Самоучитель
системного администратора

2.1. Состав программного обеспечения типовой организации

Любая информационная система включает в себя инфраструктурные службы — службы и программы, необходимые для поддержания работы системы и выполнения типовых функций, а также собственно "полезное" программное обеспечение — приложения, выполняющие расчеты в целях обеспечения производства данной организации.

Если прикладное программное обеспечение весьма разнообразно и общие рекомендации дать достаточно сложно, то инфраструктурные решения во многом схожи.

В любой информационной системе представлены следующие классы программ и приложений:

  • операционные системы;
  • подсистемы разрешения имен;
  • подсистемы авторизации, аутентификации и контроля доступа;
  • службы файловых сервисов;
  • средства доступа к глобальной сети (Интернету) и просмотра внешних ресурсов;
  • программное обеспечение защиты хоста (антивирусное ПО и ПО межсетевых экранов, контроля приложений и т. п.);
  • подсистема резервного копирования;
  • программное обеспечение офиса (текстовый редактор, редактор электронных таблиц и т. д.);
  • подсистема обмена сообщениями электронной почты.

Можно перечислить еще много типовых служб, которые свойственны информационным системам, но указанный выше список можно найти на любом предприятии.

Операционные системы были упомянуты в главе 1, далее попытаемся дать оценки оставшихся компонент.

Службы разрешения имен

Используемые на практике службы разрешения имен, операции по настройке и использованию подробно рассмотрены в главе 3.

Система авторизации, аутентификации и контроля доступа

При увеличении числа совместно работающих систем для снижения затрат на их администрирование используют централизованное управление. В этом случае параметры учетной записи пользователей хранят на серверах, на серверах осуществляется проверка правильности введенных данных и принимается решение на доступ к ресурсам.

В сетях Windows в качестве централизованного хранилища используется служба каталогов — Active Directory. Для Linux-систем обычно применяется проект OpenLDAP. Поскольку оба этих каталога используют открытые стандарты, то возможны решения, когда Linux-клиенты проходят проверку на серверах домена Windows, а Windows-системы — в домене, контроллерами которого являются серверы Linux.

Подключение Linux к домену (Kerberos)

Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM'-аутентификации (традиционный вариант, совместим с доменами Windows NT), либо на основе Kerberos (поддерживается в доменах Windows 200х). Поскольку система безопасности Windows в нормальном режиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.

В следующем примере мы опишем последовательность операций для ОС Red Hat Linux, в других клонах ОС Linux действия могут незначительно отличаться.

    Примечание

    Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безопасности системы High или Medium, то аутентификация в домене Windows будет не возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main | System Settings или в режиме терминала командой redhat-config-securitylevel).

Протокол Kerberos будет работать только в том случае, если рассогласование времени между компьютером пользователя и контроллером домена составляет меньше 5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.

Для подключения к домену нужно выполнить три шага:

  1. Отредактировать конфигурацию клиента Kerberos и nsswitch;
  2. Получить билет Kerberos для учетной записи администратора;
  3. Выполнить команду подключения к домену.

Настройка конфигурации клиента Kerberos

Настройки Kerberos можно выполнить с помощью имеющихся в системе графических утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути: /etc/krb5.conf.

Рис. 2.4.
Настройка параметров Kerberos в графическом режиме в Red Hat

В этом файле достаточно отредактировать только параметры доменной области (realm) и центра выдачи ключей (KDC)1 (Key Distribution Center — центр распределения ключей — служба Kerberos):

Назначения параметров видны по их названиям. Можно использовать также пример, содержащийся в исходном файле krb5.conf.

    Примечание

    Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена только в верхнем регистре, именно так, как это сделано в данном примере.

Настройка nsswitch.conf

В файле /etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничиваются только локальными параметрами (в строках упомянуто только files). Поэтому проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как files, так и winbind. Например, так:

Получение билета Kerberos для учетной записи администратора

После того как вы отредактируете конфигурацию, необходимо получить билет Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду:

Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака " @" указана учетная запись администратора этого домена.

Команда должна отработать без ошибок. Самая распространенная ошибка возникает в случае, если время системы Linux отличается от времени контроллера домена. В этом случае синхронизируйте время и повторите команду.

Проверить полученный билет можно, выполнив команду:

klist

Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).

Подключение к домену

Для включения компьютера с Linux в домен Windows по протоколу Kerberos необходимо выполнить следующую команду (подключение происходит к домену, указанному в параметрах по умолчанию — конфигурации клиента Kerberos):

Обратите внимание, что используется ключ ads, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выполнении операции.

Проверка подключения

После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.

Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды:

wbinfo -t

На экране должно появиться аналогичное приведенному далее:

Командой wbinfo -u можно отобразить список пользователей, а применив ее с ключом -g — список групп.

Проверьте, что служба winbind успешно получает пароли с контроллера домена. Для этого выполните команду:

getent passwd

В списке паролей вы должны увидеть записи, относящиеся к домену (имена пользователей будут показаны в начале строки в виде: домен\пользователь).

Сервер Linux в качестве контроллера домена

Сервер Linux может выступать в качестве контроллера домена Windows. Можно настроить сервер Kerberos, но обычно создают NTLM-домен с помощью демона Samba. Для этого нужно внести всего несколько строк в конфигурационный файл и снова стартовать службу smbd.

Необходимые изменения документированы в самом файле конфигурации, комментарии легко найти в Интернете, поэтому мы не будем специально останавливаться на этом.

В качестве контроллера домена сервер Linux хранит учетные записи пользователей. При этом вы можете применять сценарии, исполняемые при входе пользователей в домен, однако вам недоступны групповые политики, активно используемые при управлении доменом Windows 200х. Групповые политики предполагается реализовать в версии Samba 4, которая в настоящее время проходит тестирование. Хотя пользователи, работавшие с этой версией, отмечают полную ее работоспособность в их конфигурации, в том числе и применение групповых политик.

Возможный выход в такой ситуации заключается в применении дополнительных пакетов для реализации необходимых функций. Например, для автоматизации установки и удаления программ Windows можно применить программу WPKG (http://wpkg.org).

Совместные документарные ресурсы

Сеть любой организации не обходится без общих папок с документами или приложениями. В сетях Windows общие папки и принтеры предоставляются по протоколу SMB (Server Message Block — блок серверных сообщений (протокол, разработанный Microsoft, Intel и IBM)). Компьютеры с ОС Linux также могут подключаться к этим ресурсам и даже предоставлять свои ресурсы для клиентов Windows. Для этого используется специальная служба Samba.

Проект Samba входит в состав всех Linux-дистрибутивов. Недавно к разработке данного проекта официально подключилась корпорация Microsoft, что дополнительно свидетельствует о важности этого направления и качестве его разработки.

Сама операция предоставления ресурса в общий доступ в Windows сложности не вызывает. Достаточно выполнить соответствующую команду из свойств объекта, дать сетевое имя и назначить права доступа.

При работе в составе домена доступ предоставляется по доменным учетным записям. В рабочей группе необходимо либо создавать одноименные учетные записи на всех компьютерах с одинаковыми паролями, либо разрешать доступ для всех. Последнее не очень хорошо с точки зрения безопасности, но оптимально для группы из нескольких компьютеров.

Документы можно предоставлять и путем размещения их на порталах. Это более трудоемкая операция, зато легко организовать обсуждения материалов, версион-ность документа, предоставить пользователям возможность самостоятельно создавать ресурсы.

Существует расширение технологии общих папок — распределенная файловая система. Она более подробно рассмотрена в главе 10.

Учетная запись для анонимного доступа

В случае предоставления ресурсов в общий доступ для всех, операционная система не контролирует права доступа и использует в этом случае специальную учетную запись.

В Windows это учетная запись Гость. Она по умолчанию заблокирована в системе, поэтому при желании использования анонимного доступа необходимо ее разблокировать. Соответственно, и настройки файлов на диске должны позволять этой учетной записи чтение или запись информации.

Учетной записи Гость в ОС Linux соответствует учетная запись nobody. По умолчанию анонимный доступ к ресурсам Linux также запрещен. Если вы хотите его разрешить, то удостоверьтесь в существовании в системе учетной записи nobody и откорректируйте конфигурацию Samba по следующему образцу:

Другой способ состоит в использовании параметра security = share. В этом случае доступ к ресурсу будет осуществляться только с параметрами гостевой учетной записи.

Портальные решения

Помимо размещения документов в общих папках возможен вариант общего доступа к ним по веб-технологиям. Это создание порталов. Портал представляет собой веб-сервер, группирующий информацию нескольких источников. Обычно размещение информации на портале доступно самим пользователям. Пользователи могут создавать собственные странички (на основе шаблонов), добавлять в них органы управления, реализовывать функциональность контроля движения документов и т. п. На страницах можно хранить документы, согласовывать графики и поручения, настраивать поиск по определенной тематике.

Существуют как бесплатные, так и коммерческие версии порталов. Среди серверных продуктов Microsoft — это сервер SharePoint. Строго говоря, есть базовая функциональность портала, которая называется SharePoint Foundation. Этот компонент входит в состав новых версий серверов и может быть бесплатно загружен для предыдущих выпусков. На SharePoint Foundation также можно создать корпоративные веб-сайты. Сервер SharePoint добавляет к базисному функционалу некоторые дополнительные элементы управления, возможность создания распределенного на несколько серверов портала и т. д. Поэтому начинать использование портала вполне можно именно с базисного варианта.

Среди бесплатных продуктов наибольшей функциональностью отличается портал Liferay. Для установки и базового администрирования этого портала не требуются навыки программирования. Liferay разработан на Java и работает на любой вычислительной платформе в среде Java Runtime Environment и сервере приложений.

Поиск по сетевым ресурсам

При большом количестве документов на общем ресурсе работать с ними становится крайне сложно. Даже если и принята система наименований документов, то все равно поиск нужного файла часто занимает много времени.

Существует вариант бесплатного поискового сервера от Microsoft — SearchServer Express, который позволяет индексировать документы в общих папках. В результате документ можно легко найти по ключевым словам. Сервер индексирует документы офиса, PDF и текстовые файлы.

Сервер базируется на технологии SharePoint, результаты поиска выводятся на вебстраничку.

Работа с Windows-ресурсами в Linux

Для работы в составе домена Windows (использование единой базы учетных записей пользователей, подключение/предоставление общих ресурсов и т. п.) предусмотрен пакет Samba. Этот пакет входит во все дистрибутивы Linux, и обычно нет необходимости загружать инсталляционные файлы с сайта www.samba.org.

Установка

Пакет Samba должен быть установлен по правилам используемой версии Linux. Для тех, кто привык работать в графической среде (при ее установке), есть средства настройки параметров основных сетевых служб (рис. 2.5), в которых можно включить эту службу.

Рис. 2.5.
Настройка автоматического запуска Samba графическими средствами

Проверить, работает ли демон Samba, можно, перечислив все активные процессы и отфильтровав вывод команды по названию службы:

ps -A | grep smb

Настройки Samba

Настройки Samba содержатся в файле конфигурации, который расположен по следующему пути: /usr/samba/lib/smb.conf.

Файл состоит из нескольких разделов: [globals] — глобальные настройки, [homes] — домашние папки пользователей, [printers] — настройки печати и пользовательских разделов, в которых определяются сетевые папки. Имена разделов заключаются в квадратные скобки, параметры определяются в виде key = value. Файл конфигурации снабжен комментариями, так что для вас не составит особого труда разобраться с правилами его редактирования. Вы можете просто снять комментарии с тех строк, которые описывают наиболее подходящую конфигурацию сервера, и настроить по образцу совместный доступ к ресурсам.

    Примечание

    Отсутствие ошибок в файле можно проверить с помощью команды testparm. Если она сообщит об ошибке, следует перепроверить внесенные настройки.

Предоставление ресурсов в общий доступ

Операцию можно осуществить как с использованием графического интерфейса (рис. 2.6), так и путем правки конфигурации программы.

Рис. 2.6.
Графический интерфейс управления службой Samba

Приведенный ниже краткий пример иллюстрирует основные параметры предоставления ресурса в общий доступ:

Необходимые дополнительные параметры (настройку протоколирования доступа, корзины, варианты предоставления ресурса с произвольной маской доступа и т. п.) легко уточнить по справочной документации.

Обратите внимание, что в секции [global] файла конфигурации можно установить, для каких диапазонов адресов будут предоставляться в совместное использование ресурсы, максимальное число одновременно открытых файлов и т. п.

При предоставлении ресурсов в доступ пользователям домена следует учитывать, что пользователь, подключающийся к ресурсу, будет иметь на компьютере личную папку.

Подключение к общим ресурсам

Подключение к общим ресурсам ОС Windows, предоставленных ОС Linux, осуществляется обычным способом (либо из меню командой подключения к общей папке, либо из командной строки с помощью net use).

Для подключения ресурсов Windows на *nix-компьютере используется команда smbmount. Нужно указать, какой ресурс и в какую точку монтируется, ввести параметры учетной записи. Например, так:

Подключение сохранится до перезагрузки системы.

Команда smbmount фактически является сокращением команды smbclient:

Указывая соответствующие ключи, можно выполнить различные операции, например, копирование данных, удаление файла на Windows-системе, создание архива и т. д.

    Примечание

    Команда smbclient позволяет отобразить список всех ресурсов, предоставленных в совместное использование с компьютера: smbclient -L hostname

Обозреватели Интернета

В сетях, имеющих доступ в Интернет, скорость и качество работы обозревателей имеют важное значение.

В составе Windows поставляются обозреватели Internet Explorer. Поскольку обозреватели Интернета являются одной из самых часто обновляемых программ, то системному администратору следует позаботиться об установке на клиентские системы самой последней версии. Это обеспечит правильное отображение страниц и безопасность работы.

Существует много бесплатных обозревателей. Это Mozilla Firefox, Google Chrome, Opera и др. Выбор любого продукта во многом определяется личными пристрастиями, хотя автор предпочитает серфинг Интернета при помощи Firefox.

Во-первых, он легко дополняется бесплатными модулями. Например, на моем компьютере установлены блокировщик рекламы, переводчик, переключатель в режим Internet Explorer, локальная записная книжка (для сохранения участков страниц Интернета) и др.

Во-вторых, Firefox у меня установлен на нескольких компьютерах, и параметры работы в Интернете, закладки, пароли доступа синхронизированы между домашней, рабочей и мобильной системой.

Ну и в-третьих, он просто нравится.


Рейтинг@Mail.ru