ЛЕКЦИЯ 5 ОРГАНИЗАЦИЯ ДОСТУПА К РЕСУРСАМ В КОМПЬЮТЕРНЫХ СЕТЯХ 1. 2. 3. 4. Модель «клиент-сервер» Типы серверов и способы хранения информации о клиенте Администрирование работы в сети Организация доступа к ресурсам Основной пpактический pезультат: как правильно входить в сеть Основной теоретический pезультат: принципы организации доступа к ресурсам Самостоятельная работа 1.Лабораторная работа 3:Доступ к ресурсам и основные правила работы в корпоративной сети 2.Ознакомиться с Глоссарием 1 Модель клиент сервер Все действия в сети рассматриваются как действия между процессами, при этом один процесс выполняет роль вызывающего, а второй вызываемого. Вызываемый процесс более сложен, так как он должен постоянно быть активизирован и находится в состоянии «слушаю». Говорят, что такой процесс – сервер, а вызывающий процесс – клиент. Это и есть основа модели «клиент-сервер». Например, Web-сервер в Интернет – это сервер, а Internet Explorer, через который Вы подключаетесь – это клиент. Каждый сервер (программа) имеет своего клиента. На компьютере может быть установлено много клиентов-программ. В сетевой операционной системе отдельной машины можно выделить несколько частей: Средства управления локальными ресурсами компьютера: функции распределения оперативной памяти между процессами, планирования и диспетчеризации процессов, управления процессорами в мультипроцессорных машинах, управления периферийными устройствами и другие функции управления ресурсами локальных ОС. Средства предоставления собственных ресурсов и услуг в общее пользование серверная часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и записей, что необходимо для их совместного использования; ведение справочников имен сетевых ресурсов; обработку запросов удаленного доступа к собственной файловой системе и базе данных; управление очередями запросов удаленных пользователей к своим периферийным устройствам. Средства запроса доступа к удаленным ресурсам и услугам и их использования клиентская часть ОС (редиректор). Эта часть выполняет распознавание и перенаправление в сеть запросов к удаленным ресурсам от приложений и пользователей, при этом запрос поступает от приложения в локальной форме, а передается в сеть в другой форме, соответствующей требованиям сервера. Клиентская часть также осуществляет прием ответов от серверов и преобразование их в локальный формат, так что для приложения выполнение локальных и удаленных запросов неразличимо. Коммуникационные средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки сообщений. В зависимости от функций, возлагаемых на конкретный компьютер, в его операционной системе может отсутствовать либо клиентская, либо серверная части. На рисунке 1. показано взаимодействие сетевых компонентов. Здесь компьютер 1 выполняет роль "чистого" клиента, а компьютер 2 - роль "чистого" сервера, соответственно на первой машине отсутствует серверная часть, а на второй клиентская. На рисунке отдельно показан компонент клиентской части - редиректор. Именно редиректор перехватывает все запросы, поступающие от приложений, и анализирует их. Если выдан запрос к ресурсу данного компьютера, то он переадресовывается соответствующей подсистеме локальной ОС, если же это запрос к удаленному ресурсу, то он переправляется в сеть. При этом клиентская часть преобразует запрос из локальной формы в сетевой формат и передает его транспортной подсистеме, которая отвечает за доставку сообщений указанному серверу. Серверная часть операционной системы компьютера 2 принимает запрос, преобразует его и передает для выполнения своей локальной ОС. После того, как результат получен, сервер обращается к транспортной подсистеме и направляет ответ клиенту, выдавшему запрос. Клиентская часть преобразует результат в соответствующий формат и адресует его тому приложению, которое выдало запрос. 2 Типы серверов и cпособы хранения учетной информации о пользователе Типы серверов файл сервер, принт-сервер, факс – сервер сервер приложений, сервер коммуникаций. сервер сообщений сервер баз данных Способы хранения учетной информации о пользователе. Существует две модели организации контроля за доступом к ресурсам – доменная и «Дерево» или "служба каталогов". Домен используется в Windows NT. Служба каталогов ( дерево) используется вWindows 2000 ( AD) и в NetWare ( NDS). Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей (user accounts), так что при входе в домен пользователь получает доступ сразу ко всем разрешенным ресурсам всех серверов домена. Пользователи могут входить в сеть не только из рабочих станций того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену. Домен, хранящий учетную информацию, часто называют учетным, а доверяющий домен - ресурсным. В домене должен находится сервер, выполняющий роль основного контроллера домена (primary domain controller). Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена. Все изменения, производимые в учетной информации, сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре. Служба NDS ОС NetWare 4.x - это глобальная служба справочников, использующая распределенную объектно-ориентированную базу данных сетевых ресурсов. База данных NDS содержит информацию о всех сетевых ресурсах, включая информацию о пользователях, группах пользователей, принтерах, томах и компьютерах. NetWare использует эту информацию для обеспечения доступа к этим ресурсам База данных службы NDS представляет собой многоуровневую базу данных, поддерживающую информацию о ресурсах всех серверов сети. Для совместимости с предыдущими версиями NetWare в службе NDS предусмотрен механизм эмуляции базы bindery. NDS использует для хранения информации логическую структуру, называемую деревом каталогов (Directory Tree, DT). Эта иерархическая структура имеет корневой элемент (root) и ветви (рисунок 3.25). Администратору сети NetWare 4.x предоставляется удобная графическая утилита NetWare Administrator, работающая в среде Windows, наглядно представляющая каждый объект дерева каталогов NDS в виде иконки и отражающая связи между объектами. Пользователи также получают удобства прозрачного доступа к ресурсам всей сети, если они пользуются оболочкой NetWare для Windows, которая поддерживает диалог с NDS и представляет доступные пользователю ресурсы в виде вложенных пиктограмм. В NDS информация о сетевых ресурсах организована с помощью объектов. Каждый объект представляет собой ресурс, такой как принтер, том, пользователь или сервер. Объекты организованы в иерархическую структуру, соответствующую структуре организации, отражающую реальные информационные потоки и потребности разделения ресурсов. Одни объекты представляют физические сущности, например объект-пользователь представляет пользователя, а объект-принтер представляет принтер. Другие объекты представляют логические понятия, такие как группы или очереди к принтерам. Еще одна категория объектов, в которую входят, например, объекты типа отдела предприятия, помогают организовывать и упорядочивать другие объекты. Объекты имеют атрибуты, в которых хранится индивидуальная для данного объекта информация, например, имя и телефон пользователя или место расположения факса и т.п. Дерево каталогов содержит объекты двух типов: объекты-контейнеры, объекты листья. Объекты-контейнеры содержат или включают другие объекты. Они используются для логического упорядочивания и организации других объектов дерева. В ход в сеть NetWare означает получение доступа к ресурсам сответствующего дерева и контейнер-объекта. 3 Администрирование работы в сетях В большинстве случаев различают три типа сетей: одноранговую (офисную) многосегментную учрежденческую; корпоративную. Для каждого типа сети устанавливают свои наборы правил. Эти наборы называют политикой. Наиболее распространены конфигурационная политика, мотивационная политика и политика сервисов. Для упрощенного варианта полтитики сведены к определенным функциям, полдлежащим постоянному контролю ( политика Windows NT, Windows 2000). Политика может быть представлена набором регламентных и директивных документов, а может быть и автоматизирована. При автоматизации политика получает свое собственное имя и представляет собой набор правил, объединенных в роли.. Каждое правило состоит из набора проверяемых условий и требований к периодичности. Результат выполнения правила представляется в виде действия, направленного на определенный объект в сети. При этом, все, что может контролироваться или на что может быть направлено действие представляется в виде объекта. Контроль соблюдения политики осуществляет специальный сервер доступа. За соблюдением правил работы в сети следит администратор. Различают следующие категории администраторов: администратора сети; администратора системы; администратора баз данных. В некоторых организациях эти функции возложены на одного человека – ITspecialist. Какие либо изменения в конфигурации сети моно проводить только с разрешения администратора. Системное администрирование требует близкого знакомства с тем, где и что находится в системе, и понимания взаимосвязи конкретного процесса с системой в целом. Программисты стремятся нахвататься сведений о чудесах и результатах таинственных команд и о всяческих хитростях, которые они считают полезными, но зачастую они не хотят тратить время на знакомство с операционной системой системой в целом. Положение системного администратора таково, что требует более широкого понимания системы, чем необходимо пользователю или даже программисту, и в связи с этим большей ответственности. Способность всех, кто не сильно знает операционную систему, выполнить свою работу, зависит от способности администратора поддерживать работоспособность системы, предвидя и разрешая проблемы до того, как они станут опасными. Администраторы отвечают за поддержание работоспособности вычислительной системы 24 часа в сутки, наращивание ее в случае необходимости, помощь пользователям в разрешении их проблем, патрулирование и обеспечение безопасности. Администрирование - это фактически несколько разных работ в одной. Поддержка работоспособности системы. Поддержка работоспособности системы приоритет номер один. Обеспечение работоспособности системы требует также профилактических мер. Правильно реализовать резервное копирование файлов, создание архивов, контроль целостностит бавз данных и программ, зщиту от вирусов. Уметь восстановить все данные настолько быстро и полно, насколько это возможно. Улучшение системных возможностей. Наиболее важным ресурсом является время центрального процессора. Посадите тридцать пользователей в системе, рассчитанной на двадцати четырех - и вы сразу почувствуете нехватку процессорного времени. В работу администратора входит поддержка текущих ресурсов, а также планирование роста системы на будущее. Поэтому требуется, чтобы вы знали типичные раскладки использования вашей системы, знали, где могут возникнуть "узкие места", как эффективно распределить имеющиеся ресурсы и какие способы наращивания системы могут быть наиболее эффективными по стоимости. Помощь пользователям. Пользователи системы - несомненно, имеют высокий приоритет. Администратор должен следить за тем, чтобы все запросы пользователей удовлетворялись. В обслуживание потребностей пользователей может входить резервное копирование файлов, отладка коммуникационных линий и заготовка персональных записей для пользователей. Безопасность. Администратор ведает всеми вопросами безопасности. Обычно он единственный, кто занимается этой работой. Пользователи не обеспечивают безопасность. Нарушители безопасности могут атаковать систему многими способами. Они могут занять системные ресурсы, заполняя таблицу процессов или таблицу открытых файлов и распределяя для себя все свободное дисковое пространство и все свободные индексные дескрипторы файлов. Они могут перепутаться с другими пользователями системы или поменять системное время. Они могут повредить файлы данных или исполняемые модули и даже подделать почту.При этом используются сторожевые системы.В работе сторожевой системы задействовано пять функций: Защита от неразрешенных входов в систему, файлов, программ и команд su. Сохранение конфиденциальности определенных данных. Наблюдение за использованием модемов. Предотвращение неразрешенных пересылок файлов. Сведение к минимуму возможностей взлома. Ознакомление пользователей с обязанностями и ответственностью администраторов, ознакомление с политикой в сети и с требованиями о работе помогает снять лишние вопросы, связанные с неудобством или ограничениями по доступу к ресурсам. 4 Организация доступа к ресурсам 4.1 Гетерогенные сети Компьютерные сети сегодня это совокупность разнородных компьютеров и разнородных операционных систем. Для согласованной работы операционные системы должны обеспечивать взаимное согласование протоколов. При этом пользователь не должен испытывать неудобства. Основными сетевыми операционными системами сегодня являются NetWare и Windows NT\2000. Эти операционные системы устанавливают на серверах, а на рабочих станциях устанавливают Windows 95/98//NT WS/Milenium. Так как в сетевой технологии используется технология клиент-сервер, то для согласования с «чужой» операционной системой достаточно иметь соответствующее программное обеспечение на рабочей станции. Таким программным обеспечением являются программы согласования рабочей станции Windows c сервером Windows NT или NetWare. Программы согласования рабочей станции Windows c сервером Windows NT встроены в операционную систему ( Рис. 1), а программы согласования рабочей станции c сервером NetWare требуется устанавливать дополнительно. Такие программы существуют как разработки MS и как разработки Novell. Для обеспечения входа в сеть с рабочей станции необходимо использовать эту специальную программу, т.е. клиент сети. Так как в основном используются операционные системы на базе NetWare для Windows NT, то и клиенты рассматриваются соответственно «Клиент для сетей Microsoft» и «Клиент для сетей NetWare». Выбор определенного клиента, который будет активизироваться по умолчанию, производится администратором сети.Следует пользоваться только разработкой от Novell. При установленных двух клиентах общие функции возлагаются на один из них, поэтому можно войти в сеть NetWare или в сеть Windows NT( метка на панели). Рис 1. Индикаторы установленного программного обеспечения поддержки сетевых технологий 4.2 Организация вхождения в сеть Необходимо помнить, что при входе в сеть с использованием клиента NetWare вход осуществляется в дерево. Если есть два или более деревьев, то в каждое дерево вход осуществляется независимо. Деревья изолированы друг от друга. Рис. 1 Вход на станцию Windows 95/98 После запуска клиента задается имя ( Login) и пароль (Password). В качестве имени указывается полный (или усеченный) контекст, определяющий расположение пользователя-объекта в дереве сети NDS. (Контекст записывается в виде указаний имен ветвей, разделяемых точками, например, .ks.ius.ic). При входе в сеть с использованием клиента Microsoft вход осуществляется (для Windows NT WS) в домен или на локальный компьютер. После запуска клиента задается имя (Login) и пароль (Password). Для этих операционных систем после ввода имени и пароля происходит процесс аутентификации и пользователь получает определенные права к ресурсам сети. Для сети NetWare автоматически запускается скрипт, в соответствии с которым пользователь получает автоматически доступ к сетевым дискам. 4.3 Права доступа к ресурсам Права пользователя определяются правами доступа к определенным серверам, к определенным томам (дискам), к директориям и правами выполнения определенных действий (просмотр, чтение, запись, удаление, печать файлов). Права для пользователя называют бюджетом. Личный бюджет складывается из прав на текущей рабочей станции, из прав на серверах Windows NT, прав на серверах NetWare. Вместе с доступными общими ресурсами они образуют PAN. Пользователь может зайти в сеть под разными именами Login, тогда его окружение и права будут изменены. Различают стандартных пользователей и пользователей новых. Для простоты администрирования пользователей объединяют в группы. Если бюджеты хранятся на специальном сервере и этот сервер контролирует доступ к определенным ресурсам строго для определенных пользователей, то говорят что в сети создан домен. Сервер называется PDC (Primary Domain Controller). Для доступа к ресурсам должно быть выполнено два требования: в операционной системе должно быть установлено разрешение доступа к соответствующему типу ресурсу ( без указания его аппаратного идентификатора), обеспеченное определенным сервисом ( Рис. 3); пользователь, как объект, должен иметь право доступа к определенному ресурсу с указанием его аппаратного идентификатора (Рис. 4). Рис.3. - Служба обеспечения доступа к ресурсу Рис. 4.- Права пользователя по отношению к ресурсу (диску) Вопросы 1. Как функционируют процессы по модели «клиент-сервер» 2. Какие типы серверов Вы знаете 3. Как хранится информация о клиенте 4. Что подлежит администрированию работы в сети 5. Как организуется доступа к ресурсам в сетях 6. Какие способы входа в сеть имеются, чем они отличаются 7. Каковы особенности входа в сеть через клиент NetWare для Windows NT 8. Каковы особенности входа в сеть через клиент Microsoft 9. Чем характеризуются права доступа пользователя к ресурсам сети 10. Как подключиться к дереву IUS в университетской сети. 11. Что такое контекст 12. Как сохранить файлы в индивидуальных директориях на сервере сети. 13. Как проверить личные бюджеты 14. Чем отличается вход в систему по разным клиентам 15. Типы пользователей 16. Что такое рабочая группа 17. Что такое домен 18. Модели сетей (ISO, IEEE, MAP/TOP) 19. Стеки протоколов 20. Процессы в компьютерных сетях. 21. Что такое одноранговая сеть и клиент-серверная. 22. ( Personal Area Network, Local Operating Network) Используемая литеpатуpа: 1. Олифер В., Олифер Н. Компьютерные сетию -С-т Пб.:Питер, -2001. - 672 с. 2. Челиз Д, Перкинс Ч., Стриб М. Основы построения сетей. Учебное руководство для специалистов MCSE. Microsoft Press.- M: Лорри, -1997. - 310 с.