Integrarea Sistemului de Operare Windows Nt In Mediul Linux
CUPRINS
CUPRINS
1. NOȚIUNI ALE REȚELELOR LOCALE (LAN)
1.1 Noțiuni concepte ale operării în rețea
1.2 Modelul de referință ISO – OSI
1.2.1 Modelul de referință Open System Interconnection (OSI)
1.2.2 Modelul de referință Transmission Control Protocol / Internet Protocol (TCP/IP)
1.2.3. Comparație intre modelele OSI si TCP/IP
2. PLANIFICAREA REȚELEI INFORMATICE PUBLICE LOCALE (RIPL)
2.1 Examinarea condițiilor existente
Gestiuni
2.2 Planificarea cerințelor rețelei
3.3 Alegerea sistemului de operare în rețea (NOS)
2.4 Planificarea nivelului logic al rețelei
2.5 Amplasarea serverelor în rețea
2.6 Planificarea tehnologiei de rețea
2.6.1 Alegerea tehnologiei de rețea
2.6.2 Alegerea unei tehnologii pentru tronsonul de bază al rețelei (backbone)
2.7 Proiectarea mediului fizic de transmisie ai rețelei
2.8 Modele de securitate în sistemul Windows NT
2.8.1 Modelul de securitate bazat pe grupuri de lucru
2.8.2 Modelul de securitate bazat pe domenii
2.8.3 Structurarea domeniilor
2.8.4 Roluri diferite pentru Windows NT Server
2.8.5 Servere cu destinație specială utilizate în RIPL
2.9 Licențierea soft-ului de rețea
3.9.1 Licențierea "per server"
3.9.2 Licențierea "per post de operare" (per seat)
3.9.3 Modul de aplicare al licențelor
3. Topologia FDDI cu inel dublu
3.1 Porturi și stații
3.2 Înfășurarea inelului
3.3 Transmiterea datelor într-un inel FDDI
3.3.1 Folosirea luminii pentru codarea biților
3.3.2 Cadre FDDI
3.4 Probleme frecvente în cazul folosirii interfeței FDDI
3.4.1 Înfășurarea inelului
3.4.2 Erori de inițializare a inelului si în secvența de verificare a cadrului
3.4.3 Reparațiile
4. HARTA REȚELEI RIPL
4.1 Logică sau Fizică
4.1.1 Crearea hărții logice a rețelei RIPL
4.1.2 Crearea unei hărți fizice a rețelei RIPL
4.2 Crearea unei liste proprii de întrebări puse frecvent
5. REALIZAREA CONECTĂRILOR LA RIPL A REȚELELOR ETHERNET ALE INSITUȚIILOR PUBLICE CLIENT
5.1 Alegerea cablului potrivit
5.2 Realizarea de cabluri bifilare torsadate proprii
5.3 Realizarea rețelei
5.3.1 Adaptorul de rețea
5.3.2 Instalarea adaptorului de rețea
5.3.3 Testarea adaptoarelor si conexiunilor de rețea
5.3.4 Cabluri și conexiuni între calculatoare
5.3.5 Distribuitor/Comutator/Punct de acces
5.3.6 Instalarea componentelor software de rețea
5.3.7 Configurarea componentelor software de rețea
6. Conectare, partajări de fișiere și imprimante utilizând Windows NT
6.1 Conectarea la sistemul Windows NT
6.2 Conectarea la un calculator NT
6.3 Conectarea la un domeniu NT
6.4 Conturi Windows NT
6.4.1 Crearea unui cont de utilizator NT
6.4.2 Atribuirea utilizatorilor la grupuri
6.5 Scripturi de conectare
6.6 Crearea de partajări de fișiere și imprimante pe severe Windows NT 4.0
6.6.1 Partajări de fișiere
6.6.1 Permisiunile de acces la fișiere
6.6.2 Partajarea de fișiere
6.6.3 Crearea de partajări de imprimante
6.7 Aplicații de rețea
6.7.1 Telnet
6.7.2 PING
6.7.3 FTP
6.7.4 DNS
7. Integrarea sistemului de operare Windows NT în mediul Linux
7.1 Conversia conturilor de utilizator
7.1.1 Permisiuni
7.1.2 Grupuri
7.1.3 Lucrul cu utilizatorii Linux
7.1.4 Formatul si localizarea conturilor de utilizator
7.1.5 Informații despre utilizator
7.1.6 Crearea directorului de bază
7.1.7 Atribuirea proprietății
7.1.8 Atribuirea unui utilizator la un grup
7.1.9 Copierea profilurilor
7.1.10 Ștergerea utilizatorilor
7.2 Partajările de fișiere și de imprimante
7.2.1 Permisiuni de fișiere
7.2.2 Imprimante
7.3 Transferul de fișiere
7.4 DNS
8. MĂSURI DE MONITORIZARE
8.1 Sistem Linux
8.2 Sisteme Windows NT
8.2.1 Configurarea evenimentelor pentru care trebuie făcut auditul
8.2.2 Evenimente referitoare la fișiere si directoare
9. MĂSURI DE SECURITATE DE BAZĂ
9.1 Reguli și proceduri
9.1.1 Reguli de conectare în rețea
9.1.2 Declarația de acceptare a utilizării și regulile generale de folosire
9.1.3 Proceduri în caz de escaladare
9.2 Scrierea propriilor reguli de securitate
9.3 Măsuri fizice de securitate
9.3.1 Sistemul de încuiere a ușii
9.3.2 Alimentarea de la o sursă neîntreruptibilă (UPS)
9.3.3 Măsuri preventive: controlul accesului
9.3.4 Identificarea utilizatorilor
9.4 Protecția resurselor
9.5 Folosirea auditului
9.6 Parolele
9.6.1 Folosirea unor parole corespunzătoare
9.6.2 Reguli privind parolele
9.7 Servere de aplicații
10.8 Virușii de calculatoare
BIBLIOGRAFIE
1. NOȚIUNI ALE REȚELELOR LOCALE (LAN)
1.1 Noțiuni concepte ale operării în rețea
Rețeaua locală (LAN): O rețea locală interconectează calculatoarele aflate într-un anumit loc de dimensiuni nu prea mari cum ar fi o clădire de birouri sau o școală. Pentru a comunica între ele, calculatoarele folosesc rețeaua locală. Componentele rețelei pot comunica între ele utilizând diferite medii fizice de transmisie cum ar fi cablul de cupru, cablul de fibră optică (sticla), unde radio sau unde infraroșii.
Calculatorul personal: Un calculator personal este o mașină proiectată să fie utilizată de o singură persoană și poate rula diferite programe, poate stoca și afișa informații. Un LAN care include mai multe calculatoare personale și un server de fișiere poate fi conectat în același mod în care un calculator mainframe este conectat la terminalele sale, dar o rețea locală este mult mai flexibilă deoarece calculatoarele personale vor putea rula programe independent de serverul de fișiere.
Cablul de rețea: Pentru interconectarea calculatoarelor, rețelele locale utilizează anumite tipuri de cabluri de rețea. Astfel, într-o rețea se poate instala fire pereche de cupru torsadată, cablu coaxial subțire (Thinnet), cablu coaxial gros (Thicknet) și cablu de fibră optică (FO). Cablul este acel mediu ce transportă semnalele cu ajutorul cărora calculatoarele pot comunica într-o rețea.
Placa de interfață cu rețeaua: Placa de interfață cu rețeaua (NIC – network interface card) conectează calculatorul la cablul rețelei și traduce datele generate de calculator într-un anumit format ce poate fi transmis prin mediul fizic de interconectare.
Protocoalele de transport în rețea: Pentru ca două calculatoare conectate la rețea să poată comunica, ele trebuie să asocieze un înțeles comun aceleiași secvențe de semnale (electrice sau optice). În momentul când un calculator trimite anumite informații altui calculator, calculatorul destinație trebuie să fie pregătit pentru a le recepționa. Protocoalele de transport stabilesc sensul comun asociat semnalelor, ce date vor fi transmise și în ce ordine și modul de negociere al transmiterii și recepției de date.
Concentratorul pentru conexiuni (hub): Un hub conectează într-un anumit mod cablurile sosite într-un punct central. Anumite hub-uri redistribuie un semnal sosit pe unul din cabluri prin celelalte cabluri care sosesc la ele. Alte hub-uri mai sofisticate pot determina destinația unui pachet sosit pe unul din cabluri și pot retransmite pachetul doar pe cablul corespunzător destinației acestuia.
Serverul: Deși hub-ul este punctul central fizic al majorității rețelelor, totuși, pentru comunicațiile în rețea, rolul principal este îndeplinit de server. Intr-o rețea, un server va valida cererile de login ale clienților și va oferi spațiu de stocare pentru date. Modul de conectare la rețea al unui server este identic cu cel al oricărui alt calculator; ceea ce face dintr-un sistem server punctul central al oricărei rețele este tocmai software-ul pe care îl rulează. În mod uzual, serverul este cel mai puternic sistem din întreaga rețea.
Calculatoarele client: Clienții sau calculatoarele client sunt acele calculatoare ce depind de serverul rețelei pentru validarea procedurilor de login și stocarea de fișiere. Deși un client este echipat, de obicei, cu un anumit spațiu de stocare (pe hard disc) propriu pentru stocarea fișierelor program, fișierele utilizatorului sunt stocate în mod tipic pe serverul de fișiere și nu pe discul clientului. Spre deosebire de majoritatea serverelor, calculatoarele client execută programe pentru utilizator și interacționează în mod direct cu acesta.
Calculatoarele peer (pereche): Un calculator peer nu execută doar programe și interacționează cu utilizatorul (precum un client), ci își poate folosi în comun propriul spațiu pe hard disc sau imprimantă la care e atașat cu alte calculatoare din rețea (precum un server). Totuși, un calculator peer nu va valida cererile de login ale altor calculatoare și, de obicei, nu este dedicat stocării fișierelor altor calculatoare. În schimb, un calculator peer este utilizat ca un client și, ocazional, fișierele stocate pe hard discul acestuia sunt puse la dispoziția celorlalte calculatoare din rețea.
Echipamente de interconectare de rețea:
– Repetor
Repetorul are rolul de a copia biți individuali între segmente de cablu diferite, și nu interpretează cadrele pe care le recepționează, și reprezintă cea mai simplă și ieftină metodă de extindere a unei rețele locale. Pe măsură ce semnalul traversează cablul, el se degradează și este distorsionat. Acest proces poartă numele de atenuare. În corespondență cu modelul OSI repetorul funcționează la nivelul fizic, regenerând semnalul recepționat de pe un segment de cablu și transmițându-l pe alt segment.
– Punte
Punte (se mai întâlnește și sub denumirea de: pod, bridge), lucrează la subnivelul MAC (Media Access Control) și funcționează pe principiul că fiecare nod de rețea are propria adresă fizică. Puntea interconectează rețele LAN de același tip sau de tipuri diferite. În corespondență cu modelul OSI puntea lucrează la nivelul legăturii de date (nivelul 2 – subnivelul MAC) și în consecință operează cu adresele fizice ale calculatoarelor. Spre deosebire de repetor, puntea este capabilă să decodeze cadrul pe care-l primește pentru a face prelucrările necesare transmiterii pe rețeaua vecină.
– Ruter
Ruter-ul funcționează la nivelul rețea al modelului ISO/OSI și este utilizat pentru interconectarea mai multor rețele locale de tipuri diferite, dar care utilizează același protocol de nivel fizic. Utilizarea lor asigură o mai mare flexibilitate a rețelei în ceea ce privește topologia acesteia. Ruter-ul permite rutarea mesajelor de la sursă la destinație atunci când există mai multe posibilități de comunicare între cele două sisteme. În general un ruter utilizează un singur tip de protocol de nivel rețea, și din acest motiv el nu va putea interconecta decât rețele la care sistemele folosesc același tip de protocol.
– Bruter
Este un echipament care combină calitățile unei punți și ale unui repetor. El poate acționa ca ruter pentru un anumit protocol și ca punte pentru altele.
– Porți
Porțile de acces, numite și gateway fac posibilă comunicația între sisteme de diferite arhitecturi și medii incompatibile. În general aceste echipamente permit conectarea la un mainframe a rețelelor locale. Porțile reprezintă de obicei servere dedicate într-o rețea, care convertesc mesajele primite într-un limbaj de e-mail care poate fi înțeles de propriul sistem. Ele realizează o conversie de protocol pentru toate cele șapte niveluri OSI, și operează la nivelul aplicație. Sarcina unei porți este de a face conversia de la un set de protocoale de comunicație la un alt set de protocoale de comunicație. Porțile funcționează la nivelul transport al modelului ISO/OSI.
1.2 Modelul de referință ISO – OSI
Comunicația deschisă se bazează pe două modele, care o transformă într-o realitate practică:
1.2.1 Modelul de referință Open System Interconnection (OSI)
Nivelurile ISO-OSI sunt prezentate pe scurt mai jos.
1.2.2 Modelul de referință Transmission Control Protocol / Internet Protocol (TCP/IP)
TCP/IP este unul din cele mai stabile protocoale de rețea și are o evoluție în direcția satisfacerii cerințelor viitoare și o precizare specială – toate breșele de securitate sunt bine cunoscute. TCP/IP este ușor de instalat pe orice tip de hardware și de asemenea pen uzual, serverul este cel mai puternic sistem din întreaga rețea.
Calculatoarele client: Clienții sau calculatoarele client sunt acele calculatoare ce depind de serverul rețelei pentru validarea procedurilor de login și stocarea de fișiere. Deși un client este echipat, de obicei, cu un anumit spațiu de stocare (pe hard disc) propriu pentru stocarea fișierelor program, fișierele utilizatorului sunt stocate în mod tipic pe serverul de fișiere și nu pe discul clientului. Spre deosebire de majoritatea serverelor, calculatoarele client execută programe pentru utilizator și interacționează în mod direct cu acesta.
Calculatoarele peer (pereche): Un calculator peer nu execută doar programe și interacționează cu utilizatorul (precum un client), ci își poate folosi în comun propriul spațiu pe hard disc sau imprimantă la care e atașat cu alte calculatoare din rețea (precum un server). Totuși, un calculator peer nu va valida cererile de login ale altor calculatoare și, de obicei, nu este dedicat stocării fișierelor altor calculatoare. În schimb, un calculator peer este utilizat ca un client și, ocazional, fișierele stocate pe hard discul acestuia sunt puse la dispoziția celorlalte calculatoare din rețea.
Echipamente de interconectare de rețea:
– Repetor
Repetorul are rolul de a copia biți individuali între segmente de cablu diferite, și nu interpretează cadrele pe care le recepționează, și reprezintă cea mai simplă și ieftină metodă de extindere a unei rețele locale. Pe măsură ce semnalul traversează cablul, el se degradează și este distorsionat. Acest proces poartă numele de atenuare. În corespondență cu modelul OSI repetorul funcționează la nivelul fizic, regenerând semnalul recepționat de pe un segment de cablu și transmițându-l pe alt segment.
– Punte
Punte (se mai întâlnește și sub denumirea de: pod, bridge), lucrează la subnivelul MAC (Media Access Control) și funcționează pe principiul că fiecare nod de rețea are propria adresă fizică. Puntea interconectează rețele LAN de același tip sau de tipuri diferite. În corespondență cu modelul OSI puntea lucrează la nivelul legăturii de date (nivelul 2 – subnivelul MAC) și în consecință operează cu adresele fizice ale calculatoarelor. Spre deosebire de repetor, puntea este capabilă să decodeze cadrul pe care-l primește pentru a face prelucrările necesare transmiterii pe rețeaua vecină.
– Ruter
Ruter-ul funcționează la nivelul rețea al modelului ISO/OSI și este utilizat pentru interconectarea mai multor rețele locale de tipuri diferite, dar care utilizează același protocol de nivel fizic. Utilizarea lor asigură o mai mare flexibilitate a rețelei în ceea ce privește topologia acesteia. Ruter-ul permite rutarea mesajelor de la sursă la destinație atunci când există mai multe posibilități de comunicare între cele două sisteme. În general un ruter utilizează un singur tip de protocol de nivel rețea, și din acest motiv el nu va putea interconecta decât rețele la care sistemele folosesc același tip de protocol.
– Bruter
Este un echipament care combină calitățile unei punți și ale unui repetor. El poate acționa ca ruter pentru un anumit protocol și ca punte pentru altele.
– Porți
Porțile de acces, numite și gateway fac posibilă comunicația între sisteme de diferite arhitecturi și medii incompatibile. În general aceste echipamente permit conectarea la un mainframe a rețelelor locale. Porțile reprezintă de obicei servere dedicate într-o rețea, care convertesc mesajele primite într-un limbaj de e-mail care poate fi înțeles de propriul sistem. Ele realizează o conversie de protocol pentru toate cele șapte niveluri OSI, și operează la nivelul aplicație. Sarcina unei porți este de a face conversia de la un set de protocoale de comunicație la un alt set de protocoale de comunicație. Porțile funcționează la nivelul transport al modelului ISO/OSI.
1.2 Modelul de referință ISO – OSI
Comunicația deschisă se bazează pe două modele, care o transformă într-o realitate practică:
1.2.1 Modelul de referință Open System Interconnection (OSI)
Nivelurile ISO-OSI sunt prezentate pe scurt mai jos.
1.2.2 Modelul de referință Transmission Control Protocol / Internet Protocol (TCP/IP)
TCP/IP este unul din cele mai stabile protocoale de rețea și are o evoluție în direcția satisfacerii cerințelor viitoare și o precizare specială – toate breșele de securitate sunt bine cunoscute. TCP/IP este ușor de instalat pe orice tip de hardware și de asemenea pentru acest protocol se pot programa ușor diverse aplicații. În contextul, creșterii explozive a Word Wide Web-ului, fiecare calculator trebuie acum „să înțeleagă” TCP/IP pentru a putea să comunice cu un furnizor de servicii Internet.
TCP/IP este alcătuit din patru niveluri :
1.2.3. Comparație intre modelele OSI si TCP/IP
Similitudini :
Se bazează pe conceptul unei stive de protocoale independente;
Funcționalitate similară a nivelurilor [Nivelurile până la nivelul transport-inclusiv, pun la dispoziția proceselor care doresc să comunice un serviciu de transport end-to end independent de rețea (furnizorul de transport); nivelurile de deasupra nivelului transport sunt beneficiari orientați pe aplicații ai serviciului de transport].
Deosebiri:
Concepte esențiale referitoare la modelul OSI :
Serviciul, comunică ce face nivelul, nu cum îl folosesc entitățile de deasupra.
Interfața, comunică proceselor aflate deasupra sa cum să efectueze accesul.
Protocoalele, folosite într-un nivel reprezintă treaba efectivă a nivelului. Nivelul poate folosi orice protocol în funcțiune solicitat.
Protocoalele din modelul OSI sunt mai bine ascunse decât cele din modelul TCP/IP și se pot înlocui relativ ușor pe măsură ce se schimbă tehnologia. Capacitatea de a efectua asemenea modificări reprezintă unul din scopurile principale al organizării protocoalelor pe niveluri în modelul OSI. Când a început să se construiască rețele reale utilizând modelul OSI și protocoalele existente s-a descoperit că acestea (protocoalele) nu se potriveau cu specificațiile serviciului cerut (soluția – s-a introdus convergența subnivelurilor).
În ceea ce privește modelul TCP/IP mai întâi au apărut protocoalele, iar modelul reprezintă de fapt doar o descriere a protocoalelor existente. În consecință protocoalele se potriveau cu modelul, dar modelul nu se potrivea cu altă stivă de protocoale – non TCP/IP.
Diferența evidentă este numărul de niveluri al fiecărui model, o parte dintre aceste niveluri fiind similare.
Modelul OSI suportă ambele tipuri de comunicații (nivel rețea), cât și comunicații orientate pe conexiuni (nivel transport).
Modelul TCP/IP modul fără conexiuni la nivel rețea și ambele moduri de comunicație la nivel transport.
FTP – File Transfer Protocol – permite transferul de fișiere între două calculatoare.
DNS – Domain Name Server – face translatarea adresa IP – nume calculator.
TCP – Transmission Control Protocol – este un protocol orientat pe conexiune, end-to-end, care garantează că toate pachetele au fost livrate în ordinea corectă. Folosit de sistemele Windows de exemplu pentru a mapa discuri de pe alte mașini.
UDP – User Datagram Protocol – protocol neorientat pe conexiune. Folosit de sistemele Windows de exemplu pentru a face browsing în rețeaua locală sau pentru a iniția o sesiune de login.
IP – Internet Protocol – protocol care transportă point-to-point fără a garanta integritatea transferului de date sau atingerea destinației.
DHCP – Dynamic Host Control Protocol – atribuie adrese de IP clienților dintr-o rețea
ARP – Address Resolution Protocol – află adresa Ethernet a unei plăci de rețea cu o adresă de IP cunoscută.
RARP – Reverse Address Resolution Protocol – află adresa IP a unei plăci de rețea cu o adresă de Ethernet cunoscută.
2. PLANIFICAREA REȚELEI INFORMATICE PUBLICE LOCALE (RIPL)
Rețelele, prezintă mai multe nivele. Rețelele se bazează pe o cablare performantă pentru a transporta semnalele electrice – reprezentând datele – între calculatoare și perifericele conectate în rețea.
Echipamentul ce asigură legătura de date necesită cablarea corectă a rețelei pentru asigurarea comunicației. Acest tip de echipament transmite datele în secvențe de informație numite cadre (frames) adresate diverșilor receptori și asigură integritatea datelor transmise.
Protocoalele de transport de date permit circulația informațiilor între diferite tipuri de echipamente și garantează transmisia integrală a datelor între oricare două noduri ale aceleiași rețele. Protocoalele de transport corespunzătoare unui anumit nivel (layer) adaugă informații proprii de control încapsulate în secvențe de date numite pachete, transportate, la rândul lor, în interiorul cadrelor, furnizând ruterelor1 și sistemelor gateway2 informații referitoare la destinația acestor pachete, eventual alte rețele cu care respectivele sisteme gateway realizează interconectarea. Sistemele de fișiere în rețea (NFS3) și protocoalele de comunicare între procese se bazează pe furnizarea de către protocoalele de transport a fluxurilor continue de date, simulând operațiile îndeplinite de discurile locale și de sistemele cu schimb de mesaje (message-passing systems). Ele maschează detaliile transmiterii de pachete ale protocoalelor, astfel că software-ul de aplicație nu necesită un anumit protocol de transport.
Pentru administrarea procedurilor de intrare în sistem (logon) și a securității rețelei, pentru a asigura transferul de date și a permite comunicația între servere și clienți în cadrul aplicațiilor client/server, sistemele de operare în rețea (NOS4) se bazează pe NFS și pe protocoalele de comunicație inter-procese. Aplicațiile sunt bazate, la rândul lor, pe interconectarea corectă a clienților la servere pentru a oferi un mediu adecvat îndeplinirii sarcinilor curente.
În final, pentru a-și duce munca la bun sfârșit, utilizatorii folosesc și se bazează pe aplicațiile de rețea. Pentru asigurarea funcționării corecte a întregii rețele, fiecare nivel al acesteia necesită o muncă de planificare specifică.
Planificarea rețelei propuse prin proiectul de față va începe cu stabilirea necesităților utilizatorilor și nu cu planificarea mediului fizic de interconectare (cabluri etc.). Pe măsura definirii cerințelor fiecărui nivel, coborând de la nivelul aplicație către cel fizic, domeniul soluțiilor pentru nivelele inferioare va deveni mai clar. Pașii necesari pentru crearea și implementarea corectă a unei rețele sunt următorii:
examinarea condițiilor existente;
planificarea cerințelor rețelei;
alegerea sistemului de operare în rețea;
planificarea rețelei;
planificarea structurilor fizice de interconectare (physical plan).
2.1 Examinarea condițiilor existente
Primul pas ce trebuie realizat în munca de planificare a unei rețele este stabilirea cerințelor de operare ale companiei. Examinarea condițiilor existente este menită să răspundă următoarelor întrebări :
Câte calculatoare sunt utilizate în prezent în cadrul autorităților și instituțiilor care vor fi conectate în RIPL? Răspunsul va determina dimensiunea rețelei, numărul serverelor necesare, cantitatea și tipul echipamentelor de la nivelul legăturii de date de care este nevoie.
Care sunt tipurile de calculatoare folosite în prezent în cadrul autorităților și instituțiilor care vor fi conectate în RIPL? Aceasta va stabili sistemul de operare ales pentru a rula în rețea, protocoalele de transport ce vor fi folosite și anumite servicii de care va fi nevoie.
Ce tipuri de periferice speciale (cum ar fi imprimantele) sunt folosite în prezent în cadrul autorităților și instituțiilor care vor fi conectate în RIPL? Acest pas este necesar pentru stabilirea echipamentului adițional, ca de exemplu serverele de tipărire (print servers), de care s-ar putea să fie nevoie.
Care sunt serviciile utilizate (cum ar fi Internet sau servicii private WAN)? Pasul de față facilitează în continuare "izolarea" unui anumit sistem de operare, precum și identificarea unui eventual software terț (third-party) necesar.
Ce software se utilizează în mod curent în prezent în cadrul autorităților și instituțiilor care vor fi conectate în RIPL? Există software gata dezvoltat pentru rețele (network ready software1) care poate rula doar sub anumite NOS. în cazul în care rețeaua RIPL va folosi acest tip de software, alegerea unui NOS poate fi, în acest caz, limitată.
Va integra rețeaua RIPL subrețelele locale existente? Aceste subretele locale vor trebui să fie compatibile cu RIPL care va fi instalată putându-se decide migrarea lor spre tehnologia aleasă pentru noua rețea.
Schema de acces la date/informații
la nivel de autoritate
2.2 Planificarea cerințelor rețelei
Următorul pas în planificarea rețelei este precizarea a ce anume dorim să ne ofere noua rețea implementată. Cerințele comune includ :
Suportul pentru facilități groupware și e-mail. Aste vitală este pentru administrația locală munca în echipă.
Furnizarea de resurse partajate pentru stocarea fișierelor și tipărire. Aproape orice rețea locală existentă în instituțiile care vor fi conectate îndeplinesc această cerință.
Asigurarea accesului într-un mod simplu și rapid la Internet sau rețele WAN private. Această cerință este asigurată, dar este plină de capcane și foarte riscantă pentru securitatea rețelei, motiv pentru care securizarea rețelei va avea un rol determinant.
Stabilirea în rețea a unui nod central de securitate și control. Securitatea datelor este mai importantă decât operarea în rețea. Fiecare instituție va stabili reguli interne și va stabili noi legități în funcționarea rețelelor lor prin administratorii de rețea care există la toate instituțiile publice care vor fi conectate.
O administrare centralizată a rețelei și reducerea supraîncărcării rețelei (datorată pregătirii specifice implicată de utilizarea rețelei – training burden). Stabilirea un set de proceduri simple pentru operații curente cum ar fi adăugarea de noi utilizatori, atribuirea parolelor și oferirea de servicii uzuale de pregătire vor asigura o funcționare normală a rețelei.
Acceptarea întregului echipament hardware existent. Se acceptă sisteme (hardware) moștenite (legacy systems) la fiecare instituție publică conectată.
Implementarea funcției de arhivare și de refacere a datelor după dezastre (defecțiuni tehnice etc.)- Această cerință este destul de ușor de implementat într-o rețea bazată pe server (server based network) deoarece acest tip de rețele deține puncte centrale de stocare a datelor. Acest deziderat se va atinge prin stabilirea administratorilor asupra rețelelor interconectate.
Stocarea distribuită a bazelor de date partajate. Serverele suportă duplicarea datelor partajabile pe diferite alte servere pentru a garanta disponibilitatea informațiilor oricui dorește să le acceseze. Duplicarea presupune sincronizarea bazelor de date aflate în locuri diferite.
Creșterea vitezei cu care informațiile pot fi accesate și partajate în cadrul rețelei. Cu ani în urma – când serviciile de poșta electronica și rețelele de calculatoare nu erau încă accesibile – utilizarea în comun a datelor de către două persoane aflate în orașe diferite însemna o săptămână bună de așteptare după serviciile poștale clasice. Nici chiar serviciile de fax nu satisfac suficient necesitățile de partajare a informațiilor mai complexe. Tehnologiile groupware și e-mail însă pot transmite în mod rapid și eficient, în orice colț al lumii, orice tip de informație, de la pagini de test (blueprints) la prezentări video. Se vor utiliza serviciul Messenger din dotarea Windows XP Profesional sau Windows NT Server 2003.
Fiecare instituție publică își are propriile sale cerințe. Problemele abordate mai sus sunt destinate să ne ajute la stabilirea necesităților rețelei, prin utilizarea listelor prezentată anterior prin examinarea mediul de operare existent (în prezent) în cadrul instituțiilor publice care vor fi conectate. Aceste două seturi de indicații constituie problemele țintă ce trebuie luate în considerare la implementarea rețelei RIPL, fiind în același timp o listă de control (checklist) pentru evaluarea tehnologiilor și sistemelor de rețea.
3.3 Alegerea sistemului de operare în rețea (NOS)
După stabilirea cerințelor rețelei, următorul pas ce trebuie parcurs este, în primul rând, alegerea unui sistem de operare în rețea, deoarece această decizie este determinantă pentru selectarea configurației hardware a serverului și poate determina tipul de protocoale de transport suportate. Acestea, la rândul lor, influențează decisiv tipul de echipament de legătură de date care, la rândul său, determină cablajul rețelei. După cum se poate observa, pașii de urmat subliniază încă o dată justețea algoritmului top – down (de la vârf către bază) de proiectare a rețelei.
Cu toate că puteți alege viitorul NOS dintr-o gamă destul de bogată, Windows NT este cel mai modern NOS disponibil. Suportul pentru caracteristici avansate cum ar fi multiprocesarea simetrică, sistemele de securitate incluse în structura de bază a arhitecturii sale, multitasking-ul preemptiv și sistemele tolerante la defecte (incluzând aici și oglindirea discului – disk mirroring – și striping-ul cu paritate) fac din Windows NT cel mai fiabil și sigur NOS de pe piață. Fiabilitatea și mecanismele de securitate de excepție, împreună cu suportul puternic pentru servicii TCP/IP și intranet/Internet, precum și costul scăzut comparativ cu alte NOS îl recomandă cu prisosință pentru noile rețele instalate.
Verificați fiecare NOS de pe lista dvs. pentru a vă asigura că satisface condițiile existente și cerințele planificate ale rețelei. Alegeți-1 apoi pe cel care le îndeplinește cel mai bine.
Odată ce ați ales un anumit NOS, asigurați-vă că nu introduce el însuși probleme specifice. Spre exemplu, multe NOS-uri vechi obligă utilizatorul să execute un login separat pe fiecare server. Dacă acest dezavantaj poate fi trecut cu vederea în rețelele mai mici, în cele mari ce conțin servere multiple este un real impediment.
Veți dori să aflați ce muncă administrativă (administrative burden) implică diferitele NOS. Unele sunt foarte ușor de administrat, în timp ce altele sunt atât de dificile încât creează utilizatorilor greutăți considerabile, în special în rețelele mari. Dacă aveți de gând să implementați instrumente de administrare automată a rețelei precum SNMP sau DHCP, va trebui să planificați aceste lucruri acum, pentru avă asigura că echipamentul hardware și software-ul achiziționate ulterior le vor suporta.
Windows NT poate satisface cele mai pretențioase criterii, fiind o alegere excelentă atât pentru cerințele generale de rețea – servicii partajate de fișiere și tipărire – cât și pentru aplicații specifice – server de aplicații și servicii Internet – sau pentru utilizarea ca gateway sau firewall ("zid de foc" sau de protecție).
Windows NT suportă toate protocoalele folosite în mod curent, cum ar fi TCP/IP (utilizate în rețelele UNIX, LINUX și în Internet), IPX (utilizat în rețelele Novell Netware), NetBEUI (utilizat de rețelele Windows și IBM) și Appletalk (folosit de către rețelele Apple Macintosh). Aproape orice calculator suportă cel puțin unul din aceste protocoale, făcând astfel din Windows NT o alegere simplă. Pentru serverele de aplicații și fișiere se alege NOS – Windows NT iar pentru serverele de internet și date se alege NOS – LINUX, evident ultimele versiuni.
2.4 Planificarea nivelului logic al rețelei
Planificarea nivelului logic al rețelei implică alegerea unui protocol de transport, a anumitor tehnologii pentru nivelul legătură de date și divizarea rețelei în subrețele și domenii de securitate.
Terminologia specifică rețelelor de calculatoare
Terminologia specifică rețelelor de calculatoare poate fi caracterizată ca fiind confuză și neconsecventă. Acest scurt glosar definește termenii utilizați în cartea de față:
subrețea se referă la o zonă de rețea folosită în comun, cum ar fi, de exemplu, "domeniul de coliziune" al pachetelor unei rețele Ethernet (Ethernet collision domain) sau un inel Token Ring;
Rețeaua desemnează un grup de subretele interconectate prin punți (bridges) sau elemente de comutare;
Inter-rețeaua desemnează mai multe rețele interconectate prin rutere;
Internet se referă la inter-rețeaua globală de calculatoare "gazdă" (host) ce utilizează protocolul TCP/IP și la care sunt interconectate majoritatea organizațiilor guvernamentale și companiilor;
Intranet se referă la inter-rețelele TCP/IP care se află în întregime în interiorul unei anumite organizații, dar care folosesc software și metode standardizate pentru Internet.
Domeniu se referă la o zonă partajată de securitate a rețelei în cadrul căreia un server de autentificare (authentication server) va putea valida cererea de acces în domeniu a oricărui utilizator client, permițându-i ulterior accesul la toate resursele partajate disponibile din acel domeniu. Acest tip de domeniu ("domeniul de securitate") nu este același cu "domeniul din rețeaua Internet", care desemnează o grupare logică de calculatoare host TCP/IP, sau cu "domeniul de coliziune Ethernet", care se referă la o singură subrețea Ethernet.
Planificarea rețelei din punct de vedere logic este adesea etapa cea mai dificilă deoarece nu există metode clare pentru a măsura sau determina cerințele și modul de utilizare al rețelei.
Pașii de parcurs în cazul proiectării logice sunt următorii:
Estimarea încărcării produse în rețea de către calculatoarele client (client – load);
Determinarea tipului de tehnologie pentru nivelul de legătură de date care să suporte încărcarea respectivă;
Determinarea tipurilor de cabluri care suportă acea tehnologie de legătură de date;
Luarea deciziei dacă serverele vor fi centralizate sau distribuite în rețea;
Desenarea unei schițe (layout) a rețelei.
Pentru estimarea capacităților maxime de încărcare a rețelei, vom avea nevoie de o metrică (modalitate de măsurare) pentru a putea compara tehnologii de rețea foarte diferite și a le raporta la cerințele clienților, chiar fără a cunoaște exact modul în care clienții vor fi utilizați în rețea.
O bună metodologie de lucru va îndeplini anumite condiții:
va putea fi utilizată pentru compararea diferitelor tipuri de tehnologii de legătură de date;
va putea fi utilizată pentru planificarea amplasării fizice a calculatoarelor în rețea;
va fi capabilă să ofere o estimare asupra cantității și tipului de echipament hardware necesar implementării rețelei;
În cele ce urmează, vom descrie o metodă simplă cu care vom planifica rețeaua RIPL, bazată pe încărcarea maxim admisibilă suportată de diferite tehnologii. De exemplu, o singură rețea Ethernet de 10 Mb/s poate suporta un număr maxim de 50 clienți DOS. Aceeași rețea Ethernet poate suporta, fără ca fiabilitatea rețelei să aibă de suferit, aproximativ 20 de clienți Windows NT Workstation.
Desigur, aceste estimări nu sunt absolute – destinația și modul de utilizare al calculatorului client vor determina, în mare măsură, ponderea sa (sau încărcarea individuală) în cadrul rețelei; de asemenea, estimările privind încărcarea diferiților clienți se vor schimba odată cu evoluția tehnologiilor de rețea. Prin uniformizarea caracteristicilor de utilizare a calculatoarelor client, putem ajunge la o valoare medie a încărcării.
Metoda prezentată poate fi utilă dacă vom folosi calculatoarele în mod obișnuit. In cazul unor aplicații care necesită o lărgime de bandă mai mare (bandwidth), valoarea încărcării produse de clienți trebuie modificată în sens crescător.
Încărcări specifice pentru clienții obișnuiți Am determinat valoarea încărcării (prezentată în Tabelul 2.1.) împărțind 100 la numărul maxim de clienți, de tipul precizat, ce pot opera într-un segment Ethernet singular. Analizând schițele transmise de instituțiile publice cu toate calculatoarele folosite în prezent, instituții care se vor conecta la RIPL, le vom încadra într-unul din tipurile precizate în tabelul de mai jos. Se adună valorile pentru a obține valoarea totală a încărcării pe RIPL.
TABELUL 1 Valori de încărcare client – load) pentru diferiți clienți
În urma analizei calculatoarelor din instituțiile publice care vor fi conectate la RIPL a rezultat următoarea încărcare:
TABELUL 3 Valori de încărcare client – load) pentru RTPLM
Capacitățile de încărcare ale echipamentelor de legătură de date O comparație între tehnologiile nivelului legătură de date este destul de dificil de realizat datorită faptului că acestea utilizează metode diferite de partajare a mediului de transmisie a datelor. De exemplu, deși Token Ring (inel cu jeton) folosește o viteza de transmisie mai mare decât Ethernet, un client trebuie să aștepte sosirea jetonului (token) pentru a putea transmite, ceea ce face ca topologia Ethernet să pară mai promptă în transmiterea datelor. Creșterea numărului de clienți într-o rețea de topologie Token Ring va încetini viteza de transmisie în rețea a datelor într-un mod previzibil, în timp ce suprasarcina (overloading) într-o rețea Ethernet poate cauza încetarea bruscă a emisiei tuturor calculatoarelor din rețea. Aceste diferențe sunt menite să ne demonstreze că o comparație bazată pe vitezele de transmisiune a datelor în rețelele analizate este lipsită de orice semnificație.
În loc să realizăm o comparație bazată pe criteriul vitezei de transfer "brute", am ales să folosim modelul cazului cel mai nefavorabil pentru determinarea numărului maxim de clienți ce pot fi conectați, în mod util, într-un mediu de rețea partajat. Apoi am aplicat această grilă de comparație capacităților altor tipuri de rețele ce nu folosesc un mediu de rețea partajat, cum ar fi ATM, pentru a vedea felul în care rețelele pot fi înglobate în inter-rețele.
La implementarea unei inter-rețele, numărul de calculatoare utilizate într-o rețea componentă devine o încărcare (sarcină) pentru acea inter-rețea. De exemplu, un inel FDDI, cu o valoare a capacității de încărcare (load) de 1000, poate suporta până la 10 rețele Ethernet, fiecare având o capacitate de încărcare cu valoarea 100. În cazul RIPL avem 8 rețele Ethernet care vor fi conectate la FDDI.
În tabelul 2 sunt prezentate capacitățile de încărcare pentru diferite tehnologii de legătură de date.
TABELUL 2 Capacități de încărcare pentru diferite tehnologii
OC – Optical Carrier (purtător optic); termenul este utilizat în ierarhia digitală de transmisiuni SONET (Synchronous Optical Network) din SUA pentru a desemna vitezele de transmisiune a semnalelor digitale pe fibră optică. Astfel:
• OC-l este viteza de bază ( 51.84 Mb/s)
• OC-3 = 3 x OC-1 = 155.52 Mb/s (corespunde cadrului multiplex STMl din ierarhia europeană SDH-Synchronous Digital Hierarchy)
• OC-12 = 12 x OC-1 = 622.08 Mb/s (= STM4)
• OC – 48 = 48 x OC-1 = 2.488 Gb/s (= STM16) (n.t.)
Pentru RIPL s-a ales tehnologia FDDI ci fibră optică ci 4 conductoare 2×2. Elementele constitutive ale RTPLM cu următoarele caracteristici tehnice:
1. SERVERE SPECIALIZATE
Brand FUJITSU-SIEMENS – Sistem Server tip PRIMERGY TX200 S2f 1x XEON 3.0GHz/ 512MB/ CD/ 3x 73GB/ RAID 5
Specificații /caracteristici tehnice
Brand PHILIPS – Monitor PHILIPS 170S6FB, 17"LCD, 12ms, 500:1,250cd/ m2, negru, TCO99
Specificații /caracteristici tehnice
Periferic de intrare PC – Tastatură MS Kit Wireless Optical Desktop Standard PS2/ USB Black
Periferic de ieșire PC – Boxe PowerMax 60, Stereo Speakers, Putere (RMS): 2×0,8w; 120Hz-18KHz, amplificator, reglaj volum
2. Router
Brand , 1*RJ11, 1*RJ45, USB Port
3. Cablu fibră optică
Cablu fibră optică – Cablu FO-MM int/ ext, 4 fibre, nearmat, tip UNI-LU
Specificații /caracteristici tehnice
4. Conectori de fibră optică
Brand Allied Telesyn – Conectori de fibră optică – conector FO-MM Jack tip: MT-RJ/SC – 50/125 µm, DUPLEX
5. Switch cu 16 porturi
Brand Allied Telesyn – Switch cu 16 porturi tip – AT-FS716 16*10/100TX Switch, int. PSU, rack mountable
2.5 Amplasarea serverelor în rețea
Odată realizată schița rețelei, este momentul să se decidă care va fi amplasarea optimă a serverelor. Consiliul Local Motru optează pentru soluția amplasării serverelor într-o cameră situată central în cadrul clădirii, ceea ce este de natură să reducă munca administrativă. Amplasarea centralizată a serverelor oferă, de asemenea, un acces la fel de rapid tuturor utilizatorilor care, în activitatea de zi cu zi, trebuie să se conecteze la diferite servere de aplicație. Din nefericire, amplasarea centralizată necesită un backbone de foarte mare viteză deoarece trebuie să suporte traficul întregii rețele către servere.
Figura următoare ilustrează rețeaua de servere centralizate proiectată
– REȚEAUA INFORMATICĂ PUBLICĂ LOCALĂ MOTRU –
2.6 Planificarea tehnologiei de rețea
Fiecare tip de tehnologie de legătură de date ce operează într-un mediu partajat poate suporta un număr limitat de calculatoare client. In mod concret, numărul de clienți variază de la rețea la rețea, în funcție de încărcarea maxim admisibilă, dar chiar și cele mai rapide rețele ce folosesc medii partajate nu ajung prea departe în acest sens. Pentru realizarea de rețele pe arii mai întinse decât cele ce pot fi acoperite de o singură rețea pe mediu partajat, vor trebui utilizate dispozitive de interconectare.
Odată ce echipamentul fizic a fost instalat, urmează etapa interconectării diferitelor subretele. Aceasta se realizează cu ajutorul anumitor dispozitive numite punți (bridges), rutere (router) și comutatoare (switches).
Punțile conectează două rețele similare. Ruterele sunt utilizate pentru interconectarea subrețelelor de tehnologii diferite. Comutatoarele, în funcție de tipul fiecăruia, pot interconecta mai multe subrețele de tehnologii similare sau diferite.
2.6.1 Alegerea tehnologiei de rețea
După ce a fost determinată valoarea încărcării/client a rețelei, devine posibilă stabilirea celei mai adecvate tehnologii de rețea ce va putea suporta această valoare. Tehnologiile de rețea cel mai des folosite sunt următoarele :
• Ethernet;
• Token Ring;
• ATM 25;
• Fast Ethernet;
• FDDI;
• ATM 155.
Deși din punct de vedere tehnic ați putea avea de ales între mai multe tehnologii, prin costul redus și ușurința în utilizare, Ethernet surclasează majoritatea tehnologiilor de legătură de date.
Disponibil în prezent în două variante, 10 și 100 Mb/s, Ethernet este suficient de rapid pentru a satisface clienții cei mai pretențioși în ceea ce privește lărgimea de bandă. O altă variantă (recent pusă la punct), numită Gigabit Ethernet, promite să ofere viteze mari și costuri reduse, fiind totodată capabilă să interconecteze chiar și cele mai mari rețele implementate în campusuri. Predominanța tehnologiei Ethernet pe piața tehnologiilor de legătură de date fac din Gigabit Ethernet o alegere foarte la îndemână.
Ethernet suportă toate tehnologiile uzuale pentru cablurile de rețea și fibră optică cum sunt cablul coaxial, cablul bifilar torsadat neecranat (UTP) și fibra optică. Multe din rețelele Ethernet ce vor fi implementate vor opta pentru cablul torsadat (similar celui telefonic), deoarece acesta rezolvă în mare parte problemele ridicate la cablare de către cablul coaxial, fiind și mai ieftin decât fibra optică. Fibra optică se folosește în mod curent la conectarea inter-rețelelor în clădirile mari sau în campusuri.
2.6.2 Alegerea unei tehnologii pentru tronsonul de bază al rețelei (backbone)
Alegerea unei tehnologii pentru backbone-ul rețelei este întrucâtva o operație mai complexă decât alegerea tehnologiei de rețea pe mediu comun. Spre deosebire de subrețele, unde alegerea ar trebui să fie evidentă, nici o tehnologie backbone nu o surclasează pe alta, din punct de vedere al prețului, performanței sau ușurinței în utilizare. In prezent, majoritatea backbone-urilor de mare viteză operează la viteze de 100 Mb/s FDDI; FDDI este o tehnologie de inel ce suportă interconectarea rețelelor mari și dispersate pe arii geografice foarte întinse. Totuși, tehnologia FDDI prezintă un cost foarte ridicat și, în ciuda (și parțial chiar datorită) caracteristicilor redundante, este destul de dificil de utilizat. Ca tehnologie backbone, se poate spune că FDDI este relativ depășită chiar la 100 Mb/s.
Mulți integratori de rețea utilizează ATM ca tehnologie backbone. ATM folosește comutatoare de circuite de mare viteză pentru conectarea diferitelor părți ale rețelei într-o ierarhie de tip stea. Inițial, ATM a fost proiectat ca un serviciu destinat diverselor tipuri de trafic – de voce, telefonic și video -, prezentând anumite probleme la încapsularea pachetelor de lungime mare utilizate în mod tipic de protocoalele de transport precum TCP/IP.
Tehnologia Gigabit Ethernet pe canal de fibră optică (Fiber Channel) poate reprezenta o alternativă simplă (și relativ ieftină) la cele două tehnologii backbone de mare viteză prezentate anterior. Totuși, avantajele acestei noi tehnologii sunt bine reflectate la nivelul costurilor de implementare.
Tehnologia Fast Ethernet (Ethernet rapid) full duplex pe fibră optică este cea mai puțin costisitoare tehnologie disponibilă pentru backbone-uri de mare viteză, dar prezintă limitări de distanță, ceea ce o face dificil de implementat în campusuri întinse sau rețelele metropolitane (MAN).
2.7 Proiectarea mediului fizic de transmisie ai rețelei
În același mod în care Ethernet constituie o soluție facilă pentru tehnologia de legătură de date, cablul torsadat neecranat de categorie 5 (UTP – Unshielded Twisted Pair), implementat într-o topologie stea (star wired), este soluția simplă la problemele legate de cablajul rețelei.
Combinația între topologia de conectare tip stea și cablu UTP oferă o depanare ușoară în cazul unei defecțiuni, deoarece un incident la un cablu va afecta un singur calculator. Nu există anumite reguli privind terminatoarele de cablu, numărul maxim de transceivere sau o mulțime de alte probleme întâlnite la cablul coaxial. Cablul UTP permite lucrul la 100 MHz, oferind viteze de până la 155 Mb/s. In cazul în care este nevoie de viteze mai mari, cablajul rețelei va trebui realizat din fibră optică.
Toate rețelele moderne operează cu unul din următoarele două tipuri de cabluri: cablu torsadat neecranat, de categorie 5, sau fibră optică. Restricțiile de distanță pentru UTP prevăd conectarea clienților dintr-o arie mai restrânsă (în jurul a 100 m, lungimea totală a cablului legat la un dulap de conexiuni – wiring closet – într-o arhitectură de tip stea). Cablul de fibră optică interconectează aceste dulapuri de conexiuni pentru a alcătui tronsonul de bază al rețelei.
Deși mai există și alte tipuri de cabluri, toate sunt demodate, cu excepția anumitor cazuri particulare. Avantajele cablului torsadat (UTP) / fibră optică, interconectate într-o topologie stea, depășesc cu mult avantajele minore ale costului redus oferit de cablarea ce utilizează cablul coaxial, oricare ar fi tipul de rețea, cu excepția rețelelor foarte mici de tip peer-to-peer.
Avantajele unei rețele în formă de stea sunt multiple:
• poate emula (simula) toate celelalte tipuri de tehnologii de conectare (inel sau magistrală);
• cost redus;
• adăugarea unei stații de lucru se face prin simpla "tragere" a unui cablu;
• defectele de cablu afectează în mod obișnuit un singur calculator și sunt ușor de izolat.
Rețelele bazate pe topologia de tip stea au un singur dezavantaj: necesită mai mult cablu de conectare. Dar dacă se ia în considerare faptul că un cablu UTP costă de zece ori mai puțin decât un cablu coaxial necesar în tipologiile magistrală, diferența totală de cost va fi nesemnificativă.
Pentru proiectarea mediului fizic de transmisie, se punctează pur și simplu pe harta clădăriilor locurile unde doriți să instalați calculatoarele (ce vor fi conectate cu un cablu UTP la un dulap de conexiune).
2.8 Modele de securitate în sistemul Windows NT
În cadrul unei rețele sub Windows NT Server, există două modele de securitate ce trebuie avute în vedere: grupul de lucru (workgroup) și domeniul (domain). Modelul grupului de lucru guvernează interacțiunile calculatoarelor sub Windows și Windows NT într-o rețea peer-to-peer. Al doilea model, domeniul, guvernează interacțiunile între clienți și serverele Windows NT într-o rețea bazată pe server, unde un server Windows NT (desemnat în rolul de controller primar de domeniu – Primary Domain Controller) asigură securitatea rețelei. Aceste două modele satisfac cerințe diferite ale securității în rețea.
2.8.1 Modelul de securitate bazat pe grupuri de lucru
Rețelele locale de dimensiuni modeste sub Windows NT, care nu necesită un control centralizat sau o stocare centralizată a datelor, pot fi organizate în grupuri de lucru. Grupurile de lucru sunt, în esență, rețele peer-to-peer (punct-la-punct), ceea ce înseamnă că utilizatorii fiecărei stații de lucru pot selecta și administra resursele acesteia, care vor fi făcute disponibile celorlalți utilizatori ai rețelei. Resursele și conturile utilizator ale unei stații de lucru sunt administrate tocmai de pe acea stație și nu de către un server din rețea.
Un grup de lucru constituie o bună alegere pentru lucrul în rețea în cazul în care sunt 10 utilizatori sau mai puțin, utilizatorii fiind suficient de capabili să-și administreze singuri stațiile de lucru, iar stocarea centralizată a fișierelor și controlul centralizat al securității rețelei nu sunt foarte importante.
Un model de securitate bazat pe grupuri de lucru nu utilizează conturi utilizator în același mod ca modelul bazat pe domenii. Resursele unui grup de lucru sunt protejate printr-o simplă parolă (sau, în cazul Windows NT, printr-un nume de cont și o parolă). Oricine deține parola de acces la o resursă partajată în cadrul unui grup de lucru poate beneficia de serviciile oferite de aceasta fără a fi nevoit să dețină un cont utilizator.
2.8.2 Modelul de securitate bazat pe domenii
Domeniile oferă o securitate și o administrare de rețea mult mai coerente decât grupurile de lucru. In cazul acestui model, conturile utilizator sunt administrate pe un singur calculator numit controller primar de domeniu, ce poate permite sau interzice accesul la resursele comune ale domeniului (în cele mai multe cazuri, controllerului primar de domeniu i se alătură un controller de rezervă – backup domain controller – ce deține o copie a bazei de date cu conturile de securitate ale utilizatorilor, iar în cazul în care controllerul primar de domeniu este ocupat sau nu răspunde, uneori datorită unor probleme de ordin tehnic, preia rolul acestuia). Deoarece conturile utilizator sunt administrate centralizat, utilizatorii trebuie să execute o singură dată procedura de login într-un domeniu, pentru a obține accesul la toate resursele acestuia. Controllerul primar de domeniu care le-a permis accesul în domeniu va prezenta fiecărui server informațiile referitoare la conturile utilizatorilor, sub forma unui "jeton de acces pentru asigurarea securității" (security access token).
Modelul de securitate bazat pe domenii este adecvat în următoarele cazuri: cerințe stricte de securitate, servere multiple sau în cazul în care nu vă puteți baza pe capacitatea utilizatorilor de a-și administra fiecare propriul calculator.
Datorită controlului centralizat al informațiilor referitoare la conturile utilizator, administrarea unei rețele mari devine mult mai ușoară decât dacă aceste informații ar fi stocate individual pe fiecare calculator din rețea. Centralizarea acestor informații se mai traduce și prin faptul că utilizatorii nu sunt nevoiți să-și administreze singuri stațiile de lucru.
Într-un domeniu, unul sau mai multe servere stochează fișierele partajate ale tuturor stațiilor de lucru din domeniu. Folosind informațiile stocate într-o bază de date centrală referitoare la securitatea rețelei și la conturile utilizator, controllerul primar de domeniu administrează accesul stațiilor de lucru la fișierele înmagazinate pe servere. Stocarea pe servere a fișierelor din rețea (și nu pe fiecare stație în parte) ajută administratorul de rețea să controleze accesul la diverse informații. Centralizarea facilitează, de asemenea, procesele de backup (crearea de copii de rezervă sau de siguranță).
2.8.3 Structurarea domeniilor
O rețea întinsă poate avea mai multe domenii. Rețeaua RIPL utilizează un singur domeniu.
Conturile utilizator în cele două modele de securitate (grupurile de lucru și domeniile) Programul User Manager din Windows NT Workstation nu poate administra conturile utilizatorilor și al administratorului unui domeniu. Aceste conturi pot fi în schimb administrate de programul User Manager for Domains din Windows NT Server sau de către calculatoarele ce dețin soft de administrare a serverului de la distanță.
Conturile utilizatorilor locali și ale grupului, destinate accesului la resursele grupurilor de lucru individuale, nu fac parte din baza de date a domeniului. Utilizatorii locali și grupurile de lucru sunt administrate tot cu ajutorul programului User Manager din Windows NT Workstation. De pe o stație de lucru aparținând unui domeniu, login-ul se poate face fie în acel domeniu (folosind un cont aflat în baza de date a conturilor utilizatorilor din acel domeniu), fie chiar pe acea stație de lucru (prin utilizarea unui cont din baza de date cu conturile utilizatorilor locali ai respectivei stații de lucru).
2.8.4 Roluri diferite pentru Windows NT Server
Sistemul de operare Windows NT Server stabilește rolul unui server NT tocmai prin modul său de participare în cadrul unui model de securitate bazat pe domenii. La instalarea sistemului de operare, unui server NT se poate atribui unul din următoarele patru roluri:
Controller primar de domeniu (Primary domain controller) – serverele de acest tip vor trebui să fie primele care vor opera în cadrul domeniului, deoarece de acordul acestora depinde accesul la domeniu al tuturor celorlalte calculatoare;
Controller (pentru) backup de domeniu (Backup domain controller) asistă controllerul primar de domeniu în autentificarea procedurilor de login.
Serverele membre (Member servers) sunt servere ce aparțin unui domeniu, fără să aibă însă atribuțiile controllerului primar de domeniu.
Serverele autonome (Standalone servers) nu fac parte din domeniu, prin urmare efectuarea login-urilor și asigurarea securității vor fi realizate separat.
Controller primar de domeniu
Într-un domeniu de securitate, un anumit server va îndeplini rolul de controller primar de domeniu. Acest calculator autentifică cererile de login ale clienților, validând numele utilizator și parolele în conformitate cu baza de date cu conturi și returnând clienților solicitanți câte un jeton de acces. Ori de câte ori clientul solicită accesul la o resursă partajată, jetonul "prezintă" acel utilizator (similar unei cartele de acces) tuturor participanților din domeniu ce folosesc în comun resursa respectivă. Metoda jetonului de securitate furnizează un acces transparent utilizatorului, oferindu-i facilitatea unui singur login în domeniu, fără a diminua în vreun fel securitatea sistemului.
Dacă se utilizează modelul de securitate bazat pe domenii, primul server Windows NT instalat în rețea va trebui să fie controllerul primar de domeniu. Această opțiune poate fi precizată în cursul procesului de instalare al sistemului Windows NT Server. Controllerul primar de domeniu va fi responsabil pentru stocarea bazelor de date cu conturi și, de asemenea, pentru atribuirea unui nume domeniului pe care-1 gestionează.
Dacă nu doriți ca primul server instalat să rămână mai departe controller primar de domeniu, ulterior există posibilitatea de promovare a unui controller backup de domeniu în postul de controller primar.
Controller backup de domeniu
Un controller (pentru) backup de domeniu deține o copie a întregii baze de date cu conturi – destinată controlului securității rețelei – și poate autentifica login-urile clienților în cazul în care controllerul primar de domeniu este ocupat sau nu poate fi accesat.
Deși controllerele backup dețin o copie a bazei de date cu conturi, nu îi vor putea aduce nici o modificare. Programul Server Manager for Domains (Managerul serverului pentru domenii) poate fi utilizat pentru "avansarea" în funcția de controller primar de domeniu a oricărui controller backup. In acest caz, vechiul controller primar de domeniu va deveni controller backup.
Alte tipuri de servere
Serverele care nu sunt nici controllere primare de domeniu și nici de backup nu pot "crea" un jeton de acces, prin urmare nici nu pot permite accesul clienților în domeniu. Există două tipuri de servere care nu sunt controllere de domeniu: serverele membre (member servers) și serverele autonome (stand-alone servers). Nici unul dintre acestea nu poate fi "avansat" în rolul de controller primar de domeniu. Dacă totuși dorim acest lucru, va trebui să fie reinstalat sistemul de operare Windows NT Server.
Servere membre
Serverele membre iau parte la securitatea domeniului, dar nu pot autentifica procedurile de login în domeniu. Din acest motiv, un astfel de tip de server nu va putea funcționa de unul singur în rețea. Pentru a obține accesul la resursele unui server membru, utilizatorii trebuie mai întâi să se conecteze la controllerul primar de domeniu.
Servere autonome (stand-alone)
Serverele autonome nu participă absolut deloc la securitatea domeniului – ele necesită un login local. Aceste servere sunt utilizate de modelul de securitate bazat pe grupuri de lucru.
2.8.5 Servere cu destinație specială utilizate în RIPL
Serverele cu destinație specială sunt calculatoare configurate pentru a oferi alte servicii de rețea decât cele de fișiere și de tipărire. Aceste servere sunt, de obicei, cazuri speciale ale serverului de aplicații (application server) principal. În funcție de cerințele RIPL avem nevoie de servere cu destinație specială respectiv servere de internet.
Servere de aplicații
Serverele de aplicații rulează programe puternice, proiectate să implementeze "partea de server" a unei aplicații client/server, denumită și software "back-end", "partea client" a aplicației fiind numită software "front-end". Prin urmare, serverele de aplicații vor fi numite servere back-end. Toate aplicațiile Microsoft BackOffice sunt proiectate să ruleze pe servere de aplicații. în figura 6 este ilustrat un server de aplicații într-o rețea locală.
Serverele de aplicații sunt optimizate pentru o viteză mare de execuție a aplicațiilor software. In mod tipic sunt dotate cu procesoare foarte rapide, este foarte probabil să folosească multiprocesarea simetrică, și, în general, au o memorie RAM mult mai mare decât orice alt tip de server. Capacitatea hard discului variază destul de mult în funcție de aplicațiile "servite".
Serverele de aplicații sunt cel mai des implementate ca servere back-end de baze de date folosind protocolul SQL. Serverele SQL efectuează munca deosebit de intensă a extragerii informațiilor din bazele de date relaționale, returnând un set complet de informații ca rezultat al unei cereri formulate de utilizator.
Servere Internet
Serverele Internet sunt servere speciale de aplicații ce răspund (în majoritatea cazurilor) solicitărilor via Internet, efectuate printr-unul din protocoalele HTTP, FTP și Gopher. Serverele Internet oferă companiilor posibilitatea de a-și publica pe Internet paginile Web, precum și de a transfera fișiere și programe folosind diverse servicii disponibile. Adresele URL sunt, de fapt, adrese către servere Internet. Pachetul software IIS inclus în Windows NT Server 4 dispune de toate caracteristicile necesare pentru ca un server NT să poată fi utilizat pe post de server Internet. IIS oferă o stocare sigură a datelor și publicarea informației HTTP, FTP și Gopher dintr-un server NT, precum și protejarea celorlalte informații de pe server de traficul de pe Internet. Cu toate acestea, IIS nu poate împiedică hackerii (pirați ai calculatoarelor) să intre în celelalte calculatoare client ale rețelei, prevenirea acestor atacuri răuvoitoare putând fi realizată prin plasarea unui "zid de protecție" (firewall) între serverul Internet și rețeaua dvs. locală (formată din celelalte calculatoare). Datorită acestei cerințe, se recomandă ca majoritatea datelor importante să nu fie stocate pe un server Internet.
FIREWALL-URI
Evoluția explozivă a rețelei Internet a obligat companiile să-și protejeze resursele de operare de tentativelor de pătrundere în sistemele locale a intrușilor neautorizați. Protocoalele Internet nu au fost proiectate pentru furnizarea unui mediu de operare sigur, ci optimizate pentru o conectare simplă și ușoară. Acest "gol" de securitate a fost "astupat" de serverele de securitate numite și "ziduri de foc sau de protecție" (firewall).
Firewall-urile "joacă" în rețea rolul "paznicilor", împiedicând tentativele neautorizate de intrare în rețea prin utilizarea anumitor mecanisme speciale de securitate. în mod tipic, un firewall poate fi configurat să permită accesul în sistem doar al calculatoarelor cu anumite adrese IP. De asemenea, calculatoarele din Internet pot fi împiedicate de un firewall să "vadă" adresele IP din interiorul unei rețele locale și, prin aceasta, să folosească în interesul propriu resursele partajate ale serverelor din rețea. Tot ceea ce se poate vedea din "exterior" este firewall-ul. Pentru RIPL se utilizează ca firewall Provider iunix.ro și ARtelecom.ro.
2.9 Licențierea soft-ului de rețea
Ultimul pas necesar la planificarea unei rețele este de a rezolva problemele legate de obținerea licențelor pentru calculatoarele client (client licensing). Aceasta presupune obținerea unei licențe de conectare și de utilizare a unui anumit NOS, oferind astfel o modalitate de evaluare a prețului unui sistem de operare în rețea prin numărul utilizatorilor care îl vor folosi, fără a impune același preț tuturor companiilor, indiferent de mărime.
3.9.1 Licențierea "per server"
Majoritatea NOS, inclusiv Windows NT, impun cerințe deosebit de stricte privind licențierea software-ului de rețea. Acest mod de acordare al licenței software este numit licențiere "per server", deoarece licențele acordate sunt contorizate per sistem de operare server vândut.
3.9.2 Licențierea "per post de operare" (per seat)
Pentru Windows NT Server poate fi aleasă atât modalitatea de licențiere "per server", cât și opțiunea de licențiere "per seat" (per post de operare), în funcție de cerințe. Licențierea "per post de operare" presupune obținerea unei licențe CAL separate pentru fiecare calculator din rețea, ce îi conferă dreptul să se conecteze la oricâte servere. Metoda se numește "per post de operare" deoarece fiecare calculator din rețea va primi o licență de operare, eliminând astfel limitările licențierii "per server".
3.9.3 Modul de aplicare al licențelor
În cazul în care se alege metoda de licențiere "per server", licențele CAL se referă la server. Prin urmare, obținerea a 50 de licențe CAL "per server" înseamnă că la un anumit server pot fi conectați simultan maximum 50 de utilizatori.
Dacă veți alege licențierea "per post de operare", licențele CAL vor fi aplicate în mod individual fiecărui calculator din companie. Spre exemplu, dacă veți plăti 50 de licențe CAL, atunci un număr de 50 de calculatoare din rețea se vor putea conecta simultan la oricare din serverele Windows NT.
3. Topologia FDDI cu inel dublu
Două dintre principalele obiective urmărite în timpul dezvoltării interfeței FDDI au fost viteza și fiabilitatea. Fibra optică a fost aleasă ca mediu de rețea datorită capacității acesteia de a transmite date la viteza foarte mare. Topologia aleasă a fost inelul, o topologie asemănătoare cu cea a rețelelor Token – Ring. Totuși, pentru asigurarea unei fiabilități superioare, a fost dezvoltată o topologie cu inel dublu, care folosește două inele pentru transmiterea datelor în direcții opuse (inele cu rotație contrară). Figura 1 prezintă organizarea unei rețele simple cu inel FDDI dublu.
Prin folosirea unei topologii cu inel dublu, un inel funcționând ca inel principal și celalalt ca inel secundar de siguranță, este mai puțin probabil ca un defect simplu al unui segment de fibră să afecteze întreaga rețea. În figura 4.1 puteți vedea că fiecare stație din inel are două porturi, etichetate A și B, care o conectează la inel. La prima vedere, pare că pentru fiecare inel este folosit un port, dar acest lucru nu este adevărat. De fapt, în inelul principal, portul A al unei stații primește datele transmise de stația vecină prin portul B. În inelul secundar, portul A transmite datele către vecinul din cealaltă direcție, care le recepționează la portul B.
3.1 Porturi și stații
Primul exemplu de inel FDDI simplu prezentat este format din stații care au două porturi, etichetate A și B. O astfel de stație este numită stație cu conectare dublă. Această topologie este numită inel cu conectare dublă. Alte porturi pe care le puteți întâlni într-o rețea FDDI sunt:
M sau port master
S sau port slave
Aceste porturi vă permit să conectați la inelul FDDI și alte tipuri de stații, în speță un concentrator sau o stație cu conectare simplă (single-attached station – SAS). Stațiile cu conectare simplă nu au un port A sau B, ci un port S. În acest caz, stația SAS nu este atașată direct la inelul dublu, ci este conectată prin intermediul unui port M al unui concentrator. În figura 4.2 avem un exemplu de concentrator cu porturi A, B și M. Porturile M sunt folosite pentru conectarea la inel a mai multor stații de lucru, prin porturile S.
Folosirea acestei topologii de tip inel bazată pe concentratoare poate contribui la reducerea duratelor de nefuncționare a rețelei cauzate de probleme ale stațiilor de lucru atașate la inel. Concentratorul funcționează într-o manieră asemănătoare cu a distribuitoarelor Ethernet sau a unităților MSAU Token-Ring și izolează stațiile de lucru individuale care se defectează, permițând celorlalte noduri să folosească în continuare inelul. În cazul stațiilor cu conectare dublă, simpla scoatere de sub tensiune a unei unități poate să cauzeze probleme, deoarece nodul, nemaifiind alimentat, nu mai poate să recepționeze sau să transmită date, ceea ce cauzează o întrerupere în inel.
3.2 Înfășurarea inelului
Topologia cu inel dublu permite unei rețele FDDI sa se "vindece" în cazul căderii
unui singur nod. Dacă o stație se defectează sau cablul dintre două stații este deteriorat, celelalte stații detectează defectul și inelul dublu se "înfășoară" automat, astfel încât să formeze un inel simplu. Figura 4.3 prezintă patru noduri de rețea (stații cu conectare dublă) funcționând normal într-o topologie cu inel dublu.
În figură se poate vedea ce se întâmplă atunci când se defectează un singur nod din rețea. În acest caz, nodul C s-a defectat și nu mai participă la comunicațiile din inel. Nodurile B și D reconfigurează intern inelul. Aceasta înseamnă din aceste noduri, cablul care forma inelul secundar a fost legat în continuarea inelului principal, formând un singur inel, compus din nodurile A, B și D.
3.3 Transmiterea datelor într-un inel FDDI
Rețelele FDDI folosesc lumina pentru transmiterea informațiilor prin fibra optică. Pot fi folosite două tipuri de cabluri cu fibre optice: cu un singur mod și cu mai multe moduri. Fibrele cu un singur mod folosesc laserul ca sursă de lumină și pot fi utilizate pentru distanțe mai mari decât fibrele cu mai multe moduri. Cablurile din fibre cu mai multe moduri folosesc ca sursă de lumina diode electroluminiscente (LED) și permit mai multor raze de lumină, intrând în cablu sub diferite unghiuri, să transporte semnale prin cablu.
3.3.1 Folosirea luminii pentru codarea biților
Fiecare stație din inel verifică starea fasciculului de lumină de pe fibră la intervale de aproximativ 8 ns. Singurele situații posibile sunt prezența sau absența luminii. Pentru a determina dacă a fost transmisă o valoare 0 sau 1, stația compară eșantionarea curentă cu cea anterioară. Dacă starea fibrei s-a schimbat – adică dacă a trecut de la nedetectarea luminii la detectarea acesteia sau invers — înseamnă că a fost transmis un bit ce reprezintă o valoare 1. Dacă nu a fost detectată o schimbare între eșantionarea curentă și valoarea 1 transmisă anterior, înseamnă că a fost transmis un bit 0. Această tehnică de semnalizare este numită modulare NRZI (nonreturn to zero with inversion).
3.3.2 Cadre FDDI
Cadrele FDDI sunt asemănătoare cu cadrele Token-Ring. Un cadru de token (prezentat în figura 4.5) este transmis de la o stație din inel la următoarea. Dacă o stație din inel are date pe care trebuie să le transmită, interceptează tokenul, adaugă la cadru informațiile de adresare și datele, apoi transmite cadrul de date (vezi figura 4.6).
Figura 4.5 Cadrul de token este folosit pentru medierea accesului la inel
Figura 4.6 Cadrul de date conține aceleași câmpuri ca și cadrul de token, la care sunt adăugate informațiile de adresare și datele.
Câmpurile din figurile 5 și 6 îndeplinesc următoarele funcții:
■ Preambul – Acest câmp indică faptul că stația primește un cadru, astfel încât adaptorul să se poată pregăti să îl recepționeze.
■ Delimitator de început – Indică începutul cadrului.
■ Controlul cadrului — Specifică dimensiunea câmpurilor de adrese și alte informații de control.
■ Adresa destinației — Adresa destinației cadrului, pe șase octeți. Poate fi și adresa mai multor destinatari, cum ar fi o adresă de difuzare sau de grup.
■ Adresa sursei — Acest câmp de șase octeți conține adresa stației care a transmis cadrul de date.
■ Date — Informații de control sau date destinate unui protocol de nivel superior, cum ar fi TCP/IP.
■ Secvența de verificare a cadrului (FCS – Frame Check Sequence) – O valoare CRC pe 32 de biți folosită pentru a verifica integritatea cadrului după ce acesta ajunge la destinație.
■ Delimitator de sfârșit – Indică sfârșitul cadrului.
■ Starea cadrului — Conține biți folosiți pentru a indica erorile, recunoașterea adresei și copierea cadrului.
Cadrul de token este transmis în inel într-o manieră ordonată. Atunci când un nod din inel vrea să transmită date, interceptează tokenul. Aceasta înseamnă că, în loc să retransmită cadrul de token către stația vecină, transmite unul sau mai multe cadre de date. Cadrele de date pot fi folosite pentru transmiterea informațiilor destinate protocoalelor de nivel superior sau pot conține informații de control folosite în procedurile de întreținere a inelului.
Iată câteva dintre cele mai importante cadre FDDI de gestionare:
■ Neighbor Information Frame (NIF) – Acest cadru este transmis periodic în inel (de obicei la intervale de 2-30 de secunde) și este folosit pentru schimburile de informații despre stații și vecinii acestora.
■ Status Information Frame (SIF) – Acest cadru transmite informații despre configurația stațiilor și despre operații stocate în baza de date MIB (Management Information Base).
■ Parameter Management Frame — Acest cadru este folosit pentru citirea sau scrierea informațiilor din MIB.
■ Status Report Frame — Folosește o adresă de difuzare și este utilizat pentru a furniza informații de stare aplicațiilor de gestionare.
3.4 Probleme frecvente în cazul folosirii interfeței FDDI
Deși inelele FDDI execută unele funcții de întreținere elementare prin care contribuie la eliminarea problemelor, este totuși necesară monitorizarea periodică a rețelei pentru a vă asigura că aceasta funcționează optim. De asemenea, multe probleme, cum ar fi defectarea adaptoarelor de rețea sau a cablurilor, nu pot fi corectate prin software. Printre instrumentele pe care le puteți folosi pentru operațiile de monitorizare și depanare se numără dispozitivul de testare a cablurilor (proiectat pentru cabluri cu fibre optice) și analizorul standard de protocoale pentru LAN. Cei mai mulți producători de echipamente FDDI oferă și o aplicație de gestionare a stațiilor, care poate fi folosită pentru examinarea funcționalității inelului și colectarea datelor statistice și a informațiilor despre erori. Este bine să fie înțeles modul de funcționare a produselor de gestionare a stațiilor.
3.4.1 Înfășurarea inelului
Acest proces permite izolarea de restul inelului a unui nod care funcționează necorespunzător. Pentru a readuce inelul în starea normală de funcționare, trebuie să fie identificat nodul cu probleme și să determinați cauza defectului. Programele de gestionare a stațiilor va pot furniza informațiile de care este nevoie pentru a determina ce stație a ieșit din inel. Probabil că situația care duce cel mai frecvent la înfășurarea inelului este o simplă întrerupere a tensiunii de alimentare. Aceasta poate fi cauzată de defectarea sursei de alimentare a uneia dintre stațiile de lucru atașate sau a unui concentrator din inel. De asemenea, poate fi cauzată de o eroare umană, dacă cineva nu înțelege cum funcționează inelul și oprește o stație.
Alte cauze posibile includ toate componentele hardware asociate, de la cablul către conectoare la placa de interfață instalată într-o stație de lucru. Se verifică dacă toate conectoarele sunt corect atașate și dacă nu s-au desfăcut. Se verifică dacă nu sunt cabluri strivite sau deteriorate în alt mod. Cablurile cu fibre optice nu sunt la fel de rezistente ca și cele bifilare torsadate, așa că ar trebui să fie manipulate cu grijă.
Dacă nu se găsește un alt defect, se verifică placa de interfață a calculatorului. Se folosesc programele furnizate de producător pentru a determina dacă placa este în stare de funcționare. Dacă placa trece de toate testele producătorului, se încearcă să fie instalată într-un alt slot de pe magistrala calculatorului sau se va înlocui cu o placă despre care se știe că funcționează.
3.4.2 Erori de inițializare a inelului si în secvența de verificare a cadrului
Erorile de transmitere a biților (cauzând erori FCS — în secvența de verificare a cadrului) sau un număr mare de reinițializări ale inelului (cadre de semnalizare sau de revendicare) pot indica probleme legate de puterea semnalului luminos. Atunci când sunt manipulate conectoarele, este foarte ușor să fie introdus în calea semnalului luminos diferite obstacole, cum ar fi praf sau amprente. De asemenea, conectoarele care nu sunt bine strânse pot cauza probleme privind calitatea semnalului luminos, generând astfel de erori. Pentru a testa puterea semnalului în fiecare segment de cablu, poate fi folosit un dispozitiv de testare proiectat pentru cabluri cu fibră optică.
Și depășirea distanțelor maxime prevăzute de specificațiile FDDI poate cauza probleme care au ca rezultat erori FCS sau reinițializări frecvente ale inelului. Deși un inel își poate continua funcționarea în urma scoaterii din inel a unui singur nod, prin înfășurarea inelului, scoaterea mai multor noduri poate cauza depășirea specificațiilor, ceea ce are ca rezultat slăbirea semnalului. Chiar dacă sunt folosite comutatoare optice de ocolire pentru a împiedica înfășurarea inelului, pot apărea astfel de probleme, deoarece fiecare comutator optic de ocolire poate reduce cu doi decibeli puterea semnalului.
Deși nu este ceva obișnuit, problemele pot fi cauzate și de defectarea unei plăci de rețea sau a unui port al concentratorului. Calitatea semnalului poate fi afectată și de cabluri cu fibre optice de proastă calitate sau de îmbinări imperfecte. Se poate identifica un adaptor de rețea defect folosind programele de gestionare a stației sau folosind un analizor de LAN și căutând stația care a lansat procesul de revendicare. Se verifică stația aflată în amonte față de aceasta pentru a vedea dacă problema este cauzată de o placă defectă.
3.4.3 Reparațiile
Cablarea bazată pe fibră optică este mai scumpă decât cea bazată pe fire de cupru, iar pentru instalare și reparații este nevoie de un tehnician experimentat. Operații precum înlocuirea unui adaptor de rețea sau mutarea unui nod la un alt port al concentratorului pot fi făcute cu ușurință de un administrator de rețea. în schimb, îmbinarea cablurilor cu fibre optice sau atașarea conectoarelor ar trebui să fie efectuate de cineva bine instruit în aceste tehnici. Pentru cele mai multe firme, cu excepția celor mai mari, aceasta înseamnă un furnizor sau un contractor extern.
Pe lângă introducerea unor obstacole, precum praful sau amprentele, semnalul luminos poate fi degradat și de lustruirea incorectă la tăierea și atașarea cablului la conector. Aceasta nu înseamnă că nu se pot face astfel de reparații. Dacă dimensiunea rețelei justifică cheltuielile, se poate cumpăra uneltele necesare și prin instruirea unui angajat în tehnicile respective.
4. HARTA REȚELEI RIPL
Un instrument vital pentru depanarea unei rețele existente sau planificarea unei noi rețele este harta rețelei. Această poate avea două forme: logică și fizică. Ambele tipuri de hărți sunt utile și le vom completa pentru rețeaua proiectată.
4.1 Logică sau Fizică
Rolul hărții logice a rețelei este de a ajuta utilizatorii din rețea și personalul de asistență să înțeleagă cum funcționează rețeaua. De asemenea, poate să prezinte adresele IP sau numele domeniilor. O hartă fizică indică serverele la care este conectat fiecare ruter, încăperile în care sunt instalate echipamentele și panourile la care este conectat fiecare echipament.
4.1.1 Crearea hărții logice a rețelei RIPL
O hartă logică a rețelei poate fi trasată cu instrumente simple, cum ar fi creionul și hârtia, programe de grafică, precum Microsoft Paint sau CorelDraw, sau cu programe specializate de construire a diagramelor. Indiferent ce instrument alegeți pentru crearea hărții logice a rețelei, respectați regulile de mai jos:
Folosiți simboluri standardizate pentru a indica stațiile de lucru, ruterele, serverele, cablurile și imprimantele, împreună cu alte componente. Dacă folosiți un program precum Visio pentru crearea hărții logice, puteți beneficia de avantajele "cârligelor" pentru baze de date incluse în program, care vă vor ajuta să construiți o diagramă precisă ce se modifică pe măsură ce schimbați datele de bază.
Etichetați clar simbolurile standardizate.
Mențineți complexitatea grafică a hărții logice a rețelei la un nivel cât mai scăzut; aceasta poate ajunge în locuri foarte diferite – pe o filă tipărită dintr-un dosar, ca imagine într-o pagină HTML, ca schiță într-un document tipărit sau într-un fișier PDF Adobe Acrobat. Utilizarea culorilor, ca în hârtie prezentate mai sus, este eficientă în cazul reproducerii color sau al vizualizării directe, dar este posibil să nu dea rezultate prea bune în urma tipăririi cu o imprimantă monocromă cu jet de cerneală sau laser. Este posibil să fie necesară crearea unor versiuni diferite pentru utilizarea on-line și sub formă tipărită.
4.1.2 Crearea unei hărți fizice a rețelei RIPL
O hartă fizică a rețelei se ocupă de partea hardware a construirii unei rețele. În timp ce o hartă logică a rețelei ar trebui să fie cât mai simplă posibil pentru transmiterea informațiilor dorite, o hartă fizică ar trebui să fie trasată cu mai multe detalii.
Standarde de etichetare pentru rețea
În funcție de componenta ce urmează să fie etichetată, există diferite metode pentru denumirea componentelor din rețea. Unele metode de denumire depind de protocolul folosit în rețea, în timp ce altele pot fi aplicate oricărui tip de rețea.
Într-o rețea TCP/IP, adresa TCP/IP poate fi folosită pentru etichetarea oricărei componente care are o adresă statică. Totuși, deoarece multe rețele TCP/IP folosesc și protocolul DHCP (Dynamic Host Configuration Protocol) pentru alocarea dinamică a adreselor IP, este o idee bună folosirea unor nume prietenoase.
Tabelul următor oferă recomandări pentru etichetarea componentelor de rețea după tip, protocolul folosit și conținutul etichetei.
Metode de etichetare recomandate pentru componentele de rețea
Evident, convențiile de denumire nu vor îmbunătăți cu nimic rețeaua dacă numele nu sunt atașate componentelor și nu sunt corect înregistrate. Următoarele exemple prezintă câteva etichete recomandate pentru diferite tipuri de echipamente:
Stație de lucru:
Nume – Rex
Adresa IP – 192.168.1.23
Dispunere – Etajul 3, Camera 17
Sistem de operare – Windows XP, ediția Home Edition
Server:
Nume – Internet 1
Adresa IP – 192.168.1.0
Domeniu – PRIMARIE
Sistem de operare – Windows NT Server 2003
Cablu: FO
De la – Iunix
La – Scoala 1
4.2 Crearea unei liste proprii de întrebări puse frecvent
Datorită Internetului, documentele care conțin liste FAQ au devenit o modalitate obișnuită de distribuire a informațiilor care răspund celor mai frecvente întrebări ale utilizatorilor în legătură cu un anumit subiect. Pentru a construi propriile liste FAQ, se ține seama de următoarele aspecte:
Ce trebuie să știe utilizatorii despre sistem?
La cine ar trebui să apeleze utilizatorii, prin telefon sau e-mail, pentru asistență?
Unde pot fi făcute modificări de configurație care ar putea ajuta utilizatorii să rezolve singuri probleme simple?
Pentru dezvoltarea unei liste de întrebări puse frecvent, se colaborează cu utilizatorii din rețea. Scopul unei asemenea liste este de a oferi utilizatorilor răspunsuri la întrebările care apar cel mai frecvent.
Publicarea listei de întrebări puse frecvent
Orice utilizator ar trebui să aibă cel puțin un număr de telefon al centrului de asistență tehnică. Se poate lua în considerare și posibilitatea de adăugare a unui mesaj preînregistrat, prin care să se furnizați informații pentru conectarea la sistem.
După creare, lista FAQ poate fi publicată folosind oricare dintre metodele discutate mai devreme sub formă tipărită, în Internet, în intranet sau ca fișier PDF. Pentru listele FAQ bazate pe Web, trebuie să se asigure utilizatorilor o modalitate prin care să poată trimite părerile lor. Se include o adresă de e-mail și, dacă este posibil, se adaugă în documentul FAQ și un formular de răspuns.
Proiectarea documentului FAQ
Dacă lista FAQ va fi disponibilă prin Web (public sau în intranet),va fi proiectată astfel încât să fie ușor de citit.
Rezolvarea structurată a problemelor
Acest capitol a început cu prezentarea metodelor de documentare, deoarece depanarea rapidă și sigură nu este posibilă fără informații detaliate și corecte despre configurația rețelei. Metoda de depanare cunoscut sub numele de ciclu de rezolvare a problemelor se bazează pe informații precise despre rețea pentru prevenirea și rezolvarea problemelor. Aceasta metodă folosește o tehnică de tip întrebări și răspunsuri pentru a determina ceea ce Jerry Pournelle a numit cheia depanării, "Ce s-a schimbat de ultima dată când a mers?"
Ciclul de rezolvare a problemelor
Ciclul de rezolvare a problemelor este o metodă ce trebuie să îndeplinească două obiective: să rezolve problema curentă care împiedică funcționarea rețelei și să permită înțelegerea cauzei problemei, astfel încât să poată fi îmbunătățită funcționarea rețelei în viitor.
Pentru rezolvarea structurată a problemelor sunt necesare întotdeauna următoarele elemente:
Descrierea corectă și completă a simptomelor
Înțelegerea evenimentelor care apar în fiecare și în toate procesele din rețea
Rezolvarea problemei reale și nu doar tratarea simptomelor
Asigurarea unei mecanism de urmărire pentru înregistrarea și distribuirea soluțiilor pentru fiecare problemă
Dezvoltarea unei sistem de urmărire a problemelor și soluțiilor, pentru a reduce cazurile de "reinventare a roții” în rezolvarea problemelor.
Într-un fel, rezolvarea structurată a problemelor este o formă de "medicină digitală".
Documentarea proiectului
Stațiile de lucru Windows 95 și 98 au câteva instrumente utile pentru înregistrarea informațiilor de configurare, printre care:
WINIPCFG – Folosiți comanda Start, Run pentru lansarea acestui program, care prezintă configurația TCP/IP curentă a stației de lucru, inclusiv numele de gazdă, serverul DNS, adresa IP, serverele WINS și multe altele. Capturați în Clipboard imaginea de pe ecran a programului Windows folosind tasta Print Screen, apoi lipiți-o într-un fișier Paint și salvați-o ca să păstrați o înregistrare.
PING – Rulați acest program din linia de comanda MS-DOS și introduceți o adresa IP sau un nume de gazdă. Dacă nu puteți să vă conectați, este afișat un mesaj "Request Timed Out" pentru cele patru pachete pe care programul le trimite în mod prestabilit.
Puteți să verificați și adresa proprie ca să vedeți dacă protocolul TCP/IP a fost instalat corect. Lansați comanda ping 192.168.1.25, apoi lansați din nou programul cu adresa TCP/IP a stației de lucru. Dacă apar probleme, este posibil ca protocolul TCP/IP să nu fie instalat corect, să aveți un număr de subrețea greșit sau poate că ați uitat să reinițalizați calculatorul după instalarea protocolului TCP/IP. Device Manager, HWDIAG și HWINFO – Pentru a verifica parametrii fizici (cum ar fi valorile IRQ) și driverele pentru dispozitivele de rețea și modem, puteți folosi programul Windows 9x Device Manager. Pentru informații mai complete, unele versiuni Windows 95 și Internet Explorer includ programul HWDIAG.EXE, care prezintă parametrii hardware, fișierele INF și chiar cheile din registru pentru toate componentele hardware, inclusiv pentru dispozitivele omise de Device Manager. Windows 98 oferă un utilitar similar, numit HWINFO.
Este de preferat să se înregistreze toate modificările făcute într-un sistem, creând astfel un jurnal pentru operațiile ulterioare de depanare. Colectarea unor astfel de informații despre sistemele anterior nedocumentate ar trebui să fie o parte standard a oricărui serviciu de rutină efectuat pentru stațiile de lucru sau pentru servere.
Atunci când este instalată o nouă rețea, fiecare componentă ar trebui să fie identificată, iar configurația acesteia să fie înregistrată în timpul procesului inițial. În funcție de componentă, ar trebui să înregistrați:
Adresa IP și/sau identificatorul de rețea
Localizarea fizică
Categoria componentei (server, stație de lucru, distribuitor, comutator, ruter și așa mai departe)
Modelul și tipul
Caracteristici (viteză, tipuri de cabluri acceptate, număr de porturi, suportul pentru SNMP și așa mai departe)
Data și versiunea codului firmware
Seria
Identificatorul alocat de companie.
Manualele, programele de configurare și alte articole furnizate împreună cu orice tip de componentă de rețea ar trebui să fie păstrate pentru utilizarea ulterioară și să fie etichetate clar, astfel încât să se știe cărei componente îi aparțin. Atunci când în rețea sunt adăugate stații de lucru, servere și alte echipamente noi, este momentul cel mai potrivit să se înregistreze configurația, să fie puse la păstrare documentația și să fie create fișiere imagine ale stației de lucru, folosind programe precum Norton Ghost, ImageCast sau Drive Image.
5. REALIZAREA CONECTĂRILOR LA RIPL A REȚELELOR ETHERNET ALE INSITUȚIILOR PUBLICE CLIENT
5.1 Alegerea cablului potrivit
O rețea are viteza celei mai lente componente; pentru a obține viteze maxime de lucru în rețea, toate componentele, între care se numără și cablurile, trebuie să respecte standardele. Există două tipuri standard de cabluri bifilare torsadate:
■ Cablul de categoria 3. Tipul de cablu UTP utilizat inițial în rețelele Ethernet era același cu cel folosit în cablările telefonice comerciale. A fost denumit cablu UTP pentru voce sau de Categoria 3 și este măsurat în funcție de o scară care cuantifică performanțele de transmisie de date ale cablului. Cablul este de tip 24 AWG (American Wire Gauge, un standard pentru măsurarea diametrului unui conductor), cu conductoare unifilare din cupru, cu impedanță caracteristică de 100 -105 ohmi și cu cel puțin două torsadări la 33 cm. Cablul de Categorie 3 este potrivit pentru rețele care rulează la cel mult 16 Mbps. Acest cablu arată de obicei la fel cu cablul telefonic „argintiu", însă are un conector RJ-45 mai mare. Cablurile de categoria 3 sunt învechite, deoarece nu asigură suport pentru Fast Ethernet sau pentru viteze mai mari de lucru în rețea.
■ Cablul de categoria 5- Noile tipuri de rețele, mai rapide, necesită însă performanțe mai bune. Tehnologia Fast Ethernet (100BASE-TX) folosește același număr de conductoare ca și rețeaua 10BASE-T, însă are nevoie de o capacitate mai mare de a se opune diafoniei și atenuării. De aceea, este vitală folosirea cablului UTP de categoria 5 în rețelele 100BASE-TX Fast Ethernet. Deși versiunea 100BASE-T4 a standardului Fast Ethernet poate utiliza toate cele patru perechi de fire din cablul de categoria 3, acest tip de Fast Ethernet nu este acceptat pe scară largă și practic a dispărut de pe piață. Ca urmare, din motive practice, în cazul în care combinați cabluri de categoria 3 și categoria 5, ar trebui să utilizați doar distribuitoare Ethernet 10BASE-T (de 10 Mbps); dacă încercați să folosiți tehnologia Fast Ethernet 100BASE-TX pe cabluri de categoria 3, veți avea o rețea lentă și nesigură.
Mulți furnizori de cablu oferă spre vânzare o formă îmbunătățită de cablu de categoria 5, denumit Categoria 5e. Cablul de categoria 5e poate fi utilizat în locul cablului de Categoria 5 și este dedicat special utilizării în rețelele Fast Ethernet, care ar putea fi modernizate în viitor la standardul Gigabit Ethernet. Cablarea de Categoria 5e trebuie să treacă peste o serie de teste care nu sunt impuse cablurilor de Categoria 5. Chiar dacă într-o rețea Gigabit Ethernet puteți folosi atât cabluri de Categoria 5, cât și cabluri de Categoria 5e, cablarea de Categoria 5e asigură rate mai bune de transmisie.
Și alegerea tipului corect de cablu de Categoria 5/5e este importantă. Utilizați cablu PVC solid pentru cablurile de rețea care reprezintă o instalare permanentă. Insă cablurile torsadate puțin mai scumpe sunt o alegere mai bună pentru un calculator notebook sau pentru cablarea temporară a mai puțin de 10 lungimi (de la un calculator la priza de perete, de exemplu), deoarece sunt mai flexibile și, din acest motiv, mai capabile să reziste mutărilor frecvente.
5.2 Realizarea de cabluri bifilare torsadate proprii
Atunci când sosește momentul să cablați rețeaua, aveți două opțiuni. Puteți opta pentru achiziționarea de cabluri pre-fabricate sau puteți să construiți cabluri proprii folosind cabluri și conectoare cumpărate „en-gros".
Ar trebui să realizați cabluri bifilare torsadate proprii în următoarele situații:
■ Intenționați să lucrați foarte mult în rețea
■ Aveți nevoie de cabluri mai lungi decât lungimile pe care le puteți cumpăra preasamblate în departamentele de calculatoare
■ Doriți să realizați și cabluri standard și cabluri încrucișate
■ Doriți să alegeți o culoare specifică pentru cablu
■ Doriți să aveți control maxim asupra lungimii cablului
■ Doriți să economisiți bani
■ Dispuneți de timpul necesar pentru realizarea cablurilor
Standarde pentru cablurile bifilare torsadate
Dacă doriți să realizați chiar dumneavoastră cabluri bifilare torsadate (twisted pair sau TP), asigurați-vă că perechile de fire din cablu respectă codul de culori al cablurilor existente sau al cablurilor pre-fabricate pe care doriți să le adăugați în noua dumneavoastră rețea. Deoarece în cablurile bifilare torsadate există opt fire, sunt posibile multe combinații incorecte. Pentru cablurile UTP există mai multe standarde.
Sugestie
Ideea este de a fi consecvent și de a folosi aceeași schemă pentru toate cablurile, precum și de a vă asigura că orice altă persoană care lucrează în rețeaua dumneavoastră înțelege schema utilizată.
Un standard obișnuit este configurația AT&T 258A (denumită și EIA/TIA 568B). In tabelul 20.6 sunt listate perechile de fire și plasarea în cadrul conectorului RJ-45 standard.
Această pereche nu este utilizată în rețelele 10BASE-T sau Fast Ethernet 100BASE-TX, însă în standardele Fast Ethernet 100BASE-T4 și Gigabit Ethernet 1000BASE-TX sunt utilizate toate cele patru perechi.
In figura 6.1 puteți vedea un conector de cablu RJ-45 cablat conform standardului EIA 568B/AT&T 258A.
Cabluri UTP încrucișate
Cablurile încrucișate, care au conexiunile schimbate la un capăt al cablului, sunt utilizate pentru a conecta două (și numai două) calculatoare între ele în situațiile în care nu este disponibil nici un distribuitor sau comutator, ori pentru a conecta un distribuitor sau un comutator care nu posedă un port pentru legătură ascendentă (uplink) (pentru configurare în stivă) la un alt distribuitor sau comutator. Configurația pinilor pentru un cablu încrucișat este prezentată în tabelul 20.7. Această configurație de pini este valabilă numai pentru unul dintre capetele cablului; celălalt capăt al cablului ar trebui să corespundă cu configurația standard a pinilor TIA 568B, așa cum a fost prezentată anterior în figura 11.
Organizarea și plasarea perechilor de fire din conectorul RJ-45 pentru un cablu încrucișat, specificată în standardul EIA 568B
Realizarea propriilor cabluri UTP
Pentru a realiza cabluri UTP proprii sunt necesare câteva instrumente care nu se găsesc în mod normal într-o trusă de scule obișnuită. Instrumentele pe care este posibil să nu le aveți pot fi cumpărate de obicei cu același preț de la mai mulți distribuitori de produse pentru rețele. Pentru a realiza propriile cabluri Ethernet veți avea nevoie de următoarele instrumente și materiale (a se vedea figura 6.2):
■ Cablu UTP (Categoria 5 sau mai bun)
■ Conectoare RJ-45
■ Aparat pentru dezizolarea sârmelor
■ Instrument de sertizat RJ-45
Notă
Înainte de a construi un cablu „real" de orice lungime, ar trebui să exersați pe un cablu mai scurt. Conectoarele RJ-45 și cablul achiziționat în cantitate mare sunt ieftine; defecțiunile rețelei nu sunt așa de ieftine. Pentru a crea propriile cabluri bifilare torsadate, procedați astfel:
1. Determinați lungimea cablului UTP. Ar trebui să vă gândiți la o lungime adecvată care să permită mutarea calculatorului și pentru evitarea surselor puternice de interferență. Țineți cont de distanțele maxime pentru cablurile UTP care vor fi prezentate ulterior în acest capitol.
2. Derulați lungimea corespunzătoare de cablu.
3. Tăiați cu grijă cablul din rolă.
4. Utilizați aparatul pentru dezizolarea sârmelor pentru a dezizola numai învelișul de protecție a cablului și a scoate la vedere firele torsadate (a se vedea figura 6.3); va trebui să rotiți cablul cu aproximativ 1 tură și un sfert pentru a desface tot învelișul de protecție. Dacă îl rotiți prea mult, veți strica firele din interiorul cablului.
5. Verificați învelișul exterior și firele torsadate din interior pentru a vedea dacă au crestături; dacă observați defecte, reglați instrumentul pentru dezizolarea și repetați etapele 3 și 4.
6. Așa cum este prezentat în figură, aranjați firele conform standardului EIA 568B. Această configurație a fost listată anterior în secțiunea „ Standarde pentru cablurile bifilare torsadate".
7. Tăiați marginile firelor astfel încât cele opt fire să fie egale între ele și să depășească cu puțin mai puțin de 1/2 inci de marginea învelișului de protecție. Dacă firele sunt prea lungi, poate să apară fenomenul de diafonie (interferență fir la fir); dacă firele sunt prea scurte, nu pot să facă o conexiune bună cu conectorul RJ-45.
8. Având partea cu clema a conectorului RJ-45 ascunsă privirii dumneavoastră, introduceți cablul la locul său (a se vedea figura 6.5). Verificați dacă firele sunt aranjate conform standardului EIA/TIA 568B înainte de a sertiza conectorul peste fire (revedeți tabelul și figura 6.1 prezentate anterior). Dacă este necesar, reglați conexiunile.
9. Utilizați instrumentul de sertizat pentru a presa conectorul RJ-45 peste cablu (a se vedea figura 6.6). Capătul cablului ar trebui să fie suficient de solid pentru a rezista la încercarea de a fi scos cu mâna.
10. Repetați etapele 4-9 pentru fiecare capăt al cablului. Dacă este necesar, tăiați din noul capătul cablului înainte de dezizolarea acestuia.
11. Puneți pe fiecare cablu o etichetă cu următoarele informații:
• Standardul de cablare
• Lungimea
• Capătul cu conexiuni încrucișate (dacă există)
• ________________(spațiu) pentru identificatorul calculatorului
Cablurile ar trebui să aibă etichete la ambele capete pentru a face mai ușoară corespondența cu calculatorul corect și pentru a facilita depanarea la nivelul distribuitorului. Cereți furnizorului de cablu un stoc suficient de etichete pe care să le puteți atașa la fiecare cablu.
Limite pentru lungimea cablului
Realizatorii de produse Ethernet au făcut posibilă construirea de rețele în modelele stea, ramură și arbore, care depășesc limitările fundamentale, menționate anterior. într-o rețea Ethernet complexă puteți avea mii de calculatoare.
Rețelele LAN sunt locale deoarece adaptoarele de rețea și celelalte componente hardware nu pot trimite în mod obișnuit mesaje LAN pe distanțe mai mari de câteva sute de metri. în tabelul de mai jos sunt prezentate limitele de distanțe pentru diferitele tipuri de cabluri LAN. în plus față de limitele prezentate în tabel, rețineți următoarele aspecte:
■ Nu puteți conecta mai mult de 30 de calculatoare la un singur segment Ethernet de cablu coaxial subțire.
■ Nu puteți conecta mai mult de 100 de calculatoare la un segment Ethernet de cablu coaxial gros.
■ Nu puteți conecta mai mult de 72 de calculatoare la un cablu Token-Ring UTP.
■ Nu puteți conecta mai mult de 260 de calculatoare la un cablu Token-Ring STP.
Tabelul Limitele de distante pentru rețele
Dacă aveți o stație conectată cu un cablu de Categoria 5, la o distanță mai mare de 100 de metri (328 de picioare) de un distribuitor, trebuie să utilizați un repetor. Dacă aveți două sau mai multe stații situate peste limita de 100 de metri a rețelei Ethernet UTP, conectați-le la un distribuitor sau comutator plasat la mai puțin de 100 de metri de distribuitorul sau comutatorul principal și conectați noul distribuitor sau comutator la distribuitorul sau comutatorul principal prin portul pentru legătură ascendentă (uplink). Deoarece distribuitoarele și comutatoarele pot acționa ca repetoare, această caracteristică vă permite să măriți lungimea efectivă a rețelei dumneavoastră.
5.3 Realizarea rețelei
Ați cumpărat sau ați realizat efectiv cablurile, ați cumpărat plăcile de rețea și distribuitorul, și ați pregătit CD-ROM-ul cu sistemul Windows. Este momentul ca rețeaua dumneavoastră să devină o realitate!
În această secțiune este prezentată o listă detaliată a componentelor hardware și software de care aveți nevoie pentru realizarea rețelei.
Să începem cu calculatoarele pe care intenționați să le interconectați în rețea. Pentru a configura rețeaua, aveți nevoie de elementele prezentate în secțiunile următoare.
5.3.1 Adaptorul de rețea
Aveți nevoie de câte un adaptor de rețea pentru fiecare calculator din rețea care nu include deja un port de rețea; în cazul în care calculatorul are un port de rețea integrat, asigurați-vă că tipul respectiv de port va fi operațional în rețeaua dumneavoastră.
În mod obișnuit, adaptoarele de rețea mai sunt numite cartele cu interfață de rețea (NIC), însă utilizarea pe scară largă a dispozitivelor USB și a porturilor integrate a determinat ca acest termen să fie mai puțin corect. Pentru a simplifica suportul tehnic, cumpărați același model de placă de rețea pentru toate calculatoarele din rețea (dacă este posibil). în cazul în care creați o rețea Windows NT/2000/.NET cu server dedicat, ar trebui să achiziționați plăci de rețea optimizate pentru server și plăci de rețea client mai ieftine pentru PC-urile client. In orice caz, ar trebui să cumpărați articole de la același producător, pentru a simplifica problemele de suport. Unii furnizori utilizează același driver, atât pentru plăcile de rețea de server, cât și pentru plăcile de rețea de client, simplificând și mai mult problema asistenței tehnice.
5.3.2 Instalarea adaptorului de rețea
Înainte de a putea conecta calculatoarele la rețea, trebuie să instalați adaptoarele. Dacă adaptorul de rețea este o cartelă internă, parcurgeți următoarea procedură:
1. Deschideți carcasa și găsiți un slot de extensie liber, care se potrivește cu tipul de placă de rețea achiziționată (de preferat PCI).
2. Utilizând o șurubelniță, scoateți șurubul care prinde plăcuța de protecție a slotului din partea din spate a carcasei.
3. Introduceți placa încet, asigurându-vă că placa are conectorul cu contacte pe margine poziționat solid în slot.
4. Fixați cartela cu același șurub care susținea plăcuța de protecție a slotului.
O placă de rețea utilizează aceleași valori de configurare hardware folosite de cele mai multe dintre plăcile de extensie:
■ O întrerupere IRQ
■ Un interval de adrese de port I/O
Dacă utilizați Windows 9x, Me, 2000 sau XP cu un sistem BIOS PnP (Plug and Play) și o placă de rețea PnP, în majoritatea cazurilor calculatorul și sistemul Windows configurează placa în locul dumneavoastră. In unele cazuri s-ar putea să fie nevoie să modificați valorile de configurare PnP din memoria BIOS, iar în alte situații, mai rare, s-ar putea chiar să fiți nevoit să scoateți toate celelalte plăci PnP și să introduceți prima dată placa de rețea dacă sistemul dumneavoastră nu o recunoaște după repornirea sistemului.
Chiar dacă instalați un sistem standard Ethernet 10BASE-T, utilizați ori de câte ori este posibil plăci de rețea PCI (pentru versiunile mai rapide de Ethernet, pe calculatoarele desktop va trebui să utilizați plăci de rețea PCI). După cum ați observat anterior în acest capitol, standardul PCI este mult mai rapid decât ISA.
Dacă instalați placa de rețea într-un sistem non-PnP sau în "Windows NT, asigurați-vă ca placa să fie livrată cu software de configurare sau cu valorile de configurare ale comutatoarelor manuale pentru configurația hardware. O placă PnP pură nu poate fi instalată într-un sistem care nu are suport PnP.
Adaptoarele de rețea USB și PC Card/CardBus sunt detectate și instalate în mod automat atunci când sunt conectate, deoarece porturile USB și sloturile PC Card/CardBus sunt conexiuni care pot fi schimbate în timpul funcționării.
5.3.3 Testarea adaptoarelor si conexiunilor de rețea
Discheta sau CD-ROM-ul cu software-ul de configurare, livrat împreună cu adaptorul de rețea, conține în mod obișnuit și software de diagnosticare. Unele teste de diagnosticare ar trebui efectuate înainte de conectarea plăcii la rețea și ar trebui rulate de la promptul de comandă.
După ce adaptorul de rețea trece de aceste teste, conectați la rețea adaptorul de rețea. în cazul unei rețele Ethernet care utilizează cablu UTP, montați cablul de la placă la distribuitor sau comutator, porniți calculatorul și distribuitorul și urmăriți ledurile de semnalizare care se aprind pe brida din spatele plăcii de rețea (dacă placa este prevăzută cu astfel de leduri) și pe panoul frontal al distribuitorului sau comutatorului. Distribuitoarele și comutatoarele utilizează leduri verzi pentru a indica prezența unui calculator la un anumit port RJ-45. Conectați la distribuitor sau comutator un al doilea calculator care are instalată placa de rețea. Apoi, rulați programul de diagnosticare pe ambele calculatoare, pentru a trimite și recepționa date. Pentru alte tipuri de rețele, consultați programele de diagnosticare livrate împreună cu dispozitivul hardware de rețea pentru a afla detalii privitoare la testare.
5.3.4 Cabluri și conexiuni între calculatoare
În funcție de rețeaua pe care o alegeți, s-ar putea să fie nevoie să montați cabluri. Dacă instalați o rețea Ethernet 10BASE-T, 100BASE-TX sau 1000BASE-TX (toate acestea utilizează cabluri UTP), aveți nevoie de cabluri suficient de lungi pentru a ajunge confortabil de la portul de rețea al fiecărui calculator la distribuitorul sau comutatorul rețelei.
5.3.5 Distribuitor/Comutator/Punct de acces
In rețelele Ethernet pe cablu UTP este nevoie de un distribuitor sau comutator dacă vor fi interconectate în rețea mai mult de două calculatoare (puteți să folosiți un cablu încrucișat numai între două calculatoare). Și în rețelele Ethernet fără fir este nevoie de un dispozitiv de tip punct de acces dacă vor fi interconectate în rețea mai mult de două calculatoare sau dacă rețeaua va fi utilizată pentru a partaja o conexiune Internet.
Pentru o rețea Ethernet bazată pe cablare UTP, cumpărați un distribuitor sau comutator (preferabil) care operează la viteza corectă și cu suficiente porturi RJ-45 pentru a asigura toate calculatoarele din rețea. Pentru o rețea Ethernet fără fir, veți avea nevoie de cel puțin un punct de acces, în funcție de întinderea rețelei fără fir. Cele mai multe dintre dispozitivele de rețea de tip punct de acces IEEE 802.1 lb/Wi-Fi au o rază de acțiune de 91 de metri (300 de picioare) în interior și până la 457 de metri (1.500 de picioare) în exterior, ceea ce ar trebui să fie suficient pentru cea mai mare parte a locuințelor și pentru numeroase organizații comerciale mici. Dacă aveți nevoie de o suprafață mai mare de acoperire, puteți adăuga mai multe puncte de acces.
Dacă veți utiliza rețeaua pentru a partaja accesul la Internet, puteți economisi bani dacă achiziționați un ruter care conține un comutator pentru o rețea Ethernet cablată sau un punct de acces fără fir, care conține un ruter pentru o rețea Ethernet fără fir.
5.3.6 Instalarea componentelor software de rețea
Pentru a accesa resurse de rețea cu ajutorul unui PC – indiferent dacă este conectat la o rețea client/server sau la o rețea peer-to-peer – trebuie să instalați pe acel calculator software-ul pentru clientul de rețea. Clientul de rețea poate fi o componentă a sistemului de operare sau un produs separat, însă acest produs software permite sistemului să utilizeze adaptorul de interfață cu rețeaua pentru comunicarea cu alte mașini.
Pe o stație de lucru configurată corespunzător, accesarea resurselor de rețea nu este diferită de accesarea resurselor locale (exceptând faptul că ar putea fi ceva mai lentă). Puteți să deschideți un fișier de pe o unitate de rețea ca și cum ați deschide același fișier de pe hard-discul local. Aceasta se datorează faptului că software-ul pentru clientul de rețea este integrat complet în fiecare nivel al sistemului de operare al calculatorului.
In majoritatea cazurilor, software-ul pentru clientul de rețea face parte din sistemul de operare. De exemplu, Windows 9x, NT, 2000 și XP includ toate modulele software de care aveți nevoie pentru a integra sistemul într-o rețea Windows peer-to-peer sau pentru a vă conecta la servere Windows NT, Windows 2000. Insă pentru a conecta calculatorul la rețea utilizând sistemele DOS sau Windows 3.1, trebuie să instalați un pachet separat cu software de client.
Atunci când instalați o placă de rețea în Windows 95 sau Windows 98, în sistem sunt instalate în mod prestabilit următoarele protocoale de rețea:
■ TCP/IP
■ NetBEUI
■ PX/SPX
Sistemele de operare Windows Me, Windows 2000 și Windows XP utilizează în mod prestabilit protocolul TCP/IP. Dacă trebuie să instalați protocoale particulare sau alte componente de rețea, utilizați pictograma Networks din Control Panel sau executați clic cu butonul drept al mouse-ului pe pictograma Network Neighborhood (în Windows 9x) sau My Network Places (în Windows Me/2000) de pe suprafața de lucru Windows și selectați opțiunea Properties.
5.3.7 Configurarea componentelor software de rețea
S-ar putea să întâmpinați o serie de probleme cu instalarea plăcilor de rețea. Chiar dacă plăcile trec testele de diagnosticare fără probleme, rețeaua nu va funcționa corespunzător până când fiecare stație din rețea nu poate „discuta" aceeași limbă, nu are configurat software-ul corect de client sau server și nu utilizează aceleași protocoale.
Tabelul următor prezintă elementele minimale de configurare a componentelor software de rețea pe care trebuie să le instalați pentru a lucra în rețele peer-to-peer Windows 9x/Me, Windows NT și Windows 2000.
Tabelul Componentele software de rețea minimale pentru rețele peer-to-peer
Deși valorile de configurare de rețea din tabelul de mai sus permit funcționarea unei rețele Windows peer-to-peer, este posibil să fie nevoie să adăugați și alte componente de rețea. În cazul în care calculatorul este utilizat pentru accesul la Internet sau într-o altă rețea bazată pe TCP/IP, trebuie instalat și protocolul TCP/IP. în majoritatea cazurilor, puteți să utilizați TCP/IP ca protocol unic de rețea, deoarece poate fi folosit atât pentru Internet, cât și pentru accesul în rețeaua locală de calculatoare.
Utilizați pictograma Network din Control Panel pentru a selecta valorile de configurare de rețea. Pentru a configura rețeaua, veți avea nevoie de CD-urile, dischetele sau fișierele imagine de pe hard-disc corespunzătoare sistemului de operare, precum și de driverele pentru adaptorul de rețea (pentru distribuitoarele și comutatoarele din grupul de lucru nu sunt necesare componente software).
Pentru a instala o componentă de rețea, parcurgeți următoarea procedură:
1. Deschideți miniaplicația Network din Control Panel.
2. Pe ecran este afișată pagina Configuration; selectați opțiunea Add.
3. Selectați una dintre următoarele opțiuni:
• Client. Selectați această opțiune dacă doriți să instalați pentru rețeaua dumneavoastră clientul de rețea Microsoft sau un alt client de rețea. Fiecare PC dintr-o rețea peer-to-peer trebuie să aibă instalată opțiunea Client for Microsoft Networks.
• Adapter. Adaptorul ar trebui să fie deja instalat, însă puteți utiliza această opțiune pentru a instala un nou adaptor.
• Protocol. Pentru o rețea simplă, care nu este conectată la Internet, instalați NetBEUI. Dacă doriți să folosiți în rețeaua dumneavoastră funcția Internet Connection Sharing, instalați și TCP/IP, și NetBEUI.
• Service. Instalați opțiunea File and Printer Sharing for Microsoft Networks pe toate calculatoarele care vor fi utilizate ca servere.
4. Executați clic pe eticheta Identification. Introduceți un nume unic pentru fiecare calculator din rețea; utilizați același nume de grup de lucru pentru toate calculatoarele din rețea.
5. Executați clic pe OK. Introduceți CD-ROM-ul Windows sau alt suport necesar pentru a instala componentele de rețea dorite.
6. Pe parcursul procedurii de instalare vi se cere să introduceți un CD sau o dischetă, sau să navigați până la fișierele corespunzătoare, dacă nu sunt disponibile pe CD-ROM-ul Windows 9x sau pe hard-disc în locația prestabilită.
Pentru terminarea procesului s-ar putea să fie necesară repornirea PC-ului, în special dacă utilizați Windows 9x sau Me. După terminarea procesului de instalare, veți fi pregătit pentru partajarea resurselor.
După terminarea operației de instalare a componentelor hardware și software de rețea, rețeaua dumneavoastră este pregătită pentru utilizare. Dacă însă folosiți sistemul de operare Windows NT, Windows 2000 sau Windows XP Professional, trebuie să configurați securitatea pentru utilizatori și grupuri. Windows 9x și Me utilizează controlul accesului de tip peer-to-peer, care poate fi protejat cu parole, dacă doriți.
6. Conectare, partajări de fișiere și imprimante utilizând Windows NT
6.1 Conectarea la sistemul Windows NT
În NT există două tipuri de conectări disponibile: conectarea la un calculator Windows NT și conectarea Ia un domeniu Windows NT. Observați că Windows NT utilizează mai degrabă termenul log on (conectare la rețea) decât log in (conectare în rețea).
În timpul conectării unui utilizator, este oprit sau suspendat accesul la orice aplicații în mod utilizator pentru a împiedica orice utilizator sau aplicație să fure parola utilizatorului aflat în procesul de conectare.
6.2 Conectarea la un calculator NT
Toți utilizatorii trebuie să se conecteze la calculatorul Windows NT pentru a obține acces la resursele pe care acesta le oferă. Procesul de conectare la sistemul Windows NT necesită o combinație unică de nume de utilizator și parolă pentru a autentifica utilizatorul.
Procesul de conectare pentru un calculator local diferă de cel pentru un domeniu. Diferențele sunt prezentate în continuare.
Winlogon va cere un nume de utilizator și o parolă. Winlogon este manșeta de conectare afișată atunci când NT își lansează interfața grafică GUI. Acest nume de utilizator și parola sunt trimise apoi la autoritatea de securitate locală (Local Security Authority, sau LSA), care se află în subsistemul de securitate de pe calculatorul NT.
1. LSA va trimite o interogare către baza de date SAM, care va verifica dacă numele de utilizator și parola sunt autorizate.
2. SAM va compara această informație cu cea din baza de date a directorului.
3. Dacă numele de utilizator și parola sunt autorizate, LSA va crea un token de acces care conține drepturile atribuite combinației respective de nume de utilizator și parolă. Acest token de acces este apoi trimis înapoi în procesul Winlogon.
4. Winlogon va crea un proces nou pentru utilizator și îi va atașa tokenul. (In mod normal, primul proces creat este Explorer.exe. Acesta nu este Internet Explorer, ci Windows NT Explorer, care controlează accesul la unități și la funcțiile de sistem).
6.3 Conectarea la un domeniu NT
Pentru conectarea la un domeniu Windows NT, procesul mai trebuie să includă câteva operații. In continuare vom descrie procesul complet.
1. Ca și mai înainte, Winlogon va cere un nume de utilizator și o parolă și le va trimite către LSA.
2. Subsistemul de securitate va trimite această cerere serviciului Net Logon de la acel client.
3. Serviciul Net Logon va trimite cererea serviciului Net Logon de la controllerul de domeniu.
4. De aici, aceasta este trimisă la baza de date SAM a controllerului de domeniu pentru autentificare.
5. SAM își va verifica baza de date.
6. SAM-ul controllerului de domeniu va trimite rezultatele înapoi serviciului său Net Logon.
7. Serviciul Net Logon al domeniului va trimite rezultatele înapoi la serviciul Net Logon de pe calculatorul client.
8. Serviciul Net Logon al clientului va corela aceasta cu LSA-ul său.
9. Dacă accesul a fost permis, LSA va crea un token de acces care va fi trimis procesului Winlogon.
10. Winlogon va apela subsistemul Win32. Acest subsistem este responsabil pentru atașarea tokenului de acces la un nou proces. Pe baza acestui token de acces, sistemul NT poate determina la ce resurse are acces utilizatorul.
6.4 Conturi Windows NT
Windows NT diferă oarecum în modul în care oferă acces la fișiere și imprimante. Windows NT utilizează o analogie numită partajare. Partajarea este conceptul de permisiune a accesului la fișiere, dosare (directoare) și alte dispozitive cum ar fi modemuri sau imprimante. Windows NT trebuie să utilizeze sistemul NTFS pentru a furniza securitate la nivel de fișier. Aceste permisiuni sunt stabilite în pagina Security care se găsește în caseta de dialog Properties asociată resursei. Figura 1 prezintă caseta de dialog pentru permisiunile de fișiere, de unde se acordă utilizatorilor drepturile de acces.
Windows NT poate atribui oricare din următoarele permisiuni unei resurse partajate:
■ No Access — Nu se acordă acces la resursă
■ Change — Permite vizualizarea fișierului, rularea lui, dacă este o aplicație, schimbarea datelor din fișier sau ștergerea lui
■ Read Access — Permite vizualizarea fișierului și rularea lui, dacă este o aplicație
■ Full Control – Permite tot ceea ce permite Change Access și, în plus, permite schimbarea permisiunilor fișierului sau luarea sa în proprietate
Modalitățile de a stabili aceste permisiuni le vom studia mai târziu în acest capitol, în secțiunea „Crearea de partajări de fișiere și imprimante pe servere Windows NT 4.0".
6.4.1 Crearea unui cont de utilizator NT
Pentru a crea un cont de utilizator în sistemul NT se utilizează aplicația User Manager for Domains. Puteți găsi User Manager for Domains alegând Start, Programs, Administrative Tools (Common) și User Manager, for Domains. Figura 2 prezintă fereastra programului User Manager for Domains.
Observați că fereastra User Manager are trei coloane în panoul superior: Username (Nume de utilizator), Full Name (Nume complet) și Description (Descriere). Cu ajutorul valorii Username, utilizatorul se va conecta la rețea. Câmpul Full Name este pentru introducerea numelui complet al utilizatorului, iar câmpul Description este opțional și poate fi utilizat de către administrator pentru a introduce texte descriptive pentru identificări, sau alte lucruri cum ar fi „This user forgets his password weekly" (Acest utilizator își uită parola săptămânal).
În panoul de jos al ferestrei veți găsi două coloane: Groups (Grupuri) și Description (Descriere). Coloana Groups listează grupurile disponibile la care se pot atribui utilizatori și permisiuni. De asemenea, aici puteți crea propriile grupuri, dacă doriți. Vom vedea cum mai târziu în acest capitol, în secțiunea „Atribuirea utilizatorilor la grupuri".
Dacă faceți clic pe meniul User din bara de meniuri de deasupra panoului User, va fi deschis meniul cu listă derulantă User din figura 3.
Să examinăm succint fiecare opțiune:
■ New User creează un cont nou de utilizator. Permite crearea unui utilizator complet • nou, care nu este atribuit vreunui alt grup în afară de Domain Users.
■ New Global Group permite crearea unui nou grup care va fi utilizat în cadrul domeniului. Grupurile globale pot avea atribuite permisiuni pentru accesul la resursele domeniului.
■ New Local Group permite crearea unui nou grup local pe calculatorul respectiv.
Următorul grup de opțiuni permite modificarea conturilor și grupurilor existente:
■ Copy — Utilizați această opțiune dacă aveți deja un set de permisiuni și grupuri atribuite unui utilizator și aveți nevoie să adăugați unul sau mai mulți utilizatori cu aceleași permisiuni. Aceasta reprezintă o scurtătură care copiază de la un utilizator anterior totul, cu excepția numelui de utilizator, a numelui complet, a descrierii și a parolei. Poate economisi timp prețios întrucât administratorul nu mai trebuie să reintroducă toate atribuirile de grupuri și permisiuni. Acesta nu mai trebuie decât să introducă informațiile caracteristice.
■ Delete — Selectând mai întâi un utilizator sau un grup din panoul corespunzător, puteți să îl ștergeți alegând opțiunea Delete. Această operație șterge toate informațiile referitoare la acel utilizator, inclusiv identificatorul său de securitate. Dacă ulterior vreți să adăugați din nou acel utilizator, va trebui să recreați în întregime tot contul.
■ Rename — Această opțiune permite schimbarea numelui de utilizator al unei anumite persoane. Data următoare când aceasta se conectează în rețea, va trebui să utilizeze noul nume de utilizator. Este foarte utilă dacă aveți multe poziții temporare. In loc să ștergeți conturile, le redenumiți și îi spuneți noului utilizator să schimbe parola la conectarea în rețea. Contul își păstrează în continuare toate permisiunile de acces.
■ Properties — în caseta de dialog Properties, puteți vizualiza și schimba toate proprietățile utilizatorului, cu excepția numelui de utilizator. Figura 4 prezintă fereastra User Properties (Proprietăți utilizator). După cum se poate vedea din figură, numele de utilizator nu poate fi selectat, nefiind nici o casetă de text adiacentă câmpului Username.
■ Select Users — Această opțiune dă posibilitatea de selectare a utilizatorilor pe grupuri. Este utilă pentru a schimba simultan proprietățile mai multor utilizatori sau pentru ștergerea unui grup de utilizatori.
■ Select Domain — Această opțiune este utilizată pentru administrarea utilizatorilor și a grupurilor dintr-un alt domeniu. Pentru a funcționa, trebuie să aveți stabilite relații de încredere între domenii. Relațiile de încredere se referă la serverul NT într-un mediu de întreprindere și nu vom discuta despre aceasta aici.
■ User, New User — În caseta de dialog New User care se deschide, puteți introduce informațiile despre utilizator, după cum se vede în figura 5. Utilizați tasta Tab pentru a naviga între câmpurile din această casetă.
În continuare veți vedea patru casete de validare opționale:
■ User Must Change Password ta Next Logon (Utilizatorul trebuie să schimbe parola la următoarea conectare la rețea) – Pentru a obliga utilizatorul să schimbe parola la următoarea conectare, lăsați validată această opțiune. Ar trebui să procedați astfel în timpul operației de creare a unui nou utilizator și ori de câte ori trebuie să schimbați parola utilizatorului.
■ User Cannot Change Password (Utilizatorul nu poate să schimbe parola) — Dacă nu vreți ca utilizatorul să-și schimbe parola — de exemplu, dacă le tot schimbă și nu și le mai aduce aminte – selectați această opțiune. Aceasta împiedică utilizatorul să-și mai schimbe parola.
■ Password Never Expires (Parola nu expiră niciodată) – Această opțiune îi transmite sistemului NT că această parolă de utilizator nu va expira după o anumită perioadă de timp. Puteți stabili ca toate parolele să expire după o anumită perioadă de timp pentru a forța schimbarea lor.
■ Account Disabled (Cont dezactivat) – Această opțiune se utilizează atunci când doriți să împiedicați accesul la cont. Opțiunea poate fi validată pentru un director aflat în vacanță sau pentru poziția ocupată de un student angajat pe perioada de vară, poziție vacantă în lunile de iarnă.
6.4.2 Atribuirea utilizatorilor la grupuri
După ce ați introdus toate aceste informații, trebuie să vă uitați la butoanele de la baza casetei de dialog:
■ Groups (Grupuri) — Executând clic pe acest buton vi se va permite atribuirea utilizatorului la grupuri aflate în calculatorul sau domeniul local. Figura 6 reprezintă o imagine a casetei Group Memberships (Apartenență la un grup). Observați grupul Domain Users din lista Member of (Membru în). Toți utilizatorii sunt făcuți automat membri ai acestui grup și nu pot fi eliminați, întrucât acesta este un grup primar.
■ Profile (Profil) – Profilurile de utilizator sunt utilizate atunci când vreți să restricționați accesul la anumite zone ale calculatorului și ale sistemului de operare sau să oferiți utilizatorului un mediu cu aspect consecvent, indiferent de stația NT din domeniu de la care se conectează în rețea. Trebuie să introduceți calea către profilul utilizatorului, precum și numele scriptului de conectare, dacă este cazul.
■ Hours (Ore) – Această opțiune vă permite să stabiliți orele sau cadrele de timp permise în care un utilizator se poate conecta la sistem. Poate fi utilizată pentru a restricționa accesul utilizatorilor la resursele companiei în afara orelor de program sau ca măsură de securitate pentru a împiedica accesul neautorizat la sistemul dumneavoastră după ore, prin acces de la distanță (RAS). Albastru înseamnă conectare permisă și alb conectare interzisă.
■ Logon To (Conectare la) — Această opțiune permite utilizatorilor să acceseze toate stațiile de lucru din rețea sau numai acele stații de lucru pe care le selectați.
■ Account (Cont) – Această opțiune permite configurarea informațiilor despre cont, cum ar fi data de expirare și tipul contului, global sau local.
■ Dial In (Conectare prin apel telefonic) – Această opțiune dă dreptul utilizatorilor să se conecteze pe linie telefonică la calculatorul sau la rețeaua dumneavoastră utilizând Serviciul RAS (Remote Access Service – serviciul de acces de la distanță). Dezactivând caseta de validare Grant Dial-in Permission to User, permiteți utilizatorului să se conecteze pe linie telefonică la server sau la rețea. Acesta trebuie să utilizeze numele de utilizator și parola normală pentru a se conecta la rețea.
■ Call Back (Apel invers) – Aceste opțiuni pot ajuta la creșterea securității, făcând serverul să închidă linia după o conectare reușită și apelând apoi utilizatorul fie la un număr de telefon stabilit de el, fie la un număr prestabilit.
Configurând apelul invers la un număr prestabilit, puteți preveni accesul neautorizat, asigurându-vă că cel care a sunat se află efectiv la numărul de acasă. Aceasta împiedică însă utilizatorii să sune de la hotel, dacă de exemplu sunt pe drum. Pentru aceasta trebuie utilizată opțiunea Set By Caller (Stabilit de apelant).
După ce stabiliți valoarea tuturor opțiunilor utilizatorului, executați clic pe butonul Add. Dacă ați terminat de adăugat utilizatorii, executați clic pe butonul Close pentru a încheia sesiunea.
6.5 Scripturi de conectare
Windows NT poate să prelucreze scripturile de conectare atunci când utilizatorul se conectează în sistem. In sistemul NT, scripturile de conectare sunt utilizate pentru conectarea automată la mapările de unități în momentul intrării în rețea, pentru a rula aplicații sau fișiere de batch și pentru a configura sistemul. Fișierul script poate fi sub forma unui fișier de batch (.bat sau .cmd) sau poate fi un program executabil. Prin Login Script Path (calea scriptului de conectare) indicăm sistemului NT unde se află fișierul script. Aceasta este calea specificată în User Manager pentru acel utilizator.
Este indicat să păstrați o copie principală a fiecărui script de conectare pe unul din serverele Windows NT. Aceasta va permite replicarea rapidă a scriptului pe mai multe servere dintr-un domeniu NT. Acest lucru este necesar întrucât cea mai mare parte a domeniilor au mai multe servere care efectuează cereri de conectare — un singur controller PDC, dar mai multe controllere BDC.
Unul dintre principalele motive pentru care se utilizează un script de conectare într-un mediu NT este faptul că oferă clienților rețelei o mapare consecventă. Pot apărea probleme atunci când utilizatorii au mapări de unități care nu se potrivesc. S-ar putea să fie nevoie să localizeze un fișier la care lucrează doi utilizatori – unul are fișierul mapat ca unitatea M, în timp ce celălalt are același fișier mapat pe stația sa de lucru ca unitatea Q. Acest fișier de conectare este esențial dacă în document se utilizează tehnica OLE (legarea și înglobarea de obiecte), pentru că legăturile înglobate depind de cale. Dacă un utilizator deschide un fișier creat de un al doilea utilizator și dacă acel fișier utilizează OLE, obiectul înglobat nu va fi prezent întrucât mapările unității nu se potrivesc și documentul nu poate localiza obiectul înglobat.
Pentru a crea un script de conectare, puteți utiliza un simplu editor de text și să-1 salvați ca fișier de batch cu extensia .bat sau .cmd. Puteți lista pe rând fiecare comandă în fișierul de batch și fiecare linie va fi prelucrată pe rând.
Iată un exemplu rapid de fișier script care va stabili valoarea ceasului pe stația de lucru a utilizatorului la fel cu valoarea ceasului de pe server; vom mapa directorul de bază al utilizatorului și apoi vom lansa în execuție o aplicație.
@echo off
net time \\Donut /set /yes
net use h: /home
call ..calc.exe
Prima linie, @echo off, anulează afișarea în ecou a fișierului script pe ecran. Dacă omiteți această linie, fișierul script va fi afișat, în timp ce se execută, pe ecran. Acest lucru poate fi util pentru a împiedica utilizatorii să vadă ce se întâmplă în timpul procesului de conectare.
Linia a doua utilizează comanda net time pentru a se(conecta la serverul denumit Donut și a prelua ora de la ceasul acestuia. Această oră este apoi utilizată pentru a-și sincroniza propriul ceas cu ceasul serverului.
Linia a treia mapează litera unității H la directorul de bază al utilizatorului, specificat în profilul utilizatorului.
Ultima linie determină lansarea în execuție a programului calculator. Programul poate fi, evident, orice fișier valid de aplicație.
Deci, în esență, un fișier script de conectare reprezintă o serie de comenzi NT pe care vreți să le rulați ori de câte ori un utilizator se conectează la sistem.
6.6 Crearea de partajări de fișiere și imprimante pe severe Windows NT 4.0
Pentru ca și calculatoarele client și alte servere dintr-o rețea NT să poată accesa fișiere și imprimante de pe un server NT, acestea trebuie mai întâi partajate. Fiecare resursă care trebuie pusă la dispoziția altor calculatoare trebuie să fie partajată.
6.6.1 Partajări de fișiere
Windows NT suportă două sisteme de fișiere care pot fi utilizate pe o unitate de hard-disc: FAT și NTFS. FAT este un sistem de fișiere care există de ani de zile. Este compatibil cu DOS, Windows 3.x, Windows 9x, NT, OS/2 și UNIX/Linux. Poate fi citit și scris de către toate aceste sisteme de operare. Windows NT și Windows 9x au îmbunătățit sistemul de fișiere FAT inițial, care suportă acum nume de fișiere lungi. Sistemul DOS și variantele timpurii de Windows aveau problema convenției de nume de fișier 8.3. Cu FAT16 și FAT32 suportă acum nume de fișiere lungi (până la 255 de caractere, inclusiv calea).
Windows NT poate utiliza FAT16 și FAT32. Windows 2000 poate să citească de pe FAT32. Una din problemele care apar într-un scenariu dual de pornire la Windows 2000 și Windows NT 4.0 este că Windows 2000 face anumite schimbări în sistemul de fișiere NTFS și cere să instalați cel puțin Service Pack 4, pentru ca NT să poată porni dual cu Windows 2000.
Se recomandă ca, dacă vreți securitate maximă la partajarea de fișiere pe Windows NT, să formatați unitatea de hard-disc utilizând NTFS (sistemul de fișiere NT). Original, nu? Partițiile FAT suportă numai parole pentru dosare. Nu puteți implementa securitatea la nivel de fișier, ceea ce reprezintă unul din numeroasele avantaje ale sistemului NTFS asupra FAT.
6.6.1 Permisiunile de acces la fișiere
Fiecare fișier poate să aibă atribuite anumite permisiuni:
■ No Access (Fără acces) împiedică utilizatorul să citească sau sa modifice acel fișier. Nu este același lucru cu un atribut ascuns (hidden), care nu permite unui fișier să apară într-o listă de directoare.
■ Read Access (Acces pentru citire) permite utilizatorului să citească un fișier și, dacă este vorba de o aplicație, utilizatorul poate rula acea aplicație. Utilizatorul nu poate șterge sau modifica fișierul în nici un fel.
■ Change Permission (Permisiune pentru modificare) acordă utilizatorului permisiunile Read Access, iar utilizatorul poate să modifice sau să șteargă fișierul.
■ Full Control (Control complet) dă utilizatorului toate permisiunile menționate anterior și, în plus, îi permite să schimbe permisiunile pentru fișier și să ia în proprietate fișierul.
6.6.2 Partajarea de fișiere
Deci, cum partajați fișiere și cum le atribuiți ulterior permisiuni? Să parcurgem mai întâi procesul de partajare. Deschideți Windows NT Explorer (prezentat în figura 7.4) și uitați-vă la fișierele de pe unitatea de hard-disc.
În panoul din stânga veți vedea o listă a unităților și a directoarelor existente în calculator. Veți vedea și un dosar Printers, un dosar Control Panel și Scheduled Tasks (Sarcini planificate). Pentru moment nu ne vom ocupa decât de unități și directoare.
În panoul din dreapta veți vedea subdirectoarele și fișierele care există pe unități. Observați directorul Winnt de la baza subdirectoarelor de pe unitatea D. Lângă el se pot vedea o mână și un braț. Aceasta este o indicație vizuală că acest director, sau dosar, este partajat.
Este important de reținut că sistemele de fișiere FAT și NTFS diferă prin modul în care aplică partajarea. Pe un volum FAT, sistemul NT nu poate aplica permisiunile de partajare decât directoarelor, nu și fișierelor. Când partajați un director, partajați tot conținutul directorului respectiv. NTFS vă permite partajarea fișierelor individuale dintr-un director.
Pentru a partaja un director sub Windows NT utilizând sistemul de fișiere FAT, puteți accesa directorul utilizând Windows NT Explorer sau de la pictograma corectă a unității din My Computer. Executați clic pe director cu butonul din dreapta al mouse-ului pentru a deschide meniul de context și a alege opțiunea de partajare.
Ceea ce trebuie ținut minte aici este că trebuie partajat mai întâi directorul pentru a putea partaja fișierele din el. La NTFS este partajat numai directorul. Până când nu aplicați o partajare a fișierelor din director, acestea nu sunt partajate. Ca să dobândiți puțină experiență în procesul de partajare, deschideți directorul Winnt executând clic pe semnul plus de lângă el și alegând subdirectorul Config.
Accesați meniul contextual executând clic cu butonul din dreapta al mouse-ului pe pictograma directorului Config. Veți vedea meniul său pop-up. Dacă încercați să partajați un fișier care este nepartajabil, nu veți vedea opțiunea Sharing din acest meniu.
Opțiunea de meniu pe care o doriți este Sharing. Executați clic pe acest element de meniu pentru a afișa caseta de dialog Config Properties, prezentată în figura 7.5.
Aceasta este aceeași casetă de dialog care apare când alegeți Properties, dar utilizând opțiunea de meniu Sharing, pagina corectă va fi selectată automat. Aceasta face viața mai ușoară celor cărora nu le place să execute prea multe clicuri cu mouse-ul.
Vă interesează pagina Sharing. Rețineți că sistemul NT nu partajează implicit decât directorul Winnt. Aceasta din cauză că trebuie partajat ca partiție de conectare în rețea.
Pentru a oferi permisiuni de partajare pe acest director trebuie să executați clic pe butonul radio Shared As. Efectuând această operație, celelalte casete de text devin disponibile pentru a introduce informațiile corespunzătoare.
Până nu alegeți butonul radio Shared As, nu puteți introduce informațiile în casetele de text, pentru că acestea sunt gri. Aceasta arată că, dacă nu este activată nici o partajare, acea informație nu este necesară și nu trebuie introdusă.
Introduceți un nume descriptiv pentru partajare, care va indica utilizatorilor ce reprezintă. Sau, dați-i pur și simplu o literă de unitate ca nume de partajare și utilizați câmpul Comment pentru a introduce o descriere.
În zona User Limit puteți stabili valoarea Maximum Allowed sau puteți stabili propria dumneavoastră limită.
Executând clic pe butonul Permissions, Windows NT afișează caseta de dialog Access Through Share Permissions. In mod prestabilit, sistemul NT introduce grupul Everyone în lista Name cu Full Control. Executați clic pe butonul Remove și grupul Everyone va fi șters din listă.
Pentru a adăuga un utilizator sau un grup, executați clic pe butonul Add. Va fi afișată caseta de dialog Add Users and Groups. Din lista de grupuri afișată, selectați grupul sau grupurile care doriți să aibă acces la partiție. Puteți face aceasta executând clic pe grup și alegând Add sau executând dublu clic pe numele grupului.
Dacă doriți să adăugați anumiți utilizatori în loc de grupuri, selectați butonul Show Users. La început va părea că nu s-a schimbat nimic, dar dacă baleiați lista Names, veți vedea că sunt listați toți utilizatorii dintre care puteți alege.
După ce ați adăugat utilizatorii sau grupurile, asigurați-vă că ați stabilit permisiunile de acces utilizând caseta combo Type of Access de la baza ferestrei Add Users and Groups. Executați clic pe OK pentru a închide fereastra și a aplica schimbările. O să vedeți acum numele utilizatorilor/grupurilor în lista de nume pentru acea partajare. Executați clic pe OK pentru a închide fereastra Access Through Share Permissions. Executați clic pe OK pentru a închide caseta de dialog Share Properties și gata. Ați creat prima partajare.
6.6.3 Crearea de partajări de imprimante
Pentru a permite și altor utilizatori din rețea să tipărească de la o imprimantă de rețea, aceasta trebuie partajată. Partajând o imprimantă, o faceți disponibilă utilizatorilor în scopuri de tipărire și de administrare. Evident, nu doriți ca toată lumea să aibă posibilitatea să administreze imprimantele din rețea, deci trebuie să stabiliți corespunzător permisiunile de acces. Vom prezenta pe scurt cum se face aceasta.
Puteți partaja o imprimantă în unul din următoarele două moduri:
■ în timpul instalării
■ După ce imprimanta a fost instalată
a. Partajarea unei imprimante în timpul instalării
Când configurați pentru prima dată o imprimantă nouă pe server sau pe stația de lucru, aveți opțiunea să partajați imprimanta după ce ați ales și ați instalat driverele. în mod prestabilit, sistemul NT nu partajează imprimanta și trebuie să selectați butonul radio Shared.
Windows NT va lista sistemele de operare disponibile pentru care permite partajarea imprimantei. între acestea se numără Windows 95 (Windows 98 este și el inclus) și, de asemenea, NT 4.0 în variantele MIPS, Alpha și PPC. Lista include și NT 3.1, 3.5 și 3.51. Pentru a partaja imprimanta în Windows 95 veți avea nevoie de la producător de CD-ul sau dischetele cu driverele imprimantei. NT nu furnizează driverele necesare pentru Windows 95. Când un client Windows 95 se conectează pentru prima oară la server ca să trimită o lucrare de tipărire, driverul va fi încărcat în RAM-ul clientului.
După ce selectați un nume de partajare și un sistem de operare cu care să o partajați, imprimanta dumneavoastră va apărea în caseta de dialog Printers cu o mână mică, indicând că este partajată.
b. Partajarea unei imprimante deja instalate
Dacă aveți o imprimantă deja instalată pe un calculator NT, o puteți partaja executând clic cu butonul din dreapta al mouse-ului pe pictograma imprimantei din fereastra Printers. Figura 7.6 prezintă fereastra Printers. Rețineți că fereastra poate să difere în funcție de versiunea de Internet Explorer instalată pe sistemul dumneavoastră.
Figura 7.6 Fereastra Printers vă permite să adăugați, să ștergeți, să partajați și să editați imprimantele conectate la acest calculator.
Când executați clic cu butonul din dreapta al mouse-ului pe pictograma, va apărea un meniu pop-up.
Selectați opțiunea de meniu Sharing pentru a afișa pe ecran proprietățile imprimantei. Pagina Sharing este deja selectată cu numele imprimantei, cu butoanele radio Not Shared (Nepartajat) și Shared (Partajat), cu caseta de text Share Name și cu sistemele de operare disponibile cu care NT-ul va partaja imprimanta.
Există o diferență între această pagină de proprietăți și pagina de partajare afișată la instalarea imprimantei. Pentru a stabili permisiunile pentru imprimantă cu această metodă, trebuie să selectați pagina Security din caseta de dialog Printer Properties. Acolo veți găsi o fereastră care afișează opțiunile Permissions, Auditing și Ownership. Ca și la fișiere, puteți stabili permisiunile de acces pentru utilizatori sau grupuri, puteți să auditați imprimanta și să o luați în proprietate.
6.7 Aplicații de rețea
Când mă refer la aplicații de rețea, înțeleg marea varietate de programe și utilitare care pun la dispoziția administratorilor instrumente de depanare și monitorizare. Sunt dezvoltate din ce în ce mai multe aplicații pentru ambele sisteme de operare. Unele sunt doar o îmbunătățire a aplicațiilor existente, iar altele sunt absolut noi, destinate să rezolve probleme care în mod normal se rezolvau cu creion și hârtie. Este imposibil să trecem prin toate tipurile de aplicații, ca să nu mai vorbim de întreaga bibliotecă disponibilă. Aceasta ar însemna alte câteva cărți, care n-ar putea fi niciodată actualizate din cauza schimbărilor rapide din domeniul dezvoltării de aplicații.
6.7.1 Telnet
Telnet este un program utilizat și de NT pentru a permite utilizatorului să controleze sau să se conecteze la un calculator aflat la distanță. Telnet oferă o sesiune de tip terminal pe calculatorul aflat la distanță.
Pentru a utiliza telnet, trebuie să aveți o conexiune activă de rețea sau o conexiune pe linie telefonică, ce oferă o cale spre serverul la care vreți să vă conectați. Comanda este
Telnet server.domain.com [port]
6.7.2 PING
Windows NT întrebuințează utilitarul PING pentru a verifica existența și conexiunea cu un calculator gazdă aflat la distanță. Comanda pentru PING este:
PING 192.168.1.1
Sistemul aflat la distanță va răspunde dacă este ordine și disponibil. Sistemul NT va trimite implicit patru pachete de câte 64 de octeți. De asemenea, există o multitudine de opțiuni în linie de comandă pentru PING. Acestea sunt:
■ -t – Apelează calculatorul specificat prin metoda ping până când este întrerupt.
■ – a – Rezolvă adresele cu numele calculatoarelor.
■ -n count – Specifică numărul de pachete care trebuie trimise.
■ -l length — Trimite pachete ECHO conținând cantitatea de date specificată de length (lungime). In mod prestabilit sunt 64 de octeți și maxim 8192.
■ -f — Trimite un indicator pentru a arăta că pachetul nu trebuie fragmentat de porți pe traseu.
■ -i ttl — Stabilește valoarea variabilei Time to Live (Durata de viață)
■ -v tos – Stabilește valoarea variabilei Type of Service (Tipul de serviciu)
■ -r count – înregistrează ruta pachetului trimis și întors înapoi. Această înregistrare este făcută în câmpul Record Route. Intervalul pentru variabila count este 1-9.
■ -s count — Specifică marca de timp pentru numărul de hopuri (salturi) specificat de count.
■ -j computer-list – Determină rutarea pachetelor utilizând o listă de calculatoare specificate în computer-list. Acestea pot fi separate de porți intermediare. Numărul maxim permis de IP este de 9 intermediari.
-k computer-list — Rutează tot prin lista de calculatoare, dar calculatoarele consecutive nu pot fi separate de porți intermediare.
-w timeout – Specifică un interval de expirare a timpului în milisecunde.
-destination-list — Specifică mai multe calculatoare care să fie apelate prin metoda ping.
6.7.3 FTP
Windows NT include un program FTP în linie de comandă pentru a accesa servere FTP aflate la distanță. Aplicația FTP utilizează multe dintre comenzile folosite de echivalentul său UNIX. Pentru a funcționa ca server FTP, Windows NT necesită instalarea serverului IIS (Internet Information Server).
6.7.4 DNS
DNS (Domain Name System – sistemul de nume de domenii) rulează ca serviciu pe un calculator NT. Este strâns legat de serviciul WINS de la NT, ambele fiind discutate aici.
Microsoft DNS Server
Rețeaua UNIX se bazează mult pe adresarea TCP/IP și IP. Windows NT utilizează sistemele WINS (Windows Internet Name System — Sistemul de nume Internet Windows) și DNS pentru a rezolva numele calculatoarelor gazdă în adrese IP. WINS oferă adrese IP pentru numele NetBIOS pentru utilizarea pe TCP/IP. DNS sub NT oferă adrese IP pentru maparea numelui de gazdă, utilizată în rețelele TCP/IP.
Versiunea DNS distribuită cu NT 4.0 este complet compatibilă cu specificațiile RFC 1033, 1034, 1035, 1101, 1123, 1183 și 1536. Chiar mai mult, oferă mapare dinamică prin utilizarea sistemului WINS și are o interfață grafică pentru administrare. Incorporează aplicații wizard care simplifică crearea de zone și permite utilizatorilor să administreze servere DNS aflate la distanță. Nu permite administrarea de servere care nu sunt servere DNS NT.
Microsoft DNS suportă un fișier de pornire la instalare care ușurează migrarea de la servere DNS bazate pe BIND.
Instalarea sistemului DNS
DNS nu se instalează implicit la prima configurare a sistemului NT pe un calculator. Dacă sistemul DNS nu este prezent, poate fi instalat din miniaplicația Network din Control Panel. DNS rulează ca serviciu, deci este disponibil în pagina Services. Executați clic pe butonul Add și selectați DNS din lista de servicii disponibile. După instalarea sistemului DNS, trebuie sa-1 configurați pentru a oferi mapările necesare. DNS va porni automat la reîncărcarea sistemului NT. Deși instalați DNS prin miniaplicația Network din Control Panel, el are propriile sale instrumente administrative și se găsește în meniul Start, sub Administrative Tools (Common).
Selectați DNS Manager din listă. DNS Manager este ilustrat în figura 7.7.
Adăugarea unui server
DNS nu conține nici un server până când nu adăugați unul la DNS Manager. Numai după această operație puteți crea zone.
1. Executați clic pe meniul DNS și alegeți New Server (Server nou).
2. Introduceți numele serverului și executați clic pe OK.
3. Acum, după ce ați introdus un nume de server, trebuie să creați zone. Executând clic cu butonul din dreapta al mouse-ului pe numele serverului, va apărea un meniu pop-up; selectați opțiunea New Zone (Zonă nouă).
4. Va fi afișată o casetă de dialog în care sunteți întrebat dacă doriți să creați o zonă primară sau secundară. Selectați opțiunea corespunzătoare.
5. În continuare trebuie să introduceți un nume pentru zonă și un fișier. Opțiunea de fișier este utilizată pentru a determina sub ce nume de fișier este salvată zona. După introducerea informațiilor, zona este adăugată ierarhiei. Urmați aceeași procedură pentru a adăuga orice alte zone suplimentare.
Figura 7.7 DNS Manager este interfața pe care o utilizați pentru a configura informațiile despre serverul de nume de domenii.
Executând clic cu butonul din dreapta al mouse-ului pe zona nouă, puteți alege dintre opțiunile de meniu disponibile pentru a adăuga calculatoare gazdă noi, domenii sau înregistrări noi, sau puteți șterge zona.
Deși sunt mult mai multe detalii și opțiuni disponibile în DNS, managerul DNS grafic împreună cu aplicațiile wizard oferă o interfață ușor de utilizat pentru configurarea serviciului DNS în sistemul Microsoft Windows NT. Introducând adresa IP a serverului dumneavoastră DNS în proprietățile de configurare ale clienților, clienții se pot conecta și pot utiliza rezolvarea numelor de pe serverul NT.
7. Integrarea sistemului de operare Windows NT în mediul Linux
Cu recenta mediatizare și agitație din domeniu referitoare la sistemul de operare Linux, suntem puși în situația de a adăuga, de a integra sau de a înlocui serverele Windows NT de care dispuneți cu un calculator pe care rulează Linux.
Linux este întâlnit în mai multe versiuni provenite de la mai mulți furnizori și este practic imposibil să detaliem metodele fiecărui producător. Ca un element de bază, toate referirile vor fi făcute la Red Hat versiunile 5.2 și 6.0, care reprezintă una dintre cele mai răspândite variante de Linux.
7.1 Conversia conturilor de utilizator
Nu există instrumente automate de conversie pentru conturile de utilizator de la UNIX la NT. In mod asemănător, trecerea de la NT la Linux se confruntă cu aceeași problemă. Singura metodă disponibilă în prezent este operația manuală.
7.1.1 Permisiuni
O rapidă trecere în revistă a permisiunilor de utilizator disponibile în sistemul de operare Windows NT va servi la reîmprospătarea memoriei și nu va mai trebui să căutați în capitolele precedente, în sistemul NT, unui utilizator îi pot fi atribuite următoarele permisiuni:
■ No Access (Fără acces) – Utilizatorul nu poate să vizualizeze sau să modifice fișierul.
■ Read Access (Acces pentru citire) – Utilizatorul poate să vadă fișierul și, dacă fișierul este executabil, poate să îl lanseze în execuție (sistemul Linux pune la dispoziție indicatoarele de permisiune rx).
■ Change Access (Acces pentru modificare) – Utilizatorul are toate permisiunile de citire, plus capabilitatea de a modifica și șterge fișierul (Linux trebuie să utilizeze rwx).
■ Full Control (Control complet) – Toate permisiunile anterioare, plus permisiunea Take Ownership (pentru controlul complet, utilizați rwx. Pentru proprietate, utilizați comanda chown).
7.1.2 Grupuri
Utilizatorii Windows NT aparțin unor grupuri. Dumneavoastră atribuiți utilizatorii la grupuri folosind aplicația User Manager for Domains. Grupurile reprezintă o componentă importantă și pentru conturile de utilizator Linux. Dacă introduceți un server Linux în organizația dumneavoastră, aproape sigur va fi necesar să vă familiarizați cu grupurile. Insă dacă sistemul Linux este instalat pe PC-ul de la domiciliu sau într-un mediu cu un singur utilizator, grupurile nu mai sunt atât de importante.
Atribuiți permisiunile la fișiere pe baza identificatorului de utilizator (UID), ca și a identificatorului de grup (GID). Sistemul de operare Linux atribuie utilizatorii la grupuri prin adăugarea numelui de utilizator în fișierul /etc/group. Veți învăța cum să efectuați această operație într-unui din paragrafele următoare, când veți adăuga un utilizator.
7.1.3 Lucrul cu utilizatorii Linux
Dacă sunteți un administrator de sistem pe un sistem Linux, una dintre principalele dumneavoastră responsabilități va fi gestionarea conturilor de utilizator. Chiar dacă nu sunteți un administrator, ar trebui să fiți obișnuit cu conturile de utilizator și cu grupurile (pentru a crea conturi de utilizator, trebuie să fiți conectat la sistem ca root).
Gestionarea conturilor de utilizator presupune crearea și ștergerea conturilor, atribuirea la grupuri, stabilirea permisiunilor și crearea și atribuirea directoarelor de bază. Pentru a adăuga un utilizator la un sistem Linux, puteți folosi două metode. Fie adăugați manual informațiile despre utilizator în fișierul /etc/passwd, fie adăugați automat informațiile cu ajutorul comenzilor adduser sau useradd. În continuare este prezentată sintaxa pentru comanda adduser:
./adduser fflintstone
Așa cum a fost amintit anterior, sunt disponibile diferite versiuni de Linux, și fiecare implementează comanda adduser sau useradd puțin diferit. De exemplu, Red Hat vă cere să introduceți doar comanda precedentă și execută automat restul operațiilor necesare pentru crearea contului. O altă versiune de Linux, cunoscută sub numele Slackware, vă solicită mai multe informații, nu doar numele de utilizator. Trebuie să precizați sistemului și o parolă.
7.1.4 Formatul si localizarea conturilor de utilizator
Când creează contul de utilizator, sistemul Linux plasează o intrare în fișierul /etc/passwd. Intrarea are următoarea formă:
nume_de_conectare:parola_criptata:identificator_de_utilizator:
identificator_de_grup:informatii_despre_utilizator:director_de_conectare: shell_de_conectare
Notă
Dacă intenționați să utilizați procedurile următoare pentru a edita manual fișierul /etc/passwd, asigurați-vă ca în prima fază să faceți o copie a fișierului. Dacă acest fișier devine corupt, nu veți mai putea să vă conectați la sistem.
Pentru a adăuga manual un utilizator, ar trebui să înțelegeți bine câmpurile din intrare. In tabelul 1 sunt descrise aceste câmpuri.
Tabelul 1 Câmpurile utilizate de fișierul /etc/passwd
Așa cum am menționat, comenzile adduser sau useradd creează automat pentru dumneavoastră conturile de utilizator. Atunci când introduceți comanda . /adduser fflintstone, Linux creează o intrare în fișierul /etc/passwd, dă utilizatorului un identificator, atribuie utilizatorului identificatorul de grup prestabilit, listează directorul de bază ca fiind home/nume_utilizator și atribuie shellul prestabilit. Singurele informații pe care trebuie să le adăugați dumneavoastră sunt numele complet și parola utilizatorului.
Pentru a crea o parolă pentru utilizator, introduceți următoarea comandă:
passwd nume_utilizator
În exemplul nostru, ca utilizator ar trebui să scrieți la tastatură passwd fflintstone și să apăsați Enter. Vi se va cere parola. In timp ce introduceți parola, nu este afișat nimic pe ecran, ca o precauție împotriva unei persoane care s-ar uita peste umărul dumneavoastră. In continuare vi se va cere să confirmați parola prin reintroducere de la tastatură.
Sugestie
0 parolă bună și sigură ar trebui să conțină o combinație de caractere, introduse cu litere mari și mici, și numere. Această combinație este mai greu de ghicit. Dacă utilizați o parolă simplă, cum ar fi „test", sistemul Linux va remarca acest lucru și vă va comunica faptul că nu este o parolă bună. Cu toate acestea, nu vă va împiedica să o folosiți.
Linux va crea o versiune criptată a parolei și o va memora în locul corect din fișier.
7.1.5 Informații despre utilizator
Câmpul cu informații despre utilizator conține în mod normal numele complet al utilizatorului, însă poate include și alte tipuri de informații, cum ar fi numerele de telefon de la birou și de la domiciliu. Dacă nu vă place să lucrați cu fișiere script, puteți pur și simplu să utilizați comanda Change Finger (chfn) pentru a introduce aceste informații ulterior. Sintaxa pentru această comandă este:
chfn <nume_utilizator>
Adăugarea manuală a unui utilizator
In continuare, veți vedea cum poate fi adăugat manual un utilizator în sistem. Operațiile necesare ar trebui efectuate în următoarea ordine:
1. Adăugarea utilizatorului în fișierul /etc/passwd.
2. Crearea directorului de bază.
3. Atribuirea permisiunilor de proprietate.
4. Copierea valorilor de configurare .profile.
Adăugarea utilizatorului
Utilizând un editor de texte care va face salvarea în format ASCII real, editați fișierul /etc/passwd pentru a adăuga manual un utilizator. Va trebui să adăugați informațiile la sfârșitul fișierului, pe o linie nouă. Fiecare utilizator este introdus pe propria linie.
Adăugați-1 pe domnul Flintstone manual pentru a vedea cum funcționează metoda (toate informațiile ar trebui să fie pe o singură linie).
fflintstone::120:100:Fred Flintstone:/home/fflintstone: /bon/sh
Acum priviți această intrare și observați ce ați făcut. Remarcați faptul că fiecare câmp este separat de un caracter două puncte (:). Primul câmp, fflintstone, este numele de conectare. In continuare, observați că apar două caractere două puncte. Trebuie să treceți peste câmpul de parolă, deoarece acesta este memorat criptat și nu puteți să introduceți o parolă criptată prin această metodă. Caracterul două puncte este însă necesar pentru a separa câmpurile chiar și în cazul în care câmpul pentru parolă este gol.
Următoarea intrare de câmp, 120, reprezintă identificatorul utilizatorului. Identificatoarele utilizatorilor ar trebui să fie secvențiale, în ordine numerică. Aceasta poate să indice că există deja alți utilizatori în acest fișier.
Următorul câmp indică un identificator de grup cu valoarea 100. Desigur, puteți să introduceți identificatorul oricărui grup existent din care doriți să facă parte utilizatorul.
Următorul câmp este câmpul cu informații despre utilizator, care afișează numele complet al utilizatorului.
În continuare este listat directorul de bază al utilizatorului (directorul nu există încă și trebuie creat).
Ultimul câmp indică shellul care va fi utilizat de acest cont. Acest shell particular este shellul Bourne (chiar dacă ați specificat shellul Bourne ca shell prestabilit de pornire, utilizatorul îl poate schimba ulterior cu alt shell). Înainte să treceți mai departe, trebuie să atribuiți parola. Aceasta poate fi acum o parolă simplă, astfel ca utilizatorul să se poată conecta mai târziu și să o poată schimba cu o parolă sigură, aleasă de el. Scrieți la tastatură passwd fflintstone.
Vi se va cere o parolă nouă și confirmarea pentru aceasta. Majoritatea administratorilor folosesc fie password, fie numele de utilizator ca parolă inițială. După aceasta, va trebui să o comunicați utilizatorului, astfel încât acesta să se poată conecta pentru prima dată și să o modifice.
7.1.6 Crearea directorului de bază
Acum, după ce a fost creată intrarea pentru utilizator și acesta are o parolă, trebuie să creați directorul de bază al utilizatorului astfel ca acesta să aibă un loc în care să își păstreze fișierele personale atunci când este conectat la sistem.
Pentru a crea un director pentru fflintstone, introduceți următoarea comandă:
mkdir/home/fflintstone
Domnul Flintstone are în acest moment propriul director în care poate să stocheze fișiere.
7.1.7 Atribuirea proprietății
Pentru ca utilizatorii să aibă control complet asupra propriului director de bază, trebuie să ie atribuiți proprietatea asupra directorului. Comanda pe care o veți folosi este
chown fflintstone /home/fflintstone
7.1.8 Atribuirea unui utilizator la un grup
Pentru a adăuga manual un utilizator la un grup, trebuie să înțelegeți mai întâi structura fișierului /etc/group. De asemenea, ar trebui să țineți seama de câteva grupuri prestabilite și să înțelegeți de ce utilizatorii obișnuiți nu trebuie să fie atribuiți acestora.
înainte să efectuați modificări în acest fișier, tipăriți-1 sau revedeți-1 în editorul ASCII (cum ar fi vi sau Emacs, care vor fi discutate într-o altă secțiune a acestui capitol) pentru a vă familiariza cu modul în care sunt introduse intrările și, de asemenea, pentru a afla ce grupuri prestabilite sunt disponibile în sistemul dumneavoastră. Grupurile prestabilite la care nu ar trebui să atribuiți utilizatorii obișnuiți sunt prezentate în listingul 1.
Listingul 1 Grupuri prestabilite
root
sys
daemon
kmem
tty
Prin atribuirea utilizatorilor la aceste grupuri, le oferiți acces de tip root. Utilizând root, ei pot obține acces la zone din sistem pe care este indicat să le lăsați în grija administratorilor și a utilizatorilor puternici, care înțeleg cu adevărat sistemul Linux. Dacă nu sunteți implicat într-un mediu de birou, în care utilizatorii trebuie împărțiți pe grupuri, ar trebui să faceți toți utilizatorii membri ai grupului users.
Priviți o intrare din fișierul groups pentru a vedea ce conțin câmpurile. Grupul cu care veți lucra cel mai mult este grupul users, așa că haideți să îl considerăm ca un exemplu.
Users : 100:gobrien, brubble
Observați că există patru câmpuri în această intrare, fiecare fiind separat de un caracter două puncte, la fel ca în fișierul /etc/passwd. Primul câmp conține numele grupului în acest caz, users.
Al doilea câmp este pentru parola grupului. Această intrare nu este completată. In mod normal, grupurilor nu le sunt atribuite parole, însă aceasta nu înseamnă că nu puteți să le atribuiți o parolă, dacă doriți. Dacă există o parolă introdusă pentru un grup, utilizatorul trebuie să o introducă de la tastatură atunci când cere să se asocieze la grup.
In continuare vedeți numărul 100. Acest câmp este pentru numărul de identificare al grupului. Numărul este utilizat chiar de sistemul de operare. Numerele de identificare pentru grupuri ar trebui să fie atribuite secvențial, la fel ca în fișierul /etc/passwd.
Ultimul câmp conține numele utilizatorilor care sunt membri ai grupului, separate prin virgule.
Dacă trebuie să adăugați un grup în fișier, plasați pur și simplu grupul pe o linie separată, cu câmpurile corespunzătoare poziționate corect, și adăugați utilizatorii doriți.
7.1.9 Copierea profilurilor
Acum, după ce ați creat contul de utilizator, trebuie să stabiliți configurația pentru shellul utilizatorului. Cea mai simplă metodă pentru efectuarea acestei operații este de a copia fișierul .profile. al altui utilizator în directorul de bază al noului utilizator. După aceasta, utilizând comanda chown, puteți să atribuiți proprietatea utilizatorului, astfel ca acesta să poată personaliza fișierul cu profilul.
Înainte să oferiți definitiv fișierul noului utilizator, asigurați-vă ca în respectivul fișier să nu existe configurări specifice altui utilizator, cum ar fi listele directoarelor de bază.
Adăugarea utilizatorilor nu reprezintă decât jumătate din luptă. Cum procedați dacă este nevoie să ștergeți un utilizator? Ei bine, acest proces este ceva mai simplu. Iată cum se procedează.
7.1.10 Ștergerea utilizatorilor
La fel ca în cazul adăugării de utilizatori, puteți să ștergeți utilizatorii automat sau manual. Pentru a șterge automat conturile de utilizatori, utilizați comenzile deluser sau userdel. Fiecare dintre aceste comenzi vă va cere numele utilizatorului care trebuie șters.
Pentru a elimina manual un utilizator, ștergeți pur și simplu intrarea corespunzătoare acestuia din fișierul /etc/passwd. După aceea, puteți să îi ștergeți directorul de bază, fișierul de memorare a mesajelor de poștă electronică și procesele pe care le-ar fi putut planifica utilizând comenzile cron sau at.
În acest moment, în sistem a fost adăugat și configurat un utilizator nou. Acesta este primul pas pe care ar trebui să îl faceți după instalarea sistemului Linux, astfel încât să puteți configura un cont de utilizator pentru dumneavoastră, pentru sarcinile zilnice. Nu este recomandat să vă conectați regulat ca root. Orice greșeală de configurare ar putea face ca sistemul să nu mai poată porni.
Dacă trebuie să executați procese administrative când sunteți conectat ca alt utilizator, puteți să folosiți contul de super user (su). Tastați simplu su în linia de comandă și introduceți parola root. în acest moment sunteți conectat ca administrator și puteți să executați lucrările administrative. Nu uitați ca după terminare să efectuați operația de deconectare tastând exit.
7.2 Partajările de fișiere și de imprimante
Linux tratează fișierele puțin diferit comparativ cu Windows NT. Există însă și asemănări, majoritatea datorându-se faptului că sistemul DOS a împrumutat de fapt câteva concepte de la UNIX.
Tipuri de fișiere Linux
În Linux, există pentru fișiere cam aceleași restricții pe' care le găsiți în NT. Numele de fișiere pot avea maxim 256 de caractere, chiar dacă cele mai multe versiuni de UNIX permit numai 14 caractere. Numele sunt formate din caractere alfanumerice și nu permit utilizarea caracterelor speciale rezervate de shell, cum ar fi:
!§#$%-&*()[]{}'-\/|;<>>
Spre deosebire de Windows NT, Linux nu permite utilizarea spațiilor în numele de fișiere. Majoritatea utilizatorilor inserează în numele de fișiere caractere de subliniere în locul spatiilor, ca în exemplul:
nume_de_fisier_fara_spatii
De asemenea, este important să rețineți că Linux consideră directoarele ca fiind fișiere. Există o deosebire între cele două tipuri de obiecte, însă numele de directoare respectă aceleași convenții de nume ca în cazul fișierelor.
Notă
Linux nu folosește litere de unitate pentru unitățile de disc, așa cum procedează sistemul NT. Pentru Linux, orice este un fișier. De exemplu, Linux consideră unitatea de CD-ROM ca fiind /mnt/cdrom, care derivă din intrarea de dispozitiv /dev/cdrom. Pentru a accesa unitățile pe un sistem Linux, utilizați comanda mount pentru a monta unitatea.
Veți observa că Linux conține patru tipuri de fișiere:
■ Fișiere obișnuite
■ Fișiere director
■ Legături
■ Fișiere speciale
Fișiere obișnuite
Fișierele obișnuite sunt cele cu care lucrați zilnic, cum ar fi fișierele text, scripturile pentru shell și chiar fișierele executabile. Puteți să utilizați fișierul pentru ca Linux să vă spună ce conține. Câteva exemple ar putea fi text ascii, binar sau legătură simbolică.
Fișiere director
Fișierele director conțin nume de fișiere și subdirectoare. Este locul în care Linux stochează informații despre ce fișiere există și în ce directoare. în Linux, pentru a vizualiza conținutul unui director puteți utiliza câteva comenzi:
■ dir
■ ls
■ vdir
Fiecare comandă vă va oferi o listă de fișiere puțin diferită. Cea mai uzuală comandă este ls. Când folosiți comanda ls, nu vedeți lista directorului așa cum există pe disc, ci doar conținutul fișierului director.
Legături
O legătură nu este un fișier, ci o intrare de director. Această intrare este un pointer către inodul unui fișier existent. Legăturile nu sunt necesare pentru partajarea fișierelor.
Fișiere speciale
Așa cum a fost menționat anterior, Linux tratează orice ca pe un fișier, inclusiv discurile, imprimantele și monitoarele. Toate acestea reprezintă fișiere speciale. De exemplu, un terminal pe care lucrează un utilizator ar putea fi clasificat ca /dev/tty01. Deși terminalul este format dintr-o tastatură și un monitor (și ar putea fi chiar o stație de lucru completă), Linux îl tratează la fel ca pe un fișier din punctul de vedere al intrărilor și ieșirilor.
7.2.1 Permisiuni de fișiere
Pentru a configura cu succes partajările de fișiere și imprimante pe un sistem Linux, trebuie să înțelegeți foarte bine permisiunile disponibile. Linux pune la dispoziție trei permisiuni pentru fișiere:
■ r – Indică accesul pentru citire. Când un fișier are atribuit accesul pentru citire, utilizatorul sau grupul pot doar să vizualizeze fișierul. Ei nu pot să îl modifice sau să îl șteargă.
■ w — Indică accesul pentru scriere. Accesul pentru scriere oferă utilizatorului dreptul să vizualizeze, să modifice și să șteargă fișierul.
■ x — Indică accesul pentru execuție. Permisiunea de execuție permite utilizatorului să execute fișierul, ceea ce înseamnă că utilizatorul poate să ruleze fișierul la fel ca pe un program.
Metoda prin care sunt atribuite permisiunile este foarte importantă. In primul rând, ele sunt atribuite întotdeauna în ordinea rwx. însă aceasta nu înseamnă că trebuie să atribuiți permisiunea de citire înainte de a putea atribui permisiunea pentru scriere. De exemplu
-rw-r–r–brubble users 512 Aug 8 15:38 bfile
Din acest exemplu, puteți determina suficiente informații despre fișier. Mergând de la stânga la dreapta, haideți să analizăm fiecare secțiune în parte.
Primul caracter pe care îl vedeți este o liniuță. Aceasta indică faptul că lucrați cu un fișier. Dacă acest caracter ar fi fost d, v-ați fi uitat la un director.
Restul primei secțiuni este format din trei grupuri de câte trei caractere. Dacă toate ar fi completate, ar rezulta ceva de genul rwx rwx rwx.
În continuare este descris modul în care determină Linux permisiunile pentru utilizator și grupuri. Primul set de trei caractere stabilește permisiunile atribuite proprietarului fișierului. Proprietarul acestui fișier are rw ca permisiuni. Permisiunea x nu apare deoarece fișierul nu este un fișier executabil. în următorul grup de trei caractere vedeți r și două liniuțe. Aceasta indică faptul că grupul atribuit acestui fișier are permisiuni numai pentru citire.
Ultimele trei caractere reprezintă permisiunile atribuite oricărui alt utilizator care nu este inclus în secțiunea de grup. Și aceștia au numai permisiunea pentru citire.
Pentru a recapitula, grupul de caractere pentru permisiuni, listat în ordine, este:
■ Director
■ Utilizator
■ Grup
■ Oricine
După permisiuni, Linux listează utilizatorul sau proprietarul fișierului. In continuare apare grupul atribuit fișierului, dimensiunea fișierului indicată în octeți, data și ora creării și, în final, numele fișierului.
Permisiunile sunt date uneori utilizând numere. Permisiunile de fișiere sunt atribuite utilizând aceste numere, astfel că trebuie să vă familiarizați și dumneavoastră cu modul în care se execută această operație.
Numerele sunt date sub forma unui cod din trei cifre: de exemplu, 662. Numerele sunt aranjate în aceeași ordine ca grupurile de permisiuni. De exemplu, primul număr descrie permisiunile utilizatorului, al doilea este pentru grup, iar al treilea este pentru toți ceilalți. In tabelul 2 este prezentat modul de formare a acestor numere.
Tabelul 2 Valori numerice pentru permisiuni
Prin reproducerea acestui cod,
-rw-r–r–brubble users 512 Aug 8 15:38 bfile
puteți vedea cum ar trebui atribuite permisiunile folosind sistemul de numere. Pentru a stabili sau schimba permisiunile unui fișier este utilizată comanda eh mod. Comanda de stabilire a acestor permisiuni ar putea fi:
chmod 644 bfile
Așa cum puteți observa, utilizatorul are permisiunile de citire și scriere, astfel că prin adunarea valorilor pentru citire și scriere obținem numărul 6. Deoarece permisiunea de grup este numai pentru citire, valoarea sa este 4, iar celelalte permisiuni au tot valoarea 4, deoarece sunt numai pentru citire.
Deci, luați pur și simplu permisiunile atribuite pe fiecare secțiune, adunați valorile din tabel și obțineți numărul corect care trebuie atribuit permisiunii,
chmod Options
Așa cum a fost menționat, comanda chmod este utilizată pentru stabilirea permisiunilor de fișiere. Ați văzut deja o metodă de stabilire a permisiunilor de fișiere prin utilizarea schemei de numere, chmod oferă o altă metodă de atribuire a permisiunilor, cunoscută sub numele de permisiuni relative. Această metodă vă permite să atribuiți permisiuni pe baza următoarelor opțiuni:
■ a – Toți utilizatorii și toate grupurile
■ g — Grupul proprietarului
■ o – Ceilalți
■ u – Doar pentru utilizator
De asemenea, sunt utilizate trei metode pentru atribuirea următoarelor drepturi:
■ + – adaugă modul
■ – – elimină modul
■ = – stabilește modul absolut
Iată câteva exemple pentru a ilustra utilizarea permisiunilor relative chmod:
chmod a=rw bfile
Această comandă atribuie permisiunile de citire și scriere tuturor utilizatorilor.
chmod u=rwx bfile
Această comandă ilustrează modul în care puteți atribui permisiunile de citire, scriere și execuție pentru fișier numai utilizatorului.
7.2.2 Imprimante
S-ar putea ca tipărirea sub Linux să nu fie exact ceea ce vă așteptați dumneavoastră. Aceasta se datorează parțial faptului că este posibil ca Linux să nu suporte complet toate funcțiile imprimantei dumneavoastră. Linux trebuie să trimită în prima fază ceea ce trebuie tipărit într-un fișier, astfel ca utilizatorul să își poată relua lucrul fără ca lucrarea de tipărire să încurce operația.
Linux trimite lucrarea de tipărire la un derulator {spooler) de tipărire, aproape în același mod în care procedează sistemul NT. Windows NT consideră imprimantele dispozitive de tipărire. Linux le numește dispozitive derulate (spooled).
Linux este un sistem de operare multitasking ce permite mai multor procese să opereze aparent în același timp. Prin utilizarea acestei capabilități interne, Linux prelucrează lucrările de tipărire în fundal, memorându-le pe toate într-o coadă.
Toate lucrările de tipărire sunt plasate în această coadă și sunt tipărite în ordinea în care au fost recepționate. Tipărirea este executată în fundal de către demonul de tipărire.
Demonul de tipărire are rolul de a monitoriza coada de tipărire pentru a depista orice lucrări de tipărire noi și apoi de a scoate din coadă sau de a trimite datele către imprimanta fizică. Acesta este dispozitivul care pune cerneala pe hârtie. Ca o comparație, NT numește imprimanta dispozitiv de tipărire.
Există cinci comenzi pe care le utilizează Linux și UNIX pentru tipărire:
■ lpr – Aceasta este o comandă care plasează o lucrare de tipărire în coadă, lpr se găsește în directorul /usr/sbin.
■ lpd — Acesta este demonul de tipărire și trebuie să ruleze ca să poată fi efectuată tipărirea. Acest demon ar trebui să fie lansat în execuție în timpul pornirii sistemului. Puteți găsi opțiunile pentru demonul lpd în pagina man asociată acestuia.
■ lpq — Această comandă este utilizată pentru afișarea conținutului directorului de derulare (spool). Este utilă pentru determinarea identificatoarelor lucrărilor de tipărire în cazul în care doriți să anulați sau să ștergeți o lucrare din coadă.
■ lprm – Această comandă este utilizată pentru ștergerea lucrărilor de tipărire din coadă. Poate să șteargă numai lucrările de tipărire care nu au început să fie tipărite. O metoda de ștergere din coadă a tuturor lucrărilor care nu au fost tipărite este de a vă conecta ca root și de a lansa în execuție comanda lpq.
■ lpc – Aceasta este utilizată pentru verificarea stării imprimantei sau imprimantelor. De asemenea, folosind această comandă puteți să controlați imprimanta în anumite moduri. Dacă doriți să dezactivați o imprimantă, ați putea să folosiți comanda lpc down <imprimanta>. Parametrul opțional <imprimanta> este numele dispozitivului de tipărire pe care doriți să îl controlați.
Toate dispozitivele de tipărire sunt listate în fișierul /etc/printcap. Acesta este un fișier text care poate fi vizualizat și editat folosind un editor de text cum este vi. Pentru a preveni ștergerea accidentală sau modificarea acestui fișier, ar trebui să îi atribuiți proprietatea numai utilizatorului root. Permisiunile ar trebui să fie -rw-r- -r- -.
7.3 Transferul de fișiere
Unul dintre domeniile în care Linux se situează foarte bine, vorbind în termeni de aplicații, este zona TCP/IP. Linux, la fel ca UNIX, este construit pe baza suitei de protocoale TCP/IP pentru o arhitectură de rețea. Ca urmare, vă puteți aștepta să găsiți instrumente și utilitare TCP/IP native.
In sistemul de operare este inclusă capabilitatea de a fi atât server FTP, cât și client FTP. In timp ce Windows NT trebuie să instaleze un pachet separat pentru a putea încărca fișiere în Internet, Linux nu are nevoie decât de o configurare corespunzătoare. In timpul instalării sistemului Linux, sunteți întrebat dacă doriți ca sistemul dumneavoastră de calcul să fie un server FTP.
Microsoft oferă aplicația Internet Information Server pentru a asigura sistemului Windows NT capabilitățile de server FTP, Gopher și World Wide Web.
Cel mai răspândit server pentru furnizarea capabilităților Web sistemului Linux este Apache. Apache se găsește în două forme diferite care pot fi utilizate în Linux. In prima formă, puteți să îl compilați din fișierele sursă, efectuând modificările de care aveți nevoie, sau puteți să obțineți fișierele binare deja compilate, de obicei pe CD, pentru a începe cu o versiune deja compilată.
Apache este configurat cu ajutorul a trei fișiere:
■ http.conf
■ srm.conf
■ access.conf
Configurarea unui server Web cu ajutorul produsului Apache ar putea fi analizată cu ușurință în două sau mai multe capitole separate. Un bun punct de pornire în. configurarea acestei funcționalități pe calculatorul dumneavoastră este să citiți WWW HOWTO, scrisă de Wayne Leister. Această documentație poate fi găsită in directorul /usr/doc/HOWTO sau pe diferite situri Web dedicate sistemului Linux.
Chiar dacă aici ați învățat câteva dintre aplicațiile disponibile pentru Linux, lista completă conține o gamă mult mai largă. Există programe care asigură capabilități de administrare a rețelei, programe de comunicații pentru comunicațiile prin modem și, desigur, multe compilatoare de coduri sursă C și C+ + .
7.4 DNS
Windows NT utilizează aplicația Domain Name Service Manager pentru a configura și administra serviciile DNS proprii. Linux se bazează, ca de obicei, pe fișiere de configurare, care sunt listate în continuare:
■ /etc/host.conf – Responsabil pentru bibliotecile locale ale programului de rezolvare a numelor. Comunică acestui program ce servicii sunt utilizate și în ce ordine apar acestea.
■ /etc/resolv. conf — Comunică programului de rezolvare a numelor ce servicii de nume să folosească pentru rezolvarea numelor de gazdă.
■ named.boot – Oferă informații de configurare pentru demonul named.
■ named.hosts — Păstrează informații referitoare la domeniul dumneavoastră local.
■ named. rev – Așa cum ați dedus deja din nume, acest fișier oferă maparea inversă a numelor.
■ named.ca — Un fișier cache pentru demonul named.
Pentru a configura un server DNS, trebuie să configurați programul de rezolvare a numelor și demonul named.
Configurarea programului de rezolvare a numelor
Configurați bibliotecile programului de rezolvare a numelor prin editarea fișierelor /etc/host.conf și resolv.conf.
Fișierul host.conf
Programul de rezolvare a numelor caută în fișierul host. conf pentru a determina serviciile pe care trebuie să le utilizeze și ordinea de utilizare a acestora. Acest fișier are cinci opțiuni:
■ order – Specifică ordinea în care sunt căutate diferitele mecanisme de rezolvare.
■ alert – Tratează încercările de înșelare a unei adrese IP. Utilizează ca argumente on sau off.
■ nospoof — Este activă atunci când este utilizată rezolvarea inversă. Aceasta ajută la prevenirea înșelării adreselor IE Folosiți argumentul on pentru a activa opțiunea nospoof.
■ trim — Dând această opțiune unui nume de domeniu ca argument, elimină acea porțiune înainte să execute o căutare a numelui în fișierul /etc/hosts.
■ multi – Această opțiune folosește ca argumente on sau off. Utilizați această opțiune când calculatoarelor gazdă li se permite să aibă mai mult de o adresă IP.
Iată un exemplu de fișier host.conf:
order bind hosts
multi off
nospoof on
alert on
În acest exemplu, programul de rezolvare a numelor va utiliza inițial DNS pentru a căuta numele gazdei. Dacă această metodă eșuează, va reveni la fișierul hosts.
În continuare, observați că este dezactivată opțiunea de alocare a mai multor adrese IP la o singură gazdă. Aveți activată opțiunea nospoof, ceea ce înseamnă că programul de rezolvare a numelor va utiliza căutarea inversă a numelor pentru a verifica adresa IP
În final, ați activat alarma care indică dacă se încearcă o înșelare IP.
Chiar dacă acest fișier nu este decât un fișier simplu, puteți să introduceți în el comentarii pentru a recunoaște mai ușor valorile de configurare. Precedați comentariile cu un caracter #.
Fișierul resolv.conf
Rolul acestui fișier este de a comunica serverului DNS ce servere de nume să utilizeze pentru rezolvarea numelor și de a specifica ordinea în care trebuie contactate. Pentru acest fișier există trei opțiuni de configurare:
■ Domain – Această opțiune este utilizată pentru a specifica numele de domeniu al gazdei pe care este instalat.
■ Nameserver — Dumneavoastră introduceți adresele IP pentru maxim trei servere de nume care pot fi utilizate. Ele vor fi contactate în ordinea listată. Notă: aici trebuie să introduceți o adresă IP validă; nu introduceți un nume, pentru că DNS nu va fi capabil să îl rezolve.
■ Search – Dacă nu specificați un nume de domeniu ca o componentă a interogării, DNS va încerca să caute utilizând o listă de domenii specificate aici.
Un fișier resolv.conf exemplu este prezentat în codul următor:
domain gkcomput.com
nameserver 198.164.30.2
nameserver 198.164.4.2
După cum puteți vedea în exemplu, domeniul local este listat ca gkcomput.com. Nu este un domeniu mare și va fi foarte greu să îl viziteze cineva vreodată.
În continuare sunt listate două adrese IP de servere de nume. DNS va utiliza inițial adresa 198.164.30.2; dacă acel server este oprit, va încerca următoarea adresă din listă.
Și în acest fișier puteți să introduceți comentarii precedate de caracterul #.
Demonul named
Pentru a avea serverul DNS sub Linux, trebuie să ruleze demonul named. In mod normal, acest demon este lansat în execuție la încărcarea sistemului. Demonul named își ia informațiile de configurare din fișierele named. boot, named. hosts și named. rev. Aceste fișiere se află în directorul /etc.
Fișierul named. boot
Acesta este practic primul fișier citit de demonul named la pornire. Nu este un fișier de dimensiune mare, dar este important. Conține informații care fac trimitere la celelalte fișiere de configurare. în fișier pot fi folosite următoarele opțiuni:
■ Directory – Spune demonului unde să găsească fișierele de zonă pentru DNS.
■ Primary — Această opțiune declară demonul named autoritate pentru domeniu. Argumentele acestei opțiuni sunt domeniul și numele fișierului.
■ Secondary — Indică faptul că named trebuie să se comporte ca un server secundar în domeniu. Argumentele pentru această opțiune includ un nume de domeniu, un nume de fișier și o listă de adrese.
■ Cache — Folosind ca argumente un nume de domeniu și un nume de fișier, această opțiune specifică informațiile pentru utilizarea memoriei cache.
■ Forwarders (Predecesori) – Folosește serverele de nume ca argumente pentru rezolvarea adreselor dacă serverul de nume local nu poate rezolva o adresă din informațiile lui locale.
•>
■ Slave – Această opțiune face din serverul local un server slave. In acest caz, va trimite mai departe cererile unuia din serverele listate în opțiunea Forwarders.
Fișierul named.hosts
Acest fișier conține informații despre gazdele dumneavoastră și zona de autoritate. Este fișierul care a fost listat în fișierul named.boot în linia principală (primary). Nu trebuie să fie numit neapărat named.hosts. Deși puteți să-i dați orice nume, cred că numele prestabilit rezumă scopul fișierului. Iată un fișier named. hosts exemplu și o explicație a câmpurilor acestuia:
Prima linie începe cu caracterul @. Acesta indică foarte simplu domeniul curent. Este urmat de literele IN și SOA. IN semnifică faptul că utilizați adrese IP, iar SOA vă specifică faptul că aceasta este o înregistrare de tip Start of Authority.
Imediat după aceste informații observați numele serverului de nume și numele de contact prin poșta electronică pentru acest domeniu.
In paranteze, veți vedea numărul serial dat, o rată de reîmprospătare de 8 ore, încercări timp de 2 ore, expirare după o săptămână și o durată minimă de viață de 1 zi.
Următoarea linie conține codul NS. Acesta indică înregistrarea resurselor pentru serverul de nume.
Urmează o linie cu codul PTR, care vă comunică simplu faptul că prima gazdă din sub-rețea se numește localhost.
În fine, ultima linie indică adresa IP pentru serverul de poștă electronică al domeniului.
Fișierul named.rev
Acest fișier este necesar numai pentru căutarea inversă a numelor și maparea adreselor IP la numele de gazdă. Iată un exemplu de astfel de fișier:
După cum puteți vedea, acest fișier este similar cu fișierul named. hosts. Deosebirea principală poate fi observată pe ultima linie. Această ultimă linie comunică demonului named să mapeze adresa IP 192.168.5.26 la numele de gazdă pentru mailhost.gkcomput.com. Această adresă IP a fost specificată în fișierul named.hosts.
Fișierul named.ca
În fine, am ajuns la ultimul fișier, named.ca. După cum puteți deduce din nume, acest fișier păstrează informațiile despre memoria cache. Intrările în fișier sunt date de numele și adresele IP ale serverelor rădăcină din diferite domenii. Pentru a obține informații actualizate pentru acest fișier, puteți să folosiți utilitarul nslookup.
DNS este un subiect foarte complex și diferă un pic pe fiecare sistem de operare. Am prezentat aici numai elementele de bază despre acest subiect. Ar trebui să vă familiarizați singur cu funcțiile particulare ale serviciului DNS din versiunea dumneavoastră de Linux. O metodă de a obține ajutor în configurarea serviciului DNS este folosirea documentului DNS HOWTO. Linux utilizează documentele HOWTO pentru a descrie procesul de instalare și configurare a diferitelor componente și servicii ale sistemului de operare. Puteți să găsiți și alte documente HOWTO referitoare la programarea în Assembler, configurarea dispozitivelor SCSI, utilizarea înregistratoarelor de CD-uri și la multe alte proceduri.
8. MĂSURI DE MONITORIZARE
În cazul unui sistem pentru un singur calculator sau pentru o rețea, privită ca un întreg, securitatea trebuie abordată pe două căi. In primul rând, trebuie să verificați dacă toate aplicațiile și datele sunt protejate față de utilizarea neautorizată. A doua cale de protecție a rețelei este să folosiți toate caracteristicile practice de auditare pentru a înregistra accesul la resurse și să stabiliți un set de reguli pentru trecerea în revistă a datelor strânse în mod regulat.
Aproape toate sistemele de operare (cu excepția notabilă a MS-DOS) care se folosesc în prezent în mediile de afaceri și care sunt conectate la o rețea au posibilitatea de a configura auditul resurselor selectate. Puteți păstra evidența accesului la fișiere, a deschiderii sesiunii de lucru de către utilizatori și alte informații care vă vor ajuta cu date privitoare la cine-unde-ce, necesare în momentul în care bănuiți că există o problemă de securitate.
8.1 Sistem Linux
Deși LINUX a fost dezvoltat inițial ca un sistem de operare pentru programatori și nu un sistem de producție pentru afaceri, el a fost perfecționat de-a lungul anilor și a încorporat mai multe utilitare care pot urmări folosirea resurselor. Fișierele discutate aici pot diferi de la un sistem la altul, dar în general, majoritatea sistemelor vor avea aceste facilități pentru a fi utilizate de către administrator. Utilitarul syslog acoperă zona cea mai întinsă din resursele sistemului, deoarece îl puteți configura să înregistreze mesajele de la diferite utilitare sistem și puteți de asemenea decide modul în care utilitarul vă va anunța despre evenimente, pe măsură ce apar. Alte fișiere, cum ar fi /etc/utmp și /usr/adm/wtmp, păstrează evidența persoanelor care se conectează în acel moment la sistem și a celor deja conectate la sistem.
Folosirea utilitarului syslog
Pentru a activa jurnalul syslog, trebuie să editați un fișier de configurare denumit /etc/syslog.conf și să introduceți o înregistrare care conține un selector pentru fiecare tip de mesaje care doriți să fie consemnate în jurnal de către această facilitate, ca și acțiunea pe care trebuie să o îndeplinească procesul demon pentru acest tip de mesaj.
Procesul demon syslog (syslogd) este pornit de obicei la încărcarea sistemului, prin introducerea comenzilor în unul din fișierele re. Sintaxa de pornire a procesului demon este: /etc/syslog/ [-mN] [-ffilename] [-d]
Opțiunea -f poate fi folosită pentru a specifica un fișier de configurare, altul decât /etc/syslog.conf. Opțiunea -m stabilește un interval de „marcă" pentru introducerea mărcii de timp în fișier. Opțiunea – d pornește modul de depanare.
Fișierul syslog.conf
Acest fișier păstrează informația pe care o utilizează procesul demon syslog pentru a decide ce mesaj să accepte (sursa și gravitatea) și ce să facă cu ele (fișier jurnal, avertizare utilizator și așa mai departe). Puteți folosi orice editor de text ASCII pentru a configura acest fișier. Fiecare linie trebuie să cuprindă două părți:
■ Selectorul – Această parte a înregistrării este compusă din două informații, separate printr-o virgulă. Prima parte a selectorului este numele facilității din sistem de la care vine mesajul. A doua parte a selectorului este gravitatea mesajului. Puteți introduce mai multe selectoare într-o linie dacă le separați prin punct si virgulă (;).
■ Acțiunea – Acest lucru indică procesului demon ce să facă în momentul în care primește un mesaj care corespunde criteriului din selector.
În tabelul 9.1 se prezintă lista cu numele facilităților pe care le puteți folosi pentru compunerea porțiunii de selector a înregistrării.
Tabelul 9.1 Numele facilităților folosite în fișierul de configurare syslog
Tabelul 9.2 prezintă nivelurile de gravitate pe care le puteți folosi pentru a doua parte a selectorului.
Tabelul 9.2 Nivelurile de gravitate folosite în fișierul syslog.conf
Nivel de gravitate Descriere
emerg Situație de panică. Ceva care este de obicei transmis tuturor
utilizatorilor.
alert O situație care necesită atenția imediată
crit Avertizări privind situații critice
err Alte erori care nu justifică nivelul emerg, alert sau crit
warning Mesaje de avertizare
notice Situații care necesită atenție, dar nu la fel de importante ca o averti-
zare sau alte erori. Nu este în mod necesar o situație de eroare.
info Mesaje informaționale
debug Mesaje generate de programe care rulează în modul de depanare
none Anulează mesajele pentru această înregistrare
8.2 Sisteme Windows NT
Windows NT folosește de asemenea o modalitate de asigurare a securității pe două căi, permițându-vă să protejați resursele și apoi să faceți auditul folosirii resurselor și al accesului. Pentru a proteja sistemul, puteți folosi:
■ Drepturile și permisiunile utilizatorilor
■ Listele de control al accesului (ACL) pentru fișierele NTFS și directoare
■ Parole, grupuri, și relații de încredere între domenii
Pentru a face auditul sistemului, puteți configura evenimentele pe care doriți să le urmăriți și apoi să folosiți utilitarul sistem Event Viewer pentru a examina datele colectate de software-ul de auditare a sistemului.
8.2.1 Configurarea evenimentelor pentru care trebuie făcut auditul
Pentru a configura categoriile de evenimente pentru care trebuie făcut auditul, rulați utilitarul User Manager for Domains (Gestionarea utilizatorilor domeniilor) și selectați Audit din meniul Policies (Reguli). Nu uitați că Windows NT nu are auditul activat. În figura 9.1 puteți vedea caseta de dialog Audit Policy (Reguli de auditare) care vă permite să selectați ce categorie de evenimente să auditați și dacă trebuie auditat succesul sau eșecul corespunzător fiecărei categorii.
Figura 9.1 Folosiți caseta de dialog Audit Policy din User Manager for Domains pentru a configura evenimentele care trebuie auditate.
Dacă nu doriți să auditați nici un eveniment, selectați butonul Do Not Audit (Fără audit) sau selectați Audit These Events (Auditarea acestor evenimente) și faceți clic pe opțiunile Success (Succes) și/sau Failure (Eșec) de la fiecare categorie. Puteți configura auditarea următoarelor tipuri de evenimente:
■ Logon and Logoff (Deschiderea și închiderea sesiunii de lucru) – Urmărește conectarea utilizatorilor la sistem. De asemenea, urmărește conectarea sistemelor de la distanță în rețea.
■ File and Object Access (Accesul la fișiere și obiecte) — Această categorie cuprinde accesul la fișiere și directoare și trimiterea lucrărilor la imprimante. Acest lucru necesită definirea suplimentară a evenimentelor care vor fi auditate pentru fișiere, directoare sau imprimantă.
■ Use and User Rights (Folosirea drepturilor utilizatorului) – înregistrează momentul în care un utilizator folosește drepturile pe care i le-ați acordat în cazul în care ați configurat contul cu User Manager for Domains.
■ Use and Group Management (Gestionarea utilizatorilor și a grupurilor) – Urmărește modificările conturilor grupurilor. Crearea, ștergerea, și redenumirea grupurilor de utilizatori intră în această categorie, ca și schimbările de parolă.
■ Security Policy Changes (Schimbarea regulilor de securitate) – Această categorie păstrează evidența schimbărilor drepturilor utilizatorilor și auditului sau a relațiilor de încredere.
■ Restart, Shutdown, and System (Repornirea, oprirea sau sistemul) – Urmărește momentele în care sistemul este oprit sau repornit și alte evenimente legate de securitatea sistemului. Această categorie include și schimbările din jurnalul de securitate cu evenimentele din sistem.
■ Process Tracking (Urmărirea proceselor) – înregistrează informații voluminoase cu privire la procesele utilizatorului, inclusiv cele din momentul executării programelor, accesului la obiecte și ieșirilor din program.
În majoritatea cazurilor, poate nu doriți să selectați succesul și eșecul pentru oricare categorie din listă. De exemplu, datele colectate în momentul în care selectați Process Tracking pot crea un fișier jurnal mare într-un timp foarte scurt. Probabil că trebuie să activați acest mecanism de înscriere în jurnal a evenimentelor numai în momentul în care aveți o bănuială clară privind activitățile unui anumit utilizator și apoi să revedeți și să eliminați sistematic (purjați) jurnalul în mod regulat. Altă categorie care generează o mulțime de date în fișierul jurnal este categoria Use of User Rights (Folosirea drepturilor utilizatorului).
Alte categorii, cum ar fi conectarea utilizatorilor, pot fi utile și nu necesită prea mult spațiu în fișierele jurnal. Datele colectate în momentul în care se face accesul la fișiere și obiecte vor depinde de evenimentele specifice pe care le selectați pentru audit.
8.2.2 Evenimente referitoare la fișiere si directoare
Dacă ați selectat auditul acestei categorii de evenimente, va trebui să folosiți aplicația Windows NT Explorer pentru a stabili tipurile specifice de evenimente care trebuie auditate. Pentru a configura auditarea unui director sau fișier, evidențiați-1 și apoi faceți clic dreapta și selectați Properties (Proprietăți). In mod succesiv, puteți evidenția fișierul sau directorul și să selectați Properties din meniul File (Fișier).
În momentul în care se afișează foaia Properties, selectați pagina Security (Securitate) și apoi butonul Auditing (Auditare); trebuie să vedeți un ecran care arată ca în figura 9.2.
Figura 9.2 Folosiți butonul Auditing din pagina Security a foii de proprietăți a fișierului sau directorului pentru a stabili evenimentele care trebuie auditate.
Puteți audita următoarele tipuri de evenimente:
■ Read (Citire)
■ Write (Scriere)
■ Execute (Execuție)
■ Delete (Ștergere)
■ Change Permission (Schimbarea permisiunii)
■ Take Ownership (Preluarea posesiei)
Totuși, deoarece acestea vor fi auditate pe utilizatori sau grupuri, ar trebui mai întâi să selectați butonul Add (Adăugare) pentru a adăuga un utilizator sau un grup de utilizatori. Caseta de dialog Add Users and Groups (Adăugare utilizatori și grupuri) (prezentată în figura 9.3), prezintă lista actualizată a grupurilor de utilizatori. Puteți folosi butonul Show Members (Prezintă membrii) pentru a afișa utilizatorii individuali din fiecare grup. Selectați utilizatorii sau grupurile prin evidențierea lor și folosirea butonului Add.
Figura 9.3 Caseta de dialog Add Users and Groups vă permite să selectați utilizatorii pe care să-i auditați
Puteți continua să selectați utilizatori și grupuri și, în momentul în care terminați, faceți clic pe butonul OK. După ce vă reîntoarceți la ecranul precedent, puteți evidenția fiecare utilizator sau grup și să selectați evenimentele care trebuie auditate pentru acel fișier sau director corespunzător fiecărui utilizator. Puteți folosi de asemenea butonul Remove (Ștergere) pentru a șterge configurația de auditare pentru un utilizator particular sau ui anumit grup.
Pentru toate evenimentele, puteți selecta Success sau Failure. De exemplu, dacă ați selectat Success pentru tipul de eveniment Read, de fiecare dată când un utilizator aflat sub audit a fost în măsură să citească acest fișier, este generată o înregistrare în jurnalul evenimentelor. Dacă selectați Failure, de fiecare dată când un utilizator aflat sub audit încearcă să citească fișierul, dar nu are permisiunile corecte de acces, va fi creată o înregistrare în fișierul jurnal cu evenimente.
9. MĂSURI DE SECURITATE DE BAZĂ
Păstrarea securității unei rețele este un proces care cere timp și necesită acordarea unei atenții sporite pentru detalii. La fel ca în cazul echipamentului pentru depanarea defecțiunilor, descoperirea breșelor de securitate și identificarea cauzei apariției acestora necesită instrumente specializate și personal calificat pentru utilizarea lor.
9.1 Reguli și proceduri
Intrușii care ar putea pătrunde în rețea și compromite datele sau programele pot face acest lucru în multe moduri. Unul dintre acestea este să exploateze „utilizatorii prietenoși" din rețea. Aplicarea unei politici de securitate corespunzătoare poate merge până la împiedicarea utilizatorilor naivi să divulge informațiile către cei care ar putea afecta rețeaua.
În același timp, trebuie să stabiliți și procedurile care trebuie urmate pentru sarcinile de rutină executate periodic, cum ar fi efectuarea copiilor de siguranță, restaurările, crearea conturilor utilizatorilor și așa mai departe. Când se descrie o sarcină printr-o procedură care trebuie urmată, există o probabilitate mai mică să se întreprindă o acțiune care poate compromite securitatea.
În funcție de situl dumneavoastră, sunt mai multe documente pe care le puteți folosi pentru a aduce la cunoștința utilizatorilor regulile impuse pentru securitatea calculatoarelor și a rețelei. Documentele care ar putea fi utile pentru situl dumneavoastră sunt:
■ Reguli de conectare în rețea
■ Declarația de acceptare a utilizării
■ Reguli generale de folosire
■ Proceduri în caz de escaladare
9.1.1 Reguli de conectare în rețea
Acest document trebuie să definească tipul sistemului care poate fi conectat la rețea. El trebuie să menționeze cerințele de securitate, cum ar fi caracteristicile sistemului de operare care trebuie folosite de către persoana responsabilă cu aprobarea noilor dispozitive. Dacă e necesar, trebuie inclusă aici și folosirea unor programe de securitate, cum ar fi programele de monitorizare a virușilor. Orice proceduri care trebuie folosite pentru a obține un cont pe un calculator, precum și tipurile de drepturi și privilegii care pot fi alocate unui cont, trebuie să fie descrise aici; de asemenea, adresele din rețea care pot fi folosite și cum sunt controlate acestea.
9.1.2 Declarația de acceptare a utilizării și regulile generale de folosire
Calculatorul este un dispozitiv cu o flexibilitate foarte mare. El poate fi utilizat și pentru alte lucruri în afara celor necesare unui angajat obișnuit pe durata unei zile normale de lucru. Deși unii ar putea fi preocupați de timpul irosit datorită faptului că un utilizator are acces la un calculator pentru sarcini din afara serviciului, există factori mult mai importanți care trebuie luați în considerare.
Lucrurile pe care le puteți menționa în regulile de folosire acceptate sunt numeroase. Trebuie să examinați tipurile specifice de resurse pe care încercați să le protejați și să concepeți modalități de a fi incluse în declarație. Alte aspecte pe care ar trebui să le luați în considerare sunt:
■ Hărțuirea altor utilizatori, în special hărțuirea sexuală. Dacă acest lucru e făcut, de exemplu, prin intermediul poștei electronice, compania poate fi acționată în justiție, deoarece promovează un mediu de lucru ostil.
■ Scoaterea în afara instituției a echipamentului hardware fără permisiune scrisă.
■ Folosirea poștei electronice a companiei în folos personal. Acest lucru ține mai mult de regulile de personal decât de cele de securitate, deși ar putea acoperi persoanele care transmit date confidențiale prin poștă, în afara companiei.
■ Introducerea echipamentelor hardware, cum ar fi calculatoarele portabile sau analizoarele de rețea, în sediul companiei, fără autorizație. Aceste echipamente pot fi utilizate pentru încercări de pătrundere neautorizată pe serverul rețelei sau pentru a copia datele confidențiale și a le scoate din incintă.
■ încercarea de acces la datele care nu au legătură cu atribuțiile utilizatorului, uneori denumită „sondarea" rețelei. În această categorie poate fi inclusă acțiunea unei persoane care încearcă să acceadă la statele de plată sau la cifrele de producție, de exemplu.
9.1.3 Proceduri în caz de escaladare
Trebuie să existe o anumită persoană sau persoane din companie care să fie responsabile cu securitatea și investigarea problemelor referitoare la securitate. Un document care stabilește procedurile care trebuie urmate în cazuri specifice de violare a securității va demonstra utilizatorilor faptul că securitatea este importantă pentru rețea și că vor fi luate măsuri.
Un document care să acopere procedurile în caz de escaladare trebuie să indice toate categoriile de elemente care sunt considerate breșe de securitate. Acestea pot fi următoarele:
■ Furtul de hardware și software
■ Descoperirea sau divulgarea parolelor
■ Reciclarea improprie a suportului fizic pentru software, inclusiv a benzilor, dischetelor și rapoartelor tipărite
■ Partajarea conturilor de conectare
■ Sondarea rețelei cu scopul de a avea acces la informații pentru care nu există autorizare
■ Amestecul în datele și contul unui alt utilizator
■ Pătrunderi suspecte în rețea din partea surselor externe
■ Virusarea calculatoarelor
■ Violări prin accesul fizic
Unele dintre acestea par probabil foarte evidente. Este totuși destul de naiv să vă gândiți că veți putea face față acestor probleme fără proceduri scrise. De exemplu, utilizatorii obișnuiesc să permită altor persoane să le folosească conturile. Este mult mai simplu să lași alt angajat să folosească stația ta de lucru, în momentul în care a lui este defectă, decât să obțină permisiunile corespunzătoare de la nivelul superior de gestionare. Totuși, când dai cuiva o parolă pe care să o folosească pentru o ocazie, adesea se întâmplă să o folosească și cu altă ocazie.
În momentul în care suspectați că există o infiltrare în rețea dintr-o sursă externă, ce faceți? Opriți ruterele? Schimbați toate parolele? Gândiți-vă la acestea din timp și scrieți o listă cu pașii care trebuie urmați. Aceștia trebuie să includă metodele folosite pentru a determina sursa pătrunderii, ca și procedurile care trebuie urmate pentru a pedepsi intrusul și a reintra în posesia oricărei informații furate. De exemplu, dacă au fost compromise informații confidențiale, ce pași urmați pentru a anunța persoana care are legătură cu informațiile respective? Există aspecte legale de care să țineți seama, legate de datele care se află în rețeaua dumneavoastră?
9.2 Scrierea propriilor reguli de securitate
În momentul în care scrieți regulile de securitate, trebuie mai întâi să treceți în revistă resursele pe care doriți să le protejați. Identificați utilizatorii care trebuie să aibă acces la fiecare resursă și determinați care este direcția cea mai probabilă din care ar putea veni amenințarea pentru resursă. Având aceste informații, puteți începe să construiți regulile de securitate pe care trebuie să le respecte utilizatorii.
Regulile de securitate nu trebuie să fie doar o simplă înțelegere verbală. Trebuie să fie de fapt un document scris; și pentru a le reaminti utilizatorilor despre importanța securității, ar trebui să afișați copii ale acestui document la locurile de muncă, astfel încât să fie văzut în mod regulat.
Niște reguli de securitate corespunzătoare vor conține mai multe elemente, inclusiv următoarele:
■ Estimarea riscurilor – Ce încercați să protejați și de cine? Identificați elementele din rețea și sursele posibile ale problemelor.
■ Responsabilități — Descrieți persoana din companie care răspunde de problemele specifice de securitate. Informațiile pot cuprinde de la numele persoanei autorizate cu aprobarea contului pentru utilizatorii noi și până la persoana care va conduce investigațiile privind breșele de securitate.
■ Folosirea corespunzătoare a resurselor rețelei — Specificați în regulile de securitate faptul că utilizatorii nu trebuie să folosească în mod abuziv informațiile, să folosească rețeaua în scop personal sau să provoace daune rețelei sau informațiilor din ea.
■ Implicațiile din punct de vedere legal – Verificați dacă primiți consultanță de specialitate, referitoare la orice aspect legal care privește informația pe care o păstrați sau o generați în rețea. Introduceți declarații în acest sens în documentele cu reguli de securitate.
■ Procedurile de remediere a problemelor privind securitatea – Declarați ce proceduri vor fi urmate în cazul apariției unui eveniment privind securitatea și ce măsuri vor fi luate împotriva celor care le săvârșesc.
Un document pe care este bine să-1 citiți înainte de a proiecta regulile de securitate este documentul RFC 1244 („Manualul de securitate al sitului" – „Site Security Handbook"). Acest document vă prezintă o listă cu resurse care pot fi găsite în majoritatea rețelelor și care sunt vulnerabile la amenințările potențiale la adresa securității. Puteți găsi o listă a documentelor RFC curente și propuse la http://www.rfc.editor.org/isi.html. Aceste resurse cuprind următoarele grupe:
■ Hardware – Cuprinde stațiile de lucru și serverele, imprimantele, unitățile de disc, cablurile rețelelor. De asemenea, sunt incluse dispozitivele de interconectare, cum ar fi punțile, ruterele și comutatoarele.
■ Software – Fiecare componentă software pe care o rulați pe oricare calculator din rețea reprezintă o problemă potențială de securitate. Acestea pot fi programele cumpărate de la furnizori din exterior și programele software create intern de personalul propriu. Sistemele de operare trebuie corectate frecvent, pe măsură ce se descoperă noi erori care ar oferi unui intrus o cale ușoară de infiltrare.
■ Datele – Cel mai important element al rețelei dumneavoastră îl reprezintă probabil datele care sunt generate sau folosite de către firma dumneavoastră. Programele software și sistemele de operare pot fi înlocuite. Când datele importante, cum ar fi listele cu clienți, informațiile privind vânzările sau unele secrete comerciale care se află în proprietatea companiei sunt compromise, acest lucru poate avea un impact major asupra afacerilor.
■ Persoanele — Utilizatorii, operatorii sau ceilalți care intră în contact cu rețeaua sau cu orice alt dispozitiv asociat acesteia reprezintă un risc potențial.
■ Documentele scrise – Adesea neglijate de mulți, acestea reprezintă o sursă foarte prețioasă pentru hackeri. Parolele sunt scrise pe hârtie. Rapoartele tipărite conțin informații confidențiale. Adesea, acestea sunt aruncate la coș dacă nu mai sunt necesare. O metodă mai bună este folosirea dispozitivului de tocat hârtie sau distrugerea lor astfel încât să fie inutilizabile.
Niște reguli corespunzătoare de securitate, care sunt înțelese de către utilizatori, pot face multe lucruri pentru prevenirea unora din problemele pe care le puteți întâlni. Revedeți periodic aceste reguli împreună cu utilizatorii, cum ar fi la întâlnirile trimestriale, și verificați dacă aceștia înțeleg responsabilitățile pe care le implică accesul în rețeaua companiei.
9.3 Măsuri fizice de securitate
Prevenirea accesului neautorizat la resurse înseamnă că dumneavoastră trebuie mai întâi să preveniți accesul neautorizat la componentele fizice care compun rețeaua. Acestea cuprind stațiile de lucru, serverele, cablurile de rețea, dispozitivele și așa mai departe. După ce conexiunile rețelei părăsesc zona dumneavoastră, cum este în cazul conectării la un furnizor de servicii Internet, pierdeți controlul aspectelor fizice ale rețelei. In acel punct trebuie să vă bazați pe alte metode, cum ar fi criptarea sau folosirea cablurilor îngropate, pentru a păstra securitatea. Echipamentul asupra căruia aveți control trebuie totuși să fie monitorizat îndeaproape, pentru a avea siguranța că nimeni nu întreprinde ceva care să încalce regulile de securitate aplicate la locul dumneavoastră de muncă.
9.3.1 Sistemul de încuiere a ușii
Deși pare ceva banal, sistemul de încuiere a ușii este adesea un dispozitiv de securitate neglijat. Serverele din rețeaua dumneavoastră care conțin date prețioase sau confidențiale nu trebuie să stea pe o masă sau într-o cameră la care oricine poate avea acces. Ruterele, distribuitoarele, comutatoarele și alte dispozitive trebuie protejate în mod similar. Cabinetele de cablare și camerele în care sunt dispuse calculatoarele trebuie să aibă încuietoare sau să fie protejate printr-o supraveghere permanentă. Dacă personalul dumneavoastră lucrează permanent, nu ar fi nevoie de încuierea camerelor în care se află calculatoare. Dar dacă personalul din oricare perioadă a zilei este compus numai dintr-o persoană, puneți o încuietoare la ușă.
Suportul fizic pentru copiile de siguranță, cum ar fi benzile și compact-discurile inscriptibile trebuie tratate în același mod cu datele reale. Nu faceți copia de siguranță de pe un server sau de pe stația dumneavoastră de lucru și apoi să lăsați cartușul cu bandă înregistrată pe birou sau într-un sertar neîncuiat.
9.3.2 Alimentarea de la o sursă neîntreruptibilă (UPS)
Cele mai multe sisteme de operare ale calculatoarelor au caracteristici care vor permite lucrul cu o sursă de alimentare neîntreruptibilă (UPS), astfel încât aceasta să poată face oprirea corectă a sistemului la descoperirea lipsei tensiunii de alimentare. Dacă folosiți o sursă de alimentare neîntreruptibilă cu baterie de rezervă, care are o posibilitate limitată de alimentare, prin oprirea corectă se pot evita multe probleme care apar în caz de cădere a sistemului.
9.3.3 Măsuri preventive: controlul accesului
Controlul accesului într-o rețea este realizat prin mai multe mecanisme comune, ca de exemplu:
■ Conturile și parolele utilizatorilor
■ Identificatori fizici
■ Protecția resurselor
În cadrul multor sisteme de operare, conceptul de proprietar al resursei (resource owner) este important în această schemă. De exemplu, OpenVMS și Windows NT păstrează evidența acțiunilor utilizatorului care creează o resursă, cum ar fi un fișier. Acel proprietar poate schimba protecțiile aplicate fișierului și poate acorda altora permisiunile necesare pentru a folosi fișierul.
9.3.4 Identificarea utilizatorilor
Într-o rețea omogenă în care sunt necesare numai contul și parola unui utilizator pentru accesul la resursele permise din rețea, gestionarea sistemului nu este de regulă o problemă complicată. Windows NT permite crearea unor zone de control denumite domenii, care operează ca bariere de securitate. Utilizatorilor dintr-un domeniu le poate fi permis accesul la resursele de pe oricare calculator — fie server, fie stație de lucru — pe care administratorul de rețea dorește să le aloce. In plus, prin colaborarea administratorilor pot fi stabilite relații de încredere între domenii făcând posibil ca utilizatorul să folosească numai un nume și o parolă pentru a se conecta la resursele din rețea.
9.4 Protecția resurselor
După ce s-a făcut autentificarea utilizatorului de către sistemul de operare, următorul pas este efectuarea unei verificări a resursei pentru a vedea dacă există controlul accesului la acea resursă. In mod normal, un sistem de operare va oferi acces la o resursă, de exemplu un fișier, prin acordarea pentru utilizatori a dreptului de a:
■ Citi fișierul
■ Scrie în fișier
■ Executa fișierul
■ Prelua posesia fișierului
■ Șterge fișierul
Aceste concepte pot fi de asemenea extinse asupra resurselor precum imprimantele, modemurile și așa mai departe. În momentul în care se acordă aceste drepturi, majoritatea sistemelor de operare vă permit să specificați ce drepturi se aplică utilizatorilor sau grupurilor de utilizatori. De exemplu, Windows NT vă permite să grupați utilizatorii în grupuri locale sau globale. În momentul în care stabiliți controlul accesului la un fișier, puteți preciza drepturile de acces pe grupuri. Folosind această metodă, un grup de utilizatori obișnuiți ar putea citi un fișier, în timp ce un grup de utilizatori care gestionează fișierul ar putea avea drepturi de acces pentru citire, scriere, precum și pentru ștergerea fișierului. Pentru a preveni rularea programelor de către utilizatorii neautorizați, dreptul de execuție poate fi acordat sau nu unui utilizator sau unui grup de utilizatori.
9.5 Folosirea auditului
Organizarea utilizatorilor pe grupuri și alocarea permisiunilor la resursele rețelei pe grupuri nu sunt suficiente. Trebuie de asemenea să auditați folosirea acestor resurse ale rețelei pentru a putea identifica problemele de acces și de securitate.
Există mai multe motive pentru aceasta. Este dificil pentru un administrator care nu este familiarizat cu resursele de informații furnizate de un anumit server să înțeleagă ce permisiuni sunt necesare în cazul unui număr mare de utilizatori, combinat cu mai multe servere care păstrează resurse valoroase. De exemplu, un utilizator nou din compartimentul de contabilitate ar putea avea nevoie de acces la fișierele cu conturi pentru primire plăți și la conturile pentru executare plăți, ori s-ar putea să aibă nevoie de acces la unul din ele. Un conducător al acelui departament ar fi probabil persoana potrivită care să ia decizia asupra fișierelor la care utilizatorul ar putea avea acces.
Totuși, dacă utilizatorul este membru al unui grup, format pentru a face administrarea mai ușoară, apar uneori compromisuri și utilizatorul poate avea acces prin intermediul grupului la resurse de care nu are nevoie.
Alt motiv este că uneori se pot produce greșeli. Nimeni nu este perfect și nici un sistem de alocare a resurselor nu va face acest lucru corect în proporție de 100%. În momentul în care utilizatorilor le este acordat dreptul de citire unui fișier, puteți fi sigur că dacă datele conținute sunt destul de interesante, ei vor face acest lucru. Chiar dacă un utiliza-tor nu are drepturi corespunzătoare de acces la un fișier, unii tot vor încerca să ajungă la informația interesantă.
Din aceste motive, un bun sistem de operare va furniza controlul prin auditare, care vă permite să priviți înapoi la o breșă de securitate pentru a încerca să determinați cine și ce a făcut și unde a făcut. UNIX (și variantele acestuia, precum Linux), Windows NT furnizează facilități care vă permit să înregistrați atât încercările reușite, cât și pe cele nereușite de a accede la resurse.
9.6 Parolele
S-ar putea să nu pară un lucru important de menționat aici, dar trebuie să introduceți reguli care să facă utilizatorii să aleagă parole corespunzătoare. In momentul în care faceți acest lucru, trebuie să stabiliți ce reprezintă o parolă corespunzătoare pentru mediul dumneavoastră. Pe scurt, o parolă corespunzătoare este aceea care este dificil de ghicit. In momentul în care presupuneți că metoda de bază pentru spargerea parolelor folosită de către hackeri este încercarea fiecărui cuvânt din dicționar, veți începe să înțelegeți că norocul nu are prea multă legătură cu pătrunderea într-o rețea. Acest lucru se petrece în majoritatea cazurilor din cauza măsurilor slabe de securitate.
9.6.1 Folosirea unor parole corespunzătoare
În momentul în care vă decideți asupra modului de construcție al parolei, sunt câteva reguli care trebuie urmate:
■ Folosiți mai multe cuvinte – Cuvintele multiple, „lipite", formează un model de caractere care este mult mai greu să fie ghicit de un program simplu de spargere a parolei. Nu folosiți cuvinte care se asociază în mod natural. De exemplu, Atlantabraves nu este o alegere bună; Atlantabarbie este o alegere mai bună.
■ Folosiți caractere nealfabetice în interiorul parolei – Acestea pot fi caractere numerice sau semne de punctuație, cu condiția ca sistemul de operare pe care-1 folosiți să la permită.
■ În LINUX contează dacă ați folosit litere mici sau mari în parolă – Dacă folosiți în parolă și litere mici și litere mari, puteți deruta mecanismul de ghicit parole.
■ Nu creați parole greu de memorat – Ultimul lucru pe care-1 doriți este să aveți utilizatori frustrați care notează parolele pe ceva, astfel încât să și le poată reaminti.
■ Folosiți restricții de repetare a parolei, dacă sistemul de operare permite acest lucru — Acest lucru înseamnă că sistemul de operare ține evidența numărului limitat de parole pe care le-a folosit utilizatorul până acum și nu va permite reutilizarea acestora o anumită perioadă de timp. O metodă obișnuită este schimbarea parolei în cazul în care sunteți forțat de împrejurări și apoi revenirea la un conținut care vă place și poate fi ușor ținut minte.
Verificați dacă nu creați conturi de utilizator cărora le alocați o parolă care nu este schimbată niciodată de către utilizator. Majoritatea sistemelor de operare vă vor permite să stabiliți ca parola să expire după prima utilizare, astfel încât, în momentul în care un nou utilizator deschide sesiunea de lucru pentru prima oară, trebuie să schimbe parola.
Uneori este important să aveți o parolă care nu are nici un înțeles. într-un mediu cu securitate ridicată, acest lucru este justificat – doriți ceva care este dificil de ghicit. Totuși, amintiți-vă că în momentul în care ceva este greu de ținut minte, acest lucru este scris undeva pe hârtie, ceea ce compromite complet scopul parolei. LINUX are o comandă, passwd, care poate fi folosită pentru a genera pe calculator o parolă pentru un utilizator. De exemplu, comanda
Passwd username
va afișa o listă de parole potențiale care sunt în general greu de ghicit. Utilizatorul poate selecta o parolă din listă dacă nu poate să găsească singur una.
9.6.2 Reguli privind parolele
Nici un cont de utilizator, inclusiv cel folosit de administrator, nu ar trebui să păstreze aceeași parolă pentru o perioadă lungă de timp. O idee bună pentru parole este să se solicite schimbarea acestora la fiecare 30-60 de zile, în funcție de nivelul de securitate pe care-1 doriți la locul dumneavoastră de muncă. Trebuie de asemenea să stabiliți o lungime minimă pentru parole. Majoritatea sistemelor de operare vă vor permite să precizați această valoare astfel încât utilizatorii să nu poată schimba parola cu una care este mai scurtă decât mărimea cerută.
În funcție de sistemul de operare, puteți stabili alte restricții asupra parolei sau conturilor utilizatorilor pentru a crește securitatea în rețea. Unele dintre posibilitățile pe care le-ați putea găsi sunt următoarele:
■ Expirarea parolei — O parolă nu trebuie folosită la nesfârșit.
■ Lista cu istoricul parolelor – Această proprietate previne reutilizarea unei parole într-o anumită perioadă de timp.
■ Blocarea conturilor — în momentul în care un hacker încearcă să folosească metoda forței brute pentru a ghici o parolă pentru un cont, trebuie să aveți posibilitatea de a bloca în mod automat contul după un anumit număr de încercări într-o anumită perioadă de timp.
9.7 Servere de aplicații
Serverele specializate pot limita pierderile care pot fi cauzate de către intruși și pot face delegarea de autoritate mult mai ușoară, astfel încât un anumit administrator se poate concentra asupra unui set limitat de funcții pentru un anumit server. Permanent sunt dezvoltate și instalate aplicații și tehnologii noi și, cu cât sunt mai noi, cu atât este mai probabil să conțină deficiențe sau alte fisuri care le fac mai riscante decât alte aplicații care rulează în rețea.
10.8 Virușii de calculatoare
Virușii sunt de mai multe tipuri. Societatea Națională de Securitate a Calculatoarelor din Statele Unite (Național Computer Security Association) și alte organisme de securitate le împart în grupuri, pe baza modului de lucru și de implementare al acestora. Unele din aceste tipuri sunt:
■ Virusul pentru sectorul de încărcare (Boot sector virus) — Un virus de acest tip infectează înregistrarea de încărcare master a calculatorului. El suprascrie codul de încărcare și îl înlocuiește cu versiunea proprie, infectată. Un exemplu poate fi virusul Michelangelo. Acești viruși sunt răspândiți cu ușurință prin intermediul dischetelor.
■ Virusul pentru fișiere (File virus) – Un virus de acest tip infectează un program executabil de pe disc. In loc să înlocuiască codul de încărcare, acest tip de virus înlocuiește sau se atașează la un program care există pe hard-disc. In momentul în care este executat programul, virusul provoacă daune.
■ Virusul invizibil (Stealth virus) – Acest tip de virus este foarte dificil de detectat; el face un efort special pentru a se face invizibil pentru sistemul de operare sau programele software de detectare a virușilor. De exemplu, el poate modifica mărimea unui fișier ascunzând acest lucru pentru sistemul de operare.
■ Virusul macro (Macro virus) – Acesta este un tip relativ nou de virus care folosește capabilitățile de programare macro care sunt din ce în ce mai mult încorporate în aplicațiile pentru procesare de text și foi de calcul. Dacă deschideți fișierul, virusul se execută.
■ Virusul polimorfic (Polymorphic virus) – Virusul este greu de localizat. Multe programe de detectare a virușilor caută o amprentă specifică pentru a identifica un anumit virus. Acest tip de virus are cod încorporat care face să se modifice singur la copiere, așa că s-ar putea să nu mai arate la fel data viitoare când îl vedeți.
Virusul invizibil este o creatură oribilă. El poate reacționa sau chiar modifica unele programe de detectare a virușilor, despre care dumneavoastră credeți că vă protejează sistemul. O metodă cheie folosită pentru a localiza acest tip de virus, dacă suspectați existența lui, este ștergerea software-ului existent pentru protecția împotriva virușilor și detectarea lor și instalarea din nou a ultimei versiuni. Dacă procesul de instalare nu decurge satisfăcător, s-ar putea să aveți încă probleme.
Alte programe distructive
În afară de viruși, trebuie să acordați atenție și altor tipuri de programe distructive care pot face ravagii pe un calculator sau în rețea. Programele de tip „Cal troian" nu sunt neapărat considerate ca fiind viruși, dar pot fi la fel de distructive. Acest tip de program se deghizează în alt program. Uneori îndeplinește funcții care par perfect normale pentru ceea ce așteaptă utilizatorul. El îndeplinește totuși și alte funcții la care nu vă așteptați. De exemplu, un program cal troian poate colecta în fundal informații privind stația dumneavoastră de lucru și să trimită informațiile la alt calculator din rețea sau, dacă e posibil, în Internet.
„Bombele" sunt programe lăsate în urmă de un angajat neprietenos care dorește să facă rău. Aceste programe bombă vor „exploda" de obicei și vor provoca pagube după o anumită perioadă de timp sau la apariția unui eveniment în sistem. Acesta este un motiv întemeiat pentru arhivarea pe un suport fizic a programelor și a fișierelor de date ale unui utilizator care a plecat din firmă, dacă nu cumva e nevoie de ele, și investigarea oricărui fișier comun la care a avut acces utilizatorul. Cea mai bună protecție pe care v-o puteți oferi față de acest tip de program este să faceți cu regularitate copii de siguranță complete și incrementale ale tuturor datelor importante din sistem, astfel încât să puteți reface sistemul în cazul unei defecțiuni catastrofale.
Cum se produce infectarea
Cele mai obișnuite modalitățile prin care virusul își găsește o cale spre sistemul dumneavoastră sunt prin:
■ Dischetă — Acesta este motivul pentru care documentele cu regulile de securitate trebuie să instruiască în mod clar utilizatorii că nu pot aduce fișiere din afara companiei și să le încarce pe calculatorul lor din rețea.
■ Poșta electronică – Cu câțiva ani în urmă, o mare parte din Internet a fost îngenuncheată de un virus care a valorificat avantajul cunoașterii limitelor existente în soft-ware-ul de poștă.
■ Avizierele electronice – Deși Internetul a înlocuit considerabil popularitatea acestor servicii pe linii telefonice, acestea sunt încă prezente, iar dacă un utilizator are un modem conectat la o stație de lucru, ele pot fi totuși o cale de pătrundere în rețeaua dumneavoastră.
■ Fișiere de date – Era de neimaginat până acum faptul că puteți lua un virus la încărcarea unui fișier de date în calculator. In cazul datelor mai complexe, de tipul celor orientate spre obiecte care există acum, acest lucru nu mai este valabil. Martori sunt multitudinea de viruși care exploatează în ultimul timp tehnologia găsită în procesoarele de documente de tip text sau foi de calcul. Posibilitățile de codare macro ale acestor tipuri de documente sunt tot ceea ce-i trebuie unui programator abil ca să construiască un virus.
Cum știți dacă sistemul dumneavoastră a fost infectat? Fără un program antivirus actualizat, este aproape imposibil să spuneți acest lucru decât când este prea târziu și distrugerile au fost produse. Totuși, câteva lucruri care trebuie urmărite sunt:
■ Mesajele de eroare neobișnuite
■ Fișiere lipsă pentru care nu există nici o explicație
■ Fișiere care au crescut sau au scăzut dramatic în mărime
■ Sistemul lucrează mai lent fără un motiv întemeiat
Măsuri preventive
Stabiliți programe educaționale care să aducă la cunoștința utilizatorilor regulile de lucru cu calculatorul și cu rețeaua și nu tratați nici o infracțiune cu ușurință. Dacă aflați că un utilizator a adus o dischetă de acasă, tratați-o ca pe o problemă majoră. O dischetă care pare goală poate să conțină totuși un virus ascuns, care poate infecta calculatorul dumneavoastră.
Revedeți toate buletinele privind infecțiile recente cu viruși editate de autoritățile Internet.
În momentul în care primiți software de la un furnizor, ar fi bine să aveți în vedere configurarea unui sistem sau a unei rețele de calculatoare izolate, într-un laborator, pentru a executa teste înainte de a autoriza aplicația software pentru utilizarea în rețea. Este mult mai ușor de făcut față unui incident izolat decât să depanați întreaga rețea.
Dacă rețeaua dumneavoastră nu necesită dispozitive precum unitățile de dischetă, demontați-le. Există de asemenea programe pe care le puteți obține și care vor face unitățile de dischetă indisponibile pentru utilizatori.
Achiziționați un pachet corespunzător de programe antivirus – există destule pe piață și abonați-vă la programul de actualizare al furnizorului. Programele de protecție antivirus nu sunt aplicații pe care să le cumpărați o dată la câțiva ani. De exemplu, programul Norton Antivirus vă permite să descărcați codul care poate recunoaște viruși noi pe măsură ce sunt descoperiți, prin folosirea metodei de actualizare în direct, prin Internet.
Cele mai multe programe software antivirus vor funcționa în mai multe feluri. Cea mai evidentă funcție vă permite să scanați sistemul în orice moment doriți pentru a căuta posibile infecții. O altă caracteristică importantă este planificarea, sau posibilitatea de a rula programul periodic, fără ca utilizatorul să solicite scanarea. In sfârșit, o caracteristică într-adevăr folositoare este aceea care interceptează automat datele care vin la calculator de pe disc, din rețea sau prin poșta electronică și realizează o scanare a datelor sau programelor pentru a vă ajuta să preveniți infectarea accidentală a calculatorului.
Sursele de informații privind virușii
Există mai multe locuri favorabile pe Internet unde puteți învăța despre viruși, astfel încât să fiți informat privind problemele care îi înconjoară:
■ www.icsa.net — Aceasta este pagina de bază a ICSA, Inc., fostă Național Computer Security Association (NCSA). Acest sit furnizează informații referitoare la virușii calculatoarelor, parafocuri (firewall) și alte probleme referitoare la securitate.
■ www.antivirus.com – Trend Micro oferă software antivirus pentru mai multe platforme de sisteme de operare și, de asemenea, furnizează o mulțime de informații privind virușii.
■ www.Symantec.com – Symantec Corporation creează software antivirus și oferă informații privind software-ul propriu. Aceasta este compania care produce software-ul Norton Antivirus.
■ www.macafee.com – Macafee este un alt producător important de software antivirus.
BIBLIOGRAFIE
[AURA00] Tuomas Aura, Pekka Nikander, Jussipekka Leiwo – DoS-resistant Authentication with Client Puzzles. Proceedings of the Cambridge Security Protocols Workshop 2000, LNCS, Cambridge, UK, April 2000, Springer-Verlag
[AGNE90] G. B. Agnew, R. C. Mullin, S. A. Vanstone – Improved Digital Signature Scheme based on Discrete Exponentiation, Electronic Letters, Vol. 26,1990
[ALAG91a] K. Alagappan – SPX Installation, Digital Equipment Corporation, February 1991
[ALAG91b] K. Alagappan, J. Tardo – SPX Guide – A Prototype Public Key Authentication Service, Digital Equipment Corporation, February 1991
[ALAG93] K. Alagappan – Telnet authentication: SPX (RFC 1412), Digital Equipment Corporation, 1993
[BAUS90] F. Bauspiess, H. J. Knobloch – How to Keep Authenticity Alive in A Computer Network, Proceedings of EUROCRYPT’ 89, Springer-Verlag, Berlin, 1990
[BELL92] S. M. Bellovin, M. Merritt – Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks, Proceedings of the IEEE Symposium on Security and Privacy, IEEE Computer Society Press, Los Alamitos, CA, 1992
[BELL93] S. M. Bellovin, M. Merritt – Augumented Encrypted Key Exchange, Proceedings of the 1st ACM Conference on Communications and Computing Security, November 1993
[BEME] Steven M. Bellovin, Michael Merritt – Limitations of the Kerberos Authentication System, AT&T Bell Labs
[BETH89] Th. Beth – Efficient Zero-Knowledge Identification Scheme for Smart Cards, Proceedings of EUROCRYPT ’88, Springer-Verlag, Berlin, 1989
[BETH93] Th. Beth, H. J. Knobloch, M. Otten – Verifiable Secret Sharing for Monotone Access Structures, Proceedings of the 1st ACM Conference on Communication and Computing Security, November 1993
[BETH94] Th. Beth, H. J. Knobloch, M. Otten, G. J. Simmons, P. Wichmann – Towards Acceptable Key Escrow System, Proceedings of the 2nd ACM Conference on Communication and Computing Security, November 1994
[MSCE] Matthew Strebe, Charles Perkins, James Chellis – Windows NT Server 4, Ghid de studiu, Editura ALL, Atestat Microsoft Corporation, 1999
Retele de calculatoare – depanare si modernizare ( Cod 0602 ), Terry Ogletree, Ed. Teora
UZATA – Totul despre hardware, editia a II-a ( Cod 0545 ), Winn L. Rosch, Ed. Teora
UZATA – PC – Depanare si modernizare – editia a III-a ( Cod 0163 ), Scott Hueller Craig Zacker, Ed. Teora.
Phare RO/2002/000-586.03.02 – GJ 295 Proiect ”Realizarea unei Rețele Informatice Locale în vederea îmbunătățirii gestionării fondurilor locale la nivelul municipiului Motru „RIPL””
BIBLIOGRAFIE
[AURA00] Tuomas Aura, Pekka Nikander, Jussipekka Leiwo – DoS-resistant Authentication with Client Puzzles. Proceedings of the Cambridge Security Protocols Workshop 2000, LNCS, Cambridge, UK, April 2000, Springer-Verlag
[AGNE90] G. B. Agnew, R. C. Mullin, S. A. Vanstone – Improved Digital Signature Scheme based on Discrete Exponentiation, Electronic Letters, Vol. 26,1990
[ALAG91a] K. Alagappan – SPX Installation, Digital Equipment Corporation, February 1991
[ALAG91b] K. Alagappan, J. Tardo – SPX Guide – A Prototype Public Key Authentication Service, Digital Equipment Corporation, February 1991
[ALAG93] K. Alagappan – Telnet authentication: SPX (RFC 1412), Digital Equipment Corporation, 1993
[BAUS90] F. Bauspiess, H. J. Knobloch – How to Keep Authenticity Alive in A Computer Network, Proceedings of EUROCRYPT’ 89, Springer-Verlag, Berlin, 1990
[BELL92] S. M. Bellovin, M. Merritt – Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks, Proceedings of the IEEE Symposium on Security and Privacy, IEEE Computer Society Press, Los Alamitos, CA, 1992
[BELL93] S. M. Bellovin, M. Merritt – Augumented Encrypted Key Exchange, Proceedings of the 1st ACM Conference on Communications and Computing Security, November 1993
[BEME] Steven M. Bellovin, Michael Merritt – Limitations of the Kerberos Authentication System, AT&T Bell Labs
[BETH89] Th. Beth – Efficient Zero-Knowledge Identification Scheme for Smart Cards, Proceedings of EUROCRYPT ’88, Springer-Verlag, Berlin, 1989
[BETH93] Th. Beth, H. J. Knobloch, M. Otten – Verifiable Secret Sharing for Monotone Access Structures, Proceedings of the 1st ACM Conference on Communication and Computing Security, November 1993
[BETH94] Th. Beth, H. J. Knobloch, M. Otten, G. J. Simmons, P. Wichmann – Towards Acceptable Key Escrow System, Proceedings of the 2nd ACM Conference on Communication and Computing Security, November 1994
[MSCE] Matthew Strebe, Charles Perkins, James Chellis – Windows NT Server 4, Ghid de studiu, Editura ALL, Atestat Microsoft Corporation, 1999
Retele de calculatoare – depanare si modernizare ( Cod 0602 ), Terry Ogletree, Ed. Teora
UZATA – Totul despre hardware, editia a II-a ( Cod 0545 ), Winn L. Rosch, Ed. Teora
UZATA – PC – Depanare si modernizare – editia a III-a ( Cod 0163 ), Scott Hueller Craig Zacker, Ed. Teora.
Phare RO/2002/000-586.03.02 – GJ 295 Proiect ”Realizarea unei Rețele Informatice Locale în vederea îmbunătățirii gestionării fondurilor locale la nivelul municipiului Motru „RIPL””
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Integrarea Sistemului de Operare Windows Nt In Mediul Linux (ID: 149933)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.