Kuutõrvaja - Kasutaja kaastöö [et]

IP pakettide filtreerimine

2007-06-12T09:40:19Z

Lumepall: /* IP-pakett */

===Sissejuhatus===

TCP/IP-põhisel andmevahetusel liiguvad andmed üle võrgu IP-pakettidena. Tavaliselt juhitakse marsruutinguga IP-pakett tema päises sisalduva informatsiooni põhjal sinna, kuhu ta algselt saadeti. Marsruutereid, mis on konfigureeritud IP-pakette analüüsima ning mis võivad näiteks teatud tingimustele vastavaid IP- pakette pillata, nimetatakse IP-filtriteks.

Tüüpiliselt toimub IP-pakettide filtreerimine kohtvõrgu ja Interneti piiril olevas marsruuteris või tulemüüris.

===IP-pakett===

Kirjeldame IP-paketti vastavalt neljakihilisele TCP/IP protokolli pinu mudelile

* rakenduskiht (ingl. k. application layer)
* transpordikiht (ingl. k. transport layer)
* internetikiht (ingl. k. internet layer)
* võrgukiht (ingl. k. network access layer)

Kui näiteks Telneti klient ja server omavahel suhtlevad, siis andmete saatja liigutab andmed mööda pinu alla ja vastuvõtja vastupidi, alt ülesse.

* Rakenduskihis töötav programm (Telneti klient) annab andmed edasi transpordikihile.
* Transpordikihis on andmete ette lisatud transpordikihi päis: Telneti puhul TCP-päis, milles on kirjas
lähte ja sihtpordi number. Transpordikihist antakse andmed edasi internetikihile.
* Internetikihis on andmete ette lisatud internetikihi päis: lähte- ja sihtpunkti IP-aadress.
Internetikihist antakse andmed edasi võrgukihile.
* Võrgukihis on andmete ette lisatud võrgukihi päis: järgmise marsruuteri MAC aadress.

Iga järgneva päise lisamisel käsitletakse eelmises kihis moodustatud paketti andmetena.
Nii on võrgukihi paketti kapseldatud lisaks andmetele ka kahe keskmise kihi päised.

Rakenduskiht | andmed |

Transpordikiht | päis | andmed |

Internetikiht | päis | päis | andmed |

Võrgukiht | päis | päis | päis | andmed |

Kihilisus väljendab tööjaotust - iga kiht teeb andmetega ära just niipalju kui ette nähtud:

* Võrgukiht tagab, et pakett jõuab alamvõrgus marsruuterini.
* IP-kiht tagab, et pakett saab sihtpunkti marsruuditud.
* Transpordikiht tagab, et pakett antakse sihtpunkti masina vastava pordi kaudu rakendusele üle.

IP-pakettide filtreerimine toimub tegelikult analüüsides interneti- ja transpordikihi päiseid. Asja teeb keerulisemaks see, et transpordikihis kasutatakse levinult kolme erinevat protokolli: TCP, UDP ja ICMP. Iga rakenduskihi protokoll on sobiv teatud rakenduste jaoks.

IP-paketi päises on filtreerimise jaoks oluliseks informatsiooniks:

* IP-paketi lähtepunkti IP-aadress
* IP-paketi sihtpunkti IP-aadress
* transpordikihi protokoll

Järgnevas kolmes punktis käsitletakse, millist IP-pakettide filtreerimise seisukohalt olulist informatsiooni sisaldavad erinevate transpordikihi protokollide päised.

===UDP protokoll===

UDP (User Datagram Protocol) on ühenduseta edastusega transpordikihi protokoll, mida kasutavad näiteks DNS, NFS v2 ja Talk.

Ühenduseta edastus tähendab seda, et kliendi masinast saadetakse UDP datagrammi sisaldav IP-pakett serverisse ning server saab sellele paketile vastuse saata. Filtreerimise seisukohalt on oluline UDP datagrammi päises olev lähte-ja sihtport. Ühenduseta andmevahetus toimub üksikuid pakette vahetades. Kui klient otsustab saata järgmise UDP datagrammi, siis selle lähteport ei pruugi olla sama, mis eelmisel samasse sihtkohta saadetud datagrammil.

UDP protokollile on iseloomulik, et protokollikihis ei toimu andmevahetuse õnnestumise kontrolli. Selle eest peab hoolitsema rakenduskiht.

UDP datagrammi sisaldavate IP-pakettide filtreerimise muudab keeruliseks see, et UDP protokoll ei võimalda eristada kliendi poolt saadetud paketile vastuseks tulevat paketti sellisest paketist, mis on saadetud sisse nö omaalgatuslikult.

Näiteks kui resolver esitab nimeserverile pärigu ja UDP lähteport on 2555 ning sihtport 53, siis vastuseks tulev pakett saabub tagasi porti 2555.

Kuna kliendid võivad põhimõtteliselt kasutada suvalisi üle 1023 porte, siis ei saa neid porte UPD protokolli puhul blokeerida. Samas ei või kindel olla, et kõik sisse tulevad ja üle 1023 porti suunduvad UDP paketid on vastused äsja lahkunud UDP pakettidele.

Viimane asjaolu annab võimaluse UDP porte skaneerida.

===TCP protokoll===

TCP (Transmission Control Protocol) on ühendusega edastusega transpordikihi protokoll, mida kasutavad näiteks Telnet, SSH, FTP, HTTP ja SMTP.

Ühendusega edastuse puhul moodustavad klient ja server andmekanali, mis tähendab, et mõlemad pooled fikseerivad pordi, mida edasisel andmevahetusel kasutatakse. Nende portide vahel toimuv andmevahetus on kahesuunaline.

Ühendust alustatakse "kolmekordse käepigistusega" (ingl. k. three-way handshake), mille käigus annavad mõlemad osapooled nõusoleku andmevahetuse pidamiseks ning ühendus ka lõpetatakse kooskõlaliselt.

Filtreerimise seisukohalt on oluline, et ühendust algatava poole saadetud esimese IP-paketi TCP segmendi päises pole seatud ACK lipp. Kõikides järgnevates pakettides on see seatud. Seda asjaolu saab kasutada väljast sisse tulevate ja seest välja minevate ühenduste eristamiseks. Samuti on igas TCP segmendis kirjas lähte-ja sihtpordi number.

TCP protokollile on iseloomulik, et protokollikihis toimub andmevahetuse õnnestumise kontroll.

TCP segmente sisaldavate IP-pakettide filtreerimine on praktiliselt kõige efektiivsem, kuna lihtsalt saab teha kindlaks, millised ühendused on algatatud seest ja millised väljast. Tihti soovitakse lubada TCP protokolli abil tekitada ühendusi sissepoole ainult teatud portidele, millele vastavad serverid.

Näiteks kui Telneti klient alustab suhtlemist Telneti serveriga ja saadetakse TCP segment lähtepordist 3555 sihtporti 23, siis kogu järgnevaks andmevahetuseks kasutatakse vaid neid porte.

Kuigi kliendid võivad põhimõtteliselt kasutada suvalisi üle 1023 porte, saab neid TCP protokolli puhul väljast algatatud ühenduste jaoks blokeerida.

Viimane asjaolu võimaldab keelata TCP portide skaneerimist.

===ICMP protokoll===

ICMP (Internet Control Message Protocol) on mõeldud kontrollsõnumite edastamiseks. ICMP paketid sisalduvad IP-paketis sarnaselt TCP segmendile või UDP datagrammile ning ICMP paketi päises on kirjas sõnumi tüüp.

ICMP sõnumeid kasutatakse näiteks marsruutingul veateadete edastamiseks. Näiteks kui klient püüab luua ühendust serveriga, kuid vastav teenus on blokeeritud, siis server võib

* pillata IP-paketi (ingl. k. drop), so saata mitte midagi kliendile tagasi; klient loobub timeoutiga määratud aja pärast
* keelduda IP-paketti vastu võtmast (ingl. k. reject), so kliendile saadetakse tagasi ICMP-ga veateade

Filtreerimise seisukohast on oluline otsustada, kas ja milliseid veateateid vastu saata. Pealtnäha viisakas veateate vastusaatmine võimaldab pahalasel teha teie süsteemi kohta rohkem järeldusi.

Üldiselt soovitatakse lubada ICMP pakettide liiklust, kuna seda saavad ära kasutada vaid suhteliselt primitiivsed ründevahendid.

===IP-pakettide fragmenteerumine===

Meediumid, mida mööda IP-paketid liiguvad seavad piiri maksimaalsele paketi suurusele. IP-protokoll näeb ette võimaluse vajadusel liiga suure paketi tükeldada mitmeks väiksemaks IP-paketiks ehk fragmendiks. Edasise tee kuni sihtpunktini liiguvad need fragmendid iseseisvalt, kuni sihtpunktis moodustatakse nendest taas algne IP-pakett.

Filtreerimise seisukohalt on oluline arvestada, et vaid esimesese fragmendi päises on lisaks IP-päisele transpordikihi päis, näiteks TCP päis. Ülejäänud pakettides sisaldub vaid IP-paketi päis, milles on ka täiendav info sellest, millises järjekorras sihtpunktis saabunud fragmendid kokku liita.

Tavaliselt lastakse kõik peale esimese fragmendi pikemata IP-filtrist läbi ja analüüsitakse vaid esimest fragmenti. Kui esimene fragment ei saa filtrist mööda, vaatamata sellele, et kõik teised said, siis ei saa algset IP-paketti moodustada ning kokkuvõttes filtreerimine toimib.

===Dünaamiline filtreerimine===

Et saada kontrollida, millises suunas lubatakse algatada ühenduseta edastusi, nagu näiteks UDP protokolli puhul, kasutatakse dünaamilist filtreerimist. Tehnika seisneb selles, et IP-filter tekitab ise vajalikud reeglid ja need kehtivad teatud aja.

Näiteks on võimalik luua olukord, et välja saab saata UDP pakette, kuid väljast sisse ei saa, va neid, mis on vastuseks seest väljasaadetutele.

Selleks seatakse vaikimisi UDP jaoks pordid sissetulevatele datagrammidele suletuks ning väljuvatele avatuks. Kui UDP datagrammi sisaldav IP-pakett lahkub masinast, siis jätab IP-filter meelde vastava lähtepordi ning eeldades, et vastus saabub näiteks ühe minuti jooksul, lubatakse väljast sisse sellele lähtpordile üks UDP datagramme ühe minuti jooksul.

Logi

2007-06-12T07:44:33Z

Lumepall: /* teenuste logimine läbi syslog'i */

===sissejuhatus===

Logimist korraldab serveris tavaliselt tarkvara nimega syslog, levinud on ka täiustatud logimootor nimega syslog-ng.
Antud tekstis tegeleme keskse logimisega logiserverisse, mille ip'ks on näiteks 192.168.1.10.

Vajalik võib see olla näiteks, et peale
serveri mahavõtmist või purunemist saaks jälgida mis on toimunud. Tsentraalse statistika genereerimiseks jne

===logikliendi seadistus===

syslog.conf'is näiteks kui on rida

auth,authpriv.* /var/log/auth.log

siis võib tekitada kõrvale

auth,authpriv.* @192.168.1.10

ja rohkem polegi vaja lihtsaks logimiseks
peale seda saadetakse juba auth ja authpriv teated kõik masinale 192.168.1.10

tavalise syslog'i puhul näiteks freebsd's võime /etc/syslog.conf'i kirjutada

*.notice;kern.debug;lpr.info;mail.crit @192.168.1.10
auth.info;authpriv.info @192.168.1.10
mail.info @192.168.1.10

ehk siis messages, auth ja mail antud näites

syslog-ng kasutamisel oleks analoogne seadistus

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_mail); destination(loghost); };
log { source(src); filter(f_authpriv); destination(loghost); };
log { source(src); filter(f_messages); destination(loghost); };

===teenuste logimine läbi syslog'i===

Osa tarkvara ei kasuta logimiseks sysloq'i, vaid eelistavad ise tegeleda logi kirjutamiega - näiteks apache.
Nende tarkvaradega tuleb rohkem vaeva näha.

Selleks juhuks on syslog-ng's hulga vabu local'eid

filter f_local0 { facility(local0); };
filter f_local1 { facility(local1); };
filter f_local2 { facility(local2); };
filter f_local3 { facility(local3); };
filter f_local4 { facility(local4); };
filter f_local5 { facility(local5); };
filter f_local6 { facility(local6); };
filter f_local7 { facility(local7); };

'''Näide logimisest skriptis'''

Soovime näiteks teha või meil on juba serveris skript mille teateid soovime saada läbi syslog'i kuhugi faili
ning samas kirjutada ka logiserverisse. Logifail, kuhu soovime et kirjutataks infot, on /var/log/katse

Kirjutame syslog.conf'i read

destination katse { file("/var/log/katse"); };
log { source(src); filter(f_local4); destination(katse); };

ning nüüd anname käsu testiks shell'is

/usr/bin/logger -p local4.info "this is a test message"

faili /var/log/katse peaks tekkima rida

Jun 11 19:46:50 hostname kasutaja: this is a test message

Nüüd kui soovime, et teated läheksid ka logi serverisse, on vaja syslog.conf'i lisada vaid read

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_local4); destination(loghost); };

Serveris 192.168.1.10 kuhu logi saadetakse peame aga konfiguratsiooni selleks ,et info vastuvõetaks ja test faili lisataks kirjutama

destination test {
file("/log/serverid/$FULLHOST/test.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

'''Apache logimine'''

Programmi apache logimise läbi syslog'i saame selliselt

Avame httpd.conf'i

asendame rea

ErrorLog /var/log/httpd/error.log

reaga

ErrorLog syslog:local4

ja access log'i jaoks rida

CustomLog "|/usr/bin/logger -p local5.info" combined

syslog.conf muudatused tulevad

destination loghost { udp("192.168.1.10"); };

destination http_error { file("/var/log/httpd/error.log"); };
destination http_access { file("/var/log/httpd/access.log"); };

log { source(src); filter(f_local4); destination(loghost); };
log { source(src); filter(f_local4); destination(http_error); };
log { source(src); filter(f_local5); destination(loghost); };
log { source(src); filter(f_local5); destination(http_access); };

===logiserveri seadistus===

Serveripoolel soovitaks kasutada rohkemate võimaluste poolest kui võimalik syslog-ng tarkvara. Antud näide on ainult syslog-ng'l toimiv

vaikimisi üritab syslog kirjutada logifailid ühte defineeritud faili kokku.
Esimese tööna tuleb defineerida failid kuhu mis tüüpi logi kirjutatakse.
Kasutame muutujat $FULLHOST radadepuhul. See annab meile võimaluse ,et logiserveris tekivad kaustad ja failid
tekitatakse automaatselt sellise struktuuriga

/log/serverid/mail.server.ee/messages
/log/serverid/mail.server.ee/mail.log
/log/serverid/mail.server.ee/auth.log
/log/serverid/www.server.ee/messages
/log/serverid/www.server.ee/mail.log
/log/serverid/www.server.ee/auth.log
/log/serverid/www.server.ee/http_error.log
/log/serverid/www.server.ee/http_access.log

konfifail ise

source net {
udp();
};

destination remote {
file("/log/serverid/$FULLHOST/messages.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_auth {
file("/log/serverid/$FULLHOST/auth.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_mail {
file("/log/serverid/$FULLHOST/mail.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_error {
file("/log/serverid/$FULLHOST/http_error.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_access {
file("/log/serverid/$FULLHOST/http_access.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

Logi

2007-06-12T07:38:59Z

Lumepall: /* sissejuhatus */

===sissejuhatus===

Logimist korraldab serveris tavaliselt tarkvara nimega syslog, levinud on ka täiustatud logimootor nimega syslog-ng.
Antud tekstis tegeleme keskse logimisega logiserverisse, mille ip'ks on näiteks 192.168.1.10.

Vajalik võib see olla näiteks, et peale
serveri mahavõtmist või purunemist saaks jälgida mis on toimunud. Tsentraalse statistika genereerimiseks jne

===logikliendi seadistus===

syslog.conf'is näiteks kui on rida

auth,authpriv.* /var/log/auth.log

siis võib tekitada kõrvale

auth,authpriv.* @192.168.1.10

ja rohkem polegi vaja lihtsaks logimiseks
peale seda saadetakse juba auth ja authpriv teated kõik masinale 192.168.1.10

tavalise syslog'i puhul näiteks freebsd's võime /etc/syslog.conf'i kirjutada

*.notice;kern.debug;lpr.info;mail.crit @192.168.1.10
auth.info;authpriv.info @192.168.1.10
mail.info @192.168.1.10

ehk siis messages, auth ja mail antud näites

syslog-ng kasutamisel oleks analoogne seadistus

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_mail); destination(loghost); };
log { source(src); filter(f_authpriv); destination(loghost); };
log { source(src); filter(f_messages); destination(loghost); };

===teenuste logimine läbi syslog'i===

Osa tarkvara ei kasuta logimiseks sysloq'i vaid eelistavad ise tegeleda logi kirjutamiega näit apache
nende tarkvaradega tuleb rohkem vaeva näha.

Selleks juhuks on syslog-ng's hulga vabu local'eid

filter f_local0 { facility(local0); };
filter f_local1 { facility(local1); };
filter f_local2 { facility(local2); };
filter f_local3 { facility(local3); };
filter f_local4 { facility(local4); };
filter f_local5 { facility(local5); };
filter f_local6 { facility(local6); };
filter f_local7 { facility(local7); };

'''Näide logimisest skriptis'''

Soovime näiteks teha või meil on juba serveris skript mille teateid soovime saada läbi syslog'i kuhugi faili
ning samas kirjutada ka logiserverisse. Logifail kuhu soovime ,et kirjutataks infot on /var/log/katse

Kirjutame syslog.conf'i read

destination katse { file("/var/log/katse"); };
log { source(src); filter(f_local4); destination(katse); };

ning nüüd anname käsu testiks shell'is

/usr/bin/logger -p local4.info "this is a test message"

faili /var/log/katse peaks tekkima rida

Jun 11 19:46:50 hostname kasutaja: this is a test message

Nüüd kui soovime ,et teated läheksid ka logi serverisse on vaja syslog konfi lisada vaid read

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_local4); destination(loghost); };

Serveris 192.168.1.10 kuhu logi saadetakse peame aga konfiguratsiooni selleks ,et info vastuvõetaks ja test faili lisataks kirjutama

destination test {
file("/log/serverid/$FULLHOST/test.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

'''Apache logimine'''

Programmi apache syslog'i läbi logimina saame selliselt

Avame httpd.conf'i

asendame rea

ErrorLog /var/log/httpd/error.log

reaga

ErrorLog syslog:local4

ja access log'i jaoks rida

CustomLog "|/usr/bin/logger -p local5.info" combined

syslog.conf muudatused tulevad

destination loghost { udp("192.168.1.10"); };

destination http_error { file("/var/log/httpd/error.log"); };
destination http_access { file("/var/log/httpd/access.log"); };

log { source(src); filter(f_local4); destination(loghost); };
log { source(src); filter(f_local4); destination(http_error); };
log { source(src); filter(f_local5); destination(loghost); };
log { source(src); filter(f_local5); destination(http_access); };

===logiserveri seadistus===

Serveripoolel soovitaks kasutada rohkemate võimaluste poolest kui võimalik syslog-ng tarkvara. Antud näide on ainult syslog-ng'l toimiv

vaikimisi üritab syslog kirjutada logifailid ühte defineeritud faili kokku.
Esimese tööna tuleb defineerida failid kuhu mis tüüpi logi kirjutatakse.
Kasutame muutujat $FULLHOST radadepuhul. See annab meile võimaluse ,et logiserveris tekivad kaustad ja failid
tekitatakse automaatselt sellise struktuuriga

/log/serverid/mail.server.ee/messages
/log/serverid/mail.server.ee/mail.log
/log/serverid/mail.server.ee/auth.log
/log/serverid/www.server.ee/messages
/log/serverid/www.server.ee/mail.log
/log/serverid/www.server.ee/auth.log
/log/serverid/www.server.ee/http_error.log
/log/serverid/www.server.ee/http_access.log

konfifail ise

source net {
udp();
};

destination remote {
file("/log/serverid/$FULLHOST/messages.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_auth {
file("/log/serverid/$FULLHOST/auth.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_mail {
file("/log/serverid/$FULLHOST/mail.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_error {
file("/log/serverid/$FULLHOST/http_error.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_access {
file("/log/serverid/$FULLHOST/http_access.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

Logi

2007-06-12T07:37:59Z

Lumepall: /* sissejuhatus */

===sissejuhatus===

Logimist korraldab serveris tavaliselt tarkvara nimega syslog, levinud on ka täiustatud logimootor nimega syslog-ng
Antud tekstis tegeleme keskse logimisega logiserverisse, mille ip'ks on näiteks 192.168.1.10.

Vajalik võib see olla näiteks, et peale
serveri mahavõtmist või purunemist saaks jälgida mis on toimunud. Tsentraalse statistika genereerimiseks jne

===logikliendi seadistus===

syslog.conf'is näiteks kui on rida

auth,authpriv.* /var/log/auth.log

siis võib tekitada kõrvale

auth,authpriv.* @192.168.1.10

ja rohkem polegi vaja lihtsaks logimiseks
peale seda saadetakse juba auth ja authpriv teated kõik masinale 192.168.1.10

tavalise syslog'i puhul näiteks freebsd's võime /etc/syslog.conf'i kirjutada

*.notice;kern.debug;lpr.info;mail.crit @192.168.1.10
auth.info;authpriv.info @192.168.1.10
mail.info @192.168.1.10

ehk siis messages, auth ja mail antud näites

syslog-ng kasutamisel oleks analoogne seadistus

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_mail); destination(loghost); };
log { source(src); filter(f_authpriv); destination(loghost); };
log { source(src); filter(f_messages); destination(loghost); };

===teenuste logimine läbi syslog'i===

Osa tarkvara ei kasuta logimiseks sysloq'i vaid eelistavad ise tegeleda logi kirjutamiega näit apache
nende tarkvaradega tuleb rohkem vaeva näha.

Selleks juhuks on syslog-ng's hulga vabu local'eid

filter f_local0 { facility(local0); };
filter f_local1 { facility(local1); };
filter f_local2 { facility(local2); };
filter f_local3 { facility(local3); };
filter f_local4 { facility(local4); };
filter f_local5 { facility(local5); };
filter f_local6 { facility(local6); };
filter f_local7 { facility(local7); };

'''Näide logimisest skriptis'''

Soovime näiteks teha või meil on juba serveris skript mille teateid soovime saada läbi syslog'i kuhugi faili
ning samas kirjutada ka logiserverisse. Logifail kuhu soovime ,et kirjutataks infot on /var/log/katse

Kirjutame syslog.conf'i read

destination katse { file("/var/log/katse"); };
log { source(src); filter(f_local4); destination(katse); };

ning nüüd anname käsu testiks shell'is

/usr/bin/logger -p local4.info "this is a test message"

faili /var/log/katse peaks tekkima rida

Jun 11 19:46:50 hostname kasutaja: this is a test message

Nüüd kui soovime ,et teated läheksid ka logi serverisse on vaja syslog konfi lisada vaid read

destination loghost { udp("192.168.1.10"); };
log { source(src); filter(f_local4); destination(loghost); };

Serveris 192.168.1.10 kuhu logi saadetakse peame aga konfiguratsiooni selleks ,et info vastuvõetaks ja test faili lisataks kirjutama

destination test {
file("/log/serverid/$FULLHOST/test.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

'''Apache logimine'''

Programmi apache syslog'i läbi logimina saame selliselt

Avame httpd.conf'i

asendame rea

ErrorLog /var/log/httpd/error.log

reaga

ErrorLog syslog:local4

ja access log'i jaoks rida

CustomLog "|/usr/bin/logger -p local5.info" combined

syslog.conf muudatused tulevad

destination loghost { udp("192.168.1.10"); };

destination http_error { file("/var/log/httpd/error.log"); };
destination http_access { file("/var/log/httpd/access.log"); };

log { source(src); filter(f_local4); destination(loghost); };
log { source(src); filter(f_local4); destination(http_error); };
log { source(src); filter(f_local5); destination(loghost); };
log { source(src); filter(f_local5); destination(http_access); };

===logiserveri seadistus===

Serveripoolel soovitaks kasutada rohkemate võimaluste poolest kui võimalik syslog-ng tarkvara. Antud näide on ainult syslog-ng'l toimiv

vaikimisi üritab syslog kirjutada logifailid ühte defineeritud faili kokku.
Esimese tööna tuleb defineerida failid kuhu mis tüüpi logi kirjutatakse.
Kasutame muutujat $FULLHOST radadepuhul. See annab meile võimaluse ,et logiserveris tekivad kaustad ja failid
tekitatakse automaatselt sellise struktuuriga

/log/serverid/mail.server.ee/messages
/log/serverid/mail.server.ee/mail.log
/log/serverid/mail.server.ee/auth.log
/log/serverid/www.server.ee/messages
/log/serverid/www.server.ee/mail.log
/log/serverid/www.server.ee/auth.log
/log/serverid/www.server.ee/http_error.log
/log/serverid/www.server.ee/http_access.log

konfifail ise

source net {
udp();
};

destination remote {
file("/log/serverid/$FULLHOST/messages.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_auth {
file("/log/serverid/$FULLHOST/auth.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_mail {
file("/log/serverid/$FULLHOST/mail.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_error {
file("/log/serverid/$FULLHOST/http_error.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

destination remote_http_access {
file("/log/serverid/$FULLHOST/http_access.log"
owner(root) group(wheel) perm(0600) dir_perm(0700) create_dirs(yes));
};

Samba kasutamine

2007-06-06T10:52:08Z

Lumepall: /* Alamvõrgu konfigureerimine */

===Konfiguratsioonifail===

Samba kasutamise juures on kõige keerulisem koostada sobiv konfiguratsioonifail, mille nimi ja asukoht sõltub sellest, kuidas Samba installeeriti, kuid on tavaliselt /etc/smb.conf või /etc/samba/smb.conf või /usr/local/samba/lib/smb.conf

Konfiguratsioonifailis on kahte tüüpi osi:

* üks üldosa (global) - reguleerib serveri toimimist; seal on näidatud Samba serveri üldised omadused. Näiteks, millisesse Windowsi töögruppi server
kuulub.
* mitu teenuse osa - defineerib faili- või printimisteenuse. Näiteks tehakse kõigile kasutajatele ainult lugemiseks kättesaadavaks UNIXi
kataloogi /home/avalik sisu.

Konfiguratsioonifaili osa nimi kirjutatakse kantsulgude vahele ning konfiguratsiooniparameetritele omistatakse väärtus võrdusmärgiga. Kommentaarideks loetakse read, mida alustatakse # või ; märgiga. Rida võib jätkata tagurpidi kaldkriipsuga (\), kuid see peab olema ise viimane sümbol real. Tühja rida ignoreeritakse.

Toome näite konfiguratsioonifailist eesmärgiga selgitada selle süntaksit; viited kommenteeritud konfiguratsioonifailidele leiate altpoolt.

[global]
workgroup = ZOO
security = user
server string = Samba server %v

# Kasutaja priit jagu
[homes]
comment = kasutaja %u kodukataloog
path = /home/%u
writeable = yes
browseable = no

; koigile lugemiseks
[lugemik]
comment = Koigile lugemiseks
path = /home/lugemik
writeable = no
public = yes

[printers]
path = /var/spool/lpd/samba
comment = Mustvalge HP 6MP PostScript printer
public = yes
printable = yes

Samba server pakub faili-ja printeriteenuseid ja seepärast peab iga teenuse juures olema tee. Tee näitab vastava UNIXi kataloogi nime või printeri spooliks kasutatavat kataloogi. Tee ja muud teenuste omadused näidatakse tavaliselt konfiguratsiooniparameetrite abil iga teenuse juures eraldi. Näiteks on teenuse lugemik puhul keelatud sinna kirjutamine.

Enamusel parameetritel on vaikeväärtused. Näiteks võiks jätta teenuses lugemik ära rea writeable, kuivõrd 'no' on ka parameetri väikeväärtus. Vaikeväärtuste väljakirjutamine aitab aga selgemini mõista teenuse iseloomu.

Mõnda parameetrit on lubatud kasutada vaid üldosas (security), mõnda ainult teenuse juures (path), mõnda aga mõlemas (browseable). Kehtima hakkab teenuse juures viimasena näidatud.

Paljudel parameetritel on olemas sünonüümid, näiteks düskraafide jaoks on tehtud lisaks browseable'le browsable. Sarnaselt on sama tähendusega public ja guest ok.

Erilisteks eeldefineeritud osadeks on ka homes, printers ja netlogon.

===Samba käivitamine ning seiskamine===

Samba server töötab tavaliselt juurkasutaja õigustes ning ta käivitatakse süsteemi alglaadimisskriptidest. Sambat saab kävitada kahte moodi, kas iseseisva serverina või superserveri Inetd abil. Kui Sambat kasutatakse tõenäoliselt harva ja masina ressurssidega on kitsas, siis pole põhjust pidevalt protsesse mälus hoida. Siiski peab arvestama, et Samba serveri poole pöördumisel läbi Inetd kulub veidi rohkem aega.

===Iseseisva serverina===

Tuleb käivitada deemonitena kaks programmi:

* nmbd - teeb alamvõrgule teatavaks Samba serveri nime ning tema abil saab tööle seada WINSi nimeserveri
* smbd - teenindab faili-ja printeriteenuste kasutamise kohta tulevaid päringuid

Serveri käivitamiseks ja seiskamiseks sobib kasutada näiteks sellist skripti

#!/bin/sh
case $1 in
'start')
echo "Starting smbd..."
/usr/local/samba/bin/smbd -D
echo "Starting nmbd..."
/usr/local/samba/bin/nmbd -D
;;
'stop')
echo "Stopping smbd and nmbd..."
killall smbd
killall nmbd
rm -f /usr/local/samba/var/locks/smbd.pid
rm -f /usr/local/samba/var/locks/nmbd.pid
;;
*)
echo "usage: smb {start|stop}"
;;
esac

===Superserveri Inetd abil===

Lisage Inetd konfiguratsioonifaili /etc/inetd.conf read

netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd smbd
netbios-ns dgram udp wait root /usr/local/samba/bin/nmbd nmbd

Peale Samba konfiguratsioonifaili muutmist ei ole tavaliselt vajadust serverit taaskäivitada. Server loeb iga minuti järel automaatselt läbi konfiguratsioonifaili ning samuti igal kliendi pöördumisel.

Samba kasutamine

Kuna Samba server töötab juurkasutaja õigustes, siis valesti konfigureeritud Samba server võib ohustada kogu süsteemi turvalisust. Sambat kasutatakse

* jaosrežiimis või
* kasutajarežiimis

Järgides neid viiteid saate teada, millistel tingimustel kasutada üht või teist režiimi ning kuidas seda teha.

Failiteenuse puhul saab kasutajate lugemise ja kirjutamise õigusi määrata Samba konfiguratsioonifailist, kuid need ei ületa vastavaid UNIXi failisüsteemi piiranguid. UNIXi kvoot toimib ka Samba failiteenuse jaoks.

Kui Samba server täidab kliendi korraldusi, siis kaasneb sellega tavaliselt protsesside käivitamine, näiteks failide tekitamine või printimine. Protsessi käivitamiseks peab Samba otsustama millise UNIXi kasutaja õigustes seda teha. Kuna Windowsi maailmas on kasutajate ja nende õigustega suhteliselt ebamäärane olukord, siis seda enam tuleb Samba konfigureerimisel tähele panna, millistes õigustes UNIXi masinas Samba serveri kasutajad tegutsevad.

===Alamvõrgu konfigureerimine===

Windowsi masinad kasutavad oma teenuste jagamisel ja nende poole pöördumisel SMB protokolli, mis toimib vaid samas alamvõrgus. Paraku UNIX ei toeta otseselt SMB võrguprotokolli, küll aga on võimalik standardse TCP/IP protokolli peal emuleerida SMBd. Kuna TCP/IP on väga levinud võrguprotokoll, siis oskavad ka enamus uusi Windowsi operatsioonisüsteeme (95/98/2000/NT) samuti emuleerida TCP/IP peal SMBd ja seda nimetatakse NBT (NetBIOS over TCP/IP) protokolliks. Tänu sellele on võimalik panna SMB protokolli kasutades omavahel suhtlema UNIXi ja Windowsi masinad, kusjuures UNIXi poolel "räägib" Windowsi võrgu keelt SMB Samba server.

Kuna SMBd ainult emuleeritakse ja reaalselt asub all TCP/IP, siis peab kõigi osavõtvate masinate juures konfigureerima TCP/IP võrgu, so näitama ära vähemalt:

* masina IP-aadressi ja DNSi nime
* broadcasti aadressi
* alamvõrgu maski

Lisaks tuleb Windowsi masinatele omistada ka NetBIOSi nimed.

Erinevates alamvõrkudes töötavaid Windowsi masinaid koos tööle panna ei pruugi olla lihtne, näiteks tekitada olukord, et ühes kontoris asuvas masinas töötav programm saaks printida teises kontoris asuvale printerile.

Siiski, kui Samba server asub korraga mitmes alamvõrgus on võimalik korraldada asjad nii, et Samba jagab ühe võrgu teenuseid edasi teise alamvõrgu klientidele. Näiteks printerit.

===Samba server tegutseb alati mingi UNIXi kasutaja õigustes===

Konfiguratsioonifaili teenuste sektsioonid konfigureerivad teenused, kusjuures teenust kasutatakse alati mingi UNIXi kasutaja õigustes. Näiteks kirjeldame skeemiga, kuidas toimub sellise teenuse kasutamine kasutajaõiguste seisukohast

[www]
comment = Veebi sisu
path = /home/html
writeable = yes
browseable = no
force user = www
force group = veeb
directory mode = 755
create mode = 744
valid users = mart priit

Tegemist on failiteenusega //samba/www, mille tarvitamine seisneb võimaluses tegeleda UNIXi kataloogi /home/html alla jäävate failide ja kataloogidega.

Teenust on lubatud kasutada ainult kasutajatel mart ja priit, kuid nad tegutsevad kasutaja www õigustes

Samba serveri /home/html
Windows teenus www kataloog

| | -- > -----| |-------- > ----------| |

ligi lubatakse tegutsetakse kasutaja www
vaid mart ja priit ja grupi veeb õigustes;
luuakse faile ja katalooge
loabittidega vastavalt
744 ja 755

Failiteenuse puhul saab kasutajate lugemise ja kirjutamise õigusi määrata Samba konfiguratsioonifailist, kuid need ei ületa vastavaid UNIXi failisüsteemi piiranguid. UNIXi kvoot toimib ka Samba failiteenuse jaoks. Samba poolt kasutatav printer on tavaliselt defineeritud UNIXi printerite kirjeldusfailis.

Kui konfigureerida lihtsalt selline failiteenus

[unixikasutajad]
comment = UNIXi kasutajatele
path = /home/unixikasutajad
writeable = yes
browseable = yes

siis toimetab seal igaüks oma UNIXi kasutaja õigustes.

===Muutujad===

Konfiguratsioonifailis on väga otstarbekas kasutada muutujaid, mille väärtus sõltub sellest kes, kust, kunas jne Samba serveri poole pöördus. Näiteks võiks serveri stringi esitada selliselt

server string = Samba, versioon %v

Töö ajal asendatakse %v Samba versiooninumbriga, näiteks 2.0.7

Teised enamkasutatavad muutujad

* %u - kasutaja nimi
* %g - kasutaja esmase grupi nimi
* %H - kasutaja kodukataloog
* %v - Samba versioon
* %h - Samba serveri UNIXi nimi
* %m - kliendi NetBIOSi nimi
* %L - Samba serveri NetBIOSi nimi
* %M - kliendi masina UNIXi nimi
* %d - Klienti teenindava serveri protsessi ID
* %a - kliendi arhitektuur
* %I - kliendi IP-aadress
* %T - käesolev aeg

===Kasutajate kodukataloogid===

Paljude kasutajate korral on tülikas igaühele tekitada isiklikku failiteenust. Seepärast on välja mõeldud eriline teenus nimega homes. Kui Samba serveri poole pöördub klient ja ta soovib kasutada näiteks teenust mart, mida aga Samba konfiguratsioonifailis pole ning olemas on teenus homes, siis vaadatakse süsteemiparoolifailist järele, kas leidub kasutaja mart. Kui leidub, siis tekitatakse automaatselt failiteenus mart, mille sisuks saab UNIXi kasutaja mart kodukataloogi sisu.

Tekitame näieks teenuse homes eesmärgiga anda kasutajale tema kodukataloog ja kui ta sinna faile või katalooge moodustab, siis tekivad need õigustega 700

[homes]
comment = Kasutaja %u kodukataloog
browseable = no
writable = yes
create mode = 700
directory mask = 700

===Avalik failiteenus===

Avalike failiteenuste puhul on ikka see oht, et failidel on kas liiga palju või liiga vähe õigusi. St kui üks kasutaja moodustab avalikku failiteenusesse kataloogi, siis ei saa teine sinna sisse faile salvestada või hullem, saab sealt faile kustutada. Selleks, et tekitada kõigile enamvähem vastuvõetavat olukorda, tuleb kombineerida Samba ja UNIXi failisüsteemi vahendeid (eelkõige ettenägelik kasutajate UNIXi gruppidesse jaotamine, kasutades võimalust teha üks kasutaja mitme grupi liikmeks).

Näiteks tekitame failiteenuse, kuhu saavad ligi vaid kasutajad mart, priit, manna ja riis. Nad saavad üksteise poolt moodustatud faile muuta ja kataloogidesse salvestada. Samuti faile kustutada, kuid faili omanikuks jääb faili tekitaja.

[mpmr]
comment = mart, priit, manna ja riis tegutsevad siin
path = /home/mpmr
writeable = no
create mode = 770
directory mode = 770
valid users = mart priit manna riis

Absoluutselt kõigile kasutajatele lugemiseks ja kirjutamiseks mõeldud failiteenus. Kõik toimingud tehakse aga UNIXi kasutaja samba õigustes

[sodipodi]
comment = Kõigile kasutajatele lugemiseks ja kirjutamiseks
path = /home/sodipodi
public = yes
writeable = yes
create mode = 777
directory mask = 777
guest account = samba
guest only = yes

Kui viimased kaks parameetrit ära jätta, siis saavad kasutajad tegeleda avaliku teenusega endiselt, kuid toimetavad enda UNIXi kasutaja õigustes.

Võimalik on tekitada mitu sarnast avalikku teenust nii, et nad töötavad erinevate kasutajate õigustes.

===Printeriteenus===

Soovides teha Samba kasutajaile vabalt kättesaadavaks kõik UNIXi printerikirjeldusfailis defineeritud printerid, kasutage sellist teenust

[printes]
comment = Koik UNIXi prinerid
path = /tmp
browseable = yes
printable = yes
public = yes
guest account = samba
guest only = yes

Soovides konfigureerida ühte konkreetset printerit, tekitage näiteks selline sektsioon

[hp6mp]
comment = HP 6MP - mustvalge PostScript printer
printable = yes
print command = /usr/bin/lpr -Php6mp -r %s
printer = lj-6
printing = BSD
public = yes
guest account = samba
guest only = yes

parameetriga print command on näidatud otsesõnu, millise UNIXi käsuga printida ja kuidas seda teha. Antud juhul saadetakse trükitav fail (%s) UNIXi printerisse hp6mp.

Printeri kasutamiseks tuleb Windowsis sobivad printeri draiverid intalleerida, kusjuures peab arvestama seda, kuidas printer on UNIXis kirjeldatud.

Kui Windowsi programm prindib Windowsis konfigureeritud printerile, siis ta kasutab selles konfiguratsioonis näidatud printeri draivereid. Nii väljub Windowsi masinast teatud printkeeles ettevalmistatud fail ja liigub printeri poole. Antud juhul liigub see fail printerisse läbi UNIXi printerikirjeldusfailis näidatud filtrite.

Soovides printida UNIXi küljes olevale printerile nimega otse ja kasutades Windowsis selle printeri enda draivereid, tarvitage näiteks sellist printerikirjeldusfaili printerisektsiooni

otse:\
:sd=/var/spool/lpd/otse:\
:mx#0:\
:sh:\
:lp=/dev/lp0:\
:if=/var/spool/lpd/otse/otse.sh:

ja filtrit otse.sh

#!/bin/sh
cat -

Seesuguse asjakorralduse puhul liigub Windowsis sobivalt ettevalmistatud printerikeelne bitijada läbi UNIXi ilma, et seal midagi muudetakse edasi printerisse.

Sellesse filtrisse võib kirjutada juurde mõned printerikasutust logivad read.

===Teeninduspiirkonna määramine===

Kui Samba serveriks olevasse UNIXi masinasse on installeeritud mitu võrgukaarti, siis parameetri interfaces abil saab näidata, milliste kaartide küljes olevaid alamvõrke teenindatakse. Näiteks määrame Samba teenindama alamvõrke 192.168.1.0 (võrgumaskiga 255.255.255.0) ja 192.168.2.128 (võrgumaskiga 255.255.255.224) lisades üldossa rea

interfaces 192.168.2.128/24 192.168.2.128/255.255.255.224

Võrgumaski võib näidata esimeste ühtede bittide arvuga (24 vastab 255.255.255.0) või tavalise neljaosalise maskiga (255.255.255.224, millele vastab ühtede arv 27).

© EENet 2000

Samba kasutamine

2007-06-06T10:33:47Z

Lumepall: /* Konfiguratsioonifail */

===Konfiguratsioonifail===

Samba kasutamise juures on kõige keerulisem koostada sobiv konfiguratsioonifail, mille nimi ja asukoht sõltub sellest, kuidas Samba installeeriti, kuid on tavaliselt /etc/smb.conf või /etc/samba/smb.conf või /usr/local/samba/lib/smb.conf

Konfiguratsioonifailis on kahte tüüpi osi:

* üks üldosa (global) - reguleerib serveri toimimist; seal on näidatud Samba serveri üldised omadused. Näiteks, millisesse Windowsi töögruppi server
kuulub.
* mitu teenuse osa - defineerib faili- või printimisteenuse. Näiteks tehakse kõigile kasutajatele ainult lugemiseks kättesaadavaks UNIXi
kataloogi /home/avalik sisu.

Konfiguratsioonifaili osa nimi kirjutatakse kantsulgude vahele ning konfiguratsiooniparameetritele omistatakse väärtus võrdusmärgiga. Kommentaarideks loetakse read, mida alustatakse # või ; märgiga. Rida võib jätkata tagurpidi kaldkriipsuga (\), kuid see peab olema ise viimane sümbol real. Tühja rida ignoreeritakse.

Toome näite konfiguratsioonifailist eesmärgiga selgitada selle süntaksit; viited kommenteeritud konfiguratsioonifailidele leiate altpoolt.

[global]
workgroup = ZOO
security = user
server string = Samba server %v

# Kasutaja priit jagu
[homes]
comment = kasutaja %u kodukataloog
path = /home/%u
writeable = yes
browseable = no

; koigile lugemiseks
[lugemik]
comment = Koigile lugemiseks
path = /home/lugemik
writeable = no
public = yes

[printers]
path = /var/spool/lpd/samba
comment = Mustvalge HP 6MP PostScript printer
public = yes
printable = yes

Samba server pakub faili-ja printeriteenuseid ja seepärast peab iga teenuse juures olema tee. Tee näitab vastava UNIXi kataloogi nime või printeri spooliks kasutatavat kataloogi. Tee ja muud teenuste omadused näidatakse tavaliselt konfiguratsiooniparameetrite abil iga teenuse juures eraldi. Näiteks on teenuse lugemik puhul keelatud sinna kirjutamine.

Enamusel parameetritel on vaikeväärtused. Näiteks võiks jätta teenuses lugemik ära rea writeable, kuivõrd 'no' on ka parameetri väikeväärtus. Vaikeväärtuste väljakirjutamine aitab aga selgemini mõista teenuse iseloomu.

Mõnda parameetrit on lubatud kasutada vaid üldosas (security), mõnda ainult teenuse juures (path), mõnda aga mõlemas (browseable). Kehtima hakkab teenuse juures viimasena näidatud.

Paljudel parameetritel on olemas sünonüümid, näiteks düskraafide jaoks on tehtud lisaks browseable'le browsable. Sarnaselt on sama tähendusega public ja guest ok.

Erilisteks eeldefineeritud osadeks on ka homes, printers ja netlogon.

===Samba käivitamine ning seiskamine===

Samba server töötab tavaliselt juurkasutaja õigustes ning ta käivitatakse süsteemi alglaadimisskriptidest. Sambat saab kävitada kahte moodi, kas iseseisva serverina või superserveri Inetd abil. Kui Sambat kasutatakse tõenäoliselt harva ja masina ressurssidega on kitsas, siis pole põhjust pidevalt protsesse mälus hoida. Siiski peab arvestama, et Samba serveri poole pöördumisel läbi Inetd kulub veidi rohkem aega.

===Iseseisva serverina===

Tuleb käivitada deemonitena kaks programmi:

* nmbd - teeb alamvõrgule teatavaks Samba serveri nime ning tema abil saab tööle seada WINSi nimeserveri
* smbd - teenindab faili-ja printeriteenuste kasutamise kohta tulevaid päringuid

Serveri käivitamiseks ja seiskamiseks sobib kasutada näiteks sellist skripti

#!/bin/sh
case $1 in
'start')
echo "Starting smbd..."
/usr/local/samba/bin/smbd -D
echo "Starting nmbd..."
/usr/local/samba/bin/nmbd -D
;;
'stop')
echo "Stopping smbd and nmbd..."
killall smbd
killall nmbd
rm -f /usr/local/samba/var/locks/smbd.pid
rm -f /usr/local/samba/var/locks/nmbd.pid
;;
*)
echo "usage: smb {start|stop}"
;;
esac

===Superserveri Inetd abil===

Lisage Inetd konfiguratsioonifaili /etc/inetd.conf read

netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd smbd
netbios-ns dgram udp wait root /usr/local/samba/bin/nmbd nmbd

Peale Samba konfiguratsioonifaili muutmist ei ole tavaliselt vajadust serverit taaskäivitada. Server loeb iga minuti järel automaatselt läbi konfiguratsioonifaili ning samuti igal kliendi pöördumisel.

Samba kasutamine

Kuna Samba server töötab juurkasutaja õigustes, siis valesti konfigureeritud Samba server võib ohustada kogu süsteemi turvalisust. Sambat kasutatakse

* jaosrežiimis või
* kasutajarežiimis

Järgides neid viiteid saate teada, millistel tingimustel kasutada üht või teist režiimi ning kuidas seda teha.

Failiteenuse puhul saab kasutajate lugemise ja kirjutamise õigusi määrata Samba konfiguratsioonifailist, kuid need ei ületa vastavaid UNIXi failisüsteemi piiranguid. UNIXi kvoot toimib ka Samba failiteenuse jaoks.

Kui Samba server täidab kliendi korraldusi, siis kaasneb sellega tavaliselt protsesside käivitamine, näiteks failide tekitamine või printimine. Protsessi käivitamiseks peab Samba otsustama millise UNIXi kasutaja õigustes seda teha. Kuna Windowsi maailmas on kasutajate ja nende õigustega suhteliselt ebamäärane olukord, siis seda enam tuleb Samba konfigureerimisel tähele panna, millistes õigustes UNIXi masinas Samba serveri kasutajad tegutsevad.

===Alamvõrgu konfigureerimine===

Windowsi masinad kasutavad oma teenuste jagamisel ja nende poole pöördumisel SMB protokolli, mis toimib vaid samas alamvõrgus. Paraku UNIX ei toeta otseselt SMB võrguprotokolli, küll aga on võimalik standardse TCP/IP protokolli peal emuleerida SMBd. Kuna TCP/IP on väga levinud võrguprotokoll, siis oskavad ka enamus uusi Windowsi operatsioonisüsteeme (95/98/2000/NT) samuti emuleerida TCP/IP peal SMBd ja seda nimetatakse NBT (NetBIOS over TCP/IP) protokolliks. Tänu sellele on võimalik panna SMB protokolli kasutades omavahel suhtlema UNIXi ja Windowsi masinad, kusjuures UNIXi pool "räägib" Windowsi võrgu keelt SMB Samba server.

Kuna SMBd ainult emuleeritakse ja reaalselt asub all TCP/IP, siis peab kõigi osavõtvate masinate juures konfigureerima TCP/IP võrgu, so näitama ära vähemalt:

* masina IP-aadressi ja DNSi nime
* broadcasti aadressi
* alamvõrgu maski

Lisaks tuleb Windowsi masinatele omistada ka NetBIOSi nimed.

Erinevates alamvõrkudes töötavaid Windowsi masinaid koos tööle panna ei pruugi olla lihtne, näiteks tekitada olukord, et ühes kontoris asuvas masinas töötav programm saaks printida teises kontoris asuvale printerile.

Siiski, kui Samba server asub korraga mitmes alamvõrgus on võimalik korraldada asjad nii, et Samba jagab ühe võrgu teenuseid edasi teise alamvõrgu klientidele. Näiteks printerit.

===Samba server tegutseb alati mingi UNIXi kasutaja õigustes===

Konfiguratsioonifaili teenuste sektsioonid konfigureerivad teenused, kusjuures teenust kasutatakse alati mingi UNIXi kasutaja õigustes. Näiteks kirjeldame skeemiga, kuidas toimub sellise teenuse kasutamine kasutajaõiguste seisukohast

[www]
comment = Veebi sisu
path = /home/html
writeable = yes
browseable = no
force user = www
force group = veeb
directory mode = 755
create mode = 744
valid users = mart priit

Tegemist on failiteenusega //samba/www, mille tarvitamine seisneb võimaluses tegeleda UNIXi kataloogi /home/html alla jäävate failide ja kataloogidega.

Teenust on lubatud kasutada ainult kasutajatel mart ja priit, kuid nad tegutsevad kasutaja www õigustes

Samba serveri /home/html
Windows teenus www kataloog

| | -- > -----| |-------- > ----------| |

ligi lubatakse tegutsetakse kasutaja www
vaid mart ja priit ja grupi veeb õigustes;
luuakse faile ja katalooge
loabittidega vastavalt
744 ja 755

Failiteenuse puhul saab kasutajate lugemise ja kirjutamise õigusi määrata Samba konfiguratsioonifailist, kuid need ei ületa vastavaid UNIXi failisüsteemi piiranguid. UNIXi kvoot toimib ka Samba failiteenuse jaoks. Samba poolt kasutatav printer on tavaliselt defineeritud UNIXi printerite kirjeldusfailis.

Kui konfigureerida lihtsalt selline failiteenus

[unixikasutajad]
comment = UNIXi kasutajatele
path = /home/unixikasutajad
writeable = yes
browseable = yes

siis toimetab seal igaüks oma UNIXi kasutaja õigustes.

===Muutujad===

Konfiguratsioonifailis on väga otstarbekas kasutada muutujaid, mille väärtus sõltub sellest kes, kust, kunas jne Samba serveri poole pöördus. Näiteks võiks serveri stringi esitada selliselt

server string = Samba, versioon %v

Töö ajal asendatakse %v Samba versiooninumbriga, näiteks 2.0.7

Teised enamkasutatavad muutujad

* %u - kasutaja nimi
* %g - kasutaja esmase grupi nimi
* %H - kasutaja kodukataloog
* %v - Samba versioon
* %h - Samba serveri UNIXi nimi
* %m - kliendi NetBIOSi nimi
* %L - Samba serveri NetBIOSi nimi
* %M - kliendi masina UNIXi nimi
* %d - Klienti teenindava serveri protsessi ID
* %a - kliendi arhitektuur
* %I - kliendi IP-aadress
* %T - käesolev aeg

===Kasutajate kodukataloogid===

Paljude kasutajate korral on tülikas igaühele tekitada isiklikku failiteenust. Seepärast on välja mõeldud eriline teenus nimega homes. Kui Samba serveri poole pöördub klient ja ta soovib kasutada näiteks teenust mart, mida aga Samba konfiguratsioonifailis pole ning olemas on teenus homes, siis vaadatakse süsteemiparoolifailist järele, kas leidub kasutaja mart. Kui leidub, siis tekitatakse automaatselt failiteenus mart, mille sisuks saab UNIXi kasutaja mart kodukataloogi sisu.

Tekitame näieks teenuse homes eesmärgiga anda kasutajale tema kodukataloog ja kui ta sinna faile või katalooge moodustab, siis tekivad need õigustega 700

[homes]
comment = Kasutaja %u kodukataloog
browseable = no
writable = yes
create mode = 700
directory mask = 700

===Avalik failiteenus===

Avalike failiteenuste puhul on ikka see oht, et failidel on kas liiga palju või liiga vähe õigusi. St kui üks kasutaja moodustab avalikku failiteenusesse kataloogi, siis ei saa teine sinna sisse faile salvestada või hullem, saab sealt faile kustutada. Selleks, et tekitada kõigile enamvähem vastuvõetavat olukorda, tuleb kombineerida Samba ja UNIXi failisüsteemi vahendeid (eelkõige ettenägelik kasutajate UNIXi gruppidesse jaotamine, kasutades võimalust teha üks kasutaja mitme grupi liikmeks).

Näiteks tekitame failiteenuse, kuhu saavad ligi vaid kasutajad mart, priit, manna ja riis. Nad saavad üksteise poolt moodustatud faile muuta ja kataloogidesse salvestada. Samuti faile kustutada, kuid faili omanikuks jääb faili tekitaja.

[mpmr]
comment = mart, priit, manna ja riis tegutsevad siin
path = /home/mpmr
writeable = no
create mode = 770
directory mode = 770
valid users = mart priit manna riis

Absoluutselt kõigile kasutajatele lugemiseks ja kirjutamiseks mõeldud failiteenus. Kõik toimingud tehakse aga UNIXi kasutaja samba õigustes

[sodipodi]
comment = Kõigile kasutajatele lugemiseks ja kirjutamiseks
path = /home/sodipodi
public = yes
writeable = yes
create mode = 777
directory mask = 777
guest account = samba
guest only = yes

Kui viimased kaks parameetrit ära jätta, siis saavad kasutajad tegeleda avaliku teenusega endiselt, kuid toimetavad enda UNIXi kasutaja õigustes.

Võimalik on tekitada mitu sarnast avalikku teenust nii, et nad töötavad erinevate kasutajate õigustes.

===Printeriteenus===

Soovides teha Samba kasutajaile vabalt kättesaadavaks kõik UNIXi printerikirjeldusfailis defineeritud printerid, kasutage sellist teenust

[printes]
comment = Koik UNIXi prinerid
path = /tmp
browseable = yes
printable = yes
public = yes
guest account = samba
guest only = yes

Soovides konfigureerida ühte konkreetset printerit, tekitage näiteks selline sektsioon

[hp6mp]
comment = HP 6MP - mustvalge PostScript printer
printable = yes
print command = /usr/bin/lpr -Php6mp -r %s
printer = lj-6
printing = BSD
public = yes
guest account = samba
guest only = yes

parameetriga print command on näidatud otsesõnu, millise UNIXi käsuga printida ja kuidas seda teha. Antud juhul saadetakse trükitav fail (%s) UNIXi printerisse hp6mp.

Printeri kasutamiseks tuleb Windowsis sobivad printeri draiverid intalleerida, kusjuures peab arvestama seda, kuidas printer on UNIXis kirjeldatud.

Kui Windowsi programm prindib Windowsis konfigureeritud printerile, siis ta kasutab selles konfiguratsioonis näidatud printeri draivereid. Nii väljub Windowsi masinast teatud printkeeles ettevalmistatud fail ja liigub printeri poole. Antud juhul liigub see fail printerisse läbi UNIXi printerikirjeldusfailis näidatud filtrite.

Soovides printida UNIXi küljes olevale printerile nimega otse ja kasutades Windowsis selle printeri enda draivereid, tarvitage näiteks sellist printerikirjeldusfaili printerisektsiooni

otse:\
:sd=/var/spool/lpd/otse:\
:mx#0:\
:sh:\
:lp=/dev/lp0:\
:if=/var/spool/lpd/otse/otse.sh:

ja filtrit otse.sh

#!/bin/sh
cat -

Seesuguse asjakorralduse puhul liigub Windowsis sobivalt ettevalmistatud printerikeelne bitijada läbi UNIXi ilma, et seal midagi muudetakse edasi printerisse.

Sellesse filtrisse võib kirjutada juurde mõned printerikasutust logivad read.

===Teeninduspiirkonna määramine===

Kui Samba serveriks olevasse UNIXi masinasse on installeeritud mitu võrgukaarti, siis parameetri interfaces abil saab näidata, milliste kaartide küljes olevaid alamvõrke teenindatakse. Näiteks määrame Samba teenindama alamvõrke 192.168.1.0 (võrgumaskiga 255.255.255.0) ja 192.168.2.128 (võrgumaskiga 255.255.255.224) lisades üldossa rea

interfaces 192.168.2.128/24 192.168.2.128/255.255.255.224

Võrgumaski võib näidata esimeste ühtede bittide arvuga (24 vastab 255.255.255.0) või tavalise neljaosalise maskiga (255.255.255.224, millele vastab ühtede arv 27).

© EENet 2000

Arutelu:Nimeserveri tööleseadmine

2007-06-06T07:20:39Z

Lumepall: New page: Kas tõesti käivitatakse bind8 nimeserver käsuga 'rndc start'? Ma olen neid lo tsoonide faile näinud nii- ja naasuguseid. Aga ikka ei saa aru, milleks. Ilmselt on ''kool'' sekundaarne...

Kas tõesti käivitatakse bind8 nimeserver käsuga 'rndc start'?

Ma olen neid lo tsoonide faile näinud nii- ja naasuguseid. Aga ikka ei saa aru, milleks.

Ilmselt on ''kool'' sekundaarne nimeserver. Aga kas ta on ikka domeenis tartu.ee? Või hoopis zoo.tartu.ee? Igaljuhul tema aadress on ka kirjeldamata. Ei ole ise nii kõva mees, et need parandused julgeks ette võtta:(

Kuidas näha, millist nime/aadressi mingi masin nimeserverilt küsinud on? Ei ole küll ilus teiste järele nuhkida, aga vahel on siiski vaja teada.

Ausaltöelda oleks hea kui aluseks bind9 võetaks ja keegi ka ipv6-ga seonduvat pajataks.

Nimeserveri tööleseadmine

2007-06-06T07:08:26Z

Lumepall: /* Tsooni localhost. päriteistenduste tsoonifail */

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
localhost. 1D IN A 127.0.0.1

===Tsooni localhost. pöördteisenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. 1D IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ 1D IN SOA kala.tiik.aed. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. 1D IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. 1D IN A 192.168.1.0
tiik.aed. 1D IN A 192.168.1.1
kala.tiik.aed. 1D IN A 192.168.1.1
kahv.tiik.aed. 1D IN A 192.168.1.2
vesi.tiik.aed. 1D IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID

Nimeserveri tööleseadmine

2007-06-06T06:39:43Z

Lumepall: /* Tsooni zoo.tartu.ee. päriteisenduste tsoonifail */

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
localhost. 1D IN A 127.0.0.1

===Tsooni localhost. päriteistenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. 1D IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ 1D IN SOA kala.tiik.aed. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. 1D IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. 1D IN A 192.168.1.0
tiik.aed. 1D IN A 192.168.1.1
kala.tiik.aed. 1D IN A 192.168.1.1
kahv.tiik.aed. 1D IN A 192.168.1.2
vesi.tiik.aed. 1D IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID

Nimeserveri tööleseadmine

2007-06-06T06:31:37Z

Lumepall: /* Nimeserveri seadistusfail */

http://www.oreillynet.com/pub/a/oreilly/networking/news/dnsandbind_0401.html

===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* hostmaster.eenet.ee. - domeeni eest vastutava kontaktisiku e-postiaadress
* 2001050100 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
localhost. 1D IN A 127.0.0.1

===Tsooni localhost. päriteistenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ 1D IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. 1D IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. 1D IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ 1D IN SOA kala.tiik.aed. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. 1D IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. 1D IN A 192.168.1.0
tiik.aed. 1D IN A 192.168.1.1
kala.tiik.aed. 1D IN A 192.168.1.1
kahv.tiik.aed. 1D IN A 192.168.1.2
vesi.tiik.aed. 1D IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID