- •2. Версии iPv4 и iPv6
- •3. Пакеты и их инкапсуляция
- •4. Адресация пакетов
- •Глава 14. Сети tcp/ip 505
- •6. Cidr: протокол бесклассовой междоменной маршрутизации
- •7. Частные адреса и система nat
- •8. Маршрутизация
- •9. Таблицы маршрутизации
- •10. Arp: протокол преобразования адресов
- •11. Dhcp: протокол динамического конфигурирования узлов
- •12. Ррр: протокол двухточечного соединения
- •13. Команда ifconfig: конфигурирование сетевых интерфейсов
- •14. Демоны маршрутизации
- •Глава 15. Маршрутизация 571
- •15. Основные протоколы маршрутизации
- •Глава 15. Маршрутизация 567
- •16. Технология Ethernet: сетевая панацея
- •17. Беспроводной стандарт: локальная сеть для кочевников
- •18. Dsl и кабельные модемы: “последняя миля” 8
- •Глава 16. Сетевые аппаратные средства 593
- •20. Основные задачи системы dns
- •Глава 18. Сетевой протокол Network File System 737
- •22. Серверная часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 745
- •23. Клиентская часть протокола nfs
- •Глава 18. Сетевой протокол Network File System 753
- •24. Ldap: упрощенный протокол доступа к каталогам
- •25. Структура данных ldap
- •Глава 19. Совместное использование системных файлов 775
- •26. Nis: Сетевая информационная служба
- •27. Системы электронной почты
- •Глава 20. Электронная почта 789
- •28. Протоколы smtp, pop3.
- •30. Почтовые серверы
- •Часть II. Работа в сети
- •31. Cпам и вредоносные программы
- •Глава 20. Электронная почта 813 ip range
- •32. Фильтрация почты
- •33. Почтовый агент sendmail
- •34. Почтовый агент Postfix
- •Глава 20. Электронная почта 877
- •35. Поиск неисправностей в сетях
- •Глава 21. Управление сетями 911
- •36. Kоманда traceroute: трассировка ip-пакетов
- •Глава 21. Управление сетями 915
- •37. Команда netstat: получение информации о состоянии сети
- •Глава 21. Управление сетями 919
- •39. Snmp: простой протокол управления сетями
- •40. Протокол NetFlow: мониторинг соединений
- •Глава 21. Управление сетями 939
- •41. Ключевые аспекты безопасности
- •Глава 22. Безопасность 951
- •42. Пароли и учетные записи пользователей
- •43. Эффективное использование команды chroot
- •44. Команда nmap: сканирование сетевых портов
- •45. Bro: программная система для распознавания вторжения в сеть
- •Глава 22. Безопасность 967
- •46. Мандатное управление доступом
- •47. Ssh: безопасная оболочка
- •48. Брандмауэры
- •Глава 22. Безопасность 983
- •49. Функциональный стек lamp
- •50. Обнаружение ресурсов в сети веб
- •Глава 23. Веб-хостинг 1003
- •51. Принцип работы http
- •52. Конфигурирование сервера Apache
- •Глава 23. Веб-хостинг 1011
- •53. Виртуальные интерфейсы
- •54. Протокол Secure Sockets Layes
- •Глава 23. Веб-хостинг 1017
Глава 18. Сетевой протокол Network File System 753
Файловые системы, смонтированные с флагом hard (установка по умолчанию), мо гут вызывать зависание процессов при отключении сервера. Это особенно неприятно, когда такими процессами оказываются стандартные демоны. Вот почему не рекомен дуется обслуживать ключевые системные программы через NFS. В общем случае ис пользование флагов soft и intr позволяет сократить число проблем, связанных с NFS. Но эти же флаги могут вызывать нежелательные побочные эффекты (например, оста нов 20-часового процесса моделирования из-за временного сбоя в сети после 18 часов работы)6. Исправить некоторые недостатки монтирования позволяют средства автома тического монтирования, например демон autofs (описывается далее).
Размеры буферов чтения и записи применимы в отношении обоих протоколов — TCP и UDP, но оптимальные значения различны. В случае TCP буфер должен быть большим, поскольку данные передаются эффективнее. Хорошее значение — 32 Кбайт. В случае UDP, если сервер и клиент находятся в одной сети, оптимальный размер равен 8 Кбайт. Тем не менее по умолчанию принят размер 1 Кбайт, хотя даже на man-странице рекомендуется повысить это значение до 8 Кбайт.
Протестировать точку монтирования можно с помощью команды df, как если бы это была обычная локальная файловая система.
% df /nfs/ben
Filesystem 1k-blocks Used Available Use% Mounted on ltopard:/home/ben 17212156 1694128 14643692 11% /nfs/ben
Разделы NFS демонтируются командой umount. Если сетевая файловая система кем- то используется в момент демонтирования, будет выдано сообщение об ошибке.
umount: /nfs/ben: device is busy
Найдите с помощью команды lsof процессы, у которых есть открытые файлы в этой файловой системе, и уничтожьте эти процессы либо смените каталоги в случае интер претаторов команд. Если ничего не помогает или сервер отключен, воспользуйтесь ко мандой umount -f для принудительного демонтирования.
Стоит повторить сноску в табл. 18.9: по умолчанию команда mount системы Linux, распознав в командной строке синтаксическую конструкцию имя_ узла:каталог, выбирает тип файловой системы nfs, который является кор
ректным только в версиях 2 и 3. Для того чтобы задать четвертую версию про токола NFS, следует выполнить команду mount -t nfs4.
24. Ldap: упрощенный протокол доступа к каталогам
Организациям, где применяются системы UNIX и linux, необходим надежный способ распространения своих административных данных. Но проблема в действительности бо лее глобальна. Как быть с неадминистративными ресурсами, например каталогами элек тронной почты? Как контролировать информацию, предоставляемую внешнему миру? Решением, которое устроило бы всех, является унифицированная служба каталогов.
Служба каталогов — это просто база данных, но такая, в которой сделан ряд допол нительных предположений. Любой набор данных, характеристики которых подпадают под эти предположения, становится кандидатом на включение в базу данных. Основные предположения таковы:
• информационные объекты относительно невелики;
• база данных будет реплицироваться и кешироваться на множестве компьютеров;
• у информации есть атрибуты;
• данные извлекаются часто, но записываются редко;
• операции поиска выполняются очень часто.
Текущая стандартная система, предложенная организацией IETF для этих целей, на зывается LDAP (Lightweight Directory Access Protocol — упрощенный протокол доступа к каталогам). В спецификациях LDAP говорится не о самой базе данных, а лишь о том, как получить к ней доступ по сети. В то же время заданы схемы организации данных и осуществления поиска, поэтому подразумевается достаточно четкая модель данных.
Изначально LDAP задумывался как простой шлюзовой протокол, который позволял бы клиентам TCP/IP взаимодействовать с серверами каталогов Х.500, теперь уже уста ревшими. Со временем стало очевидно, что стандарт Х.500 изжил себя и в UNIX необ ходима стандартная служба каталогов. Все это привело к тому, что из LDAP получилась совершенно самостоятельная, полноценная система управления каталогами (возможно, буква “L” в названии стоит незаслуженно)4.
Как бы там ни было, но протокол LDAP получил широкое распространение, чему отчасти способствовало принятие его фирмой Microsoft в качестве основы для службы Active Directory. В среде UNIX и Linux стандартной реализацией стал пакет OpenLDAP
4 Вследствие сложной истории LDAP во многих книгах можно встретить подробные рассказы о Х.500 и OSI. Однако эта история не имеет никакого отношения к современному использованию LDAP. Просто забудьте о ней.
774 Часть II. Работа в сети
(openldap.org). Служба каталогов уровня предприятия 389 Directory Server (ранее из вестная как Fedora Directory Server и Netscape Directory Server) также является проектом с открытым исходным кодом, к которому можно получить доступ на сайте port389.org. Эта служба работает в системах Linux, Solaris и HP-UX.