Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Глава 18. Совместное использование файловых систем и томов

Сетевую файловую систему NFS (Network File System) Unix поддерживают многие производители, и используются она в большинстве операционных систем, а не только в Unix. Каждый программный продукт Unix может работать через систему NFS, обычно даже не зная о том, что она работает в сети. Многие машины в сети с NFS работают одновременно и как клиент, и как сервер.

Доступ к файловым системам с помощью NFS

Фирма Sun Microsystems выпустила NFS в свет в конце 1984 года. В основе NFS лежит технология удаленного вызова процедуры RPC (Remote Procedure Call), что позволяет компьютеру использовать удаленную файловую систему аналогично локальной файловой системе. Подпрограммы XDR (eXternal Data Representation) поддерживают код RPC, помогающий на выполняющих эти программы компьютерах маскировать различия между локальной и удаленной файловыми системами. Между концом 1984 года и началом 1986 NFS реализовали шестнадцать различных фирм-разработчиков, используя пять различных платформ операционных систем. В феврале 1986 все участвующие стороны на конференции Uniforum продемонстрировали совместного использования файлов через Ethernet.

NFS построена так, чтобы быть независимой от операционной системы, и использует функции RPC для обеспечения представления стандартного файла данных, используемого всеми другими оснащенными NFS машинами. В основе этого средства лежит транспортный протокол UDP, работающий через IP. Этот протокол не требует постоянного межмашинного обмена для обеспечения активности связи. Каждый вызов процедуры NFS содержит всю необходимую для правильного выполнения этого запроса информацию. После выполнения этого запроса никакого другого обмена до следующего взаимодействия машин не требуется.

Дискретная природа NFS облегчает восстановление в случае сбоя. Если клиент или сервер теряют связь с сетью, ни одна из машин не будет иметь файлов или индексов, которые нужно перестраивать для восстановления.

Экспорт с помощью NFS

Большинство операционных систем Unix требуют при загрузке системы некоторой инициализации NFS. Если при загрузке машины в файле /etc/exports перечислены некоторые каталоги, то эти каталоги экспортируются, то есть объявляются как доступные всем NFS-клиентам сети. Экспортировать файловую систему под NFS не сложнее, чем ввести команду /usr/local, которая позволяет любому NFS-клиенту монтировать на этом NFS-cервере каталог /usr/local и (по расширению) все подкаталоги. Команда /usr/bin -ro обеспечивает всеобщий доступ к каталогу /usr/bin, но с полномочиями только на чтение.

Приведенная ниже команда разрешает доступ к файловой системе данной хост-машины только машинам с именами comp1, abc и dataproc:


/usr -access=comp1:abc:dataproc

Как можно заметить, под NFS совместно использовать каталоги достаточно просто, особенно если вас не беспокоят вопросы обеспечения надежной защиты. Принцип простоты заложен в саму идею совместного использования.

В одной и той же файловой системе не допускается экспортировать родительский каталог и подкаталог. Другими словами, нельзя экспортировать из той же системы сразу и каталог /usr, и /usr/bin (если воспользоваться приведенными выше примерами). Однако, никто не запрещает клиенту монтировать подкаталог экспортированного каталога. Это позволяет серверу экспортировать /home и клиентов для подключения принадлежащих им подкаталогов. Один пользователь может монтировать /home/usr1, а другой - /home/usr2.

Монтирование NFS-серверов

Другой стороной экспорта файловой системы сервером является подсоединение клиента и использование этой файловой системы. Команда mount используется также как машиной с Unix для монтирования собственной файловой системы (аналогичном тому, как NetWare монтирует при запуске SYS и другие тома), и удаленными, экспортированными файловыми системами.

Возможность монтирования удаленной файловой системы используется реже, чем возможности экспорта файловых систем. Функции защиты имеет смысл возложить на сервер, а не на клиента. Кроме того, сервер работает с разделяемой информацией, и должен определять, какие именно данные должны быть совместно используемыми.

Структура команды для монтирования удаленный файловой системы NFS для SunOS имеет следующий вид:


mount -t nfs имя_сервера:/удаленный_каталог локальная_точка_монтирования

Параметр -t задает тип файловой системы. В данном примере это NFS. Иногда данный параметр можно опустить, особенно если монтируемые удаленные системы перечислены в файле etc/mnttab (таблица монтирования).

Имя_сервера - это имя машины подключаемого удаленного сервера. Удаленный_каталог перечисляет, где в удаленной файловой системе будет происходить подключение. Локальная_точка_монтирования задает, где в локальной файловой структуре начинает использоваться удаленная файловая система.

Команды для NFS во всех Unix-платформах аналогичны. Следующая команда монтирует на сервере с именем hero удаленную файловую систему Стива (из приведенного выше примера):


mount -t nfs hero:/home/usr1/mnt/abc

Эта команда подсоединяет все файлы в каталоге /home/usr1 к машине Стива, начиная с каталога /mnt/abc. Каталог /mnt - это стандартный для большинства Unix-систем каталог, используемый для работы в сети. Это простейшее место для подсоединения каталогов, но строгих правил относительной этого места нет.

Продукты NFS фирмы Novell

Один из членов семейства продуктов NFS фирмы Novell - это NFS Gateway. Среди других его членов - NFS Server и FLeX/IP. Прежде чем подробно рассказывать об этом продукте, давайте рассмотрим, как он соотносится с остальными членами этого семейства.

Первым из перечисленных появился NFS Server. С помощью этого программного обеспечения NetWare-сервер стал также NFS-сервером, доступным для использования в сети Unix-клиентами. Подключенные к NetWare-FNS-серверу Unix-клиенты не видят NetWare - они видят файловую систему Unix.

В NFS Server включен полный сетевой интерфейс печати, позволяющий NetWare-клиентам печатать информацию на принтерах Unix, а Unix-клиентам - печатать на принтерах NetWare. Сюда включен также FTP-сервер, позволяющий Unix-клиентам копировать файлы на NetWare-сервер и обратно.

Следующим был разработан продукт FLeX/IP - подмножества NFS Server. Он включает в себя сетевой интерфейс печати и FTP-сервер. С помощью FLeX/IP, систем Unix и NetWare вы можете печатать информацию одной системы в другой, а Unix-клиент может передавать файлы на NetWare-сервер и с него.

Последний из этой серии FNS-продуктов - это NFS Gateway. Он работает в обратном направлении: NetWare-клиенты могут использовать файловые системы Unix аналогично тому, как они используют тома NetWare. Работающие с NFS Gateway Unix-системы действуют для NetWare-клиентов как файловые серверы.

NFS Gateway

Если бы продукт NFS Gateway был создан сторонней фирмой, его можно было бы приветствовать как превосходный новый продукт года. Но, поскольку он разработан Novell, от него ожидается некоторая зрелость. Кроме того, как мы уже видели, Novell предусмотрела массу возможностей обеспечения связи между NetWare и Unix на высоком уровне.

Благодаря NFS Gateway, файловый сервер NetWare действует для использующих Unix NFS-cерверов как NFS-клиент. NetWare-сервер может монтировать файловые системы аналогично тому, как наш друг Стив может монтировать файловые системы на сервере hero.

После монтирования все файлы удаленной файловой системы доступны NetWare-клиентам NetWare-сервера, на котором работает программное обеспечение NFS Gateway. Все файлы на удаленной файловой системе Unix выглядят для NetWare-клиента как файлы DOS. Файловая система Unix выглядит для файлового сервера как другой том. NetWare-клиент не видит разницы между томом, который находится на удаленной хост-системе Unix, и томом, находящимся на NetWare-сервере. Однако некоторые аппаратно-зависимые утилиты, такие как VREPAIR, DSPACE, SALVAGE, PURGE, CHDIR и CHKVOL, с томом NFS работать не будут. Этого и следовало ожидать, поскольку данные утилиты для выполнения своих функций требуют прямого доступа к аппаратным средствам, а аппаратура не находится под управлением NetWare.

Непосредственным преимуществом совместного использования файлов такого типа является доступность NetWare-клиентам файлов Unix. На этом сервере любой NetWare-клиент может видеть и использовать все файлы файловой системы Unix, аналогично тому как пользователь может получить доступ ко всем другим файлам NetWare.

Данный результат не случаен. Для того, чтобы это осуществить, потребовалось много работы. Кроме всего прочего, производительность NFS Gateway демонстрирует мощность прикладной платформы NLM NetWare.

Одно из важных преимуществ совместного использования томов NetWare заключается в том, что при таком способе не требуется изменения клиентов. Типичная сеть может иметь сотни клиентов, но только десяток серверов. Каждый администратор сети предпочтет скорее переконфигурировать сервер, чем настраивать конфигурацию всех клиентов этого сервера.

Другое преимущество NFS Gateway состоит в том, что он использует на клиенте только протоколы IPX/SPX. Многие NetWare-клиенты все еще используют типы физических соединений, не обеспечивающие достаточной поддержки TCP/IP, а также Arcnet и Token Ring. Поддержка TCP/IP на этих сетях возможна, и, фактически, в сетях Token Ring она быстро наращивается, однако конфигурировать такую поддержку TCP/IP на Ethernet всегда труднее.

Для тех NetWare-клиентов с Ethernet, которые не используют ODI-драйверы Novell, добавление TCP/IP представляет значительные трудности. Драйверы ODI являются обновленными драйверами NetWare-клиента, которые поддерживают на одной сетевой плате множество возможных протоколов. Хотя Novell намерена сделать драйвер IPXODI основной интерфейсной оболочкой рабочей станции, многим пользователи все еще предстоит такой переход. NetWare 4.0 вынуждает пользователей использовать ODI-драйверы.

При обновлении драйвера проблему представляет также ограничение DOS в 640К. Как и каждая новая версия программы, новые драйверы требуют больше памяти, чем прежние IPX.COM и NET3.COM. Миллионы пользователей NetWare не имеют возможностей расширенной и отображаемой памяти и вынуждены неопределенно долго существовать в тесных рамках 640К. Применение решения, не требующего для клиентов дополнительных программ снимает проблему памяти и стоимости.

Защита NFS Gateway

NFS Gateway использует средства защиты и NetWare, и Unix. Для доступа к NetWare-серверу и отображения тома, соответствующего файловой системе NFS, пользователь должен иметь пароль. Поскольку файловые системы Unix отображаются на NetWare-cервере в виде различных томов, то маловероятно, что пользователь увидит интересующее его имя каталога и начнет "шарить" вокруг.

Чтобы отобразить под NetWare новый диск на том, пользователь должен задать в самой команде MAP имя тома. Единственной ссылкой на этот том будет вывод содержимого томов командой VOLINFO. В некоторых сетях, где вопросы защиты имеют особое значение, многие подобные VOLINFO утилиты Novell скрыты от пользователей. Описание возможностей защиты NFS Gateway дается в инструкциях по установке.

На следующем рисунке показано отображение диска NetWare-клиентом через том NetWare на хост-систему Unix. Фактически, расширение средств защиты и упрощение управления этой защитой уже много лет стоит в списке улучшений NFS. Сегодняшнее отношение можно часто сформулировать так: "Вот вам файловая система, и будьте довольны!" Это плохо соответствует хорошим процедурам защиты.


                        +----------+

                        ¦+--------+¦

                        ¦¦        ¦¦ <--------------------------------+

                        ¦+--------+¦                                  ¦

                    +---+--+----+--+---+                              ¦

                    ¦ -                ¦                              ¦

               +----+-------------+----+    ------------------------  ¦

               +-++++++++++++++++--         -----NetWare-сервер-----  ¦

                     SPARC2                 -----c NFS Gateway -----  ¦

                                            ------------------------  ¦

                DRIVE F:=Server-Name\SYS:   ---+----------------+---  ¦

             +------------------------------->-¦      SYS:      ¦---  ¦

             ¦                              ---+----------------+---  ¦

             ¦  DRIVE G:=Server-Name\SPARC2:---+----------------+---  ¦

             ¦ +----------------------------->-¦     SPARC2     ¦------

             ¦ ¦                            ---+----------------+---

             ¦ ¦DRIVE H:=Server-Name\ALTOS: --------------------+---

             ¦ ¦ +--------------------------->-¦      ALTOS     ¦-----+

             ¦ ¦ ¦                          ---+--------------------  ¦

           +---------+                      ---+----------------+---  ¦

           ¦+-------+¦                      ---¦                ¦---  ¦

           ¦¦       ¦¦                      ---+----------------+---  ¦

           ¦¦       ¦¦                      ------------------------  ¦

           ¦+-------+¦                      ------Диск NetWare------  ¦

           +--+---+--+                      ---представляет тома----  ¦

       +------+---+-------+                 ---через NFS Gateway----  ¦

       ¦ -       +--+ +--+¦                 ------------------------  ¦

       ¦         +--+ +--+¦                 ------------------------  ¦

       +------------------+  +------+                                 ¦

          NetWare-клиент     ¦ +--+ ¦  +---------+                    ¦

                             ¦ +--+ ¦  ¦+-------+¦                    ¦

                             ¦ +--+ ¦  ¦¦       ¦¦                    ¦

                             ¦ +--+ ¦  ¦¦       ¦¦  <------------------

                             ¦ ---- ¦  ¦+-------+¦

                             ¦ ---- ¦  +--+---+--+

                             ¦ ---- ¦+----+---+-----+

                             +------++--------------+

                                      ALTOS

Другие пользователей NFS, как клиентов, так и серверов, это отношение вполне удовлетворяет. Каждого из них заботит доступность информации, пользователи же Unix будут знать, что должно, а что не должно быть общедоступным в файловой системе Unix.

NFS Gateway управляет доступом пользователей PC к хост-системам NFS. Вы можете определить, какие файловые системы должны быть доступны, а какие нет. Вы можете обеспечить доступ к подкаталогам официально экспортируемой точки монтирования на NFS-сервере и держать несведущих в Unix пользователей подальше от системных файлов. Это хорошая защита от добропорядочного, но неловкого гостя системы Unix.

Использование NFS Gateway

Описание использования NFS Gateway с точки зрения типичного пользователя означает описание программы. Тома NFS Gateway используются точно также как другие тома NetWare.

После настройки конфигурации системы и монтирования NFS-cервера NetWare-клиенты могут без особых усилий использовать тома NetWare. Утилита NetWare VOLINFO показывает тома NFS наряду с другими томами. FILER, служебная утилита NetWare для работы с файлами, также работает с томами NFS. Работают с этими томами и ряд старых утилит DOS работы с каталогами, разработанных еще до появления NetWare. Определенный интерес представляет применение средства просмотра текстовых файлов DOS для чтения файла /etc/hosts (и любых других текстовых файлов).

Информация, необходимая клиенту

Требования клиента минимальны. Клиент должен иметь следующую информацию:

- Имя NetWare-сервера, где работает NFS Gateway. - Учетные данные сервера NFS Gateway. - Пароль этого сервера. - Имя тома NFS Gateway для доступа к удаленной файловой системе. - Буквенную метку диска для тома NFS Gateway (например, F:).

Эти детали можно включить в командные файлы и сценарии регистрации со стороны NetWare. Если администратор NetWare решит "скрыть" присутствие NFS Gateway, пользователи не будут знать о наличии этого продукта. Они увидят только буквенные метки тома и не будут знать, что этот том находится не на NetWare-сервере. Ниже показано подключение пользователя одновременно к трем различным хост-системам Unix (это листинг томов NetWare-клиента, отображенных через NFS Gateway в системы Altos, Sun и Dell Unix):


            F:\LOGIN>map



            Drive A: maps to a local disk

            Drive B: maps to a local disk

            Drive C: maps to a local disk

            Drive D: maps to a local disk

            Drive E: maps to a local disk

            Drive F: = GCS\SYS: \LOGIN

            Drive R: = GCS\ALTOS: \USR

            Drive S: = GCS\SPARC2: \ARX

            Drive T: = GCS\DELL: \

                   ------

            SEARCH1: = Z:. [GCS\SYS: \PUBLIC]

            SEARCH1: = Y:. [GCS\SYS: \SYSTEM]

            SEARCH3: = C:\DRDOS

Команды NFS Gateway

В NFS Gateway включены некоторые команды утилит клиента. Эти утилиты работают только со стороны клиента DOS с файлами, находящимися на томе NFS Gateway. Данные команды позволяют NetWare-клиенту просматривать файлы и работать с ними на подсоединенном томе NFS принятым в Unix способом:
Команда
Функция
CHGRP Позволяет владельцу файла изменить для файла Unix групповую принадлежность.
CHMOD Позволяет владельцу файла изменять полномочия на чтение, запись и выполнение файла.
CHOWN Позволяет супервизору с доступом к корню файловой системы Unix изменить владельца файла.
LS Выводит список файлов в формате Unix со стандартными параметрами Unix.

NFS Gateway также включает в себя два файла, позволяющие транслировать файлы ASCII между Unix и DOS. Команда DOS2Unix преобразует файлы DOS в формат Unix и имеет следующий вид:


DOS2Unix файл_DOS>файл_Unix

Команда Unix2DOS преобразует файлы Unix в формат DOS и имеет вид:


Unix2DOS файл_Unix>файл_DOS

Блокировка файла

Как и можно ожидать от системы, позволяющей обращаться к файловой системе нескольким пользователям, NFS имеет подходящую систему блокировки файлов. Типичный стиль Unix определяет уведомительную блокировку. Первый обращающийся к файлу пользователь имеет к нему полный доступ (естественно, если это разрешено правами доступа). Второму пользователю будет сообщаться, что файл используется, но принудительно он не блокируется. Таким образом, второй пользователь сможет считывать и даже записывать этот файл (в большинстве систем).

Здесь снова сообщество пользователей Unix получило преимущества в тех сомнительных ситуациях, когда могут происходить неприятные вещи. Предполагается, что систему используют интеллигентные и обходительные пользователи. Однако не делайте такой ошибки при вводе в существующую в сети NFS нового командного файла для пользователей DOS. Одним из лучших качеств NetWare являются сильные средства блокировки файлов и управления доступом. Эта традиция недоверия к пользователям реализована и в NFS Gateway.

В этом продукте существует проблема блокировки, в основном потому, что у программ DOS и NetWare нет причин и необходимости в рекомендательных блокировках. Если оба пользователя - Unix и DOS - одновременно обращаются к одному и тому же файлу, то, вероятно, оба они получат возможность читать и записывать этот файл. Возможно, если бы в DOS была эффективно организована сетевая работа, этого бы не происходило. Однако, сегодня такие вещи могут происходить, и нужно быть к этому готовым.

NFS Gateway будет прекрасно взаимодействовать с блокировками демонов на NFS-сервере. Экран информации о томе NFS Gateway Volume Information, содержит поле, помеченное как Remote Lock Manager Required с установкой Yes/No. Если задано Yes (Да), то для управления блокировками с NFS-cервера используется администратор блокировок этого сервера. Это дополнение к внутренней автоматической блокировке файлов NFS Gateway. Независимо от того, локальный это диск сервера или удаленная файловая система, NetWare не допускает возникновения проблем нарушения целостности файлов между пользователями NetWare.

Хотя блокировка DOS в NFS Gateway выполняется надежно, пока вы не проведете некоторого тестирования, относиться к параллельной файловой активности DOS и Unix нужно внимательно. DOS должна внимательно относиться к блокировкам файлов NFS.

Из-за несовершенности блокировки файлов о блокировке на уровне записей между клиентами DOS и Unix не стоит даже и думать.

Обслуживание NFS Gateway

После установки и запуска системы NFS Gateway большого обслуживания она не требует. Как и NetWare-серверы, NFS-серверы Unix все время остаются активными. Пользователи, вероятно, будут подсоединять и монтировать том Unix автоматически, используя для этого файлы сценариев регистрации или командные файлы. Некоторые из них при необходимости будут отображать диск на том Unix, но это обычно делают продвинутые пользователи. Обычные пользователи (если можно так о них сказать) предпочитают автоматические сценарии.

Выполнять задачи обслуживания NFS Gateway можно с помощью утилиты NFSCON. Программа NFSCON работает непосредственно на файловой консоли сервера. Если на сервере выполняются модули REMOTE.NLM и RSPX.NLN (удаленный SPX), то выполнять программу RCONSOLE.EXE может любая рабочая станция DOS с соответствующими полномочиями доступа. Это обеспечивает управление консолью сервера, сохраняя его блокирование от постороннего доступа.

Наблюдение на производительностью сервера.

Скорость имеет важное значение, и есть некоторые области, которые помогают отслеживать и улучшать производительность. Так как основное влияние на производительность оказывает память сервера, показатель использования ресурсов Resource Usage, выводимый утилитой NFSCON, позволяет нащупать те области, с которых можно начинать улучшение функционирования. Для доступа к окну Resource Usage нужно пройти через дерево меню из NFS Gateway Administration Options к NFS Gateway Statistics, а затем выбрать Resource Usage.

Это окно, выводит на экран фактический объем используемой памяти сервера и используемое NFS Gateway пространство на диске. В окне настраиваемых параметров Tunable Parameters можно установить минимальный и максимальный объем памяти Minimum и Maximum Memory. Если объем используемой памяти Memory in Use доходит до значения Maximum Memory, можно вернуться в окно Tunable Parameters и увеличить объем распределяемой памяти. Чтобы увидеть окно Resource Usage, выберите в NFS Gateway Administration Options элемент Tunable Parameters.

Последний элемент в окне Resource Usage - это Disk Space Used, элемент, определяющий объем используемого пространства на диске. Он показывает пространство на диске, занятое теневыми файлами NFS Gateway. Теневой файл отслеживает каждый файл, доступный пользователю NetWare на удаленной системе Unix.

Изменения вносимые через NetWare в удаленную файловую систему, немедленно отмечаются в теневом файле. Изменения, вносимые в файловую систему Unix другими пользователями NFS, могут какое-то время оставаться незамеченными. Запись Directory Comparison Frequency окна Tunable Parameters указывает число секунд между проверками удаленной файловой системы. По умолчанию это 300 секунд. Если основными пользователями этой файловой системы являются пользователи NetWare, то это значение по умолчанию или большая величина вполне подойдут. Большее время даст несколько лучшую производительность. Если в основном с файловой системой Unix-cервера работают другие пользователи NFS), то эту 300-секундную задержку следует уменьшить. В противном случае NFS-cервер и теневой файл NetWare будут рассогласованы.

С помощью окна Configure Error Logging Levels (выберите из основного меню программы NFSCON Configure Error Reporting, затем выберите Configure Error Logging Levels) вы можете задать уровень детализации информации отслеживания ошибок. Как показано на Рис. 8.8, варианты выбора отчета об ошибках включают в себя None (отсутствует), Informational (информационные), Warning (предупреждающие), Alert (сигнализирующие) и Debug (отладочные). По умолчанию выбирается Warning. Полезно начать с Informational и выбрать в ходе работы наиболее подходящий уровень. Пока сетевой интерфейс для вас новый, лучше получать как можно больше информации: в случае возникновения проблем у вас будет масса примеров. Когда работа системы стабилизируется, вы можете перейти на другой уровень уведомления - Alert, при котором выводятся существенные замечания о критических проблемах или вероятном отказе. Debug используйте только для сбора подробной информации для персонала технической поддержки Novell.

Сообщения об ошибках выводятся на экране Product Kernel консоли NetWare-cервера и записываются в файл AUDIT.LOG. Вы можете просмотреть этот файл, выбрав в меню Configure Error Reporting команду Display Audit.

Обеспечение защиты.

Unix общеизвестен своей защитой, и NFS не вносит автоматически никаких улучшений. Предоставление пользователям PC некоторой версии клиентного программного обеспечения NFS и некоторой свободы может быть затруднительным. Они обычно интерпретируют удаленную файловую систему также апатично, как файловую систему DOS. Администраторы NFS обычно редактируют свой файл /etx/exports и исключают несколько PC.

Хотя NFS Gateway и упрощает доступ клиента к удаленным файловым системам, этот продукт одновременно повышает защиту и делает это двумя способами. Во-первых, конфигурация клиента должна быть настроена в NetWare, и он должен иметь полномочия доступа к тому NFS Gateway. Во-вторых, пользователь должен указываться (индивидуально или в группе) в списке тех, кто имеет полномочия доступа к файловой системе NFS Unix.

Если NetWare-клиент не отвечает одному из этих требований, то он не может использовать NFS Gateway. Управленческие задачи исключения неуполномоченных пользователей DOS/NetWare выполняются с NetWare-сервера. Самого клиента можно посетить и физически изменить с помощью работающего на клиенте пакета NFS. Большинство администраторов стремится избежать конфронтации, а NFS Gateway позволяет осуществлять полное управление без конфронтации.

Управление пользователями

Механизм, используемый для отслеживания полномочий доступа пользователей, позволяет делать это по именам, но достаточно описательна также база данных пользователей. Обычно это делается с помощью средств NIS (Network Informatrion Service) и DNS (Domain Name System). Чтобы успешно функционировать в NFS, NFS Gateway должен работать с существующей системой обслуживания имен, что он и делает.

Принцип обслуживания имен достаточно труден для администраторов NetWare. Он используется только последние несколько лет, когда каждый автономный остановленный NetWare-cервер стал получать имя FS1. Администраторы достаточно освоили назначение имен для NetWare-серверов, но, перед тем как начать присваивать имена, администраторы NetWare никогда не консультируются со своими коллегами, работающими с Unix. Это может привести к неприятностям, так как каждая машина в одном и том же домене должна иметь уникальное имя.

NIS и DNS

Служба имен доменов DNS используется в качестве системы имен для Internet. Она управляет системой распределенных баз данных по именам по всему миру. Домены имеют иерархическую структуру, а имена отделяются символом точки. Когда вы видите адрес Internet, например, someone@xyz.sscnet.ucla.edu, то это имя рабочего домена.

Сетевая информационная система NIS (и ее улучшенный вариант NIS+) называлась раньше Yellow Pages (желтые страницы), однако потом этой системе дали новое имя. На большинстве систем Unix NIS составляют файлы /etc/hosts, etc/passwd и /etc/group.

Novell Bindery

Novell Bindery - это системный файл (или два файла для ранних версий NetWare и три файла для NetWare 3.x), позволяющий отслеживать каждого пользователя. В Bindery хранится подробная информация о полномочиях пользователя, правах доступа к файлу и уровнях защиты.

Как уже говорилось, в операционной системе NetWare 4.0 Novell отказалась от Bindery и ввела средство NetWare Directory Services (NDS). В то время как Bindery используется для отслеживания пользователей и служебных средств только на одном файловом сервере, служба каталога NDS - это распределенная и дублируемая база данных по именам. Ни один из пользователей не обладает всей полнотой информации о данном сервере, группе или пользователях. Фактически, пользователи даже не будут знать, какой из серверов является "их" сервером.

Если вы вспомните DNS и решите, что это сильно ее напоминает, то в этом есть доля истина. Технически реализованный после появления стандарта X.500, подход NDS сильно напоминает доменную и объектную ориентацию DNS. Если бы эти люди могли собраться вместе и сделать свои сокращения чуть более уникальными, это позволило бы избежать путаницы.

После того, как информация о пользователях Unix собирается из удаленных средств обслуживания имен, они сравниваются с пользователями NetWare. Такое сравнение представляет собой еще один шаг в процедуре обеспечения защиты. Поскольку пользователи NetWare будут гостями в NFS сети, управление защитой для этих новых гостей NFS должно быть строгим.

Совместное использование томов NetWare с помощью NFS NetWare

Первым прорывом Novell в мир Unix был NFS-сервер NetWare. Этот продукт превращал любой файловый сервер NetWare 3.11 в экономичный NFS-сервер, сопоставимый по отношению "производительность/затраты" с любой имеющейся на рынке системой NFS. Низкая стоимость аппаратного обеспечения PC дает реальное преимущества использования NetWare в качестве программного обеспечения как файлового сервера, так и в качестве NFS-cервера. Даже с учетом стоимости операционной системы NetWare и программного обеспечения NFS Server, продукт Novell дешевле, чем любой NFS-сервер, ориентированный на Unix.

Преимущества NFS Server NetWare

Некоторые средства NFS-cервера NetWare включают в себя следующие возможности:

  • Любой NFS-клиент может монтировать и использовать диск NetWare.
  • NetWare-клиент имеет полный доступ к файлам NFS (при соответствующих полномочиях доступа).
  • NFS-cервер действует также как FTP-сервер (подробности об этом средстве вы можете узнать в разделе о FLeX/IP).
  • Терминалы X Windows и vt220 могут управлять NetWare-сервером через XCONSOLE.

NFS Server включает в себя и другие средства, в том числе поддержку принтеров, о чем в это книге подробнее рассказывается ниже.

Данный продукт больше ориентирован на пользователей Unix, которым требуется доступ к файлам NetWare, хотя он может работать и тем, и другим способом. Совместному использованию файлов на разных вычислительных платформах может способствовать размещение файлов в одном центральном месте.

Одна из фирм использует эту систему для архивизации файлов данных Unix. Вся ее учетная информация обрабатывается с помощью базы данных Oracle в системах SCO Unix. Эти файлы часто копируются на NetWare-сервер, где работает программное обеспечение NFS Server. На обеих системах (NetWare и SCO Unix) выполняется дублирование на магнитную ленту. Если требуется восстановить файл системы SCO, то, если он находится NetWare-сервере, его можно немедленно передать в SCO. Благодаря такой системы архивизации фирма избежала потери производительности системы SCO при операциях восстановления.

Использование NFS Server

Если все идет как нужно, NetWare-, DOS- и Macintosh-клиенты могут никогда не узнать, что файл является файлом Unix и его обслуживает NFS системы Unix. Конечно, важное значение имеют форматы файлов; пользователь DOS или Macintosh не может считывать в базе данных Paradox файл Oracle. Однако тот же пользователь может с помощью версии WordPerfect для DOS или Macintosh считывать файл редактора WordPerfect for SPARC.

Для тех досадных случаев, когда файлы ASCII форматируются в DOS и Unix по-разному, Novell включила в свой продукт утилиты DOS2Unix и Unix2DOS (см. Главу 8). В этой операционной среде пользователи DOS не смогут нарушить структуру системных файлов Unix (если, конечно администраторы Unix по глупости не допустят их к NetWare-серверу и не разрешат доступ к этим файлам).

С точки зрения Unix-клиента NFS Server NetWare представляет собой просто еще один NFS-сервер. Novell предлагает использовать "мягкое" монтирование, при котором в случае неуспешного монтирования команда монтирования завершается по тайм-ауту. Если вы используете "жесткое" монтирование, то, чтобы отменить запрос серверу на монтирование, который не удалось должным образом выполнить, может потребоваться дополнительная работа. Вы должны также учитывать, что монтирование NetWare-сервера на корневом каталоге может вызвать разрушительные последствия.

Использование команды mount обычно требует перечислять только имена и точку монтирования удаленного сервера и локальную точку монтирования. Если NFS не задана, она будет подразумеваться. Например, следующая команда монтирует NFS Server NetWare (работающий на NetFRAME, отсюда и имя) со SPARCstation:


            mount -o soft netframe:/sys/user1/mnt/netframe

А вот фактическое представление /etc/tab (File System Table) со SPARCstation:


            /dev/sd0a /   4.2 rw 1 1

            /dev/sd0g /home 4.2 rw 1 3

            /dev/sd1g /usr 4.2 rw 1 2

            /dev/fd0 /pcfs pcfs rw,noauto 0 0

            netframe:/sys/user1/mnt/netframe nfs soft,rw 0 0

Первые четыре команды используются для локальных дисковых систем. Последняя команда, подозрительно похожая на команду mount, задает тип (nfs) и описывает мягкое монтирование с полномочиями на чтение и запись (rw).

В обоих примерах система не будет правильно реагировать, если в файле /etc/host на NFS-клиенте не указан NetWare-сервер NETFRAME и его адрес TCP/IP.

Производительность NFS Server

Производительность NFS Server внушает уважение, а в некоторых областях ее можно даже назвать выдающейся. Система кэширования файлов NetWare настолько хороша, что превосходит характеристики большинства систем Unix. Некоторые файловые транзакции между NFS-клиентами и NFS Server NetWare выполняются непосредственно с помощью файлового кэша в ОЗУ, поэтому скорость их очень высокая. Типичной является передача файлов со скоростью 1 мегабайта в секунду. Использование быстрой архитектуры EISA (Extended Indusry Standard Arcitecture) и PC таких моделей как 486/50 с большим объемом быстрой оперативной памяти и 32-разрядной платой интерфейса, такой как NE3200, может дать превосходную реакцию.

Более чем десятилетняя работа над оптимизацией скорости операций чтения и записи файлов позволила Novell выйти по производительности по сравнению со всеми другими операционными системами для локальных сетей на одной и первых мест. Благодаря NFS Server, Novell расширяет заслуженную ей в плане производительности репутацию и на мир Unix.

Обслуживание NFS Server

После установки и настройки конфигурации программного обеспечения NFS-сервера он не требует особого обслуживания. В соответствии со своей природой NFS-серверы (и NetWare-серверы) постоянно функционируют и в любое время доступны клиентам. Так как сети с NFS обычно менее изменяемы, чем сети PC или Macintosh, вам не потребуется часто обновлять информацию клиента.

Администраторы со стороны Unix будут пытаться выполнять свои административные функции традиционным для Unix способом - редактированием текстовых файлов. И это будет отлично работать. Файловая структура NetWare-сервера отражает файловую структуру типичной хост-системы Unix, поэтому файлы находятся там, где их предполагает найти администратор Unix.

Однако, если есть выбор, Novell для выполнения базовых административных задач рекомендует использовать на консоли сервера программу NFSADMIN (или удаленную утилиту RCONSOLE). Вносимые с помощью NFSADMIN и изменения начинают действовать немедленно, а изменения, вносимые вручную - нет. Минимальная задержка определяется значением SYNC_INTERVAL, устанавливаемым в экране настраиваемых параметров Tunable Parameter (по умолчанию это 60 секунд). Если изменения вносятся в полномочия клиента, они не будут действовать, пока он не смонтирует заново файловую систему.

С добавлением утилиты XCONSOLE и поддержкой NFS администратор Unix может управлять всеми аспектами NFS на NetWare-сервере. NFS позволяет обращаться к файлам, а программу NFSADMIN можно запустить под X Windows, хотя и в текстовом режиме.

Изменение характеристик файла

С помощью пункта Change File Information в основном меню NFSADMIN для обеспечения лучшей поддержки NFS вы можете модифицировать файлы и каталоги. При выборе этого пункта выводится окно Set File Information. Поскольку в этом окне отсутствует список имен файлов для выбора, каждый файл или имя каталога вы должны задавать индивидуально.

Полномочия допуска Unix задаются либо в восьмеричном формате (777), либо в символьном (rwx). Полностью управлять полномочиями доступа на каждом уровне позволяет возможность вносить изменения, вступающие в действие вниз по структуре каталога.

Попытка привести в соответствия эти полномочия и права доступа на совместно используемом NetWare и Unix томе может потребовать некоторого экспериментирования. Здесь трудно указать однозначно верный способ, но существует множество неверных путей. Файлы могут модифицироваться пользователями NetWare таким образом, что это нарушит работу NFS-клиентов Unix. Имейте в виду, что более свободный доступ обычно предпочтительнее, чем большее число проблем.

Используя возможности управления, обычно полезно предоставить некоторым группам полный доступ к совместно используемым NetWare/Unix каталогам. Если важен вопрос защиты, то для различных групп легко задать различные точки монтирования. Предоставление полного доступа к файлам в рамках одной группы позволит вам избежать лишних проблем.

Создание резервных копий и восстановление файлов

Используемые NetWare-сервером файлы Unix могут архивироваться Unix-клиентом, но обычно каждый сервер сам отвечает за свои файлы. Хотя вы можете выполнить дублирование Unix, при котором идет обращение к NFS каталогам сервера, не следует рассчитывать, что клиент будет это делать.

Многие системы ведения архивов и создания резервных копий, включая утилиту NBACKUP Novell, не могут работать с добавляемыми NetWare к файлам дополнительными атрибутами. Они будут дублировать и восстанавливать на сервере файлы DOS, но дополнительные атрибуты будут потеряны.

Когда атрибуты NetWare составляют проблему, вы можете убедиться, что проблемой является также совершенно различная файловая структура. Учет атрибутов файлов не гарантирует, что различные пространства имен, такие как Apple и NFS, будут одинаково интерпретироваться программным и аппаратным обеспечением системы архивизации на магнитной ленте. Чтобы проверить это, вы можете просмотреть подробную распечатку, но важно также, поддерживает ли ленточная система файлы Macintosh. Если да, то она будет также поддерживать файлы NFS. Имея одно пространство имен, вы получите все.

Если для создания резервных копий файлов Unix NFS-cервера используется система архивизации Unix, то атрибуты NetWare для этих файлов сохраняться не будут. При восстановлении файлов атрибуты NetWare, такие как наследуемые маски полномочий доступа, права доступа к файлу других пользователей, время и дата архивизации будут потеряны. При восстановлении таких файлов система защиты NetWare также действовать не будет, поэтому будьте внимательны.

Защита NFS Server

Администраторы NetWare должны учитывать следующий важный факт: NFS-клиенты на NetWare-cервере не регистрируются. Для этих NFS-клиентов отсутствует управление, отслеживание и обслуживание. Фактически, не обращаясь к экрану NFSADMIN, вы не можете знать, сколько NFS-клиентов смонтировали файловую систему сервера. Команда USERLIST на NetWare-клиенте здесь не поможет.

Если для NFS-сервера (как части NetWare-cервера) важное значение имеют вопросы защиты, то нужно допускать только тех NFS-клиентов, которые могут также работать с системой путем регистрации через NetWare. Не следует разрешать групповой доступ, права доступа следует назначать индивидуально.

Для этих индивидуальных пользователей для создания учетных записей пользователя используйте обычные средства в рамках NFSADMIN. Специальный пароль, который NFSADMIN присваивает NFS-клиентам, не позволит им получить доступ к остальной части NetWare-сервера. Чтобы получить к ней доступ, этим пользователям должен быть присвоен пароль утилитой SYSCON. Пароль NFS можно для этого модифицировать или заменить.

Повторим наиболее важные момент: после монтирования файловой системы NetWare-сервера реальная защита NFS отсутствует. NFS-клиент Unix чаше всего является основным для одного или более других пользователей, которые не связаны непосредственно с защитой NetWare. Любой клиент NFS-сервера может получить доступа к серверу NetWare. Если важны вопросы защиты, следует внимательно назначать полномочия доступа клиентов. Защита NFS допускает большую свободу доступа, чем NetWare; при защите системы не следует рассчитывать на помощь NFS.

Совместное использование томов с помощью NetWare for Unix

Так как и NetWare-клиенты, и пользователи Unix находятся на одной и той же аппаратуре NetWare for Unix, частью общих функций должно быть взаимодействие с файлами. Это лучше, чем большинство других средств совместного использования файлов, но все эти функции должны разрабатываться с самого начала, а не комбинироваться из готовых элементов.

Управление NetWare for Unix

Поскольку все файлы в NetWare for Unix хранятся в формате Unix, они находятся под управлением операционной системы Unix. NetWare-клиенты сохраняют эти файлы в формате DOS, Macintosh или OS/2, а пользователи находятся под управлением операционной системы NetWare. Эти пользователи видят файлы в ожидаемом ими формате, а не в формате Unix. Соответствие прав доступа NetWare-клиента и полномочий доступа файлов Unix требует некоторой работы от администратора.

Взаимодействием NetWare и хост-системы Unix управляет утилита sconsole. Отдельные пользователи NetWare, принтеры и полномочия доступа управляются с помощью обычных утилит NetWare. Основной используемой для этого утилитой NetWare является утилита SYSCON, которая управляет защитой и правами доступа пользователей.

Создание гибридных пользователей

Гибридные пользователи - это пользователи Unix, которые могут обращаться к файлам, сохраненных ранее NetWare-клиентами под управлением операционной системы NetWare for Unix. Утилита hybrid, выполняемая из командной строки или из утилиты sconsole, связывает NetWare-клиентов с их номерами uid (идентификатор пользователя) и gid (идентификатор группы). Если эта связь не выполнена, то получить доступ к данным файлам могут только пользователь root и члены корневой группы Unix.

Выполнение утилиты hybrid из командной строки

Как уже говорилось при описании Portable NetWare или NetWare for Unix, к версии утилиты hybrid, работающей с командной строкой, можно обращаться следующим образом:


hybrid -d NWимя_пользователя HOST имя_пользователя

где -b означает связывание (bind). Имя пользователя NetWare и хост-системы может быть различным.

Чтобы удалить существующего гибридного пользователя, используется тот же формат команды, но вместо параметра -b указывается параметр -u (unbind):


hybrid -u NWимя_пользователя HOST имя_пользователя

Использование для задания конфигурации гибридных пользователей утилиты sconsole

Ниже показано меню Hibrid User (Гибридный пользователь) утилиты sconsole, которое позволяет управлять гибридными пользователями и задавать их параметры. Для доступа к этому меню выберите в меню sconsole пункт Administration, а затем выберите Hybrid User Configuration.


                 +-------------------------------------------+

                 ¦                                           ¦

                 ¦                 HYBRID USER MENU          ¦

                 ¦           1. List Hybrid Users            ¦

                 ¦           2. Add Hybrid User              ¦

                 ¦           3. Delete Hybrid User           ¦

                 ¦           4. Hybrid User Parameter        ¦

                 ¦           r. Return to Previous Menu      ¦

                 ¦           e. Exit from SCONSOLE           ¦

                 ¦           ?. Help                         ¦

                 ¦                                           ¦

                 ¦ Request:                                  ¦

                 ¦                                           ¦

                 +-------------------------------------------+

1 - вывод списка гибридных пользователей; 2 - добавление гибридного пользователя; 3 - удаление гибридного пользователя; 4 - параметр гибридного пользователя; 5 - возврат к предыдущему меню; 6 - выход из SCONSOLE; 7 - справка.

Однако следует отметить, что совместное администрирование пользователей NetWare и Unix отсутствует, даже если они работают в одной системе. Создание пользователей NetWare не действует на сторону Unix хост-системы. Аналогично, создание пользователей Unix не влияет на сторону NetWare системы.

Сопоставление гибридных пользователей

Чтобы гибридных пользователей можно было сопоставить, они должны существовать. Утилита sconsole не создает пользователей. NetWare или Unix. Документация NetWare for Unix включает в себя ряд рабочих бланков, один из которых помогает сопоставить пользователей NetWare и Unix.

Работа с гибридным пользователем многого не требует. Списки для выбора имен пользователей обоих систем отсутствуют, и здесь удобно было бы пользоваться рабочим бланком, заполняя его.

Пункт Hybryd User Parameters меню Hybryd User устанавливает для гибридного пользователя используемые по умолчанию номера uid и gid (идентификаторы пользователя и группы). Оба номера по умолчанию равны 0, что не дает гибрибному пользователю особых полномочий. Вносимые вами в параметры гибридного пользователя изменения влияют на новых создаваемых вами гибридных пользователей.

Предоставление NetWare-клиентам доступа к файлам Unix

Расположение файловой структуры NetWare в файловой системе Unix может не совпадать с обычным маршрутом. Обычно групповые файлы Unix отстоят от каталога /usr не более чем на три уровня.

Хотя большинство администраторов ощущают необходимость обеспечить доступ к другой платформе каждого индивидуального пользователя, это обычно излишне. Проанализировав ситуацию, администраторы легко обнаружат, что эти многие из этих пользователей имеют такие полномочия доступа, которые для работы им не требуются. С учетом этого, нетрудно выделить на обеих платформах несколько пользователей, которых можно отнести к "межплатформным экспертам". Эти люди будут отвечать за размещение и считывание файлов в других системах.

Как квалифицированные пользователи, так и новички в работе с компьютером с помощью предварительно написанного командного файла сценария могут легко выполнять эти функции передачи. Кроме того, идея состоит в том, чтобы люди могли работать с той системой, которая им нравится, получая при этом доступ ко всей необходимой информации.

Администратору группы Unix потребуется обеспечить использование для передаваемых файлов Unix соглашений по именам DOS. Хотя каждая система NetWare for Unix выполняет трансляцию имен файлов между Unix и DOS, но усечение и изменение имен может привести к ошибкам. Постарайтесь немного обуздать эгоизм бригады Unix, чтобы они не могли использовать в своей борьбе против DOS более гибкий механизм имен файлов Unix. Все файлы Unix, к которым обращаются пользователи DOS, должны иметь формат имен, соответствующий формату DOS.

Доступа к файлам NetWare клиента Unix

С другой стороны, пользователи Unix без особого труда могут обращаться к файлам NetWare. Соглашения по именам не представляют здесь проблемы, так что пользователям DOS не нужно беспокоиться об именах файлов, которые они подготавливают для Unix.

Единственное, о чем нужно беспокоиться, это полномочия доступа в файловой структуре NetWare. Важно также правильно задать гибридного пользователя. Гибридный пользователь создается для того, чтобы пользователь Unix мог получить доступ к файлам, владельцем которых является пользователь NetWare. Если пользователь NetWare MARY регистрируется в хост-системе Unix как mary, то она должна получить полный доступ. Если она является гибридным пользователям, то такой доступ у нее будет.

[Назад] [Содержание] [Вперед]

VPS в 21 локации

От 104 рублей в месяц

Безлимитный трафик. Защита от ДДоС.

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...