Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

322

Глава 9. Локальные службы сети

операторе group действует на все узлы в группе. Этот параметр предписывает

dhcpd присвоить каждому клиенту имя узла, указанное в операторе host кли-

ента, что делает ключ host-name ненужным в данном файле настройки.

Исходя из приведенного выше файла dhcpd.conf, мы знаем, что, когда dhcpd

получает запрос от клиента с адресом Ethernet 08:80:20:01:59:сЗ, клиенту

передается следующая информация:

• Адрес 172.16.12.2

• Имя узла rodent

• Адрес маршрутизатора по умолчанию 172.16.12.1

• Широковещательный адрес 172.16.12.255

• Маска подсети 255.255.255.0

• Имя домена wrotethebook.com

• Адреса серверов имен домена: 172.16.12.1 и 172.16.3.5

• Адрес сервера печати 172.16.12.1

• Значение MTU для интерфейса Ethernet

Клиент получает все глобальные значения, все значения своей подсети, а

также все значения, определенные только для этого узла. Очевидно, DHCP

позволяет обеспечить клиент полноценными настройками.

Ваши настройки DHCP вероятно проще, чем в приведенном примере, хотя

реализуют поддержку большего числа систем. Некоторые из команд вклю-

чены в пример только ради наглядности. Основное различие заключается в

том, что на большинстве площадок единственный сервер настройки не об-

служивает более одной подсети. В каждой подсети существует свой сервер:

это сокращает нагрузку на сервер, в особенности нагрузку, вызванную непо-

ладками с электропитанием, затронувшими сеть в целом; снимает необходи-

мость передавать загрузочные пакеты через маршрутизаторы. Кроме того,

распределение адресов на уровне подсети делает более логичным и размеще-

ние сервера на том же уровне. В следующем разделе мы рассмотрим вопрос

обновлений для распределенных серверов.

Управление распределенными серверами

В крупной сети существует достаточно много серверов. Как говорилось выше,

серверы часто распределены по сети - и в каждой подсети существует сервер.

Такая архитектура повышает эффективность работы сети, но противоречит

общей цели централизации управления настройкой. Чем больше в сети сер-

веров, тем более рассредоточено управление и тем более вероятно возникно-

вение ошибок в настройках. Работа с распределенными серверами требует

механизма централизованного управления и распространения информации

среди серверов. В TCP/IP таких механизмов существует несколько.

Для переноса настроек с центральной системы на группу распределенных

систем может использоваться любой протокол передачи файлов. Подойдет

Управление распределенными серверами

323

FTP или TFTP, однако подобное использование протоколов связано с неко-

торыми сложностями. FTP и TFTP - протоколы диалоговые, они требуют

выполнения многих команд для получения файла, что затрудняет написа-

ние соответствующих сценариев. Кроме того, FTP требует парольной иден-

тификации для получения доступа к файлам, а большинство специалистов

но безопасности реагируют на хранение паролей в сценариях недовольными

гримасами. По этим причинам мы не будем рассматривать эти протоколы в

качестве средства распространения файлов настройки. Кроме того, если вы

знакомы с FTP (а вы должны быть знакомы с этим протоколом!), то знаете,

как использовать его для передачи файла настройки.

Второй вариант - использовать для распространения информации NFS.

NFS позволяет клиентам использовать файлы с сервера так, словно это ло-

кальные файлы. NFS - очень мощный инструмент, однако в качестве сред-

ства распространения информации, необходимой для загрузки серверов, он

имеет определенные ограничения. Неполадки с электропитанием, влияю-

щие на распределенные серверы, могут стать причиной сбоя и центрального

сервера. Загрузка распределенных серверов и их клиентов будет отложена

до того времени, пока центральный сервер не начнет нормальную работу в

сети. Организация доступа к единственной копии файла настройки противо-

речит усилиям, направленным на распределение служб загрузки, поскольку

возникает слишком большая зависимость от центрального сервера.

Одним из способов избежать проблемы является периодическое копирова-

ние распределенными серверами файла настройки из смонтированной фай-

ловой системы на локальный диск. Это решение легко автоматизировать, но

оно создает возможную ситуацию, когда распределенные серверы в опреде-

ленные моменты времени будут отставать в синхронизации - копируя файл

настройки по расписанию, а не тогда, когда изменилась основная копия

файла. Есть, разумеется, и иной подход: все удаленные серверы экспортиру-

ют файловые системы, монтируемые центральным сервером. Тогда цент-

ральный сервер может копировать файл настройки непосредственно в уда-

ленные файловые системы, когда изменяется основная копия файла. Тем не

менее существуют и более простые пути.

r-команды Unix rep и relist реализуют наиболее популярные методы распро-

странения файлов настройки.

гер

Программа удаленного копирования (remote сору, гер) - это обычный прото-

кол передачи файлов. Применительно к поставленной задаче она имеет два

преимущества перед FTP: легко позволяет автоматизировать процессы и не

требует использования паролей. Автоматизация с гер проста потому, что для

передачи файла требуется одна-единственная строка. В следующем примере

выполняется передача файла dhcpd.conf с головного сервера на удаленный

сервер arthropod.wrotethebook.com:

# rep /etc/dhcpd.conf arthropod.wrotethebook.com:/etc/dhcpd.conf

324

Глава 9. Локальные службы сети

Для каждого удаленного сервера, которому необходимо передать файл, добавь-

те подобную строку в процедуру обновления основной копии файла настройки.

гср - лишь один из вариантов решения задачи о распространении основной

копии файла настройки. Программа

relist,

будучи не столь простой в приме-

нении, часто оказывается более предпочтительным выбором, поскольку

имеет ряд возможностей, делающих ее особенно подходящей для решения

подобных задач.

rdist

Программа удаленного распространения файлов (Remote File Distribution

Program, rdist) задумывалась как средство сохранения идентичности фай-

лов, хранимых на нескольких узлах. Единственная команда rdist позволяет

передать несколько различных файлов на ряд узлов. В основе действий ко-

манды лежат инструкции, хранимые в файле настройки rdist - Distfile.

Назначение Distfile аналогично назначению файла Makefile, используемого

совместно с командой make, а синтаксис и структура этих файлов схожи.

Стоп, без паники! Все не настолько плохо. Начальная настройка для команды

rdist сложнее, чем простой синтаксис команды

гср,

однако rdist обеспечива-

ет лучшее управление и в долгосрочной перспективе проще в сопровождении.

Файл Distfile состоит из макроопределений и примитивов. Макроопределе-

нию может быть назначено одно значение или список значений. Список зна-

чений заключается в скобки, например macro =

( значение значение

). После то-

го как значение присвоено, можно обратиться к макроопределению, исполь-

зуя синтаксис

${macro},

где macro - имя макроопределения. Примитивы опи-

саны в табл. 9.4.

Таблица 9.4. Примитивы rdist

Примитив Назначение

install

Рекурсивно обновлять файлы и каталоги

notify address Передать почтовое сообщение, уведомляющее об ошибке или

состоянии, по указанному адресу (address)

except file

Исключает указанный файл из обновления

except_pat pattern

Исключает из обновления файлы, имена которых соот-

ветствуют шаблону (pattern)

special «command»

Исполняет указанную команду после обновления каждого

файла

Проще всего понять, как сочетаются макроопределения и примитивы в ра-

бочем файле Distfile, взглянув на пример. Следующий файл настройки

Более подробная информация содержится на страницах руководства (man) по rdist.

Управление распределенными серверами 325

распространяет текущую версию dhcpd и наиболее свежий файл настройки

dhcpd.conf, копируя их на удаленные серверы horseshoe, arthropod и limulus:

HOSTS = ( horseshoe root@limulus arthropod )

FILES = ( /usr/sbin/dhcpd /etc/dhcpd.conf )

${FILES} -> ${H0STS}

install ;

notify сraig@crab.wrotethebook.com

Рассмотрим каждую из строк файла:

HOSTS = ( horseshoe root@limulus arthropod )

Эта строка содержит HOSTS, макроопределение, включающее имя каждого

из удаленных серверов. Обратите внимание на запись, соответствующую

узлу limulus. В ней содержится указание rdist выполнять обновление limu-

lus в качестве пользователя root. На horseshoe и arthropod rdist выполняет-

ся с правами того пользователя, которому принадлежит на локальном узле.

FILES = ( /usr/sbin/dhcpd /etc/dhcpd.conf )

Макроопределение FILES перечисляет файлы, которые необходимо син-

хронизировать.

${FXLES} -> ${H0STS}

Последовательность символов -> имеет специальное значение для rdist.

Программа rdist должна скопировать файлы, перечисленные в левой час-

ти выражения, на узлы, перечисленные в правой части. В этом случае FI-

LES - макроопределение, содержащие имена файлов /usr/sbin/dhcpd и

/etc/dhcpd.conf, a HOSTS - макроопределение, содержащее имена узлов hor-

seshoe, limulus и arthropod. Таким образом, данная команда предписывает

rdist скопировать два файла на три различных узла. Действие всех после-

дующих примитивов распространяется на это отображение файлы-узлы.

install ;

Примитив install явным образом предписывает rdist скопировать ука-

занные файлы на указанные узлы, если на удаленном узле какой-либо из

файлов устарел. Файл считается устаревшим, если его дата создания или

размер не совпадают с соответствующими характеристиками основной

копии. Точка с запятой в конце строки показывает, что следом идет еще

один примитив.

notify craig@crab.wrotethebook.com

Сообщения о состоянии и ошибках должны передаваться по электронной

почте на адрес craig@crab.wrotethebook.com.

Дополнительные файлы и узлы могут легко добавляться в этот файл на-

стройки. В итоге большинство приходит к выводу, что rdist дает простей-

ший способ распространения нескольких файлов по многим узлам.

И последнее замечание: файл настройки не обязательно называть именем

Distfile. В командной строке rdist при помощи ключа -f может указываться

326

Глава 9. Локальные службы сети'

любое имя. Таким образом, приведенный выше файл можно сохранить под

именем dhcp.dist и использовать в такой команде:

% rdist -f dhcp.dist

Серверы почтовой службы

В данном разделе мы займемся настройкой системы в целях создания серее

ра почтовой службы. Сервер почтовой службы, или почтовый сервер, - это

компьютер, который хранит почту для компьютера-клиента - до тех пор,

пока клиент не будет готов получить ее и прочитать в специальной почтовой

программе. Такого рода служба очень важна для поддержки мобильных

пользователей и небольших систем, не находящихся в сети постоянно. По-

следние часто не способны получать почту в реальном времени. Мы рассмот-

рим два механизма создания почтового сервера: протокол POP (Post Office

Protocol), который изначально использовался для этих целей, и протокол

IMAP (Internet Message Access Protocol), представляющий собой популяр-

ную альтернативу. Начнем с протокола POP.

Сервер POP

Компьютер под управлением Unix превращается в сервер протокола почтовой

службы, если на нем работает демон POP. Обратитесь к документации по

своей системе, чтобы определить, входит ли демон POP в комплект поставки.

Если из документации это определить невозможно, обратитесь к файлу in-

etd.conf или xinetd.conf либо проведите простой эксперимент при помощи

telnet (см. описание в главе 4). Если сервер отзывается на команду

telnet,

зна-

чит, демон не только присутствует в системе, он установлен и готов к работе.

% telnet localhost 110

Trying 127.0.0.1 ...

Connected to localhost.

Escape character is ' ]'.

+0K P0P3 crab Server (Version 1.004) ready

quit

+0K P0P3 crab Server (Version 1.001) shutdown

Connection closed by foreign host.

Данный пример относится к системе, в поставку которой входит готовый к

работе демон РОРЗ. В Red Hat Linux существует поддержка РОРЗ, но для ра-

боты с ней необходимо включить ее в файле /etc/xinetd.d/рорЗ. В системе So-

laris, с другой стороны, РОР2 и РОРЗ по умолчанию отсутствуют. Не вол-

нуйтесь, если в системе нет такого программного модуля. Программное обес-

печение РОРЗ доступно на ряде сайтов и обычно представлено архивом pop-

perl?.tar или pop3d.tar. Я пользовался и тем и другим вариантом, оба

работают отлично.

Если в системе отсутствует РОРЗ, загрузите исходные тексты. Извлеките их

при помощи команды tar. Из архива pop3d.tar создается подкаталог с име-

Серверы почтовой службы 327

нем pop3d в текущем каталоге, однако того же нельзя сказать о popperl 7.tar.

Приняв решение воспользоваться демоном

popper,

создайте новый каталог и

поместите в него архив, прежде чем выполнять команду tar. Внесите в Ma-

kefile изменения, необходимые для вашей системы, и выполните

make,

чтобы

скомпилировать модуль демона РОРЗ. Если компиляция прошла без оши-

бок, установите демон в один из системных каталогов.

В системе Solaris РОРЗ запускается демоном интернет-служб inetd. Чтобы

запустить РОРЗ под управлением inetd, поместите следующую строку в

файл inetd.conf:

рорЗ stream tcp nowait root /usr/sbin/pop3d pop3d

Данная запись предполагает, что используется демон pop3d, его исполняе-

мый файл находится в каталоге /usr/sbin, а порт демона указан в файле

/etc/services и связан с именем

рорЗ.

Если какое-либо из утверждений невер-

но, отредактируйте запись соответствующим образом.

Убедитесь, что определение службы РОРЗ действительно присутствует в

файле /etc/services. Если это не так, добавьте в файл строку:

рорЗ 110/tcp # Post Office Version 3

Когда все нужные строки добавлены в файлы services и inetd.conf, небходи-

мо послать демону inetd сигнал SIGHUP, вызывающий чтение новых настро-

ек, как показано в следующем примере:

# ps -ef | grep inetd

root 109 1 0 Jun 09 ? 0:01 /usr/sbin/inetd -s

# kill -HUP 109

Теперь, когда служба РОРЗ установлена, повторите тест с командой telnet

localhost

рорЗ.

Если демон РОРЗ отвечает, дело сделано. Теперь все пользова-

тели, имеющие действующие учетные записи в системе, могут получать поч-

ту по протоколу РОРЗ или читать почтовые сообщения непосредственно на

сервере.

Сервер IMAP

Протокол IMAP (Internet Message Access Protocol) представляет собой аль-

тернативу протоколу POP. Он предоставляет все те же базовые возможнос-

ти, что и POP, и дополнительную функциональность, связанную с синхрони-

зацией почтовых ящиков, позволяющей читать почту на машине клиента

или на сервере. Почтовые ящики клиента и сервера при этом содержат все

последние обновления. Для типичного сервера POP содержимое почтового

ящика полностью передается клиенту и удаляется с сервера либо сохраняет-

ся как непрочитанное. Удаление отдельных сообщений на стороне клиента

не отражается на сервере, поскольку все сообщения обрабатываются единым

блоком, который при первой передаче клиенту сохраняется либо удаляется.

IMAP позволяет работать с отдельными сообщениями в системе клиент либо

на сервере. Изменения отражаются в почтовых ящиках обеих систем.

328

Глава 9. Локальные службы сети

IMAP - протокол достаточно старый; его возраст сравним с возрастом РОРЗ.

Известны четыре самостоятельные версии протокола: IMAP, IMAP2, IMAP3

и современная IMAP4, определенная документом RFC 2060. Популярность

IMAP объясняется значимостью электронной почты как средства сообще-

ния. Эта значимость сохраняется, даже когда люди покидают офис, так что

существует необходимость в почтовых ящиках, с которыми можно работать

откуда угодно.

IMAP не поставляется в составе Solaris 8. Исполняемые файлы IMAP для So-

laris доступны по адресу http://sunfreeware.com. Исходные тексты IMAP до-

ступны для анонимного FTP-копирования на сервере ftp.cac.washington.edu.

Скопируйте файл /mail/imap.tar..Z с сервера ftp.cac.washington.edu в режиме

передачи двоичных образов. Распакуйте и извлеките файлы из архива. По-

лученный каталог содержит исходные тексты и файл сборки Makefile.

Вни-

мательно прочитайте файл Makefile. Файл сборки реализует поддержку

многих вариантов систем Unix. Если ваша система упомянута в списке, вос-

пользуйтесь соответствующим трехсимвольным типом операционной систе-

мы из списка. Для системы Solaris и компилятора дсс наберите:

# make gso

Если компиляция прошла без ошибок, что справедливо для системы Solaris,

создается следующий набор демонов: ipop2d, ipop3d и imapd. С установкой

РОРЗ мы уже знакомы. Осталось разобраться с imapd. Установите его в

файл /etc/services:

imap 143/tcp # IMAP version 4

И добавьте его к /etc/inetd:

imap stream tcp nowait root /usr/sbin/imapd imapd

Теперь базовая служба IMAP доступна всем пользователям, имеющим дей-

ствующие учетные записи на сервере.

Приятная особенность пакета Вашингтонского университета - он включает

реализации протоколов РОР2 и РОРЗ наряду с IMAP. Это важно, поскольку

многие почтовые клиенты работают с РОРЗ. Доступ к серверу IMAP может

получить только IMAP-клиент. Установка РОРЗ вместе с IMAP дает возмож-

ность работать с полным диапазоном клиентов.

В состав большинства систем Linux входит IMAP, поэтому компиляция не

является обязательным шагом. Достаточно убедиться, что служба упомяну-

та в файле /etc/services и доступна через inetd или

xinetd.

В Red Hat Linux 7

файл /etc/xinetd.d/imap no умолчанию не используется. Чтобы клиенты по-

лучили доступ к службе, файл необходимо активировать.

POP и IMAP - важные компоненты почтовой службы. Тем не менее, как мы

увидим в следующей главе, настройка полноценной системы электронной

почты требует более серьезных действий.

Название каталога отражает номер версии программы. На момент написания

книги каталог называется imap-2001.

Резюме

329

Резюме

В этой главе мы рассмотрели ряд важных служб TCP/IP.

Сетевая файловая система NFS (Network File System) - это ведущий протокол

для организации совместного доступа к файлам в системах Unix. В рамках

NFS клиенты получают возможность обращаться к отдельным каталогам сер-

вера как к локальным дискам. В целях аутентификации и авторизации в NFS

используются механизмы доверенных узлов, идентификаторов UID и GID.

Совместный доступ к Unix-принтерам в сетях TCP/IP организуется при по-

мощи демона LPD (Line Printer Daemon) или сервера LP (Line Printer). Де-

мон lpd происходит из системы BSD Unix, но в настоящее время получил

широкое распространение. Программа lpd извлекает определения принте-

ров из файла printcap. Программа LP родом из Unix стандарта System V.

Возможности печатающих устройств она извлекает из файла terminfo, а на-

стройки отдельных принтеров - из каталога /etc/lp. В Solaris 8 совместный

доступ к принтерам основан на программном модуле LP, однако настройка

принтеров выполняется в единственном файле - / etc/printers.conf.

Персональные компьютеры под управлением Windows задействуют NetBI-

OS и протокол SMB (Server Message Block) для организации совместного до-

ступа к файлам и принтерам. Системы Unix могут выступать в роли серверов

SMB при помощи программного пакета Samba. Samba реализует службы со-

вместного доступа к файлам и принтерам, за настройку которых отвечает

файл smb.conf.

Сетевая информационная служба NIS (Network Information Service) - это

сервер, распространяющий ряд административных баз данных. Он позволя-

ет централизованно хранить, изменять и автоматически распространять

важные настройки систем.

Расширение протокола ВООТР, протокол динамической настройки узлов

DHCP (Dynamic Host Configuration Protocol), обеспечивает клиентов пол-

ным набором параметров настройки, определенных в документе RFC Requi-

rements for Internet Hosts (Требования к узлам сети Интернет). Кроме того,

протокол реализует динамическое выделение адресов, позволяющее макси-

мально эффективно использовать ограниченные адресные пространства.

В крупных сетях, для того чтобы не возлагать чрезмерную нагрузку на один

сервер и избежать передачи параметров инициализации через IP-маршрути-

заторы, используются распределенные серверы загрузки. Файлы настройки

на таких серверах синхронизируются посредством передачи файлов, со-

вместного доступа к файлам NFS или при помощи программы rdist (Remote

File Distribution Program).

Серверы POP (Post Office Protocol) и IMAP (Internet Message Access Protocol)

позволяют хранить почтовые сообщения на сервере до тех пор, пока пользо-

ватель не будет готов прочесть их. В следующей главе мы более пристально

рассмотрим настройку подсистемы электронной почты и изучим программу

sendmail.

sendmail

• Назначение sendmail

• sendmail в роли демона

• Псевдонимы sendmail

• Файл sendmail.cf

• Язык настройки sendmail.cf

• Переписывание почтового адреса

• Изменение файла sendmail.cf

• Тестирование sendmail.cf

Электронная почта - заклятый друг пользователей: они обожают ее исполь-

зовать, но ненавидят, когда она не работает. И задача системного админист-

ратора - сделать так, чтобы почта работала. Решению данной задачи и по-

священа эта глава.

sendmail - не единственная программа транспортировки почты; популярны

также smail и qmail. Однако sendmail - наиболее широко распространенная

программа транспортировки. Вся эта глава отведена под рассказ о sendmail,

а вообще этой теме можно с легкостью посвятить целую книгу.

Отчасти

причина кроется в значимости электронной почты, но также и в сложности

настройки sendmail.

Как ни странно, сложность sendmail в некоторой степени проистекает из по-

пыток упростить поддержку электронной почты, вместив всю возможную

функциональность в одну программу. В определенный момент времени для

работы с электронной почтой использовалось большое число программ и

протоколов. Такое разнообразие программ затрудняло настройку и сопро-

вождение. Даже сегодня существует несколько четко различимых схем до-

ставки электронной почты. Протокол SMTP осуществляет передачу почты в

сетях TCP/IP; другая программа передает почтовые сообщения между поль-

зователями одной системы; и еще одна передает почту между системами се-

тей UUCP. Каждой из этих почтовых систем - SMTP, UUCP и локальной

почте - соответствует собственная программа доставки и схема почтовой ад-

ресации. Такое положение дел может приводить в замешательство пользова-

телей электронной почты и системных администраторов.

Полноценное описание содержится в книгах: Косталес (Costales) и Оллман (All-

man) «sendmail», O'Reilly и Крэйг Хант (Craig Hunt) «Linux Sendmail Administra-

tion», Sybex.

Назначение sendmail

331

Назначение sendmail

Hendmail уничтожает путаницу, вызванную большим числом приложений

для доставки почты, sendmail самостоятельно передает почту нужной про-

грамме доставки, исходя из адреса получателя, sendmail принимает почто-

ные сообщения от почтовой программы пользователя, интерпретирует поч-

товый адрес, переписывает его в формате, понятном соответствующей про-

эамме доставки, и маршрутизирует почту через эту программу, sendmail

золирует конечного пользователя от подобных деталей работы. Если почта

дресована верно, sendmail проконтролирует передачу сообщений для до-

~авки. Так же и для входящей почты - sendmail интерпретирует адрес и до-

ставляет сообщение почтовой программе пользователя либо передает другой

системе.

На рис. 10.1 представлена особая роль sendmail в маршрутизации почты меж-

у различными почтовыми программами, существующими в системах Unix.

Помимо маршрутизации почты между пользовательскими программами и

программами доставки, sendmail имеет следующие функции:

• Получает и доставляет почту SMTP (Internet)

• Реализует работу с общесистемными почтовыми псевдонимами, что поз-

воляет создавать списки рассылки

Настройка системы на корректное выполнение всех этих функций - задача

сложная. В этой главе мы разберем каждую из функций, изучим процесс их

иастройки, а также способы упрощения этой задачи. Прежде всего, мы рас-

смотрим функционирование sendmail в части получения почты SMTP. Затем

вы научитесь использовать почтовые псевдонимы и настраивать sendmail с

целью маршрутизации почтовых сообщений на основе почтового адреса.

Рис. 10.1. Маршрутизация почты через sendmail