Инструменты пользователя

Инструменты сайта


обзор_сетевых_служб_демон_xinetd

HTTP, Web-сервер Apache

Apache – HTTP-сервер, обладающий самым большим набором возможностей. Учитывая организованный в нем механизм подключаемых модулей (plug-ins), создавать которые может любой грамотный программист, описать умения Apache полностью, видимо, невозможно. Документация по одним только стандартным его возможностям занимает более 50 тысяч строк.
Для установки данного сервера необходимо поставить пакет httpd или apache, после чего в системе будет доступен одноимённый демон.
Конфигурационные файлы Apache хранятся в /etc/httpd/conf/http.conf (или, в зависимости от дистрибутива, /etc/apache).
Главный конфигурационный файл – httpd.conf неплохо самодокументирован: вместе с комментариями в нем больше тысячи строк, что позволяет не изучать руководство, если администратор запамятовал синтаксис той или иной настройки, но, конечно, не позволяет вовсе не изучать его:
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
DocumentRoot “/var/www/html” Options Indexes Includes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
ScriptAlias /cgi-bin/ “/var/www/cgi-bin/”
AllowOverride None
Options ExecCGI
Order deny,allow
Deny from all
Allow from 127.0.0.1 localhost

Пользователь, набравший в броузере “http:доменное_имя_сервера”, увидит содержимое каталога, указанного настройкой DocumentRoot (в примере – /var/www/html). Каждый каталог, содержащий WWW-страницы, должен быть описан группой настроек, включающей права доступа к страницам этого каталога, настройки особенностей просмотра этих страниц и т. п.
В частности, настройка DirectoryIndex описывает, какие файлы в каталоге считаются индексными – если такой файл есть в каталоге, он будет показан вместо содержимого этого каталога.
Если в настройке каталога Options не указано значение Indexes, просмотр каталога будет вообще невозможен. Значение Includes этой настройки позволяет WWW-страницам включать в себя текст из других файлов, FollowSymLinks позволяет серверу работать с каталогами и файлами, на которые указывают символьные ссылки (это может вывести точку доступа за пределы DocumentRoot!),
а MultiViews позволяет серверу для разных запросов на одну и ту же страницу выдавать содержимое различных файлов – сообразно языку, указанному в запросе.
Если настройку каталога AllowOverride установить в All, в любом его подкаталоге можно создать дополнительный конфигурационный файл, изменяющий общие свойства каталога.
Имя этого файла задает настройка AccessFileName (в примере – “.htaccess”). Доступом к страницам в каталоге управляют настройки Order, Deny и Allow.
Так, доступ к каталогу /var/www/html разрешен отовсюду, а к каталогу /var/www/cgi-bin – только с самого сервер
Для установки данного сервера необходимо поставить пакет httpd, после чего в системе будет доступен одноимённый демон.
Управление запуском/остановом сервера можно производить с помощью скрипта /etc/init.d/httpd (/etc/init.d/apache) или утилиты apachectl.
При помощи последней команды можно также проверить правильность конфигурационных файлов, запустив её с параметром config.
apachectl start
Полная документация о настройке web-сервера Apache находится на Интернет-сайте http://httpd.apache.org/, в данной главе приведено лишь краткое описание.
Основная гибкость в работе Web-сервера Apache достигается за счёт того, что каждый каталог, содержащий данные Web-сайта может быть сконфигурирован индивидуально.
Для этой цели служит блочная директива <Directory Path>…</Directory> и файлы .htaccess (находящиеся непосредственно в каталогах), внутри которых содержатся параметры, определяющие конфигурацию непосредственно данного каталога, а не всего сервера.
Сервер Apache поддерживает различные механизмы ограничения доступа. Для этой цели служат, например, директивы Allow from и Deny from, определяющие с каких узлов сети возможен доступ к ресурсам Web-сервера, а с каких нет (директива Order определяет порядок просмотра параметров Allow и Deny).
Как уже было отмечено выше, Web-сервер Apache поддерживает различные возможности расширения. Наиболее востребованные модули расширения, которые используются вместе с Apache – это модули PHP (mod_php) и SSL (mod_ssl). Модуль PHP обеспечивает возможность работы сервера с динамическими страницами, написанными на языке PHP, что позволяет более гибко задавать содержимое Интернет-сайта. Модуль SSL позволяет устанавливать зашифрованные соединения с Web-сервером по 443-му порту, что позволяет реализовывать безопасные транзакции в Интернете и защищать передаваемые данные.
====== FTP ====== В Linux существует несколько вариантов службы, предоставляющей доступ к файлам по протоколу FTP (File Transfer Protocol).
Как правило, они отличаются друг от друга сложностью настроек, ориентированных на разные категории абонентов, подключающихся к серверу. Если выбор предоставляемых в открытый доступ данных велик, будет велик и наплыв желающих эти данные получить (“скачать”), так что возникает естественное желание этот наплыв ограничить. При этом, допустим, компьютеры из локальной сети могут неограниченно пользоваться файловыми ресурсами сервера, соединений из того же города или в пределах страны должно быть не более двух десятков одновременно, а соединений из-за границы – не более пяти. Такие ухищрения бывают нужны нечасто, но и они поддерживаются большинством FTP-демонов, вроде vsftpd, proftpd, pure-ftpd или wu-ftpd.
FTP – по-своему очень удобный протокол: он разделяет поток команд и поток собственно данных. Дело в том, что команды FTP обычно очень короткие, и серверу выгоднее обрабатывать их как можно быстрее, чтобы подолгу не держать ради них (часто – ради одной команды) открытое TCP-соединение. А вот файлы, передаваемые с помощью FTP, обычно большие, поэтому задержка при передаче в несколько долей секунды, и даже в пару секунд, не так существенна, зато играет роль пропускная способность канала.
Для того чтобы эти каналы было проще различить, данные в FTP пересылаются по инициативе сервера, то есть именно сервер подключается к клиенту, а не наоборот.
Делается это так: клиент подключается к 20-му порту сервера (управляющий порт FTP) и передает ему команду: “Хочу такой-то файл. Буду ждать твоего ответа на таком-то (временно выделенном) порту”. Сервер подключается со своего 21-го порта (порт данных FTP) к порту на клиенте, указанном в команде, и пересылает содержимое запрошенного файла, после чего связь по данным разрывается и клиент перестает обрабатывать подключения к порту.
Трудности начинаются, когда FTP-клиент находится за межсетевым экраном(firewall). Далеко не каждый администратор согласится открывать доступ из любого места Internet к любому абоненту внутренней сети по любому порту (пускай даже и с порта 21)!
Для того чтобы FTP работал через межсетевой экран, придумали протокол Passive FTP.
В нем оба сеанса связи – и по командам, и по данным – устанавливает клиент.
При этом происходит такой диалог. Клиент: “Хочу такой-то файл. Но пассивно”. Сервер: “А. Тогда забирай его у меня с такого-то порта”.
Клиент подключается к порту сервера и получает оттуда содержимое файла.
Если со стороны сервера тоже находится бдительный администратор, он может не разрешить подключаться любому абоненту Internet к любому порту сервера.
Тогда не будет работать как раз Passive FTP. Если и со стороны клиента, и со стороны сервера имеется по бдительному системному администратору, никакой вариант FTP не поможет.
Еще один недостаток протокола FTP: в силу двухканальной природы его трудно “затолкать” в SSL-соединение. Поэтому идентификация пользователя, если таковой имеется, в большинстве случаев идет открытым текстом. Несмотря на то, что для FTP подходит другой механизм шифрования, называемый TLS, далеко не все FTP-клиенты его поддерживают, и он оказывается не востребован на серверах. Поэтому рекомендуется задействовать службу FTP только для организации архивов публичного доступа.
Рассмотрим для примера Very Secure FTP Server, который отличается небольшим размером, быстротой, безопасностью и простотой конфигурации.
Данный сервер можно установить из RPM-пакета vsftpd.
После установки, запуск и останов сервера можно производить при помощи скрипта /etc/rc.d/init.d/vsftpd. Конфигурационная информация сервера находится в каталоге /etc/vsftpd, в частности, там находится основной конфигурационный файл vsftpd.conf. Подробную информацию о параметрах настройки сервера можно получить по команде man 5 vsftpd.conf.
При настройке по умолчанию сервер обеспечивает доступ для всех пользователей системы. Непосредственно после подключения пользователь попадает в свой домашний каталог, после чего получает доступ к файловой системе в соответствии со своими правами и может перемещаться по каталогам, производить операции с файлами.
Файл /etc/vsftpd/ftpusers определяет пользователей, которые не могут подключаться по ftp (например, root). Кроме подключения от имени кого-то из пользователей системы, может быть осуществлено анонимное подключение. При этом доступ пользователя будет ограничен каталогом /var/ftp (каталог может быть изменён параметром anon_root).
====== Пересылка почты ====== Еще один немаловажный сервис, отлично поддерживаемый в Linux, – пересылка электронной почты. Протокол SMTP (Simple Mail Transfer Protocol), задающий порядок пересылки почты, впервые был описан и помещен в RFC в самом начале 80-х годов. С тех пор он неоднократно модифицировался, однако в основе своей остался прежним:
SMTP – это протокол передачи текстовых сообщений, снабженных вспомогательными заголовками, часть из которых предназначена для почтового сервера, передающего сообщения, а часть – для почтового клиента, с помощью которого пользователь просматривает эти сообщения.
RFC, Request For Comments, рабочее предложение – постоянно пополняемое собрание рабочих материалов (технических отчетов, проектов и описаний стандартов протоколов), используемых разработчиками и пользователями Internet.
В качестве адреса в электронном письме обычно используется сочетание пользователь@доменное_имя. Изначально поле пользователь совпадало с входным именем пользователя в UNIX-системе, а доменное_имя – с именем компьютера.
Пользователь – удаленно или через “настоящий” терминал – подключался к системе и просматривал почту, скажем, утилитой mail.
Когда компьютеров в сети стало больше, выяснилось, что, имея учетные записи на многих машинах, почту все-таки удобнее хранить и читать на одной машине, предназначенной только для почты, а значит, доменное_имя в почтовом адресе может не совпадать с доменным именем персонального компьютера адресата. Для удобства решили ввести один уровень косвенности: прежде чем соединяться с компьютером “доменное_имя”, почтовый сервер проверяет, нет ли в DNS записи вида доменное_имя … MX … сервер. Эта запись означает, что почту, адресованную на пользователь@доменное_имя, необходимо посылать компьютеру “сервер” – а уж тот разберется, что делать дальше.
Иногда необходимо, чтобы сервер принимал письма, не предназначенные для зарегистрированных на нем пользователей. Эти письма немедленно помещаются в очередь на отправку, и пересылаются дальше. Такой режим работы сервера называется “relay” (пересыльщик).
Как минимум в трех случаях сервер имеет право работать пересыльщиком:
1. если он пересылает почту от абонента обслуживаемой сети,
2. если письмо адресовано в обслуживаемый домен или его поддомен,
3. и если письмо исходит непосредственно от почтового клиента пользователя, который предварительно каким-нибудь способом идентифицировался в системе (например, с помощью разработанного для этого расширения SMTPAUTH). В Linux существует несколько различных почтовых серверов.
1. Во-первых, Sendmail, корифей почтового дела, возникший одновременно с SMTP. Возможности этого сервера весьма велики, однако воспользоваться ими в полной мере можно только после того, как научишься понимать и исправлять содержимое конфигурационного файла sendmail.cf, который уже более двадцати лет служит примером самого непонятного и заумного способа настройки.
Впрочем, на сегодня для sendmail.cf на языке препроцессора m4 написано несметное, на все случаи жизни, число макросов, так что sendmail.cf редактировать не приходится.
Вместо него из этих макросов составляется файл sendmail.mc, небольшой и вполне читаемый, а он, с помощью утилиты m4, транслируется в sendmail.cf, который не читает никто, кроме самого Sendmail.
2. Другой вариант почтового сервера, Postfix, весьма гибок в настройке, прекрасно подходит для почтовых серверов масштаба предприятия, и, в отличие от Sendmail, более прозрачно спроектирован и написан.
Он поддерживает все хитрости, необходимые современной почтовой службе: виртуальных пользователей, виртуальные домены, подключаемые антивирусы, средства борьбы со спамом и т. п.
Настройка его хорошо документирована, в том числе с помощью комментариев в конфигурационном файле (как правило, /etc/postfix/main.cf), и с помощью файлов-примеров.
Стоит упомянуть еще как минимум три почтовых службы:
3. QMail – по мнению многих, этот демон наиболее защищен и от атак извне, и от возможных ошибок в собственных исходных текстах;
4. Exim – как наиболее гибкий в настройках (в том числе и пока не реализованных);
5. ZMailer, предназначенный для работы на больших и очень больших серверах, выполняющих, в основном, работу по пересылке.
====== Доступ к почтовым ящикам ====== Электронная почта нужна далеко не только тем, кто имеет терминальный доступ к Linux-машине. Доступ к почтовому ящику на сервере не должен зависеть от того, есть ли у данного пользователя право запускать на этом сервере какие-то программы. Для этого необходимо организовать специальную службу, предоставляющую пользователю только возможность манипулировать сообщениями в своем ящике с помощью программы-клиента. Самые популярные протоколы доступа к ящикам – POP3 (Post Office Protocol версии 3) и IMAP4 (Internet Message Access Protocol версии 4).
POP3 – довольно простой протокол, в нем определен единственный почтовый ящик пользователя, где тот может посмотреть список заголовков сообщений, прочитать (скачать) и удалить некоторые из них. Такой протокол удобен, когда пользователь хранит всю переписку на своем компьютере, а удаленный почтовый ящик служит исключительно для приема входящей почты.
Протокол IMAP4 гораздо сложнее: в нем разрешено заводить несколько ящиков на сервере, в том числе и вложенных подобно каталогам. Каждый из этих ящиков может обладать особыми свойствами: может быть входящим (тогда пользователь уведомляется о новых поступлениях в этот ящик), мусорной корзиной (сообщения из которой удаляются после того, как устареют), и даже быть исходящим (в такой ящик пользователь складывает новые письма, а сервер их через некоторое время отсылает, удаляя оттуда). IMAP4 подходит для ситуации, когда пользователь не имеет возможности хранить свою переписку и/или обрабатывать ее с одного и того же компьютера, поэтому хранит ее в ящиках на сервере. IMAP4 используют и в качестве “движка” WEB-почты, этого заменителя почтовых клиентов для особо торопливых пользователей.
Примеры: mail.ru, gmail.ru
Как водится, в Linux есть несколько IMAP/POP-серверов.
Протоколы POP3 и IMAP4, как и многие другие,являются текстовыми. Как и в большинстве других протоколов, это порождает проблему передачи пароля в открытом виде. Решается она так же, как и для других протоколов – “заворачиванием” всего сеанса в SSL (порту 110–POP3 соответствует порт 995–POP3S, а порту 143–IMAP4 – 993–IMAPS), либо использованием внутрисеансового шифрования с помощью TLS. Кроме того, в протоколе POP3 есть и собственное расширение, APOP, решающее ту же задачу.
====== DNS. Domain Name Service ====== Сервис DNS обеспечивает преобразование доменного имени компьютера в его IP-адрес и обратно, позволяя пользователям использовать удобочитаемые имена вместо запоминания цифровых последовательностей. Наиболее распространенным DNS-сервером для Linux является пакет bind. BIND. Berkeley Internet Name Domain
Пакет bind предоставляет демон named, выполняющий работу по трансляции адресов. Основным конфигурационным файлом, определяющим работу демона, является файл /etc/named.conf (подробную информацию можно получить из man-странице named.conf).
Непосредственно информация о зонах, обслуживаемых DNS-сервером, находится обычно в каталоге /var/named (каталог может быть изменён в конфигурационном файле). Пример файла конфигурации /etc/named.conf:
# Комментарий, может быть отделён символами
или заключён в /* … */ # Глобальные параметры конфигурации сервера
options {
directory “/var/named”; # Каталог, хранящий информацию о зонах
}
# Элемент контроля доступа, например для DHCP сервера
acl DHCP_server { 192.168.0.1; };
# Описание зоны для прямого преобразования интернет адресов в IP-адреса
zone “ipap.ru” in {
# Тип DNS сервера для зоны: primary – первичный, slave – вторичный,
# forward – переадресующий, hint – зона корневых серверов.
type master;
file “ipap.ru”; # Имя файла, содержащего данные зоны
allow-update { DHCP_server; }; # Кому разрешено обновлять данные
}
# Описание зоны для обратного преобразования IP-адресов в интернет адреса
zone “0.168.192.in-addr.apra” {
type master;
file “192.168.0″; # Имя файла, содержащего данные зоны
allow-update { DHCP_server; };
}
# Описание зоны корневых серверов имён
zone “.” {
type hint;
file “named.ca”;
}
Для ограничения доступа также могут использоваться параметры allow-query и allow-transfer, определяющие кто может делать запросы к DNS-серверу и кто может получить полные данные о зоне.
Если зона определена как slave, то для неё указывается директива masters, определяющая IP-адреса первичных DNS-серверов, с которых нужно получать информацию об обслуживаемых зонах.
Файлы зон непосредственно определяют соответствие IP-адресов доменным именам компьютеров. При этом полное имя компьютера (FQDN – Full Qualified Domain Name) должно оканчиваться точкой, соответствующей корневому домену.
Если точки нет, то имя считается неполным и дополняется именем домена (т.е. если задано просто ipap.ru, то это будет соответствовать полному имени ipap.ru.ipap.ru). Данные файлы могут содержать необязательные директивы, начинающиеся со знака $, и записи ресурсов (Resource Records).
Настройка библиотеки разрешения имён
Непосредственно на самом Linux-компьютере за разрешение имён отвечает библиотека разрешения имён. Данная библиотека может выполнять сопоставление имён с IP-адресами различными способами. Порядок использования разных способов указывается в файле /etc/nsswitch.conf в параметре hosts. Значения, которые могут быть указаны в параметре hosts:
files – использовать файл /etc/hosts.
bind/dns – использовать службу DNS (параметры службы задаются в файле /etc/resolv.conf)
nis, nisplus – использовать службу NIS или NIS+.
db – использовать локальную базу данных.
Утилиты для работы со службой DNS
Утилита host в простейшем случае служит для сопоставления имени компьютера его IP-адресу и наоборот.
Дополнительные возможности описаны в справке man host.
Утилиты nslookup и dig служат для получения различных данных от DNS-сервера.
Программа nslookup является наиболее универсальным средством, которое можно использовать в различных
ситуациях, в том числе при поиске неполадок.
Она может запускаться в двух режимах

В неинтерактивном режиме nslookup ведет себя подобно утилите host.
В интерактивном режиме, можно извлечь гораздо больше пользы.
В этом режиме с ее помощью можно получить наиболее подробную информацию об удаленных компьютерах и доменах,
так как с помощью опций можно указать, какая информация должна быть получена из базы DNS.
Основной формат команды nslookup
nslookup [-option…] [host-to-find | -[server]]
Можно задать эту команду, используя либо IP-адрес, либо имя хоста, либо без параметров.
Пример.
rus@mcs:~> nslookup 109
Server: 195.19.226.178 #IP DNS-сервера
Address: 195.19.226.178#53

Name: l09.math.spbu.ru #имя хоста l09
Address: 192.168.64.129 #IP-адрес хоста l09
Если в командной строке задать параметр host-to-find, то nslookup будет работать в неинтерактивном режиме и возвратит ответ на запрос примерно в том же виде, что и утилита host.
Если аргументы не заданы или первый аргумент — дефис (-), то nslookup будет работать в интерактивном режиме. При необходимости с помощью аргумента -server можно указать другой DNS-сервер, где server — IP-адрес запрашиваемого DNS-сервер
В противном случае nslookup будет по умолчанию обращаться к DNS-серверу, который задается в файле /etc/resolv.conf.
Параметры nslookup можно изменить тремя способами:
1. Во-первых, можно задать параметры в командной строке вместе с командой nslookup.
2. Во-вторых, можно указать их в интерактивной командной строке nslookup с помощью команды set.
3. И в-третьих, можно создать в своем рабочем каталоге $HOME файл .nslookuprc и указать в нем желаемые параметры, по одному на строку.
Список параметров, которые можно использовать с командой nslookup, приведен в таблице:
Параметры nslookup Параметр Описание all
Выводит текущие значения параметров
class
Устанавливает класс DNS (по умолчанию = IN )
[no]debug
Включает/выключает режим отладки (по умолчанию =nodebug )
[no]d2
Включает/выключает режим полной отладки (по умолчанию =nod2 )
domain=name
Устанавливает доменное имя по умолчанию name
srchlist=name1/name
Изменяет домен по умолчанию на name1 и производит поиск по списку name1/name2…
[no]defname
Добавляет доменное имя по умолчанию к компоненту запроса
[no]search
Добавляет доменные имена в списке к имени хоста (по умолчанию =search )
port=value
Изменяет номер порта TCP/UDP (по умолчанию = 53 )
querytype=value
Изменяет тип запрашиваемой записи (по умолчанию = А )
type=value
То же, что и querytype.
[no]recurse
Указывает серверу имен запросить другие серверы для получения ответа (по умолчанию = recurse ) retry=number
Устанавливает число повторов запроса при неудачном ответе (по умолчанию = 4) root=host
Изменяет имя корневого сервера на хост с именем host (по умолчанию = ns.internic.net )
timeout=number
Изменяет интервал времени ожидания ответа на значение, равное number (по умолчанию = 5 сек)
[no]vc
Всегда использовать виртуальную цепочку (по умолчанию = novc ) [no]ignoretc
Игнорировать ошибки при урезании пакета (по умолчанию = noignoretc ) В примере, приведенном ниже показан сеанс nslookup, во время которого запрашивается информация о хосте www.linux.org.
На запрос с установленными по умолчанию параметрами для указанного имени просто возвращается соответствующий ему IP-адрес.

В отличие от nslookup, dig работает неинтерактивно и позволяет получать информацию в формате записей для файла зоны, что часто бывает удобнее (справка по этим команда содержится в man nslookup и man dig соответственно). Утилита rndc позволяет удалённо управлять DNS-сервером bind. Для того чтобы подключение было возможно, в конфигурационных файлах /etc/named.conf и /etc/rndc.conf должен быть указан одинаковый ключ.
Файл конфигурации rndc.conf (вместе с ключом) может быть получен с помощью утилиты rndc-confgen. В файле named.conf должна быть задана директива controls, содержащая адреса узлов, с которых разрешено управление DNS сервером.

DHCP. Dynamic Host Configuration Protocol

Протокол DHCP обеспечивает автоматическую конфигурацию сетевых параметров для всех подключенных к сети компьютеров (передавая узлам сети информацию об их IP-адресах, масках подсети, шлюзах, DNS-серверах и т.п.). При этом вся конфигурация сети задается централизовано в одном месте – на DHCP-сервере.
На компьютерах сети в данном случае не нужно задавать никаких сетевых настроек (кроме включения режима настройки при помощи DHCP).
При загрузке DHCP клиент отсылает широковещательное сообщение DHCPDISCOVER, содержащее уникальную идентификационную информацию компьютера (обычно это MAC-адрес сетевого адаптера).
Если в сети присутствует DHCP-сервер, то он посылает в ответ сообщение DHCPOFFER, содержащее в себе свободный IP-адрес и другую конфигурационную информацию. Таким образом, клиент может получить несколько сообщений DHCPOFFER от разных серверов. Если среди этих предложений есть предложение, которое устраивает клиента, то он отсылает сообщение DHCPREQUEST, содержащее выбранную конфигурацию.
После этого сервер помечает, что данный адрес выдан в аренду, и завершает диалог сообщением DHCPACK, которое разрешает клиенту использование выданного IP-адреса и может содержать дополнительные параметры (сервер может ответить и отказом в виде сообщения DHCPDECLINE). Если клиенту больше не нужен IP-адрес, то он посылает сообщение DHCPRELEASE.
DHCP-сервер может взаимодействовать с DNS-сервером сети для того, чтобы поддерживать актуальную информацию о соответствии имён и адресов компьютеров в сети. Настройка клиента DHCP
Для того чтобы задействовать механизм получения адреса по DHCP, нужно задать следующий параметр в конфигурационном файле сетевого интерфейса /etc/sysconfig/network-scripts/ifcfg-<interface> (<interface> – обозначение сетевого интерфейса, например, eth0):
BOOTPROTO=dhcp
PEERDNS=[yes|no]
SRCADDR=<IP адрес>
Обязательным является задание параметра BOOTPROTO, остальные два параметра опциональны.
PEERDNS=[yes|no] указывает нужно ли вносить получаемые данные о DNS-серверах в файл /etc/resolv.conf (по умолчанию используется значение yes – сохранять данные). SRCADDR=<IP address> указывает использовать данный адрес в отправляемых IP-пакетах, как адрес отправителя.
Для того чтобы изменения вступили в силу, необходимо выполнить команду /etc/rc.d/init.d/network restart. Получаемую информацию клиент DHCP будет помещать в каталог /etc/dhcpc.
Клиент DHCP также поддерживает расширенные параметры, определяющие работу протокола. Подробную информацию о них можно получить в man-страницах для dhclient и dhclient.conf.
Настройка сервера DHCP
Демон DHCP может быть запущен или остановлен с помощью скрипта /etc/rc.d/init.d/dhcpd, либо с помощью команды service dhcpd [start|stop|restart]
Опции, передаваемые демону при старте, могут быть указаны в файле /etc/sysconfig/dhcpd. Например, если компьютер имеет несколько сетевых интерфейсов, а демон должен быть запущен только для одного из них, то должен быть указан соответствующий интерфейс (для примера указан eth0): DHCPDARGS=eth0
Через переменную DHCPARGS также могут быть заданы и другие параметры, например:
порт с помощью опции –p <port> (по умолчанию 67);
расположение конфигурационного файла –cf <filename> (по умолчанию /etc/dhcpd.conf); расположение файла базы выданных в аренду адресов –lf <filename> (по умолчанию /usr/lib/dhcp/dhcpd.leases). Основным конфигурационным файлом демона является файл /etc/dhcpd.conf – он содержит описание подсетей и хостов, для которых выполняется выдача адресов.
Пример этого файла можно найти в каталоге /var/share/doc/dhcp-<version>, подробная информация о параметрах содержится в man-странице для dhcpd.conf.
Пример файла конфигурации с комментариями:
# В начале файла содержатся глобальные параметры сервера
ddns-update-style interim; # Обновлять данные DNS сервера

domain-name “ipap.ru”; # Название домена, общего для сети
domain-name-servers ns.ipap.ru; # Общий DNS сервер
default-lease-time 3600; # Срок аренды адреса по умолчанию (секунды)
max-lease-time 7200; # Максимальный срок аренды адреса (секунды)

# Описание параметров для подсети
subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.1; # Шлюз по умолчанию
option domain-name-servers 192.168.0.1, 192.168.0.9; # DNS сервера
option ntp-servers 192.168.0.1; # NTP сервер

range 192.168.0.128 192.168.0.254; # Диапазон выдаваемых адресов

# “Ручное” присвоение адреса узлу сети
host ns {
hardware ethernet 12:34:56:78:AB:CD; # MAC адрес для идентификации
option host-name “ns.ipap.ru”; # Присвоение имени компьютера
fixed-address 192.168.0.1; # Присвоение IP-адреса
}
}

# Информация об обновляемых зонах DNS сервера
zone ipap.ru { # Зона для прямого преобразования имени в IP адрес
primary 192.168.0.1; # Адрес DNS сервера, где нужно обновить данные
}
zone 0.168.192.in-addr.arpa { # Зона для обратного преобразования
primary 192.168.0.1;
}
Получая запрос от клиента, DHCP-сервер просматривает свою конфигурацию в поисках директивы fixed-address для данного компьютера. Если она найдена, то компьютеру выдаётся соответствующий IP-адрес. Если нет, то адрес выдаётся из диапазона, заданного опцией range. DHCP-сервер может работать в паре с DNS-сервером, выполняя обновление данных для зон DNS после выдачи клиентам соответствующих IP-адресов.
Для этого:
1) в настройке DHCP сервера должен быть указан адрес DNS сервера и зоны, которые необходимо обновлять (как в примере, приведённом выше);
2) в настройках DNS сервера должно быть разрешено обновление зон директивой allow-update;
3) в конфигурации интерфейса (в файле /etc/sysconfig/network-scripts/ifcfg-<int>) должна быть указана
директива DHCP_HOSTNAME для передачи имени компьютера серверу DHCP. Для обеспечения безопасности процесса может применяться шифрование (при этом одинаковый ключ должен быть задан в настройках обоих серверов).

NFS. Network File System\\

!!! Завести на сервере несколько пользователей. Необходимо проверить, чтобы их домашние каталоги имели права: 755
Как может использоваться NFS.
NFS позволяет системе использовать каталоги и файлы совместно с другими машинами, посредством сети. 1. С точки зрения клиентских пользовательских программ файловая система NFS располагается как бы на локальном диске. Программы не имеют возможности отличить файлы NFS от обычных файлов, как если бы это были файлы на собственных дисках-это и есть прозрачность доступа.
2. Клиент NFS не в состоянии определить, какая платформа используется в качестве сервера. Это может быть и UNIX, и даже Windows. Различия в архитектуре серверов сказываются только на уровне конкретных операций, а не в отношении возможностей NFS. Для клиента файловая структура NFS аналогична локальной системе.

Некоторые из наиболее заметных преимуществ, которые даёт использование NFS.
Компьютеры, у которых нет локального диска (бездисковые компьютеры), могут загружаться по сети и работать без наличия локального диска, используя файловые системы, монтируемые с сервера NFS.

Отдельно взятые рабочие станции используют меньше собственного дискового пространства, так как совместно используемые данные могут храниться на одной отдельной машине и быть доступными для других машин в сети (примером может служить возможность использования совместного доступа к программному обеспечению, при наличии лицензии на установку этого ПО, к базам данным, различным архивам, backup системам и т.д.)
Пользователям не нужно иметь домашние каталоги, отдельные для каждой машины в вашей сети. Домашние каталоги могут располагаться на сервере NFS и их можно сделать доступными отовсюду в сети.
Сохранение общих данных на централизованных файловых серверах (а не на индивидуальных компьютерах) упрощает такие административные задачи, как резервирование и восстановление файлов и каталогов.
Новые вводимые устройства, такие как принтеры, факсы, сканеры, CD-ROM- могут использоваться другими машинами в сети. Это может привести к уменьшению переносимых устройств хранения информации в сети.

Краткое описание работы NFS.

Архитектура NFS базируется на модели клиент-сервер.

Сервер представляет собой машину, которая экспортирует некоторый набор файлов. Клиентами являются машины, которые имеют доступ к этим файлам. Одна машина может для различных файловых систем выступать как в качестве сервера, так и в качестве клиента. Однако программный код NFS разделен на две части, что позволяет иметь только клиентские или только серверные системы.

Клиенты и серверы взаимодействуют с помощью удаленных вызовов процедур (rpc – remote procedure call), которые работают как синхронные запросы.
Когда приложение на клиенте пытается обратиться к удаленному файлу, ядро посылает запрос на сервер, а процесс клиента блокируется до получения ответа. Сервер ждет приходящие запросы, обрабатывает их и отсылает ответы назад клиентам.

Настройка сервера NFS
За работу NFS отвечают следующие демоны:
rpc.nfsd
rpc.mountd
rpc.rquotad
rpc.statd
rpc.lockd
Необходимо, чтобы на компьютере были установлены следующие пакеты:
nfs-utils_version…(lockd)
util-linux-version… (для mount),
portmap_version
Скорее всего NFS уже есть в системе. Это можно проверить следующей командой.
# chkconfig –list nfs
0:off 1:off 2:off 3:off 4:off 5:off 6:off nfs
Для того, чтобы nfs статровало при каждой загрузке (автозагрузка), необходимо дать команды:
# /etc/init.d/nfs-kernel-server
Если же nfs в системе не обнаружен, то ставим из репозитория:
# aptitude install nfs-kernel-server

Запуск и остановка службы осуществляется с помощью скрипта /etc/rc.d/init.d/nfs (демоны rpc.statd и rpc.lockd запускаются скриптом nfslock).
В своей работе NFS использует RPC-вызовы а значит работоспособность службы можно проверить с помощью
portmapper (он тоже должен быть запущен на сервере где выполняются программы использующие RPC Calls).
# rpcinfo -p localhost | grep nfs
program vers proto port
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs
Как видим на сервере обслуживаются NFS-запросы всех версий NFS (4-ая — последняя на данный момент).

Конфигурационный файл /etc/exports описывает разделы файловой системы, которые могут быть доступны другим компьютерам сети.
Файл конфигурации /etc/exports содержит список файловых систем которые мы экспортируем, то есть разрешаем монтировать по протоколу NFS на удаленных системах.
Каждая строка в файле это указание на экспортируемую ФС и режим доступа к ней. Формат записей в этом файле: directory hostname1(options) … hostnameN(options) …
directory указывает какой именно каталог будет доступен другим компьютерам сети,
hostname1-N определяет какие компьютеры имеют доступ к данному каталогу,
options – параметры доступа для соответствующего компьютера сети.
Параметр hostname может быть задан в виде имени компьютера, FQDN имени (в имени могут быть использованы символы * и ?), IP-адреса, сети в формате адрес/маска (маска может быть задана в виде /255.255.252.0 или /22). Некоторые возможные опции (полный список можно получить из man exports):
secure Исходный порт соединения должен быть меньше 1024.
insecure Отключает опцию secure. Разрешать запросы с портов более чем 1024
secure и insecure. По умолчанию сервер NFS считает, что запросы должны поступать с защищенных портов, номера которых не превышают 1023. В системах UNIX и Linux доступ к таким портам имеет только пользователь root (право работы через порты с номерами 1024 и выше предоставлено всем пользователям). Разрешая обращения клиентов, которые используют номера портов, превышающие 1023 (т. е. задавая опцию insecure), вы предоставляете пользователям, не обладающим привилегиями, дополнительный шанс осуществить несанкционированный доступ к серверу. В некоторых случаях, например при тестировании клиентских программ, использование опции insecure может быть оправдано.
rw Разрешить монтирование каталога для чтения и записи
ro Разрешить монтирование каталога только для чтения
all_squash Преобразует все UID и GID к анонимному пользователю, что способствует повышению безопасности.
Актуально для публичных разделов;
no_all_squash Оключает опцию all_squash
anonuid, anongid Позволяет задать UID и GID пользователя от лица которого будут выполняться все запросы;
anonuid и anongid. Анонимным пользователем, обращения которого отвергаются, обычно считается пользователь nobody. Вы можете переопределить такую установку, указав идентификатор пользователя (UID) и идентификатор группы (GID). Сделать это позволяют соответственно опции anonuid и anongid. В этом случае пользователю root, работающему на удаленном клиенте, будет предоставлен доступ с привилегиями указанного пользователя. Эти опции также приходится указывать при работе с клиентами PC/NFS, которые поддерживают лишь одного локального пользователя. Такая опция должна сопровождаться знаком равенства и идентификатором пользователя или группы, например anonuid=504.

root_squash Преобразует запрос от root, к UID/GID анонимного пользователя. Не разрешает пользователю root получать root-привилегии в удаленной файловой системе, все действия будут сделаны от лица пользователя nobody; no_root_squash Отключает опцию root_squash. Пользователь root в локальной системе получает такие же права в удаленной. Стоит использовать эту опцию только в случае острой необходимости. Используется для бездисковых клиентов;
sync Синхронный режим работы, ответы на запросы происходят только после того, как данные будут надежно записаны на диск. Надежность выше, производительность меньше;
async Асинхронный режим работы, ответы на запросы происходят сразу, не дожидаясь записи на диск. Надежность ниже, производительность выше;

no_subtree_check Если экспортируется подкаталог файловой системы, но не вся файловая система, сервер, проверяет, находится ли запрошенный файл в экспортированном подкаталоге. Эта проверка называется проверкой подкаталога. Отключение проверки уменьшает безопасность, но увеличивает скорость передачи данных.

Рекомендация по установке параметров для сервера для лучшей производительности: /home ipap8(rw,no_root_squash,sync,no_subtree_check)

Пример файла /etc/exports: /home ipap*(rw, no_root_squash)
Здесь мы разрешаем монтировать /home с сервера ipap1 всем компьютерам с именами ipap* в режиме rw Еще один пример:
/exchange 192.168.1.0/24(rw) *.company.ru(rw)
Перечитываем файл чтобы внесенные изменения начали действовать:
# exportfs -ra
Проверим список экспортированных ФС:
# exportfs

Теперь нужно перезапустить nfs-kernel-server:
$sudo /etc/init.d/nfs-kernel-server restart

Если после этого вы захотите поменять что-нибудь в файле /etc/exports, то для того, чтобы изменения вступили в силу, достаточно запустить следующую команду:

$sudo exportfs -ra

Увеличение количества NFS-демонов.
Выбор количества экземпляров сервера NFS. Как правило, в сценарии запуска сервера NFS предусматривается одновременное выполнение восьми экземпляров этой программы.
Если нагрузка на систему не велика, с ней может справиться и меньшее количество серверов. Если же система постоянно обрабатывает запросы, восьми серверов может оказаться недостаточно.
Недостаток серверов при большой нагрузке на систему приводит к тому, что для установления соединения с клиентом потребуется неоправданно большое время.
Увеличить производительность можно, выбрав наиболее подходящее число экземпляров сервера. Обычно это значение задается в начале сценария и имеет вид RPCNFSDCOUNT=8.
Для этого отредактируйте конфигурационный файл /etc/sysconfig/nfs и добавьте следующую строку:

В CentOs – это переменная носит название RPCNFSDCOUNT=16 (число экземпляров сервера)
В SuSE – USE_KERNEL_NFS_NUMBER=16
Для увеличения производительности nfs, рекомендуется эти переменные выставлять из расчета 2 демона на один узел.
Устранение причин снижения производительности, не связанных с работой
средств поддержки NFS. Производительность NFS может снижаться по ряду причин, многие из которых непосредственно не связаны с работой сети. Например, если ваша сетевая карта работает медленно, эффективность NFS-обмена будет низкой. Качество работы сервера NFS существенно зависит от используемого жесткого диска. Важно, чтобы данное устройство было достаточно быстродействующим и не создавало излишней нагрузки на центральный процессор. (Для сервера хорошо подойдет EIDE-контроллер с поддержкой адаптера DMA или SCSI; производительность устройств SCSI выше, чем производительность дисков EIDE.)

Если производительность сервера NFS недостаточна, необходимо прежде всего выяснить, что является источником проблем: программное обеспечение сервера NFS, клиент-программы или конфигурация сети. Возможно также, что производительность снижается по другим причинам, например, из-за недостаточной эффективности работы жестких дисков. Выяснить это можно, выполняя тестирование с использованием различных протоколов и с участием разных клиентов. (Для проверки производительности жестких дисков можно вызвать команду hdparm, указав опцию -t.)

Настройка клиента NFS

Монтирование файловой системы NFS
Файловая система NFS может быть смонтирована при помощи команды mount следующего формата:
mount –t <nfs-type> -o <options> <server>:</remote/path> </local/path>
nfs-type определяет версию NFS (значение nfs для NFSv2 и NFSv3, nfs4 – для NFSv4), server – адрес NFS-сервера, /remote/path определяет путь на удалённом компьютере, /local/path указывает каталог, куда должна быть примонтирована файловая система. Наиболее употребительные параметры монтирования (полный список содержится в man-странице для команды mount):
hard Программа, использующая NFS должна ожидать восстановления соединения, если NFS сервер стал недоступен. soft Программа завершиться с сообщением об ошибке, если NFS сервер будет недоступен (Таймаут может быть задан параметром timeo=<время(сек)>)
Если сервер станет недоступен, повторять обращение к файлу на удаленной файловой системе столько раз, сколько указано в параметре retrans; обычно приводит к ошибке приложения, обращающегося к недоступной файловой системе (подобно тому, как будет вести себя приложение при попытке чтения с неисправного жесткого диска, например) rsize/wsize Устанавливают размер передаваемого блока для операций чтения/записи. tcp Использовать протокол TCP (выбор протокола, по умолчанию – первый доступный из /etc/netconfig) udp Использовать протокол UDP
retrans=n количество повторений запроса до принятия решения об ошибке, см. soft, таймаут задается параметром timeo
timeo=n n – таймаут между запросами в десятых долях секунды (по умолчанию 7с) intr
позволяет прервать (послать сигнал INTR, Ctrl-C) обращение к недоступной файловой системе nointr
не позволяет прерывать обращения к недоступной файловой системе noatime
отключения регистрации отметки времени доступа к файлам. Опция noatime утилиты mount сообщает Linux о том, что информация о времени обращения к файлу не должна обновляться. В обычных условиях Linux записывает сведения о времени создания и изменения файла, а также о времени последнего обращения к нему. Отказавшись от данных о времени обращения, можно повысить производительность системы.

Рекомендация по установке параметров для клиента для лучшей производительности: ipap1:/home /home nfs rw,soft,user,timeo=14,noexec,nosuid,intr,noatime • nosuid. Эта опция не позволяет клиенту обрабатывать бит SUID в файлах, находящихся в экспортируемом каталоге. Эта опция также призвана повысить защиту системы. Она не дает возможности использовать бит SUID для незаконного получения специальных полномочий. • поехес. Эта опция предотвращает обработку клиентом признака исполняемых файлов в экспортируемых каталогах NFS. Другими словами, пользователь не может запускать на выполнение файлы, содержащиеся в каталогах NFS. В некоторых случаях эта опция неуместна, например, тогда, когда NFS используется для хранения файлов с программами. Если же в каталоге находятся лишь данные, эта опция повысит безопасность системы. Если монтирование производится с использованием файла /etc/fstab, то в него нужно добавить строку следующего формата:
<server>:</remote/path> </local/path> <nfs-type> <options> 0 0 Пример. Проверка работоспособности mount ipap1:/home /home
Для автоматического подключения этой файловой системы, необходимо прописать в файле /etc/fstab: ipap1:/home (что) /home (куда) nfs(тип FS) rw,noauto,user 0
Использование системы автоматического монтирования
В качестве дополнительной возможности NFS вы можете задействовать систему автоматического монтирования. Этот компонент автоматически монтирует каталоги при обращении к ним.
Например, если у вас настроено автоматическое монтирование NFS-каталога /mnt/data, он автоматически будет смонтирован и станет доступным в тот момент, когда вы наберете следующую команду:
$ cd /mnt/data

Samba

Samba представляет собой open-source реализацию протокола SMB (Server Message Block). Samba позволяет реализовать следующие функции: получить доступ к сетевым папкам и принтерам Windows из Linux; предоставить Windows доступ к файловым разделам и принтерам Linux; создать первичный контроллер домена (PDC) на базе Linux-компьютера; подключить Linux-компьютер к PDC на базе Windows; сделать Linux-компьютер членом Active Directory; предоставить разрешение имён по протоколу WINS (Windows Internet Name Service). Необходимо на компьютере установить пакет samba:

$aptitude search samba p samba – SMB/CIFS file, print, and login server for Unix v samba-client - i samba-common – common files used by both the Samba server and client i samba-common-bin – common files used by both the Samba server and client

Пакеты system-config-samba-1.2.31-1 и samba-swat-3.0.14a-2 можно не устанавливать – это для конфигуратора. Так же неплохо установить пакет nmap, он будет нужен при настройке сети. Проверьте это следующей командой: [liksys@max ~]$ rpm -qa | grep net-tools net-tools-1.60-52 [liksys@max ~]$ rpm -qa | grep nmap nmap-frontend-3.81-3 nmap-3.81-3

Работа протокола Samba реализуется тремя демонами: smbd, nmbd и winbindd. Первые два отвечают за доступ к файлам и принтерам на Linux/Windows компьютерах и контролируются скриптом /etc/rc.d/init.d/smb. Третий позволяет работать с данными пользователей/групп Windows (нужно для реализации функций PDC или работы в Active Directory), контролируется скриптом /etc/rc.d/init.d/winbind. Подключение windows-раздела Для того чтобы получить доступ к сетевым папкам Windows, достаточно использовать протокол smb: в любой из программ, работающих с файлами (например, konqueror), т.е. использовать путь к ресурсу в виде: smb:<server>/<share> <server> – соответствует имени или IP-адресу компьютера в сети, <share> – имя общего ресурса. В командной строке для поиска сетевых ресурсов можно использовать команду findsmb. Для подключения к SMB-ресурсу можно использовать программу smbclient: smbclient <server>/<share> -U <username> <username> – указывает имя пользователя, от имени которого выполняется подключение. В случае успешного подключения выводится приглашение smb:>, после этого можно вводить нужные команды (полный список команд и опций содержится в man-странице по smbclient). Для того чтобы смонтировать сетевую папку <server>/<share> в файловую систему, можно воспользоваться командой mount следующего формата: mount –t cifs –o user=<username>,password=<password> <server>/<share> /<local>/<path> Эта команда выполнит монтирование в точку /<local>/<path>. Настройка сервера Samba Конфигурация сервера Samba находится в файле /etc/samba/smb.conf, после его изменения демон необходимо рестартовать командой service smb restart. Со стороны Windows-машины посмотреть доступные ресурсы можно командой net view \\<server>, подключить диск – net use <Drive>: \\<server>\<path>. Samba поддерживает различные способы аутентификации пользователей, подробно они описаны в man-странице smb.conf. В частности параметр secure определяет, как именно клиенты отвечают samba-серверу: 1) значение share требует отсылки логина/пароля для каждой конкретной сетевой папки; 2) user – передача имени пользователя/пароля при первом подключении (способ по умолчанию); 3) domain – сервер будет пытаться проверить имя пользователя/пароль на контроллере домена Windows; 4) ads – проверка логина/пароля пользователя через Active Directory. По умолчанию используется аутентификация user, пароли хранятся в файле /etc/samba/smbpasswd. Для управления паролями пользователей для Samba служит утилита smbpasswd, она позволяет удалять/добавлять/блокировать пользователей (опции –a/–x/–d/–e), менять их пароли и т.п. (подробно – man smbpasswd). Немного о SWAT… SWAT (Samba Web Administration Tool) – средство конфигурирования и обслуживания сервера Samba, оно выполнено в виде WEB-интерфейса. Хотя SWAT и предлагает удобство в пользовании, но с помощью его вы не сможете изучить саму суть Samba. Вам необходимо научиться работать с Samba, прежде чем начнете использовать SWAT, если вы не знаете, что и как делать, то он принесет вам больше вреда, чем пользы. Установка и настройка SWAT входит в состав пакета Samba, так что, кроме тех случаев, когда у вас установлена очень старая версия Samba, эта программа уже установлена в вашей системе. Вы можете проверить ее наличие, используя команду swat –help. Также можно использовать для поиска программы следующие команды: # whereis swat swat: /usr/sbin/swat /usr/share/man/man8/swat.8.gz # find / -name swat /etc/webmin/samba/swat /etc/xinetd.d/swat /usr/sbin/swat /usr/share/samba/swat Файл /usr/sbin/swat – это исполняемый файл SWAT. (Я использую openSUSE 10.3. В других дистрибутивах SWAT может располагаться где-нибудь в другом месте). Файл конфигурации /etc/webmin/samba/swat Вы обнаружите (если имеете права суперпользователя) только если у вас установлен Webmin; этот файл будет содержать в себе имя вашего пользователя Samba и его пароль. Кроме того, вы должны отредактировать файл /etc/xinetd.d/swat для того чтобы SWAT был доступен через xinetd. Ниже представлен вариант того как он может выглядеть после правки: # SWAT is the Samba Web Administration Tool. service swat { port = 901 groups = yes socket_type = stream protocol = tcp wait = no user = root server = /usr/sbin/swat only_from = 127.0.0.1 log_on_failure += USERID disable = no } Заметьте, что в строке server я указал путь, ранее найденный с помощью команд whereis или find. Последняя строка может иметь вид disable=yes, поскольку многие дистрибутивы не активируют SWAT по умолчанию. В моей версии файла были пропущены строки port и groups, потому я был должен добавить их. По окончании редактирования файла запустите /etc/init.d/xinetd restart и SWAT будет готов к работе. Замечание: На старых системах может запускаться inetd вместо xinetd, в таком случае вам следует найти /etc/inetd.conf, который должен содержать строки вида # swat is the Samba Web Administration Tool swat stream tcp nowait.400 root /usr/sbin/swat swat Используйте /etc/init.d/inetd restart для активации после исправлений. Получить доступ к нему можно через браузер, например, Mozilla. Для этого в строке адреса наберите: Использование SWAT SWAT работает переписывая файл конфигурации /etc/samba/smb.conf и перезапуская Samba, когда это необходимо. Тем не менее, стоит заметить, что когда он переписывает файлы, он уничтожает все комментарии, которые могли быть включены вами в конфигурационные файлы, что обычно вызывает недовольство пользователей. Не поддерживаемые параметры удаляются, параметры, имеющие значения по умолчанию, игнорируются, а, кроме того, SWAT изменяет порядок параметров, поэтому файл, тщательно сформированный вручную, может выглядеть неожиданно бледно, после того, как SWAT поработает с ним. Получить доступ к SWAT можно путем открытия браузера и перехода на http://127.0.0.1:901 или http://localhost:901 Когда попросят, введите имя пользователя root и его пароль. После этого Вы можете приступить к управлению сервером Samba. Домашняя страница обеспечивает доступ к man-странице и некоторой документации по Samba, включая несколько книг. Вы можете установить дополнительные пакеты документации по Samba позже. Сервер Samba – это очень гибкая система, она поддерживает сотни параметров, поэтому для полноценного использования этого сервера необходимо хорошо представлять себе, что делает та или иная опция, для чего можно обратиться к соответствующим man-страницам руководства: man samba man smb.conf man smbclient … В заключение хотелось бы привести некоторые команды, которые полезны при настройке/использовании сервера Samba. smbclient Позволяет подключаться к серверу Samba. ————————————— smbclient -L <hostname_or_ip-adress>

Выводит список доступных ресурсов компьютера.

——————————————– smbclient -U username <hostname_or_ip-adress>/<sharename> Позволяет подключиться к ресурсу <sharename> указанного компьютера как пользователь username. После этого Вам предложат ввести пароль. Если комбинация имя_пользователя-пароль верна, Вам будет предоставлен доступ к ресурсу. Параметр “-U username” можно опустить, тогда при регистрации будет использоваться гостевая учетная запись. Просьбу о вводе пароля можно проигнорировать, нажав <Enter>. После этого Вам будет предоставлен доступ к ресурсу, если, конечно, администратор сервера разрешил использование гостевой учетной записи. ——————————————————————– smbmount <hostname_or_ip-adress>/<sharename> /mount/point или mount -t smbfs <hostname_or_ip-adress>/<sharename> /mount/point Позволяет примонтировать ресурс к файловой системе. Он буде доступен как обычный каталог. Команда smbmount имеет множество параметров, для получения справки введите команду man smbmount. Монтировать ресурс можно и командой mount, как показано выше. —————————————————– testparm Проверяет правильность конфигурации файла /etc/samba/smb.conf. Если все нормально, это хороший знак, скорее всего сервер будет работать нормально. Для справки введите man testparm. ————————————————————- /etc/rc.d/init.d/smb start/stop/status/restart Управление демонами smbd и nmbd. ————————————————————- smbstatus Мониторинг состояния сервера Samba. ————————————————————- groupadd -g “GID” groupname useradd -u “UID” -g “GID” -s /sbin/nologin username passwd username smbpasswd -a username Последовательность команд для добавления Samba-пользователя

обзор_сетевых_служб_демон_xinetd.txt · Последнее изменение: 2013/06/07 18:16 (внешнее изменение)

DokuWiki Appliance - Powered by TurnKey Linux