyjętymi standardami oraz od posiadanego przez oprogramowanie czy sprzęt interfejsu współdziałania z innymi rozwiązaniami. Bardzo ważne są również narzędzia wspomagające zarządzanie (platforma zarządzania) oraz odpowiednio zaprojektowana i przemyślana strategia zarządzania. Ta ostatnia w znacznej mierze decyduje o komforcie zarządzania przy zachowaniu całej, pożądanej funkcjonalności systemu zarządzania i bez kompromisów w dziedzinie bezpieczeństwa zasobów sieci.
Gdzie kończy się komfort a zaczyna polityka bezpieczeństwa?
Polityka bezpieczeństwa określa zasady bezpiecznego korzystania z zasobów systemów informatycznych. Na ile obowiązująca polityka bezpieczeństwa ogranicza komfort zarządzania? Czy zawsze konieczny jest kompromis pomiędzy komfortem zarządzania i bezpieczeństwem? Gdzie leży granica tego kompromisu? Odpowiedzi na te pytania należy szukać w będącej podstawą opracowania polityki bezpieczeństwa analizie ryzyka oraz świadomości zagrożeń. Inne będą też wymagania ochrony dla poszczególnych stref zaufania (segmenty sieci chronione mechanizmami firewall), grupujących zasoby na podstawie ich poziomu istotności oraz stopnia ryzyka ich nieuprawnionego wykorzystania czy naruszenia integralności. Analiza ryzyka warunkuje rodzaj zastosowanych mechanizmów ochrony. Z kolei, od zastosowanych mechanizmów ochrony będzie w znacznym stopniu zależał komfort zarządzania siecią. Zasada bezpieczeństwo przede wszystkim jest zdrową zasadą. Przy jej zachowaniu możliwe jest jednak uczynienie zarządzania komfortowym na miarę posiadanych narzędzi wspomagających zarządzanie i - co ważniejsze - na miarę dobrej strategii zarządzania, od której w znacznym stopniu zależał będzie nie tylko komfort pracy administratora.
Komfort administratora i komfort użytkownika
Komfort zarządzania, a co za tym idzie komfort pracy administratora nie zawsze idzie w parze z komfortem pracy użytkownika. W interesie użytkownika jest niczym nielimitowany dostęp do pasma i usług sieci, jak najmniej restrykcji dostępowych, brak kontroli treści transmisji, anonimowość przy dostępie do stref i serwerów usług, brak kontroli aktywności użytkownika w sieci. Administrator, mając na celu rozsądne i bezpieczne zarządzanie zasobami będzie z kolei zainteresowany jak najsilniejszymi procedurami i mechanizmami bezpieczeństwa, skuteczną kontrolą dostępu do stref i usług, logowaniem zdarzeń związanych z aktywnością użytkowników w sieci, kontrolą treści transmisji.
Polityka bezpieczeństwa obowiązująca tak administratora, jak i użytkowników (w różnym zakresie kompetencji, praw i obowiązków) powinna wyznaczać granice kompromisu i platformę współdziałania. Wspólnym bowiem celem administratora i użytkowników powinno być utrzymywanie wysokiego poziomu bezpieczeństwa, minimalizowanie ryzyka a także stały, bezawaryjny dostęp do sieci.
3.3 Tradycyjny model zarządzania uwierzytelnieniami i autoryzacjami dostępu
Tradycyjny model zarządzania uwierzytelnieniami i autoryzacjami dostępu polega na stosowaniu lokalnych baz uwierzytelnień i autoryzacji, zapisanych w konfiguracji zarządzanych urządzeń. Jego zaletą jest prostota implementacji oraz niski koszt przy założeniu niewielkiej skali (liczba urządzeń).
Wady to niewielka skalowalność, stosunkowo niskie bezpieczeństwo i ewidentny dyskomfort zarządzania w dużej sieci. Możliwości komfortowego zarządzania uwierzytelnieniami i autoryzacjami dostępu. Możliwe do wykorzystania rozwiązania i narzędzia to:
Centralne zarządzanie uwierzytelnieniami i autoryzacjami użytkowników i administratorów w oparciu o protokół TACACS+ i RADIUS (bezpieczeństwo i skalowalność)
Bezpieczne metody uwierzytelnień wykorzystujące systemy OTP i tokeny
Podział użytkowników na grupy i autoryzacje dla grup
Profile autoryzacyjne - Shared Profile Components
Dynamiczne listy dostępowe
Możliwość określania czasu dostępu do sieci
Śledzenie aktywności użytkowników (accounting)
Rozważając problem bezpieczeństwa dostępu należy mieć na uwadze:
Terminalowy dostęp administracyjny (konsola Telnet, SSH)
Dostęp do trybu uprzywilejowanego (ENABLE)
Zdalny dostęp przez HTTP/HTTPS (PIX PDM, VPN 3000 Device Manager, interfejs graficzny Access Point itp.)
Dostęp dial-up
Dostęp do sieci bezprzewodowej
Dostęp do sieci zbudowanej w oparciu o przełączniki warstwy II (uwierzytelnienia 802.1x)
Cisco Secure ACS - jego miejsce w systemie zarządzania uwierzytelnieniami i autoryzacjami
Oprogramowanie Cisco Secure ACS stanowi zaawansowany zbiór narzędzi do zarządzania uwierzytelnieniami, autoryzacjami i accountingiem w sieci. Implementuje protokół TACACS+ oraz RADIUS. Dostępne jest na platformę systemu Solaris oraz na platformę Windows NT/Windows 2000 Server.
Posiada graficzny interfejs komunikacji z użytkownikiem. Oprogramowanie CS ACS może być wykorzystywane do celów uwierzytelnień dostępu administracyjnego do urządzeń sieciowych oraz do sieci (dial-up, wireless, uwierzytelnienia 802.1x, uwierzytelnienia Cut-through Proxy, uwierzytelnienia XAUTH).
Integracja CS ACS z innymi systemami
Oprogramowanie Cisco Secure ACS może do celów uwierzytelnień wykorzystywać własne bazy użytkowników lub też korzystać z zewnętrznych baz danych. Przykłady zewnętrznych baz to:
Windows User Database
Generic LDAP
Novell NDS Database
ODBC Database
LEAP Proxy RADIUS Server Database
Token Server User Databases
RSA ACE Server - przede wszystkim bezpieczeństwo
Współdziałanie serwera CS ACS (TACACS+/RADIUS) z serwerem RSA/ACE (RSA security firma zajmujaca się dostarczaniem programów do identyfikacji i zdalnego dostępu). Server skutkuje zwiększeniem poziomu bezpieczeństwa uwierzytelnień. Uwierzytelnienia w systemie RSA/ACE oparte są na silnym mechaniźmie połączenia elementu posiadania (karta tokenowa SecurID) i elementu wiedzy (unikalny numer PIN). Dopiero posiadanie tokena oraz znajomość numeru PIN umożliwia poprawne uwierzytelnienie i dostęp do sieci.
Uwierzytelnianie administracyjnego dostępu do urządzeń
Dostęp administracyjny oznacza dostęp przez fizyczną konsolę do zarządzanego urządzenia, dostęp terminalowy przez Telnet/SSH, dostęp dial-up, dostęp przez interfejs WWW (HTTP/HTTPS) a także dostęp do trybu uprzywilejowanego. Można go uczynić komfortowym przy zachowaniu maksymalnego bezpieczeństwa przez zastosowanie silnych uwierzytelnień stacji administratora (certyfikat), poprzez uwierzytelnienie użytkownika (TACACS+/RADIUS/RSA SecurID) oraz szyfrowanie transmisji. Dla dostępu przez Internet ale także dla dostępu z zewnątrz tzw. LAN-u zarządzającego czyli segmentu gdzie pracują urządzenia wykorzystywane do zarządzania siecią warto stosować połączenia VPN. Można też stosować szyfrowanie sesji dostępu administracyjnego na poziomie warstwy aplikacji, choć będzie to zależało od wsparcia dla mechanizmów kryptograficznych (SSH, SSL) na docelowym urządzeniu.
Dostęp administracyjny powinien także podlegać autoryzacjom w oparciu o protokół TACACS+ lub RADIUS. Tylko dzięki kompleksowemu zastosowaniu silnych, wielopoziomowych uwierzytelnień (poziom hosta, poziom użytkownika), autoryzacji oraz kryptografii dostęp administracyjny jest komfortowy, bo może odbywać się skądkolwiek (wyjście poza ograniczenia fizyczne zarządzania z LAN-u zarządzającego) bez kompromisów dla bezpieczeństwa.
Cut-through Proxy - uwierzytelnianie dostępu do usług
Mechanizm Cut-through Proxy to godne polecenia uwierzytelnienie i autoryzacja połączeń realizowanych pomiędzy strefami firewalla PIX w oparciu o serwery TACACS+ lub RADIUS. Funkcjonalność ta może być wykorzystana jako dodatkowy mechanizm bezpieczeństwa przy dostępie do stref gdzie działają serwery wymagające szczególnego poziomu ochrony oraz do stref sieci gdzie pracują komputery z oprogramowaniem wspomagającym zarządzanie (dostęp do tzw. sieci zarządzających dla administratorów pracujących na zewnątrz - poza tymi sieciami). Warto także wspomnieć o wykorzystaniu cut-through proxy do przyznawania praw do tymczasowego (ważnego na określony czas trwania) dostępu do określonych stref dla gości czy dla pełniących czasowo obowiązki administratorów (na przykład zastępstwo na czas urlopu).
Mechanizm ten może być także wykorzystywany do śledzenia aktywności użytkowników nawiązujących połączenia do pewnych stref (auditing).
Wygodny i bezpieczny zdalny dostęp do sieci
Wygodny, zdalny dostęp do sieci realizowany jest z wykorzystaniem infrastruktury wirtualnych sieci prywatnych (VPN - Virtual Private Networks). Dostęp taki może służyć tak administratorom do zdalnego zarządzania siecią oraz użytkownikom do bezpiecznego i wygodnego dostępu do zasobów sieci korporacyjnej z praktycznie prawie każdego miejsca na świecie.
Funkcjonalność połączeń VPN zdalnego dostępu obejmuje nie tylko szyfrowanie przesyłanych danych. To także uwierzytelnienie komputera użytkownika (kluczem pre-share lub certyfikatem), uwierzytelnienie użytkownika (hasła, tokeny, systemy OTP, uwierzytelnienia biometryczne), kontrola integralności danych, uwierzytelnianie pochodzenia danych, ochrona przy pomocy osobistego firewalla. Idealnym urządzeniem do obsługi bezpiecznych, zdalnych połączeń VPN do sieci korporacyjnej jest koncentrator VPN 3000 firmy Cisco. Strona klienta, dla pełnej współpracy (w zakresie kompletnej funkcjonalności VPN) wymaga instalacji na stacjach roboczych użytkowników i administratora oprogramowania Cisco VPN Client.
Webmin program zarządzający serwerem i dostępem do Internetu w systemie operacyjnym opartym na Unix`ie
W dzisiejszych środowiskach sieciowych mamy do czynienia z rozproszonymi w przestrzeni komputerami serwującymi usługi sieciowe - ich zarządzanie byłoby bardzo czasochłonne i kłopotliwe, jeśli dla każdej z oddalonych maszyn administrator byłby zmuszony dokonywać bezpośredniej konfiguracji np. poprzez terminal. Dodatkowo, jeśli serwery tworzą klaster to czas wymagany na konfigurację i administrację takiego systemu sieciowego przy użyciu zwyczajnych narzędzi stawia administratora w niewygodnej sytuacji. Ponadto usługi udostępniające zdalnie powłokę jak telnet, ssh, rsh najczęściej są nieefektywne i mało przyjazne początkującemu administratorowi. Dzieje się tak głownie ze względu na ich tekstowy charakter oraz fakt, że konfiguracja każdego z elementów serwera ma odmienny charakter (inną strukturę i zestaw słów pliku konfiguracyjnego). W przypadku połączenia telnet niezabezpieczonego szyfrowaniem np. kerberos (to sieciowy system/protokół umożliwiający uwierzytelnianie się użytkownikom dzięki usługom udostępnianym przez serwer.) istnieje poważne zagrożenie podsłuchania haseł, gdyż protokół ten przesyła hasło otwartym tekstem.
Aby usprawnić administrowanie serwerem konieczne jest narzędzie o spójnym interfejsie, grupujące w przejrzystej formie wiele elementów zarządzania sprzętem oraz usługami serwera. Naprzeciw temu problemowi wychodzi narzędzie Webmin, które pozwala na zarządzanie zdalne za pomocą przeglądarki stron internetowych. Przeglądarka powinna wspierać tabele i formularze oraz applety JAVA (dla modułu zarządzania plikami).
Webmin to ogólnie mówiąc interfejs WWW pozwalający na administrację systemem Unixowym. Za jego pomocą można dokonywać rutynowych zadań administracji systemu zarządzać kontami użytkowników oraz grupami, instalować oraz usuwać pakiety oprogramowania, manipulować systemami plików i zarządzać limitami przydziałów przestrzeni dyskowych (quota). Pakiet umożliwia także konfigurację i zarządzanie szerokim zestawem programów serwerowych (daemons) np. serwerem WWW (Apache), FTP (WU-FTP oraz ProFTP), poczty elektronicznej (Sendmail, Postfix i QMail), SSH, DNS (Bind), DHCP, Proxy (Squid), bazami danych (MySQL, PostgresSQL) i innymi. Ponadto Webmin zawiera moduły pozwalające na administrację kartami sieciowymi, połączeniami PPP, partycjami dyskowymi, drukarkami oraz manipulowanie konfiguracją samego Webmin.
Webmin składa się z prostego serwera WWW oraz pewnej liczby programów CGI, wszystkie te elementy zostały stworzone przy wykorzystaniu języka Perl 5 bez dodatkowych rozszerzeń. Autorem programu jest Jamie Cameron, który udostępnia swoje dzieło na zasadach licencji BSD.
W opracowaniu tym, przedstawiony został pakiet w wersji 1.R1. Działający na podłączonym do globalnej sieci serwerze pełniącym jednocześnie funkcję węzła dostępowego dla użytkowników sieci lokalnej. Systemem operacyjnym sprawującym kontrolę nad pracą serwera jest FreeBSD (wersja jądra 5.2).
INSTALACJA
Jeśli pakiet nie jest dostępny wraz z dystrybucją systemu operacyjnego, to najświeższą wersję można pobrać spod adresu http://www.Webmin.com w postaci skompresowanego archiwum tar.gz lub pakietu RPM. Do działania Webmin niezbędny jest Perl w wersji piątej. Jeśli transmisja ma być szyfrowana wymagany jest także pakiet serwera SSH. W przypadku instalacji z postaci tar.gz rozpakowujemy archiwum poleceniem tar zxvf webmin-1.050.tar.gz następnie w utworzonym katalogu, konieczne jest uruchomienie skryptu instalacyjnego setup.sh oraz odpowiedzenie na kilka konfiguracyjnych pytań podając ścieżkę dla plików konfiguracyjnych Webmin, ścieżkę dla logów, ścieżkę do interpretera Perl 5, następnie należy podać typ systemu operacyjnego i jego wersję, w odpowiedzi na kolejne pytanie należy wprowadzić numer portu, na którym będzie działał Web-min (domyślnie 10000), następnie wprowadzić nazwę użytkownika mającego dostęp do Webmin oraz podać jego hasło. W kolejnym kroku skryptu konfiguracji należy wprowadzić nazwę hosta - maszyny, na której będzie działał system, odpowiedzieć na pytanie, czy transmisja ma być szyfrowana za pomocą SSL oraz czy Webmin ma być uruchamiany przy starcie. Przy instalacji z pakietu RPM wykonujemy polecenie:
urpmi webmin-1.050-1.noarch.rpm
Skrypty konfiguracyjne ustawiają opcje domyślne programu w zależności od zainstalowanego systemu operacyjnego / dystrybucji.
Kolejnym etapem może być edycja plików konfiguracyjnych Webmina, które znajdują się w katalogu /etc/webmin/. Plik /etc/webmin/miniserv.conf zawiera konfigurację serwera WWW dla Webmin, a wiersze na które warto zwrócić uwagę to:
port=10000
host=192.168.1.1
ssl=1
listen=10000
Plik /etc/webmin/config pozwala na konfigurację kolejnych opcji pakietu, niezwiązanych jednak bezpośrednio z procesem mimiserwera web - warto zmienić tu opcje językowe:
lang_user=pl
lang=pl
Ostatnim krokiem przed rozpoczęciem korzystania z Webmin jest skonfigurowanie uruchamiania się miniserwera wraz ze startem systemu oraz jego wystartowanie poprzez wywoła-nie odpowiedniego skryptu:
/etc/init.d/Webmin start
LOGOWANIE DO WEBMIN
Transmisja danych pomiędzy użytkownikiem systemu a serwerem jest szyfrowana przy użyciu SSL, zatem wywołanie strony logowania się Webmin wymaga użycia bezpiecznego protokołu https np. dla serwera pod adresem sieci lokalnej 192.168.1.1 Wywołanie w przeglądarce strony Webmin wygląda następująco: https://192.168.1.1:10000 . Przed pojawieniem się okienka logowania możemy zostać zapytani o potwierdzenie certyfikatu szyfrowania transmisji serwera, jeśli nie jest on zainstalowany w przeglądarce.
W oknie przeglądarki (o ile wspomaga ona bezpieczne połączenie SSL) ukazuje się okno logowania do systemu Webmin:
Rys. Login Webmina
Domyślnie użytkownikiem posiadającym dostęp do Webmin jest administrator serwera (root), lecz może to być dowolny użytkownik serwera. Nazwy użytkowników, którzy mogą korzystać z systemu webmin wraz z listą modułów, z których dany użytkownik Webmin może korzystać znajduje się w pliku/etc/webmin/webmin.acl.
W tym opracowaniu administratorem Webmin jest użytkownik o identyfikowany w systemie przez login admin.
Jeśli logowanie do systemu przebiegło poprawnie, to kolejnym ekranem jest już interfejs Webmin, w przypadku braku autoryzacji użytkownika formularz autoryzacji jest wyświetlany ponownie.
INTERFEJS
Po poprawnym załogowaniu się oczom Web-administratora powinien ukazać się interfejs Webmin, którego startową kategorią jest zestaw modułów konfiguracji samego narzędzia Webmin. Przy innych opcjach konfiguracji pakietu wyświetlana jest także wersja Webmin oraz nazwa sieciowa konfigurowanego poprzez narzędzie serwera. W prawym górnym rogu okna przeglądarki widoczne są także odnośniki do strony internetowej oraz poczta do autora narzędzia. Po prawej u dołu łącze służące do wylosowania się z Webmin.
Większość modułów jest zlokalizowana, więc nie ma problemów ze zrozumieniem sposobu konfiguracji i zarządzania za ich pomocą - przejrzysty interfejs zastosowanie pól wyboru, pól zaznaczania, formularzy oraz przycisków ułatwiają administrację nawet najbardziej zaawansowanymi z pośród elementów systemu. Większość modułów jest dobrze opisana a dodatkowo, przy niektórych z nich dostępna jest obszerniejsza pomoc w lewym górnym rogu strony modułu.
Tabela - Kategorie Modułów
Kategoria |
Opis funkcji zgrupowanych modułów |
Webmin |
Opcje narzędzia Webmin |
System |
Konfiguracja i zarządzanie elementami systemu operacyjnego serwera |
Serwery |
Usługi / programy serwera / daemons |
Sieć |
Konfiguracja, diagnostyka i zarządzania elementami sieciowymi systemu operacyjnego |
Sprzęt |
Administrowanie zasobami sprzętowymi serwera |
Klaster |
Praca w środowisku serwera rozproszonego - cluster |
Inne |
Różnorodne moduły takie jak linia poleceń, zarządzanie plikami, logowanie do powłoki poprzez SSH, podgląd logów systemowych itp. |
Ze względu na znaczną liczbę modułów oraz ograniczony pod kątem spełnianych funkcji serwera zestaw uruchomionych usług, część modułów zostanie przedstawiona skrótowo. Moduły mające praktyczne zastosowanie na omawianym serwerze zostaną omówione obszerniej.
Moduły kategorii Webmin
Moduły te służą do konfiguracji opcji pracy narzędzia Webmin, lokalizacji innych serwerów Webmin w zarządzanej sieci, prezentacji dziennika korzystania z Webmin przez jego użytkowników.
Tabela - Moduły kategorii Webmin
Moduł |
Opis funkcji modułu |
Konfiguracja Webmina |
Grupa modułów pozwalających na konfigurację narzędzia Webmin - zabezpieczenia, wygląd interfejsu, lista modułów i aktualizacja pakietu Webmin oraz modułów |
Lista serwerów Webmina |
Pozwala na wyszukanie serwerów Webmin w sieci ich dodanie i skonfigurowanie oraz podłączenie się przy wykorzystaniu tych ustawień |
Log pracy Webmina |
Obserwacja informacji o wykorzystaniu narzędzia (wymaga wcześniejszego włączenia logowania w Konfiguracji) |
Usermin Configuration |
Konfiguracja dostępu do modułów typowych dla zwykłych użytkowników serwera (wymaga zainstalowania pakietu Usermin) |
Użytkownicy Webmina |
Dodawanie, modyfikacja i usuwanie użytkowników i grup Webmin, zarządzanie dostępem do poszczególnych modułów, monitorowanie aktywnych sesji użytkowników oraz import i synchronizacja kont użytkowników systemowych z użytkownikami Wembin |
Grupa Konfiguracja Webmina
Tabela - Moduły grupy Konfiguracja Webmina
Moduł |
Opis funkcji modułu |
Kontrola dostępu IP |
Ograniczanie dostępu do Webmin do pewnych adresów IP |
Porty i adresy |
Określenie portu i numeru IP, (jeśli serwer ma ich wiele) na którym Webmin ma nasłuchiwać zleceń |
Logowanie |
Konfiguracja logowania działań przeprowadzanych przez użytkownika Webmin |
Serwer Proxy |
Parametry serwera Proxy wymagane dla niektórych modułów, jeśli serwer znajduje się za firewall |
Interfejs użytkownika |
Opcje wyglądu interfejsu |
Moduły Webmina |
Instalacja, klonowanie i usuwanie modułów Webmin |
System operacyjny |
Wybór systemu operacyjnego, na którym działa Webmin |
Język |
Określenie języka, w jakim Webmin powinien się porozumiewać z użytkownikiem |
Opcje strony indeksowej |
Opcje wyglądu strony indeksowej Webmin |
Aktualizuj Webmina |
Aktualizacja pakietu Webmin poprzez Internet oraz aktualizacja modułów |
Autoryzacja |
Opcje uwierzytelniania użytkownika Webmin (PAM / plik haseł),autoryzacji sesji, zabezpieczenie w przypadku ataku typu brute force na login. |
Przeklasyfikowanie modułów |
Zmiana kategorii modułów |
Zmień kategorie |
Zmiany nazw i identyfikatorów kategorii |
Motywy Webmina |
Wybór motywu graficznego Webmin |
Zaufane odsyłacze |
Wprowadzanie zaufanych adresów hostów |
Anonymous Module Access |
Anonimowy dostęp do niektórych modułów Webmin |
Szyfrowanie SSL |
Opcje szyfrowania SSL połączenia, generowanie i zmiana parametrów klucza |
Centrum autoryzacji |
Określenie Centrum Autoryzacji i zarządzanie certyfikatami CA |
4.4.2 Moduły kategorii System
Moduły ogólnego zarządzania systemem operacyjnym serwera
Tabela - Moduły kategorii System
Moduł |
Opis funkcji modułu |
Autoryzacja przez PAM |
Zarządzanie usługami PAM (Pluggable Authentication Module) - dostęp programów do autoryzacji oraz sposób jej przeprowadzania poprzez wykorzystanie modułów PAM. |
CD Backup |
Moduły służące do przeprowadzania archiwizacji i odtwarzania zbiorów serwera ze wsparciem dla nagrywania kopii bezpieczeństwa na płycie CDR. |
Dokumentacja Systemu |
Poszukiwanie podanych słów kluczowych w dokumentacji zbiorach systemowej oraz wyszukiwarce internetowej Gogle. |
Działające procesy |
Moduł przedstawiający listę aktualnie uruchomionych procesów (numer PID, właściciela, wykorzystanie zasobów serwera oraz polecenie użyte do uruchomienia procesu). Możliwość sortowania (grupowania) według numeru PID, właściciela procesu, wykorzystanej pamięci i czasu procesora. Dodatkowo opcja wyszukiwania procesów według różnych kategorii oraz uruchomienia nowego procesu. |
Filesystem Backup |
Moduł wykonywania kopii bezpieczeństwa systemu plików oraz jej odtworzenia. |
Harmonogram zadań crona |
Zarządzanie (tworzenie, edycja i usuwanie zadań) tablicą za-dań wykonywanych okresowo przez proces cron a także edycja opcji dostępu użytkowników do cron. |
Konfiguracja inita (System V) |
Dodawanie, edycja i usuwanie procesów uruchamianych podczas startu systemu jak i jego działania przez proces init (wygodna edycja na podstawie formularzy WWW systemowego pliku /etc/inittab). |
Logi systemowe |
Operowanie na logach systemowych procesu syslog - dodawanie, zmiana parametrów, usuwanie, przeglądanie dzienników systemowych. |
Lokalne i sieciowe systemy plików |
Zarządzanie oraz montowanie i demontowanie systemów plików w lokalnym drzewie systemu plików serwera. |
MON Sernice Monitor |
Konfiguracja, obserwowanie działania i administracja pakietem MON (wymaga zainstalowania). |
Pakiety oprogramowania |
Poszukiwanie, instalacja, usuwanie i informacja o pakietach oprogramowania. |
Quota na dyskach |
Włączanie, wyłączanie oraz edycja parametrów ograniczeń na dostępną dla użytkowników i grup przestrzeń dyskową serwera |
Security Services |
Konfiguracja pakietów detekcji ataków na serwer(skanowanie potrów - portsentry, prób nieautoryzowanego logowania do systemu - hostsentry oraz analizę podejrzanych zapisów w dziennikach systemowych - logcheck). |
Start i zamykanie systemu |
Zarządzanie serwisami uruchamianymi przy starcie systemu (daemon), zmiana trybu działania systemu operacyjnego (run-level), restart oraz zatrzymanie działania serwera. |
System archiwizacji |
Archiwizacja i odtwarzanie zbiorów za pomocą narzędzia tar oraz gzip. |
Użytkownicy i grupy |
Zarządzanie użytkownikami i grupami, możliwość wykorzystania pliku wsadowego. Podgląd efektów logowań do systemu wybranego użytkownika. |
Zlecone polecenia |
Utworzenie jednokrotnego polecenia do wykonania w zaplanowanym czasie. |
Zmiany haseł |
Zmiana hasła dla wybranego użytkownika. |
isdn4unix control |
Konfiguracja pakietu odpowiedzialnego za komunikację w sieci standardu ISDN (jeśli jest zainstalowany) |
4.4.3 Moduły kategorii Serwery
Kategoria ta grupuje, moduły do administracji i konfiguracji serwerowych programów usługowych.
Tabela - Moduły kategorii Serwery
Moduł |
Opis funkcji modułu |
CVS Server |
|
Calamaris Log Reports |
Raport wykorzystania serwera proxy Squid - wymaga zainstalowania pakietu calmaris. |
Jabber IM Server |
Konfiguracja serwisu Instant Messaging - Jabber |
Konfiguracja Postfiksa |
Konfiguracja serwera pocztowego (MTA) Postfix |
Konfiguracja Sendmaila |
Edycja parametrów serwera pocztowego (MTA) Sendmail |
Netatalk Apple File/Print Sharing |
Konfiguracja Netatalk współdzielenia plików i drukarek z systemami firmy Apple |
OpenLDAP server |
Administracja serwera LDAP (Lightweight Directory Access Protocol) - daemon slapd |
OpenSLP Server |
Konfiguracja SLP (Service Location Protocol) - slpd |
Pobieranie poczty przez fetchmaila |
Opcje programu fetchmail - pobieranie poczty z wielu kont pocztowych (POP3, IMAP4) |
Procmail Mail Filter |
Zarządzanie filtrami poczty i regułami przekazywania poczty dla procmail |
QMail Configuration |
Ustawienia serwera pocztowego (MTA) Qmail |
Serwer DHCP |
Konfiguracja usługi DHCP (Dynamic Host Connection Protocol), podgląd aktywnych dzierżaw DHCP. |
Serwer DNS BIND |
Administracja usługą nazw domen DNS (Domain Name Server) - serwer Bind |
Serwer DNS BIND 4 |
Zarządzanie usługą nazw domen DNS (Domain Name Server) - serwer Bind wersja 4 |
Serwer ProFTP |
Parametry serwera FTP - Pakiet ProFTP |
Serwer SSH |
Konfiguracja usługi SSH |
Serwer WU-FTP |
Opcje serwera FTP - Pakiet ProFTP |
Serwer WWW Apache |
Ustawienia serwera WWW - pakiet Apache |
Serwer baz danych MySQL |
Edycja ustawień Bazy Danych MySQL |
Serwer baz danych Postgre-SQL |
Konfiguracja Bazy Danych PostgreSQL |
Serwer list dyskusyjnych Majordomo |
Zarządzanie serwerem grup dyskusyjnych - pakiet Majordomo |
Serwer proxy Squid |
Konfiguracja serwera WWW Proxy - Squid |
SquidGuard |
Opcje pakietu filtrującego żądania http na poziomie WWW Proxy |
Udostępnianie dla Windows |
Zarządzanie serwerem SMB - Samba - udostępnianie plików |
przez Sambę |
i drukarek w Windows |
Wap gateway |
Konfiguracja translatora Wap - http - pakiet Kennel |
Webalizer Logfile Analysis |
Opcje pakietu Webalizer - tworzącego wykresy w html ze statystykami np. obciążenia serwera WWW |
Moduły kategorii Sieć
Kategoria ta zawiera moduły konfiguracji sprzętu sieciowego, zabezpieczeń, narzędzi diagnostyki sieci oraz usług sieciowych będących częścią systemu operacyjnego.
Tabela - Moduły kategorii Sieć
Moduł |
Opis funkcji modułu |
FreeS/WAN VPN |
Zarządzanie narzędziem szyfrowania i enkapsulacji dla wirtualnych sieci prywatnych (VPN) |
Klient i serwer NIS |
Opcje serwera oraz klienta NIS/YP (Network Information Server/ Yellow Pages) - uwierzytelnianie użytkowników w sieci. |
Konfiguracja sieci |
Ustawienia interfejsów sieciowych, routingu oraz bram, klienta DNS i adresów hostów |
FreeBsd Firewall |
Konfiguracja Firewala opartego o iptables |
NetSaint Configuration |
Konfiguracja pakietu monitorującego sieć - NetSaint |
Network Utilities |
Dostęp do programów diagnostyki sieciowej oraz informacji o sieci: ping, traceroute, lookup, nmap, whois, dig oraz kalkulator maski podsieci |
PPP Dialin Server |
Ustawienia związane z odbieraniem I obsługą połączeń modemowych PPP |
Rozszerzone usługi internetowe |
Zarządzanie dodatkowymi usługami internetowymi - serwer xinetd (np. pop3, echo, imap, time) |
SSL Tunnels |
Edycja szyfrowania połączeń i ich tunelowania narzędziem Stunnel |
Udostępnianie po NFS |
Udostępnianie zasobów plikowych w sieci za pomocą protokołu NFS (Network File System) |
4.4.5 Moduły kategorii Sprzęt
W tej grupie znajdują się moduły dotyczące urządzeń peryferyjnych, logicznego podziału przestrzeni dyskowej oraz rozruchu systemu.
Tabela - Moduły kategorii Sprzęt
Moduł |
Opis funkcji modułu |
CD Burner |
Tworzenie obrazów ISO oraz nagrywanie płyt CDR za pomocą programu cdrecord |
Czas systemowy |
Ustawienia czasu systemowego oraz sprzętowego, synchronizacja zegarów z internetowymi serwerami czasu |
Konfiguracja startu Freebsd |
Konfiguracja rozruchu - bootmanagera (lilo), wybór partycji oraz startowego jądra systemu |
Logical Volume Management |
Organizacja przestrzeni logicznych za pomocą narzędzi LVM |
Partycje na lokalnych dyskach |
Administrowanie partycjami, systemami plików, montowanie demontowanie, tworzenie i formatowanie partycji, strojenie parametrów dysków. |
RAID w Freebsd |
Zarządzanie macierzami dyskowymi RAID |
4.4.6 Moduły kategorii Klaster
Moduły te usprawniają zarządzanie i konfigurację klastrem.
Tabela - Moduły kategorii Klaster
Moduł |
Opis funkcji modułu |
Cluster Software Packages |
Zarządzanie pakietami oprogramowania na serwerach klastra przy pomocy jednego interfejsu |
Cluster Users and Groups |
Administracja kontami użytkowników i grup na wielu serwerach klastra przy pomocy jednego interfejsu |
Cluster Webmin Servers |
Edycja ustawień narzędzia Webmin dla wielu serwerów klastra jednocześnie |
Configuration Engine |
Konfiguracja klastra - cfengine |
Heartbeat Monitor |
Monitorowanie pracy klastra |
Moduły kategorii Inne
Tabela - Moduły kategorii Inne
Moduł |
Opis funkcji modułu |
Batch Apache Host Addition |
Wsadowe dodawanie wielu domen wirtualnych dla serwera WWW Apache |
Batch DNS Domain Addition |
Wsadowe dodawanie domen DNS (master, slave) dla Bind |
Download |
Pobieranie zbiorów z sieci za pomocą narzędzia wget |
File Upload |
Przesyłanie zbiorów na serwer zdalny |
Front Page 2000 Admin |
Konfiguracja rozszerzenia Frontpage 2000 do Apache |
Gehrigal Theme Configurator |
Edycja motywów graficznych Webmin |
LDAP Browser |
Przeglądarka LDAP |
LDAP Manager |
Zarządzanie LDAP |
LDAP users and group administration |
Administracja użytkownikami I grupami LDAP |
Linia poleceń |
Linia poleceń powłoki systemowej |
Log Viewer |
Podgląd parametrów pracy serwera oraz dzienników systemowych z aktualnego oraz poprzedniego tygodnia |
Logowanie przez SSH/Telnet |
Połączenie z serwerem poprzez SSH lun Telnet - applet JAVA |
Moduły Perla |
Instalacja moduów Perl |
SA-Configurator |
Konfiguracja ShopAdmin |
SSH Login |
Podłączenie się do serwera przez konsolę SSH |
Stan systemu i serwerów |
Monitorowanie usług sieciowych (daemons) serwera, jego zasobów i połączeń |
VNC Client |
Klient (VNC) Virtual Network Computing - śledzenia pulpitu |
|
Odległych maszyn |
Vacation Admin |
Automatyczna odpowiedź na pocztę przychodzącą do użytkownika komunikatem o jego urlopie |
Wybrane polecenia |
Zarządzanie I uruchamianie poleceń użytkownika - skrypty, programy uruchamiane jednym przyciskiem |
Zarządzanie plikami |
Applet JAVA pozwalający na zarządzanie systemem plików serwera - tworzenie usuwanie, modyfikacja, zmiana atrybutów i właściciela plików i katalogów. Przesyłanie plików na serwer oraz pobieranie plików z serwera |
rinetd configuration / administration |
Konfiguracja przekierowań połączeń rinetd |
PODSUMOWANIE
System zarządzania bazujący na interfejsie Web jest uniwersalny a przy tym prosty i przejrzysty, w większości przypadków szybszy w konfiguracji parametrów dzięki wykorzystaniu formularzy i przełączników nie jest wymagana składnia plików konfiguracji każdego z wielu elementów systemu serwera Unix. Ponadto narzędzie to oferuje dobre i proste do skonfigurowania zabezpieczenia, przy tym znacznie ułatwiając zdalną administrację serwera.
II. Serwery plików
Wstęp
Serwery plików są jednym z podstawowych elementów niemal każdej sieci lokalnej, od ich efektywności, wydajności, niezawodności i uniwersalności zależy sprawne działanie sieci. Elementem dodatkowym utrudniającym wybór serwera jest fakt, że powstało wiele niekompatybilnych systemów udostępniania plików: NFS spotykany głównie w środowisku UNIX, NCP protokół udostępniania plików i drukarek w sieciach NetWare czy SMB wykorzystywany w rozwiązaniach firmy Microsoft.
Serwery plików powinny charakteryzować się wysokim poziomem niezawodności i stopniem dostępności dla użytkowników, gdyż ich ewentualna awaria pozbawia możliwości pracy bardzo wielu pracowników.
Serwery plików (FTP, NFS, SMB). Częścią wspólną tych usług jest możliwość udostępnienie plików znajdujących się na serwerze centralnym dla klientów znajdujących się zarówno w sieci lokalnej jak i poprzez sieć Internet. Usługi te są bardzo ważne dla firm, ponieważ odpowiednio ustalona polityka bezpieczeństwa wraz z dobrze zorganizowanym serwerem plików jest podstawowym narzędziem pracy w firmie. Pozwala ona zminimalizować niebezpieczeństwo utraty danych jednocześnie stanowiąc ochronę poufnych informacji.
File Transfer Protocol (FTP) to tradycyjny w Internecie sposób dystrybucji dużej ilości często zmieniających się danych takich jak cenniki, specyfikacje techniczne, dokumenty firmowe.
Network File System (NFS) jest rozproszonym systemem plików opracowanym przez firmę SUN Microsystems . Został wprowadzony do użytku w roku 1985 (wersja 2.0). Następną wersję (3.0), dominującą na rynku, wprowadzono w roku 1994. Obecnie rozwijana jest czwarta wersja NFS.
Srever Message Block (SMB) to pakiet narzędzi umożliwiających współdzielenie zasobów, takich jak drukarki i pliki, w sieci. Samba korzysta z protokołu Samba (SMB), wspólnego produktu Microsoftu i IBM, w celu przesyłania danych między klientami Windows i serwerami uniksowymi w sieci TCP/IP.
1. FTP
File Transfer Protocol, protokół umożliwiający przesyłanie plików poprzez sieć Internet. Aby możliwe było przesyłanie plików za pomocą tego protokołu, jeden komputer musi pełnić rolę serwera FTP. Teraz na drugim użytkownik może uruchomić program klienta FTP, za pomocą którego loguje się do serwera. Teraz możliwe jest już przesyłanie plików w dwie strony. Użytkownik nie zawsze jednak ma dostęp do wszystkich plików na serwerze, zależy to od uprawnień, jakie mu przysługują. Popularną usługą jest także anonimowe FTP. Użytkownik może się zalogować do komputera, na którym nie ma żadnych praw dostępu. Jako nazwę użytkownika podaje “anonymous”, hasłem zaś jest jego adres e-mail. Użytkownik ma wtedy możliwość korzystania z wybranych zasobów serwera.
FTP (File Transfer Protocol) jest internetowym protokołem do transferu plików, który używa protokołu TCP. Spośród wielu dostępnych serwerów FTP pod FreeBSD najpopularniejszym i uważanym za najbezpieczniejszy jest ProFTPD , chociaż jest trudniejszy w konfiguracji aniżeli systemowy ftpd. W serwerze jaki został oddany do użytku szkolnego znajduje się ProFTPD-1.2.9, jest to aplikacja darmowa udostępniana przez producenta w sieci Internet.
1.1 Instalacja servera FTP
Instalacje ProFTPD na FreeBSD odbywa się nieco inaczej niż w Linuxie.
Wszystko opiera się o porty. Wchodzimy do odpowiedniego portu
# cd /usr/ports/ftp/proftpd
po czym
# make build && make install && make clean
nasz ProFTPD jest zainstalowany.
Następnie przechodzimy do katalogu /etc
# cd /etc
sprawdzamy czy nie mamy przypadkiem uruchomionego demona FTPD
# vi inetd.conf
poniższa linijka musi być zahaszowana
# ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l.
1.2 Konfiguracja servera FTP
Przechodzimy do katalogu /usr/local/etc
# cd /usr/local/etc
zmieniamy nazwę proftpd.conf.default na proftpd.conf
# mv proftpd.conf.default proftpd.conf
pozostaje nam tylko wy edytować config poustawiać według swoich potrzeb
# vi proftpd.conf
Plik konfiguracyjny pf.conf
========== proftpd.conf ===========
# tu wpisujemy nazwę naszego serwera
ServerName "nazwa.pl"
# e-mail do administratora serwera
ServerAdmin nazwa@domena.pl
# typ serwera jako standalone
ServerType standalone
# po takim ustawieniu użytkownik logujący się do naszego serwera nie będzie wiedział
# z jakim demonem ftp pracuje nasz serwer
ServerIdent on "WinNT_FTP.2.0"
# po uruchamianiu serwera będzie pracował z prawami użytkownika " nobody"
User nobody
# grupa (analogicznie do powyższego) " nobody "
Group nobody
# serwer ten jest serwerem domyślnym
DefaultServer on
# numer portu
Port 21
# maska dla nowo utworzonych katalogów
Umask 022
# uniemożliwienie użytkownikom opuszczenie swojego katalogu tzw. chroot w /home/*
DefaultRoot ~
# ustawiamy limity czasu dla za logowanych użytkowników
TimeoutIdle 240
TimeoutStalled 240
TimeoutLogin 60
TimeoutNoTransfer 320
# maksymalna ilość uruchomionych procesów przez demona proftpd
MaxInstances 30
# opcja ta ustala ile razy użytkownik może się "pomylić" podczas logowania do systemu
MaxLoginAttempts 3
# maksymalna liczba osób mogących się połączyć z jednego IP
MaxClientsPerHost 2 "Za dużo połączeń z serwerem ftp z jednego adresu IP"
# maksymalna liczba zalogowanych użytkowników na FTP
MaxClients 30 "Za dużo jednoczesnych połączeń do serwera ftp"
# logi serwera będą zapisywane do poniższego pliku:
ExtendedLog /var/log/proftpd/proftpd.log
# ograniczenie dostępu do serwera ftp tylko dla sieci LAN
Order Allow,Deny
Allow from 192.168.1.0/24
Deny from all
# jeżeli chcemy aby pliki nie mogły być nadpisywane wstawiamy off.
AllowOverwrite on
# sekcja serwera anonimowego (przykład)
User ftp
Group ftp
UserAlias anonymous ftp
# zakaz zapisu dla anonimowych
DenyAll
========== End of proftpd.conf =========
Zapisujemy ustawienia i przechodzimy do katalogu /usr/local/etc/rc.d
# cd /usr/local/etc/rc.d
# mv proftpd.sh-dist proftpd.sh
nie pozostaje nam nic innego jak odpalić proftpd
# /usr/local/etc/rc.d/proftpd.sh start
SMB
Samba, Server Message Block, to zbiór uniksowych aplikacji rozumiejących protokół SMB (Server Message Block). Wiele systemów operacyjnych, w tym Windows i OS/2, używa SMB do komunikacji sieciowej między klientami i serwerami. Samba umożliwia uniksowym serwerom porozumiewanie się za pomocą tego samego protokołu, którego używają systemy Microsoftu. Zatem uniksowy komputer z Sambą może udawać serwer w sieci Microsoftu i udostępniać następujące usługi:
współdzielić systemy plików,
współdzielić drukarki podłączone do serwera i klientów,
wspomagać klientów w przeglądaniu Otoczenia sieciowego,
uwierzytelniać klientów logujących się do domeny Windows,
wspomagać odwzorowywanie nazw jako serwer WINS.
Prezentacja ta dotyczy użycia protokołu SMB jako rozproszonego systemu plików. Samba feruje ponadto :
Wysyłanie wiadomości WinPopup do użytkowników.
Usługi nazewnicze.
Działa na różnych platformach, w tym w większości odmian Uniksa.
Jest bezpłatna.
Administrowanie Sambą jest scentralizowane.
2.1 Implementacje Microsoftu
Implementacja SMB jest wbudowana we wszystkie Windowsy. Jest ich częścią. Dostęp do systemu plików znajdującego się na innym komputerze uzyskujemy poprzez kliknięcie na ikonę „Otoczenie Sieciowe”.
2.2 Dostęp do plików na innym komputerze
Do identyfikacji komputerów w SMB używa się nazw NetBios. Nazwa taka składa się maksymalnie z 15liter. Każdy komputer w segmencie sieciowym jest identyfikowany poprzez unikatową nazwę. Korzystanie z nazw NetBios nie jest koniecznością do uzyskania dostępu do zasobu. Każdy komputer może udostępniać fragmenty swojego systemu plików. Fragmenty te nazywamy zasobami. Inny komputer może uzyskać dostęp do zasobu znając nazwę komputera udostępniającego oraz nazwę tego zasobu. W przypadku Windowsa uzyskujemy do niego dostęp poprzez wywołanie \\<nazwa komputera>\<nazwa zasobu>. Jest on widziany jako zwykły katalog systemu Windows. <nazwa komputera> może być nazwą NetBios, ale może być także jego nazwą DNS'owa czy choćby po prostu adresem IP. W implementacji unixowej Samby mamy do dyspozycji polecenie „smbmount”. Wymaga ono nazwy komputera, nazwy zasobu oraz punktu montowania. Działa podobnie do polecenia „mount”. Po zamontowaniu możemy korzystać z udostępnionych plików w sposób przezroczysty dla użytkownika traktując je jako lokalne. Czasami do uzyskania zasobu lub dostępu do konkretnych plików stosuje się mechanizmy kontroli dostępu, o których mowa będzie w dalszej części. Jak można zauważyć, SMB jako rozproszony system plików zapewnia przeźroczystość dostępu oraz położenia. Nie pozwala on na zwielokrotnianie pliku. Przeźroczystość zmiany położenia można uzyskać podobnie jak w NFS za pomocą edycji tablic montowania u każdego klienta.
2.3 Różnice w systemach plików Windows i Unix
2.3.1 Ukrywanie plików
Czasami chcemy ukryć plik przed użytkownikiem, kiedy ten przegląda zawartość katalogu. Nie chodzi tu o odebranie praw dostępu do pliku. W systemach Windows pliki maj ˛ a atrybut, który pozwala na ich ukrycie podczas wyświetlania zawartości katalogu. W Uniksie tradycyjnie metodą ukrywania plików w katalogu jest nadanie im nazw zaczynających się od kropki (.). Dzięki
temu podczas wykonywania zwykłego polecenia ls nie są wyświetlane pliki konfiguracyjne lub pliki z parametrami domyślnymi. Jeśli jednak chcemy w ogóle pozbawić użytkownika możliwości dostępu do pliku, musimy posługiwać się zezwoleniami plikowymi i katalogowymi. Sposobem rozwiązania tego problemu w przypadku Samby jest ustawienie odpowiedniej opcji w jej pliku konfiguracyjnym. Samba zacznie wtedy automatycznie nadawać plikom z kropką na początku atrybut „ukryty”.
2.3.2 Dowiązania
W systemach plików DOS-a i Windows NT nie ma dowiązań symbolicznych. Systemy Windows 95/98/NT używają zamiast nich „skrótów”. Kiedy więc klient spróbuje otworzyć dowiązanie symboliczne w udziale serwera Samby, Samba podąża za dowiązaniem, aby znaleźć prawdziwy plik i umożliwić klientowi jego otworzenie, zupełnie tak, jakby użytkownik pracował na komputerze uniksowym. Można to wyłączyć ustawiając odpowiednią opcję w konfiguracji Samby.
2.3.3 Prawa dostępu i atrybuty plików
Dos nigdy nie miał być wielo dostępowym, sieciowym systemem operacyjnym, natomiast Unix był zaprojektowany w ten sposób od samego początku. Jedną z największych różnic między Uniksem i Dosem jest obsługa praw dostępu do plików. Wszystkie pliki Uniksa mają zezwolenia na odczyt, zapis i wykonywanie dla trzech kategorii użytkowników: właściciela, grupy i „reszty świata”. DOS/Windows (Windows z serii NT ma atrybuty jak unix) używa dla pliku atrybutów: Archiwalny, Systemowy, Ukryty, Tylko do odczytu. System plików DOS-a i Windows identyfikują pliki wykonywalne na podstawie rozszerzeń .exe, .com, .cmd, .bat. Z tego wynika, że trzy uniksowe bity wykonywalności nie mają żadnego zastosowania w odniesieniu do pliku przechowywanego w udziale dyskowym Samby. Samba może przechować atrybuty Archiwalny, Systemowy i Ukryty wykorzystując bity wykonywalności pliku unikowego - jeśli się od niej zażąda. Odwzorowanie bitów wiąże się jednak z niepożądanym efektem ubocznym - Unix może źle interpretować niektóre bity wykonywalności plików pochodzących od Windows.
2.4 Współbieżny dostęp do plików
Samba obsługuje standardowe żądania blokady DOS-a i systemu plików NT, które pozwalają na pisanie w całym pliku tylko jednemu procesowi w danej chwili. Samba nakłada także blokady zakresów bajtów. Ponadto Samba obsługuje nowy mechanizm blokowania, w terminologii Windows NT nazywany „blokadą oportunistyczną.
2.4.1 Blokady oportunistyczne
Dzięki tym blokadom klient może poinformować serwer Samby, że nie tylko będzie jedynym uprawnionym do pisania w pliku, ale że będzie buforował wszystkie zmiany lokalnie w celu przyspieszenia dostępu do pliku. Kiedy Samba wie, że plik został zablokowany oportunistycznie przez klienta, zaznacza swoją wersję tego pliku jako obłożoną blokadą i czeka, aż klient zakończy operacje na pliku i odeśle jego ostateczna wersję w celu wzajemnej synchronizacji. Jeśli inny klient zażąda dostępu do tego pliku, zanim pierwszy klient zakończy pracę, Samba może wysłać żądanie „przerwania blokady” do pierwszego klienta. Jest to informacja dla klienta, ze powinien zaprzestać lokalnego buforowania i zwrócić informacje o bieżącym stanie pliku, aby nowy klient mógł użyć go wedle swego uznania.
2.4.2 Buforowanie
Dostęp do pliku nie jest buforowany za wyjątkiem przypadku założenia blokady oportunistycznej. Starsze wersje Uniksa nie obsługiwały tego mechanizmu. Korzystać mogą one jedynie z trybu odmowy. Samba może nie dopuszczać do zakładania blokad oportunistycznych w celu zgodności ze starszymi uniksami. Niekiedy trzeba ponieść koszt nieefektywnego zapisu do plików z jakiegoś zasobu dla zapewnienia zgodności ze starszymi uniksami korzystającymi z niego.
2.5 Uwierzytelnianie, kontrola dostępu
Dostęp do zasobów może być swobodny. Jednak czasami zachodzi potrzeba ograniczania go dla wybranych użytkowników. Mamy do dyspozycji następujące sposoby uwierzytelniania użytkownika:
Zabezpieczenia na poziomie udziału
Każdy udział w grupie roboczej jest chroniony oddzielnym hasłem. Każdy, kto zna hasło dostępu do udziału, może z tego udziału korzystać.
Zabezpieczenia na poziomie użytkownika
Każdy udział w grupie roboczej jest skonfigurowany tak, aby pozwalał na dostęp tylko określonym użytkownikom. Po wstępnym nawiązaniu połączenia z zasobem, serwer Samby weryfikuje użytkowników i ich hasła, zanim przyzna im dostęp do udziału.
Zabezpieczenia na poziomie serwera
Podobne do zabezpieczeń na poziomie użytkownika, ale Samba używa oddzielnego serwera SMB, który zatwierdza użytkowników i ich hasła przed przyznaniem dostępu do udziału.
Zabezpieczenia na poziomie domeny
Samba staje się członkiem domeny Windows i uwierzytelnia klientów za pośrednictwem podstawowego kontrolera domeny (PDC). Po uwierzytelnieniu użytkownik otrzymuje specjalny żeton, który umożliwia mu korzystanie ze wszystkich udziałów, do których ma odpowiednie uprawnienia. Dzięki temu żetonowi, PDC nie będzie musiał ponownie weryfikować hasła użytkownika za każdym razem, kiedy ten spróbuje połączyć się z innym udziałem w domenie.
2.6 Odporność na awarie
Protokół SMB używa prawie wyłącznie TCP. Dzięki temu jest odporny na chwilowe niedyspozycje sieci - dba o to TCP. System plików oparty na SMB jest stanowy. Między klientem a serwerem jest ustanawiana sesja. Awaria serwera powoduje utratę dostępu do danych.
2.7 Instalacja i konfiguracja Samby
Instalacja wygląda niemal identycznie jak serwera FTP
Po zainstalowaniu musimy zmienić nazwę pliku konfiguracyjnego smb.conf.sample na smb.conf
# mv smb.conf.sample smb.conf
oraz plik uruchamiający nam sambę samba.sh.sample na samba.sh
# mv samba.sh.sample samba.sh
Pliki te znajduja się odpowiednio w katalogach /usr/local/etc i /usr/local/etc/rc.d
Plik konfiguracyjny smb.conf:
#================== Global Settings ===================
[global]
# Twoja grupa robocza w sieci;
workgroup = MYGROUP
# nazwa pod jaką będzie widoczny serwer w Otoczeniu Sieciowym;
netbios name = Server
# komentarz wyświetlany obok komputera;
server string = Samba Server
# tutaj możemy ustawić dostęp do udziałów (z jakich adresów (sieci) można łączyć się z sambą);
hosts allow = 192.168.1. 192.168.2. 127.
# tutaj z kolei możemy zabronić dostępu do udziałów (host zostaje dopuszczony do udziałów tylko wtedy
# gdy jest na liście host allow i jednocześnie nie ma go na liście host deny;
host deny = 192.168.1.4 192.168.2.10
# umieszcza na liście przeglądania wszystkie drukarki wymienione w systemowym pliku parametrów
# drukarek, używa opcji konfiguracyjnych z sekcji [printers]
# dozwolone wartości: YES, NO; wartość domyślna = YES;
load printers = yes
# Samba użyje określonego pliku jako pliku parametrów drukarek, zwykle jest to plik
# /etc/printcap możesz jednak ustawić tę opcję tak, aby wskazywała plik tylko z tymi
# drukarkami, które chcesz udostępnić w sieci;
printcap name = /etc/printcap
# ta opcja konfiguracyjna informuje Sambę o systemie druku używanym przez serwer;
printing = bsd
# jeżeli chcemy umożliwić gościnny dostęp do niektórych udziałów musimy podać jakiego konta będzie
# używał użytkownik podczas uwierzytelniania (w tym wypadku opcja security = share);
guest account = nobody
# ścieżka do logów i pod jaką nazwą mają być zapisywane;
log file = /var/log/log.%m
# maksymalny rozmiar pliku z logami;
max log size = 50
# zabezpieczenie dostępu na poziomie użytkownika; security = share na poziomie zasobów;
security = user
# możesz skonfigurować Sambę do współpracy z serwerem haseł (kiedy używasz zabezpieczeń na poziomie serwera
# security = server). Zauważ, że w opcji password server możesz podać nazwy kilku komputerów. Samba będzie
# łączyć się z kolejnym serwerem na liście, jeśli pierwszy wybrany będzie niedostępny. Serwery w opcji password
# server określa się za pomocą nazw NetBIOS-owych, a nie nazw DNS lub równoważnych im adresów IP;
password server = SERVERSAMBY1 SERVERSAMBY2
# włącza szyfrowanie haseł metodą Windows NT, wymaga użycia programu smbpasswd w serwerze Samby;
encrypt passwords = yes
# ta opcja powoduje wczytanie pliku konfiguracyjnego dla komputera o określonej nazwie Net BIOS-owej (%m)
# jeżeli nazwa klienta to host1, a w katalogu samby (lub tym, którego nazwę podałeś w pliku konfiguracyjnym)
# znajduje się plik smb.conf.host1, Samba dołączy jego za wartość do domyślnego pliku konfiguracyjnego; jeśli plik
# smb.conf.host1 modyfikuje którąś zmienną konfiguracyjną, to zmieniona wartość będzie miała pierwszeństwo przed
# wartością zdefiniowaną wcześniej; jeśli któraś opcja konfiguracyjna zostanie zmodyfikowana w głównym pliku już po
# opcji include, Samba przyjmie jej nową wartość dla udziału, w którym została zdefiniowana;
include = /usr/local/etc/smb.conf.%m
# jest to opcja dostrajania systemu goszczącego Sambę (dokładnie nie wiem o co chodzi);
socket options = TCP_NODELAY
# jeśli chcesz, aby dane były wysyłane przez więcej niż jeden interfejs, musimy podać ich pełną listą w opcji interfaces
# ponieważ nie można zagwarantować, że podstawowy interfejs wybrany przez Sambę będzie tym właściwym;
interfaces = 192.168.10.1/24 192.168.20.1/24
# opcja ta określa, czy Samba zaraz po uruchomieniu spróbuje zostać główną przeglądarką lokalną w swojej podsieci
# domyślnie opcja jest ustawiona na yes i Samba bierze udział w wyborach, jednakże włączenie tylko tej opcji nie
# gwarantuje zwycięstwa (pomogą w tym inne parametry, takie jak preferred master i oslevel);
local master = yes
# ustawia poziom systemu operacyjnego Samby podczas wyborów głównej przeglądarki lokalnej;
os level = 60
# Samba może przejąć funkcję głównej przeglądarki domeny we wszystkich podsieciach grupy roboczej dzięki tej opcji;
domain master = yes
# nakazuje Sambie ustawić bit preferowanej przeglądarki głównej podczas udziału w wyborach, dzięki temu komputer
# uzyskuje w grupie roboczej wyższą preferencję niż inne komputery o tym samym poziomie systemu operacyjnego
# jeśli chcesz, żeby komputer z Sambą został główną przeglądarką lokalną, powinieneś użyć poniższej opcji;
preferred master = yes
# Logowanie do domeny (włączenie tej opcji powoduje domyślne właczenie opcji domain master);
domain logons = yes
# Skrypt wykonywany podczas logowania (musi być umieszczony w udziale netlogon);
logon script = start.bat
# Ścieżka do katalogu w którym będą przechowywane profile mobilne (wędrujące) - dla systemów win9x/Me;
logon home = %L%U.win9x
# Ścieżka do katalogu w którym będą przechowywane profile mobilne (wędrujące) - dla systemów winNT/2000/XP;
logon path = %L%U.winNT
# Mapowanie katalogu domowego np. jako dysk P: (tylko dla winNT/2000/XP);
logon drive = P:
# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable it's WINS Server
; wins support = yes
# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = w.x.y.z
# WINS Proxy - Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one WINS Server on the network. The default is NO.
; wins proxy = yes
# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The built-in default for versions 1.9.17 is yes,
# this has been changed in version 1.9.18 to no.
dns proxy = no
# Client codepage settings
# for Greek users
; client code page=737
# for European users (Latin 1)
; client code page=850
# for European users (Latin 2)
; client code page=852
#================= Share Definitions ===================
# opcje występujące w tej sekcji:
# comment - komentarz wyświetlany przy udziale;
# browseable - jeżeli yes udział będzie widoczny dla wszystkich;
# writeable - możliwość pisania po udziale;
# read only - udział tylko do odczytu (zamienne z writeable);
# guest ok (public) - udział dostępny dla wszystkich;
# write list - lista osób lub grup oddzielonych przecinkami, które mają prawo pisania po udziale np.
# write list = user1, user2, @grupa1, @grupa2;
# path - ścieżka do udziału;
# only guest - udział, z którym łączymy się tylko za pomocą konta gościnnego;
# valid users - lista osób, które mogą korzystać z zasobu;
# create mask - maska nowo tworzonych plików np. create mask = 644;
# directory mask - maska nowo tworzonych katalogów;
# sekcja homes - katalogi domowe;
[homes]
comment = Katalog domowy
browseable = no
writeable = yes
guest ok = no
create mask = 644
directory mask = 755
# Udział, w którym zamieszczamy podstawowy skrypt logowania (w tym przypadku start.bat);
[netlogon]
comment = Network Logon Service
path = /usr/local/samba/lib/netlogon
guest ok = yes
writeable = no
share modes = no
browseable = no
# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
;[Profiles]
; path = /usr/local/samba/profiles
; browseable = no
; guest ok = yes
# NOTE: If you have a BSD-style print system there is no need to
# specifically define each individual printer
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
guest ok = no
writeable = no
printable = yes
# udział public, do którego mają dostęp wszyscy (tylko do odczytu), a zapisywać w tym udziale może
# tylko user1, user3 i wszyscy z grupy grupa2;
[public]
comment = Katalog publiczny
path = /home/samba/public
public = yes
browseable = yes
read only = yes
printable = no
write list = user1 user3 @grupa2
# udział dostępny dla wszystkich łączących się z danego komputera (tzn. najpierw tworzymy katalogi
# o nazwach takich jak nazwy komputerów klientów) a zmienna %m powoduje, że każdy komputer
# posiada swój katalog na serwerze, do którego mają dostęp osoby łączące się z danej maszyny;
[pchome]
comment = Katalog PC %m
path = /usr/pc/%m
public = no
writeable = yes
# udział przeznaczony tylko i wyłącznie dla gości, po którym może pisać każdy;
[public-guest]
path = /home/samba/public-guest
public = yes
only guest = yes
writeable = yes
printable = no
# ==================== End of file ==================
2.8 Uruchomienie Samby
Teraz wystarczy już tylko uruchomić demony Samby i skonfigurować klientów do współpracy z Sambą. Są dwie możliwości uruchomienia Samby: za pośrednictwem inetd lub jako osobne demony Samby. Jeśli chcemy uruchamić Sambę za pośrednictwem inetd, najpierw należy otworzyć w edytorze plik /etc/services. Jeśli nie ma w nim jeszcze poniższych linii, należy je dopisać:
#vi /etc/services
netbios-ns 137/tcp #NETBIOS Name Service
netbios-ns 137/udp #NETBIOS Name Service
netbios-dgm 138/tcp #NETBIOS Datagram Service
netbios-dgm 138/udp #NETBIOS Datagram Service
netbios-ssn 139/tcp #NETBIOS Session Service
netbios-ssn 139/udp #NETBIOS Session Service
Następnie robimy odpowiednie wpisy w inetd.conf
#vi /etc/inetd.conf
netbios-ssn stream tcp nowait root /usr/local/sbin/smbd smbd -D
netbios-ns dgram udp wait root /usr/local/sbin/nmbd nmbd -D
powiadamiamy demona inetd o zmianie w pliku konfiguracyjnym i sprawdzamy czy usługi zostały uruchomione:
#kill -HUP inetd
# ps -ax
139 ?? Is 0:03.27 /usr/local/sbin/smbd -D
141 ?? Ss 0:31.07 /usr/local/sbin/nmbd -D
Drugim sposobem uruchomienia Samby jest użycie osobnych demonów. W tym celu trzeba zmienić nazwę pliku samba.sh.sample na samba.sh
#cp /usr/local/etc/rc.d/samba.sh.sample /usr/local/etc/rc.d/samba.sh
uruchomić Sambę za pmocą poleceń smbd stop i smbd restart możemy zatrzymać Sambę lub ją przeładować.
#smbd start
#nmbd start
3. NFS
NFS, network file system, implementuje architekturę klient - serwer. Każda stacja robocza może działać zarówno jako klient i serwer. NFS dostępny na niemal wszystkie platformy programowe i sprzętowe. Umożliwia użytkownikom korzystanie z katalogów i plików znajdujących się fizycznie na różnych stacjach roboczych przyjmując abstrakcyjny model systemu plików i odwzorowując go w lokalny system plików, zależny od systemu operacyjnego. Każdy serwer eksportuje jeden lub więcej swoich katalogów, udostępniając je odległym klientom. Eksportowane są całe drzewa katalogów. NFS posiada kilka elementów, które różnią go od innych systemów plików sieciowych. Po pierwsze korzysta z protokołu UDP (chociaż ostatnie wersje wykorzystuje także protokół TCP/IP). Stanowi to dużą przewagę ponieważ UDP jest protokołem nie wymagającym stałego połączenia, systemy plików oparte na NFS potrafią przetrwać awarię sieci bez problemów.
3.1 Cele projektowe systemu NFS
3.1.1 Przezroczystość
- Przezroczystość dostępu - klient NFS dostarcza interfejs dla aplikacji, umożliwiający przeprowadzanie operacji na zdalnych plikach identyczny z interfejsem dla lokalnego systemu plików. Oznacza, to że aplikacje działające na stacji klienckiej mogą wykonywać operacje na zdalnych plikach bez żadnych zmian w kodzie źródłowym.
- Przezroczystość położenia - Umożliwia klientowi NFS dostęp do zdalnych plików bez znajomości ich fizycznej lokalizacji. Klient NFS określa sieciową przestrzeń nazw plików dodając je do swojej lokalnej przestrzeni nazw. Miejsce montowania zdalnych plików w lokalnej hierarchii nazw jest wybierane przez klienta.
- Przezroczystość awarii - Ponieważ serwer NFS jest bezstanowy i większość operacji na plikach zdalnych jest powtarzalna sytuacje awaryjne dotyczące zdalnych plików są postrzegane przez klienta jako awarie lokalne. W przypadku wystąpienia awarii usługi świadczone przez serwer zostają zatrzymane do czasu ponownego uruchomienia serwera. Awaria procesu po stronie klienta nie wpływa na działanie żadnego z serwerów.
- Przezroczystość wydajności - Klient i serwer stosują buforowanie w celu poprawienia wydajności. Moduły klienta i serwera są instalowane w jądrze systemu UNIX.
- Przezroczystość wędrówki - W każdym kliencie zdalne pliki montowane są do lokalnego katalogu przez oddzielny proces. W przypadku gdy zmienia się fizyczne położenia plików należy uaktualnić tablice montowania u każdego klienta. Przydatnym narzędziem służącym do montowania plików jest automounter . Jest to proces, który niewidocznie, na żądanie, montuje i odmontowuje systemy plików. Z punktu widzenia aplikacji działających po stronie klienta zdalny system plików jest cały czas dostępny.
3.2 Bezpieczeństwo
Architektura protokołu NFS umożliwia wykorzystanie wielu mechanizmów bezpieczeństwa takich jak:
- Przekazywanie systemu plików tylko do wybranych grup klientów.
- Udostępnianie systemu plików tylko w trybie do odczytu.
- Przypisywanie numeru identyfikacyjnego jednego użytkownika drugiemu.
- Wyłączenie logowania się jako root ze zdalnego komputera.
- Blokowanie plików (tylko wersja czwarta).
3.3 Implementacja NFS w systemie UNIX
3.3.1 Serwer NFS
Moduł serwera, ze względów wydajnościowych, jest dołączony do jądra systemu UNIX. Jego głównym zadaniem jest udostępnianie (eksportowanie) klientom plików znajdujących się na serwerze. Listę udostępnionych zasobów administrator umieszcza w pliku konfiguracyjnym: /etc/exports. Katalogi wymienione w pliku konfiguracyjnym będą udostępnione klientom NFS po wykonaniu komendy
# /usr/sbin/exportfs -a
Przeważnie podczas startu systemu uruchamiany jest program, który czyta plik konfiguracyjny, następnie przekazuje do jądra systemu operacyjnego informacje o prawach dostępu do drzew katalogów (zdefiniowanych w pliku konfiguracyjnym) Następnie uruchamiane są demony:
• portmap - dba o rejestrowanie usług RPC i zamianę numerów usług RPC na numery portów. Po uruchomieniu demon RPC nasłuchuje wszystkie porty, łączy się z programem portmap i rejestruje w nim numery portów. Kiedy program klienta wywołuje serwer RPC, otwiera połączenie z programem portmap na serwerze i podaje mu numer programu. Portmap odpowiada numerem portu, na którym serwer nasłuchuje, dalej klient może już bezpośrednio łączyć się z procesem na serwerze.
• mountd - odpowiada za montowanie i demontowanie zasobów. Zapewnia on następujące działania:
- weryfikuje pliki /etc/host.allow i etc/hosts.decy pod kątem zezwolenia na połączenie klienta z serwerem.
- sprawdza, czy żądany system plików jest zapisany w pliku etc/exports
- sprawdza, czy klient jest uprawniony do korzystania z serwera, a jeśli tak to w jakim trybie.
- tworzy uchwyt do systemu plików i zwraca go klientowi.
- dodaje klienta do pliku etc/rmtab.
• nfsd - Klient po zamontowaniu systemu plików kontaktuje się z demonem nfsd z takimi żądaniami jak otwieranie lub zamykanie plików, sprawdzanie ich statusu i typu oraz czytanie i zapisywanie danych.
Uwagi dotyczące serwera NFS:
• w przypadku gdy drzewo katalogów zawiera elementy zamontowane z innego nośnika, to muszą być one osobno wymienione w pliku konfiguracyjnym.
• nie można eksportować zamontowanego z innego serwera systemu plików.
3.4 Pamięć podręczna serwera
Serwery NFS korzystają z podręcznej pamięci buforowanej. Zapewniają czytanie z wyprzedzeniem, ale operacje zapisu s ˛ a wykonywane natychmiast ponieważ ewentualna awaria serwera mogłaby spowodować utratę danych, która byłaby przez klientów niezauważona.
3.4.1 Ograniczenia
• Serwer może eksportować wyłącznie lokalne systemy plików.
• Eksportowania zasobów lokalnych i montowania zasobów zewnętrznych może dokonywać jedynie administrator.
3.4.2 Protokół NFS
Protokół NFS działa w oparciu o RPC (Remote Procedure Call - zdalne wywołanie procedur). RPC jest usługą, dzięki której działający na komputerze lokalnym program klienta może wywoływać kod, który jest uruchamiany na serwerze w taki sam sposób jakby był uruchamiany lokalnie. Interfejs RPC dostarczany prze serwer NFS pozwala na wykonywania standartowych
operacji na plikach (m.in. zapisywanie, odczytywanie, zmiana nazwy). Jest jednak problem, który pojawia się, gdy procedury są wywoływane przez komputery z różną architekturą. Ponieważ RPC jest zaprojektowany do transferu struktur danych, elementy takie jak kolejność bajtów (które są różne dla różnych architektur) mają znaczenie dla danych przechowywanych w pamięci i mogą mieć wpływ w przypadku ich rozesłania w sieci. W związku z tym został stworzony standard nazwany XDR . Wszystkie dane przesyłane w sieci są
najpierw zamieniane na format XDR na komputerze lokalnym, a następnie ponownie zamieniane na format wewnętrzny przez komputer odbierający dane.
Tak ogólnie Serwerem można nazwać komputer lub program umożliwiający dostęp do pewnej usługi innym programom bądź komputerom zwanym klientami (tzw. architektura klient-serwer).
Do typowych przykładów należą: serwery plików umożliwiające dostęp innym komputerom w sieci do jakiegoś dysku, serwery usług internetowych - komputery podłączone do sieci Internet, których zadaniem jest udostępnianie różnych usług użytkownikom pracującym przy terminalach. Serwer powinien być zdolny do obsłużenia wielu żądań jednocześnie, w związku z tym powinien posiadać odpowiednio szybki procesor, dużą ilość pamięci operacyjnej i miejsca na dyskach twardych, serwery OLE, tzn. programy lub biblioteki umożliwiające innym programom używającym tej technologii dostęp do jakiegoś typu funkcjonalności za pomocą tzw. interfejsów.
III. Host Configuration Protocol
DHCP
DHCP - (Dynamic Host Configuraton Protocol) czyli dynamiczny protokół konfiguracji hostów) jest protokołem umożliwiającym zdalną konfiguracje protokołu TCP/IP. Praktycznie każdy system operacyjny posiadający obsługę TCP/IP oferuje możliwość pobrania konfiguracji TCP/IP poprzez DHCP, czyli ustalenia: adresu IP, maski podsieci, domyślnej bramy w sieci, serwerów DNS, domeny w jakiej hosty pracują, oraz wielu innych parametrów.
W sieci, każdy komputer musi mieć protokół TCP/IP właściwie skonfigurowany. To znaczy, że adres IP, maska sieci, adres bramy oraz adres serwera DNS itd. musi być skonfigurowany na każdym komputerze. Jeżeli administrator musiałby wpisywać ręcznie parametry serwera na każdym komputerze, to trudno by było uniknąć pomyłki, np. używanie dwóch adresów - może powodować kolizje i w konsekwencji też niepoprawną pracę sieci.
DHCP jest używany dla dynamicznej konfiguracji protokołu TCP/IP na komputerach klientach. Podczas startu, komputer klient posyła żądanie, kiedy serwer DHCP otrzyma to żądanie, wtedy wybiera odpowiednie parametry niezbędne do automatycznej konfiguracji protokołu TCP/IP u klienta (zasada działania podobna jak przy użyciu modemów, np. w TPSA). Parametrami tymi są adres IP, maska sieci, adres bramy, adres serwera DNS, nazwa domeny, itd. Używając takich parametrów, serwer DHCP tworzy odpowiedź i posyła ją do klienta. Przydatną funkcją jest to, że serwer może dzierżawić konfigurację dla klienta przez ograniczony czas (jest to tak zwany "lease time"). Serwer DHCP zawsze przypisuje adres IP tak, że nie koliduje on z jakimkolwiek innym już przypisanym adresem dla innego klienta.
Więdnąć
Wybór metody przypisywania adresów IP.
System Windows 2000 Professional udostępnia trzy metody przypisywania adresów TCP/IP klientom: protokół DHCP, który automatycznie konfiguruje wszystkich klientów w sieci przy użyciu serwera DHCP, automatyczne prywatne adresowanie IP (APIPA), które polega na automatycznym przypisywaniu adresów IP klientom w środowisku składającym się z jednej podsieci, oraz ręczną konfigurację adresów IP. Konieczne jest wybranie tej metody, która najlepiej odpowiada potrzebom organizacji i klientów.
Schemat przykładowej sieci wykorzystującej serwer DHCP
a) Jeżeli pożądana jest automatyczna konfiguracja hosta, a serwer DHCP jest dostępny, to należy korzystać z protokołu DHCP.
Protokół DHCP umożliwia automatyczną konfigurację adresów IP i innych parametrów klientów, przy użyciu jednego lub kilku serwerów DHCP. Jest to domyślna metoda adresowania w systemie Windows 2000 Professional. Informacje na ten temat znajdują się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie protokołu DHCP”.
b) Jeżeli pożądane jest automatyczne przypisywanie adresów IP, ale serwer DHCP nie jest dostępny, to należy korzystać z adresowania APIPA.
Automatyczne prywatne adresowanie IP umożliwia przypisywanie adresów IP komputerom w sieciach, w których nie ma serwera DHCP. Klient Windows 2000 Professional przypisuje sobie adres IP z zarezerwowanej sieci klasy B (169.254.0.0 z maską podsieci 255.255.0.0). Sieć ta nie może komunikować się bezpośrednio z hostami w innych podsieciach, w tym z hostami znajdującymi się w Internecie. Dlatego metoda ta znajduje zastosowanie jedynie w niewielkich, składających się z jednej podsieci, środowiskach, takich jak sieci domowe i biurowe. Adresowanie APIPA jest używane domyślnie, jeżeli w sieci nie jest dostępny serwer DHCP. Informacje na ten temat znajdują się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie automatycznego prywatnego adresowania IP”.
c) Jeżeli DHCP ani APIPA nie mogą być używane, należy ręcznie skonfigurować adresy IP.
Jeżeli w sieci nie jest dostępny serwer DHCP, a adresowanie APIPA nie może być używane, to należy ręcznie skonfigurować adresy IP i maski podsieci dla wszystkich stacji klienckich.
d) Omówienie przypisywania adresów IP
Każdy komputer w sieci TCP/IP jest identyfikowany przez unikalny, 32-bitowy adres IP, umożliwiający mu komunikowanie się z innymi hostami w sieci prywatnej lub w Internecie. Adresy IP można podzielić na dwie klasy: adresy publiczne oraz prywatne. Obie klasy są przydzielane przez instytucję o nazwie IANA (Internet Assigned Numbers Authority), która jest odpowiedzialna za zarządzanie i przydział adresów IP w Internecie oraz na prywatny użytek różnych organizacji.
e) Publiczne adresy IP
IANA przydziela organizacjom grupy adresów IP w Internecie. Organizacje te mogą następnie przypisywać otrzymane adresy poszczególnym swoim komputerom. Poszczególne komputery muszą korzystać z różnych adresów IP. Aby komputer był widoczny w sieci Internet, musi być osiągalny po podaniu publicznego adresu IP.
Publiczny adres IP może zostać przypisany komputerowi używającemu systemu Windows 2000 Professional za pośrednictwem dostępnego w sieci organizacji serwera protokołu DHCP, skonfigurowany ręcznie lub przyznany przez dostawcę usług internetowych (ISP) podczas nawiązywania połączenia telefonicznego.
f) Prywatne adresy IP
Instytucja IANA zarezerwowała pewną ilość adresów IP, które nigdy nie są używane w globalnej sieci Internet. Te prywatne adresy IP mogą być używane w sieciach, które nie są połączone bezpośrednio z Internetem, lecz wymagają łączności IP. Jeżeli użytkownik chce połączyć kilka komputerów używających systemu Windows 2000 Professional w niewielką sieć, to może skorzystać z funkcji automatycznego prywatnego adresowania IP, przydzielającej każdemu komputerowi prywatny adres IP. Eliminuje to konieczność konfigurowania adresu IP dla każdego komputera, nie jest również potrzebny serwer DHCP.
Łączność z Internetem w sieci używającej adresowania prywatnego można uzyskać korzystając z komputera działającego jako serwer proxy lub translator adresów sieciowych NAT (Network Address Translator). System Windows 2000 Professional zawiera funkcję Udostępniania połączenia internetowego, oferującą usługi NAT klientom w sieci prywatnej. Więcej informacji na temat Udostępniania połączenia internetowego znajduje się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie Udostępniania połączenia internetowego”.
g) Protokół DHCP
Serwer DHCP przechowuje bazę danych o dostępnych adresach IP. Serwer ten może też udostępniać klientom dodatkowe informacje konfiguracyjne, takie jak adresy serwerów DNS i WINS, adresy bram itp.
Podczas inicjalizacji każdy klient DHCP żąda od serwera danych konfiguracyjnych, umożliwiających automatyczne określenie adresu IP, maski podsieci i innych parametrów. Adres IP jest przydzielany każdemu klientowi na określony w serwerze czas, nazywany dzierżawą. Dzierżawa może być okresowo odnawiana przez klienta. Jeżeli tak się nie stanie, to jego adres IP jest zwracany do bazy danych, dzięki czemu staje się dostępny dla innych klientów DHCP. Protokół DHCP stanowi efektywną metodę przydzielania adresów IP w dużych sieciach, upraszczając konfigurację klientów i umożliwiając ponowne wykorzystanie zwolnionych adresów.
- Konfigurowanie protokołu DHCP
Aby protokół TCP/IP był łatwiejszy do zarządzania, firma Microsoft we współpracy z innymi wiodącymi firmami opracowała internetowy standard, którym jest protokół DHCP. Protokół ten umożliwia automatyczne przydzielanie parametrów konfiguracyjnych TCP/IP. DHCP nie jest standardem należącym do firmy Microsoft, lecz otwartą specyfikacją (RFC 2131), którą firma Microsoft zaimplementowała w swoich produktach.
Udostępnienie serwera DHCP w organizacji pozwala administratorowi sieci na określenie zakresu prawidłowych adresów IP dla poszczególnych podsieci oraz szeregu innych opcji, umożliwiających automatyczną konfigurację parametrów takich, jak maska podsieci, domyślna brama oraz adresy serwerów DNS i WINS. Poszczególne adresy IP z zakresów oraz powiązane z nimi opcje są przypisywane dynamicznie każdemu klientowi DHCP, który żąda adresu. Jeżeli protokół DHCP jest dostępny w całej organizacji, to użytkownik może przenosić się między podsieciami i zawsze otrzymuje poprawny adres IP. DHCP umożliwia także ustanowienie okresu dzierżawy, określającego jak długo konfiguracja adresu IP pozostaje aktualna. Funkcję serwera DHCP może pełnić komputer używający systemu Windows NT Server w wersji 3.5 lub późniejszej, w którym działa usługa DHCP.
h) Automatyczne prywatne adresowanie IP
Automatyczne prywatne adresowanie IP (APIPA) jest odpowiednim rozwiązaniem w niewielkich sieciach, nie podzielonych na podsieci. Jeżeli serwer DHCP nie jest dostępny, to komputer może automatycznie przypisać sobie adres IP z puli adresów prywatnych. Gdy serwer DHCP zostanie udostępniony w sieci, komputer automatycznie zmieni adres na otrzymany od tego serwera. Komputery korzystające z adresowania APIPA mogą komunikować się jedynie z innymi komputerami używającymi tego schematu, znajdującymi się w tej samej podsieci. Nie są one bezpośrednio osiągalne z sieci Internet.
- Konfigurowanie automatycznego prywatnego adresowania IP
Adresowanie APIPA umożliwia klientowi DHCP w systemie Windows 2000 Professional przydzielanie sobie adresu IP w następujących sytuacjach:
Klient jest skonfigurowany do otrzymywania dzierżawy od serwera DHCP, jednak serwer taki jest niedostępny (np. w niewielkich sieciach domowych i biurowych).
Klient korzystał z DHCP w celu uzyskania dzierżawy, jednak próba jej odnowienia nie powiodła się.
W opisanych wyżej sytuacjach klient DHCP w systemie Windows 2000 Professional dokonuje autokonfiguracji protokołu TCP/IP. Używa do tego celu adresu IP wybranego z zarezerwowanej przez IANA sieci klasy B o adresie 169.254.0.0, z maską podsieci 255.255.0.0. Klient DHCP przeprowadza badanie zduplikowanych adresów w celu sprawdzenia, czy wybrany adres IP nie jest już używany przez inny komputer. Jeżeli wybrany adres jest używany przez inną stację roboczą, to jest wybierany kolejny adres. Proces ten jest powtarzany 10 razy. Klient w dalszym ciągu próbuje w tle odszukać serwer DHCP, powtarzając żądanie DHCP co pięć minut, a po jego znalezieniu porzuca ustawienia skonfigurowane automatycznie i zaczyna korzystać z adresu zaoferowanego mu przez ten serwer.
- Aby sprawdzić, czy adresowanie APIPA jest aktualnie włączone, należy:
W wierszu poleceń wpisać ipconfig /all. Otrzymana odpowiedź zawiera aktualny adres IP i inne informacje. Należy wyszukać wiersz zaczynający się od słów „Autokonfiguracja włączona”. Jeżeli w wierszu tym widnieje napis „TAK”, a adres IP znajduje się w zakresie 169.254.x.x, to automatyczne prywatne adresowanie IP jest włączone.
- Automatyczne prywatne adresowanie IP można wyłączyć na jeden z dwóch następujących sposobów:
Można ręcznie skonfigurować protokół TCP/IP postępując zgodnie z procedurą opisaną w paragrafie „Ręczne konfigurowanie adresowania IP”. Metoda ta wyłącza także obsługę protokołu DHCP.
Można także wyłączyć adresowanie APIPA (ale nie DHCP) dla danego adaptera, edytując rejestr.
i) Statyczne adresowanie IP
W przypadku statycznego adresowania IP konieczne jest ręczne określenie adresów IP dla każdego komputera w sieci. Metoda ta może być bardzo pracochłonna, ponadto pozwala ona na powstawanie błędów - szczególnie w średnich i dużych sieciach. Jest ona zalecana jedynie wówczas, gdy adresowanie APIPA lub DHCP nie jest możliwe lub opłacalne.
j) Ręczne konfigurowanie adresowania IP
Jeżeli korzystanie z DHCP lub APIPA w celu przypisywania adresów i podsieci IP nie jest możliwe, to adres IP klienta używającego systemu Windows 2000 Professional musi zostać określony ręcznie. Do wymaganych wartości, które należy skonfigurować, zaliczają się:
Adres IP dla każdego adaptera sieciowego zainstalowanego w komputerze.
Maska podsieci odpowiadająca sieci dołączonej lokalnie do każdego z adapterów.
- Aby ręcznie skonfigurować protokół TCP/IP, należy:
W Panelu sterowania otworzyć Połączenia sieciowe i telefoniczne.
Kliknąć prawym przyciskiem myszy połączenie lokalne, które ma być modyfikowane.
Wybrać opcję Właściwości. Na zakładce Ogólne wybrać Protokół internetowy (TCP/IP). Kliknąć opcję Właściwości.
Na zakładce Ogólne wybrać opcję Użyj następującego adresu IP.
W odpowiednich polach wpisać adres IP, maskę podsieci oraz adres bramy domyślnej. Administrator sieci musi udostępnić te wartości poszczególnym użytkownikom, w oparciu o plan adresowania w danej sieci.
Wartość w polu Adres IP identyfikuje adres IP przypisany danemu interfejsowi.Wartość w polu Maska podsieci jest używana do wyznaczania identyfikatora sieci dla danego adaptera sieciowego.
Zaznaczamy „PODAJ ADRES IP”. Wpisujemy adres IP, który nie będzie z zakresu przydzielanego przez nasz serwer DHCP, czyli 10.a.b.c. - gdzie a,b to dowolne liczby z zakresu 1-255 (włącznie), czy z zakresu 0-255. W przypadku, gdy a=b=0, wpisujemy adresy z zakresu przyznawanego przez DHCP gdyż może nastąpić konflikt związany z tym, że przydzieliliśmy adres z puli tych nadawanych przez serwer DHCP.
Akceptujemy maskę podsieci (taką, jaką odczytaliśmy po zastosowaniu polecenia WINIPCFG). Komputer zada nam pytanie, czy uruchomić komputer, aby nowe ustawienia zostały wprowadzone. Opowiadamy TAK i od tej pory nasz komputer będzie miał stały adres, który nie ulegnie zmianie. Podczas nadawania stałych adresów IP musimy pamiętać, że w sieci nie mogą istnieć komputery o tych samych adresach IP przyznawanych na stałe lub dynamicznie przez serwer DHCP. W tym przypadku, gdy nastąpi konflikt otrzymamy komunikat:
Dlatego też najlepiej podczas nadawania stałych adresów włączać tylko ten komputer któremu chcemy nadać stały adres i po nadaniu wyłączyć go. Podobnie należy postąpić z następnym. Jeżeli w ten sposób przyznamy adresy wszystkim komputerom w sieci, powinniśmy zabezpieczyć się przeciwko otrzymywaniu powyższego komunikatu, dzięki czemu unikniemy konfliktów podczas nadawania stałych adresów.
Multicast DHCP
Wraz z MADCAP (Multicast Address Dynamic Client Allocation Protocol) pojawiła się w Windows 2000 DHCP możliwość skonfigurowania puli adresów typu multicast (224.0.0.0 do 239.255.255.255) pozwalająca na dzierżawienie adresów klasy D. Standardowo serwer DHCP jest używany do przydzielania adresów typu unicast klas A, B i C, pozwalających na komunikacje typu point-to- point pomiędzy dwoma hostami. Dzięki MADCAP jest możliwe dynamiczne przydzielanie adresów multicast w sieci TCP/IP. Ponieważ adres typu multicast jest dzielony jednocześnie przez wiele komputerów, a datagram IP wysyłany na multicast jest wysyłany do wszystkich hostów dzielących ten numer, to w ten sposób możliwa jest komunikacja od jednego komputera do wielu.
4. Serwer DHCP
Wykorzystanie serwera DHCP w sieci ogranicza do minimum pracę administratora przy konfiguracji protokołu TCP/IP oraz eliminuje możliwość popełnienia pomyłki. Pozwala również na centralne zarządzanie zasobami TCP/IP, co ułatwia pracę administratora. Przeniesienie hosta do innej podsieci lub zmiana adresów w podsieci nie wiąże się z potrzebą ręcznej konfiguracji wszystkich hostów w sieci. Wraz z nowymi cechami serwera Windows 2000 DHCP wyeliminowane zostały problemy, które występowały we wcześniejszej wersji systemu konfiguracja stacji przy braku serwera, autoryzacja serwerów w Active Directory i współpraca z Dynamic DNS
a) Proces dzierżawy DHCP
Za pierwszym razem, gdy klient używający systemu Windows 2000 Professional z DHCP łączy się z siecią, automatycznie przeprowadza proces inicjalizacji konieczny do otrzymania dzierżawy adresu z serwera
5. Proces dzierżawy DHCP
Klient DHCP systemu Windows 2000 Professional żąda przydzielenia adresu IP, rozgłaszając w lokalnej podsieci komunikat (tzw. komunikat DHCPDiscover).
Serwer DHCP oferuje klientowi adres, odpowiadając mu komunikatem zawierającym adres IP i inne informacje konfiguracyjne (DHCPOffer). Jeżeli żaden serwer DHCP nie odpowie na żądanie klienta, to klient ten może postąpić na jeden z dwóch sposobów:
Jeżeli funkcja adresowania APIPA nie została wyłączona, to klient automatycznie przydziela sobie unikalny adres IP z zakresu od 169.254.0.1 do 169.254.255.254. Więcej szczegółów na ten temat znajduje się w dalszej części tego rozdziału, w paragrafie „Konfigurowanie automatycznego prywatnego adresowania IP”.
Jeżeli adresowanie APIPA zostało wyłączone, to inicjalizacja klienta sieciowego kończy się niepowodzeniem. Klient nadal wysyła komunikaty DHCPDiscover w tle, aż do chwili otrzymania ważnej dzierżawy od serwera DHCP. Próba otrzymania dzierżawy jest powtarzana cztery razy, co pięć minut.
Klient informuje serwer o zaakceptowaniu dzierżawy wybierając oferowany adres i odpowiadając serwerowi za pomocą komunikatu DHCPRequest.
Adres jest przydzielany klientowi, a serwer DHCP odsyła komunikat potwierdzający (DHCPAck), zezwalając w ten sposób na dzierżawę. W komunikacie tym mogą być zawarte inne, opcjonalne informacje DHCP, takie jak brama domyślna lub adres serwera DNS.
Po odebraniu potwierdzenia przez klienta, konfiguruje on swoje parametry TCP/IP, łącznie z opcjonalnymi informacjami zawartymi w komunikacie DHCPAck, a następnie kończy inicjalizację protokołu TCP/IP.
W rzadkich sytuacjach serwer DHCP może zwrócić klientowi potwierdzenie negatywne. Dzieje się tak, gdy klient żąda nieprawidłowego lub powtórzonego adresu IP. Jeżeli klient otrzyma potwierdzenie negatywne (DHCPNack), to musi ponownie rozpocząć cały proces dzierżawy.
b) Ponowne uruchomienie klienta DHCP
Gdy klient używający systemu Windows 2000 Professional, który uprzednio wydzierżawił adres IP, jest ponownie uruchamiany, to rozgłasza komunikat DHCPRequest, zawierający żądanie poprzednio przypisanego adresu IP. Jeżeli adres ten jest w dalszym ciągu dostępny, to serwer DHCP odpowiada komunikatem potwierdzającym, a klient przyłącza się do sieci.
Jeżeli adres IP nie może być ponownie użyty przez klienta, ponieważ nie jest już prawidłowy, jest wykorzystywany przez innego klienta lub jest błędny, gdyż klient przeniósł się fizycznie do innej podsieci, to serwer DHCP odsyła klientowi potwierdzenie negatywne (DHCPNack). W takiej sytuacji klient musi na nowo rozpocząć proces dzierżawy.
c) Odnawianie dzierżawy DHCP
Aby zagwarantować, że adresy nie będą znajdowały się w stanie przypisania gdy nie będą już potrzebne, serwer DHCP nakłada na ich dzierżawę określany przez administratora limit czasu.
Podczas trwania dzierżawy klient DHCP żąda jej odnowienia, po czym serwer DHCP przedłuża ten czas. Jeżeli komputer przestanie korzystać z przydzielonego mu adresu IP (np. zostanie przeniesiony do innej sieci lub usunięty), to czas dzierżawy mija, a adres staje się dostępny do ponownego przypisania.
d) Konfigurowanie klienta DHCP w systemie Windows 2000 Professional
Po zainstalowaniu protokołu TCP/IP system Windows 2000 Professional automatycznie włącza opcję pobierania adresu IP z serwera DHCP. Opcję tą można wyłączyć, jeżeli adres IP ma zostać określony ręcznie.
Narzędzie konfiguracyjne protokołu IP (Ipconfig) pozwala użytkownikom i administratorom na sprawdzenie aktualnego adresu IP przypisanego do komputera, okresu jego dzierżawy oraz innych użytecznych danych dotyczących konfiguracji TCP/IP. 5)Ustalenie adresów komputerów
Ustalenie adresów komputerów możemy wykonać na kilka sposobów - za pomocą komendy WINIPCFG na komputerze uczniowskim lub za pomocą DHCP Manager na serwerze.
a) Ustalanie adresu IP komputera za pomocą komendy WINIPCFG
Aby sprawdzić adres IP komputera, należy zalogować się na danym komputerze - jako użytkownik, który ma możliwość uruchomić programy przez START/URUCHOM (w pracowni poziom B, C lub użytkownik należący do grupy o uprawnieniach administracyjnych) - i wpisać WINIPCFG.
Po naciśnięciu OK otrzymamy informację dotyczącą ustawień sieciowych naszego komputera, tzn. adres IP 10.0.0.238.
Po wybraniu Więcej informacji pojawi się okno:
W oknie tym otrzymamy dodatkowe informacje:
- nazwa NetBiosowa, jaką ma nasz komputer w sieci (wzorcowy),
- maska podsieci (255.255.255.0) - informacja ta będzie przydatna w przypadku nadawania stałego adresu IP w naszej sieci,
- adres serwera DHCP (10.0.0.2),
- czas, do jakiego adres naszego komputera nie ulegnie zmianie (16.11.2001) - choć w przypadku małej ilości komputerów korzystających z serwera DHCP adres ten może nie zmieniać się przez dłuższy okres czasu, gdyż przed wygaśnięciem okresu dzierżawy komputer będzie próbował przedłużyć okres dzierżawy od serwera DHCP (pod warunkiem, że komputer będzie uruchomiony przed wygaśnięciem tego okresu) i najprawdopodobniej serwer przedłuży DHCP okres dzierżawy bez zmiany okresu.
b) Uruchamianie serwera DHCP
Inną metodą ustalania i przydzielania adresów IP jest wykorzystanie serwera DHCP. Przydatna jest zwłaszcza dla leniwych administratorów, gdyż możemy ustalić i przydzielać IP komputerom bez wstawania od serwera. Serwera tego używa się między innymi do dynamicznego przydzielania adresów IP komputerów w sieci, co powoduje zmniejszenie potrzebnej konfiguracji w sieci i jest przydatne w przypadku podłączenia do sieci nowego komputera.
Serwer DHCP uruchamiamy, wpisując kolejno polecenia(w windows2000)
START/PROGRAMS/ADMINISTRATIVE TOOLS/DHCP
MANAGER lub przez wpisanie polecenia DHCPADMN w MENU/RUN.
Klikamy dwukrotnie na plus przy Local Machine. Możemy otrzymać informację, że DHCP jest aktywny (żółta żarówka) lub nie (szara żarówka) - ustawienia te zmienimy w MENU/SCOPE/DEACTIVE (ACTIVATE).
c) Odczytanie podstawowych informacji na temat ustawień serwera DHCP
Jeżeli chcemy uzyskać podstawowe informacje na temat ustawień serwera, uruchamiamy
MENU/SCOPE/PROPERTIES.
W oknie tym widzimy, jaki jest zakres przydzielanych przez DHCP adresów oraz maskę podsieci (Subnet Mask).
W polu Exclusion Range wpisujemy adresy (zakres adresów), które chcemy wydzielić z puli adresów przydzielanych przez serwer DHCP (np. przydzielonych na stałe określonym komputerom). Adresy te pojawią się w prawej górnej części okna i wtedy serwer nie będzie przydzielał adresów z tego zakresu. Dzięki temu nie będą występowały konflikty pomiędzy adresami przydzielanymi na stałe na stanowiskach uczniowskich a przydzielanymi przez serwer DHCP.W obszarze Lease Duration określamy długość czasu dzierżawy adresów - niewskazane jest ustawienie nieograniczonego czas dzierżawy (Unlimited), natomiast możemy zwiększyć czas dzierżawy do kilkunastu dni - będziemy mieli wtedy większą szansę, że przy ponownym podłączeniu komputera do serwera jego adres nie ulegnie zmianie (podczas instalacji serwera DHCP czas ten jest ustawiany domyślnie na 3 dni)
d) Ustalanie IP klienta za pomocą serwera DHCP
Wybieramy kolejno MENU/SCOPE/ACTIVE LEASES. Otrzymamy okno:
W pierwszej kolumnie możemy zobaczyć, jakie adresy przydzielił serwer DHCP komputerom, a w drugiej - jakie są nazwy NetBiosowe tych komputerów, w trzeciej może się pojawić informacja, że dany komputer ma przydzielony stały adres - (Reservation in use).
Klikając dwukrotnie na dany komputer (lub Properties), otrzymamy szczegółowe informacje:
zawierającą adres (10.0.0.229). nazwę (student1) oraz adres MAC karty (Unique Indentifier) Ta ostatnia informacja będzie przydatna podczas przydzielania "stałego adresu przez DHCP" oraz wtedy, kiedy wygaśnie okres dzierżawy adresu (Lease Expires).
e) Przydzielanie stałych adresów za pomocą serwera DHCP
Jeżeli chcemy za pomocą serwera DHCP przydzielić na stałe adres IP - ściślej mówiąc zarezerwować konkretny adres - wybieramy kolejno polecenia MENU/SCOPE/ACTIVE RESERVATION. Pojawi się okno:
Wypełniamy odpowiednie pola: - wpisujemy adres z zakresu, jaki ma serwer DHCP;
- w polu Unique Indentifier wpisujemy adres MAC karty (możemy go skopiować z okienka Client Properties),
- na koniec wpisujemy nazwę klienta. Od tej pory serwer temu komputerowi będzie przydzielał ten sam adres. Wybierając ponownie MENU/SCOPE/ACTIVE LEASES, otrzymamy okno, w którym w trzeciej kolumnie będzie zapisane, że dany komputer ma zarezerwowany na stałe adres (Reservation)
6. DHCP w Unix`ie
Opcje dostępne w dhcpd.conf (uruchamiamy : /usr/local/etc/dhcpd.conf)
a) Wyrażenia topologii
server-identifier nazwahosta; - rejestruje adres IP serwera;
group {[parametry][opcje]} - grupuje wyrażenia, aby zastosować zbiór parametrów do wszystkich członków grupy;
subnet adres netmask maskasieci {[parametry][opcje]} - definiuje adres IP sieci i jej maskę (zbędny komentarz);
host nazwahosta {[parametry][opcje]} - definiuje opcje dla indywidualnych klientów;
b) Parametry konfiguracyjne
range dolnyadres górnyadres; - zakres adresów IP do dynamicznego przydzielania;
default-lease-time sekundy; - czas dzierżawy adresu w sekundach używany, jeśli klient nie zażąda określonego czasu użytkowania adresu;
max-lease-time sekundy; - maksymalna długość czasu dzierżawy adresu, niezależnie od czasu zażądanego przez klienta;
hardware typ adres; - definiuje adres sprzętowy klienta;
fixed-address adres; - przypisuje jeden lub więcej adresów IP hostowi;
server-name nazwa; - nazwa hosta serwera DHCP udostępninego klientowi;
c) Opcje DHCP
option subnet-mask maska; - określa maskę sieci, jeśli nie jest podana, dhcpd używa maski z wyrażenia subnet;
option routers adres[, adres...]; - wymienia rutery, których powinien używać klient;
option domain-name-server adres[, adres...]; - serwery nazw DNS;
option domain-name domena; - definiuje domenę;
option broadcast-address adres; - (zbędny komentarz);
d) Edycja pliku : dhcpd.conf
Teraz przystępujemy do edycji pliku konfiguracyjnego
# vi /usr/local/etc/dhcpd.conf:
Przykładowy plik konfiguracyjny dhcpd.conf:
#========== dhcpd.conf ==========
#
# Sample configuration file for ISC dhcpd
#
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;
# ad-hoc DNS update scheme - set to "none" to disable dynamic DNS updates.
ddns-update-style none;
# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
# identyfikator serwera (nazwa naszego BSD)
server-identifier server.domena.com;
#=============== definicja naszej sieci ==================
# tutaj wpisujemy dane naszej sieci czyli adres sieci i jej maskę
subnet 192.168.1.0 netmask 255.255.255.0 {
# zakres adresów IP, które chcemy przydzielać dynamicznie
range 192.168.1.100 192.168.1.190;
# dodatkowo możemy przydzielić dynamicznie adres serwera DNS, adres routera itd.
# adresy serwerów DNS
option domain-name-servers 194.204.152.34;
# domena w jakiej pracujemy
option domain-name "twoja_domena.com";
# adres routera (bramki)
option routers 192.168.1.1;
# adres rozgłoszeniowy
option broadcast-address 192.168.1.255;
# czasy, po których zostaną zwolnione adresy
default-lease-time 7200;
max-lease-time 14400;
}
# jeżeli konkretnym hostom chcemy przypisać stały adres IP dodajemy dyrektywę host
# gdzie xx:xx:xx:xx:xx:xx jest MAC adresem karty sieciowej danego hosta:
host komp1 { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address 192.168.1.10; }
host komp2 { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address komp2.domena.com; }
# w pierwszym przypadku z góry nadajemy adres IP
# w drugim przypadku trzeba dodać odpowiednie wpisy w dns'ie (zobacz DNS) lub /etc/hosts
#==================== End of file ====================
W ten oto sposób przydzielamy losowo adresy IP w naszej sieci (range 192.168.1.100 192.168.1.190;) a dwa hosty mają zawsze ten sam adres IP. Przy okazji jeszcze dynamicznie przyznajemy domyślną bramkę (option routers 192.168.1.1;) oraz domyślny serwer DNS (option domain-name-servers 194.204.152.34;) itd. Jest to przydatne gdyż komputery w sieci same pobierają wszystkie niezbędne dane i nie trzeba ich ręcznie konfigurować.
Jest to przykład pliku gdzie przydzielamy adresy jednej sieci. Jeżeli jest taka sytuacja, że mamy kilka sieci to poniżej definiujemy nową sieć a opcje, które są wspólne dla wszystkich sieci umieszczamy w sekcji globalnej czyli na początku pliku a nie w dyrektywie subnet (zaoszczędzi nam to pisania).
Teraz wystarczy uruchomić nasz serwer DHCP:
#/usr/local/sbin/dhcpd
lub krócej
# dhcpd
Kosztorys i bibliografia
1.Bibliografia:
"Komputer. Internet. Cyfrowa Rewolucja" prof. Piotr J. Durka http://www.rsasecurity.com http://www.checkpoint.com "Prezentacja systemu plików NFS" Jakub Jonik "SMB jako rozproszony system plików" Sławomir Zatorski http://freebsd.kie.pl
2. Kosztorys (dodany w załączniku do pracy dyplomowej)
84
84