Administrace – manuál

Transkript

Obsah
Úvod ...................................................................................................................................................... vii
1. Obecná charakteristika produktů soLNet *box......................................................................... vii
2. Popis produktů .......................................................................................................................... vii
2.1. soLNet firewall .............................................................................................................. vii
2.2. soLNet filebox .............................................................................................................. viii
2.3. soLNet mailbox ............................................................................................................ viii
2.4. soLNet AVirCheck.......................................................................................................... ix
2.5. soLNet multibox.............................................................................................................. x
1. Přihlášení ............................................................................................................................................ 1
1.1. Proč se nelze přihlásit?............................................................................................................. 1
2. Navigace .............................................................................................................................................. 2
2.1. Záložky..................................................................................................................................... 2
2.2. Vyhledávání ............................................................................................................................. 3
3. Domény ............................................................................................................................................... 5
3.1. Přehled...................................................................................................................................... 5
3.1.1. Informace o limitech .................................................................................................... 5
3.1.2. Zaplnění poštovních schránek ...................................................................................... 6
3.1.3. Administrační kontakt .................................................................................................. 7
3.2. Účty, skupiny, subdomény........................................................................................................ 7
3.3. Počítače .................................................................................................................................... 8
3.4. Povolené služby........................................................................................................................ 9
3.4.1. Doručování pošty.......................................................................................................... 9
3.4.2. DNS (vedení záznamu)................................................................................................. 9
3.4.3. Web (virtuální server)................................................................................................... 9
3.5. Doménový koš........................................................................................................................ 10
3.6. Databáze................................................................................................................................. 10
3.7. Webhosting............................................................................................................................. 12
3.8. Volitelné položky objektů....................................................................................................... 13
4. Účty.................................................................................................................................................... 16
4.1. Vytvoření a smazání účtu....................................................................................................... 16
4.2. Konfigurace účtu .................................................................................................................... 17
4.2.1. Nastavení .................................................................................................................... 17
4.2.2. Heslo........................................................................................................................... 17
4.2.3. Povolené služby.......................................................................................................... 18
4.2.4. Přezdívky.................................................................................................................... 20
4.2.5. Přeposílání pošty ........................................................................................................ 20
4.2.6. Skupiny....................................................................................................................... 22
4.2.7. Souborový server........................................................................................................ 23
4.2.8. Další nastavení............................................................................................................ 24
4.3. Přístup k poště ........................................................................................................................ 24
4.3.1. Přidání účtu v aplikaci Mozilla Thunderbird ............................................................. 24
4.3.2. Přidání účtu v aplikaci MS Outlook ........................................................................... 26
iii
5. Skupiny ............................................................................................................................................. 28
5.1. Vytvoření a smazání skupiny ................................................................................................. 28
5.2. Konfigurace skupiny............................................................................................................... 28
5.2.1. Nastavení .................................................................................................................... 29
5.2.2. Členové skupiny ......................................................................................................... 29
5.2.3. Přezdívky.................................................................................................................... 30
5.2.4. Povolené služby.......................................................................................................... 30
5.2.5. Přeposílání pošty ........................................................................................................ 31
5.2.6. Další nastavení............................................................................................................ 32
6. Přístupová práva .............................................................................................................................. 33
6.1. Obecně o přístupových právech ............................................................................................. 33
6.2. Hierarchie přístupových práv ................................................................................................. 33
6.3. Zadávání a rušení přístupových práv ..................................................................................... 34
6.3.1. Zadávání ..................................................................................................................... 34
6.3.2. Rušení ......................................................................................................................... 35
6.4. Jednotlivá práva a úroveň oprávnění...................................................................................... 35
7. Filtrovací pravidla příchozí pošty................................................................................................... 38
7.1. Obecně o filtrovacích pravidlech............................................................................................ 38
7.2. Konfigurace filtrovacího pravidla........................................................................................... 39
8. Sdílené kontejnery ........................................................................................................................... 43
8.1. Globální kontejnery................................................................................................................ 43
8.2. Doménové kontejnery ............................................................................................................ 44
9. Souborový server.............................................................................................................................. 46
9.1. Nastavení služeb..................................................................................................................... 46
9.1.1. Typ a jméno souborového serveru.............................................................................. 46
9.1.2. Konfigurace zvoleného typu serveru .......................................................................... 47
9.1.3. Nastavení domény pro souborový server ................................................................... 47
9.2. Jak nastavit server jako PDC.................................................................................................. 48
9.2.1. Nastavení na serveru................................................................................................... 49
9.2.2. Nastavení na jednotlivých pracovních stanicích......................................................... 51
9.2.2.1. Windows XP EN............................................................................................. 51
9.2.2.2. Windows 2000 Professional CZ ..................................................................... 53
9.2.2.3. Windows 98 CZ .............................................................................................. 54
9.3. Souborové složky ................................................................................................................... 56
9.3.1. Souborové složky na serveru ...................................................................................... 56
9.3.2. Nastavení přístupových práv souborových složek na serveru .................................... 58
9.3.3. Nastavení přístupových práv z pracovní stanice ........................................................ 60
9.4. Přihlašovací skripty ................................................................................................................ 65
9.4.1. Rychlý start................................................................................................................. 65
9.4.2. Syntaxe a proměnné ................................................................................................... 67
9.4.3. Příkazy........................................................................................................................ 68
9.5. Instalace sít’ové tiskárny ........................................................................................................ 68
9.6. Další nastavení ....................................................................................................................... 71
9.6.1. Nastavení doménového uživatele jako správce pracovní stanice ............................... 71
9.6.2. Změna hesla uživatele ................................................................................................ 73
iv
9.6.2.1. Windows 98 .................................................................................................... 73
9.6.2.2. Windows 2000 a Windows XP ....................................................................... 74
9.6.3. Změna názvu počítače ................................................................................................ 74
9.6.3.1. Windows 98 .................................................................................................... 75
9.6.3.2. Windows 2000 a Windows XP ....................................................................... 75
10. Systémový monitoring ................................................................................................................... 77
11. Lokální sítě ..................................................................................................................................... 79
11.1. Určování lokálních sítí ......................................................................................................... 79
11.2. Nastavení rozhraní................................................................................................................ 80
11.3. Kontroly sít’ového toku........................................................................................................ 82
11.4. Aktuální sít’ový provoz ........................................................................................................ 84
11.4.1. Filtry ......................................................................................................................... 85
11.4.1.1. Přednastavené filtry....................................................................................... 85
11.4.2. Časy .......................................................................................................................... 86
11.4.3. Spojení...................................................................................................................... 86
11.4.4. Konfigurace vlastního filtru ...................................................................................... 88
11.4.4.1. Vyhledávání.................................................................................................. 90
11.4.4.2. Součty ........................................................................................................... 91
11.5. Archiv sít’ového provozu ..................................................................................................... 92
11.6. Dynamické akce ................................................................................................................... 93
11.6.1. Instrukce pro příkazy dynamických akcí.................................................................. 95
11.7. Konfigurace VPN v systému Windows ................................................................................ 97
11.8. Podsítě ................................................................................................................................ 100
11.9. Přístupová práva ................................................................................................................. 100
12. Archiv hlášení............................................................................................................................... 102
13. Nastavení služeb serveru ............................................................................................................. 104
13.1. DHCP ................................................................................................................................. 104
13.1.1. Nastavení DHCP pro podsít’ .................................................................................. 105
13.2. Antispamový subsystém..................................................................................................... 106
13.2.1. Identifikace a označení spamu................................................................................ 106
13.2.2. Filtrování spamu..................................................................................................... 107
13.2.3. Učení ...................................................................................................................... 107
13.3. Antivirový subsystém......................................................................................................... 108
13.4. Poštovní server ................................................................................................................... 109
13.5. Souborový server................................................................................................................ 110
13.6. Odkazy na WebIS............................................................................................................... 111
13.7. Přihlašovací doména .......................................................................................................... 111
13.7.1. Nastavení implicitní přihlašovací domény ............................................................. 112
13.7.2. Nastavení mapování domén.................................................................................... 112
13.8. Ostatní možné služby ......................................................................................................... 113
14. Přílohy........................................................................................................................................... 114
14.1. Diagram průchodu pošty .................................................................................................... 114
14.2. IMAP versus POP3 ............................................................................................................ 114
14.3. Kontakty ............................................................................................................................. 115
14.3.1. Přístup ke kontaktům z Mozilla Thunderbirdu....................................................... 115
v
14.3.2. Přístup ke kontaktům z MS Outlook Express......................................................... 118
Slovníček ............................................................................................................................................. 121
vi
Úvod
Tento manuál je určen odběratelům některého z produktů řady soLNet *box. Popisuje administrační
část webového rozhraní systému určenou ke správě serverů.
1. Obecná charakteristika produktů soLNet *box
Podstatou řešení soLNet *box je poskytnutí hardwaru včetně servisu, instalace softwaru, správy a
aktualizace nových verzí, monitoringu a bezprostředního řešení vzniklých problémů. K dispozici je
také telefonická, e-mailová a on-line podpora a kontinuální vylepšování a přidávání softwarových
služeb podle ohlasů.
Ušetříte tedy počáteční náklady na nákup hardwaru, starosti s jeho správou, případnou reklamaci
vadného hardwaru a problémy, které mohou vzniknout v důsledku výpadku. Nemusíte platit drahé
licence za software nebo nové verze. Není nutné mít specializovaného pracovníka, který se bude o
server starat.
Řešení soLNet *box jsou určena široké vrstvě zákazníků, jejich správa je možná přes WWW rozhraní
a neklade větší důraz na odborné znalosti. K dispozici je také rychlá nápověda, která přímo ve
webovém rozhraní vysvětluje základní pojmy.
2. Popis produktů
V současné době nabízí společnost soLNet, s.r.o tyto produkty:
•
soLNet firewall
•
soLNet filebox
•
soLNet mailbox
•
soLNet AVirCheck
•
soLNet multibox
2.1. soLNet firewall
soLNet firewall je zařízení, které zabraňuje toku nežádoucích dat mezi vnitřní sítí (intranetem) a vnější
sítí (Internetem). soLNet firewall přináší nejen nové standardy z hlediska bezpečnosti, ale také způsob,
jak ušetřit náklady spojené s provozem na Internetu. Ty lze snížit například pronájmem části linky
dalším subjektům nebo blokováním nežádoucích stránek, což může napomoci i zvýšení produktivity
práce. Oproti řešením jiných firem pracuje soLNet firewall nejen na sít’ové vrstvě (blokování paketů),
ale i na aplikační vrstvě IP protokolu (filtrování a proxy přístup k různým službám na serveru, např.
WWW cache nebo SMTP).
vii
Úvod
soLNet firewall nabízí:
•
připojení jedné nebo více firemních sítí k Internetu,
•
blokování nežádoucích stránek,
•
snížení toku dat z Internetu použitím WWW proxy cache,
•
zvýšení propustnosti linky do Internetu díky WWW proxy serveru,
•
měření a záznam statistik využití provozu z a do Internetu jednotlivými uživateli,
•
zrychlení odezvy na dotazy do Internetu pomocí "urychlovacího" name serveru (cache-only DNS
server).
•
ochranu firemní sítě, např. proti těmto útokům:
•
smazání nebo krádež firemních dat,
•
odposlouchávání komunikace ve firemní síti,
•
zneužítí firemního připojení k Internetu,
•
změna WWW stránek na serveru za firewallem,
•
zneužítí identity.
•
snazší konfiguraci pracovních stanic díky DHCP serveru,
•
přípojný bod pro spojení několika poboček firmy, tzv. VPN,
•
konfiguraci omezení, zaručení, případně upřednostnění sít’ového provozu (Quality of Service),
•
účtování přenesených dat, včetně detailního nastavení hierarchické struktury sítí, přístupových práv
apod.
2.2. soLNet filebox
soLNet filebox je server určený ke sdílení souborů s možností úplné konfigurace přístupových práv pro
uživatele i skupiny. Data na serveru jsou přístupná i po vypnutí všech pracovních stanic v síti.
soLNet filebox nabízí:
•
přístup k firemním souborům odkudkoliv z Internetu,
•
jednodušší práce se soubory jiných uživatelů,
•
možnost nasdílet data skupinám zaměstnanců podle definovaných přístupových práv,
•
velkokapacitní datový prostor, který je k dispozici celé firmě,
•
rozdílové zálohování, které probíhá v noci na speciálně určený zálohovací disk,
•
periodickou antivirovou kontrolu dat na serveru.
viii
Úvod
2.3. soLNet mailbox
soLNet mailbox je poštovní server vyšší kategorie, který nabízí mimo standardního protokolu POP3
také kvalitnější a preferovaný protokol IMAP (viz kapitolu IMAP versus POP3), libovolný počet
domén, poštovních účtů a skupin. Samozřejmostí jsou sdílené uživatelské schránky, firemní sdílené
kontakty, správa přeposílání, nastavení maximální velikosti poštovní schránky, webové a wapové
rozhraní pro práci s poštou, kompatibilita s rozšířenými poštovními klienty (Mozilla Thunderbird, MS
Outlook) a mnoho dalšího. Součástí serverových služeb je také antivirový a antispamový systém, který
automaticky kontroluje průchozí poštu na serveru. Díky přístupovým právům lze jasně oddělit
jednotlivé domény. Lze tedy bezpečně pronajmout části serveru dalším subjektům.
soLNet mailbox nabízí:
•
zabezpečení důvěrných dat firemní pošty v lokální firemní síti,
•
rychlou práci s poštou,
•
rychlé doručování pošty do lokálních domén,
•
přístup k poště z jakéhokoliv počítače v síti,
•
možnost blokování nevhodných příloh v poště.
•
antivirový systém běžící na centrálním serveru,
•
podpora WapMailu a WebMailu.
•
přístup k poště a doručování pošty i při výpadku připojení k Internetu.
•
rozdílové zálohování, které probíhá v noci na speciálně určený zálohovací disk,
•
podpora pro teoreticky neomezené množství současně připojených uživatelů (záleží jen na
výkonnosti hardwaru),
•
podpora skupinových a veřejných poštovních složek a úplná konfigurace přístupových práv pro
uživatele a skupiny,
•
stejně rychlý přístup k poště pro všechny uživatele ve VPN,
•
šifrované protokoly pro přístup k poště,
•
centrálně spravované kontakty s možností nastavení přístupových práv.
•
podporu sdílených kalendářů.
2.4. soLNet AVirCheck
soLNet AVirCheck je samostatný software, který je dodáván jako součást soLNet fileboxu, soLNet
mailboxu a soLNet multiboxu. Funguje jako antivirový štít, který automaticky kontroluje příchozí a
odchozí poštu nebo data na souborovém serveru. AVirCheck nejčastěji běží v součinnosti s velice
kvalitním a bezpečným poštovním serverem Exim, podporuje však i další nejběžnější poštovní servery
jako jsou Sendmail, Qmail nebo Postfix.
ix
Úvod
Systém soLNet AVirCheck je dodáván s licencí výkonného a často aktualizovaného (téměř každý
druhý den) systému Dr.WEB. O jeho kvalitách svědčí také opakovaně udělené ocenění prestižním
magazínem Virus Bulletin.
Vlastnosti systému soLNet AVirCheck:
•
vysoká konfigurovatelnost,
•
vyhledávání virů v komprimovaných přílohách,
•
blokování příloh specifikovaných typů podle přípon (preventivně zabrání přijení neznámých virů),
•
zahození zprávy s virem nebo se zakázanou přílohou a automatické informování správce,
•
hlášení o nedoručení dopisu s virem či blokovanou přílohou je možné zasílat i původnímu adresátovi
dopisu,
•
antitivirovou kontrolu lze provádět současně několika antivirovými systémy,
•
automatická aktualizace databáze známých virů.
2.5. soLNet multibox
Multiserverové řešení soLNet multibox vzniklo spojením soLNet firewallu, soLNet mailboxu, soLNet
fileboxu a soLNet AVirChecku do jednoho cenově výhodnějšího balíku. S produktem soLNet multibox
zákazník obdrží poštovní server s antivirem, firewall, WWW a FTP proxy, souborový server, DHCP
server, sdílené kontakty a další služby. V současné době nabízíme soLNet multibox dimenzovaný pro
10, 20, 50, 100, 500 nebo 1000 uživatelů. Požadavek na vyšší počet uživatelů, VPN nebo clustery
prosím konzultujte s našimi odborníky.
x
Kapitola 1. Přihlášení
Pro přístup do Administrace je potřeba zadat do webového prohlížeče jako URL adresu vašeho serveru
(např. https://mail.vasefirma.cz.). V URL musí být rovněž specifikován protokol; bud’ http pro
nezabezpečený přístup nebo https pro přístup zabezpečený pomocí SSL.
Tip: Pro přístup odjinud než z lokální sítě doporučujeme používat bezpečnější protokol https,
který zamezuje odposlechu a případnému zneužití přihlašovacích údajů.
Pro přihlášení do Administrace je nutné znát přihlašovací jméno a heslo. Jako jméno lze používat i
přezdívky účtů. Při instalaci serveru obdrží administrátor první heslo. Přístup do Administrace ovšem
mohou mít i jiní uživatelé, kterým umožňuje přístup administrátor. Ten může současně nastavit, ke
kterým objektům bude mít takový uživatel přístup. Toho lze využít například při pronajímání domén
jiným zákazníkům. Ti pak mohou v Administraci plně ovládat svoji doménu a účty v ní, ale neuvidí
ostatní domény ani je nebudou moci nijak ovlivňovat.
Obrázek 1-1. Přihlášení do Administrace
1.1. Proč se nelze přihlásit?
Jestliže se pokus o přihlášení do Administrace nezdaří, jedná se zřejmě o jednu z následujících příčin:
•
Chybně zadané uživatelské jméno nebo heslo – pamatujte, že při zadávání těchto údajů záleží na
velikosti písmen a pokud nemáte přednastavenu správnou přihlašovací doménu, musíte jako jméno
zadat celou svou e-mailovou adresu.
•
Uživatel nemá administrační práva – do Administrace se může přihlásit pouze uživatel, který k tomu
má oprávnění. Více v kapitole Nastavení účtu.
V případě nejasností ohledně přihlašovacího jména a hesla, kontaktujte svého administrátora.
1
Kapitola 2. Navigace
K Administraci se přistupuje přes Internet prostřednictvím webového prohlížeče. Po přihlášení uvidíte
pracovní plochu, která je rozdělena na tři svisle oddělené oblasti.
•
Levý sloupec obsahuje záložky, které popisují jednotlivé položky nabídky pro aktuální objekt. Počet
záložek se může lišit podle konkrétní instalace serveru.
•
Střední pracovní část obsahuje seznamy a formuláře pro práci se zvolenou položkou. Důležitá
informace se zobrazuje v horní části obrazovky v červeném obdélníku. Je tam obvykle název
domény nebo jméno účtu, v jehož konfiguraci se právě nacházíte. K přepínání do vyšších úrovní
nabídek slouží tlačítko Nahoru, které se nachází v levém horním rohu obrazovky. Pouze v nejvyšší
úrovni Administrace se změní na tlačítko Odhlásit.
•
Sloupec napravo obsahuje rychlou nápovědu pro aktuálně zobrazený formulář.
Obrázek 2-1. Hlavní nabídka Administrace
2.1. Záložky
Záložky v sloupci nalevo se mění podle toho, jaký objekt máte aktuálně zvolen. Název objektu je
zobrazen v červeném obdélníku v horní středové části obrazovky. Na obrázcích níže je vidět nabídka
pro doménu a nabídka pro uživatele v doméně.
2
Obrázek 2-2. Nabídka pro zvolenou doménu
Obrázek 2-3. Nabídka pro zvoleného uživatele
2.2. Vyhledávání
Formulář v této sekci slouží k rychlému nalezení účtu, skupiny, domény nebo subdomény na serveru.
Do prvního vstupního pole před znakem @ se vpisují jména nebo části jmen pro účty a skupiny, do
druhého pole pak jména nebo části jmen doména a subdomén. Při vyhledávání lze využít znaku *,
který nahrazuje libovolný počet jiných znaků. Zadáním samotné hvězdičky se zobrazí všechny účty a
skupiny, respektive domény. Kliknutím na název nalezeného objektu se přepnete do podrobného
nastavení v příslušné sekci.
3
V tabulce Souhrnné informace jsou uvedeny nastavené limity pro počty objektů, povolených služeb na
serveru a diskový prostor vymezený pro poštovní schránky. Červená čísla znamenají, že limit byl
dosažen nebo překročen. Nevyplněná hodnota znamená, že limit není nastaven. Tlačítkem Podrobné
informace se zobrazí všechny limity u všech dostupných služeb pro jednotlivé objekty.
Obrázek 2-4. Příklad vyhledávacího filtru nad účty a doménami
4
Kapitola 3. Domény
V záložce Domény vidíte seznam domén na vašem serveru. Každá doména může obsahovat
subdomény, skupiny a poštovní účty. Domény musí být vytvořeny dříve, než začnete zakládat poštovní
účty nebo skupiny.
Obrázek 3-1. Domény
Pokud vytváříte novou doménu, vložte do vstupního pole její název a klikněte na tlačítko Přidat. V
názvu smíte použít pouze malá písmena, číslice a pomlčku. Jednotlivé části domény se oddělují tečkou.
Tlačítkem Smazat zrušíte včechny označené domény, pokud jsou prázdné, tedy neobsahují žádné
subdomény, skupiny, ani účty. Před úplným zrušením neprázdné domény musíte nejprve ručně smazat
její obsah.
3.1. Přehled
V této záložce můžete sledovat souhrnné informace o nastavených limitech na doméně, o zaplnění
poštovních schránek doménových účtů a udržovat fakturační a technický kontakt k doméně.
3.1.1. Informace o limitech
V tabulce Souhrnné informace jsou uvedeny nastavené limity pro počty objektů, povolených služeb na
doméně a diskový prostor vymezený pro poštovní schránky. Červená čísla znamenají, že limit byl
dosažen nebo překročen. Nevyplněná hodnota znamená, že limit není nastaven. Je-li vyplněn sloupec
zbývá, jsou počty položek omezeny profilem této domény, nadřazené domény, nebo celého serveru. V
případě, že je limit nastaven na samotné doméně a současně i na nadřazené doméně nebo na serveru,
pak se aplikuje nejnižší limit ze všech.
5
Kapitola 3. Domény
Obrázek 3-2. Limity pro doménu
3.1.2. Zaplnění poštovních schránek
Tlačítkem Zobrazit se vypíše seznam poštovních schránek, které odpovídají aktuálně nastavenému
testu. Tento seznam můžete uložit jako textový soubor tlačítkem Exportovat do CSV a následně ho
otevřít nepříklad v tabulkovém procesoru. Tlačítkem Přidat upozornění.. můžete zadat e-mailovou
adresu, na kterou se zašle upozornění, pokud zaplnění některé schránky splní zadanou podmínku.
Výsledné pravidlo se přepíše pod formulář, jak je vidět na obrázku níže.
Test zadaných pravidel se provádí každou noc a upozornění pro každý z nich se zasílá jen tehdy, pokud
daný test uspěje na nějaké schránce. Upozornění na přeplnení schránky, které je nasměrováno do té
stejné schránky bude čekat na doručení, dokud se ve schránce neuvolní místo. Ovšem obecně platí, že
první zpráva, která překročí kvótu dané schránky se ještě doručí celá.
Obrázek 3-3. Kontrola zaplnění schránek
6
Kapitola 3. Domény
3.1.3. Administrační kontakt
Kontaktní informace u domény se využívají na serverech k automatickému zpracování plateb nebo
oznámení o technických zásazích na serveru. V zájmu každého správce serveru proto je, aby tyto údaje
byly vyplněny a byly aktuální.
Obrázek 3-4. Fakturační a technický kontakt domény
3.2. Účty, skupiny, subdomény
Všechny tyto záložky v menu pro domény vypadají a fungují prakticky stejně. Obsahují seznam
objektů daného typu, které doména obsahuje, vstupní pole a tlačítko Přidat pro nové objekty a tlačítko
Smazat pro rušení existujících.
7
Kapitola 3. Domény
Obrázek 3-5. Seznam skupin v doméně
V názvech účtů a skupin lze používat pouze malá písmena, číslice, tečku a pomlčku. V názvech
subdomén navíc nelze používat tečku, protože ta v názvu odděluje domény vyšších řádů. U
jakéhokoliv názvu nového objektu stačí zadat jeho lokální část; doména, pro kterou se vytváří, se
doplní automaticky.
Při smazání účtu nebo skupiny bude smazána rovněž pošta, kterou daný objekt obsahuje. Subdoménu
nelze smazat, pokud obsahuje nějaké účty nebo skupiny.
3.3. Počítače
V této záložce menu pro domény je seznam počítačů, které administrátor do domény připojil.
Označením a smazáním konkrétního počítače z tohoto seznamu ho z domény vyjmete.
Obrázek 3-6. Seznam počítačů v doméně
8
Kapitola 3. Domény
3.4. Povolené služby
3.4.1. Doručování pošty
Pokud je tato služba povolena, doména bude přijímat e-mailové zprávy a zprávy adresované do
neexistujících účtů v doméně bude přesouvat do doménového koše, jinak se příchozí pošta vrací
odesílateli. Správa pošty je podrobně popsána v manuálu Administrace.
3.4.2. DNS (vedení záznamu)
Povolením této služby se do konfigurace lokálního jmenného serveru (DNS) zřídí nový záznam. Ten
slouží pro překlad IP adres na doménová jména, obsahuje přezdívky (aliasy) pro kanonický název
domény, MX záznamy pro doručování pošty apod. Tyto údaje jsou obsaženy v implicitní šabloně pro
nové domény, která je uložena v souboru /etc/bind/hosting.db. Implicitní obsah zóny záleží na
konkrétním serveru, je nastaven při konfiguraci hostingové části administrace a musí zohledňovat
distribuci zón na sekundární nameservery.
Pokud máme zřízen záznam pro doménu priklad.cz, lze z pohledu správce změnit obsah zóny
vytvořením souboru /etc/bind/zones/priklad.cz, který se při novém generování konfigurace
jmenného serveru pro danou doménu použije přednostně. Nejjednodušší způsob, jak tento soubor
vytvořit, je zkopírovat původní soubor hosting.db právě do adresáře /etc/bind/zones/, kde jej
přejmenujete a můžete modifikovat. Aby se však výsledná zóna skutečně použila, je nutné v ní
modifikovat klíč Serial, nejlépe zvýšením jeho hodnoty o 1. Po ruční změně konfigurace je třeba
přegenerovat konfigurační soubory příkazem sasschedule generate_domain_configs. Tento
příkaz zajistí restart všech služeb, jejichž konfigurace se změnila.
3.4.3. Web (virtuální server)
Pokud povolíte službu Web, vytvoří se v konfiguraci webového serveru pro danou doménu kořenový
adresář pro data a konfigurace takzvaného virtuálního serveru, který zajistí přístup k doméně přes
Internet. To znamená, že se do souboru /etc/apache/hostings.conf přidá záznam Virtualhost
pro virtuální server podle šablony /etc/solnet/templates/ apache/default.tmpl. Je
možné tímto způsobem generovat více virtuálních serverů, implicitně se vytváří pro doménu priklad.cz
rovněž alias pro přístup na Internet www.priklad.cz.
Vygenerovaný virtuální server lze modifikovat dvěma způsoby. Oba jsou definovány v implicitní
šabloně. Opět pro názornost uvažujme novou doménu priklad.cz:
•
Do souboru /etc/apache/virtualhosts/priklad.cz lze vložit úplně novou konfiguraci
virtuálního serveru. Pokud tento soubor existuje, použije se místo již vygenerované konfigurace.
9
Kapitola 3. Domény
•
Do souboru /etc/apache/includes/priklad.cz se ukládají drobné úpravy, které nepřepíší
celou konfiguraci, ale pouze se při jejím generování vloží na konec souboru s původní konfigurací
virtuálního serveru.
Implicitní šablona obsahuje alias /stats pro přístup ke generovaným statistikám návštěvnosti s
implicitním přístupem pro všechny uživatele v dané doméně. Nejjednodušší způsob, jak modifikovat
vygenerovaný virtuální server, je zkopírovat si příslušnou část souboru
/etc/apache/hosting.conf do svého /etc/apache/virtualhosts/priklad.cz. Po
ruční změně konfigurace je třeba přegenerovat konfigurační soubory příkazem sasschedule
generate_domain_configs. Tento příkaz zajistí restart všech služeb, jejichž konfigurace se
změnila.
3.5. Doménový koš
Doménový koš je jedna nebo více poštovních schránek, do kterých se ukládají e-mailové zprávy, které
jsou adresovány do domény, ale cílový účet v ní neexistuje. Jako doménový koš můžete použít
libovolný existující účet v doméně.
Pokud nemáte v doméně aktivní doménový koš, zpráva směřující do schránky, která v doméně
neexistuje, se vrátí odesílateli s informací o nedoručitelnosti. V opačném případě se uloží do koše a
odesílatel není informován o ničem.
Záložka Doménový koš je v nabídce pro konkrétní doménu. Koš se aktivuje zatrhávacím políčkem
nahoře, ale nastavení tohoto políčka je ještě potřeba potvrdit tlačítkem Použít. Schránek pro doménový
koš může být více. Nové nastavíte pomocí vstupního pole.
Obrázek 3-7. Doménový koš
10
Kapitola 3. Domény
3.6. Databáze
Na hostingu s Administrací lze provozovat databáze typu MySQL a PostgreSQL. Rozhraní v
Administraci slouží pouze k zavedení organizační struktury pro databáze v jednotlivých doménách a k
přehledu nad uživateli, kteří k nim mají určitá oprávnění.
Databáze se zřizují pro každou doménu zvlášt’ v záložce Databáze dostupné v bočním menu
Administrace. Každá databáze v doméně má v názvu předvyplněnu předponu, která je jednoznačná pro
celý server. Pro první zřizovanou databázi daného typu v dané doméně je nutné kromě jejího jména
zadat jméno a heslo pro administrátora, který bude mít všechny tyto databáze pod kontrolou.
Účty pro přístup k databázím jsou nezávislé na již existujících účtech v Administraci, poněvadž
databáze typu MySQL a PostgreSQL používají vlastní správu uživatelských účtů a přístupová práva k
nim. Nelze ani kombinovat účty k různým typům databází, ovšem není obvyklé, aby v rámci jedné
domény byly zřízeny databáze více typů. Podrobné nastavení přístupových práv k jednotlivým účtům
nebo kódování pro databázi se již provádí ve webovém rozhraní, které je přímo určeno ke správě
jednotlivých databází. Přístup k nim a odkaz na oficiální dokumentaci jsou uvedeny níže.
•
MySQL – https://nazev_primarniho_serveru/phpmyadmin, seriál v češtině
(http://www.linuxsoft.cz/article_list.php?id_kategory=215), oficiální dokumentace
(http://www.phpmyadmin.net/documentation/) (anglicky).
•
PostgreSQL – https://nazev_primarniho_serveru/phppgadmin, seriál v češtině
(http://www.linuxsoft.cz/article.php?id_article=304), informační wikiweb
(http://postgresql.interweb.cz/index.php/Hlavn%C3%AD_strana) k databázi PostgreSQL.
nazev_primarniho_serveru je adresa vašeho hostingu, ke kterému existuje reverzní záznam pro
IP adresu serveru.
Obrázek 3-8. Zřízené databáze v doméně
Pod tabulkou zřízených databází je seznam uživatelů, kteří mají nějaká oprávnění pro přístup k nim.
Administrátoři pro jednotlivé typy databází jsou v seznamu vyznačeni tučným písmem. Pro nového
11
Kapitola 3. Domény
uživatele určíte pouze typ databáze, jméno a heslo. Heslo lze změnit nebo prohlédnout kliknutím na
jméno uživatele v tabulce.
Poznámka: Na serveru existuje také tzv. superadministrátor (obvykle uživatel admin@), který v
hlavním menu Administrace vidí položku Globální databáze. Pro tu neplatí organizační struktura
databází v doménách. Tento uživatel je také jediný, který smí vytvářet databáze, jejichž název
nebude začínat vygenerovanou předponou.
3.7. Webhosting
Pro doménu přístupnou z Internetu lze v Administraci WebISu nastavovat následující služby.
Implicitně jsou povoleny pouze služby PHP a PHP Safe Mode.
•
Aliasy – alias je jiné jméno pro doménu, pod kterým lze k této doméně přistupovat přes HTTP nebo
HTTPS. Alias domény nelze používat při přihlašování na server ani při odesílání pošty. Doména i
její alias musí být korektně zaregistrovány v DNS. Počet aliasů k doméně není omezen. Pro každou
založenou doménu se v nastavení serveru automaticky vytvoří alias začínající na www, který se
nezobrazuje. Tedy např. k doméně priklad.cz se lze ihned po založení přistupovat i pod aliasem
www.priklad.cz. Toto se týká pouze samotné domény, nikoliv ručně zakládaných aliasů.
Poznámka: Používání aliasů může u některých vyhledávacích služeb snižovat hodnocení
webových stránek, protože jiná webová adresa ve skutečnosti zobrazuje stejné stránky. Za to
může automatický program indexující obsah Internetu (web-crawler, spider) udělit dané stránce
penalizaci za duplicitní obsah. Výsledkem může být nižší návštěvnost stránek. Vhodnější
varianta je používat přesměrování, viz níže.
•
PHP – aktivuje aktuální verzi PHP, která je nainstalovaná na serveru. Přepínat mezi jinými verzemi
PHP není možné. Tato služba je implicitně povolena.
•
PHP Safe Mode – tzv. bezpečný režim PHP aktivuje bezpečnostní omezení pro spouštění některých
zneužitelných příkazů. V tomto režimu například nelze pracovat se soubory, které vlastní jiný
uživatel než je vlastník spouštěného skriptu. Pokud je bezpečný režim zakázán, představuje to
bezpečnostní riziko pro celý server, protože jsou potenciálně ohrožena i data jiných uživatelů.
Některé aplikace v PHP jsou však naprogramovány tak, že v bezpečném režimu nefungují. Tato
služba je implicitně povolena, z bezpečnostních důvodů ji může vypnout pouze superadministrátor
serveru.
•
FileInfo – umožňuje používání sady direktiv webového serveru pro manipulaci s typy MIME a
metadaty dokumentů, a pro provádění přepisovacích pravidel nad URL prostřednictvím souboru
.htaccess. Podrobnější informace jsou k dispozici na oficiálních stránkách dokumentace k serveru
Apache (http://httpd.apache.org/docs/2.2/mod/core.html#allowoverride).
12
Kapitola 3. Domény
•
WebDAV – tato služba rozšiřuje protokol HTTP a umožňuje uživatelům kolektivně pracovat se
soubory prostřednictvím Internetu. Je možné se připojit ke vzdálenému adresáři a pracovat s ním
jako s lokálním.
•
HTTPS – nadstavba komunikačního protokolu HTTP, která umožňuje zabezpečené přenosy dat.
Server musí mít nainstalovaný ověřený certifikát a HTTPS potom umožňuje autentizovat jednotlivá
spojení nebo je šifrovat pomocí SSL nebo TLS.
•
Výpis adresářů – při vstupu na URL, které není zakončeno jménem stránky ale adresářem, se
implicitně hledá předem definovaný soubor a ten se zobrazí. Nejčastěji to bývá soubor index s
možnými příponami htm, html, php, php4 nebo php5. Pokud takový soubor neexistuje a tato služba
není povolena, pak webový server vrátí chybové hlášení HTTP Error 403.14 – Forbidden: Directory
listing denied. V opačném případě se obsah adresáře vypíše. Nastavení platí pro celý domovský
adresář domény, ale lze jej pro konkrétní adresář překonfigurovat.
•
Přesměrování – přesměrování domény je další způsob pro používání jiného názvu pro stejnou
doménu. Při přesměrování dochází ke změně URL. Používá se např. při přestěhování nebo
přejmenování domény, nebo při spojení dvou domén do jedné. Ve vztahu k vyhledávacím službám je
přesměrování výhodnější než aliasy, protože neznamená riziko penalizace ze strany automatických
programů indexujících obsah Internetu za duplicitní obsah.
•
Periodické stahování stránky – pokud je potřeba v rámci webu domény pravidelně spouštět obslužný
skript, je možné periodicky přistupovat ke stránce, která jej obsahuje. Toto automaticky obstarává
program cron v hodinových nebo jednodenních intervalech.
Obrázek 3-9. Nastavení webhostingu u domény
13
Kapitola 3. Domény
3.8. Volitelné položky objektů
Ke kontaktům a událostem WebISu lze přidávat vlastní položky. Jejich nastavení je v Administraci
WebISu u domény, v záložce Další nastavení a nabídce Volitelné položky kontaktů resp. Volitelné
položky událostí. V principu je nastavení pro všechny typy objektů stejné. U každé volitelné položky
lze nastavit následující údaje:
•
název položky – žádné dva názvy nemohou být stejné.
•
typ – u některých polí se kontroluje správnost zápisu položky. Pro typ výběrové menu se jednotlivé
možnosti pro výběr uvádí v následujícím tvaru: název_menu
{položka1/položka2/položka3}. Počet položek není omezen.
•
filtr – pokud je toto pole zaškrtnuto, bude možné podle obsahu dané položky vyhledávat v knize
nebo kalendáři speciálním filtrem a bude možné také zobrazovat volitelnou položku jako sloupec v
seznamu objektů.
•
zobrazit v záložce – volitelnou položku lze zobrazovat i v některé existující záložce nastavení
objektu, implicitně je zvolena nová záložka Volitelné položky.
Obrázek 3-10. Volitelné položky u kontaktu WebISu
Obrázek 3-11. Nastavení volitelných položek
14
Kapitola 3. Domény
Obrázek 3-12. Zobrazení volitelné položky v seznamu a vyhledávání pomocí speciálního filtru
15
Kapitola 4. Účty
Uživatelské účty reprezentují fyzické e-mailové schránky. Protože na serveru může být mnoho
nezávislých domén, nemají uživatelské účty globální platnost, ale je vždy nutné určit jejich příslušnost
do dané domény.
4.1. Vytvoření a smazání účtu
Před vytvořením poštovního účtu je nejprve potřeba vybrat doménu, do které účet bude patřit. Po
zvolení domény se zobrazí seznam účtů, které do ní patří. Tlačítkem Přidat.. nebo stejnojmennou
volbou v menu Účty vytvoříte nový účet. Stačí zadat lokální část adresy nového účtu. V názvu účtu
můžete použít pouze malá písmena bez diakritiky, číslice, tečku a pomlčku. Označené účtu a všechnu
poštu v nich můžete zrušit volbou Smazat, která je rovněž v menu Účty. Pokud je pro účet vytvořen
kontakt v doménové knize, zůstane po smazání účtu zachován.
Mazání účtů je omezeno pouze nastavením přístupových práv. Členství ve skupinách či neprázdný
obsah schránky daného účtu nemá na možnost smazání účtu žádný vliv s výjimkou případu, že je tento
účet jediným členem skupiny, která má v menu Povolené služby zatrženu volbu Doručování poštu a
současně v menu Přeposílání volbu Přeposílat členům skupiny.
Poznámka: Pravidla pro pojmenovávání účtů by měla být jednotná pro celou doménu. Každý účet
by měl jednoznačně identifikovat svého majitele, ponechat dostatečný prostor pro přidání dalších
účtů a být snadno zapamatovatelný jak pro svého vlastníka, tak pro další uživatele. Nejčastěji
používaná konvence je [email protected]. Je zcela nevhodné pojmenovávat účty
různými zkratkami, přezdívkami apod.
Při velkém množství účtů je užitečné používat filtry – menu Filtr obsahuje několik vyhledávacích
kritérií. Při vyhledávání je možno zadávat podřetězce, ale nejsou podporovány žádné zástupné znaky.
Obrázek 4-1. Vytvoření účtu
16
Kapitola 4. Účty
4.2. Konfigurace účtu
Pouhé vytvoření účtu ke správnému fungování nestačí. Následuje popis jednotlivých nabídek účtu.
4.2.1. Nastavení
Přihlašovací jméno slouží k přístupu ke službám na serveru jako je WebIS, IMAP apod.
Jméno a příjmení představuje skutečné jméno vlastníka účtu, které se například přidává do hlaviček
e-mailových zpráv.
Max. vel. schránky neboli kvóta určuje v megabytech velikost diskového prostoru, který má daný účet
k dispozici pro poštu. Pokud zůstane hodnota nevyplněna, nastaví se maximum automaticky na 2 GB.
Zpráva, která kvótu překročí, se ještě do schránky uloží, další příchozí zprávy zůstanou ve frontě
poštovního serveru.
Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontaktů. Nově
vytvořený účet nemá kontakt v této knize vytvořen. Viz kapitolu o sdílených kontejnerech.
Obrázek 4-2. Konfigurace účtu
17
Kapitola 4. Účty
4.2.2. Heslo
Na tomto místě nastavujete uživateli heslo, zpravidla před prvním přihlášením, případně když si ho
zapomene. Uživatel, který nemá nastaveno žádné heslo, se nebude moci přihlásit k žádné službě na
serveru.
Důležitost správně zvoleného hesla se často podceňuje. Lidé někdy alespoň vědí, že by ve svém hesle
měli používat nealfanumerické znaky, což ale leckdy končí tak, že si volí hesla jako Dana22, Kam1l
nebo něco ještě jednoduššího. Takové heslo potenciální aktivní útočník s pomocí softwarových nástrojů
odhalí během několika sekund. Následuje několik jednoduchých pravidel, jak správně volit heslo.
•
Heslo by mělo být v ideálním případě alespoň osm znaků dlouhé.
•
V hesle se rozlišují velká a malá písmena. Je dobré je kombinovat.
•
Kvůli snazšímu zapamatování hesla je vhodné si pro něj zvolit nějakou mnemotechnickou pomůcku.
Například heslo [poASDDF je vytvořeno ze znaků, které jsou blízko u sebe na klávesnici, heslo
87del21 je pozpátku zadané datum 12. ledna 1978 apod.
•
Není doporučeno do hesla vkládat celá slova, obzvláště ne vlastní jména.
Je užitečné o těchto pravidlech uživatele poučit.
Obrázek 4-3. Heslo
4.2.3. Povolené služby
V této nabídce jsou vidět služby, které jsou na serveru nainstalovány. Jejich počet se může lišit v
závislosti na tom, jaký serverový produkt máte zakoupen. Na obrázku níže je vidět nabídka serveru,
který obsahuje všechny služby.
18
Kapitola 4. Účty
•
Administrace – pokud je služba povolena, bude se moci uživatel přihlásit do Administrace. Jeho
možnosti pro prohlížení a editaci různých nastavení s zcela odvíjí od nastavení přístupových práv
jednotlivých objektů. Tato služba implicitně není povolena.
•
Antispamová kontrola pošty – pokud je služba povolena, přidávají se k příchozím zprávám hlavičky
s bodovým ohodnocením programu SpamAssassin. To udává relativní pravděpodobnost, že zpráva
je spam. Uživatel pak může příchozí poštu na základě těchto hlaviček sám třídit pomocí filtrovacích
pravidel. Více o antispamovém systému najdete v příslušné kapitole. Tato služba je implicitně
povolena.
•
Antivirová kontrola pošty – pokud je služba povolena, bude kontrolovat příchozí i odchozí pošta na
přítomnost virů. Více o antivirovém systému najdete v příslušné kapitole. Tato služba je implicitně
povolena.
•
Doručování pošty – pokud je zakázáno doručování pošty do schránky účtu, chová se systém tak,
jako by daný účet neexistoval, tedy zejména doručuje poštu směřující na tento účet do doménového
koše, pokud je nějaký definován. V opačném případě se vrací odesílateli jako nedoručitelná. Tato
služba je implicitně povolena.
•
FTP – pokud je služba povolena, bude mít daný uživatel v adresáři Others/www své domovské
složky přístupný kořenový adresář své domény. Do něj je možné nahrávat soubory, které budou
přístupné na Internetu přes HTTP. Tato služba není implicitně povolena.
•
Přístup k poště – tato služba umožňuje provoz některého protokolu na výběr pošty. Současně jsou k
dispozici IMAP, POP3 a WapMail. Pokud je tato služba zakázána, nebude mít uživatel ve WebISu k
dispozici sekci Pošta. Tato služba je implicitně povolena.
•
Přihlašování pomocí modemu – tato služba umožňuje připojení přes komutovanou linku k serveru
Radius, který při provozu modemu ověřuje přihlašovací údaje a zaznamenává čas připojení uživatele
a množství přenesených dat. Tato služba není implicitně povolena.
•
Souborový server – tato služba umožňuje připojení k serveru Samba, na který se ukládají sdílené
soubory. V závislosti na nastavení přístupových práv jednotlivých souborových složek server
jednorázově ověří heslo při pokusu uživatele vstoupit do dané složky. Ovšem i v případě, že má
uživatel tuto službu zakázánu, bude mít přístup do těch sdílených složek, které jsou veřejné a
umožňují anonymní přihlášení. Tato služba je implicitně povolena.
•
Odesílání pošty – tato služba umožňuje odesílání pošty přes SMTP přihlášenému uživateli
odkudkoliv z Internetu. Pokud není povolena, uživatel se nemůže přihlásit, ale může odesílat poštu
anonymně, pokud je v lokální síti.
•
WapMail – tato služba explicitně umožňuje přístup k libovolným datům přes WAP. V případě
WebISu je to pošta a kontakty. Jako adresu pro připojení přes WAP použijte ve svém mobilním
zařízení běžnou adresu pro přístup k WebISu na vašem pracovišti a za ni napište /wapmail. Tedy
například http://mail.priklad.cz/wapmail. Následně zadejte stejné přihlašovací údaje jako do
WebISu. Tato služba je implicitně povolena.
•
Webis – tato služba umožňuje přihlášení do WebISu a je implicitně povolena.
19
Kapitola 4. Účty
Obrázek 4-4. Povolené služby
4.2.4. Přezdívky
Jeden uživatel může pro přijímání pošty současně používat více jmen pro svůj e-mailový účet. Těmto
jménům se říká přezdívky. Přezdívku lze se skutečným názvem účtu zaměňovat nejen při zasílání pošty
na tento účet. Lze ji také využívat jako přihlašovací jméno do WebISu nebo Administrace. Nelze ji
však použít pro přihlášení ke službám IMAP, POP3, SMTP apod. Přezdívka má vždy stejnou doménu
jako účet, ke kterému patří.
Obrázek 4-5. Přezdívky
20
Kapitola 4. Účty
4.2.5. Přeposílání pošty
Pokud v této nabídce není vyplněna žádná mobilní ani e-mailová adresa, pak se pošta vždy doručuje do
schránky účtu.
Před odesláním pošty na SMS bránu mobilní adresy se z e-mailu odstraní přílohy, přebytečné znaky,
mezery, zruší se diakritika a text se převede do zhuštěné podoby. Převod a odesílání na mobil lze
ovlivnit přepínači uvedenými za mobilní adresou:
•
S – pošle se pouze předmět zprávy.
•
P – SMS se rozdělí maximálně na tolik částí, kolik P zadáte.
•
L – neprovede se komprese vynecháním mezer (např. text zapomeň na to se jinak zhustí na text
ZapomenNaTo).
•
N – neprovedou se žádné úpravy textových částí zprávy.
•
D – nepřepošlou se zprávy, které přijdou z domény shodné s doménou účtu (na mobil nepůjdou
firemní zprávy).
•
U – přeposílají se i zprávy, které přijdou z adresy účtu.
•
R – při rozdělení zprávy na více SMS se tyto pošlou v normálním pořadí (standardně se posílají v
obráceném pořadí).
•
T – SMS se budou posílat pouze od 17:00 do 9:00 a o víkendu, tedy mimo pracovní dobu.
•
B – v SMS není uveden údaj o původní velikosti zprávy.
•
C – v SMS není uveden údaj o přesném čase, kdy byla zpráva přeposlána.
•
K – předmět zprávy se pošle v hlavičce Subject, nikoliv v těle zprávy.
•
Q – dočasně zadanou adresu zneaktivní, SMS se neposílá.
•
X – zpráva, která byla označena antispamem jako nevyžádaná, se nepřeposílá.
•
číslo – udává maximální velikost jedné SMS ve znacích. Standardně se velikost SMS spočítá podle
mobilního operátora (domény mobilní adresy).
Zadaná mobilní adresa s parametry tedy může vypadat např. takto: [email protected]
PPDT 50
Poznámka: Zakázat doručování do schránky má smysl, pokud je příliš plná nebo pokud vlastník
účtu již není v systému aktivní, ale přesto chce ještě přechodnou dobu dostávat poštu z této
adresy.
21
Kapitola 4. Účty
Obrázek 4-6. Přeposílání
4.2.6. Skupiny
Poštovní účty v rámci jedné domény mohou být organizovány do skupin, které slouží převážně pro
hromadnou distribuci pošty a pro hromadné nastavování přístupových práv. Přístupová práva uživatele
pak odpovídají součtu jeho přístupových práv a přístupových práv skupiny, jíž je členem.
V seznamu jsou vidět všechny skupiny v doméně. Členství v nich se zadává zaškrtnutím příslušného
políčka napravo. Účet může být i členem skupiny z jiné domény. V tom případě je ale třeba zadat celý
její název včetně domény. Nové nastavení členství ve skupinách potvrd’te tlačítkem Použít.
Člen skupiny získá práva skupiny, která jsou jí přidělena ke konkrétním objektům (kontakty, sdílené
složky apod.). Účet ovšem nepřebírá nastavení povolených služeb z nastavení skupin.
Obrázek 4-7. Skupiny
22
Kapitola 4. Účty
4.2.7. Souborový server
V této nabídce máte možnost konfigurovat souborový server pro jednotlivého uživatele. Ačkoliv je
výhodnější a jednodušší mít přihlašovací skripty a domovské adresáře definovány společně pro celou
doménu, v některých výjimečných případech může být potřeba nastavit je jinak. Popis nastavení
jednotlivých položek je popsán v příslušné části kapitoly o souborovém serveru.
V tomto formuláři je několik voleb navíc.
•
Výběrové menu Přihlašovací jméno umožní uživateli používat při připojování k souborovému
serveru bud’ výchozí jméno svého účtu nebo jednu z přezdívek. U přezdívky není třeba dodržovat
doporučené konvence pro pojmenovávání účtu, proto může být mnohem kratší.
•
Ve výběrovém menu Heslo lze nastavit bud’ výchozí heslo do WebISu nebo vlastní. Nové vlastní
heslo je potřeba uložit tlačítkem Použít zvlášt’.
•
Zaškrtávací pole Při dalším přihlášení změnit heslo donutí uživatele, aby při příštím připojení k
serveru změnil své heslo. Poté se tato volba automaticky vypne.
•
Zaškrtávací pole Možnost přeskočit změnu hesla lze uživateli umožnit ignorovat výzvu na změnu
hesla, která se ovšem bude zobrazovat při každém přihlášení, dokud si uživatel heslo nezmění.
•
Do pole Povolené pracovní stanice se píší jména počítačů připojených do domény, na kterých se
uživatel může přihlašovat. Pokud je pole prázdné, lze se připojovat na všechny dostupné stanice.
•
Obrázek 4-8. Nastavení přihlašování do domény pro uživatele
23
Kapitola 4. Účty
4.2.8. Další nastavení
Menu v této záložce obsahuje volby pro administrátorský přístup ke sdíleným kontejnerům. Dále
obsahuje nastavení přístupových práv a filtrovacích pravidel účtu.
Obrázek 4-9. Další nastavení účtu
4.3. Přístup k poště
Kromě WebISu lze poštu přijímat a odesílat i z externích poštovních klientů jako je Mozilla
Thunderbird nebo MS Outlook. Stačí vytvořit a nakonfigurovat účet. Při nastavování účtu pro naše
servery patří následující pravidla:
•
Server pro odchozí poštu (SMTP) musí mít nastaveno, že vyžaduje ověření uživatele, jak je pro
jednotlivé klienty popsáno níže. Server má totiž zakázáno přeposílání pošty z neznámých zdrojů
(tzv. open relay), což znamená, že pro odeslání pošty je potřeba jméno a heslo. Toto opatření brání
šíření spamu na Internetu.
•
Adresy pro servery příchozí a odchozí pošty jsou stejné, např. mail.priklad.cz .
•
E-mailová adresa a přihlašovací jméno uživatele jsou stejné, zejména tedy obě obsahují doménu,
např. [email protected] .
4.3.1. Přidání účtu v aplikaci Mozilla Thunderbird
Po prvním spuštění aplikace Thunderbird zvolte v hlavním menu Soubor -> Nový -> Účet... a
vyplňujte údaje v průvodci nastavení. Vzorově vytvořený účet můžete vidět na obrázku níže.
24
Kapitola 4. Účty
Obrázek 4-10. Vzorové nastavení nového účtu
Po potvrzení zadaných informací se účet vytvoří a po zadání hesla můžete přistupovat k poštovní
schránce na serveru.
Obrázek 4-11. Otevřená e-mailová zpráva
Aby bylo možno poštu korektně a bezpečně odesílat, je nutné ještě nastavit server pro odchozí poštu v
nabídce Nástroje -> Nastavení účtu... -> Server odchozí pošty (SMTP). Vzorové nastavení je opět na
obrázku níže.
25
Kapitola 4. Účty
Obrázek 4-12. Vzorové nastavení SMTP
4.3.2. Přidání účtu v aplikaci MS Outlook
Po prvním spuštění aplikace Outlook zvolte v hlavním menu Nástroje -> E-mailové účty... -> Přidat
nový e-mailový účet. Následně zvolte typ serveru, preferovaný je IMAP. Klepněte na Další a vyplňte
údaje k účtu podle následujícího obrázku.
Obrázek 4-13. Vzorové nastavení účtu
Aby bylo možno poštu korektně a bezpečně odesílat, je nutné ještě zapnout zabezpečený režim
komunikace (SSL) a nastavit ověřování jména a hesla pro server odchozí pošty v nabídce Nástroje ->
E-mailové účty... -> Zobrazit nebo změnit existující e-mailové účty. Následně v tabulce klepněte na
26
Kapitola 4. Účty
svůj účet a na tlačítko Změnit, dále na tlačítko Další nastavení a na záložky Server pro odchozí poštu a
Upřesnit. Vzorové nastavení je opět na obrázku níže.
Obrázek 4-14. Vzorové nastavení pro SMTP
27
Kapitola 5. Skupiny
Skupiny stejně jako poštovní účty nemají globální platnost, vždy musí patřit do nějaké domény. Jména
skupin nelze použít pro přihlašování ke službám na serveru, jako je WebIS nebo Administrace. Hlavní
funkcí skupin je zjednodušení hromadné distribuce pošty a nastavování přístupových práv.
5.1. Vytvoření a smazání skupiny
Před vytvořením skupiny je nejprve potřeba vybrat doménu, do které účet bude patřit. V záložce
Skupiny se zobrazí seznam skupiny, které do ní patří. Tlačítkem Přidat.. nebo stejnojmennou volbou v
menu Skupiny vytvoříte novou skupinu. Stačí zadat lokální část adresy nové skupiny. V názvu skupiny
můžete použít pouze malá písmena bez diakritiky, číslice, tečku a pomlčku. Označené skupiny a
všechnu poštu v nich můžete zrušit volbou Smazat, která je rovněž v menu Skupiny. Pokud je pro
skupinu vytvořen kontakt v doménové knize, zůstane po smazání skupiny zachován. Při smazání
skupiny zůstanou účty členů nedotčeny.
Poznámka: V případě nutnosti můžete zadat úplné jméno skupiny s jinou doménou a vytvořit ji
tím na jiném místě. Musíte mít ovšem pro tuto operaci v cílové doméně dostatečné oprávnění.
Při velkém množství skupin je užitečné používat filtry – menu Filtr obsahuje několik vyhledávacích
kritérií. Při vyhledávání je možno zadávat podřetězce, ale nejsou podporovány žádné zástupné znaky.
Obrázek 5-1. Seznam skupin
28
Kapitola 5. Skupiny
5.2. Konfigurace skupiny
Příklad 5-1. Vytvoření skupinove e-mailové schránky
Skupinová e-mailová schránka představuje jedno z možných využití skupin v doméně a vyžaduje
relativně nejvíce nastavování. Pokud skupina existuje, je nutné do ní přidat uživatele v záložce Členové
skupiny, dále umožnit příjem skupinové pošty v záložce Povolené služby a také nastavit oprávnění ke
skupině na stránce Další nastavení/Přístupová práva ke skupině tak, aby ji její členové mohli vidět, číst
a případně do ní zapisovat. Následně si uživatelé mohou tuto nově sdílenou poštovní složku přidat ve
WebISu mezi ty, ze kterých chtějí novou poštu číst.
5.2.1. Nastavení
Jméno skupiny slouží k jednoznačné identifikaci skupiny a používa se při nastavování přístupových
práv a doručování skupinové pošty.
Max. vel. schránky neboli kvóta určuje v megabytech velikost diskového prostoru, který má daná
skupina k dispozici pro poštu. Pokud zůstane hodnota nevyplněna, nastaví se maximum automaticky
na 2 GB. Zpráva, která kvótu překročí, se ještě do schránky uloží, další příchozí zprávy zůstanou ve
frontě poštovního serveru.
Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontaktů. Nově
vytvořená skupina nemá kontakt v této knize vytvořen. Viz kapitolu o sdílených kontejnerech.
Obrázek 5-2. Velikost schránky
29
Kapitola 5. Skupiny
5.2.2. Členové skupiny
V seznamu jsou vidět všechny účty v doméně, které lze do skupiny přidat. Zaškrtněte účty, které má
skupina obsahovat a klikněte na Použít. Ve skupině mohou být také účty z jiných domén, které existují
na serveru. Pro přidání takového cizího účtu je třeba zadat do vstupního pole jeho celé jméno a
kliknout na Přidat.
Člen skupiny získá práva skupiny, která jsou jí přidělena ke konkrétním objektům (kontakty, sdílené
složky apod.). Účet ovšem nepřebírá nastavení povolených služeb z nastavení skupin.
Obrázek 5-3. Členové skupiny
5.2.3. Přezdívky
Pro přezdívky skupin platí stejná pravidla jako pro přezdívky účtů.
Obrázek 5-4. Přezdívky
30
Kapitola 5. Skupiny
5.2.4. Povolené služby
V této nabídce jsou vidět služby, které jsou na serveru naistalovány. Jejich počet se může lišit v
závislosti na tom, jaký serverový produkt máte zakoupen. Je jich také méně než u účtů, poněvadž
jménem skupiny se nelze přihlašovat ke službám na serveru. Na obrázku níže je vidět nabídka serveru,
který obsahuje všechny služby.
•
Antispamová kontrola pošty – pokud je služba povolena, přidávají se k příchozím zprávám hlavičky
s bodovým ohodnocením programu SpamAssassin. To udává relativní pravděpodobnost, že zpráva
je spam. Příchozí poštu lze na základě těchto hlaviček třídit pomocí filtrovacích pravidel. Více o
antispamovém systému najdete v příslušné kapitole. Tato služba je implicitně povolena.
•
Antivirová kontrola pošty – pokud je služba povolena, bude kontrolovat příchozí i odchozí pošta na
přítomnost virů. Více o antivirovém systému najdete v příslušné kapitole. Tato služba je implicitně
povolena.
•
Doručování pošty – pokud je zakázáno doručování pošty do schránky skupiny, chová se systém tak,
jako by daná skupina neexistovala, tedy zejména doručuje poštu směřující na tuto skupinu do
doménového koše, pokud je nějaký definován. V opačném případě se vrací odesílateli jako
nedoručitelná. Pošta ve schránce skupiny je uživatelům přístupná jen tehdy, mají-li k ní přístupová
práva a mají-li ji zobrazenu mezi svými sdílenými schránkami ve stromu. Jelikož skupiny mohou být
čistě organizační bez požadavku na provoz skupinové pošty, není tato služba implicitně povolena.
Obrázek 5-5. Povolené služby
5.2.5. Přeposílání pošty
Pokud v této nabídce není vyplněna žádná mobilní ani e-mailová adresa, ani zaškrtnuto přeposílání na
adresy členů, pak se pošta vždy doručuje do schránky skupiny.
Pravidla pro přeposílání zpráv na SMS adresu jsou totožná jako pro přeposílání z účtů.
31
Kapitola 5. Skupiny
Poznámka: V případě, že se pošta pro skupinu ukládá do schránky skupiny, je nutné ji nasdílet,
aby k ní jednotliví členové, případně další uživatelé mohli mít přístup. Nasdílení je možné přes
záložku Přístupová práva. Blíže se touto problematikou zabývá kapitola o přístupových právech.
Obrázek 5-6. Přeposílání pošty
5.2.6. Další nastavení
Menu v této záložce obsahuje volby pro administrátorský přístup ke sdíleným kontejnerům. Dále
obsahuje nastavení přístupových práv a filtrovacích pravidel skupiny.
Obrázek 5-7. Další nastavení skupiny
32
Kapitola 6. Přístupová práva
6.1. Obecně o přístupových právech
Účty, skupiny, domény, kontakty, knihy kontaktů a další objekty v Administraci a WebISu nazveme
obecným termínem objekty. Každý objekt obsahuje informaci, kdo s ním může pracovat a jakým
způsobem. Tuto informaci pak nazýváme přístupovými právy daného objektu.
Přístupová práva se nastavují hierarchicky pro každý objekt nebo třídu objektů zvlášt’. Existuje tedy
globální nastavení práv pro celou Administraci, pro doménu, pro skupinu, pro účet apod. Taková
nastavení lze pro každý objekt nalézt v jeho nabídce v záložce Další nastavení jako poslední odkaz v
seznamu.
Obrázek 6-1. Umístění přístupových práv pro účet
6.2. Hierarchie přístupových práv
Pro každý objekt je možné nastavovat jak přístupová práva pro samotný objekt, tak speciální
přístupová práva, tzv. šablony nových objektů, které se kopírují do přístupových práv nově
vytvořených podobjektů.
Nejdůležitější a nejrozsáhlejší šablony nových objektů se nacházejí v kořeni stromu, který obsahuje
informace o přístupových právech všech nových objektů v systému. V případě vytvoření domény,
například "cz", se její práva nastaví podle šablon v kořeni stromu a současně se do ní z kořene zkopíruje
část šablon. Stejným způsobem se šablony i standardní práva kopírují z domény do účtů, skupin a
podobně, takže nastavení šablon z kořene stromu se postupně projeví ve všech úrovních stromu.
33
Poznámka: Pokud administrátor mění příslušnost uživatelů ve skupinách, pak se nové nastavení
těmto uživatelům projeví až po odhlášení a opětovném přihlášení do WebISu nebo Administrace.
Do té doby si systém stále pamatuje nastavení od posledního přihlášení a jím se řídí.
Obrázek 6-2. Přístupová práva a šablony pro celý server
6.3. Zadávání a rušení přístupových práv
6.3.1. Zadávání
Při zadávání práv u objektu je zapotřebí nejprve specifikovat uživatele, kterých se práva budou týkat.
Uživatele přidáte tlačítkem + Uživatel, které je úplně dole na stránce, více uživatelů můžete zadat za
sebe oddělené čárkou a k jejich výběru můžete využít ikonu knihy pro rychlý přístup ke kontaktům.
Uživatele je možné zadat těmito způsoby:
•
Jménem účtu – (např. [email protected]). Práva se týkají jediného uživatele.
•
Proměnnou "self" – u nových objektů náležících pod nějaký účet se převede na jméno daného účtu.
•
Hodnotou "cokoliv@self" – u nových objektů náležících pod nějakou doménu se převede na
"cokoliv@domena".
34
•
Proměnnou "author" – u nových objektů se převede na jméno uživatele, který daný objekt vytvořil a
zkopíruje se do práv šablony nových objektů, kam se přidá také jméno uživatele, který objekt
vytvořil. Lze zadávat pouze u šablon a při modifikaci přístupových práv se tedy nenahrazuje.
Skupiny přidáte tlačítkem + Skupina, které je úplně dole na stránce, více skupin můžete zadat za sebe
oddělené čárkou a k jejich výběru můžete využít ikonu knihy pro rychlý přístup ke kontaktům.
Skupiny je možné zadat těmito způsoby:
•
Názvem skupiny – (např. [email protected]). Práva kdy se práva týkají uživatelů zadané skupiny.
•
Hodnotou "@domena" – (např. @priklad.cz). Práva se týkají všech uživatelů v zadané doméně.
•
Hvězdičkou ("*") – práva se týkají všech uživatelů, i anonymních.
•
Proměnnou "self" – u nových objektů náležících pod nějakou skupinu se převede na název dané
skupiny.
•
Hodnotu "@self" – u nových objektů náležících pod nějakou doménu se převede na hodnotu
"@domena".
Poznámka: Při vytvoření nového objektu nebo při modifikaci přístupových práv se všechny
hodnoty self převedou na skutečná jména uživatelů, pokud je to možné. Pokud se pomocí
takového převodu objeví v přístupových právech dvě stejná jména, použije se nastavení pro to,
které bylo zadáno přesněji, resp. nebylo zadáno pomocí nějaké proměnné. Při rekurzivním
nastavování práv se pro zanořené objekty proměnné nahrazují skutečnými jmény.
Poznámka: Při přidávání objektu obsahujícím doménu se všechny hodnoty self převedou na
skutečná jména domény, pokud je to možné. Potom se varianta s proměnnou ponechá pouze v
šablonách pro zanořenou doménu a přidá se převedená varianta, pomocí které se provádí
výsledná modifikace všech práv mimo šablon pro zanořenou doménu. Pokud zadáte například
admins@self, práva se rozdělí na dvě nepřekrývající se části: v admins@self zůstanou práva pro
zanořenou doménu a v [email protected] jsou zbylá práva.
6.3.2. Rušení
Při rušení všech práv konkrétního uživatele nebo skupiny je potřeba nejprve zvolit nejvyšší úroveň
nastavení práv, na které je chcete rušit (tedy např. nastavení účtu, domény nebo celé Administrace). V
ní pomocí tlačítka s červeným zatržítkem, které je zcela napravo na stejném řádku jako dané vstupní
pole, odznačíte všechna práva pro daného uživatele nebo skupinu. Uložením nastavení tlačítkem
Použít vpravo dole na stránce vyjmete daný subjekt z nastavení přístupových práv.
Poznámka: Pokud má uživatel právo zápisu do skupiny, může z ní smazat jakéhokoliv uživatele,
kterého má právo zobrazit, bez ohledu na jeho další nastavení práv.
35
6.4. Jednotlivá práva a úroveň oprávnění
To, jaká práva mohou být u objektu nastavována, záleží vždy na typu konkrétního objektu. Obecně se
jedná o tyto akce:
•
vypsání objektu udává, zda uživatel smí vědět o existenci objektu, např. jestli se vypíše název účtu v
seznamu účtů,
•
čtení objektu udává, zda uživatel smí vidět obsah objektu, např. informace o nastavení účtu,
informace u kontaktu, nastavení doménového koše u domény apod.
•
změna objektu udává, zda uživatel smí měnit obsah objektu, např. editovat detaily kontaktu,
nastavovat konfiguraci apod.
•
smazání objektu udává, zda uživatel smí daný objekt smazat. Je-li to povoleno, vztahuje se to i na
smazání všech podřazených objektů,
•
změna práv objektu udává, zda uživatel smí vidět a měnit práva daného objektu. Toto oprávnění
dává uživateli nad objektem plnou kontrolu,
•
vytvoření objektu udává, zda uživatel smí pod tímto objektem vytvořit objekt uvedeného typu.
Dále popíšeme, jak funguje tzv. úroveň oprávnění. Mějme následující situaci:
Server slouží třem firmám; A, B a C. Firma A je vlastníkem serveru a chce mít nad jeho nastavením
plnou kontrolu. Firmy B a C spravují svoje vlastní účty na serveru samy. Firma A tedy nastaví
přístupová práva tak, aby si firmy mohly svoje domény a účty plně spravovat. Mohlo by se ale stát, že
některá z hostovaných firem nastaví práva u svých účtu tak, aby k nim firma A neměla přístup.
Aby si firma A zajistila dohled nad všemi účty, může využít tzv. úrovně oprávnění, které jsou součástí
všech přístupových práv. Uživatel, který má k danému objektu nižší úroveň oprávnění (vyšší číslo),
nemůže měnit přístupová práva uživatele s vyšší úrovní oprávnění. Dokonce taková přístupová práva
ani nevidí.
Jestliže přidáváte práva pro nového uživatele nebo skupinu, automaticky se přednastaví všechna práva,
která máte vy, ale zvýší se číslo úrovně oprávnění o jedna. Takový uživatel vaše práva nevidí, ani je
nemůže měnit. Obecně tedy platí čím nižší číslo úrovně oprávnění, tím vyšší autorita.
36
Obrázek 6-3. Úroveň oprávnění
37
Kapitola 7. Filtrovací pravidla příchozí
pošty
7.1. Obecně o filtrovacích pravidlech
Zpracování příchozí pošty lze výrazně ovlivnit pomocí filtrovacích pravidel. Těch existuje několik
skupin a je stanoveno pořadí, ve kterém se na příchozí poštu aplikují. Každá skupina filtrovacích
pravidel má svoje přístupová práva. V seznamu pravidel jsou kromě těch pro aktuální skupinu vidět i ta
z jiných skupin, která se na příchozí poštu aplikují a uživatel k nim má oprávnění. Filtrovací pravidla
se provádějí v tomto pořadí:
•
Globální přednostní filtry – dostupné z nejvyšší úrovně Administrace v záložce Další nastavení, za
odkazem Globální filtrovací pravidla příchozí pošty. Tato pravidla jsou platná pro všechny uživatele
na serveru a nelze je přebít žádným pravidlem z jiné skupiny.
•
Přednostní filtry domény – dostupné v záložce Další nastavení v menu konkrétní domény za
odkazem Doménová filtrovací pravidla příchozí pošty. Tato pravidla jsou platná pro všechny
uživatele a skupiny v doméně a lze je přebít jedině globálním přednostním pravidlem.
•
Uživatelské a skupinové filtry – dostupné v záložce Další nastavení v menu konkrétního účtu resp.
skupiny za odkazem Filtrovací pravidla příchozí pošty uživatele resp. Filtrovací pravidla příchozí
pošty skupinové schránky. Uživatelské filtry jsou také dostupné ve WebISu, v sekci Nastavení za
odkazem Filtrování pošty.
•
Filtry domény – dostupné v záložce Další nastavení v menu konkrétní domény za odkazem
Doménová filtrovací pravidla příchozí pošty. Vztahují se na všechny uživatele a skupiny v doméně.
•
Globální filtry – dostupné z nejvyšší úrovně Administrace v záložce Další nastavení, za odkazem
Globální filtrovací pravidla příchozí pošty. Vztahují se na všechny uživatele na serveru.
Obrázek 7-1. Nabídka globálních filtrovacích pravidel
38
Kapitola 7. Filtrovací pravidla příchozí pošty
7.2. Konfigurace filtrovacího pravidla
Nové pravidlo sestává ze tří částí. V první, Nastavení pravidla, můžete pravidlo pojmenovat a
zatrhávacím políčkem aktivovat nebo deaktivovat. Pravidlo, které není aktivní, se na příchozí poštu
neaplikuje, zůstává pouze uloženo pro případné pozdější použití.
Druhá část uvozená nadpisem Jestliže slouží k definování jedné nebo více podmínek, proti kterým se
bude příchozí zpráva testovat. Pokud je podmínek více, je možné pomocí výběrového menu nastavit,
zda mají být splněny všechny současně nebo stačí jedna nebo více z nich. Typ podmínky vyberete v
menu vyberte nový test. Tomu následně vyplníte klíčové hodnoty pomocí výběrových menu a
vyplňovacích polí. Pokud potřebujete testovat některou podmínku v negativním tvaru, zaškrtněte ji
políčkem úplně vpravo a klikněte na tlačítko Obrátit význam. Podobně můžete danou podmínku z
pravidla vyjmout tlačítkem Smazat.
Následuje popis parametrů, na které lze zprávy testovat:
•
odesílatel dopisu – testují se hlavičky dopisu From, Sender a Resent-From na přítomnost zadané
e-mailové adresy nebo její části.
•
ohodnocení z antispamu – testuje se hlavička dopisu X-Spam-Level, kterou do něj vkládá software
běžící na serveru a odhalující nevyžádanou poštu.
•
předmět dopisu – testuje se obsah hlavičky dopisu Subject.
•
příjemce dopisu – testují se hlavičky dopisu To, Cc, Bcc, Resent-To a Envelope-To na přítomnost
zadané e-mailové adresy nebo její části.
•
hlavičky – testuje se seznam hlaviček dopisu na přítomnost vyjmenovaných.
•
adresa v hlavičce – testují se vyjmenované hlavičky dopisu na přítomnost vyjmenovaných
e-mailových adres nebo jejich částí.
•
obsah hlavičky – testují se vyjmenované hlavičky na přítomnost zadaného řetězce. Např. hlavička
From nemusí obsahovat pouze e-mailovou adresu, ale také textový popis účtu. Do toho se nejčastěji
ukládá jméno člověka, který účet používá. Taková hlavička může vypadat takto: "Ing. Jan
Soukup" <[email protected]>. Pokud budete hledat odesílatele testem popsaným
výše, budou se brát v úvahu pouze e-mailové adresy. Pomocí tohoto testu můžete testovat na shodu
libovolný obsah libovolné hlavičky.
•
velikost dopisu – testuje se velikost obsahu dopisu včetně všech příloh v bytech.
•
jméno účtu, kam byl dopis doručen – testuje se primární přihlašovací jméno uživatele, i když
samotná zpráva neobsahuje hlavičky.
•
odesílatel na obálce – testuje se hlavička dopisu Return-Path na přítomnost e-mailové adresy nebo
její části.
•
příjemce na obálce – testuje se hlavička dopisu Envelope-To na přítomnost e-mailové adresy nebo
její části.
39
Obálkou dopisu v elektronické poště se rozumí odchozí a cílová adresa, která může být nepovinně
uložena v hlavičkách Return-Path a Envelope-To. Obálka se mění při každé návštěvě poštovního
serveru při putování e-mailové zprávy sítí.
Podrobný popis týkající se hlaviček MIME pro elektronickou poštu můžete nalézt v tomto návodu
(http://www.cpress.cz/knihy/tcp-ip-bezp/CD-dalsi/CD-mime/mime.htm).
Poznámka: Při hledání řetězců v hlavičkách můžete ale nemusíte používat diakritiku a ani na
velikosti písmen a mezery se nebere zřetel. Pokud potřebujete nalézt nějaký řetězec zcela přesně,
tedy s ohledem na diakritiku a mezery, musíte jej zadat ve formátu quoted-printable. Přesnou
podobu řetězce v tomto formátu můžete vykopírovat ze zdrojového kódu hlavičky e-mailu. Ten
můžete zobrazit při prohlížení pošty ve WebISu kliknutím na odkaz Zdrojový kód zprávy.
Třetí část uvozená nadpisem proved’ následující akce slouží k definování činností, které se s dopisem,
splňujícím podmínky z druhé části, provedou. Ve výběrovém menu vpravo lze zvolit, zda se po
provedení těchto činností předá dopis dalšímu pravidlu nebo se proces filtrování ukončí. Samotnou
akci můžete vybrat ve výběrovém menu a následně vyplnit její parametry podobně jako v podmínkové
části. Na následujících dvou obrázcích jsou příklady nastavení filtrovacích pravidel.
Obrázek 7-2. Příklad filtrovacího pravidla
40
Obrázek 7-3. Jiný příklad filtrovacího pravidla
Následuje popis možných akcí:
•
Uložení do vybrané složky – tato akce slouží k automatickému třídění pošty. Příchozí zprávu
odpovídající zadaným kritériím můžete uložit do libovolné složky a současně jí přiřadit příznak jako
přečtená, důležitá a podobně. Při zadávání názvů složek je nutné dbát na velikosti písmen.
•
Uložení do složky Doručená pošta – tato akce pouze přednastavuje nejčastěji používanou činnost s
příchozí zprávou. Opět lze zprávu označit nějakým příznakem. Tato akce je současně implicitní –
pokud žádné pravidlo neukončí zpracování zprávy, uloží se tato automaticky právě do složky
Doručená pošta.
•
Zahození zprávy – zde si můžete vybrat, zda chcete zprávu přesunout do složky, kterou máte
nastavenu jako koš, nebo ji úplně a bez náhrady smazat ze serveru. Zahození zprávy do koše je tedy
ve své podstatě akce uložení. Zahození bez náhrady v kombinaci s přeposláním nebo odmítnutím
zprávy nemá žádný účinek.
•
Odmítnutí zprávy – tato akce vrátí zprávu odesílateli. Můžete k ní nepovinně přiložit doprovodný
text. Tuto akci nelze kombinovat s jinými akcemi. Pokud zkombinujete akce odmítnutí zprávy s
akcemi přeposlání nebo uložení v rámci jednoho pravidla, všechny akce tohoto pravidla se budou
ignorovat.
•
Přeposlání zprávy – zde můžete nastavit jinou adresu, na kterou se zpráva automaticky odešle.
Přeposílání lze kombinovat s jinými akcemi.
Poznámka: Ačkoliv WebIS upozorňuje, že akci odmítnutí nelze kombinovat s jinými, pokud
vytváříte jedno pravidlo, může se stát, že se akce odmítnutí zkombinuje s jinou akcí v rámci
vyhodnocování více různých pravidel najednou. V takovém případě dojde k chybě a žádná ze
zmíněných akcí se neprovede.
41
Hotová pravidla se uloží do seznamu ve formě věty v přirozeném jazyce, jak je vidět na obrázku níže.
Nastavení pravidla můžete upravit kliknutím kamkoliv do rámečku s jeho popisem. Pokud je pravidel v
seznamu více, provádějí se v pořadí shora dolů. Měnit pořadí pravidel lze pomocí směrových šipek,
které jsou u každého z nich vpravo. Vedle nich je zaškrtávací políčko – tlačítko dole Aktivovat /
deaktivovat zapne, resp. vypne všechna označená pravidla. Aktivní pravidla jsou označena fajfkou v
pravém horním rohu rámečku.
Obrázek 7-4. Seznam uložených pravidel
42
Kapitola 8. Sdílené kontejnery
Práce se sdílenými kontejnery je zcela totožná jako práce s uživatelskými kontejnery ve Webisu.
Podrobnosti najdete například v manuálu pro Webis na adrese www.webis.cz (http://www.webis.cz).
8.1. Globální kontejnery
Globální knihy kontaktů a úkolů a globální kalendáře jsou kontejnery, které se speciálně zakládají v
Administraci a jsou implicitně viditelné všem uživatelům připojeným k serveru. Jsou dostupné z hlavní
nabídky Administrace v záložce Další nastavení, jak je vidět na obrázku níže.
Obrázek 8-1. Nabídka globálních kontejnerů
V případě globálních kalendářů se standardně na každý instalovaný server dodávají kalendáře
obsahující státní svátky a jmeniny.
Obrázek 8-2. Globální kalendáře
43
8.2. Doménové kontejnery
Doménové knihy kontaktů a úkolů a doménové kalendáře jsou kontejnery, které se speciálně zakládají
v Administraci a jsou implicitně viditelné všem uživatelům patřícím do domény. Jsou dostupné z
nabídky pro danou doménu v záložce Další nastavení, jak je vidět na obrázku níže.
Obrázek 8-3. Nabídka doménových kontejnerů
V případě doménových knih kontaktů se automaticky vytvoří knihy se jmény účtů a skupin, pokud
vznikne kontaktní informace přímo v nastavení účtu nebo skupiny. Tu lze vytvořit tlačítkem Přidat v
záložce Nastavení konkrétního účtu nebo skupiny.
44
Obrázek 8-4. Přidání kontaktu účtu
Obrázek 8-5. Doménová kniha kontaktů
45
Kapitola 9. Souborový server
Souborový server (file server) slouží ke sdílení souborů a adresářů v rámci firemní sítě. Současně je
možné na něm snadno nastavit přístupová práva sdílených objektů pro jednotlivé uživatele i skupiny.
Základním pojmem správy sít’ového prostředí v systému Windows je doména. Doménou se v tomto
kontextu rozumí soubor všech služeb, prostředků a počítačů, ke kterým má uživatel přístup
prostřednictvím jediné kombinace uživatelského jména a hesla. Dalším důležitým pojmem je cestovní
profil. Jedná se o uživatelské nastavení prostředí na pracovní stanici, jako je rozmístění ikon na ploše,
tapeta, nastavení barev a rozložení kláves, dočasné soubory a podobně. Při správné konfiguraci
domény se toto nastavení centrálně ukládá a při přihlášení opět nahrává, takže z pohledu uživatele je
jedno, ke které stanici v doméně se přihlásí, jeho pracovní prostředí bude vypadat vždy stejně.
9.1. Nastavení služeb
Základní nastavení souborového serveru je přístupné z hlavního menu Administrace v nabídce Další
nastavení a dále v položce Nastavení služeb serveru a konečně v levém sloupci v rozbalovacím
menu Soubory za odkazem Souborový server.
Obrázek 9-1. Souborový server
9.1.1. Typ a jméno souborového serveru
Souborový server může být několikerého typu podle způsobu zacházení se seznamem uživatelských
jmen a hesel a zpřístupňování sdílených zdrojů v doméně.
•
PDC je primární ovladač domény (Primary Domain Controller). Je to hlavní počítač, který řídí
doménu v systému Windows. Obsahuje databázi všech uživatelských účtů a členů domény, ke které
má právo čtení i zápisu. Ověřuje přihlášení uživatelů na pracovní stanice a nastavuje oprávnění pro
sdílené složky. Současně na něm běží služba WINS pro překlad jmen počítačů a jejich IP adres.
46
•
BDC je záložní ovladač domény (Backup Domain Controller). Obsahuje záložní kopie databáze
uživatelských účtů z nadřazeného PDC, ke kterým má pouze právo čtení. Synchronizace databáze se
provádí pravidelně, což mimo jiné znamená, že i BDC může ověřovat přihlašovací informace
uživatelů. Server, který je nastaven jako BDC, musí mít jako nadřazený PDC jiný server, se kterým
bude propojen. V nastavení BDC serveru je asistence našich techniků nezbytná.
•
Nezávislý server pracuje zcela samostatně, nemá speciální status v dané doméně. Uživatelská jména
a hesla se ověřují až v okamžiku přístupu k některému sdílenému prostředku. Přihlašovací jména a
hesla se berou z nastavené domény.
•
Člen domény je libovolný počítač nebo server, který je připojen k PDC. Nastavení přístupových práv
se rovněž kontroluje v nadřazeném PDC. Pro nastavení počítače jako člena domény je asistence
našich techniků nezbytná.
Název serveru je jméno, pod kterým počítač uvidíte ve složce Okolní počítače v systému Windows
nebo také v sekci Okolní PC v systému WebIS. Název může sestávat jen z písmen, číslic nebo
pomlčky a nemůže být delší než 15 znaků.
Popis serveru je doplňující a nepovinný komentář.
Pokud zaškrtnete políčko Povolit anonymní přihlášení, pak uživatel, který se pokusí přihlásit se na
server pod neexistujícím jménem, není odmítnut, ale je prohlášet za anonymního a vztahují se na něj
pouze nejmenší práva pro přístup ke sdíleným složkám platná pro všechny uživatele.
9.1.2. Konfigurace zvoleného typu serveru
Následující nastavení se mírně liší v závislosti na tom, jaký typ serveru jste nastavili. Pokud nastavujete
jen členský počítač v doméně, pak do pole Jméno domény ve Windows napíšete, pod jakým jménem se
bude tento počítač zobrazovat ve Windows. Nejedná se o doménu v pravém slova smyslu.
Pokud nastavujete PDC, BDC nebo nezávislý server, můžete zvolit jednu doménu z těch, které na
serveru běží, ve výběrovém menu Používat účty v doméně. Proti účtům v této doméně se budou
ověřovat přístupy ke sdíleným složkám. Dále máte možnost ještě konfigurovat vlastnosti zvolené
domény v systému Windows. K tomu slouží odkaz nastavení domény...
Služba WINS slouží k rychlému překladu mezi mezi jmény počítačů a jejich IP adresami. Jejím
nastavením získáte rychlejší a plynulejší provoz na síti. V případě topologicky složitějších sítí (např.
VPN) je nastavení služby WINS nutností. Při konfiguraci PDC běží služba WINS vždy na samotném
serveru, proto je tato hodnota přednastavena. Při konfiguraci BDC běží služba WINS vždy na
nadřazeném PDC, proto je tato hodnota přednastavena. U nezávislého serveru a člena domény jsou k
dispozici všechny možnosti nastavení, tedy vypnutí služby a zapnutí služby na samotném počítači nebo
na jiném počítači.
IP adresa WINS serveru určuje stroj, na kterém pro daný server služba WINS běží. V případě, že je
služba WINS nastavena na samotném serveru, je IP adresa přednastavena na 127.0.0.1, což je pro daný
počítač hodnota ekvivalentní s lokální IP adresou. Jinak je možné zadat adresu jiného počítače, na
kterém služba WINS běží. Pokud je služba vypnuta, nebere se na vloženou hodnotu zřetel.
Celkové nastavení je potřeba potvrdit tlačítkem Použít.
47
9.1.3. Nastavení domény pro souborový server
Obrázek 9-2. Nastavení domény pro souborový server
Zde je možné měnit některé údaje vztahující se ke zvolené doméně pro souborový server:
•
Windows doména/skupina: pod tímto jménem je tento server vidět ve Windows. Toto jméno nemůže
být delší než 12 znaků a nemusí se shodovat se jménem domény. Pokud je tedy název domény např.
nase_firma.subdomena.cz, je obvyklé, že jméno skupiny ve Windows bude např. nase_firma.
•
Přihlašovací skript je tzv. logon skript obsahující příkazy, které se spustí ihned po přihlášení
uživatele. Tuto položku obvykle není potřeba měnit.
•
Cesta k profilu udává umístění složky, do které se bude ukládat profil uživatele (pracovní plocha,
nastavení, dokumenty, ...) v systémech Windows NT, 2000 a XP. Tuto položku není potřeba používat,
protože po prvním přihlášení se implicitně vytváří místní profil a cestovní profil se nekontroluje.
•
Cesta k profilu pro Win9X udává umístění složky, do které si budou ukládat profily uživatelů na
systémech Windows 95, 98 a ME. Pro tuto položku platí totéž, co pro cestu k profilu na novějších
verzích Windows, viz výše.
•
Připojit domovský disk jako udává písmeno disku, pod kterým se automaticky připojí domovská
složka v systémech Windows NT, 2000 a XP. Implicitně se domovská složka nepřipojuje. Na
starších verzích Windows je nutné připojovat disk pod tímto písmenem manuálně, a to
prostřednictvím příkazů v přihlašovacím skriptu:
net use ${disk} /delete /y
net use ${disk} \\${server}\home
kde v proměnné disk resp. server jsou uloženy písmeno zvoleného disku (ve tvaru např. H:)
resp. jméno vašeho souborového serveru. Tyto příkazy ovšem musí být použity v sekci skriptu,
která je určena pouze pro spouštění na starších verzích Windows. Tato sekce se uvozuje
zápisem [OS: Win95]. Více podrobností najdete v kapitole o přihlašovacích skriptech.
Po potvrzení změn tlačítkem OK se zrestartují služby obsluhující souborový server, což může způsobit
odhlášení uživatelů, kteří právě manipulují se sdílenými daty.
48
9.2. Jak nastavit server jako PDC
9.2.1. Nastavení na serveru
Chcete-li daný souborový server nastavit jako PDC (primární ovladač domény), vyberte tuto položku
ve výběrovém menu pro pole Typ serveru. Další pole Název serveru, Popis serveru, Povolit anonymní
přihlášení a nastavení, ze které domény brát účty, je možné nastavit např. způsobem uvedeným na
obrázku.
Obrázek 9-3. Nastavení serveru jako PDC
V doméně, kterou jste nastavili pro používání účtů, je dále potřeba vytvořit skupinu admins. To
provedete tak, že v hlavním menu Administrace otevřete menu Domény a kliknete na jméno dané
domény (v našem případě priklad.cz). V ní zvolíte z levého sloupce položku Skupiny, do vstupního
pole napíšete admins a potvrdíte tlačítkem Přidat. Následně se skupina vytvoří. Je obvyklé a
doporučené, aby tato skupina obsahovala účet se jménem admin. Klikněte na tlačítko Nahoru v levém
horním rohu obrazovky, dále zvolte záložku Účty, účet založte nebo klikněte na jeho jméno, pokud již
existuje. Nyní jste v nastavení účtu a v levém menu je přístupná záložka Skupiny. V ní zaškrtávacím
políčkem vyberte skupinu [email protected] a potvrd’te volbu tlačítkem Použít.
Skupina [email protected] by měla mít nastavena přístupová práva tak, aby mohla spravovat danou
doménu i všechny sdílené složky a účty. To se provede v nejvyšší úrovni Administrace. V ní zvolte v
levém sloupci menu Další nastavení a v něm odkaz Globální přístupová práva. V seznamu
přístupových práv, který se objeví, klikněte dole na tlačítko + Skupina , do vstupního pole vyplňte
název skupiny v doméně, v našem případě tedy [email protected]. Pro tuto skupinu nastavte úplně
všechna práva tlačítkem červeného zaškrtávacího políčka, které je vpravo od vstupního pole skupiny.
49
Obrázek 9-4. Nastavení přístupových práv pro skupinu admins
Aby se administrátor mohl přihlásit do Administrace a k souborovému serveru, je nutné mu tyto služby
povolit. V dané doméně klikněte na záložku Účty, kliknutím zvolte účet admin a dále klikněte v levém
menu na záložku Povolené služby. V ní zaškrtněte položky Administrace a Souborový server, tak jak
je vidět na obrázku.
Obrázek 9-5. Nastavení povolených služeb pro účet admin
V nejvyšší úrovni Administrace v záložce Souborové složky je ještě nutné vytvořit sdílenou
souborovou složku netlogon, jejíž obsah budou moci číst všichni uživatelé a skupina admins v dané
50
doméně k ní bude mít všechna práva.
Obrázek 9-6. Nastavení přístupových práv sdílené složky netlogon
Tím jsme vyčerpali všechna nastavení, která je nutná provést na serveru. Další nastavení je potřeba
udělat na jednotlivých pracovních stanicích.
9.2.2. Nastavení na jednotlivých pracovních stanicích
Poznámka: V případě změny jména domény na serveru nebo opětovného připojování počítače,
který byl z nějakého důvodu z domény odpojen, je nutné mít uzavřena všechna spojení se
serverem, zejména připojené souborové složky. Všechna spojení lze rychle ukončit příkazem net
use * /delete.
9.2.2.1. Windows XP EN
Na dané pracovní stanici je nejprve nutné nastavit dané PDC jako WINS server. Nejdříve otevřete
složku Sít’ová spojení, pravým tlačítkem klikněte na vaše LAN spojení a zvolte položku Vlastnosti. V
novém dialogovém okně zvolte záložku Obecné, ze seznamu spojení zvolte Protokol sítě Internet a
klikněte na Vlastnosti. V dalším dialogovém okně v záložce Obecné klikněte na tlačítko Rozšířené
nastavení. Konečně v dalším okně zvolte záložku WINS a tlačítkem Přidat vložte IP adresu serveru,
který je nastaven jako PDC.
51
Obrázek 9-7. Nastavení WINS serveru na pracovní stanici
Po nastavení WINS serveru je dále nutné danou pracovní stanici přidat jako člena do dané domény.
Nejprve otevřete Ovládací panely, v nich zvolte položku Vlastnosti systému a v novém okně záložku
Identifikace v síti. Tam klikněte na tlačítko Změny a v dalším okně zatrhněte členství v doméně a
vyplňte jméno domény, která je nastavena na serveru.
Po potvrzení tlačítkem OK budete vyzváni, abyste vložili přihlašovací údaje uživatele, který má právo
měnit členství v doméně, tedy doménového administrátora, v našem případě uživatele admin. Pokud na
daném počítači tento účet ještě neexistuje, vytvoří se, ale není současně rozpoznán. Proto se první
přihlášení nemusí zdařit. V takovém případě vložte stejné údaje znovu a budete přihlášeni do domény.
Obrázek 9-8. Nastavení členství v doméně na pracovní stanici
52
Po restartu počítače se uživatelé, kteří mají v doméně účet, mohou přihlašovat.
Obrázek 9-9. Přihlášení do domény
Ke sdíleným souborovým složkám se můžete dostat dvěma způsoby. První je komplikovanější a
využijete jej v případě, že neznáte názvy jednotlivých složek. Ve složce Okolní počítače klikněte na
odkaz Celá sít’, v ní zvolte Sít’ Microsoft Windows, v ní nějakou doménu a v ní již uvidíte seznam
členských počítačů.
Pokud názvy sdílených složek znáte, stačí vstoupit do složky Okolní počítače a do vstupního pole
Adresa ho napsat. Pokud tedy v našem případě máme nastaven server s názvem "mailbox", vložíme
toto jméno ve tvaru \\mailbox a ihned vidíme obsah této složky.
Obrázek 9-10. Okolní počítače
53
9.2.2.2. Windows 2000 Professional CZ
Nastavení ve Windows 2000 je prakticky stejné jako ve Windows XP. Nejprve je nutné nastavit WINS
server a poté přidat daný počítač do domény. Teprve pak bude možné přihlašování do dané domény.
Viz obrázky níže.
Obrázek 9-11. Nastavení WINS serveru ve Windows 2000
Obrázek 9-12. Přidání počítače do domény ve Windows 2000
54
9.2.2.3. Windows 98 CZ
Ve Windows 98 se veškeré nastavení pro PDC provádí v Ovládacích panelech ve složce Sít’. Vše je
přehledně vidět na obrázcích níže.
Obrázek 9-13. Nastavení WINS serveru ve Windows 98
Obrázek 9-14. Nastavení přihlášení do domény ve Windows 98
55
Obrázek 9-15. Nastavení přidání do domény ve Windows 98
9.3. Souborové složky
Sdílené souborové složky na serveru lze vytvářet a spravovat jen v Administraci, jejich podložky a
soubory v nich lze upravovat a nastavovat pouze z pracovní stanice, která je připojena do domény.
9.3.1. Souborové složky na serveru
Novou složku v Administraci lze vytvořit tlačítkem Přidat. Tlačítko Přidat speciální složky slouží k
vytvoření následujících složek, které jsou potřebné pro samotný provoz souborového serveru:
•
netlogon – do této složky se ukládají přihlašovací skripty, které se automaticky spouští při přihlášení
uživatele do domény,
•
print$ – do této složky se ukládají ovladače pro sít’ové tiskárny,
•
domain-users – v této složce se ukládají domovské adresáře všech uživatelů v doméně,
•
local-users – v této složce se ukládají domovské adresáře uživatelů na lokálním pobočkovém VPN
uzlu.
Tlačítkem Smazat odstraníte všechny složky, které jsou v seznamu označeny zaškrtávacím políčkem.
kliknutím na název složky se zobrazí její nastavení:
56
Obrázek 9-16. Přehled souborových složek na serveru
Pole Název je povinné. Do pole Komentář se ukládá nepovinný popis složky, který je vidět i jako jeden
z údajů složky ve Windows. Zaškrtávací pole Zobrazovat v seznamu udává, zda bude složka po
připojení do domény viditelná. V poli Povolit současně uživatelů lze omezit počet uživatelů, kteří jsou
aktuálně k dané složce připojeni s tím, že systém Windows složky jednotlivým uživatelům po určité
době nečinnosti automaticky odpojuje. Dále jsou k dispozici tři režimy pro práci se soubory v případě,
kdy dojde k přerušení spojení se serverem (režim offline):
•
manuální – uživatel si manuálně označí soubory a ty se před odpojením od serveru zkopírují na
lokální disk pro práci offline.
Obrázek 9-17. Manuální zpřístupnění souboru pro režim offline
57
•
automatický – soubory, které uživatel otevře, se automaticky synchronizují do složky na lokálním
disku.
•
automatický (pro programy) – tento mód je určen pro složky, které jsou pouze pro čtení a obsahují
spustitelné programy. Ty se po zkopírování na lokální disk spouští přímo, bez přístupu k sít’ové
verzi, což je rychlejší a snižuje to zatížení sítě.
•
vypnutý – žádné soubory nejsou v režimu offline k dispozici.
Tlačítkem Smazat odstraníte sdílenou složku se všemi podsložkami a soubory, které v ní jsou.
Tlačítkem Nový odkaz.. můžete vytvořit virtuální složku, kterou lze chápat jako jiné jméno nebo jako
odkaz na původní složku. Potvrzením názvu se pohled přepne na nastavení této nové virtuální složky,
kde je vyplněno jméno skutečné složky v položce Odkazuje na. Samotný odkaz může také směřovat
pouze na podadresář zvolené složky. Jméno podadresáře můžete napsat do vstupního pole nebo jej
vybrat ze seznamu podadresářů, když kliknete na ikonu knížky. V okně nastavení skutečné souborové
složky je uveden seznam virtuálních složek, které do ní směřují v položce formuláře Odkazováno z.
Smazáním virtuální složky nikdy nepřijdete o skutečná data, protože ta jsou pouze odkazována.
Obrázek 9-18. Nastavení souborové složky
9.3.2. Nastavení přístupových práv souborových složek na
serveru
V záložce Přístupová práva lze nastavit oprávnění pro manipulaci se složkou pro jednotlivé uživatele
a skupiny uživatelů. Práva pro práci se samotnými daty ve složce se nastavují v horní části formuláře.
Při přidávání většího množství uživatelů a skupin je můžete vybrat ze seznamu, pokud kliknete na
ikonu knížky. Při psaní do vstupního pole se automaticky doplňují názvy existujících účtů nebo skupin.
58
Obrázek 9-19. Přístupová práva souborové složky
Kromě běžných uživatelů a skupin je možné přidávat nebo vidět i některé speciální záznamy:
•
* (Kdokoliv) – tento záznam zahrnuje a platí pro všechny uživatele, včetně anonymních.
•
BUILTIN\jmeno – záznamy tohoto typy označují vestavěné skupiny uživatelů na souborovém
serveru, které existují i ve Windows. Jsou to tyto skupiny:
•
Administrators – skupina uživatelů se všemi právy. Skupina BUILTIN\Administrators vždy
obsahuje skupinu správců domény Domain Admins. Pokud je server nastaven jako PDC, BDC
nebo nezávislý server, je tato skupina Domain Admins rovna skupině admins@domena, pokud je
server člen domény, použije se skupina Domain Admins na PDC.
•
Users – skupina běžných uživatelů s omezenými právy. Skupina BUILTIN\Users vždy obsahuje
skupinu všech uživatelů v doméně Domain Users. Pokud je server nastaven jako PDC, BDC nebo
nezávislý server, je tato skupina Domain Users rovna skupině @domena, pokud je server člen
domény, použije se skupina Domain Users na PDC.
•
Power Users – skupina běžných uživatelů s rozšířenými právy. V současnosti se tato skupina na
serveru nepoužívá.
Na obrázku výše jsou tedy práva složky testovani nastavena tak, že všichni běžní uživatelé v doméně
ji mohou číst. Současně všichni doménoví administrátoři do ní mohou zapisovat. Výhoda používání
konstrukce BUILTIN je v tom, že funguje jako proměnná, která se řídí doménou, která je aktuálně
nastavená pro souborový server. Pokud tedy dojde k jejímu přenastavení, nebude potřeba měnit
přístupová práva existujících souborových složek, které využívají právě BUILTIN.
•
SID (Security identifier) – bezpečnostní identifikátor ve formátu např.
S-1-5-12-7644816715-53789099348-030366813-1013, který jednoznačně označuje uživatele nebo
skupinu na PDC. PDC také zajišt’uje překlad těchto identifikátorů na skutečná jména. Při migraci
domén nebo jiném technickém zásahu je možné tyto identifikátory vkládat jako záznamy
přístupových práv ručně. Pokud se ovšem objeví v seznamu SID nečekaně, pak to znamená, že daný
objekt byl smazán nebo je přerušeno spojení s PDC. Podrobnosti o těchto identifikátorech si můžete
přečíst například na Wikipedii (http://en.wikipedia.org/wiki/Security_Identifier).
Práva v dolní části formuláře slouží k manipulaci se složkou v Administraci podle obecných pravidel
práce s přístupovými právy. Při zadávání nových práv lze zadávat pouze existující uživatele nebo
59
skupiny – jejich seznam lze zobrazit kliknutím na ikonu knížky. Tlačítkem + Kdokoliv lze do tabulky
přidat řádek přístupových práv společných pro všechny uživatele, včetně anonymních (jsou označeni
znakem *). Smazání řádku se provede odznačením všech práv kliknutím na červené zaškrtávací
políčko, v případě duplicitního nebo neexistujícího názvu ještě vymazáním vstupního pole, a uložením
nastavení formuláře.
9.3.3. Nastavení přístupových práv z pracovní stanice
Přístupová práva k souborovým složkám lze nastavovat ve dvou vrstvách – v Administraci a na
pracovní stanici ve Windows. Výsledná práva ke složce jsou průnikem těchto dvou vrstev, což
znamená, že pro uživatele, pro které se práva z obou vrstev nějak překrývají, budou platit ta "menší".
Práva nastavená přímo na v Administraci se na pracovních stanicích nezobrazují.
Na pracovních stanicích lze pro adresáře a soubory nastavovat celou řadu přístupových práv. Na
obrázku níže je vidět, jak může například vypadat nastavení přístupových práv se skupinou Info
náležící do domény priklad.cz. Každý soubor nebo složka na serveru má povinně nastavena práva pro
tři typy uživatelů:
Obrázek 9-20. Vzorové nastavení přístupových práv
•
vlastník – uživatel, který daný objekt vytvořil, v našem příkladě to je Zdeněk Vytočil,
•
skupina – skupina uživatelů, do které vlastník patří (implicitní skupina). Na souborovém serveru je
implicitní vždy skupina Domain Users, obsahující všechny uživatele v doméně,
•
ostatní – všichni ostatní uživatelé respektive každý uživatel, pro kterého neplatí jiná přístupová
práva. V popisu práv ve Windows jsou označeni jako Everyone.
Mějme nyní sdílenou složku projekty na serveru server. Pak cesta k této složce je \\server\projekty.
Nastavení kořenových složek na serveru lze měnit pouze v Administraci serveru. Nyní nastavíme práva
složce test, která je podsložkou složky projekty. Nejprve zvolíme Vlastnosti.
60
Obrázek 9-21. Sdílená složka
V ní v záložce Zabezpečení je vidět seznam uživatelů a skupin, kteří mají definovaná nějaká práva.
Kliknutím na jméno v seznamu se v tabulce níže zobrazí základní nastavení přístupových práv. Po
jejich úpravě pomocí zaškrtávacích políček je vhodné odeslat nové nastavení na server tlačítkem Použít
a pak teprve kliknout na OK.
Obrázek 9-22. Základní nastavení přístupových práv
Pokročilé nastavení práv zobrazíte kliknutím na Upřesnit. Zobrazí se úplný výpis všech subjektů, které
mají definována nějaká práva. Pokud je dole zaškrtnuto políčko Povolit šíření dědičných oprávnění...,
je potřeba ho odškrtnout, jinak nebude možné modifikovat přístupová práva subjektů v seznamu.
Následně vám bude nabídnuta možnost práva bud’ zkopírovat nebo odebrat, zvolte možnost Kopírovat.
61
Obrázek 9-23. Podrobné nastavení práv
Obrázek 9-24. Zrušení dědičného šíření práv
Uživatelé a skupiny v seznamu přístupových práv se dělí na známé, kteří existují v doméně a lze je do
seznamu přidávat, a na převzaté ze serveru označované jako Unix user a Unix group, kteří mají svá
práva přednastavena. Tato práva obvykle není potřeba měnit.
Každý soubor nebo složka na souborovém serveru má přiřazena implicitní práva pro uživatele, který ji
vytvořil a povinně také práva pro implicitní skupinu, což je skupina Domain Users. Jména CREATOR
OWNER a CREATOR GROUP označují šablony těchto přístupových práv pro nově přidaný soubor nebo
složku. Tlačítkem Přidat... můžete do seznamu vložit novou skupinu nebo uživatele v doméně. Aby
všechno správně fungovalo, je potřeba v nastavení práv ve výběrovém menu Použít pro... ponechat
respektive nastavit hodnotu Tato složka, podsložky a soubory.
62
Obrázek 9-25. Nastavení práv
Pokud chcete definovat přístupová práva pro jinou než implicitní skupinu v doméně, je nejprve potřeba
odebrat práva pro šablonu skupiny CREATOR GROUP, protože z té se dědí práva pro implicitní
skupinu, ve které jsou všichni uživatelé, ne jen ti ve zvolené skupině.
Obrázek 9-26. Přidání objektu do seznamu přístupových práv
V nabídce Windows je k dispozici mnoho různých oprávnění, ale samotný souborový server ukládá
pouze tři: čtení, zápis a spouštění pro soubor a výpis, zápis a vstup do pro složky. Každou změnu v
nastavení práv je potřeba potvrdit tlačítkem Použít, kdy se požadavek nastavení práv odešle na server,
který zpět zašle skutečné nastavení. Na obrázku níže je vidět nastavení práv v nabídce Windows, která
zleva doprava odpovídají hodnotám čtení, zápis a spouštění. Tato nastavení jsou již výsledkem
překladu nastavení práv ve Windows, který zaslal server. Před odesláním stačí zaškrtnout jen jednu
položku týkající se čtení a ze serveru se vrátí zaškrtnutá všechna práva, která se čtením přímo souvisí.
63
Obrázek 9-27. Nastavení základních přístupových práv na straně serveru
Systém Windows vyhodnocuje nastavení práv tak, že dává největší přednost nastavení pro ostatní
uživatele (Everyone). Proto je nutno nechat všechna práva pro ostatní uživatele vypnutá, pokud
potřebujete mít aktivní speciální nastavení práv jiných subjektů.
Příklad 9-1. Přidání přístupových práv pro čtení skupině v doméně
Například složce test chceme definovat práva tak, aby do ní měly přístup na čtení pouze členové
skupiny Info a vlastník. Na této složce tedy zobrazíme Vlastnosti a v záložce Zabezpečení klikneme na
Upřesnit. Odškrtneme políčko Povolit šíření dědičných práv a necháme současná práva na následnou
výzvu Zkopírovat. V seznamu práv označíme Everyone, pokud mají nastavena jiná práva než Žádná a
tlačítkem Odebrat je zrušíme ze seznamu. Totéž provedeme pro implicitní skupinu Domain Users a
skupinovou šablonu CREATOR GROUP. Potom tlačítkem Přidat otevřeme seznam možných subjektů
pro přidání. Vyplníme hodnotu Info a potvrdíme. V nastavení práv v menu Použít pro ponecháme
hodnotu Tato složka, podsložky a soubory a zaškrtneme jedno z práv pro čtení, například hodnotu
Zobrazovat obsah složky/Číst data. Uložíme tlačítkem OK. Potom tlačítkem Potvrdit odešleme nové
nastavení práv na server. Na obrázku níže vidíme, jak vypadá výsledné nastavení po návratu ze serveru.
64
Obrázek 9-28. Výsledné nastavení přístupových práv
9.4. Přihlašovací skripty
Přihlašovací skript je krátký program, který se spouští po přihlášení uživatele do domény. Jeho
nejběžnější využití spočívá v připojení domovské složky uživatele a vybraných sdílených složek na
serveru. Lze je ale využívat k celé řadě úkonů jako jsou například spouštění monitorovacích programů,
instalace sít’ových periferií (např. tiskáren), synchronizace času klienta a serveru nebo zobrazování
důležitých oznámení správců systému.
Konfigurace přihlašovacích skriptů spočívá v inicializačním souboru logon.ini, který je součástí sdílené
složky netlogon. V něm lze definovat proměnné a využívat předdefinované proměnné pro obecnou
specifikaci chování serveru. Po přihlášení uživatele server zpracuje tento soubor, provede náhrady za
proměnné a zástupné znaky a s ohledem na specifikované sekce vygeneruje skutečný přihlašovací
skript, který následně systém Windows spustí. Tento skript je dočasný a ukládá se do složky netlogon
ve tvaru <uživatelské_jméno>@<jméno_domény>.bat. Takto vypadá ukázkový inicializační soubor,
který si vzápětí popíšeme.
9.4.1. Rychlý start
Příklad 9-2. Ukázkový soubor logon.ini
1
2
3
4
5
6
7
8
HOME = H:
public = F:
special = S:
#
Tohle je komentar-------------------------[Global]
@ECHO "Vítejte v naší síti!"
pause
SET OS=${os}
65
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
SET WEBIS_URL=https://in.priklad.cz/webmail
NET TIME \\${server} /SET /YES
net use ${public} /delete /y
NET USE ${public} \\${server}\globalshare /YES
#
Tohle je dalsi komentar--------------------[Group: admins@${domain}]
@ECHO "Nazdar správče."
NET USE G: \\${server}\adminshare1 /YES
NET USE I: \\${server}\adminshare2 /YES
[User: jaroslava.rychla@${domain}]
NET USE ${special} \\${server}\specialshare /YES
[Computer: STROJ*, M2?3]
@ECHO "Sedíte u počítače ${computer}."
[OS: Win95]
@ECHO "Váš operační systém je: ${os}."
net use ${home} /delete /y
NET USE ${HOME} \\${server}\home /YES
[IP: 192.168.2.*]
@ECHO "Vaše IP adresa: ${ip}."
[Server: MAILBOX1]
@ECHO "Jste připojeni k serveru ${server}."
Následuje popis řádek po řádku.
•
Řádky 1,2,3: definice globálních proměnných.
•
Řádek 5: začátek sekce, která se provádí globálně, tedy při přihlášení libovolného uživatele.
•
Řádky 6,15,23,26,31,34: výpis zprávy v uvozovkách na obrazovku.
•
Řádek 7: pozastavení provádění skriptu – obnoví se stiskem klávesy.
•
Řádky 8 a 9: nastavení proměnných prostředí.
•
Řádek 10: nastavení systémového času ze serveru.
•
Řádky 11 a 27: odpojení disku pod daným písmenem. Je vhodné provádět pro všechny složky z
důvodu zabránění kolizí při přidělování písmen disků.
•
Řádky 12,16,17,20,28: připojení sdílené složky jako diskové jednotky. Příkaz NET USE má v tomto
případě dva povinné parametry. První je písmeno disku, které může být zadáno ve tvaru proměnné a
druhý je cesta sdílené složky na serveru.
•
Řádky 14,19,22,25,30,33: začátky sekcí, jejichž provádění není platné pro každého, ale pouze pro
specifikovaný výčet uživatelů nebo strojů podle zadaného kritéria. Jak je vidět z příkladu,
inicializační sekce můžete výčtem omezovat pro skupiny uživatelů, jednotlivé uživatele, názvy
66
počítačů, operační systémy na pracovních stanicích, IP adresy a pro názvy serverů. V hodnotách pro
jednotlivé sekce můžete používat zástupné znaky * a ?.
9.4.2. Syntaxe a proměnné
K obecným zásadám zápisu inicializace přihlašovacích skriptů patří následující:
•
syntaxe proměnných, příkazů a hodnot nerozlišuje mezi velkými a malými písmeny,
•
proměnné se zapisují ve tvaru ${název_proměnné}. Takovýto zápis ovšem podporuje pouze váš
souborový server, v běžných sít’ových inicializacích jej využívat nelze,
•
zápisy /y a /YES jsou totožné a nepovinné a pouze automaticky doplňují kladnou odpověd’, pokud
se při provádění příkazu objeví nějaký potvrzovací dotaz,
•
znak @ na začátku příkazu potlačí výpis tohoto příkazu na obrazovku,
•
znak # na začátku řádku znamená, že celý řádek je komentář.
Samotná inicializace sestává v zásadě ze tří částí, jak je vidět už na příkladu. První část je definice
globálních proměnných a maker. Ty představují zástupná jména pro příkazy a hodnoty, které se dále
vyskytují na více místech inicializace. Druhá část je sekce Global, která obsahuje příkazy, které se
provedou vždy, a může se vyskytovat i několikrát na různých místech skriptu. Třetí část sestává ze
sekcí, které se provádějí jen v případě, že je splněna podmínka, která danou sekci definuje. Taková
sekce vždy začíná zápisem [kategorie: hodnota1, hodnota2, ... ]. Takovýto zápis vyjmenovaných
hodnot pro jednotlivé kategorie je opět specifický pouze pro váš souborový server, syntaxe
inicializačních souborů systému Windows jej nepodporují. Následuje výčet kategorií, podle kterých lze
jednotlivé sekce specifikovat:
•
Group – sekce se provede, pokud je přihlašující se uživatel členem alespoň jedné z vyjmenovaných
skupin (je nutné používat jména skupin z Administrace, nikoliv názvy, pod kterými se zobrazují ve
Windows),
•
User – sekce se provede, pokud se mezi vyjmenovanými hodnotami nachází přihlašovací jméno
nebo přezdívka přihlašujícího se uživatele,
•
Computer – sekce se provede, pokud se jméno počítače shoduje s některým z vyjmenovaných,
•
Server – sekce se provede, pokud se jméno daného PDC nachází mezi vyjmenovanými servery (hodí
se např. ve VPN),
•
OS – sekce se provede, pokud se kód operačního systému běžící na počítači shoduje s některým z
vyjmenovaných. Podporované kódy jsou následující:
•
•
Win95 – kód společný pro systémy Windows 95 a Windows 98
•
Win2k – kód pro systém Windows 2000
•
WinXP – kód pro systém Windows XP
•
Vista – kód pro systém Windows Vista
IP – sekce se provede, pokud je IP adresa počítače mezi vyjmenovanými.
67
Při zadávání hodnot pro jednotlivé sekce můžete využívat zástupné znaky * a ?, kde hvězdička
nahrazuje libovolný počet znaků (tedy i nula) a otazník nahrazuje právě jeden znak. Příklady použití
jsou vidět ve vzorové inicializaci.
Při psaní inicializace můžete využít i globální přednastavené proměnné:
•
computer – obsahuje název počítače, tak jak je zadaný v systému Windows,
•
domain – obsahuje jméno domény, do které se právě přihlašujete (nejedná se o Windows doménu,
ale o skutečnou doménu, ve které jsou účty),
•
groups – obsahuje seznam skupin, do kterých přihlašující se uživatel patří,
•
ip – obsahuje IP adresu počítače, ze kterého se přihlašujete,
•
os – obsahuje kód operačního systému, který na počítači běží,
•
server – obsahuje jméno serveru, tak jak je nastaveno v Administraci,
•
user – obsahuje přihlašovací jméno přihlašujícího se uživatele,
•
workgroup – obsahuje jméno pracovní skupiny, které se rovněž říká Windows doména. Může se
shodovat se skutečným jménem domény, která spravuje účty.
Příklady použití těchto proměnných jsou opět vidět ve vzorové inicializaci.
9.4.3. Příkazy
Při psaní inicializace můžete nad rámec příkladů, které jsou vidět ve vzorové inicializaci, využívat i
všech ostatních příkazů operačního systému MS-DOS. Jako referenční materiál k tomu lze využít
podrobná dokumentace (http://www.computerhope.com/overview.htm) v angličtině.
9.5. Instalace sít’ové tiskárny
Nejprve musí být v Administraci mezi souborovými složkami v doméně přidána složka print$. Tu lze
přidat tlačítkem Přidat speciální složky. Je potřeba k ní nastavit úplná přístupová práva pro
administrátory v doméně a právo čtení pro všechny uživatele, kteří se označují znakem *.
68
Obrázek 9-29. Doménové složky
Obrázek 9-30. Přístupová práva složky print$
Pokud chcete nahrát ovladače tiskárny na server, přihlaste se jako administrátor do domény a otevřete
složku \\jméno_serveru\Tiskárny, kde by měly být vidět tiskárny nainstalované na serveru.
Jejich instalaci obvykle zajistí váš integrátor WebISu. Poté u dané tiskárny zvolíte přes kontextovou
nabídku Vlastnosti a v záložce Upřesnění kliknete na tlačítko Nový ovladač. Pomocí průvodce
instalací vyberte některý z implicitních nebo externí ovladač. Následně se soubory ovladače zkopírují
do podadresáře ve složce print$.
69
Obrázek 9-31. Nový ovladač
V případě potřeby můžete mít na serveru ovladače pro více operačních systémů. Zvolte opět vlastnosti
tiskárny, v záložce Sdílení je tlačítko Nový ovladač. V novém okně si zaškrtnete požadované operační
systémy a z instalačních disků nebo jiných externích zdrojů nainstalujete ovladače.
Obrázek 9-32. Další nastavení pro více operačních systémů
Nyní může doménový administrátor přidat tiskárnu ze serveru mezi systémové tiskárny na pracovní
stanici postupným sledováním nabídek Start/Nastavení/Tiskárny/Přidat tiskárnu. Spustí se průvodce
instalací, kde nejprve zvolte, že přidáváte sít’ovou tiskárnu, dále místo zadávání názvu klikněte na
tlačítko Další. Objeví se seznam domén a pracovních skupin. Rozbalte svoji doménu, pod kterou bude
seznam serverů. Rozbalte váš server a pod ním bude seznam tiskáren. Po zvolení konkrétní tiskárny se
nainstalují ovladače ze serveru. Stejným postupem si poté mohou i běžní uživatelé domény zprovoznit
sít’ovou tiskárnu.
70
Obrázek 9-33. Jedna ze sdílených tiskáren v doméně
Tip: Pomocí příkazu v přihlašovacím skriptu lze dosáhnout toho, že se nová tiskárna v doméně
automaticky přidá každému uživateli, který se do domény přihlásí. Lze rovněž šířit i konfiguraci
tiskárny, nastavovat ji jako výchozí nebo ji odstranit:
• rundll32 printui.dll, PrinUIEntry /dn /n "\\{$server}\stara_tiskarna" /q –
tento příkaz smaže specifikovanou tiskárnu,
• rundll32 printui.dll, PrinUIEntry /in /n "\\{$server}\tiskarna" – tento
příkaz přidá specifikovanou tiskárnu a zkopíruje ze serveru i její nastavení,
• rundll32 printui.dll, PrinUIEntry /y /n "\\{$server}\tiskarna" – tento příkaz
nastaví specifikovanou tiskárnu jako výchozí.
9.6. Další nastavení
9.6.1. Nastavení doménového uživatele jako správce
pracovní stanice
Pokud firemní sít’ zahrnuje více poboček nebo v ní existuje větší množství uživatelů, může být
výhodné personálně od sebe oddělit správu serveru a správu pracovních stanic. V existující doméně je
pak možné nastavit uživatele, který bude moci plně spravovat pracovní stanice, ale nebude mít
administrátorská oprávnění k samotnému serveru.
Doporučený postup je následující: vytvořte v doméně skupinu uživatelů, např. pc_admins a do ní
přidejte zvolené doménové uživatele. Tuto skupinu přidejte na pracovní stanici do přednastavené
lokální skupiny Administrators. Tento úkon může provést pouze uživatel, který má právo měnit tuto
skupinu, například doménoví administrátoři ze skupiny Domain Admins na serveru.
71
Obrázek 9-34. Přidání zvolených doménových uživatelů do skupiny
Obrázek 9-35. Přednastavené skupiny uživatelů ve Windows
Obrázek 9-36. Přidání doménové skupiny do skupiny Administrators
72
9.6.2. Změna hesla uživatele
Heslo si může uživatel měnit bud’ v sekci Nastavení ve WebISu nebo v systému Windows na členské
pracovní stanici v doméně.
Obrázek 9-37. Změna uživatelského hesla ve WebISu
Na pracovní stanici se postup změny uživatelského hesla liší v závislosti na verzi systému Windows,
která na dané stanici běží.
9.6.2.1. Windows 98
Systém Windows 98 je již natolik zastaralý, že plně nepodporuje domény, automatické vytváření
profilů a přebírání hesel z domény. Pokud používáte tento systém, můžete heslo v doméně měnit bud’
sami ve WebISu nebo prostřednictvím správce systému v Administraci. Vzhledem k tomu, že systém
Windows 98 rozlišuje mezi hesly do domény a lokálními hesly na pracovních stanicích, bude při
přihlášení na stanici požadovat obě, pokud nejsou stejná. Doménové heslo si lze ovšem zapamatovat
při zadávání prostřednictvím zaškrtávacího políčka Uložit toto heslo do seznamu hesel. Nebo je také
možné při změně doménového hesla změnit i heslo na pracovní stanici. To lze udělat v Ovládacích
panelech ve složce Uživatelé, jak je vidět na obrázku.
73
Obrázek 9-38. Změna uživatelského hesla v systému Windows 98
9.6.2.2. Windows 2000 a Windows XP
Oba tyto systémy již rozpoznávají příslušnost uživatele k doméně, takže je jedno, jestli si heslo
změníte ve WebISu nebo na pracovní stanici. Heslo na pracovní stanici se mění v obou systémech
stejně. Nejprve stisknete kombinaci kláves Ctrl, Alt a Del a z nabídky, která se objeví, kliknete na
tlačítko Změnit heslo.... Viz obrázek.
Obrázek 9-39. Změna uživatelského hesla v systému Windows 2000
74
9.6.3. Změna názvu počítače
9.6.3.1. Windows 98
Změna názvu počítače v systému Windows 98 je snadná záležitost. Otevřete Ovládací panely, v nich
zvolíte složku Sít’ a v ní záložku Identifikace, kde již můžete název změnit. Viz obrázek. Po potvrzení
změny je potřeba restartovat počítač.
Obrázek 9-40. Změna názvu počítače v systému Windows 98
9.6.3.2. Windows 2000 a Windows XP
Z důvodu podpory VPN a několika dalších technických důvodů je změna názvu počítače v systémech
Windows 2000 a Windows XP o něco komplikovanější v tom smyslu, že vyžaduje dva restarty
počítače. Nejprve je potřeba počítač přejmenovat a vyjmout ho ze stávající domény tak, že pro něj
vytvoříme dočasnou pracovní skupinu. Následuje první restart počítače, po kterém počítač s novým
názvem vrátíme do původní domény, budeme vyzváni k zadání uživatelského jména a hesla uživatele
majícího oprávnění připojovat počítače k doméně (obvykle uživatel admin) a znovu restartujeme.
V systému Windows 2000 se všechny tyto změny provádějí v dialogovém okně Změny identifikace. K
té se dostanete z Ovládacích panelů, ve složce Systém v záložce Identifikace v síti pod tlačítkem
Vlastnosti. Viz obrázek.
75
Obrázek 9-41. Změna názvu počítače v systému Windows 2000
Obrázek 9-42. Změna názvu počítače v systému Windows XP
76
Kapitola 10. Systémový monitoring
Monitor systému je služba, která vizualizuje data o provozu serveru nasbíraná z různých subsystémů
do podoby grafů. Data lze také exportovat do souboru pro další práci. Grafy lze zobrazovat pro různá
časová období a pohled na ně lze přibližovat a oddalovat.
Obecné funkce v menu nad grafem jsou následující:
•
Automaticky obnovovat – pokud je tato funkce zapnuta, každých pět minut se načtou nová data do
grafu. Jinak je nutné načíst aktuální údaje tlačítkem Obnovit.
•
Exportovat do CSV – uloží aktuální grafová data do textového souboru s hodnotami oddělenými
středníkem pro tabulkový procesor.
Obrázek 10-1. Systémový monitor
Výběrové menu Název grafu obsahuje jednotlivé typy subsystémů, které jsou monitorovány:
•
využití dočasné paměti – zobrazuje volnou pamět’ a místo obsazené systémovou dočasnou pamětí.
Buffery se typicky využívají jako dočasná vyrovnávací pamět’ mezi jádrem a vnějším zařízením,
kam je potřeba data zapsat, zatímco cache je jiný typ vyrovnávací paměti, do které se ukládají
nejnovější data načtená z disku nebo jiného zařízení, aby se v případě potřeby mohla příště použít
okamžitě. Pro plynulý provoz serveru je vhodné, aby cachovaná část paměti byla co největší a
přitom obsazené místo na odkládacím prostoru (swapu) co nejmenší.
•
obsazení RAM a swapu – tento graf zobrazuje celkové rozdělení operační paměti a odkládacího
prostoru na obsazené a neobsazené segmenty. V obsazené paměti je tedy započítána pamět’ jádra
systému i dočasná pamět’ (buffery a cache). Z tohoto grafu lze mimo jiné odečíst, kolik operační
paměti je na serveru instalováno a kolik odkládacího prostoru je na něm nastaveno.
•
běžící procesy – zobrazuje počet aktuálně běžících procesů.
77
Kapitola 10. Systémový monitoring
•
nově vznikající procesy – zachycuje počet nově vznikajících procesů za sekundu. Příliš vysoké
hodnoty v tomto grafu mohou signalizovat vážné výkonnostní problémy serveru, jelikož vytváření
procesů přímo zatěžuje jádro systému. Přitom příliš rychlé vytváření velkého množství procesů
může být primární příčinou problému se zátěží serveru.
•
vytížení procesoru – barevně odlišuje různé druhy zátěže procesoru. Nejmenší důležitost mají
neprioritní procesy, protože ty nikdy neblokují prostředky serveru, pokud je jich zapotřebí jinde.
Naopak nejzávažnější je zátěž pocházející z čekání na proběhnutí vstup/výstupních operací, zejména
na disková zařízení.
•
provoz na swapu – zachycuje množství dat za sekundu, která byla zapsána na odkládací prostor
operační paměti, nebo z něj byla načtena. V ideálním případě je provoz na swapu minimální, protože
tato pamět’ je podstatně pomalejší než operační pamět’.
•
fronta čekajících procesů – zobrazuje přesné počty procesů, které aktuálně čekají na obsluhu
procesorem. Tento údaj je jedním z těch, z nichž se vypočítává průměrná zátěž systému (load).
•
průměrná zátěž systému – graf vizualizuje úhrnnou systémovou zátěž v pětiminutových a
čtvrthodinových průměrech. Konečná hodnota se počítá jako exponenciálně vážený pohyblivý
průměr z periodicky měřených hodnot. Každá tato hodnota je celé číslo a představuje počet procesů,
které běží, čekají na spuštění nebo čekají na odezvu vstup/výstupního subsystému.
Minimální a maximální hodnoty uvedené v legendě grafu se vždy vztahují k aktuálně zobrazené části
grafu. V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval. Tlačítka s
lupou slouží k přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení
následujícího kratšího intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí
směrových šipek v téže liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje
aktuální časový interval.
78
Kapitola 11. Lokální sítě
V této kapitole je popsáno, jak jednoduše vytvářet a nastavovat lokální sítě na serveru a jak
monitorovat a omezovat datový provoz v těchto sítích.
11.1. Určování lokálních sítí
V tomto okně můžete každé sít’ové kartě v serveru vytvořit sít’ové rozhraní. Je obvyklé, že jedna
sít’ová karta komunikuje s okolním světem, tedy s Internetem, zatímco ostatní komunikují s firemními
lokálními sítěmi, tedy s intranetem. Po nakonfigurování serveru našimi techniky budete mít
přednastaveny dvě rozhraní v nejvyšší vrstvě lokálních sítí. Jsou jimi internet a intranet1 a jejich jména
nelze měnit. Další lokální sítě v nejvyšší vrstvě mohou rovněž přidávat pouze naši technici v závislosti
na tom, kolik sít’ových karet chcete mít ve svém serveru v provozu.
Pokud chcete lokální síti přidat podsít’, nejprve tuto sít’ vyberte zaškrtávacím políčkem vpravo a potom
klikněte na tlačítko Přidat a zadejte jméno podsítě. V tomto případě již můžete použít libovolné jméno.
Pokud chcete nějakou sít’ smazat, označte ji zaškrtávacím políčkem vpravo a potvrd’te volbu tlačítkem
Smazat. Mazat můžete jen (pod)sítě, které neobsahují žádné jiné podsítě, případně můžete označit sít’,
kterou chcete smazat, a současně označit všechny její podsítě. V tom případě se smaže vše označené.
Kliknutím na jméno podsítě se dostanete do okna nastavení pro tuto sít’.
Ve stromu lokálních sítí lze prostřednictvím vstupního pole Filtr vyhledávat zanořené podsítě podle
názvu. Pokud je ve výsledku deset a více podsítí, pak zůstanou příslušné nadřazené sítě ve stromu
zabaleny. Při vstupu do přehledu sítí jsou implicitně zabaleny druhá a všechny hlubší úrovně stromu.
Tip: Kvůli vyšší přehlednosti a také kvůli snížení nároků na server při rozřazování příchozích
paketů je doporučeno při definování podsítí důsledně využívat sít’ových masek (tedy společných
částí IP adres) a používat "košatější" hierarchii ve stromové struktuře sítí. To znamená, že počty
zanořených sítí a počty podsítí v jedné síti by si měly zhruba odpovídat. Pokud totiž například
nadefinujeme několik set podsítí všechny jako přímé podsítě jiné a navíc pomocí absolutních IP
adres (tedy se všemi platnými bity, bez použití masky), může v závislosti na použitém hardwaru a
vytížení jednotlivých podsítí dojít k tomu, že se server při třídění paketů přetíží a začne je ztrácet.
Poznámka: Je obvyklé, že sít’ové rozhraní komunikující s Internetem nemá podsítě, protože na
těchto podsítích by nebylo možné plně využívat řízení a omezování provozu.
79
Obrázek 11-1. Příklad rozdělení lokálních sítí.
11.2. Nastavení rozhraní
Název sítě smíte měnit pouze na podsítích nějakého sít’ového rozhraní. Názvy sítí v nejvyšší vrstvě
jsou pevně dané v konfiguraci serveru a nelze je měnit bez konzultace s našimi techniky. Právě jedno
sít’ové rozhraní v nejvyšší vrstvě musí být označeno jako implicitní. Implicitní sít’ové rozhraní je
rozhraní, přes které tečou data do Internetu. Pokud server konfigurují naši technici, je jako implicitní
rozhraní nastaveno sít’ové rozhraní internet.
Políčko Záznam dat do grafů umožňuje zapnout vytváření grafů průměrných a maximálních rychlostí
přenosů v čase z a do zvoleného sít’ového rozhraní. Podrobnosti najdete v podkapitole o grafech.
Pokud je tato funkce vypnuta, šetří se tím procesorový výkon serveru. Políčko Záznam dat do DB
sít’ového provozu umožnuje zapnout vytváření databáze statistik provozu v síti. Tato volba je dostupná
pouze pro sít’ová rozhraní, data z jednotlivých podsítí lze zobrazit v jejich vlastní záložce Sít’ový
provoz. Podrobnosti najdete v příslušné kapitole. Pokud potvrdíte tuto volbu, objeví se ve formuláři
pole pro zadání maximální velikosti této databáze v megabytech. Implicitní hodnota je 1000 MB,
maximální povolená je 10000 MB, ovšem lze ji na požádání upravit podle konkrétních požadavků.
Databáze provozu se každý den ukládá do zvláštního souboru. Pokud velikost všech takto uložených
souborů překročí nastavené maximum, začnou se mazat ty nejstarší. Soubor za poslední den se nikdy
nesmaže, i když je větší než nastavené maximum.
Tip: Pokud potřebujete ušetřit procesorový výkon serveru, můžete toho dosáhnout vypnutím
záznamu dat o připojeních a rychlostech. Výpočet křivkových a koláčových grafů se provádí na
základě zaznamenaných dat z různých zdrojů. Výpočet křivkových grafů je méně náročný než
zápis dat do databáze sít’ového provozu, ale teprve vypnutí jak grafů, tak sít’ového provozu na
celém rozhraní může mít za následek zrychlení odezvy ostatních serverových služeb; při silném
provozu až v řádu desítek procent. Například pokud má vlastník serveru nainstalován pouze
firewall (poskytovatel internetového připojení), pak je téměř bezpředmětné zaznamenávat provoz
na rozhraní směřující do Internetu. Příchozí provoz je zanedbatelný a nezajímavý, protože na
serveru neběží žádná jiná služba. Naopak odchozí provoz pochází téměř výhradně z lokální sítě,
což s sebou nese dva faktory. Jednak může být provoz serveru s lokální sítí zaznamenáván na
intranetovém rozhraní zvlášt’ a jednak provoz přes rozhraní do Internetu už prošel IP
maškarádou, takže takto zaznamenaná data nemají velkou vypovídací hodnotu.
80
Aby bylo možné s rozhraním provádět jakékoliv operace, je nutné, aby mělo nastavenu nejméně jednu
(fyzickou) IP adresu. Sít’ové rozhraní (sít’ová karta) ovšem může mít na serveru přiřazeno více IP
adres. Server se ke k nim chová stejně, jako kdyby měl pro každou takovou IP adresu vlastní sít’ovou
kartu. Adresy rozhraní zadávejte ve tvaru IP adresa/maska sítě (např. 192.168.1.1/24 nebo
192.168.1.1/255.255.255.0), kde IP adresa je adresa přidělená serveru, zatímco maska sítě
udává, která část IP adresy je vyhrazena pro číslování konkrétních počítačů v síti. U sít’ových rozhraní
je nutné, aby všechny IP adresy byly zadány v úplném tvaru, a to i v případě, že maska na této adrese je
kratší než 32 bitů.
Obrázek 11-2. Příklad implicitního internetové rozhraní.
I v případě podsítě můžete nastavovat, zda je implicitní. Při řízení a omezování provozu v podsítích je
implicitní sít’ ta, která obsahuje všechny počítače z nadřazené sítě, které nejsou zadány v jiné sousední
podsíti. To znamená, že pokud je daná podsít’ implicitní, není nutné jí přiřazovat žádný rozsah IP
adres, jelikož ten už je dán rozdílem rozsahů nadřazené sítě a rozsahů definovaných v sousedních
podsítích. V každé podsíti může být právě jedna implicitní. Rozsahy IP adres pro jednotlivé počítače v
síti se opět zadávají ve tvaru IP adresa sítě/maska sítě. V tomto případě jsou významné
pouze ty bity adresy, které jsou pokryty maskou.
Příklad 11-1. Masky IP adres
Např. v adrese 192.168.1.1/255.255.255.255 (resp. 192.168.1.1/32) jsou významné
všechny bity adresy a tento rozsah tedy obsahuje právě jeden počítač s IP adresou 192.168.1.1.
Ovšem v případě adresy 192.168.1.1/255.255.255.0 (resp. 192.168.1.1/24) jsou
významné první tři čísla adresy a tento rozsah tedy popisuje počítače s IP adresami 192.168.1.1 až
192.168.1.255.
81
Obrázek 11-3. Příklad neimplicitní intranetové sítě.
11.3. Kontroly sít’ového toku
Kontrolou sít’ového toku se rozumí souhrn funkcí systému, které umožňují nastavovat a regulovat
množství dat protékající skrze sít’ové karty serveru mezi počítači v intranetu a serverem nebo z
Internetu a do Internetu.
Poznámka: Anglicky se tyto funkce souhrně nazývají Quality of Service neboli kvalita služeb a
běžně se pro ně užívá zkratka QoS.
Každé sít’ové rozhraní musí mít nastavenu rychlost. Tato rychlost by měla odpovídat maximální
rychlosti sít’ové karty, na které je sít’ové rozhraní nastaveno a která je ve většině případů rovna
hodnotě 100Mbit. Tato hodnota bývá rovněž přednastavena a obvykle ji není potřeba měnit.
U každé sítě, kterou máte definovánu, můžete kontrolovat toky dat tří typů:
•
tok směřující z rozhraní – zahrnuje provoz, který směřuje ze serveru, ale nesměřuje z Internetu.
Typicky se jedná o stahování pošty protokolem IMAP, přenosy dat z lokálního souborového serveru
nebo využívání jiných služeb, které běží na serveru.
•
tok směřující z Internetu – zahrnuje provoz, který přichází skrze implicitní rozhraní z vnějšího světa.
•
tok směřující do Internetu – zahrnuje provoz, který směřuje skrze implicitní rozhraní do vnějšího
světa.
Pokud chcete u některé sítě kontrolovat tok dat, musíte tento tok nejprve označit zatrhávacím políčkem.
Důležitým údajem je zaručený tok, který určuje nejnižší zaručenou rychlost provozu pro danou sít’.
Nejvyšší možnou rychlost provozu naopak udává hodnota maximální tok. Pokud některý počítač
nevyužívá plně kapacitu svého maximálního toku, rozdělí se tato přebytečná kapacita mezi jiné sítě
nebo rozhraní, a to v poměru jejich zaručených toků.
82
Obrázek 11-4. Příklad nastavení kontroly řízení provozu na sít’ovém rozhraní.
Příklad 11-2. Přerozdělení kapacity toku nad rámec zaručeného toku
Mějme sít’ové rozhraní s maximálním tokem 128 kbit a na něm dvě podsítě s maximálními toky
rovněž 128 kbit a se zaručenými toky 16 a 32 kbit. Součet zaručených toků je tedy 48 kbit a zbývající
kapacita je 80 kbit. Poměr zaručených toků je 1:2. Řekněme, že jedna podsít’ bude komunikovat
rychlostí svého maximálního toku, zatímco druhá nebude komunikovat vůbec. Pokud ona neaktivní sít’
začne komunikovat a bude schopna přijímat data rychlostí svého maximálního toku, pak už součet
rychlostí přijímaných dat bude vyšší než je maximální tok nadřazené sítě a proto se rychlosti toků pro
podsítě musí přerozdělit. Každá podsít’ dostane svůj zaručený tok a k němu část ze zbývajících 80 kbit
kapacity podle uvedeného poměru zaručených toků. Pomalejší linka tedy bude komunikovat rychlostí
16+26.66 kbit a ta druhá rychlostí 32+53.33 kbit. To dává dohromady 128 kbit, což je maximální tok
nadřazené sítě.
Priorita toku udává, jak rychlá bude odezva sít’ové služby např. při kliknutí myši na internetový odkaz.
Toky s vyšší prioritou budou dostávat přednost před jinými toky, takže práce s nimi bude plynulejší.
Toto ovšem typicky platí jen pro malé přenosy dat nebo pokud sít’ není vytížena nad úroveň svého
zaručeného toku, protože zaručený tok jednoho už nedovolí ostatním tokům předbíhat, at’ už mají
jakkoliv vysokou prioritu.
Obecná pravidla pro nastavování zaručených a maximálních toků jsou následující. Maximální toky na
implicitních sít’ových rozhraních by měly být o něco nižší oproti rychlosti od poskytovatele internetového
připojení, aby bylo možno efektivně omezovat a řídit průchod dat sítí s ohledem na vyrovnávací paměti,
mezifronty apod. Totéž platí pro intranetová sít’ová rozhraní s ohledem na provoz na serveru. Maximální tok
83
podsítě nesmí být vyšší než je maximální tok její nadřazené sítě. Součty rychlostí zaručených toků podsítí
pro jednotlivé typy toků nesmí překročit zaručený tok pro tentýž typ toku u nadřazené sítě.
Provoz na sít’ových rozhraních lze třídit na datové toky komunikující s Internetem a datové toky
komunikující se samotným rozhraním. Za tok jdoucí z Internetu se považuje datový provoz pocházející
z neznámé IP adresy a odchozí datový provoz ze serveru procházející přes port, který není uveden,
respektive je zakázán v seznamu porty na rozhraní.
Porty se do seznamu zadávají po jedné položce, která může mít tvar jednoho čísla (25), číselného
rozsahu (1024-65535), negace čísla pro zakázání portu (!3128) nebo masky označující všechny porty
(*). Aby bylo možné efektivně omezovat a řídit provoz směrem z Internetu, je potřeba na sít’ových
rozhraních definovat seznam portů, přes které se s Internetem nekomunikuje. To se nejčastěji provede
tak, že se povolí všechny porty maskou * a současně se zakáží standardně konfigurované porty pro
komunikaci s Internetem. Ty zahrnují porty 3128 a 8080 pro proxy cache a port 80 pro transparentní
proxy cache. Proto doporučujeme, aby seznam portů pro sít’ová rozhraní obsahoval tyto položky: *,
!80, !3128, !8080. Podsítím stačí přidat do seznamu položku *, což znamená převzetí všech portů
(včetně zakázaných) nastavených v nadřazené síti.
11.4. Aktuální sít’ový provoz
V rámci jednotlivých sít’ových rozhraní lze podrobně sledovat množství přenesených dat nebo počty
různých spojení ve specifikovaných časech. Sledování aktuálního sít’ového provozu poskytuje úplný a
strukturovaný záznam sít’ové komunikace. Data se ukládají do databáze MySQL a to každý den do
nové.
Příklad 11-3. Praktické použití výpisu sít’ového provozu
Pokud vás například zajímá, který počítač během dopoledne nejvíce vytěžoval váš server a ke kterým
službám se připojoval, zjistíte to následujícím způsobem. Nejprve ve výběrovém menu Filtr zvolíte
přednastavenou hodnotu komunikace tohoto serveru s jinými počítači. Dále ve výběrovém menu v
prostoru pod grafem zvolíte položku zadaný rozsah a vyplníte například 9 až 12 hodin. Potom v
tabulce kliknete na rozbalovací menu u prvního sloupce a zvolíte IP – Ostatní. Uvidíte seznam strojů,
které komunikovali se serverem, uspořádaný podle množství přenesených dat. Pak kliknete na jméno
nebo IP adresu prvního počítače v seznamu a v rozbalovacím menu zvolíte Porty – Server. Následně v
seznamu uvidíte čísla nejvytíženějších portů, které jsou v případě významných serverových služeb
pojmenované.
Zobrazovaní samotných dat o přenosech se řídí několika úrovněmi omezujících podmínek. Jedná se o
filtry, časy a spojení.
Ještě před jejich popisem je potřeba se zmínit o některých obecných funkcích dostupných z
rozbalovacího menu:
•
položka menu Překládat IP na jména – tato funkce, pokud je povolena, automaticky překládá číselné
adresy v tabulce na doménová jména podle jednotlivých DNS. Pokud překlad trvá déle než 10
84
sekund, proces se přeruší a adresy, na jejichž překlad se ještě nedostalo, se v seznamu zobrazí v
hranatých závorkách.
•
položka menu Zobrazovat množství za sekundu – pokud je tato funkce povolena, tak se v tabulce
výsledků budou namísto celkových množství přenesených dat zobrazovat průměrné přenosové
rychlosti za sekundu pro stejný časový interval.
•
položka menu Exportovat do CSV – tato funkce uloží obsah aktuálně zvolené tabulky do textového
výměnného formátu CSV. Ačkoliv do tabulky samotné se z databáze vypisuje nejvýše 60 řádků,
export do souboru jich obsahuje nejvýše 1000.
•
tlačítko Obnovit – tato funkce aktualizuje právě zobrazovaná data v tabulce. Ta se mohou měnit
zejména v závislosti na zvoleném časovém intervalu. Pokud je povolena funkce Překládat IP na
jména a překlad byl kvůli pomalé odezvě přerušen, tato funkce se rovněž pokusí dopřekládat IP
adresy zobrazené v hranatých závorkách.
11.4.1. Filtry
Filtr je primární prostředek pro omezení výpisu dat z databáze sít’ového provozu. Jeho nejdůležitější
funkcí je vymezit komunikující strany, aby bylo možno vhodně interpretovat výsledná data. Několik
přednastavených filtrů je k dispozici ve stejnojmenném výběrovém menu, jak je vidět na obrázku níže.
V menu nalevo jsou položky na vytváření, editování a mazání filtrů. Přednastavené filtry nelze editovat
ani mazat. Při vytváření nového uživatelského filtru se do jeho nastavení zkopírují údaje z aktuálně
zvoleného filtru. Podrobný popis nastavení uživatelských filtrů najdete v kapitole níže.
Obrázek 11-5. Filtry sít’ového provozu.
11.4.1.1. Přednastavené filtry
•
komunikace lokální sítě s Internetem – na lokální straně filtru jsou všechny IP adresy uvnitř sítě s
85
vyloučením adres sít’ových rozhraní, na protější straně je jakákoliv IP adresa, která nenáleží do
žádné sítě na lokálním serveru. Součty nejsou nijak omezeny.
•
komunikace tohoto serveru s jinými počítači – na lokální straně jsou všechny IP adresy lokálního
serveru, na protější straně je jakákoliv jiná IP adresa. Součty nejsou nijak omezeny.
•
všechna komunikace – tento filtr neobsahuje žádná omezení – vlastně nic nefiltruje, ale poskytuje
pohled na všechna zaznamenaná data. Proto je seznam IP adres nebo portů ve výsledné tabulce za
obě strany stejný (strany nejsou specifikovány). Proto jsou také množství odeslaných a přijatých dat
při zobrazení provozu přes protokoly nebo v minutovém rozvrhu totožné – jsou započítány zdrojové
i cílové adresy a sloupec Celkem pak tedy de facto zobrazuje dvojnásobné množství přenesených
dat.
11.4.2. Časy
V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval. Tlačítka s lupou
slouží k přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení následujícího
kratšího intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí směrových šipek
v téže liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje aktuální časový
interval.
Obrázek 11-6. Časové filtry sít’ového provozu.
11.4.3. Spojení
Tabulka pod grafem zobrazuje data, která odpovídají zadanému filtru v daném časovém intervalu.
První sloupec zobrazuje procentuální podíl jednotlivých spojení na celkovém objemu přenesených dat.
86
Záznamy, které pokrývají méně než jedno procento úhrnného sít’ového provozu, se zobrazují
dohromady pod jednou barvou.
Druhý sloupec obsahuje zvolenou podmínku pro zobrazovaná data spojenou s výběrovým menu pro
její změnu. U IP adres a portů je za pomlčkou vyznačeno jméno komunikující strany, které je součástí
zvoleného filtru a je bud’ přednastaveno nebo nastaveno uživatelem. Více v podkapitole o filtrech:
•
IP – podle názvu, který následuje za pomlčkou se jedná bud’ o lokální IP adresy nebo o protější IP
adresy tak, jak jsou nadefinovány ve zvoleném filtru. Výsledný seznam obsahuje IP adresy, které se
na příslušné straně podíleli na datovém přenosu na sít’ovém rozhraní.
•
Porty – port je číslo, které protokoly TCP a UDP používají k identifikaci služeb nebo aplikací, které
komunikují přes sít’. Podle názvu, který následuje za pomlčkou, se jedná bud’ o lokální porty nebo o
protější porty tak, jak jsou nadefinovány ve zvoleném filtru. Čísla portů se automaticky překládají,
pokud jsou tyto porty pojmenovány. Položky beze jména a bez čísla označená pomlčkou nejsou ve
skutečnosti porty, ale přenosy vztahující se k protokolům, které porty nepoužívají, např. ICMP.
•
Protokoly – protokol se soubor pravidel, podle kterých probíhá provoz skrze počítačovou sít’. Při
zobrazení provozu podle protokolů se nerozlišují komunikující strany na lokální a protější.
•
Minuty – nejjemnější časový interval pro zobrazení je pět minut, ale touto volbou můžete zobrazit
datové přenosy pro každou minutu ve zvoleném intervalu. Při tomto zobrazení se nerozlišují
komunikující strany na lokální a protější.
Obrázek 11-7. Spojení sít’ového provozu.
Ke každé položce v tabulce lze zobrazit kliknutím další podrobnosti výběrem jiné omezující podmínky
z menu. V takovém případě se všechna dosavadní omezení zobrazují postupně za sebe do stavového
řádku těsně pod graf. Tento stavový řádek obsahuje první až předposlední omezující podmínku,
poslední podmínka je potom zobrazena v názvu druhého sloupce tabulky. Podmínky ve stavovém
řádku mají rovněž své menu, které se otevře při kliknutí. Položka Jdi zpět na zruší všechny později
zadané podmínky, položka Odstranit podmínku vyjme jen onu zvolenou z posloupnosti podmínek a
87
položka Upravit podmínku umožní změnit konkrétní hodnotu pro danou podmínku. Kliknutím na
tlačítko Zpět zrušíte poslední podmínku v posloupnosti.
Obrázek 11-8. Příklad posloupnosti omezujících podmínek při zobrazení sít’ového provozu.
Následuje stručný popis zbývajících sloupců tabulky:
•
odesláno – název tohoto sloupce obsahuje pro porty a IP adresy také jméno komunikující strany
použité ve filtru, aby nemohlo dojít k nedorozumění při interpretaci množství přenesených dat.
•
přijato – množství přijatých dat se vždy vztahuje k opačné komunikující straně, než která je
specifikována u sloupce odesláno.
•
celkem – součet sloupců odesláno a přijato. Pokud máte aktivní filtr, ve kterém nejsou specifikovány
komunikující strany (např. implicitní filtr všechna komunikace), pak při zobrazení podmínek, které
komunikující strany nerozlišují (např. zobrazení provozu podle protokolů), započítávají příchozí i
odchozí data dvakrát. Proto jsou v tomto případě relevantnější hodnoty ze sloupce odesláno nebo
přijato. Ty zahrnují všechny komunikující strany a proto jsou totožné.
•
paketů – celkový počet přenesených paketů v daném časovém rozsahu.
•
spoj. – počet spojení, která byla pro danou položku v seznamu navázána v době vymezené
nastaveným časovým intervalem. Pokud je tato hodnota nulová, zatímco přenesených dat je více,
znamená to, že bud’ byla tato data přenesena protokoly, které spojení nenavazují (např. UDP nebo
ICMP) nebo byla všechna spojení navázána ještě před okamžikem začátku zvoleného časového
rozsahu.
•
v čase – obsahuje přepočítání aktuálně zvoleného časového intervalu do konkrétních hodnot.
11.4.4. Konfigurace vlastního filtru
Při vytváření nebo editaci filtru se otevře nové dialogové okno. Název filtru by měl popisovat, jaká data
filtr z databáze vyhledává. Výběrové menu Uložit do se týká přístupových práv, tedy dostupnosti
88
tohoto filtru jiným uživatelům. Filtr může být přístupný bud’ pouze samotnému uživateli nebo všem
uživatelům, kteří mají nastaveno oprávnění číst graf v dané lokální síti, resp. na celém serveru.
Obrázek 11-9. Nový filtr.
Aby bylo možné se lépe orientovat ve vypočítaných údajích, je možné přidělit jednotlivým
komunikujícím stranám vlastní názvy (nejvýše 10 znaků). IP adresy a porty jedné strany (obvykle
lokální) jsou označeny proměnnými ip a port, IP adresy a porty protější strany pak proměnnými
second_ip a second_port. Názvy jednotlivých stran jsou potom vyznačeny u zvolené podmínky a u
sloupce s množstvím odeslaných dat ve výsledné tabulce.
Následují dvě pole, do kterých se zadávají další omezující podmínky filtru. Pole Vyhledávání
upřesňuje parametry komunikujících stran, pole Součty se týká omezení souhrnných množství
přenesených dat v různých formátech (počet bytů, paketů nebo spojení). Obě tato pole přijímají předpis
v podobě asociativního pole (nazývaného také hash) v syntaxi jednoduchého jazyka JSON
(http://www.json.org). Prvky hashe jsou dvojice ve tvaru (klíč: hodnota), případně pole, jehož
prvky jsou hashe. Vyhodnocování výsledného předpisu takového zápisu se řídí následujícími pravidly:
•
Pokud omezující podmínka obsahuje více hashů spojených do výsledného pole, aplikuje se na ně
logický součet. To znamená, že údaje z databáze odpovídající kterémukoliv dotazu zapsanému v
hashi, se objeví ve výsledné tabulce sít’ového provozu.
•
Pokud jeden hash obsahuje více prvků, aplikuje se na ně logický součin. To znamená, že aby byla
splněna podmínka celého hashe, musí být splněny všechny podmínky v něm.
Pro samotné psaní omezujících podmínek je potřebná znalost klíčů, hodnot a proměnných, které lze v
hashích využívat. Pro pole jako hodnotu klíče existují tři speciální řetězce, které ovlivní
vyhodnocování jeho obsahu, pokud jsou umístěny jako první prvek pole:
•
or – při vyhodnocování výrazu se prvky pole spojí operací logického součtu.
•
and – při vyhodnocování výrazu se prvky pole spojí operací logického součinu.
•
not – při vyhodnocování výrazu se použije negace obsahu pole.
89
Pokud není zadán žádný z těchto řídících řetězců, vyhodnocuje se obsah pole tak, jako by byl zadán
řetězec or. Pole může obsahovat jako prvek další pole. Následuje popis jednotlivých klíčů s příklady.
Tip: V zápisu vlastních filtrů lze používat dokonce ještě odlehčenější a přehlednější syntaxi jazyka
JSON (http://www.json.org):
• kolem jmen klíčů není potřeba psát uvozovky,
• řády tisíců lze v zápisu čísla oddělovat podtržítkem (např. 1_000_000),
• prvky polí a hashů není potřeba oddělovat čárkou.
Poznámka: Zápis vyhledávacího nebo součtového filtru může obsahovat komentáře. Ty mohou
být označeny bud’ takto: /* všechno tohle je komentář */ , nebo mohou být uvozeny
dvěma lomítky: // vše až do konce řádku je komentář .
11.4.4.1. Vyhledávání
K dispozici jsou tyto klíče do hashů:
•
ip – specifikuje IP adresu, která se bude hledat v databázi. Tento klíč samostatně neurčuje
komunikující stranu. Hodnotu lze zapisovat bud’ klasicky jako čtveřici číslic (1.1.1.1), jako celé
číslo (v našem příkladu 16843009) nebo jako zápis s maskou ve tvaru 1.1.1.1/16 nebo
1.1.1.1/255.255.0.0. Je možné také zadávat jméno počítače (hostname – např.
aurora.priklad.cz).
•
second_ip – specifikuje IP adresu na protější straně spojení, pokud je již specifikován klíč ip. Jinak
se chová stejně jako klíč ip.
•
port – specifikuje číslo portu. Tento klíč samostatně nespecifikuje komunikující stranu, ale vztahuje
se ke klíči ip, resp. k opačné straně specifikované v klíči second_ip, pokud je některý z těchto klíčů
uveden. Hodnotou je bud’ řetězec s názvem portu (např. ssh) nebo celé číslo (v našem příkladu 22).
•
second_port – specifikuje port vztahující se ke komunikující straně specifikované klíčem second_ip,
resp. k opačné straně, než která je specifikována klíčem ip nebo port, pokud je některý z těchto klíčů
uveden.
•
time – specifikuje hodinu a minutu, kdy byl záznam zapsán do databáze. Hodnotou je bud’ řetězec
(např. 11:11) nebo celé číslo označující číslo minuty v daném dnu (v našem příkladu tedy 671).
•
protocol – specifikuje komunikační protokol spojení. Hodnotou je bud’ řetězec (např. tcp) nebo
číslo protokolu (v našem příkladu tedy 6).
Hodnoty k těmto klíčům mohou být seskupeny do polí a mohou obsahovat následující proměnné:
•
all_networks – označuje všechny IP adresy, které nastaveny na všech lokálních sítích. Do tohoto
výčtu spadají i adresy definované maskou sítě.
90
•
interface_ips – označuje všechny IP adresy náležící sít’ovému rozhraní, do kterého filtr náleží. Do
tohoto výčtu se nepočítají adresy definované maskou sítě.
•
all_ips – označuje IP adresy všech sít’ových rozhraní na serveru. Do tohoto výčtu se nepočítají
adresy definované maskou sítě.
•
network – označuje všechny IP adresy náležící sít’ovému rozhraní, do kterého filtr náleží. Do tohoto
výčtu spadají i adresy definované maskou sítě.
Příklad 11-4. Příklad vyhledávacího filtru.
{
second_ip: [ "not", "${all_networks}" ],
ip: [
"and",
"${network}",
[ "not", "${interface_ips}" ]
]
}
Tento filtr zobrazí komunikaci adres v síti, s výjimkou adres sít’ového rozhraní, s adresami, které
nepatří do žádné definované lokální sítě. Je to tedy komunikace aktuální lokální sítě s Internetem.
11.4.4.2. Součty
K dispozici jsou tyto klíče do hashů:
•
bytes1_2_sum, bytes2_1_sum – specifikuje množství přenesených bytů, které se zobrazují v tabulce
ve sloupcích odesláno a přijato. Strana 1 je určena hodnotou klíče ip, strana 2 hodnotou klíče
second_ip. Hodnoty jsou přirozená čísla.
•
bytes_sum – specifikuje celkové množství přenesených bytů, které odpovídá sloupci celkem ve
výsledné tabulce. Jedná se o součet hodnot klíčů bytes1_2_sum a bytes2_1_sum. Hodnotou je
přirozené číslo.
•
packets_sum – specifikuje celkové množství přenesených paketů. Hodnotou je přirozené číslo.
•
conns_sum – specifikuje celkové množství navázaných spojení. Hodnotou je přirozené číslo.
•
time_min, time_max – specifikuje nejstarší respektive nejnovější čas, kdy byl zaznamenán přenos
paketu, který spadá do vyhledávacího filtru. Formát zápisu je stejný jako u klíče time popsaného
výše.
Pokud jde o hodnoty k těmto klíčům, lze je zadávat bud’ jako celá čísla nebo jako intervaly. Krajní
hodnota intervalu do něj vždy náleží. Zápis 1..100 znamená hodnoty od 1 včetně do 100 včetně.
Zápisy 66.., respektive ..66 znamená hodnoty větší nebo rovno, respektive menší nebo rovno
hodnotě 66.
91
Příklad 11-5. Příklad součtového filtru.
{
bytes_sum: "1_000_000..",
conns_sum: "..10"
}
Tento filtr zobrazí pouze záznamy těch toků, ve kterých byl v součtu přenesen více než 1 MB dat, ale
současně bylo v zadanou dobu navázáno nejvýše 10 spojení.
11.5. Archiv sít’ového provozu
Archiv sít’ového provozu je databáze, do které se dlouhodobě ukládají informace o přenosech dat na
lokální síti. Můžete sledovat grafy přenosových rychlostí zvolené sítě při komunikaci s Internetem,
rozšířené o výpočet skutečného množství přenesených dat. Záznam grafů slouží zejména ke sledování
dlouhodobých statistik, ale lze je používat i ve spojení s nastavením kontroly sít’ového toku. Pokud je
nastaven maximální tok, zobrazí se v grafu jako modrá čára.
Pokud v tabulce Sledované sítě zvolíte sít’, která má podsítě, zobrazí se ve výsledné tabulce všechny
setříděny podle množství přenesených dat. Barevně je ovšem odlišeno a zobrazeno v grafu pouze
prvních šest (pod)sítí, jinak by graf mohl být zcela nepřehledný. Pokud potřebujete zobrazit jiné nebo
konkrétní sítě, označte je zaškrtávacími políčky a klikněte na tlačítko Zobrazit jen vybrané. Následně
se také překreslí barevná legenda pro graf. Pokud tlačítko použijete v okamžiku, kdy není označena
žádná sít’, zobrazí se opět všechny sítě, resp. prvních šest.
Rozbalovací menu nad grafem umožňuje tyto funkce:
•
automaticky obnovovat – pokud je tato funkce zapnuta, tak se každých pět minut načte nový graf s
aktuálními údaji,
•
zobrazovat maximální rychlosti – implicitně se do grafů vypočítávají průměrné rychlosti, zapnutím
této funkce zobrazíte přehled nejvyšších dosažených rychlostí; rozdíl v grafu je typicky patrný až při
delších časových intervalech,
•
zobrazovat b/s – implicitně se vypočítávají rychlosti v bytech za sekundu (B/s), zapnutím této
funkce zobrazíte hodnoty v bitech za sekundu,
•
exportovat do CSV – tato funkce uloží údaje ze všech sítí a podsítí ve výsledné tabulce do textového
souboru pro další strojové zpracování, v tomto případě jsou to hodnoty oddělené středníkem.
V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval pro vodorovnou osu
grafu. Škála pro svislou osu se počítá automaticky podle naměřených hodnot. Tlačítka s lupou slouží k
přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení následujícího kratšího
intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí směrových šipek v téže
liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje aktuální časový interval.
92
Poznámka: Databáze aktuálních údajů se pro každé časové období doplňuje kontinuálně a v
závislosti na konfiguraci serveru se rovněž obměňuje přepisováním starých dat. To prakticky
znamená, že po několika dnech až měsících jsou přepsána grafová data z nejjemnějšího
časového členění. V takovém případě se graf zobrazí jako zmenšenina nejbližšího grafu, který
ještě obsahuje přesná data. Pokud tedy zastarají informace o minutách, použije se graf pro
hodiny apod. Obvykle potom graf vypadá jako rovná čára nebo schod.
Obrázek 11-10. Příklad denního grafu na sít’ovém rozhraní.
11.6. Dynamické akce
Dynamické akce na lokální síti jsou implementací politiky přiměřeného využívání provozu sítě (Fair
Use Policy, FUP). V zásadě se jedná o přenastavování hodnot kontroly sít’ového toku v závislosti na
čase, tedy aktuální změny nastavení sítě.
93
Obrázek 11-11. Kalendář dynamických akcí
Dynamické akce lze definovat pro každou sít’ nebo podsít’, která k tomu má vytvořený speciální
kalendář. Akce se přidávají standardním způsobem tlačítkem Přidat událost.. nebo kliknutím na číslo
hodiny. Důležité je u takové události správně nastavit její opakování.
Obrázek 11-12. Opakování dynamické akce
94
To, co ve skutečnosti odliší běžnou událost od dynamické změny nastavení sítě, je definování akce,
kterou lze přidat ve výběrovém menu běžně používaném pro připomínky, jak je vidět na obrázku níže.
Do pole Provést akci se pak vepíše seznam instrukcí, jak se má nastavení sítě modifikovat. Je také
potřeba definovat nejen akci těsně po začátku nastaveného intervalu, která nastavení změní, ale také
akci po skončení intervalu, která vrátí změněné hodnoty do původního stavu. Na obrázku je příklad
takového nastavení. Následuje popis jednotlivých příkazu, které lze používat pro předpis dynamické
akce.
Obrázek 11-13. Opakování dynamické akce
11.6.1. Instrukce pro příkazy dynamických akcí
Dynamické změny nastavení parametrů pro řízení provozu na síti se zapisují formou příkazů.
Konkrétní parametry k příkazům se oddělují dvojtečkou. Následuje jejich popis:
•
modify network – tato hodnota se předvyplní hned po vytvoření akce včetně jejího parametru, což je
název sítě. Uvozuje změnu konfigurace sítě.
•
flow_enabled – odpovídá zatrhávacímu poli Kontrolovat tok směřující z rozhraní. Možné hodnoty
jsou true a false.
•
flow_min – odpovídá zaručenému toku z rozhraní. Hodnotou je číslo. Tato hodnota je v kbit/s.
•
flow_max – odpovídá maximálnímu toku z rozhraní. Hodnotou je číslo. Tato hodnota je v kbit/s.
95
•
flow_priority – odpovídá prioritě toku z rozhraní. Hodnotou je číslo z intervalu 0 až 7, kde nula
označuje nejvyšší prioritu.
•
flow_enabled_in – odpovídá zatrhávacímu poli Kontrolovat tok směřující z Internetu. Možné
hodnoty jsou true a false.
•
flow_min_in – odpovídá zaručenému toku z Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s.
•
flow_max_in – odpovídá maximálnímu toku z Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s.
•
flow_priority_in – odpovídá prioritě toku z Internetu. Hodnotou je číslo z intervalu 0 až 7, kde nula
označuje nejvyšší prioritu.
•
flow_enabled_out – odpovídá zatrhávacímu poli Kontrolovat tok směřující do Internetu. Možné
hodnoty jsou true a false.
•
flow_min_out – odpovídá zaručenému toku do Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s.
•
flow_max_out – odpovídá maximálnímu toku do Internetu. Hodnotou je číslo. Tato hodnota je v
kbit/s.
•
flow_priority_out – odpovídá prioritě toku do Internetu. Hodnotou je číslo z intervalu 0 až 7, kde
nula označuje nejvyšší prioritu.
•
default – označuje, zda je dané rozhraní implicitní. Možné hodnoty jsou true a false.
•
ips – označuje IP adresy (včetně masky), které popisují nějakou existující sít’. V zásadě odpovídá
seznamu Adresy rozhraní v nastavení sítě. Jelikož může seznam obsahovat více položek, je nutné je
zapisovat v následujícím formátu:
ips:
– 10.20.30.40/24
– 50.60.70.80/32
•
interface_ports – obsahuje položky seznamu Porty na rozhraní. Jelikož může obsahuje více položek,
je nutné je zapisovat v následujícím formátu:
interface_ports:
–*
– !8080
– 1024-2048
Pomocí dynamické akce lze řídit i provoz na síti, pokud jde o množství přenesených dat za jednotku
času, tedy podle smluvních podmínek pro konkrétního zákazníka (kvalita služeb, QoS). Taková akce se
uvozuje příkazem modify qosfup:, za kterým následuje jméno sítě nebo podsítě, na kterou se akce
vztahuje. Povinnými parametry pro tento typ akce jsou:
•
window – označuje časové období, pro které se do minulosti kontroluje množství přenesených dat.
Bud’ obsahuje celé číslo nebo některou z hodnot day, week nebo month, která postupně označuje
96
den, týden nebo měsíc. Zatímco číslo vždy přesně určuje, kolik dnů zpátky se bude brát v úvahu,
slovní hodnota kontroluje období od začátku dané časové jednotky po aktuální datum.
•
limit – maximální množství dat v megabytech, které v součtu mohou projít z a do dané sítě.
V okamžik, na který je nastaveno spuštění akce modify qosfup, se zkontroluje, zda je množství
přenesených dat za dané období vyšší nebo nižší, než je nastavený limit. Pak se provádí stejné příkazy
jako u akce typu modify network. Příkazy pro případ překročení limitu mají příponu over_ a pro případ
nepřekročení mají příponu under_.
Obrázek 11-14. Příklad dynamické akce typu qosfup
11.7. Konfigurace VPN v systému Windows
VPN (virtual private network) je prostředek pro propojení počítačů na různých místech Internetu do
jedné virtuální počítačové sítě. I když počítače mohou být ve fyzicky nezávislých sítích na různých
místech světa, prostřednictvím virtuální privátní sítě spolu mohou komunikovat, jako by byly v
jediném sít’ovém segmentu.
Prostřednictvím VPN lze zajistit například připojení notebooků kdekoliv na internetu do vnitřní firemní
sítě (intranetu). K propojení slouží VPN server, který má přístup do Internetu i intranetu a může sloužit
bud’ jen pro jednoho klienta nebo jako rozbočovač přijímající spojení od více klientů. Na druhé straně
spojení je VPN klient, který se přes Internet připojí k serveru a prostřednictvím něj pak do intranetu.
VPN server pak plní v podstatě funkci sít’ové brány.
VPN funguje na principu sít’ového tunelování, kdy se prostřednictvím standardního sít’ového spojení
vytvoří virtuální linka mezi dvěma počítači, v rámci které pak lze navazovat další sít’ová spojení. V
systému Windows jako vhodný software ke zprovoznění takových virtuálních spojení doporučujeme
OpenVPN, který je jako instalační balíček k dispozici zdarma na serveru openvpn.se
97
(http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe). Součástí tohoto balíčku
je také pomocná aplikace s uživatelským rozhraním OpenVPN GUI, která usnadňuje a zpřehledňuje
práci, ale k samotnému navazování VPN spojení není nezbytná. Při instalaci se spustí standardní
průvodce. Jednotlivé součásti balíku jsou nastaveny tak, že je není nutné při instalaci nic měnit (snad s
výjimkou volby Autostart OpenVPN GUI, pokud nechcete, aby se aplikace automaticky spouštěla).
Potom se do systému přidá virtuální ethernetové sít’ové rozhraní (TAP-Win32 Adapter V8), na což
systém Windows reaguje hlášením, že neexistuje ověření hardwaru od Microsoftu. Zadejte, že chcete v
instalaci pokračovat. Virtuální adaptér pro komunikaci využívá skutečnou sít’ovou kartu a není potřeba
jej konfigurovat. Všechny potřebné parametry nastavení obdrží od VPN serveru, ke kterému se připojí
pomocí certifikátu, viz níže. Samotné spojení se realizuje bud’ programem openvpn.exe nebo
prostřednictvím ikony OpenVPN GUI v nástrojové liště Windows, která zobrazí menu po kliknutí na
pravé tlačítko myši. Tato ikona představuje program openvpn-gui.exe. Oba jsou typicky umístěny
v adresáři C:\Program Files\OpenVPN\bin .
VPN spojení můžete v jednu chvíli otevřeno více, pro každé však musí existovat vlastní virtuální
adaptér. To lze přidat přímo z programové nabídky OpenVPN v hlavním menu systému položkou Add
a new TAP-Win32 virtual ethernet adapter. Stav spojení můžete kontrolovat ve výpisu konzole se
systémovým hlášením prostřednictvím položky Show Status aplikace OpenVPN GUI.
Obrázek 11-15. Volby při instalaci OpenVPN; vpravo menu pro OpenVPN GUI
VPN spojení lze zprovoznit dvěma způsoby. V obou případech je potřeba kontaktovat linku technické
podpory vašeho integrátora WebISu a vyžádat si certifikát spolu s klíči pro připojení na server.
Poznámka: Certifikáty a klíče zasíláme v komprimovaném souboru a šifrovaně. Heslo k tomuto
souboru získáte ve zvláštní zprávě šifrované pomocí PGP nebo jiným nezávislým, bezpečným
kanálem.
•
VPN spojení může běžet jako služba na pozadí, která se spustí při startu systému ještě před
přihlášením, ovšem, ač s minimální režií, zatěžuje sít’ovou linku. Pokud je pro vás takové řešení
98
vyhovující, obdržíte spolu s certifikátem také instalační balíček, který nainstaluje všechny potřebné
součásti pro provoz OpenVPN a nakonfiguruje spouštění zmíněné služby na pozadí. Tuto službu smí
běžně používat jen administrátor – jiným uživatelům to lze povolit programem subinacl.exe
(http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cfed6985e3927b). Tento program sm9 rovněž spouštět jen administrátor nebo jiný uživatel s
příslušným oprávněním. Pokud máme například uživatele test, příkazem subinacl /SERVICE
"OpenVPNService" /GRANT=test=TO mu udělíme oprávnění spouštět OpenVPN jako službu.
K tomu je ale ještě potřebné nebo užitečné modifikovat některé klíče v registru systému pomocí
příkazu regedit. Jedná se o klíče v cestě HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\:
•
allow_service – při hodnotě 1 bude možné spouštět OpenVPN jako službu,
•
service_only – při hodnotě 1 zapne režim pro OpenVPN GUI, aby běželo pouze v režimu služby
(vypne nastavení proxy a zakáže odpojování spojení, místo toho nabízí pozastavení běhu služby),
•
allow_edit – při hodnotě 0 zakáže editovat konfigurační soubor VPN spojení,
•
allow_password – při hodnotě 0 zakáže editovat heslo k soukromému klíči pro spojení.
Poznámka: Nevýhodou tohoto přístupu je, že u této metody není možné službě OpenVPN
předat heslo, kterým šifrujete svůj soukromý klíč. Proto je nutné používat nešifrovaný soukromý
klíč, volně ložený na disku. Tento problém lze obejít tím, že svůj klíč vložíte do úložiště
certifikátů prostřednictvím konzole MMC s parametrem --cryptoapicert pro jeho nahrání.
•
Pokud budete spouštět VPN spojení manuálně a máte již nainstalován OpenVPN, obdržíte pouze
certifikát a klíče, které je potřeba nakopírovat typicky do adresáře C:\Program
Files\OpenVPN\config . Teprve potom umožní aplikace OpenVPN GUI navázat spojení.
Pokud je povolena volba registru allow_password (viz výše), můžete nastavit heslo pro soukromý
klíč spojení, které se při každém manuálním spojení bude kontrolovat. Heslo musí mít alespoň osm
znaků.
Obrázek 11-16. Nastavení registru pro OpenVPN GUI
99
11.8. Podsítě
Tato sekce poskytuje přehled o podsítích sítě, jejíž název je v nadpisu stránky. Zde můžete rovněž
přidávat další podsítě. Po zadaní jména a kliknutí na tlačítko Přidat se podsít’ vytvoří a systém vás
přesměruje do sekce Nastavení pro tuto podsít’. Pokud nějakou podsít’ označíte zaškrtávacím
políčkem, můžete ji z nadřazené sítě zrušit tlačítkem Smazat. Kliknutím na název podsítě zobrazíte
její vlastní podsítě. Pokud si přejete zobrazit podsítě nadřazené sítě, klikněte na tlačítko Nahoru, které
je v levém horním rohu stránky. Toto tlačítko můžete při navigaci mezi sítěmi použít z kterékoliv
podsekce sekce Lokální sítě.
Obrázek 11-17. Výpis podsíti rozhraní intranet1.
11.9. Přístupová práva
Přístupová práva pro sítě a podsítě se řídí stejnými pravidly, která jsou popsána v kapitole Přístupová
práva. Pouze oprávnění zobrazit graf je nové. Pokud má uživatel nebo skupina toto oprávnění
nastaveno, uvidí graf pro tuto sít’ ve WebISu v sekci Účtování.
100
Obrázek 11-18. Příklad nastavení přístupových práv na rozhraní.
101
Kapitola 12. Archiv hlášení
Jednotlivé systémy serveru ukládají informační a chybová hlášení do souborů. V závislosti na
nastavení periody pro ukládání těchto záznamů se jednotlivá hlášení komprimují do archivů a jsou v
této sekci k dispozici ke stažení. Hlášení, které ještě nebylo zkomprimováno po tzv. rotaci logů, má v
seznamu aktivní odkaz a lze jej přímo v Administraci prohlížet. Jinak lze každé hlášení stáhnout na
disk. Kritérium pro rotaci záznamu může být pro každou službu jiné (např. velikost souboru), ale
obvykle k ní dochází pravidelně jednou denně. Aby uživatel mohl prohlížet systémová hlášení, musí
mít oprávnění vypsat a číst v globálních přístupových právech, v kategorii k tomuto serveru.
Archiv hlášení obsahuje:
•
hlášení systému,
•
hlášení poštovního serveru,
•
dotazy na WWW cache,
•
ladící hlášení WWW cache,
•
hlášení jádra systému,
•
chybová hlášení WWW serveru.
Obrázek 12-1. Seznam archivu hlášení
Na obrázku níže vidíte výpis aktivního záznamu. Pomocí tlačítka Obnovit znovu načtete obsah
záznamu. Tato funkce má význam pouze u aktivních záznamů. Ve vyhledávacím poli můžete
odesláním dotazu zvýraznit všechny řádky, které obsahují zadaný vzorek. Hledání probíhá plnotextově
nad každou řádkou záznamu bez ohledu na velikosti písmen, takže lze zadávat dotazy jako "] INF"
nebo ":46". Nelze ovšem využívat žádných zástupných znaků. Tlačítkem Hledat další odešlete dotaz
na další stranu seznamu. Počet zobrazených řádků na stránce lze měnit ve výběrovém menu, které je v
horní liště napravo.
102
Kapitola 12. Archiv hlášení
Obrázek 12-2. Výpis aktivního hlášení
103
Kapitola 13. Nastavení služeb serveru
V nejvyšší úrovni Administrace, v záložce Další nastavení je nabídka Nastavení služeb serveru. Ne
všechny služby popsané níže jsou k dispozici na každém serveru, některé fungují jako moduly, které se
instalují zvlášt’ podle toho, jaký typ serveru je u daného zákazníka v provozu nebo jaké speciální
požadavky zákazník má.
13.1. DHCP
DHCP (Dynamic Host Configuration Protocol) je aplikační protokol z rodiny TCP/IP. Používá se pro
automatické přidělování IP adres koncovým stanicím a dalším sít’ovým zařízením (obecně klientům) v
síti. Současně s IP adresou posílá server stanicím i další nastavení pro používání sítě, například adresu
nejbližšího směrovače (routeru), masku sítě nebo adresy DNS serverů. DHCP protokol přináší zejména
tyto výhody:
•
uživatelé nemusí na svých počítačích v souvislosti s připojením k síti nic nastavovat,
•
protokol zaručuje, že se v síti nevyskytnou dvě stejné IP adresy,
•
správce sítě může "přečíslovat" celou sít’ nebo změnit její nastavení s minimálním zásahem do práce
uživatelů.
V Administraci je možné nakonfigurovat DHCP server. Ten přiděluje klientům IP adresy automaticky a
na omezenou dobu. Klient před přidělením adresy může požádat o dobu platnosti a v průběhu připojení
si sám žádá o prodloužení platnosti, pokud to potřebuje. V tabulce Globální nastavení lze nastavit
implicitní a maximální dobu platnosti pro přidělenou IP adresu.
•
implicitní doba v sekundách udává čas, po který bude přidělená IP adresa platná, pokud klient
explicitně nepožádá o dobu platnosti.
•
maximální doba v sekundách udává čas, po který bude přidělená IP adresa platná, pokud klient
explicitně zažádá o dobu platnosti, která překračuje tuto maximální dobu.
Přidělování IP adres je vždy vázáno na určitý rozsah, který definuje podsít’. Tuto podsít’ zadáváme ve
tvaru IP adresa/maska sítě (např. 192.168.1.1/24 nebo 192.168.1.1/255.255.255.0), kde IP
adresa je adresa přidělená serveru, zatímco maska sítě udává, která část IP adresy je vyhrazena
pro číslování konkrétních počítačů v síti.
Kliknutím na zadanou podsít’ v seznamu ji můžete dále konfigurovat, viz níže. V tabulce Aktuální stav
jsou informace o klientech, kteří jsou právě připojeni a mají serverem DHCP přidělenu dočasnou nebo
fixovanou IP adresu.
104
Obrázek 13-1. Základní nastavení DHCP
13.1.1. Nastavení DHCP pro podsít’
V rámci podsítě může být definována nějaká doména, která se bude přidávat k hostname jednotlivých
klientů při překladu IP adres pomocí DNS. Jako IP adresa pro jmenný server a router se implicitně
přednastaví první adresa náležící do rozsahu podsítě, což je obvyklý způsob. Adresa pro jmenný server
nebo router ale nemusí být nutně číselná, jak je vidět na obrázku níže. Adres pro jmenné servery i
routery může být víc, pokud jsou odděleny čárkou. Implicitní a maximální doba pro přidělení IP adresy
mohou být pro podsít’ jiné než pro celý server, pokud nejsou zadány, platí ty ze serveru.
Obrázek 13-2. Nastavení DHCP pro podsít’
105
V dané podsíti nemusí být všechny IP adresy k dispozici klientům. K určení těch skutečně volných
slouží rozsahy přidělovaných adres. Rozsah se zadává ve tvaru [počáteční IP]-[koncové IP],
jak je vidět na obrázku. Nelze zadávat rozsahy, kde některá s hraničních IP adres nepatří do podsítě a
nelze zadávat samostatné IP adresy.
Pokud je to nutné nebo vhodné, je možné v dané podsíti vybranou IP adresu fixovat, tzn. přiřadit ji ke
konkrétnímu klientovi tak, aby ji server DHCP nemohl přiřadit jinému klientovi. Fixovaná IP adresa
musí ležet v dané podsíti, ale současně mimo definované rozsahy adres, které se přidělují automaticky.
Fixovaná IP adresa je vázána na konkrétní sít’ové zařízení, které už při výrobě dostane jedinečný
identifikátor (vlastně výrobní číslo), kterému se říká MAC adresa (Media Access Control). Tato adresa
se skládá z 48 bitů a nejčastěji se zapisuje jako šestice dvojciferných hexadecimálních čísel oddělených
dvojtečkami (například 01:23:45:67:89:ab). Jméno zařízení je rovněž povinné a slouží jako jmenovka
pro lepší orientaci správce.
13.2. Antispamový subsystém
Jednou ze součástí poštovního serveru je antispamový subsystém. V kombinaci s nastavením
filtrovacích pravidel je možné příchozí poštu podle antispamového hodnocení rozpoznat jako
nevyžádanou a dále ji zpracovávat. Zejména se využívá možnosti nastavit její uložení do speciální
složky.
Obrázek 13-3. Seznam služeb serveru
13.2.1. Identifikace a označení spamu
Každá zpráva je při průchodu antivirem zkontrolována antispamovým programem SpamAssassin,
který na základě několika stovek různých testů přidělí zprávě bodové ohodnocení (skóre). Čím vyšší je
106
toto skóre, tím vyšší je pravděpodobnost, že testovaná zpráva je skutečně spam.
Ke každé zprávě, která má skóre 1 nebo více, přiřadí SpamAssassin hlavičku X-Spam-Level, která
obsahuje jednu nebo více hvězdiček. Počet hvězdiček v hlavičce X-Spam-Level se rovná celočíselné
části dosaženého skóre. Je doporučeno považovat za spam zprávy, které mají v hlavičce
X-Spam-Level pět a více hvězdiček.
13.2.2. Filtrování spamu
Podle hlavičky X-Spam-Level lze spam ukládat do speciální složky. To lze nastavit ve filtrovacích
pravidlech příchozí pošty (více o možnostech filtrování příchozí pošty najdete v kapitole Filtrovací
pravidla příchozí pošty).
Obrázek 13-4. Ukázka antispamového pravidla
13.2.3. Učení
Jedna z funkcí programu SpamAssassin je automatické učení bayesovské databáze, která rovněž
přispívá k přesnější klasifikaci příchozí pošty na vyžádanou a nevyžádanou. Učení probíhá tak, že se
sbírají e-mailové zprávy, které jsou považovány za klasifikované, analyzují se a výsledná data tvoří
základ pro testování dalších zpráv. Vyžádané a nevyžádané e-maily se sbírají a analyzují zvlášt’.
Nevyžádaná pošta se každou hodinu přesouvá ze sdílené poštovní složky Nahlášené/Nevyžádaná pošta
a přidává se do databáze. Sbírat zprávy do této sdílené složky lze dvěma způsoby. Bud’ nastavit nějaké
filtrovací pravidlo na serveru, které automaticky bude sbírat zprávy. Antispamové hodnocení těchto
zpráv by mělo být takové, aby se minimalizovala pravděpodobnost, že zpráva bude ve skutečnosti
vyžádaná. Za tuto hranici se obvykle považuje pět hvězdiček v hlavičce X-Spam-Level. Takové
zprávy jsou pro SpamAssassin sice známy jako spam, ovšem mohly být rozpoznány úplně jiným
testem než je použití bayesovské databáze, proto představují relevantní data pro učení. Druhou
možností je přesouvat zprávy do zmiňované složky manuálně, ideálně spam, který zůstal nerozpoznán.
107
Je ovšem důležité, aby se do složky Nahlášené/Nevyžádaná pošta nedostala žádná vyžádaná pošta,
protože SpamAssassin by se z ní špatně naučil, což by v konečném důsledku znehodnotilo celou
databázi. Jedna z cest, jak může administrátor něčemu takovému zabránit, je zakázat manuální zápis
běžným uživatelům, kteří budou svůj nerozpoznaný spam přesouvat do své speciální složky. Z ní jej
bude administrátor sám vybírat a přesouvat do sdílené složky Nahlášené/Nevyžádaná pošta k učení.
Přístupová práva k této složce se nastavují v Administraci, v záložce Další nastavení, v menu
Nastavení služeb serveru. Viz obrázek níže.
Poznámka: Úplně nejbezpečnější cesta, jak vytvořit kvalitní bayesovskou databázi, je pomocí
filtrů sbírat od uživatelů rozpoznaný i nerozpoznaný spam do jiné speciální složky a do složky
Nahlášené/Nevyžádaná pošta je přesouvat z ní, ručně.
Učení vyžádané pošty probíhá zcela automaticky. Každý den se na celém serveru vezmou všechny
zprávy, na které byla odeslána odpověd’ a přidají se do databáze. Je proto důležité poučit uživatele, že
nesmí nikdy odepisovat na spam. Je také důležité vědět, že toto učení může fungovat jen tehdy, pokud
se na serveru e-mailové zprávy zpracovávají protokolem IMAP, nikoliv POP3. Protokol IMAP totiž
umožňuje ukládání příznaků zpráv (přečtená, zodpovězená apod.) na serveru, proto antispamový
subsystém pozná, na které zprávy bylo odepsáno a může je zařadit do databáze k učení.
13.3. Antivirový subsystém
Součástí poštovního serveru je kvalitní antivirový subsystém, který umožňuje kontrolovat nejen
příchozí a odchozí poštu, ale také periodicky provádět antivirovou kontrolu sdílených souborů na
souborového serveru.
Antivir umí kromě hledání virů v přílohách zpráv rovněž preventivně blokovat přijetí zpráv, které
obsahují soubory nežádoucích typů. Jsou to obvykle spustitelné soubory, které jsou součástí
nevyžádané pošty a často obsahují viry.
108
Ve formuláři můžete zadat seznam přípon souborů, které si nepřejete přijímat. Můžete je zadávat v
jednom řádku oddělené čárkou nebo každou na nový řádek. Mezi obvyklé blokované přípony patří
například exe, bat, cmd, com nebo dll.
Pokud je doručena zpráva, která obsahuje soubor blokovaného typu, odešle se odesílateli upozornění o
tom, že zprávu nebylo možno doručit. Ještě před tím je ale přiložený soubor prohledán. Pokud je v něm
nalezen virus, celá zpráva se zahodí a žádné upozornění se neposílá.
Tento systém může spolupracovat s různými volně šiřitelnými nebo komerčními antivirovými systémy
a jistotu zachycení viru navíc násobit tím, že se do automatické detekce virů zapojí více antivirů. V
současné době je možná součinnost těchto antivirů:
•
DrWeb
•
Clam Antivirus
•
CAI InoculateIT
•
KasperskyLab AVP
•
Panda Antivirus
•
F-Prot Antivirus
•
McAfee Virus Scan 3.x
•
NAI Virus Scan 4.x
•
Dr. Solomon antivirus
•
Sophos Sweep
Mezi základní vlastnosti antivirového subsystému patří:
•
Kontrola veškeré pošty na přítomnost virů – u každého účtu i skupiny je možné nastavit, zda se bude
antivirová kontrola provádět. V případě nalezení viru se vrátí varovná zpráva zpět odesílateli a
zároveň se zašle zpráva správci serveru. Zavirovaný e-mail se bezpečně zazálohuje na serveru.
•
Hledání virů v přiložených a také v zabalených souborech – je podporována většina běžných
kompresních algoritmů. Prohledávají se i archivy zabalené v jiných archivech.
•
Kontrola vybraných typů souborů stahovaných z Internetu přes WWW a FTP – WWW proxy server
automaticky provede antivirovou kontrolu stahovaných souborů zadaného typu. Je-li soubor
zavirován, jeho stažení se zakáže. Přitom je možná i kontrola zabalených souborů.
•
Automatická aktualizace virové databáze několikrát denně.
•
Možnost blokování nebezpečných nebo nevhodných příloh e-mailů – jako velmi efektivní obrana
proti všem (a hlavně novým) virům se ukázalo blokování všech spustitelných příloh. V případě, že je
potřeba odeslat nebo přijmout soubor s takovou příponou, je možné ho zabalit například do ZIP
archivu, který standardně není blokován, ale pouze prohledáván antivirem.
•
Periodicky se provádí antivirová kontrola sdílených souborů – v případě nalezení zavirovaného
souboru je poslán e-mail správci serveru s podrobnou zprávou.
109
13.4. Poštovní server
Poštovní server je server, který odesílá a přijímá poštu. Doménové jméno (např. mail.domena.cz) je
jméno, pod kterým tento stroj komunikuje s ostatními poštovními servery na Internetu. Pro toto jméno
by měl existovat DNS překlad na jeho veřejnou IP adresu, jinak okolní servery mohou poštu
přicházející z tohoto serveru odmítnout.
Pokud velikost příchozí nebo odchozí zprávy překročí hodnotu nastavenou v poli Max. velikost
e-mailu (MB), zpráva se nedoručí, resp. neodešle, v případě příchozí zprávy se vrátí odesílateli spolu s
chybovým hlášením.
13.5. Souborový server
Souborovému serveru je věnována samostatná kapitola.
110
13.6. Odkazy na WebIS
Zde můžete zadat internetovou adresu, ze které je možný přístup do WebISu na Vašem serveru.
Zejména ji využijí ti uživatelé, kteří sice používají WebIS k různým činnostem, ale poštu čtou v
některém poštovním klientovi, jako je Mozilla Thunderbird nebo Microsoft Outlook.
Poznámka: Korektní URL adresa pro přihlašování do WebISu může vypadat např. následovně:
http://mail.domena.cz .
Do pole URL adresa WebIS se vyplňuje adresa, přes kterou je univerzálně možné se z Internetu
připojit k WebISu na vašem serveru. Používá se v odkazech na nové žádosti a události při
automatickém oznamování uvnitř systému elektronickou poštou.
13.7. Přihlašovací doména
Na serveru je možné přednastavit přihlašovací doménu, která se zobrazí za vstupním polem pro
e-mailovou adresu v přihlašovacím okně a automaticky se doplní k zadaným adresám, která nemají
doménu uvedenu. Stačí pak při přihlašování zadat pouze lokální část e-mailové adresy.
111
Obrázek 13-9. implicitní přihlašovací doména
13.7.1. Nastavení implicitní přihlašovací domény
Obrázek 13-10. Nastavení implicitní přihlašovací domény
Pokud se chcete přihlásit k jiné než přednastavené doméně, je nutné jako přihlašovací jméno zadat
celou e-mailovou adresu, ne pouze její lokální část.
13.7.2. Nastavení mapování domén
Implicitní přihlašovací doménu lze dynamicky měnit podle URL, které uživatel zadá do prohlížeče a
přes které přistupuje k přihlašovacímu oknu. K tomuto účelu slouží mapování domén.
Na obrázku výše jsou vidět tři mapované domény. Pokud chcete přidat novou, do prvního vstupního
pole webové doména napíšete, co chcete mapovat, a do druhého pole přihlašovací doména napíšete, jak
to chcete mapovat. Pokud pole přihlašovací doména zůstane prázdné, znamená to, že pro danou
webovou doménu se žádná přihlašovací doména nepřednastavuje.
112
V případě více definovaných domén, probíhá mapování v uvedeném pořadí shora dolů, v případě, že
není nalezena žádná shoda, použije se implicitní přihlašovací doména. Pořadí mapovacích pravidel lze
měnit kliknutím na směrové šipky vpravo.
Výrazy v mapovacích pravidlech mohou být regulární výrazy v syntaxi jazyka Perl.
Příklad 13-1. Nastavení mapování domén
Jako webovou doménu máme zadán výraz ^mail.\(.*)$ a jako přihlašovací doménu výraz \1. Zadá-li
uživatel jako URL do webového prohlížeče http://mail.manual.cz, srovná se toto URL s webovou
doménou a jako přihlašovací doména se namapuje manual.cz.
Jako webovou doménu máme zadán výraz mail.nemapovat.cz, hodnota ve sloupci přihlašovací doména
je prázdná. Zadá-li uživatel jako URL do webového prohlížeče adresu http://mail.nemapovat.cz, objeví
se přihlašovací okno bez přednastavené přihlašovací domény.
13.8. Ostatní možné služby
Některé další služby serveru je možné aktivovat, ale většina instalovaných serverů je nemá, jelikož
nejsou zapotřebí.
Modemy – zde je možné nastavit dobu trvání silného a slabého provozu a minutovou sazbu pro každý z
nich, pokud někteří uživatele přistupují k WebISu prostřednictvím modemu. Server RADIUS následně
nabízí statistiky připojení a výpočet ceny v záložce Využití modemu v nastavení domén a účtů.
113
Kapitola 14. Přílohy
14.1. Diagram průchodu pošty
Obrázek 14-1. Diagram průchodu pošty serverem
14.2. IMAP versus POP3
IMAP (Internet Message Access Protocol) a POP3 (Post Office Protocol version 3) jsou dva
neproprietární a také nejrozšířenější protokoly pro přijímání a práci s elektronickou poštou. IMAP je
novější a všechna data ukládá, spravuje a poskytuje klientům ze serveru. POP3 je historicky starší a
jeho princip spočívá v tom, že poštovní klient se připojí na poštovní server, stáhne z něj všechny nové
114
zprávy, smaže je ze serveru a co nejdříve se odpojí. To s sebou nese řadu obtíží, díky nimž je protokol
POP3 v mnoha ohledech zastaralý a neflexibilní. Tyto obtíže je nejlépe vidět ve srovnání s novějším
protokolem IMAP, který se, lapidárně řečeno, poučil z chyb svého předchůdce.
Následující popis se týká vlastností, kterými disponuje protokol IMAP, nikoliv však protokol POP3.
•
IMAP podporuje jak spojovaný, tak nespojovaný režim práce s poštou. To umožňuje stahovat obsah
zpráv na požádání, poněvadž poštovní klient zůstává k serveru připojen celou dobu. Tento režim
podstatně urychlí dobu odezvy uživatelům, kteří mají ve schránce mnoho zpráv nebo velké zprávy.
•
IMAP podporuje násobné připojení k jedné schránce a má prostředky, jak jednotlivé klienty
interaktivně informovat o změnách ve schránce, které provedl jiný klient. Tato vlastnost především
umožňuje plynulý provoz nad sdílenými poštovními schránkami s množstvím současně připojených
uživatelů.
•
IMAP plně podporuje formát MIME pro elektronickou poštu. Interně si vytvoří stromovou struktury
hlaviček zprávy, takže rozpoznává obsah strukturovaných hlaviček. To umožňuje mimo jiné stahovat
ze serveru samostatně některé části zprávy, tedy například nechávat na něm objemné přílohy, pokud
je klient připojen na pomalé lince, ale přitom číst textový obsah.
•
IMAP umožňuje udržování příznaků zpráv (nepřečtená, zodpovězená apod.) na serveru. Díky tomu
může každý z více klientů připojených ke stejné schránce vidět aktuální stav jejího obsahu. V
případě WebISu je díky této vlastnosti možné automatické učení antispamového subsystému.
•
Přes IMAP lze přistupovat a pracovat s více schránkami najednou a přesouvat zprávy mezi nimi.
Díky tomu lze na serveru provozovat například skupinové nebo veřejné schránky.
•
IMAP poskytuje softwarovým klientům možnost vyhledávat na serveru zprávy podle mnoha kritérií.
Tím pádem není potřeba stahovat veškerou poštu, aby v ní bylo možno hledat.
14.3. Kontakty
14.3.1. Přístup ke kontaktům z Mozilla Thunderbirdu
Poštovní klient Mozilla Thunderbird umožňuje práci s kontakty, které máte uloženy ve WebISu.
Existuje k němu podrobná uživatelská příručka
(http://www.chovancik.cz/mozilla-thunderbird-20-uzivatelska-prirucka-manual/), která se také stručně
věnuje obecným tématům při práci s elektronickou poštou.
Po spuštění Thunderbirdu vyberte v horním menu položky Úpravy -> Nastavení účtu.... V novém okně
zvolte účet a pro něj položku Vytváření zpráv & Adresování. Napravo poté v části Adresování zapněte
volbu Použít jiný LDAP server a klikněte na tlačítko Upravit adresáře....
115
Obrázek 14-2. Nastavení Thunderbirdu
Otevře se okno se seznamem definovaných LDAP serverů, ze kterých můžete některý upravit nebo
vytvořit nový.
Vlastnosti adresářového serveru nastavíte takto:
•
Název: libovolně, pouze odlišuje tento server od jiných definovaných.
•
Server: adresa serveru, na kterém WebIS běží (např. mail.vardomain.cz).
•
základní rozlišovací jméno: název databáze, případně další bližší specifikace adresáře, kde začne
LDAP server vyhledávat kontakty (např. o=databaze).
•
přesné rozlišovací jméno: specifikuje adresář v hierarchii LDAP serveru, který obsahuje data
konkrétního uživatele. Toto jméno slouží jako přihlašovací k LDAP serveru a může vypadat např.
takto: [email protected],ou=People,dc=vardomain,dc=cz, o=databaze).
Poznámka: Rozlišovací jména v LDAPu mají podobu cesty v adresářové struktuře s tím, že
začátek té cesty je úplně vpravo. Tato cesta začíná názvem databáze za klíčem o (Organization).
Dále zprava je odzadu rozepsána doména, ve které se hledaný objekt nachází – každá část
domény se zadává zvlášt’ za klíčem dc (Domain Component). Následuje jméno adresáře s
hledanými objekty za klíčem ou (Organizational Unit). V něm už lze hledat přímo pojmenovaný
objekt, v našem případě například přihlašovací jméno za klíčem uid (User Identification).
Příklad 14-1. Příklady nastavení rozlišovacích jmen pro LDAP server
•
[email protected],ou=People,dc=priklad,dc=cz,o=databaze – takto může vypadat úplná
116
identifikace uživatele v LDAP serveru. V tomto tvaru se také zadává jako přesné rozlišovací jméno a
lze jej zadávat i jako základní rozlišovací jméno, pokud chcete zobrazit ze serveru pouze svoje
osobní knihy kontaktů. Stejným způsobem můžete zpřístupnit i kontakty jiného uživatele, pokud k
nim přístupová práva.
•
ou=People,dc=priklad,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat
mezi všemi kontatky uživatelů v doméně, nikoliv však mezi doménovými kontakty.
•
ou=Abooks,dc=priklad,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat
pouze v doménových kontaktech.
•
dc=vardomain,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat ve všech
kontaktech v subdoméně.
•
o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat ve všech kontaktech na serveru.
Toto nastavení může při vyhledávání výrazně zpomalit odezvu aplikace.
Tip: Název vaší LDAP databáze získáte dotazem na lince technické podpory.
Obrázek 14-3. Nastavení LDAP serveru
Kliknutím na ikonu Adresář zobrazíte všechny kontakty. Pokud zvolíte vzdálené kontakty z WebISu (v
našem případě pod názvem vardomain) budete dotázáni na své heslo. Jelikož se jedná o spojovanou
službu, v seznamu se nic nezobrazí, dokud nezadáte nějaký dotaz do vyhledávacího pole. Prakticky
všechny kontakty zobrazíte zadáním znaku @. Výsledný seznam ovšem nebude obsahovat kontakty
bez e-mailové adresy.
117
Obrázek 14-4. Zobrazení vzdálených kontaktů
14.3.2. Přístup ke kontaktům z MS Outlook Express
Klient MS Outlook Express umožňuje omezenou práci se vzdálenými kontakty, například s těmi, které
máte uloženy ve WebISu. Předtím je ovšem potřeba aplikaci nastavit.
Nejprve v menu Nástroje zvolte položku Účty.... Objeví se seznam existujících profilů. Tlačítkem
Přidat a volbou Adresářová služba... založíte profil pro přístup ke vzdáleným kontaktům. Do pole
Adresářový server Internetu (LDAP) zadejte IP adresu nebo doménové jméno serveru, na kterém běží
WebIS, např. mail.priklad.cz. V dalším kroku označte volbu Ano pro kontrolu e-mailových adres. Tím
bude základní profil vytvořen, jeho podrobnější nastavení zobrazíte tlačítkem Vlastnosti.
Obrázek 14-5. Seznam adresářových serverů
Záložka Obecné – názvem serveru se rozumí IP adresa nebo doménové jméno serveru, ke kterému se
připojujete do WebISu. Abyste měli k dispozici své osobní kontakty, je nutné se k LDAP serveru
přihlašovat. Pole Název účtu obsahuje přesné rozlišovací jméno, které může vypadat například takto:
118
[email protected],ou=People,dc=vardomain,dc=cz,o=vardomain. Heslem je vaše
přihlašovací heslo do WebISu.
Záložka Upřesnit – maximální počet vrácených položek určuje limit pro množství přenesených
kontaktů jako odpověd’ na jeden vyhledávací dotaz. Pole Výchozí bod hledání obsahuje základní
rozlišovací jméno pro databázi, ve které se bude hledat.
Poznámka: Základní a přesné rozlišovací jméno pro váš účet získáte dotazem na lince technické
podpory.
Obrázek 14-6. Podrobné nastavení adresářové služby
Kontakty se v Outlooku jmenují Adresář. Ten je přístupný bud’ pod ikonou v hlavním menu nebo pod
klávesovou zkratkou Ctrl+Shift+B. Se vzdálenými kontakty nelze pracovat přímo, ale lze v nich
vyhledávat. Vyhledávání v kontaktech zpřístupníte bud’ tlačítkem Hledat osoby v Adresáři nebo
klávesovou zkratkou Ctrl+E v Outlooku.
V novém okně je nejprve nutné vybrat adresářový server ve výběrovém menu Oblast hledání. Pro
hledání v kontaktech ve WebISu zvolte název, který jste použili pro svůj profil LDAP serveru.
Vyhledávání je vhodnější provádět v záložce Upřesnit, i když je to stále poněkud nešikovné. V oddíle
Definice kritérií nastavíte filtr pro konkrétní položky kontaktu. V prvním výběrovém menu je z
nějakého důvodu dvakrát uvedena hodnota Jméno. Ta první přitom znamená název kontaktu a ta druhá
křestní jméno. Ve vyhledávacím poli nelze využívat zástupné znaky. Hotové kritérium přesunete do
seznamu aktivních tlačítkem Přidat. Lze kombinovat více kritérií najednou. Tlačítkem Najít spustíte
hledání. V podokně se zobrazí seznam vzdálených kontaktů odpovídajících nastaveným filtrům. V něm
lze tlačítkem Přidat do adresáře zkopírovat označené kontakty do lokálního adresáře.
Tip: Pokud chcete omezit zdlouhavou práci se vzdálenými kontakty, můžete využít kritérium
E-mail obsahuje @, které by mělo zpravidla najít všechny kontakty ve WebISu (i když lze mít
samozřejmě uloženy kontakty bez e-mailových adres). Pokud následně označíte všechny
119
nalezené kontakty klávesovou zkratkou Ctrl+A a zkopírujete je do lokálního adresáře, budete je
mít všechny k dispozici pro editaci, aniž by bylo potřeba se stále připojovat k LDAP serveru.
Obrázek 14-7. Vyhledávání v kontaktech
120
Slovníček
antispam
Samostatný podsystém běžící na serveru, který analyzuje obsah příchozích e-mailových zpráv a
automaticky v nich rozpoznává nevyžádanou poštu (spam). Náš antispam umí také zpracovávat
již rozpoznaný spam, pokud se pomocí filtrovacích pravidel shromažd’uje do speciální složky, a
na základě bayesovské databáze zvyšuje svou účinnost při odhalovaní budoucího spamu.
antivir
Samostatný podsystém běžící na serveru, který kontroluje příchozí i odchozí poštu nebo i data na
souborovém serveru na přítomnost počítačových virů. Náš antivir také mimochodem automaticky
aktualizuje databázi virů a umožňuje spolupráci více antivirových programů současně.
archiv hlášení
Archiv hlášení je rozhraní pro prohlížení a stahování záznamů, které při svém provozu pořizují
jednotlivé systémy na serveru, např. poštovní server, jádro systému nebo WWW cache. Aktuální
záznam každého systému lze přímo prohlížet a prohledávat, zbývající lze stahovat ve
zkomprimované podobě. Více informací.
bayesovská databáze
Jedná se o databázi, do které se průběžně ukládá textový obsah příchozí e-mailové komunikace,
který se podle hodnocení antispamu třídí na nevyžádaný obsah a na ten zbývající. Na základě
výpočtu pravděpodobností pro každé slovo, že se vyskytuje ve spamu, je možné účinně filtrovat
další příchozí poštu. Pokud se navíc databáze stále rozšiřuje, úroveň přesnosti rozpoznávání
spamu se dále zvyšuje.
BDC
BDC (Backup Domain Controller) je typ souborového serveru nazývaný též jako záložní ovladač
domény. Obsahuje záložní kopie databáze uživatelských účtů z nadřazeného PDC, ke kterým má
pouze právo čtení. Synchronizace databáze se provádí pravidelně, což mimo jiné znamená, že i
BDC může ověřovat přihlašovací informace uživatelů.
buffer
Buffer je dočasná vyrovnávací pamět’ určená zejména na skládání nebo rozkládání dat při
komunikaci operační paměti s vnějšími zařízeními, která z principu nemohou vždy reagovat
dostatečně rychle nebo okamžitě – například tiskárny.
121
Slovníček
cache
Cache je druh vyrovnávací paměti uchovávající data, u kterých se očekává, že je různá zařízení
nebo programy budou potřeba načítat často a opakovaně. Jde o různá předgenerovaná data nebo
mezivýsledky a tím, že jsou uložena v cache, se k nim výrazně urychlí přístup.
cestovní profil
Jedná se o uživatelské nastavení prostředí na pracovní stanici v doméně, jako je rozmístění ikon
na ploše, tapeta, nastavení barev a rozložení kláves, dočasné soubory a podobně. Při správné
konfiguraci domény se toto nastavení centrálně ukládá a při přihlášení opět nahrává, takže z
pohledu uživatele je jedno, ke které stanici v doméně se přihlásí – jeho pracovní prostředí bude
vypadat vždy stejně.
CSV
Zkratka za Comma Separated Values označuje formát souboru obsahující údaje z databáze jako
hodnoty oddělené čárkou (nebo středníkem, zejména u aplikací Microsoftu). Jedná se o výměnný
formát mezi různými vzájemně nekompatibilními aplikacemi. WebIS umí exportovat do CSV
kontakty, události i úkoly.
DNS
DNS (Domain Name System) je hierarchický systém doménových jmen, který je realizován
serverem a protokolem stejného jména. Jeho hlavním úkolem a příčinou vzniku jsou vzájemné
převody doménových jmen a IP adres uzlů sítě. Později ale přibral další funkce (např. pro
elektronickou poštu či IP telefonii) a slouží dnes de facto jako distribuovaná databáze sít’ových
informací.
doména
V kontextu organizace podnikové počítačové sítě a systému Windows se tímto názvem označuje
soubor počítačů, služeb a prostředků určených správcem sítě, které sdílejí společnou databázi
adresářů. Doména má jedinečný název a poskytuje přístup k uživatelským a skupinovým účtům.
Každá doména má vlastní nastavení přístupových práv. Tento pojem je v našem řešení důležitý při
konfiguraci souborového serveru.
doménový koš
Doménový koš je jedna nebo více poštovních schránek, do kterých se ukládají e-mailové zprávy,
které jsou adresovány do domény, ale cílový účet v ní neexistuje. Jako doménový koš můžete
použít libovolný existující účet v doméně.
122
Slovníček
dynamická akce
Dynamické akce na lokální síti jsou implementací politiky přiměřeného využívání provozu sítě
(Fair Use Policy, FUP). V zásadě se jedná o přenastavování hodnot kontroly sít’ového toku v
závislosti na čase, tedy aktuální změny nastavení sítě. Více informací.
filtrovací pravidlo
Filtrovací pravidlo je strukturovaný předpis, jak zpracovat příchozí e-mailovou zprávu, ještě než
se uloží do schránky. Uživatel může specifikovat složku pro uložení, automatické odmítnutí,
přeposlání nebo smazání na základě jednoho nebo více testů. Podrobnosti k tomu tématu najdete v
příslušné kapitole.
FTP
FTP (File Transfer Protocol) je protokol aplikační vrstvy z rodiny TCP/IP. Je určen pro přenos
souborů mezi počítači, na kterých mohou běžet rozdílné operační systémy.
FUP
FUP (Fair Use Policy) je označení pro soubor pravidel, která nastavují parametry pro přiměřené
využívání sítě. To se v zásadě týká omezení rychlostí přenosu v určitých časových intervalech.
Tato pravidla lze prakticky uvést v platnost pomocí dynamických akcí.
hlavička
Hlavička e-mailové zprávy je součást jejího záhlaví, které předchází samotnému textu zprávy.
Může obsahovat různé informace o zprávě samotné, o odesílateli, příjemcích nebo o cestě, po
které zpráva putovala po síti. Ve WebISu lze s hlavičkami zpráv pracovat při nastavování
poštovních identit nebo filtrovacích pravidel. Podrobnější informace o tomto tématu najdete v této
publikaci (http://www.cpress.cz/knihy/tcp-ip-bezp/CD-dalsi/CD-mime/mime.htm).
identita
Identita je soubor přednastavených údajů, které se týkají odesílání pošty. Uživatel si může
přednastavit různé hlavičky e-mailové zprávy, složku pro ukládání zpráv odeslaných pod danou
identitou a automatický podpis.
123
Slovníček
IMAP
IMAP (Internet Message Access Protocol) je jeden z nejrozšířenějších protokolů pro přijímání a
práci s elektronickou poštou. Všechna data ukládá, spravuje a poskytuje klientům ze serveru. Více
informací.
IP adresa
IP adresa je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí
Internetu. Veškerá data (ve formě datagramů), která jsou z nebo na dané zařízení přes počítačovou
sít’ posílána, obsahují IP adresu odesílatele i příjemce.
kontejner
Označení pro objekt, v němž jsou další objekty se skutečnými údaji. Poštovní složky, knihy
kontaktů, kalendáře nebo knihy úkolů jsou tedy kontejnery.
LDAP
LDAP (Lightweight Directory Access Protocol) je protokol určený pro správu a udržování
hierarchických distribuovaných databází, ke kterým se přistupuje skrze počítačovou sít’. Samotné
uložení dat má obvykle podobu stromu, kde každý uzel obsahuje sadu pojmenovaných atributů a
hodnot. Při pojmenovávání nejvyšších pater této adresářové hierarchie se často používá systém
DNS. Hlouběji ve stromu se potom objevují záznamy reprezentující uživatele, skupiny,
dokumenty, tiskárny a podobně. LDAP se používá na správu účtů ve WebISu a je potřeba jej
konfigurovat při zpřístupňování kontaktů do externího poštovního klienta, jakým je například
Mozilla Thunderbird (http://www.czilla.cz/produkty/thunderbird/).
obyčejný objekt
Označení pro záznam v databázi se skutečnými údaji. E-mailová zpráva, kontakt, událost, úkol
nebo šablona jsou tedy obyčejné objekty.
PDC
PDC (Primary Domain Controller) je typ souborového serveru nazývaný též jako primární
ovladač domény. Je to hlavní počítač, který řídí doménu v systému Windows. Obsahuje databázi
všech uživatelských účtů a členů domény, ke které má právo čtení i zápisu. Ověřuje přihlášení
uživatelů na pracovní stanice a nastavuje oprávnění pro sdílené složky.
124
Slovníček
PGP
PGP (Pretty Good Privacy) je počítačový program, který umožňuje šifrování dat a elektronický
podpis. Je založen na asymetrické kryptografii a nejčastěji se používá při práci s elektronickou
poštou. Do poštovních klientů se většinou instaluje jako zásuvný modul nebo rozšíření.
POP3
POP3 (Post Office Protocol version 3) je zastaralý, ale stále rozšířený protokol pro přijímání a
práci s elektronickou poštou. Jeho princip spočívá v tom, že poštovní klient se připojí na poštovní
server, stáhne z něj všechny nové zprávy, smaže je ze serveru a co nejdříve se odpojí. Více
informací.
proxy cache
Počítač nebo program, na který se webové prohlížeče obracejí podobným způsobem, jako se
obracejí na servery v Internetu. Všechny dotazy, které by za normálních okolností šly přímo do
Internetu a třeba přes půl světa, jsou směrovány na proxy cache, která je obvykle přímo ve vaší
síti. Pokud proxy cache již požadovanou stránku někdy viděla, nepokládá vůbec dotaz na
příslušný HTTP server, ale rovnou vrátí prohlížeči stránku nebo obrázek ze své paměti.
přezdívka
Varianta jména pro uživatelský nebo skupinový účet. Toto jméno lze používat při doručování
pošty a pro přihlašování do WebISu a Administrace. Přezdívka má vždy stejnou doménu jako
původní jméno účtu.
přihlašovací skript
Přihlašovací skript je krátký program, který se spouští po přihlašení uživatele do domény. Jeho
nejběžnější využití spočívá v připojení domovské složky uživatele a vybraných sdílených složek
na serveru. Lze je ale využívat k celé řadě úkonů jako jsou například spouštění monitorovacích
programů, instalace sít’ových periferií (např. tiskáren), synchronizace času klienta a serveru nebo
zobrazování důležitých oznámení správců systému. Více informací.
přístupová práva
Přístupová práva jsou vlastností kontejneru nebo obyčejného objektu a určují, jak je tento objekt
viditelný a přístupný jednotlivým uživatelům, respektive skupinám.
125
Slovníček
QoS
QoS (Quality of Service) je soubor pravidel a opatření, která zabezpečují takový provoz sítě, jak
je nastaven ve smluvních podmínkách klienta. V zásadě se jedná o rozdělení celkové šířky pásma
sít’ové linky mezi všechny, kteří ji využívají, a redistribuci volné šířky pásma v případě, že nějaká
přebývá. Ústředními jsou při implementaci těchto pravidel pojmy zaručený tok a maximální tok,
které určují krajní hodnoty rychlostí pro každého klienta. Více informací.
sít’ové rozhraní
Sít’ové rozhraní označuje vstupní body do vašeho serveru. Počet rozhraní odpovídá počtu
sít’ových karet, které jsou v serveru nainstalovány. Obvykle má server dvě sít’ová rozhraní, jedno
směřující do Internetu a druhé směřující do lokální sítě. Server ovšem může spravovat více
lokálních sítí, od čehož se potom odvíjí i počet rozhraní. Více informací.
implicitní přihlašovací doména
Implicitní přihlašovací doména je přednastavená část přihlašovací adresy, která se zobrazuje za
vstupním polem pro uživatelské jméno. Umožňuje přihlášení pouze pod lokální částí
přihlašovacího jména. Nastavuje ji správce v administrační části WebISu.
šablona
Šablona je sada přednastavených údajů, které se automaticky vkládají do nového objektu při jeho
vytvoření. WebIS podporuje šablony pro kontakty, události a úkoly a umožňuje v nich práci s
proměnnými.
URL
URL (Uniform Resource Locator) je řetězec znaků s definovanou strukturou a slouží k přesné
specifikaci umístění zdrojů informací (ve smyslu dokument nebo služba) na Internetu. URL
definuje doménovou adresu serveru, umístění zdroje na serveru a protokol, kterým je možné zdroj
zpřístupnit.
úroveň oprávnění
Číslo úrovně oprávnění představuje autoritu uživatele nebo skupiny a týká se viditelnosti
nastavení přístupových práv objektu. Čím je číslo úrovně nižší, tím je autorita vyšší. Uživatel s
vyšší úrovní nevidí nastavení práv uživatele s nižší úrovní a nemůže je tedy měnit, i když ve svém
nastavení práv má povoleno vše.
126
Slovníček
VPN
VPN (Virtual Private Network) je prostředek pro propojení několika počítačů na různých místech
Internetu do jediné virtuální počítačové sítě. I když počítače mohou být v naprosto fyzicky
nezávislých sítích na různých místech světa, prostřednictvím virtuální privátní sítě mezi sebou
mohou komunikovat, jako by byli na jediném sít’ovém segmentu. Prostřednictvím VPN lze
zajistit například připojení firemních notebooků kdekoliv na Internetu do firemního intranetu.
WAPMail
WAPmail je wapová aplikace umožňující prohlížení e-mailů pomocí mobilního telefonu.
Aplikace je zaměřena především na jednoduchou a rychlou obsluhu – prakticky se jedná o
prohlížeč poštovní schránky.
WINS
WINS (Windows Internet Naming Service) je služba, která funguje jako server pro překlad jmen
počítačů v sít’ovém prostředí NetBIOS systému Windows.
127

Administrace – manuál

Transkript

Podobné dokumenty

Poznámky k vydání - Kerio Technologies

ke stažení - Patrik Malina

stáhnout - soLNet, sro

Hardware a komunikacnı technologie

Manuál - Hosting

kerio-connect-stepbystep-cz-7.2.4-5419

misys-web - GEPRO spol. s ro

Kerio Control

Pro stažení nejnovější verze tohoto dokumentu klikněte sem

Kerio VPNClient - Kerio Technologies

Pˇrírucka uživatele - Kerio Technologies

ESET Endpoint Security 5 - Uživatelská příručka

všeobecných obchodních podmínkách služby InChange

rádio bolero návod k obsluze - Media Portal

PSP5453 DUO_Manual_C..

solnet.ee