ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 60
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
10
Глава 1
В немалой степени от системного администратора зависят способы реализации корпоративных политик в области безопасности. С одной стороны, это желание руководителей осуществлять полный контроль над деятельностью подчиненных
(перлюстрация корпоративной электронной почты, контроль посещения страниц
Интернета и т. п.), с другой — право каждого на личную тайну. По данным стати- стики, желание полностью контролировать сотрудников чаще всего возникает у руководителей малых предприятий.
Системный администратор вынужден быть дипломатом и поддерживать хорошие отношения как с руководством, так и с коллективом сотрудников, находя компро- миссные решения противоречивых ситуаций.
О мистике
И в заключение. Автор неоднократно замечал взаимосвязь между своим внутрен- ним состоянием и стабильностью работы системы. Если вы садитесь за компьютер в плохом настроении, то не ждите, что он ответит вам "полным пониманием". Если вы не станете дружески относиться к своим системам, то будьте готовы к постоян- ным неожиданностям.
Г Л АВ А
2
Выбор оборудования
и программного обеспечения
Эксплуатация в составе информационной системы накладывает ряд дополнитель- ных требований на применяемое оборудование и программное обеспечение.
Требования к оборудованию
информационных систем
На рынке представлено много аналогичного оборудования, и выбор конкретных моделей часто представляет нелегкую задачу.
Выбор вендора
Лично я рекомендую всем покупать оборудование среднего ценового диапазона.
Топовые модели обычно обладают функционалом, который не будет востребован во время эксплуатации. Самые дешевые — часто работают не так стабильно, как хотелось бы.
Этот принцип можно распространить и на выбор вендора. Как правило, информа- цию о ранжировании вендоров получить достаточно легко. И лучше выбирать опять же фирмы из середины списка. Наиболее известные вендоры часто завышают стоимость оборудования, пользуясь известностью своей марки. Следует не подда- ваться на рекламные обещания: крупные компании выделяют на маркетинговые цели весьма существенный процент от стоимости оборудования. Например, один из вендоров коммутационного оборудования только на посреднические цели — парт- нерам — выделяет от 30 до 40% от стоимости проданного оборудования. Естест- венно, что партнеры всячески будут способствовать продвижению именно такой линейки и убеждать в ее исключительности.
Имеет смысл комплектовать однотипное оборудование моделями одного вендора.
Как правило, вендоры поставляют совместно с оборудованием некоторые дополни- тельные опции, которые позволяют упростить администрирование. Например, это может быть программное обеспечение централизованного администрирования сер- веров или проприетарные протоколы коммутационного оборудования.
12
Глава 2
Сервисные контракты
Чем дороже оборудование, тем, как правило, больше задач оно решает в информа- ционной системе. И тем к большим потерям приведет его простой на время ремон- та или обслуживания. Поэтому целесообразно заключать сервисные контракты, ко- торые гарантируют восстановление оборудования в течении оговоренного срока.
Возможность заключения сервисного контракта с заданным уровнем обслуживания
(временем поставки вышедшего из строя компонента) следует учитывать при вы- боре оборудования. Особенно если предприятие расположено вдалеке от регио- нальных центров. Перед принятием решения обязательно уточните наличие регио- нальных складов, время доставки на предприятие детали с такого склада, наличие в регионе сертифицированных вендором специалистов, которым разрешено прово- дить обслуживание и ремонт предполагаемого к покупке оборудования.
Запасные элементы
Постарайтесь приобрести запасные части к приобретаемому оборудованию. Обыч- но сервисные контракты после 3—4 лет эксплуатации становятся очень дорогими, а приобрести детали становится невозможным, поскольку они перестают выпускать- ся в связи с переходом на новые модели.
Например, для серверов необходимо приобрести запасные жесткие диски и блоки питания. Эти детали чаще всего отказывают во время эксплуатации.
Дополнительные требования к компьютерам
Оборудование должно удовлетворять ряду российских стандартов (санитарные правила, по электробезопасности и т. п.). Эти требования будут удовлетворяться, если оборудование будет иметь сертификат РОСТЕСТа.
Параметры компьютеров обычно должны быть определены в проектной докумен- тации. Как правило, оговариваются минимальные требования к процессору (тип, число процессоров/ядер, частота), памяти, дисковой подсистеме.
Выбор процессора
Серверы начального уровня выбираются обычно с х86-процессорами. Для более мощных систем возможно использование процессоров другой архитектуры, но этот выбор обычно диктуется приложением (задачи SAP обычно реализуют на мощных вычислительных процессорах серии Power, серверы баз данных Oracle оптимизиро- ваны под собственные серверы с процессорами архитектуры RISC и т. д.).
Число ядер, частота и т. д. выбирается на основе требований проекта. В случае пла- нирования виртуализации необходимо улучшать конфигурацию примерно на 20%.
Выбор шасси
Серверы обычно устанавливают в стойку и шкаф. Соответственно, они должны по- ставляться в шассийном исполнении и должны быть снабжены креплениями (рель-
сами) для установки в шкаф с возможностью выдвижения для обслуживания.
Выбор оборудования и программного обеспечения
13
Для обеспечения возможности резервирования электропитания шасси должно иметь два блока питания, допускающих их "горячую" замену.
Выбор материнской платы
Сервер должен быть укомплектован системой out-of-band-управления. Эта система позволяет по отдельному сетевому интерфейсу мониторить состояние сервера, включать и выключать его, программно удаленно монтировать образы CD/DVD и т. д. Обычно серверные платы включают данную опцию по умолчанию, но есть модели, в которых она является дополнительным компонентом. На рис. 2.1 показан пример подобного интерфейса удаленного управления.
Рис. 2.1. Интерфейс удаленного управления (iLO) сервера Sun
Программные средства мониторинга, существующие для данной модели, должны быть совместимы с той системой контроля, которая используется на предприятии.
Для упрощения инвентаризации желательно, чтобы серийный номер шасси/сервера был доступен программным способом.
Сервер должен иметь аппаратный RAID-контроллер для создания отказоустойчи- вого массива из устанавливаемых дисков.
14
Глава 2
Выбор дисков
Желательно хранить и обрабатывать данные на специализированных устройст- вах — системах хранения данных (СХД). На рынке представлено много моделей таких устройств, доступных или дорогих, с большим или меньшим функционалом.
Можно купить платформу с большим числом жестких дисков и установить на нее программное обеспечение серверов хранения данных (в том числе, и бесплатное).
Вариантов много, в любом случае переход на СХД позволит более рационально использовать дисковое пространство и повысить надежность системы.
Поэтому в сервере лучше оставить только два небольших, но быстрых диска для построения отказоустойчивого массива (зеркала) и размещения на нем операцион- ной системы.
Если данные будут храниться локально, то изначально нужно установить в сервер максимальное число дисков. Это повысит производительность дисковой подсисте- мы. При этом нужно продумать, как будут сформированы массивы. Обычно созда- ют RAID (Redundant Array of Independent Disks — избыточный (резервный) массив независимых дисков) 5-го уровня из всех дисков сервера, который потом разбивают
(или не разбивают) на несколько логических. Это самый экономичный вариант от- казоустойчивого массива, но не самый оптимальный. Например, тип массива дол- жен быть различным для размещения журналов сервера баз данных и для файлов самой базы.
Поэтому до покупки сервера следует ознакомиться с рекомендациями по размеще- нию данных приложений: какой тип массива рекомендуется, под какой размер бло- ка данных должен быть отформатирован диск и т. п.
Выбор параметров устройства для хранения данных является одним из самых сложных вопросов конфигурации компьютера. Проблем несколько. Во-первых, редко когда сервер используется только для одной задачи, а разные приложения отличаются характеристиками операций ввода/вывода. Во-вторых, даже если пла- нируется обслуживать только одну задачу, никто, даже разработчики соответст- вующего программного обеспечения, обычно не могут дать оценку по числу опера- ций ввода/вывода в секунду, соотношению операций чтения-записи и т. д. Даже если цифры и называются, то они весьма приблизительные, как экстраполирован- ные результаты приложения в примерно "сходной" конфигурации на другом пред- приятии.
Скорость работы устройств хранения обычно характеризуют параметрами IOPS
(Input/Output operations Per Second — число операций ввода/вывода в секунду) и максимальной скоростью записи/чтения. Параметры хотя и взаимосвязаны, но ха- рактеризуют различные "стороны" устройства хранения. Например, в программном обеспечении баз данных обычно используется размер блока для операций запи- си/чтения в 8 Кбайт. Для файловых серверов обмен данных ведется для 60% случа- ев блоками по 4 Кбайта (см. http://blog.aboutnetapp.ru/archives/475), 10% — по
65 Кбайт и т. п. Естественно, что показатель IOPS при записи больших блоков дан- ных будет существенно ниже, чем в случае 4-килобайтного блока.
Выбор оборудования и программного обеспечения
15
Показатели IOPS, в основном, определяются скоростью вращения жесткого диска и не столь существенно отличаются у разных производителей. Для грубой оценки можно использовать следующие значения (табл. 2.1).
1 2 3 4 5 6 7 8 9 ... 13
Таблица 2.1. Средние значения IOPS
в зависимости от скорости вращения шпинделя диска
Число оборотов в минуту (RPM)
IOPS
15 000 170 10 000 120 7 500 70
Для ускорения обмена данными операции записи/чтения проводят сразу с несколь- кими жесткими дисками — объединяют диски в RAID. Существуют различные ва- рианты RAID-массивов, отличающихся вариантами записи данных (см. http://
ru.wikipedia.org/wiki/RAID). Если оценивать RAID-массивы по скорости работы, то следует учитывать, что разным типам RAID присуще различное количество до- полнительных операций для реализации функций отказоустойчивости и т. п. По- этому объединяя три диска в RAID 5, мы не получим трехкратного увеличения ско- рости работы.
В результате, для разных типов приложений необходимо выбирать свои варианты создания RAID-массивов. Существуют специальные формулы, позволяющие вы- числить ожидаемое теоретическое увеличение производительности, но проще вос- пользоваться бесплатными он-лайновыми ресурсами — калькуляторами IOPS:
http://www.wmarow.com/storage/strcalc.html;
http://www.storage-expert.ru/index.php/section-table/42-disk-array-faq/
63-online-iops-calc
и др. (рис. 2.2).
Такие расчеты дадут оценочные параметры для простых систем хранения и для массивов, собранных из жестких дисков сервера. Современные системы хранения используют дополнительные способы увеличения производительности, например, кэширование данных в оперативной памяти контроллеров СХД, использование бы- стродействующих твердотельных дисков (SSD-диски) для временного размещения данных и т. д. Если предполагается использовать подобное оборудование, то нужно обратиться к специализированным калькуляторам и техническим спецификациям, которые предоставляют соответствующие вендоры.
Выбор памяти
Часто специалисты пытаются дополнить рекомендованную конфигурацию системы модулями оперативной памяти. Желание объяснимое, но не следует упускать из виду тот факт, что скорость работы с памятью может зависеть от ее конфигура-
16
Глава 2
Рис. 2.2. Образец калькулятора RAID ции — числа установленных модулей. Легко может оказаться так, что, добавив но- вые модули памяти, вы одновременно снизили вдвое скорость обмена данными с ней.
Обычно в документации на сервер (материнскую плату) присутствуют рекоменда- ции по конфигурации модулей памяти. Некоторые вендоры предлагают даже мас- тера выбора памяти, можно обратиться к техническим специалистам вендора и т. п.
В общем, нужно только воспользоваться предлагаемыми возможностями.
Совместимость компонентов
И последнее. Все компоненты сервера должны быть совместимы. Учесть все требо- вания, чтобы исключить ошибки, достаточно сложно. Поэтому вендоры предлага- ют специальные конфигураторы, с помощью которых можно сформировать желае- мый сервер. Этими конфигураторами пользуются как сами специалисты вендоров, так они доступны и для рядовых покупателей. На рис. 2.3 показан пример такого конфигуратора для серверов Hewlett Packard.
Выбор оборудования и программного обеспечения
17
Рис. 2.3. Пример онлайнового конфигуратора сервера от Hewlett Packard
Дополнительные требования
к коммутационному оборудованию
Коммутационное оборудование выбирается с учетом поддержки технологий, ис- пользованных при построении инфраструктуры. Желательно использовать только стандартизованные решения, поскольку это позволит в дальнейшем сочетать обо- рудование различных вендоров.
Оборудование без возможности сетевого управления (без поддержки протокола
SNMP (Simple Network Management Protocol — простой протокол сетевого управ- ления)) можно выбирать только для малых организаций.
18
Глава 2
Поскольку в практику все более внедряются решения по передаче голосового и ви- деотрафика по сети, нужно, чтобы все оборудование поддерживало приоритезацию трафика с числом очередей не менее 4, а оборудование уровня распределения и яд- ра позволяло ограничивать (регулировать) полосы пропускания для различного трафика.
Если организация занимает несколько комнат и порты сети не находятся под по- стоянным контролем, необходимо выбирать оборудование с поддержкой протокола
802.1х.
Дополнительные требования
к аварийным источникам питания
Источники аварийного питания (UPS) (Uninterruptible Power Supply — источник бесперебойного питания) должны быть резервированы, если оборудование не име- ет независимых выходов, то следует приобретать по 2 UPS на один узел.
Источники аварийного питания должны быть снабжены сетевыми интерфейсами, по которым можно получать данные о состоянии батарей, уровне зарядки, остав- шемся времени автономной работы.
Состав программного обеспечения
типовой организации
Любая информационная система включает в себя инфраструктурные службы — службы и программы, необходимые для поддержания работы системы и выполне- ния типовых функций, а также собственно "полезное" программное обеспечение — приложения, выполняющие расчеты в целях обеспечения производства данной организации.
Если прикладное программное обеспечение весьма разнообразно и общие реко- мендации дать достаточно сложно, то инфраструктурные решения во многом схожи.
В любой информационной системе представлены следующие классы программ и приложений:
операционные системы;
подсистемы разрешения имен;
подсистемы авторизации, аутентификации и контроля доступа;
службы файловых сервисов;
средства доступа к глобальной сети (Интернету) и просмотра внешних ресурсов;
программное обеспечение защиты хоста (антивирусное ПО и ПО межсетевых экранов, контроля приложений и т. п.);
подсистема резервного копирования;
Выбор оборудования и программного обеспечения
19
программное обеспечение офиса (текстовый редактор, редактор электронных таблиц и т. д.);
подсистема обмена сообщениями электронной почты.
Можно перечислить еще много типовых служб, которые свойственны информаци- онным системам, но указанный выше список можно найти на любом предприятии.
Операционные системы были упомянуты в главе 1, далее попытаемся дать оценки оставшихся компонент.
Службы разрешения имен
Используемые на практике службы разрешения имен, операции по настройке и ис- пользованию подробно рассмотрены в главе 3.
Система авторизации, аутентификации
и контроля доступа
При увеличении числа совместно работающих систем для снижения затрат на их администрирование используют централизованное управление. В этом случае па- раметры учетной записи пользователей хранят на серверах, на серверах осуществ- ляется проверка правильности введенных данных и принимается решение на дос- туп к ресурсам.
В сетях Windows в качестве централизованного хранилища используется служба каталогов — Active Directory. Для Linux-систем обычно применяется проект
OpenLDAP. Поскольку оба этих каталога используют открытые стандарты, то воз- можны решения, когда Linux-клиенты проходят проверку на серверах домена
Windows, а Windows-системы — в домене, контроллерами которого являются сер- веры Linux.
Подключение Linux к домену (Kerberos)
Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM
1
-аутентификации (традиционный вариант, со- вместим с доменами Windows NT), либо на основе Kerberos (поддерживается в до- менах Windows 200x). Поскольку система безопасности Windows в нормальном ре- жиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.
В следующем примере мы опишем последовательность операций для ОС Red Hat
Linux, в других клонах ОС Linux действия могут незначительно отличаться.
П
РИМЕЧАНИЕ
Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безо- пасности системы High или Medium, то аутентификация в домене Windows будет не-
1
NTLM (NT LAN Manager) — протокол сетевой аутентификации, разработанный фирмой Microsoft для ОС Windows NT. — Ред.
20
Глава 2
возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main |
System Settings или в режиме терминала командой redhat-config-securitylevel).
Протокол Kerberos будет работать только в том случае, если рассогласование вре- мени между компьютером пользователя и контроллером домена составляет меньше
5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.
Для подключения к домену нужно выполнить три шага:
1. Отредактировать конфигурацию клиента Kerberos и nsswitch;
2. Получить билет Kerberos для учетной записи администратора;
3. Выполнить команду подключения к домену.
Настройка конфигурации клиента Kerberos
Настройки Kerberos можно выполнить с помощью имеющихся в системе графиче- ских утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути:
/etc/krb5.conf
. В этом файле достаточно от- редактировать только параметры доменной области (realm) и центра выдачи клю- чей (KDC)
1
(Key Distribution Center — центр распределения ключей — служба
Kerberos):
[realms]
LOCAL.DOMAIN = { kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88 admin_server = dc1.local.domain default_domain = local.domain
}
[domain_realm]
.local.domain = LOCAL.DOMAIN local.domain = LOCAL.DOMAIN
[kdc] enable-kerberos4 = false
Рис. 2.4. Настройка параметров
Kerberos в графическом режиме в Red Hat
1
В данном примере DNS-имя домена — local.domain, а контроллеры домена имеют имена dc1 и dc2.
Выбор оборудования и программного обеспечения
21
Назначения параметров видны по их названиям. Можно использовать также при- мер, содержащийся в исходном файле krb5.conf
П
РИМЕЧАНИЕ
Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена
только в верхнем регистре, именно так, как это сделано в данном примере.
Настройка nsswitch.conf
В файле
/etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничива- ются только локальными параметрами (в строках упомянуто только files
). Поэто- му проверьте, чтобы содержимое файла
/etc/nsswitch.conf включало параметры как files
, так и winbind
. Например, так: group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind
Получение билета Kerberos для учетной записи администратора
После того как вы отредактируете конфигурацию, необходимо получить билет
Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду: kinit administrator@LOCAL.DOMAIN
Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака "
@
" указана учетная запись администратора этого домена.
Команда должна отработать без ошибок. Самая распространенная ошибка возника- ет в случае, если время системы Linux отличается от времени контроллера домена.
В этом случае синхронизируйте время и повторите команду.
Проверить полученный билет можно, выполнив команду: klist
Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).
Подключение к домену
Для включения компьютера с Linux в домен Windows по протоколу Kerberos необ- ходимо выполнить следующую команду (подключение происходит к домену, ука- занному в параметрах по умолчанию — конфигурации клиента Kerberos): net ads join -U administrator%password
Обратите внимание, что используется ключ ads
, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя
22
Глава 2
administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выпол- нении операции.
Проверка подключения
После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.
Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды: wbinfo –t
На экране должно появиться аналогичное приведенному далее:
[root@linux ]# wbinfo -t checking the trust secret via RPC calls succeeded
Командой wbinfo –u можно отобразить список пользователей, а применив ее с клю- чом
–g
— список групп.
Проверьте, что служба winbind успешно получает пароли с контроллера домена.
Для этого выполните команду: getent passwd
В списке паролей вы должны увидеть записи, относящиеся к домену (имена поль- зователей будут показаны в начале строки в виде: домен\пользователь
).
Сервер Linux в качестве контроллера домена
Сервер Linux может выступать в качестве контроллера домена Windows. Можно настроить сервер Kerberos, но обычно создают NTLM-домен с помощью демона
Samba. Для этого нужно внести всего несколько строк в конфигурационный файл и снова стартовать службу smbd.
Необходимые изменения документированы в самом файле конфигурации, коммен- тарии легко найти в Интернете, поэтому мы не будем специально останавливаться на этом.
В качестве контроллера домена сервер Linux хранит учетные записи пользователей.
При этом вы можете применять сценарии, исполняемые при входе пользователей в домен, однако вам недоступны групповые политики, активно используемые при управлении доменом Windows 200x. Групповые политики предполагается реализо- вать в версии Samba 4, которая в настоящее время проходит тестирование. Хотя пользователи, работавшие с этой версией, отмечают полную ее работоспособность в их конфигурации, в том числе и применение групповых политик.
Возможный выход в такой ситуации заключается в применении дополнительных пакетов для реализации необходимых функций. Например, для автоматизации
Выбор оборудования и программного обеспечения
23
установки и удаления программ Windows можно применить программу
WPKG
(http://wpkg.org).
Совместные документарные ресурсы
Сеть любой организации не обходится без общих папок с документами или прило- жениями. В сетях Windows общие папки и принтеры предоставляются по протоко- лу SMB (Server Message Block — блок серверных сообщений (протокол, разрабо- танный Microsoft, Intel и IBM)). Компьютеры с ОС Linux также могут подключать- ся к этим ресурсам и даже предоставлять свои ресурсы для клиентов Windows. Для этого используется специальная служба Samba.
Проект Samba входит в состав всех Linux-дистрибутивов. Недавно к разработке данного проекта официально подключилась корпорация Microsoft, что дополни- тельно свидетельствует о важности этого направления и качестве его разработки.
Сама операция предоставления ресурса в общий доступ в Windows сложности не вызывает. Достаточно выполнить соответствующую команду из свойств объекта, дать сетевое имя и назначить права доступа.
При работе в составе домена доступ предоставляется по доменным учетным запи- сям. В рабочей группе необходимо либо создавать одноименные учетные записи на всех компьютерах с одинаковыми паролями, либо разрешать доступ для всех. По- следнее не очень хорошо с точки зрения безопасности, но оптимально для группы из нескольких компьютеров.
Документы можно предоставлять и путем размещения их на порталах. Это более трудоемкая операция, зато легко организовать обсуждения материалов, версион- ность документа, предоставить пользователям возможность самостоятельно созда- вать ресурсы.
Существует расширение технологии общих папок — распределенная файловая
система. Она более подробно рассмотрена в главе 10.
Учетная запись для анонимного доступа
В случае предоставления ресурсов в общий доступ для всех, операционная система не контролирует права доступа и использует в этом случае специальную учетную запись.
В Windows это учетная запись
Гость
. Она по умолчанию заблокирована в системе, поэтому при желании использования анонимного доступа необходимо ее разблоки- ровать. Соответственно, и настройки файлов на диске должны позволять этой учет- ной записи чтение или запись информации.
Учетной записи
Гость в ОС Linux соответствует учетная запись nobody
. По умолча- нию анонимный доступ к ресурсам Linux также запрещен. Если вы хотите его раз- решить, то удостоверьтесь в существовании в системе учетной записи nobody и от- корректируйте конфигурацию Samba по следующему образцу:
24
Глава 2
[global] security = user map to guest = Bad Password
[share_definition] guest ok = yes
Другой способ состоит в использовании параметра security = share
. В этом случае доступ к ресурсу будет осуществляться только с параметрами гостевой учетной записи.
Портальные решения
Помимо размещения документов в общих папках возможен вариант общего досту- па к ним по веб-технологиям. Это создание порталов. Портал представляет собой веб-сервер, группирующий информацию нескольких источников. Обычно разме- щение информации на портале доступно самим пользователям. Пользователи могут создавать собственные странички (на основе шаблонов), добавлять в них органы управления, реализовывать функциональность контроля движения документов и т. п. На страницах можно хранить документы, согласовывать графики и поруче- ния, настраивать поиск по определенной тематике.
Существуют как бесплатные, так и коммерческие версии порталов. Среди сервер- ных продуктов Microsoft — это сервер SharePoint. Строго говоря, есть базовая функциональность портала, которая называется SharePoint Foundation. Этот ком- понент входит в состав новых версий серверов и может быть бесплатно загружен для предыдущих выпусков. На SharePoint Foundation также можно создать корпо- ративные веб-сайты. Сервер SharePoint добавляет к базисному функционалу неко- торые дополнительные элементы управления, возможность создания распределен- ного на несколько серверов портала и т. д. Поэтому начинать использование порта- ла вполне можно именно с базисного варианта.
Среди бесплатных продуктов наибольшей функциональностью отличается портал
Liferay. Для установки и базового администрирования этого портала не требуются навыки программирования. Liferay разработан на Java и работает на любой вычис- лительной платформе в среде Java Runtime Environment и сервере приложений.
1 2 3 4 5 6 7 8 9 ... 13
16
Глава 2
Рис. 2.2. Образец калькулятора RAID ции — числа установленных модулей. Легко может оказаться так, что, добавив но- вые модули памяти, вы одновременно снизили вдвое скорость обмена данными с ней.
Обычно в документации на сервер (материнскую плату) присутствуют рекоменда- ции по конфигурации модулей памяти. Некоторые вендоры предлагают даже мас- тера выбора памяти, можно обратиться к техническим специалистам вендора и т. п.
В общем, нужно только воспользоваться предлагаемыми возможностями.
Совместимость компонентов
И последнее. Все компоненты сервера должны быть совместимы. Учесть все требо- вания, чтобы исключить ошибки, достаточно сложно. Поэтому вендоры предлага- ют специальные конфигураторы, с помощью которых можно сформировать желае- мый сервер. Этими конфигураторами пользуются как сами специалисты вендоров, так они доступны и для рядовых покупателей. На рис. 2.3 показан пример такого конфигуратора для серверов Hewlett Packard.
Выбор оборудования и программного обеспечения
17
Рис. 2.3. Пример онлайнового конфигуратора сервера от Hewlett Packard
Дополнительные требования
к коммутационному оборудованию
Коммутационное оборудование выбирается с учетом поддержки технологий, ис- пользованных при построении инфраструктуры. Желательно использовать только стандартизованные решения, поскольку это позволит в дальнейшем сочетать обо- рудование различных вендоров.
Оборудование без возможности сетевого управления (без поддержки протокола
SNMP (Simple Network Management Protocol — простой протокол сетевого управ- ления)) можно выбирать только для малых организаций.
18
Глава 2
Поскольку в практику все более внедряются решения по передаче голосового и ви- деотрафика по сети, нужно, чтобы все оборудование поддерживало приоритезацию трафика с числом очередей не менее 4, а оборудование уровня распределения и яд- ра позволяло ограничивать (регулировать) полосы пропускания для различного трафика.
Если организация занимает несколько комнат и порты сети не находятся под по- стоянным контролем, необходимо выбирать оборудование с поддержкой протокола
802.1х.
Дополнительные требования
к аварийным источникам питания
Источники аварийного питания (UPS) (Uninterruptible Power Supply — источник бесперебойного питания) должны быть резервированы, если оборудование не име- ет независимых выходов, то следует приобретать по 2 UPS на один узел.
Источники аварийного питания должны быть снабжены сетевыми интерфейсами, по которым можно получать данные о состоянии батарей, уровне зарядки, остав- шемся времени автономной работы.
Состав программного обеспечения
типовой организации
Любая информационная система включает в себя инфраструктурные службы — службы и программы, необходимые для поддержания работы системы и выполне- ния типовых функций, а также собственно "полезное" программное обеспечение — приложения, выполняющие расчеты в целях обеспечения производства данной организации.
Если прикладное программное обеспечение весьма разнообразно и общие реко- мендации дать достаточно сложно, то инфраструктурные решения во многом схожи.
В любой информационной системе представлены следующие классы программ и приложений:
операционные системы;
подсистемы разрешения имен;
подсистемы авторизации, аутентификации и контроля доступа;
службы файловых сервисов;
средства доступа к глобальной сети (Интернету) и просмотра внешних ресурсов;
программное обеспечение защиты хоста (антивирусное ПО и ПО межсетевых экранов, контроля приложений и т. п.);
подсистема резервного копирования;
Выбор оборудования и программного обеспечения
19
программное обеспечение офиса (текстовый редактор, редактор электронных таблиц и т. д.);
подсистема обмена сообщениями электронной почты.
Можно перечислить еще много типовых служб, которые свойственны информаци- онным системам, но указанный выше список можно найти на любом предприятии.
Операционные системы были упомянуты в главе 1, далее попытаемся дать оценки оставшихся компонент.
Службы разрешения имен
Используемые на практике службы разрешения имен, операции по настройке и ис- пользованию подробно рассмотрены в главе 3.
Система авторизации, аутентификации
и контроля доступа
При увеличении числа совместно работающих систем для снижения затрат на их администрирование используют централизованное управление. В этом случае па- раметры учетной записи пользователей хранят на серверах, на серверах осуществ- ляется проверка правильности введенных данных и принимается решение на дос- туп к ресурсам.
В сетях Windows в качестве централизованного хранилища используется служба каталогов — Active Directory. Для Linux-систем обычно применяется проект
OpenLDAP. Поскольку оба этих каталога используют открытые стандарты, то воз- можны решения, когда Linux-клиенты проходят проверку на серверах домена
Windows, а Windows-системы — в домене, контроллерами которого являются сер- веры Linux.
Подключение Linux к домену (Kerberos)
Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM
1
-аутентификации (традиционный вариант, со- вместим с доменами Windows NT), либо на основе Kerberos (поддерживается в до- менах Windows 200x). Поскольку система безопасности Windows в нормальном ре- жиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.
В следующем примере мы опишем последовательность операций для ОС Red Hat
Linux, в других клонах ОС Linux действия могут незначительно отличаться.
П
РИМЕЧАНИЕ
Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безо- пасности системы High или Medium, то аутентификация в домене Windows будет не-
1
NTLM (NT LAN Manager) — протокол сетевой аутентификации, разработанный фирмой Microsoft для ОС Windows NT. — Ред.
20
Глава 2
возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main |
System Settings или в режиме терминала командой redhat-config-securitylevel).
Протокол Kerberos будет работать только в том случае, если рассогласование вре- мени между компьютером пользователя и контроллером домена составляет меньше
5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.
Для подключения к домену нужно выполнить три шага:
1. Отредактировать конфигурацию клиента Kerberos и nsswitch;
2. Получить билет Kerberos для учетной записи администратора;
3. Выполнить команду подключения к домену.
Настройка конфигурации клиента Kerberos
Настройки Kerberos можно выполнить с помощью имеющихся в системе графиче- ских утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути:
/etc/krb5.conf
. В этом файле достаточно от- редактировать только параметры доменной области (realm) и центра выдачи клю- чей (KDC)
1
(Key Distribution Center — центр распределения ключей — служба
Kerberos):
[realms]
LOCAL.DOMAIN = { kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88 admin_server = dc1.local.domain default_domain = local.domain
}
[domain_realm]
.local.domain = LOCAL.DOMAIN local.domain = LOCAL.DOMAIN
[kdc] enable-kerberos4 = false
Рис. 2.4. Настройка параметров
Kerberos в графическом режиме в Red Hat
1
В данном примере DNS-имя домена — local.domain, а контроллеры домена имеют имена dc1 и dc2.
Выбор оборудования и программного обеспечения
21
Назначения параметров видны по их названиям. Можно использовать также при- мер, содержащийся в исходном файле krb5.conf
П
РИМЕЧАНИЕ
Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена
только в верхнем регистре, именно так, как это сделано в данном примере.
Настройка nsswitch.conf
В файле
/etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничива- ются только локальными параметрами (в строках упомянуто только files
). Поэто- му проверьте, чтобы содержимое файла
/etc/nsswitch.conf включало параметры как files
, так и winbind
. Например, так: group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind
Получение билета Kerberos для учетной записи администратора
После того как вы отредактируете конфигурацию, необходимо получить билет
Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду: kinit administrator@LOCAL.DOMAIN
Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака "
@
" указана учетная запись администратора этого домена.
Команда должна отработать без ошибок. Самая распространенная ошибка возника- ет в случае, если время системы Linux отличается от времени контроллера домена.
В этом случае синхронизируйте время и повторите команду.
Проверить полученный билет можно, выполнив команду: klist
Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).
Подключение к домену
Для включения компьютера с Linux в домен Windows по протоколу Kerberos необ- ходимо выполнить следующую команду (подключение происходит к домену, ука- занному в параметрах по умолчанию — конфигурации клиента Kerberos): net ads join -U administrator%password
Обратите внимание, что используется ключ ads
, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя
22
Глава 2
administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выпол- нении операции.
Проверка подключения
После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.
Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды: wbinfo –t
На экране должно появиться аналогичное приведенному далее:
[root@linux ]# wbinfo -t checking the trust secret via RPC calls succeeded
Командой wbinfo –u можно отобразить список пользователей, а применив ее с клю- чом
–g
— список групп.
Проверьте, что служба winbind успешно получает пароли с контроллера домена.
Для этого выполните команду: getent passwd
В списке паролей вы должны увидеть записи, относящиеся к домену (имена поль- зователей будут показаны в начале строки в виде: домен\пользователь
).
Сервер Linux в качестве контроллера домена
Сервер Linux может выступать в качестве контроллера домена Windows. Можно настроить сервер Kerberos, но обычно создают NTLM-домен с помощью демона
Samba. Для этого нужно внести всего несколько строк в конфигурационный файл и снова стартовать службу smbd.
Необходимые изменения документированы в самом файле конфигурации, коммен- тарии легко найти в Интернете, поэтому мы не будем специально останавливаться на этом.
В качестве контроллера домена сервер Linux хранит учетные записи пользователей.
При этом вы можете применять сценарии, исполняемые при входе пользователей в домен, однако вам недоступны групповые политики, активно используемые при управлении доменом Windows 200x. Групповые политики предполагается реализо- вать в версии Samba 4, которая в настоящее время проходит тестирование. Хотя пользователи, работавшие с этой версией, отмечают полную ее работоспособность в их конфигурации, в том числе и применение групповых политик.
Возможный выход в такой ситуации заключается в применении дополнительных пакетов для реализации необходимых функций. Например, для автоматизации
Выбор оборудования и программного обеспечения
23
установки и удаления программ Windows можно применить программу
WPKG
(http://wpkg.org).
Совместные документарные ресурсы
Сеть любой организации не обходится без общих папок с документами или прило- жениями. В сетях Windows общие папки и принтеры предоставляются по протоко- лу SMB (Server Message Block — блок серверных сообщений (протокол, разрабо- танный Microsoft, Intel и IBM)). Компьютеры с ОС Linux также могут подключать- ся к этим ресурсам и даже предоставлять свои ресурсы для клиентов Windows. Для этого используется специальная служба Samba.
Проект Samba входит в состав всех Linux-дистрибутивов. Недавно к разработке данного проекта официально подключилась корпорация Microsoft, что дополни- тельно свидетельствует о важности этого направления и качестве его разработки.
Сама операция предоставления ресурса в общий доступ в Windows сложности не вызывает. Достаточно выполнить соответствующую команду из свойств объекта, дать сетевое имя и назначить права доступа.
При работе в составе домена доступ предоставляется по доменным учетным запи- сям. В рабочей группе необходимо либо создавать одноименные учетные записи на всех компьютерах с одинаковыми паролями, либо разрешать доступ для всех. По- следнее не очень хорошо с точки зрения безопасности, но оптимально для группы из нескольких компьютеров.
Документы можно предоставлять и путем размещения их на порталах. Это более трудоемкая операция, зато легко организовать обсуждения материалов, версион- ность документа, предоставить пользователям возможность самостоятельно созда- вать ресурсы.
Существует расширение технологии общих папок — распределенная файловая
система. Она более подробно рассмотрена в главе 10.
Учетная запись для анонимного доступа
В случае предоставления ресурсов в общий доступ для всех, операционная система не контролирует права доступа и использует в этом случае специальную учетную запись.
В Windows это учетная запись
Гость
. Она по умолчанию заблокирована в системе, поэтому при желании использования анонимного доступа необходимо ее разблоки- ровать. Соответственно, и настройки файлов на диске должны позволять этой учет- ной записи чтение или запись информации.
Учетной записи
Гость в ОС Linux соответствует учетная запись nobody
. По умолча- нию анонимный доступ к ресурсам Linux также запрещен. Если вы хотите его раз- решить, то удостоверьтесь в существовании в системе учетной записи nobody и от- корректируйте конфигурацию Samba по следующему образцу:
24
Глава 2
[global] security = user map to guest = Bad Password
[share_definition] guest ok = yes
Другой способ состоит в использовании параметра security = share
. В этом случае доступ к ресурсу будет осуществляться только с параметрами гостевой учетной записи.
Портальные решения
Помимо размещения документов в общих папках возможен вариант общего досту- па к ним по веб-технологиям. Это создание порталов. Портал представляет собой веб-сервер, группирующий информацию нескольких источников. Обычно разме- щение информации на портале доступно самим пользователям. Пользователи могут создавать собственные странички (на основе шаблонов), добавлять в них органы управления, реализовывать функциональность контроля движения документов и т. п. На страницах можно хранить документы, согласовывать графики и поруче- ния, настраивать поиск по определенной тематике.
Существуют как бесплатные, так и коммерческие версии порталов. Среди сервер- ных продуктов Microsoft — это сервер SharePoint. Строго говоря, есть базовая функциональность портала, которая называется SharePoint Foundation. Этот ком- понент входит в состав новых версий серверов и может быть бесплатно загружен для предыдущих выпусков. На SharePoint Foundation также можно создать корпо- ративные веб-сайты. Сервер SharePoint добавляет к базисному функционалу неко- торые дополнительные элементы управления, возможность создания распределен- ного на несколько серверов портала и т. д. Поэтому начинать использование порта- ла вполне можно именно с базисного варианта.
Среди бесплатных продуктов наибольшей функциональностью отличается портал
Liferay. Для установки и базового администрирования этого портала не требуются навыки программирования. Liferay разработан на Java и работает на любой вычис- лительной платформе в среде Java Runtime Environment и сервере приложений.
1 2 3 4 5 6 7 8 9 ... 13