Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

282 Глава 9. Локальные службы сети

метров допустимо указание диапазонов идентификаторов UID и GID.

Пара-

метры позволяют указывать отдельные идентификаторы UID или GID, но

часто бывает удобно охватить диапазон значений одной командой. В этом

примере мы блокируем доступ к каталогу пользователей, идентификаторы

UID и GID которых меньше либо равны 50. Столь низкие значения обычно

присваиваются служебным учетным записям. К примеру, на нашей системе

Linux UID 10 назначен записи ииср. Попытка записать файл от пользовате-

ля ииср приведет к записи файла от имени пользователя nobody. Таким обра-

зом, пользователь ииср сможет выполнить запись в каталог /usr/local/pub,

только если в этот каталог разрешена запись всем пользователям.

Кроме того, существует возможность связать всех пользователей клиент-

ской системы с конкретным идентификатором пользователя или группы.

Задача решается при помощи параметров anonuid и

anongid.

Они наиболее по-

лезны, если доступ к клиентской системе имеет только один пользователь и

этому пользователю не назначаются идентификаторы. Например, такова си-

туация с персональным компьютером под управлением Microsoft Windows,

на котором работает NFS. У персонального компьютера обычно только один

пользователь, и к нему неприменимы понятия идентификаторов UID и GID.

Чтобы связать пользователя персонального компьютера с корректными

идентификаторами пользователя и группы, создайте подобную строку в

файле /etc/exports:

Из восьми параметров, описанных в этом разделе, три позволяют выполнять отоб-

ражение диапазонов идентификаторов UID и GID, а именно squash_uid, squash_gid

и map_static. Эти три параметра недоступны в NFS уровня ядра (kernel-level NFS,

knfsd), применяемой в некоторых Linux-системах. Отображение в knfsd должно

выполняться при помощи других параметров.

В данном примере имя узла компьютера Аланы - giant. Запись разрешает

клиенту доступ к каталогу /home/alana в режиме чтения/записи. Параметр

all_squash преобразует все запросы от клиента, подставляя конкретный

идентификатор UID, однако на этот раз вместо идентификаторов пользова-

теля nobody подставляются идентификаторы, указанные в параметрах anon-

uid и anongid. Разумеется, чтобы прием сработал, сочетанию 1001:1001

должна соответствовать пара идентификаторов UID/GID, назначенная поль-

зователю alana в файле /etc/passwd.

Единичного отображения достаточно для персонального компьютера, одна-

ко его явно не хватит для полноценной работы с Unix-клиентом. Клиенты

Unix назначают своим пользователям идентификаторы UID и GID. Если тем

же пользователям на сервере NFS назначены другие идентификаторы, начи-

наются сложности. Воспользуйтесь параметром map_static, чтобы указать

файл, в котором хранятся отображения идентификаторов UID и GID для

конкретного клиента. Пример:

Сетевая файловая система (NFS) 283

Первые две строки преобразуют идентификаторы UID и GID от 0 до 50 в

идентификаторы пользователя nobody. Следующие две строки преобразуют

все идентификаторы клиентов из диапазона от 100 до 200 в соответствую-

щие числа из диапазона от 1000 до 1100 на сервере. Иначе говоря, пользова-

тель с идентификатором 105 на клиенте получает идентификатор 1005 на

сервере. Записи такого рода встречаются чаще всего. В большинстве систем

присвоение существующих идентификаторов UID и GID происходило после-

довательно. Зачастую различные системы назначают пользователям иден-

тификаторы, начиная с 101 последовательно, но не согласованно. Данная за-

пись выполняет отображение для пользователей узла oscon, назначая им

идентификаторы начиная с 1000. В другом файле может выполняться отоб-

ражение идентификаторов с 100 по 200 уже для другого клиента - в иденти-

фикаторы сервера, начинающиеся с 2000. В третьем файле идентификаторы

третьего клиента могут получить уже порог 3000. Таким образом, существу-

ет возможность согласовывать на сервере идентификаторы в случаях, когда

никакой согласованности не существует. Последние две строки выполняют

отображение идентификаторов UID и GID отдельного пользователя. Такие

записи требуются реже, но все же встречаются время от времени.

Команда exportfs

Создав необходимые записи для каталогов в файле /etc/exports, выполните

команду exportfs, чтобы обработать файл экспорта и создать файл /var/lib/

nfs/xtab. Файл xtab содержит информацию об экспортированных каталогах -

именно из этого файла извлекает сведения

mountd,

обрабатывая запросы кли-

ентов на монтирование. Чтобы обработать все записи файла /etc/exports, вы-

полните exportfs с ключом командной строки

-а:

# exportfs -а

Данная команда экспортирует все каталоги, упомянутые в файле exports, и

обычно выполняется в процессе загрузки из загрузочного сценария. Чтобы

привести В исполнение изменения, внесенные в файл /etc/exports, не переза-

гружая систему, воспользуйтесь ключом - г:

# exportfs -г

Данная запись экспортирует каталог /export/oscon для клиента oscon в ре-

жиме чтения/записи. Параметр map_static указывает, что в файле /etc/nfs/

oscon.map на сервере хранятся отображения идентификаторов, позволяю-

щие пользователям узла oscon корректно работать с сервером. Файл os-

con.map может содержать записи следующего характера:

284 Глава 9. Локальные службы сети

Как только сервер организовал совместный доступ или экспортировал ката-

логи, клиенты могут начинать монтировать и использовать файловые систе-

мы. В следующем разделе описана настройка клиента NFS.

Монтирование удаленных файловых систем

Принятие решения о том, какие каталоги NFS монтировать, требует наличия

некоторых начальных сведений. Необходимо знать, какие серверы NFS су-

ществуют в вашей сети и какие каталоги они предоставляют для монтирова-

ния. Каталог не может быть смонтирован, если он не экспортирован сервером.

Верным источником таких сведений станет ваш системный администратор.

Администратор может сообщить, какие системы предоставляют доступ к

службе NFS, какие каталоги экспортируют и что содержат эти каталоги. Ад-

министратору сервера NFS следует предварительно создать сводку такой ин-

формации для пользователей. В главе 4 приводятся советы по планирова-

нию и распространению информации о сети.

Системы Solaris и Linux позволяют получить сведения о каталогах еще и на-

прямую от сервера - при помощи команды showmount. Как правило, серверы

NFS работают на тех же выделенных системах, которые предоставляют до-

ступ к другим службам, таким как DNS и электронная почта. Выберите сер-

вер, который подходит под данное описание, и выполните для него запрос

showmount

-е имя_узла.

В ответ на эту команду сервер перечисляет экспортиро-

ванные каталоги и условия доступа к ним.

Например, запрос showmount

-е,

адресованный узлу jerboas, дает следующий

результат:

Сочетание ключей -и и -а позволяет отменить экспорт всех каталогов, не за-

вершая работу демона NFS:

Когда клиент завершил работу с временно экспортированной файловой сис-

темой, каталог удаляется из списка доступных при помощи ключа -и, как

показано ниже:

Ключ -г синхронизирует содержимое файлов exports и xtab. Новые элемен-

ты файла exports добавляются в файл xtab, а удаленные элементы удаляют-

ся из файла xtab.

Команда exportfs позволяет экспортировать каталог, не упомянутый в фай-

ле /etc/exports. Например, чтобы временно экспортировать каталог /usr/lo-

cal для клиента fox в режиме чтения/записи, выполните такую команду:

285

Имя узла определяет сервер NFS, удаленный каталог - каталог на сервере либо

его фрагмент. Команда mount закрепляет удаленный каталог в файловой сис-

теме клиента, используя имя локальный каталог. Локальный каталог клиен-

та, известный в качестве точки монтирования, должен существовать на мо-

мент выполнения команды mount. После завершения монтирования файлы,

расположенные в удаленном каталоге, становятся доступными в локальном

каталоге наравне с прочими локальными файлами.

Данный список отражает каталоги NFS, экспортированные узлом jerboas, а

также перечисляет клиентов, которым разрешен доступ к каждому кон-

кретному каталогу. Исходя из этих сведений администратор узла rodent мо-

жет смонтировать любой из каталогов, экспортированных сервером jerboas.

Наш воображаемый администратор решил:

1. Смонтировать каталог /usr/man с jerboas и избавиться от необходимости

локального хранения страниц руководства.

2. Смонтировать /home/research, чтобы облегчить задачу обмена файлами

с другими системами исследовательской группы.

3. Смонтировать каталог /usr/local, чтобы пользоваться приложениями

с централизованным сопровождением.

Такой выбор диктуется наиболее распространенными соображениями по

монтированию каталогов NFS:

• Экономия дискового пространства

• Общий доступ к файлам для различных систем

• Централизованное сопровождение общих файлов

Масштабы использования NFS - дело вкуса. Одним нравится персональный

контроль при локальном хранении файлов, а другим - удобства, предлагае-

мые NFS. Для вашей сетевой площадки могут существовать специальные

правила использования NFS, регламентирующие монтирование определен-

ных каталогов и централизованное управление определенными файлами.

Точные сведения о том, как используется NFS, всегда можно получить от

системного администратора вашей сетевой площадки.

Команда mount

Чтобы получить возможность использовать каталог NFS, клиент должен его

смонтировать. «Монтирование» каталога означает его закрепление в иерар-

хии файловой системы клиента. Монтироваться могут только каталоги, экс-

портируемые серверами NFS, однако из этих каталогов можно отдельно мон-

тировать любые самостоятельные элементы, такие как подкаталоги и файлы.

Монтирование каталогов NFS выполняется посредством команды mount. Об-

щий вид команды:

Сетевая файловая система (NFS)

286 Глава 9. Локальные службы сети

При перезагрузке размонтируются все каталоги NFS. Часто существует не-

обходимость работать с одними и теми же файловыми системами даже после

перезагрузки, поэтому в Unix существует система автоматического повтор-

ного монтирования после перезагрузки.

Файлы vfstab и fstab

Для повторного монтирования файловых систем всех типов, включая NFS,

в Unix используется информация из специальной таблицы. Следует очень

осторожно вносить изменения в эту таблицу, поскольку от нее во многом за-

висит доступ пользователей к программам и файлам. В различных вариан-

тах Unix используется один из двух форматов. В системах Linux и BSD при-

Например, предположим, что jerboas.wrotethebook.com является сервером

NFS и позволяет клиентам работать с каталогами, упомянутыми в пред-

шествующих разделах. Далее, предположим, что администратор узла rodent

желает получить доступ к каталогу /home/research. Он просто создает ло-

кальный каталог /home/research и монтирует удаленный каталог /home/re-

search, экспортированный сервером jerboas, в этой новой точке:

либо

После монтирования удаленный каталог остается закрепленным в локаль-

ной файловой системе, пока не будет явным образом размонтирован либо

пока не произойдет перезагрузка локальной системы. Чтобы размонтиро-

вать каталог, воспользуйтесь командой umount. В командной строке umount

укажите локальное или удаленное имя каталога. Например, администратор

узла rodent может размонтировать удаленную файловую систему jerboas:

/home/research и освободить таким образом локальную точку монтирования

/home/research командой

В системе Linux задачу решает ключ -t:

В данном примере локальная система способна смонтировать файловую сис-

тему NFS потому, что имени удаленного каталога предшествует имя узла,

а для данного клиента сетевой файловой системой по умолчанию является

NFS. NFS - это наиболее распространенная сетевая файловая система, ис-

пользуемая по умолчанию. Если ваша система-клиент по умолчанию рабо-

тает с другой сетевой файловой системой, следует явно упомянуть NFS в ко-

мандной строке

mount.

В системе Solaris 8 для этой цели служит ключ -F:

Сетевая файловая система (NFS)

287

меняется файл /etc/fstab, а в Solaris, точнее в нашей подопытной системе

типа System V, - файл /etc/vfstab.

Формат записей NFS в файле Solaris vfstab следующий:

файловая система - точка монтирования nfs - yes параметры

Поля записей расположены в строго определенном порядке и разделяются

пробелами. Поля, не выделенные курсивом (оба дефиса, слова nfs и yes), яв-

ляются ключевыми словами и должны фигурировать в записях точно в та-

ком виде, файловая система - это имя каталога на сервере, точка монтирования -

путь к локальной точке монтирования, а о параметрах монтирования мы пого-

ворим ниже. Пример записи NFS файла vfstab:

jerboas:/home/research - /home/research nfs - yes rw.soft

Данная запись монтирует файловую систему NFS jerboas:/home/research в

локальной точке монтирования /home/research. Файловая система монтиру-

ется с параметрами rw и

soft.

Мы уже обсуждали распространенные парамет-

ры режимов rw (read/write, чтение/запись) и го (read-only, только для чте-

ния), однако параметров NFS существует гораздо больше. В системах Solaris

доступны следующие параметры монтирования NFS:

remount

Если файловая система уже смонтирована в режиме только для чтения,

перемонтировать ее в режиме чтения/записи.

soft

Если сервер не отвечает, сообщить об ошибке и не повторять попытку

монтирования.

timeo=n

Определяет длительность интервала ожидания, по истечении которого

выдается сообщение об ошибке (в секундах).

hard

Если сервер не отвечает, повторять попытки монтирования, пока не будет

получен ответ. Режим по умолчанию.

Повторять попытки в фоновом режиме, чтобы не блокировать процесс за-

грузки системы.

Повторять попытки в приоритетном режиме. Данный параметр может за-

блокировать процесс загрузки системы повторениями попыток монтиро-

вания. По этой причине параметр fg используется преимущественно при

отладке.

intr

Разрешает принудительное завершение процесса, ожидающего ответа от

сервера, прерыванием с клавиатуры. Жестко смонтированные файловые

288

Глава 9. Локальные службы сети

системы могут приводить к «зависанию» процессов, поскольку клиент

бесконечно повторяет попытки монтирования, независимо от работоспо-

собности сервера. Параметр intr принимается по умолчанию.

nointr

Запрещает прерывания с клавиатуры. Как правило, это плохая идея.

nosuid

Запрещает запуск исполняемых файлов из смонтированных файловых

систем в режиме setuid. Повышает защищенность, но может ограничи-

вать полезность приложений.

acdirmax=n

Ограничивает продолжительность кэширования атрибутов каталогов

временем в п секунд. По умолчанию значения хранятся не более 60 се-

кунд. Частое повторение запросов по атрибутам файловой системы - одна

из основных причин роста трафика NFS. Кэширование этой информации

помогает сократить объем передаваемых данных.

acdirmin=n

Устанавливает минимальное время кэширования атрибутов каталога.

По умолчанию 30 секунд.

асгедшах=л

Устанавливает максимальное время кэширования атрибутов файлов.

По умолчанию 60 секунд.

acregmin=n

Устанавливает минимальное время кэширования атрибутов файлов.

По умолчанию 3 секунды.

actirneo=n

Устанавливает общее значение для параметров acdirmax, acdirmin, acregmax

и acregmin.

grpid

Предписывает использовать идентификатор группы родительского ката-

лога при создании файлов. В отсутствие данного параметра используется

действующий идентификатор группы вызывающего процесса.

поас

Запрещает кэшировать информацию. По умолчанию кэширование вклю-

чено и может включаться принудительно при помощи параметра ас.

port=n

Указывает номер IP-порта сервера.

posix

Предписывает работать с файловой системой по стандарту POSIX. POSIX -

это широкоплановый стандарт взаимодействия систем Unix, включаю-

щий многочисленные стандарты на файловые системы. В частности, опре-

деляет максимальную длину имен файлов и методы блокировки файлов.

Сетевая файловая система (NFS)

289

Позволяет указать транспортный протокол для NFS.

Предписывает использовать открытый дескриптор файла при подключе-

нии к серверу NFS.

Предписывает использовать ограничительные квоты пользователей для

данной файловой системы.

Запрещает использовать ограничительные квоты пользователей для дан-

ной файловой системы.

Определяет число повторных попыток передачи при использовании

транспортного протокола, не предусматривающего создание соединений.

Определяет число повторных попыток монтирования. По умолчанию по-

пытка повторяется 10000 раз.

Определяет размер буфера чтения в байтах. Для NFS версии 3 размер по

умолчанию равен 32 768 байтам.

Указывает тип защиты для транзакций NFS. Значения типа для команды

mount в Solaris 8 идентичны описанным для команды share: sys,

dh,

krb4 и

none.

Определяет размер буфера записи в байтах. Для NFS версии 3 размер по

умолчанию равен 32 768 байтам.

Указывает версию NFS для данной операции монтирования. По умолча-

нию система автоматически выбирает наиболее современную версию

NFS, реализованную как клиентом, так и сервером.

В Solaris файловые системы, определенные в файле vfstab, монтируются ко-

мандой mount all, выполняемой из загрузочного сценария. В системе Linux

загрузочный файл содержит команду mount с ключом

-а,

который предписы-

вает смонтировать все файловые системы, обозначенные в fstab.

Формат за-

писей NFS в файле /etc/fstab следующий:

В Red Hat Linux используется специальный сценарий, /etc/init.d/netfs, который

отвечает только за монтирование разнообразных сетевых файловых систем,

включая NFS.

290 Глава 9. Локальные службы сети

Порядок следования полей должен соответствовать указанному. Поля разде-

ляются пробелами. Ключевое слово nfs является обязательным для файловых

систем NFS. файловая система - это имя каталога, который необходимо смонти-

ровать. точка монтирования - путь к локальной точке монтирования. В качестве

параметров могут фигурировать любые параметры монтирования Linux.

Параметры монтирования в Linux в значительной степени повторяют пара-

метры монтирования NFS в Solaris. Параметры

rsize, wsize, timeo,

ret

rans,

ac-

regmin, acregmax, acdirmin, acdirmax, actimeo, retry, port, bg, fg, soft, hard, intr,

nointr,

ас,

noac, а также posix являются общими для Linux и Solaris. Кроме

того, в Linux существуют:

mountport=n

Указывает порт для использования mountd.

mounthost=name

Указывает, на каком сервере работает mountd.

mountprog=n

Указывает номер программы RPC для mountd на удаленном узле.

mountvers=n

Указывает номер версии RPC для mountd на удаленном узле.

nfsprog=n

Указывает номер программы RPC для nfsd на удаленном узле.

nfsvers=n

Указывает номер версии RPC для nfsd на удаленном узле.

namlen=п

Указывает, какая максимальная длина имен файлов поддерживается

удаленным сервером.

nocto

Запрещает получение атрибутов при создании файла. По умолчанию ат-

рибуты копируются. Принудительно такого поведения можно добиться

при помощи параметра cto.

tcp

Предписывает NFS использовать в качестве транспортного протокола TCP.

udp

Предписывает NFS использовать в качестве транспортного протокола

UDP.

nolock

Предотвращает запуск демона

lockd.

По умолчанию демон lockd запуска-

ется и может запускаться принудительно при помощи параметра lock.

Наконец, существует ряд параметров, действующих не только для NFS. Их

можно использовать с командой mount при монтировании файловых систем

Сетевая файловая система (NFS)

291

Всех типов. В табл. 9.1 перечислены распространенные параметры монтиро-

вания для систем Linux.

Таблица 9.1. Распространенные параметры монтирования

Команда grep для файла fstab позволяет просмотреть примеры записей NFS.

Мы использовали grep потому, что файл fstab содержит и другую информацию,

никак не связанную с NFS.