http://wiki.linuxformat.ru/wiki/api.php?action=feedcontributions&feedformat=atom&user=KiprussLinuxformat - Вклад участника [ru]2026-05-13T02:10:30ZВклад участникаMediaWiki 1.19.20+dfsg-0+deb7u3http://wiki.linuxformat.ru/wiki/LXF104LXF1042009-03-30T21:39:29Z<p>Kipruss: /* Учебники */</p>
<hr />
<div>=== Учебники ===<br />
<br />
* [[LXF104:Совет месяца|'''Совет месяца:''' ''Chroot'']]<br />
<br />
* [[LXF104:Альтернативы Photoshop|'''Фотография.''' Альтернативы ''Photoshop'']]<br />
Противники Linux утверждают, что наша ОС не подходит для работы с изображениями. '''Дейл Стрикланд-Кларк''' покажет, насколько они заблуждаются, предложив внушительный список доступных инструментов.<br />
<br />
* [[LXF104:Hardcore Linux|'''Hardcore Linux.''' LDAP: Защитим вход в Dovecot.]]<br />
Позволять кому попало использовать наш почтовый сервер без аутентификации пользователя – сущее безумие. '''Д-р Крис Браун''' наведет порядок с помощью LDAP… <br />
<br />
* R: начала анализа<br />
<br />
[[Категория:Математические пакеты]]<br />
<br />
=== [[LXF104:Ответы|Ответы]] ===<br />
<br />
Проблемы Linux решены: мониторинг серверов, автомонтирование с ''Udev'', преобразователи ''USB-to-serial'', сборка ПО, подстройка ''swap'' и запуск сканера в виртуальной машине.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF104:Hardcore_LinuxLXF104:Hardcore Linux2009-03-30T21:37:36Z<p>Kipruss: /* Станция «Рабочая» */</p>
<hr />
<div>==LDAP: Защитим вход в Dovecot==<br />
<br />
Позволять кому попало использовать наш почтовый сервер без аутентификации пользователя – сущее безумие. '''Д-р Крис Браун''' наведет порядок с помощью LDAP…<br />
<br />
Сегодняшнее утреннее чтение начнем с Книги Тукса, главы пятой, с самого первого стиха.<br />
<br />
# В начале был файл с паролями, и файл с паролями был Unix. Через него все пользователи могли получить доступ; и без него никто из входящих не мог пройти. И сисадмины сказали, что это хорошо.<br />
# Но вот настала Великая Сеть, и возроптали сисадмины, говоря: «Файл с паролями свое отслужил, требует он дублирования данных и затрудняет масштабирование на большую сеть». Тогда Sun сказал: «Не бойтесь, ибо мы принесли вам Желтые Страницы, которые централизуют данные пользователей».<br />
# Но затем явились четыре мудреца из Beetea и сказали: «Не смеете вы взять имя Желтые Страницы, оно наша собственность и наша торговая марка». И ответил им Sun: «Пускай то, что раньше звалось Желтыми Страницами, отныне зовется NIS». И сисадмины сказали, что это хорошо.<br />
# Но прошло время, и снова разочаровались сисадмины, и возроптали они во второй раз: «Истинно, NIS имеет плоское пространство имен и не имеет контроля доступа».<br />
# И снова сказал Sun: «Не бойтесь, ибо мы принесли вам NIS+, иерархическое пространство имен в нем и контроль доступа в избытке». Но сисадмины возроптали в третий раз, по своему неразумию.<br />
# И создан был консорциум, и родил он спецификацию X500. И X500 родил DAP, DAP родил DIXIE, а DIXIE родил LDAP. И увидели сисадмины, что это хорошо. И это конец нашего утреннего чтения.<br />
<br />
Истинно говорю вам, в этот день, на этом уроке мы создадим службу каталогов LDAP и используем ее для аутентификации в агенте доступа к почте POP/IMAP ''Dovecot''.<br />
<br />
===Азбука LDAP===<br />
<br />
LDAP (облегченный протокол доступа к каталогам) – это служба каталогов, которую в принципе можно использовать для хранения любых данных, хотя на практике она чаще используется для хранения информации о пользователях, в частности, аутентификационных данных. Благодаря наличию открытой реализации (OpenLDAP) LDAP стал популярен в мире Linux как замена служб типа NIS или NIS+; в мире Windows она тоже хорошо известна – как основа ''Microsoft Active Directory''.<br />
<br />
Служба каталогов немного похожа на базу данных: обе могут хранить большие объемы информации и эффективно выполнять в ней поиск. Однако, служба каталогов оптимизирована для чтения (поиска); отношение времени записи к времени чтения обычно велико, и это не годится для ситуаций, когда требуется частое обновление данных. Для справочника естественно, что чтение выполняется в 10000 раз чаще, чем запись. Реляционные базы данных более симметричны по скорости чтения и записи. Кроме того, каталоги обычно не поддерживают транзакции, откаты и реляционные операции, типа <font color="darkred">join</font>, которые имеют важное значение для реляционных баз данных.<br />
<br />
Если вы представите себе печатный телефонный справочник, асимметрия между чтением и записью станет очевидной. Номера телефонов ищутся в телефонном справочнике тысячи раз на дню. Обновление справочника приводит к печати, например, 100000 новых экземпляров и распространению их между абонентами. Обычно телефонные компании делают это раз в год.<br />
<br />
Вы можете использовать LDAP в разных целях: например, для аутентификации постоянных пользователей Linux; или для реализации отображений ''Postfix'', таких как виртуальный почтовый ящик, рассмотренный на уроке прошлого месяца. На данном уроке мы используем LDAP для простой аутентификации пользователей в ''Dovecot''.<br />
<br />
Отдать должное мощи и гибкости LDAP в ограниченном пространстве статьи – примерно то же, что пытаться открыть мир классической музыки инопланетянину, промычав ему первые четыре ноты Пятой симфонии Бетховена; но мы постараемся.<br />
<br />
===Что в имени тебе моем?===<br />
<br />
Каталоги LDAP состоят из набора записей, упорядоченных в виде древовидной структуры. Каждая позиция в дереве идентифицируется так называемым «различимым именем» (distinguished name, dn). Например, dn может быть вида <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font>. Сравним его с другими видами синтаксиса: как имя файла в Linux, оно бы записалось в виде '''/com/example/users/cbrown''', а «полное доменное имя» в DNS выглядело бы '''cbrown.users.example.com'''.<br />
<br />
Каждая запись в справочнике содержит информацию в виде набора пар «атрибут:значение». Какие именно атрибуты присутствуют, определяется так называемым классом объекта записи. Например, наша запись <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> является объектом класса <font color="darkred">posixAccount</font>. Описание, какой атрибут ассоциируется с каким классом, называется схемой, и она задается в файлах схем. Например, здесь описание класса <font color="darkred">posixAccount</font> берется из файла '''/etc/openldap/schema/nis.schema''':<br />
<code><br />
objectclass ( 1.3.6.1.1.1.2.0 NAME ‘posixAccount’<br />
DESC ‘Abstraction of an account with POSIX attributes’<br />
SUP top AUXILIARY<br />
MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )<br />
MAY ( userPassword $ loginShell $ gecos $ description ) )<br />
</code><br />
<br />
Здесь важно отметить имя класса, список требуемых атрибутов (условие <font color="darkred">MUST</font>) и список необязательных атрибутов (условие <font color="darkred">MAY</font>). Если вы знакомы с файлом паролей Linux, вы заметите сходство атрибутов в объекте <font color="darkred">posixAccount</font> и полях в '''/etc/passwd'''. (Учтите, однако, что атрибут LDAP <font color="darkred">uid</font> – это то, что мы назвали бы именем учетной записи, а атрибут <font color="darkred">uidNumber</font> – как раз то, что мы называем UID!) В терминах объектно-ориентированного программирования вы можете представить запись в файле схемы как описание класса, а запись в каталоге – как экземпляр класса. Также возможно наследование класса от «вышестоящего» класса (в объектно-ориентированном программировании он называется родительским или базовым). Строка <font color="darkred">SUP</font> top <font color="darkred">AUXILIARY</font> в предыдущем примере говорит нам, что вышестоящий класс, находящийся на вершине иерархии классов – это сам <font color="darkred">posixAccount</font>, который не наследуется ни от чего. Но зайти дальше в аналогиях с ООП не получится: записи LDAP содержат только данные. Никакого запускаемого кода (который ОО-программисты назвали бы методом) с объектом не ассоциируется.<br />
<br />
{{Врезка<br />
|Заголовок=LDAP как он есть<br />
|Содержание=На стороне сервера услуги предоставляет демон ''slapd''. В качестве своей базы данных он использует ''BDB'' (встраиваемая библиотека базы данных, первоначально разработанная UC Berkeley), а прелестно названный ''slurpd'' распространяет изменения на все копии справочника LDAP. На стороне клиента OpenLDAP предоставляет различные инструменты командной строки для манипулирования записями каталога, включающие ''ldapadd'', добавляющий информацию в каталог, и ''ldapsearch'', используемый для (угадали!) поиска по каталогу.<br />
|Ширина=200px}}<br />
<br />
Для просмотра человеком записи каталога LDAP отображаются в текстовом формате, называемом LDIF (формат обмена данными LDAP). Это формально заданный синтаксис, в соответствии с которым записи каталога представляются «вне» LDAP. Например, LDIF используется для предварительного создания записи при вводе ее в каталог, переноса данных из одного справочника в другой или просмотра содержимого справочника. В развитие нашего примера, LDIF-представление пользователя <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> будет выглядеть так:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
Мы сфокусировали здесь внимание на типе объекта '''posixAccount''', потому что он необходим нам для поддержки аутентификации.<br />
<br />
===Станция «Рабочая»===<br />
<br />
Хватит теории! Давайте же установим и сконфигурируем LDAP. Я использую сервер CentOS, как на прошлом уроке (CentOS – это эквивалент RHEL5), но все, что будет показано далее, легко применимо для других дистрибутивов RedHat или Fedora.<br />
<br />
Мы будем использовать LDAP, который создан в Мичиганском университете (см. <font color="blue">'''<nowiki>www.openldap.org</nowiki>'''</font>). Установка его в CentOS проста:<br />
<code><br />
# yum install openldap-clients openldap-servers<br />
</code><br />
<br />
[[Изображение:LXF104_73_1.png|thumb|300px|Рис. 1. Компоненты OpenLDAP.]]<br />
<br />
Рисунок 1 показывает основные компоненты OpenLDAP. Остальные компоненты клиента – модуль PAM LDAP ('''/lib/security/pam_ldap.so''') и библиотека разрешения LDAP ('''/lib/libnss_ldap.so'''), поддерживающая хранение стандартных учетных записей Linux в LDAP; мы займемся ими в следующем месяце.<br />
<br />
Для запуска службы LDAP необходимо кое-что изменить в файле конфигурации slapd ('''/etc/openldap/slapd.conf'''). Вот строки, которые я поменял:<br />
<code><br />
suffix = “dc=example,dc=com”<br />
rootdn = “cn=admin,dc=example,dc=com”<br />
rootpw = {SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
<br />
Первая задает «именованный контекст» нашей службы LDAP, то есть dn ее верхней записи. Здесь можно использовать все что угодно, но я основывался на доменном имени DNS (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>) настраиваемой машины: это стандартное решение. Вторая строка задает dn для учетной записи администратора сервера LDAP (он имеет полный контроль над содержимым каталога – это аналог root для Linux), а третья строка задает хэшированный пароль для этой учетной записи. Хэшированный пароль я сгенерировал с помощью '''slappasswd''':<br />
<code><br />
# slappasswd<br />
New password:<br />
Re-enter new password:<br />
{SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
а затем вырезал и вставил результат в файл. После этого я запустил службу:<br />
<code><br />
# service ldap start<br />
</code><br />
<br />
[[Изображение:LXF104_74_1.png|thumb|300px|Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.]]<br />
<br />
Далее нам надо заселить наш каталог записями, которые пригодятся для аутентификации. Чтобы сообразить, куда мы движемся, посмотрите на рисунок 2, там показана структура, которую нам надо создать.<br />
<br />
Сперва нужно построить и добавить в справочник узлы верхнего уровня. Я решил создать учетные записи пользователей в узле <font color="darkred">ou=users,dc=example,dc=com</font>. Слово ‘<font color="darkred">users</font>’ не является ключевым, просто я взял такое имя. Я начал с создания файла LDIF, названного '''root.ldif''':<br />
<code><br />
# Build the root node<br />
dn: dc=example,dc=com<br />
dc: example<br />
objectClass: dcObject<br />
objectClass: organizationalUnit<br />
ou: example dot com<br />
# Build the users ou<br />
dn: ou=users,dc=example,dc=com<br />
ou: users<br />
objectClass:<br />
organizationalUnit<br />
</code><br />
<br />
Затем я добавил этот узел в каталог с помощью команды:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f root.ldif<br />
</code><br />
<br />
Теперь добавим учетную запись пользователя. Выполняется это сходным образом: создается файл LDIF, а затем используется ''ldapadd'' для его добавления. Вот файл ('''newuser.ldif'''), который я создал:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=<br />
example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
<br />
Затем я добавил этот узел в каталог:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f newuser.ldif<br />
</code><br />
<br />
Так как записи LDAP нам понадобятся для аутентификации входа на сервер ''Dovecot'', я должен задать еще и пароль для пользователя, как показано здесь:<br />
<code><br />
# ldappasswd -x -D “cn=admin,dc=example,dc=com” -W -S “cn=cbrown,ou=users,dc=example,dc=com”<br />
New password:<br />
Re-enter new password:<br />
Enter LDAP Password:<br />
Result: Success (0)<br />
</code><br />
<br />
Теперь не мешает проверить, что пользователь был добавлен в каталог; давайте выполним поиск записи. Для этого можно употребить ''ldapsearch'':<br />
<code><br />
# ldapsearch -x -b “ou=users,dc=example,dc=com” ‘(cn=cbrown)’<br />
# cbrown, users, example.com<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectClass: posixAccount<br />
objectClass: account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
userPassword:: e1NTSEF9cCt2Sml1enpCSTdOZjJUSU1ZcEp0c<br />
U5LTnQzVHhjZzg=<br />
# search result<br />
search: 2<br />
result: 0 Success<br />
# numResponses: 2<br />
# numEntries: 1<br />
</code><br />
<br />
Это упражнение следует проделать для других пользователей, но если у вас их много, есть смысл автоматизировать процесс с помощью скрипта.<br />
<br />
Справочники создаются именно для поиска в них, поэтому стоит разобрать поиск LDAP более подробно. Команда ldapsearch немного похожа на SQL-запрос к реляционной базе данных. Попробуем обойтись без формального описания синтаксиса. Я придумал хороший пример: разбил команду на несколько строк и для удобства ссылок пронумеровал их. Первые шесть строк из представленных ниже – на самом деле одна команда (обратные слэши у них на конце указывают, что команда продолжается на следующей строке). Для запуска этой команды в терминале просто удалите номера и, естественно, слэши, набрав весь код в одну строку.<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -h mail.example.com \<br />
-x -LLL -b “dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W<br />
-s sub \<br />
‘(|(uid=*brown)(gidNumber<=100))’ \<br />
uid<br />
Enter LDAP Password:<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
uid: cbrown<br />
</source><br />
<br />
[[Изображение:LXF104_75_1.png|thumb|304px|Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.]]<br />
[[Изображение:LXF104_75_2.png|thumb|304px|Рис. 4. Выполнение поиска в LDAP при помощи LAT.]]<br />
<br />
Теперь давайте вникать:<br />
# Флаг <font color="darkred">-h</font> используется для указания хоста, где запущен сервер LDAP. По умолчанию считается, что это localhost.<br />
# Аргумент <font color="darkred">-x</font> велит команде использовать простой метод аутентификации (не SASL), <font color="darkred">-LLL</font> снижает число комментариев и прочих лишних слов в выводе, а флаг <font color="darkred">-b</font> определяет, где мы хотим начать поиск в дереве справочника. В нашем случае мы начинаем с вершины дерева.<br />
# Флаг <font color="darkred">-D</font> задает dn пользователя, под которым мы хотим зайти (это пользователь, определенный параметром <font color="darkred">rootdn</font> в '''slapd.conf'''), а <font color="darkred">-W</font> велит команде запрашивать пароль.<br />
# Здесь говорится, что поиск должен захватывать все ветви указанной базы, так что в данном случае мы запускаем поиск по всему справочнику.<br />
# Пример фильтра поиска. Он говорит «покажите мне записи, где имя пользователя заканчивается на ‘brown’ или ID группы меньше или равно 100». Фильтры поиска – самая трудная часть синтаксиса для правильного написания, но (в определенном смысле) и самая важная.<br />
# Эта строка содержит список имен атрибутов, которые мы хотим отобразить (в нашем случае просто имя пользователя). Если список пуст, ''ldapsearch'' покажет все атрибуты.<br />
# Далее мы запрашиваем пароль для входа LDAP.<br />
<br />
Наконец, строки 8 и 9 показывают вывод поиска.<br />
<br />
Осилим еще один пример?<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -x \<br />
-b “ou=users,dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W \<br />
-s base ‘(objectClass=*)’<br />
</source><br />
<br />
Рассмотрим строки 2 и 4. В строке 2 задан конкретный узел дерева справочника, откуда начнется поиск, а в строке 4 мы говорим LDAP не распространять поиск за пределы этого узла, а изучать только записи, заданные в строке 2. Фильтр поиска здесь фактически и не фильтр: он гласит «любая запись с атрибутом '''objectClass''', независимо от значения», а это вообще все записи. Итак, этот поиск выводит на дисплей содержимое определенного узла дерева.<br />
<br />
Если вы предпочли бы использовать графические инструменты для поиска в вашем справочнике LDAP или добавления учетной записи пользователя, обратите внимание на Lat (''LDAP Administration Tool''). Это одно из новоиспеченных приложений, написанное на C# с использованием Mono и ''GTK#'', поэтому вам понадобятся установленные библиотеки Mono для его использования, но на моем клиенте с Ubuntu он установился и работал без каких-либо проблем. Рисунок 3 показывает этот инструмент в работе при обозревании иерархии LDAP, а на рисунке 4 показан пример поиска по UID 555.<br />
<br />
===Аутентификация Dovecot===<br />
<br />
Давайте закруглимся, применив каталог LDAP к полезному делу. Читатели предыдущего номера могут помнить, что мы оставили нашего героя (почтовый сервер ''Dovecot'') нуждающимся в аутентификации учетных записей POP3 базы данных пользователей, независимых от учетных записей пользователей в Linux.<br />
<br />
Оказывается, ''Dovecot'' может использовать LDAP для аутентификации двумя способами: он может войти в LDAP с именем пользователя ‘rootdn’ и паролем ‘rootpw’, затем посмотреть имя пользователя и хэшированный пароль пользователя, который пытается аутентифицироваться, а может просто попробовать подключиться к серверу LDAP с именем и паролем того пользователя, кто пытается войти, и посмотреть, успешна ли попытка. Вход в LDAP известен как ‘связывание’, и эта техника называется аутентификационной связью. Этот метод мы и будем использовать.<br />
<br />
Настройка ''Dovecot'' на использование LDAP для аутентификационной связи требует изменений в файле '''/etc/Dovecot.conf'''. Вот строки, которые я менял:<br />
<code><br />
auth_verbose = yes<br />
auth_debug = yes<br />
passdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
userdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
</code><br />
<br />
Первые две строки включают вывод отладочных сообщений. На рабочем сервере они вам не понадобятся, но мне файл журнала ('''/var/log/maillog''') очень помог при отладке конфигурации ''Dovecot''. Две остальные строфы файла указывают, что мы будем использовать LDAP и как базу данных паролей, и как базу данных пользователей, и задают место размещения файла конфигурации LDAP для ''Dovecot''.<br />
<br />
Дико извиняюсь, но есть еще один файл конфигурации! Для его создания я начал с копирования примера конфигурации LDAP из дистрибутива ''Dovecot'' на место:<br />
<code><br />
# cp /usr/share/doc/dovecot-1.0/examples/dovecot-ldap.conf /etc<br />
</code><br />
<br />
Затем я сделал следующие изменения в '''/etc/Dovecot-ldap.conf''' (номера строк опять-таки нужны только для ссылок на них в тексте):<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
hosts = localhost<br />
dn = cn=admin,dc=example,dc=com<br />
dnpass = adminpw<br />
auth_bind = yes<br />
auth_bind_userdn = cn=%u,ou=users,dc=example,dc=com<br />
base = ou=users,dc=example,dc=com<br />
</source><br />
<br />
Строка 1 задает имя сервера, на котором запущен LDAP. Строка 2 определяет dn учетной записи, которое ''Dovecot'' будет использовать для входа в LDAP, а строка 3 задает пароль для этой учетной записи. (Вообще-то было бы лучше не использовать для этого учетную запись с полными правами rootdn, а создать особую учетную запись для ''Dovecot''). Строка 4 говорит, что будет использоваться аутентификационная связь, а строка 5 задает dn пользователя, которого мы пробуем аутентифицировать как такового (над этим мне пришлось поломать голову!). В файле конфигурации ''Dovecot'', <font color="darkred">%u</font> ссылается на имя пользователя, которое использует MUA (почтовый агент) пользователя, чтобы войти. Строка 6 определяет узел в дереве справочника LDAP, под которым находятся учетные записи пользователей.<br />
<br />
Угнездив на месте эти строки, я смог подсоединиться к службе POP3 ''Dovecot'' с учетной записью cbrown и забрать почту.<br />
<br />
Если у вас что-то не заработало, загляните в файл журнала, обычно '''/var/log/maillog'''. Сообщения, оставляемые ''Dovecot'', очень подробны и говорят сами за себя. '''LXF'''<br />
<br />
----<br />
<br />
===Что еще почитать? (врезка)===<br />
<br />
# По LDAP существует множество книг. Самыми полезными мне показались две: ''LDAP System Administration by Gerald Carter'' (O’Reilly, 1-56592-491-6), и ''Understanding and Deploying LDAP Directory Services by Howes, Smith and Good'' (Addison Wesley, 0672323168). Последняя более академическая (и тяжелая!)<br />
# Официальная документация ''Dovecot'' доступна по адресу http://wiki.dovecot.org. В частности, статья http://wiki.dovecot.org/AuthDatabase/LDAP показывает, как сделать аутентификацию LDAP в ''Dovecot''. Кроме того, '''slapd.conf''', '''ldap.conf''' и все инструменты командной строки имеют прекрасные man-страницы.<br />
# Основную информацию по сборке почтового сервера можно найти по адресам http://freshrpms.net/docs/mail-server и http://wanderingbarque.com/howtos/mailserver/mailserver.html. (Это очень подробное пошаговое руководство, написанное Питером Лэйси [Peter Lacey]; оно охватывает интеграцию ''Postfix'', ''Dovecot'', OpenLDAP, Jamm, ''Cyrus-SASL'' и ''SquirrelMail'', и основано на RHEL 3).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF104:Hardcore_LinuxLXF104:Hardcore Linux2009-03-30T21:32:41Z<p>Kipruss: </p>
<hr />
<div>==LDAP: Защитим вход в Dovecot==<br />
<br />
Позволять кому попало использовать наш почтовый сервер без аутентификации пользователя – сущее безумие. '''Д-р Крис Браун''' наведет порядок с помощью LDAP…<br />
<br />
Сегодняшнее утреннее чтение начнем с Книги Тукса, главы пятой, с самого первого стиха.<br />
<br />
# В начале был файл с паролями, и файл с паролями был Unix. Через него все пользователи могли получить доступ; и без него никто из входящих не мог пройти. И сисадмины сказали, что это хорошо.<br />
# Но вот настала Великая Сеть, и возроптали сисадмины, говоря: «Файл с паролями свое отслужил, требует он дублирования данных и затрудняет масштабирование на большую сеть». Тогда Sun сказал: «Не бойтесь, ибо мы принесли вам Желтые Страницы, которые централизуют данные пользователей».<br />
# Но затем явились четыре мудреца из Beetea и сказали: «Не смеете вы взять имя Желтые Страницы, оно наша собственность и наша торговая марка». И ответил им Sun: «Пускай то, что раньше звалось Желтыми Страницами, отныне зовется NIS». И сисадмины сказали, что это хорошо.<br />
# Но прошло время, и снова разочаровались сисадмины, и возроптали они во второй раз: «Истинно, NIS имеет плоское пространство имен и не имеет контроля доступа».<br />
# И снова сказал Sun: «Не бойтесь, ибо мы принесли вам NIS+, иерархическое пространство имен в нем и контроль доступа в избытке». Но сисадмины возроптали в третий раз, по своему неразумию.<br />
# И создан был консорциум, и родил он спецификацию X500. И X500 родил DAP, DAP родил DIXIE, а DIXIE родил LDAP. И увидели сисадмины, что это хорошо. И это конец нашего утреннего чтения.<br />
<br />
Истинно говорю вам, в этот день, на этом уроке мы создадим службу каталогов LDAP и используем ее для аутентификации в агенте доступа к почте POP/IMAP ''Dovecot''.<br />
<br />
===Азбука LDAP===<br />
<br />
LDAP (облегченный протокол доступа к каталогам) – это служба каталогов, которую в принципе можно использовать для хранения любых данных, хотя на практике она чаще используется для хранения информации о пользователях, в частности, аутентификационных данных. Благодаря наличию открытой реализации (OpenLDAP) LDAP стал популярен в мире Linux как замена служб типа NIS или NIS+; в мире Windows она тоже хорошо известна – как основа ''Microsoft Active Directory''.<br />
<br />
Служба каталогов немного похожа на базу данных: обе могут хранить большие объемы информации и эффективно выполнять в ней поиск. Однако, служба каталогов оптимизирована для чтения (поиска); отношение времени записи к времени чтения обычно велико, и это не годится для ситуаций, когда требуется частое обновление данных. Для справочника естественно, что чтение выполняется в 10000 раз чаще, чем запись. Реляционные базы данных более симметричны по скорости чтения и записи. Кроме того, каталоги обычно не поддерживают транзакции, откаты и реляционные операции, типа <font color="darkred">join</font>, которые имеют важное значение для реляционных баз данных.<br />
<br />
Если вы представите себе печатный телефонный справочник, асимметрия между чтением и записью станет очевидной. Номера телефонов ищутся в телефонном справочнике тысячи раз на дню. Обновление справочника приводит к печати, например, 100000 новых экземпляров и распространению их между абонентами. Обычно телефонные компании делают это раз в год.<br />
<br />
Вы можете использовать LDAP в разных целях: например, для аутентификации постоянных пользователей Linux; или для реализации отображений ''Postfix'', таких как виртуальный почтовый ящик, рассмотренный на уроке прошлого месяца. На данном уроке мы используем LDAP для простой аутентификации пользователей в ''Dovecot''.<br />
<br />
Отдать должное мощи и гибкости LDAP в ограниченном пространстве статьи – примерно то же, что пытаться открыть мир классической музыки инопланетянину, промычав ему первые четыре ноты Пятой симфонии Бетховена; но мы постараемся.<br />
<br />
===Что в имени тебе моем?===<br />
<br />
Каталоги LDAP состоят из набора записей, упорядоченных в виде древовидной структуры. Каждая позиция в дереве идентифицируется так называемым «различимым именем» (distinguished name, dn). Например, dn может быть вида <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font>. Сравним его с другими видами синтаксиса: как имя файла в Linux, оно бы записалось в виде '''/com/example/users/cbrown''', а «полное доменное имя» в DNS выглядело бы '''cbrown.users.example.com'''.<br />
<br />
Каждая запись в справочнике содержит информацию в виде набора пар «атрибут:значение». Какие именно атрибуты присутствуют, определяется так называемым классом объекта записи. Например, наша запись <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> является объектом класса <font color="darkred">posixAccount</font>. Описание, какой атрибут ассоциируется с каким классом, называется схемой, и она задается в файлах схем. Например, здесь описание класса <font color="darkred">posixAccount</font> берется из файла '''/etc/openldap/schema/nis.schema''':<br />
<code><br />
objectclass ( 1.3.6.1.1.1.2.0 NAME ‘posixAccount’<br />
DESC ‘Abstraction of an account with POSIX attributes’<br />
SUP top AUXILIARY<br />
MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )<br />
MAY ( userPassword $ loginShell $ gecos $ description ) )<br />
</code><br />
<br />
Здесь важно отметить имя класса, список требуемых атрибутов (условие <font color="darkred">MUST</font>) и список необязательных атрибутов (условие <font color="darkred">MAY</font>). Если вы знакомы с файлом паролей Linux, вы заметите сходство атрибутов в объекте <font color="darkred">posixAccount</font> и полях в '''/etc/passwd'''. (Учтите, однако, что атрибут LDAP <font color="darkred">uid</font> – это то, что мы назвали бы именем учетной записи, а атрибут <font color="darkred">uidNumber</font> – как раз то, что мы называем UID!) В терминах объектно-ориентированного программирования вы можете представить запись в файле схемы как описание класса, а запись в каталоге – как экземпляр класса. Также возможно наследование класса от «вышестоящего» класса (в объектно-ориентированном программировании он называется родительским или базовым). Строка <font color="darkred">SUP</font> top <font color="darkred">AUXILIARY</font> в предыдущем примере говорит нам, что вышестоящий класс, находящийся на вершине иерархии классов – это сам <font color="darkred">posixAccount</font>, который не наследуется ни от чего. Но зайти дальше в аналогиях с ООП не получится: записи LDAP содержат только данные. Никакого запускаемого кода (который ОО-программисты назвали бы методом) с объектом не ассоциируется.<br />
<br />
{{Врезка<br />
|Заголовок=LDAP как он есть<br />
|Содержание=На стороне сервера услуги предоставляет демон ''slapd''. В качестве своей базы данных он использует ''BDB'' (встраиваемая библиотека базы данных, первоначально разработанная UC Berkeley), а прелестно названный ''slurpd'' распространяет изменения на все копии справочника LDAP. На стороне клиента OpenLDAP предоставляет различные инструменты командной строки для манипулирования записями каталога, включающие ''ldapadd'', добавляющий информацию в каталог, и ''ldapsearch'', используемый для (угадали!) поиска по каталогу.<br />
|Ширина=200px}}<br />
<br />
Для просмотра человеком записи каталога LDAP отображаются в текстовом формате, называемом LDIF (формат обмена данными LDAP). Это формально заданный синтаксис, в соответствии с которым записи каталога представляются «вне» LDAP. Например, LDIF используется для предварительного создания записи при вводе ее в каталог, переноса данных из одного справочника в другой или просмотра содержимого справочника. В развитие нашего примера, LDIF-представление пользователя <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> будет выглядеть так:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
Мы сфокусировали здесь внимание на типе объекта '''posixAccount''', потому что он необходим нам для поддержки аутентификации.<br />
<br />
===Станция «Рабочая»===<br />
<br />
Хватит теории! Давайте же установим и сконфигурируем LDAP. Я использую сервер CentOS, как на прошлом уроке (CentOS – это эквивалент RHEL5), но все, что будет показано далее, легко применимо для других дистрибутивов RedHat или Fedora.<br />
<br />
Мы будем использовать LDAP, который создан в Мичиганском университете (см. <font color="blue">'''<nowiki>www.openldap.org</nowiki>'''</font>). Установка его в CentOS проста:<br />
<code><br />
# yum install openldap-clients openldap-servers<br />
</code><br />
<br />
[[Изображение:LXF104_73_1.png|thumb|300px|Рис. 1. Компоненты OpenLDAP.]]<br />
<br />
Рисунок 1 показывает основные компоненты OpenLDAP. Остальные компоненты клиента – модуль PAM LDAP ('''/lib/security/pam_ldap.so''') и библиотека разрешения LDAP ('''/lib/libnss_ldap.so'''), поддерживающая хранение стандартных учетных записей Linux в LDAP; мы займемся ими в следующем месяце.<br />
<br />
Для запуска службы LDAP необходимо кое-что изменить в файле конфигурации slapd ('''/etc/openldap/slapd.conf'''). Вот строки, которые я поменял:<br />
<code><br />
suffix = “dc=example,dc=com”<br />
rootdn = “cn=admin,dc=example,dc=com”<br />
rootpw = {SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
<br />
Первая задает «именованный контекст» нашей службы LDAP, то есть dn ее верхней записи. Здесь можно использовать все что угодно, но я основывался на доменном имени DNS (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>) настраиваемой машины: это стандартное решение. Вторая строка задает dn для учетной записи администратора сервера LDAP (он имеет полный контроль над содержимым каталога – это аналог root для Linux), а третья строка задает хэшированный пароль для этой учетной записи. Хэшированный пароль я сгенерировал с помощью '''slappasswd''':<br />
<code><br />
# slappasswd<br />
New password:<br />
Re-enter new password:<br />
{SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
а затем вырезал и вставил результат в файл. После этого я запустил службу:<br />
<code><br />
# service ldap start<br />
</code><br />
<br />
[[Изображение:LXF104_74_1.png|thumb|300px|Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.]]<br />
<br />
Далее нам надо заселить наш каталог записями, которые пригодятся для аутентификации. Чтобы сообразить, куда мы движемся, посмотрите на рисунок 2, там показана структура, которую нам надо создать.<br />
<br />
Сперва нужно построить и добавить в справочник узлы верхнего уровня. Я решил создать учетные записи пользователей в узле <font color="darkred">ou=users,dc=example,dc=com</font>. Слово ‘<font color="darkred">users</font>’ не является ключевым, просто я взял такое имя. Я начал с создания файла LDIF, названного '''root.ldif''':<br />
<code><br />
# Build the root node<br />
dn: dc=example,dc=com<br />
dc: example<br />
objectClass: dcObject<br />
objectClass: organizationalUnit<br />
ou: example dot com<br />
# Build the users ou<br />
dn: ou=users,dc=example,dc=com<br />
ou: users<br />
objectClass:<br />
organizationalUnit<br />
</code><br />
<br />
Затем я добавил этот узел в каталог с помощью команды:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f root.ldif<br />
</code><br />
<br />
Теперь добавим учетную запись пользователя. Выполняется это сходным образом: создается файл LDIF, а затем используется ''ldapadd'' для его добавления. Вот файл ('''newuser.ldif'''), который я создал:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=<br />
example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
<br />
Затем я добавил этот узел в каталог:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f newuser.ldif<br />
</code><br />
<br />
Так как записи LDAP нам понадобятся для аутентификации входа на сервер ''Dovecot'', я должен задать еще и пароль для пользователя, как показано здесь:<br />
<code><br />
# ldappasswd -x -D “cn=admin,dc=example,dc=com” -W -S “cn=cbrown,ou=users,dc=example,dc=com”<br />
New password:<br />
Re-enter new password:<br />
Enter LDAP Password:<br />
Result: Success (0)<br />
</code><br />
<br />
Теперь не мешает проверить, что пользователь был добавлен в каталог; давайте выполним поиск записи. Для этого можно употребить ''ldapsearch'':<br />
<code><br />
# ldapsearch -x -b “ou=users,dc=example,dc=com” ‘(cn=cbrown)’<br />
# cbrown, users, example.com<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectClass: posixAccount<br />
objectClass: account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
userPassword:: e1NTSEF9cCt2Sml1enpCSTdOZjJUSU1ZcEp0c<br />
U5LTnQzVHhjZzg=<br />
# search result<br />
search: 2<br />
result: 0 Success<br />
# numResponses: 2<br />
# numEntries: 1<br />
</code><br />
<br />
Это упражнение следует проделать для других пользователей, но если у вас их много, есть смысл автоматизировать процесс с помощью скрипта.<br />
<br />
Справочники создаются именно для поиска в них, поэтому стоит разобрать поиск LDAP более подробно. Команда ldapsearch немного похожа на SQL-запрос к реляционной базе данных. Попробуем обойтись без формального описания синтаксиса. Я придумал хороший пример: разбил команду на несколько строк и для удобства ссылок пронумеровал их. Первые шесть строк из представленных ниже – на самом деле одна команда (обратные слэши у них на конце указывают, что команда продолжается на следующей строке). Для запуска этой команды в терминале просто удалите номера и, естественно, слэши, набрав весь код в одну строку.<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -h mail.example.com \<br />
-x -LLL -b “dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W<br />
-s sub \<br />
‘(|(uid=*brown)(gidNumber<=100))’ \<br />
uid<br />
Enter LDAP Password:<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
uid: cbrown<br />
</source><br />
<br />
Теперь давайте вникать:<br />
# Флаг <font color="darkred">-h</font> используется для указания хоста, где запущен сервер LDAP. По умолчанию считается, что это localhost.<br />
# Аргумент <font color="darkred">-x</font> велит команде использовать простой метод аутентификации (не SASL), <font color="darkred">-LLL</font> снижает число комментариев и прочих лишних слов в выводе, а флаг <font color="darkred">-b</font> определяет, где мы хотим начать поиск в дереве справочника. В нашем случае мы начинаем с вершины дерева.<br />
# Флаг <font color="darkred">-D</font> задает dn пользователя, под которым мы хотим зайти (это пользователь, определенный параметром <font color="darkred">rootdn</font> в '''slapd.conf'''), а <font color="darkred">-W</font> велит команде запрашивать пароль.<br />
# Здесь говорится, что поиск должен захватывать все ветви указанной базы, так что в данном случае мы запускаем поиск по всему справочнику.<br />
# Пример фильтра поиска. Он говорит «покажите мне записи, где имя пользователя заканчивается на ‘brown’ или ID группы меньше или равно 100». Фильтры поиска – самая трудная часть синтаксиса для правильного написания, но (в определенном смысле) и самая важная.<br />
# Эта строка содержит список имен атрибутов, которые мы хотим отобразить (в нашем случае просто имя пользователя). Если список пуст, ''ldapsearch'' покажет все атрибуты.<br />
# Далее мы запрашиваем пароль для входа LDAP.<br />
<br />
Наконец, строки 8 и 9 показывают вывод поиска.<br />
<br />
Осилим еще один пример?<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -x \<br />
-b “ou=users,dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W \<br />
-s base ‘(objectClass=*)’<br />
</source><br />
<br />
Рассмотрим строки 2 и 4. В строке 2 задан конкретный узел дерева справочника, откуда начнется поиск, а в строке 4 мы говорим LDAP не распространять поиск за пределы этого узла, а изучать только записи, заданные в строке 2. Фильтр поиска здесь фактически и не фильтр: он гласит «любая запись с атрибутом '''objectClass''', независимо от значения», а это вообще все записи. Итак, этот поиск выводит на дисплей содержимое определенного узла дерева.<br />
<br />
[[Изображение:LXF104_75_1.png|thumb|Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.]]<br />
[[Изображение:LXF104_75_2.png|thumb|Рис. 4. Выполнение поиска в LDAP при помощи LAT.]]<br />
<br />
Если вы предпочли бы использовать графические инструменты для поиска в вашем справочнике LDAP или добавления учетной записи пользователя, обратите внимание на Lat (''LDAP Administration Tool''). Это одно из новоиспеченных приложений, написанное на C# с использованием Mono и ''GTK#'', поэтому вам понадобятся установленные библиотеки Mono для его использования, но на моем клиенте с Ubuntu он установился и работал без каких-либо проблем. Рисунок 3 показывает этот инструмент в работе при обозревании иерархии LDAP, а на рисунке 4 показан пример поиска по UID 555.<br />
<br />
===Аутентификация Dovecot===<br />
<br />
Давайте закруглимся, применив каталог LDAP к полезному делу. Читатели предыдущего номера могут помнить, что мы оставили нашего героя (почтовый сервер ''Dovecot'') нуждающимся в аутентификации учетных записей POP3 базы данных пользователей, независимых от учетных записей пользователей в Linux.<br />
<br />
Оказывается, ''Dovecot'' может использовать LDAP для аутентификации двумя способами: он может войти в LDAP с именем пользователя ‘rootdn’ и паролем ‘rootpw’, затем посмотреть имя пользователя и хэшированный пароль пользователя, который пытается аутентифицироваться, а может просто попробовать подключиться к серверу LDAP с именем и паролем того пользователя, кто пытается войти, и посмотреть, успешна ли попытка. Вход в LDAP известен как ‘связывание’, и эта техника называется аутентификационной связью. Этот метод мы и будем использовать.<br />
<br />
Настройка ''Dovecot'' на использование LDAP для аутентификационной связи требует изменений в файле '''/etc/Dovecot.conf'''. Вот строки, которые я менял:<br />
<code><br />
auth_verbose = yes<br />
auth_debug = yes<br />
passdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
userdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
</code><br />
<br />
Первые две строки включают вывод отладочных сообщений. На рабочем сервере они вам не понадобятся, но мне файл журнала ('''/var/log/maillog''') очень помог при отладке конфигурации ''Dovecot''. Две остальные строфы файла указывают, что мы будем использовать LDAP и как базу данных паролей, и как базу данных пользователей, и задают место размещения файла конфигурации LDAP для ''Dovecot''.<br />
<br />
Дико извиняюсь, но есть еще один файл конфигурации! Для его создания я начал с копирования примера конфигурации LDAP из дистрибутива ''Dovecot'' на место:<br />
<code><br />
# cp /usr/share/doc/dovecot-1.0/examples/dovecot-ldap.conf /etc<br />
</code><br />
<br />
Затем я сделал следующие изменения в '''/etc/Dovecot-ldap.conf''' (номера строк опять-таки нужны только для ссылок на них в тексте):<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
hosts = localhost<br />
dn = cn=admin,dc=example,dc=com<br />
dnpass = adminpw<br />
auth_bind = yes<br />
auth_bind_userdn = cn=%u,ou=users,dc=example,dc=com<br />
base = ou=users,dc=example,dc=com<br />
</source><br />
<br />
Строка 1 задает имя сервера, на котором запущен LDAP. Строка 2 определяет dn учетной записи, которое ''Dovecot'' будет использовать для входа в LDAP, а строка 3 задает пароль для этой учетной записи. (Вообще-то было бы лучше не использовать для этого учетную запись с полными правами rootdn, а создать особую учетную запись для ''Dovecot''). Строка 4 говорит, что будет использоваться аутентификационная связь, а строка 5 задает dn пользователя, которого мы пробуем аутентифицировать как такового (над этим мне пришлось поломать голову!). В файле конфигурации ''Dovecot'', <font color="darkred">%u</font> ссылается на имя пользователя, которое использует MUA (почтовый агент) пользователя, чтобы войти. Строка 6 определяет узел в дереве справочника LDAP, под которым находятся учетные записи пользователей.<br />
<br />
Угнездив на месте эти строки, я смог подсоединиться к службе POP3 ''Dovecot'' с учетной записью cbrown и забрать почту.<br />
<br />
Если у вас что-то не заработало, загляните в файл журнала, обычно '''/var/log/maillog'''. Сообщения, оставляемые ''Dovecot'', очень подробны и говорят сами за себя. '''LXF'''<br />
<br />
----<br />
<br />
===Что еще почитать? (врезка)===<br />
<br />
# По LDAP существует множество книг. Самыми полезными мне показались две: ''LDAP System Administration by Gerald Carter'' (O’Reilly, 1-56592-491-6), и ''Understanding and Deploying LDAP Directory Services by Howes, Smith and Good'' (Addison Wesley, 0672323168). Последняя более академическая (и тяжелая!)<br />
# Официальная документация ''Dovecot'' доступна по адресу http://wiki.dovecot.org. В частности, статья http://wiki.dovecot.org/AuthDatabase/LDAP показывает, как сделать аутентификацию LDAP в ''Dovecot''. Кроме того, '''slapd.conf''', '''ldap.conf''' и все инструменты командной строки имеют прекрасные man-страницы.<br />
# Основную информацию по сборке почтового сервера можно найти по адресам http://freshrpms.net/docs/mail-server и http://wanderingbarque.com/howtos/mailserver/mailserver.html. (Это очень подробное пошаговое руководство, написанное Питером Лэйси [Peter Lacey]; оно охватывает интеграцию ''Postfix'', ''Dovecot'', OpenLDAP, Jamm, ''Cyrus-SASL'' и ''SquirrelMail'', и основано на RHEL 3).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF104:Hardcore_LinuxLXF104:Hardcore Linux2009-03-30T21:31:59Z<p>Kipruss: </p>
<hr />
<div>==LDAP: Защитим вход в Dovecot==<br />
<br />
Позволять кому попало использовать наш почтовый сервер без аутентификации пользователя – сущее безумие. '''Д-р Крис Браун''' наведет порядок с помощью LDAP…<br />
<br />
Сегодняшнее утреннее чтение начнем с Книги Тукса, главы пятой, с самого первого стиха.<br />
<br />
# В начале был файл с паролями, и файл с паролями был Unix. Через него все пользователи могли получить доступ; и без него никто из входящих не мог пройти. И сисадмины сказали, что это хорошо.<br />
# Но вот настала Великая Сеть, и возроптали сисадмины, говоря: «Файл с паролями свое отслужил, требует он дублирования данных и затрудняет масштабирование на большую сеть». Тогда Sun сказал: «Не бойтесь, ибо мы принесли вам Желтые Страницы, которые централизуют данные пользователей».<br />
# Но затем явились четыре мудреца из Beetea и сказали: «Не смеете вы взять имя Желтые Страницы, оно наша собственность и наша торговая марка». И ответил им Sun: «Пускай то, что раньше звалось Желтыми Страницами, отныне зовется NIS». И сисадмины сказали, что это хорошо.<br />
# Но прошло время, и снова разочаровались сисадмины, и возроптали они во второй раз: «Истинно, NIS имеет плоское пространство имен и не имеет контроля доступа».<br />
# И снова сказал Sun: «Не бойтесь, ибо мы принесли вам NIS+, иерархическое пространство имен в нем и контроль доступа в избытке». Но сисадмины возроптали в третий раз, по своему неразумию.<br />
# И создан был консорциум, и родил он спецификацию X500. И X500 родил DAP, DAP родил DIXIE, а DIXIE родил LDAP. И увидели сисадмины, что это хорошо. И это конец нашего утреннего чтения.<br />
<br />
Истинно говорю вам, в этот день, на этом уроке мы создадим службу каталогов LDAP и используем ее для аутентификации в агенте доступа к почте POP/IMAP ''Dovecot''.<br />
<br />
===Азбука LDAP===<br />
<br />
LDAP (облегченный протокол доступа к каталогам) – это служба каталогов, которую в принципе можно использовать для хранения любых данных, хотя на практике она чаще используется для хранения информации о пользователях, в частности, аутентификационных данных. Благодаря наличию открытой реализации (OpenLDAP) LDAP стал популярен в мире Linux как замена служб типа NIS или NIS+; в мире Windows она тоже хорошо известна – как основа ''Microsoft Active Directory''.<br />
<br />
Служба каталогов немного похожа на базу данных: обе могут хранить большие объемы информации и эффективно выполнять в ней поиск. Однако, служба каталогов оптимизирована для чтения (поиска); отношение времени записи к времени чтения обычно велико, и это не годится для ситуаций, когда требуется частое обновление данных. Для справочника естественно, что чтение выполняется в 10000 раз чаще, чем запись. Реляционные базы данных более симметричны по скорости чтения и записи. Кроме того, каталоги обычно не поддерживают транзакции, откаты и реляционные операции, типа <font color="darkred">join</font>, которые имеют важное значение для реляционных баз данных.<br />
<br />
Если вы представите себе печатный телефонный справочник, асимметрия между чтением и записью станет очевидной. Номера телефонов ищутся в телефонном справочнике тысячи раз на дню. Обновление справочника приводит к печати, например, 100000 новых экземпляров и распространению их между абонентами. Обычно телефонные компании делают это раз в год.<br />
<br />
Вы можете использовать LDAP в разных целях: например, для аутентификации постоянных пользователей Linux; или для реализации отображений ''Postfix'', таких как виртуальный почтовый ящик, рассмотренный на уроке прошлого месяца. На данном уроке мы используем LDAP для простой аутентификации пользователей в ''Dovecot''.<br />
<br />
Отдать должное мощи и гибкости LDAP в ограниченном пространстве статьи – примерно то же, что пытаться открыть мир классической музыки инопланетянину, промычав ему первые четыре ноты Пятой симфонии Бетховена; но мы постараемся.<br />
<br />
===Что в имени тебе моем?===<br />
<br />
Каталоги LDAP состоят из набора записей, упорядоченных в виде древовидной структуры. Каждая позиция в дереве идентифицируется так называемым «различимым именем» (distinguished name, dn). Например, dn может быть вида <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font>. Сравним его с другими видами синтаксиса: как имя файла в Linux, оно бы записалось в виде '''/com/example/users/cbrown''', а «полное доменное имя» в DNS выглядело бы '''cbrown.users.example.com'''.<br />
<br />
Каждая запись в справочнике содержит информацию в виде набора пар «атрибут:значение». Какие именно атрибуты присутствуют, определяется так называемым классом объекта записи. Например, наша запись <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> является объектом класса <font color="darkred">posixAccount</font>. Описание, какой атрибут ассоциируется с каким классом, называется схемой, и она задается в файлах схем. Например, здесь описание класса <font color="darkred">posixAccount</font> берется из файла '''/etc/openldap/schema/nis.schema''':<br />
<code><br />
objectclass ( 1.3.6.1.1.1.2.0 NAME ‘posixAccount’<br />
DESC ‘Abstraction of an account with POSIX attributes’<br />
SUP top AUXILIARY<br />
MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )<br />
MAY ( userPassword $ loginShell $ gecos $ description ) )<br />
</code><br />
<br />
Здесь важно отметить имя класса, список требуемых атрибутов (условие <font color="darkred">MUST</font>) и список необязательных атрибутов (условие <font color="darkred">MAY</font>). Если вы знакомы с файлом паролей Linux, вы заметите сходство атрибутов в объекте <font color="darkred">posixAccount</font> и полях в '''/etc/passwd'''. (Учтите, однако, что атрибут LDAP <font color="darkred">uid</font> – это то, что мы назвали бы именем учетной записи, а атрибут <font color="darkred">uidNumber</font> – как раз то, что мы называем UID!) В терминах объектно-ориентированного программирования вы можете представить запись в файле схемы как описание класса, а запись в каталоге – как экземпляр класса. Также возможно наследование класса от «вышестоящего» класса (в объектно-ориентированном программировании он называется родительским или базовым). Строка <font color="darkred">SUP</font> top <font color="darkred">AUXILIARY</font> в предыдущем примере говорит нам, что вышестоящий класс, находящийся на вершине иерархии классов – это сам <font color="darkred">posixAccount</font>, который не наследуется ни от чего. Но зайти дальше в аналогиях с ООП не получится: записи LDAP содержат только данные. Никакого запускаемого кода (который ОО-программисты назвали бы методом) с объектом не ассоциируется.<br />
<br />
{{Врезка<br />
|Заголовок=LDAP как он есть<br />
|Содержание=На стороне сервера услуги предоставляет демон ''slapd''. В качестве своей базы данных он использует ''BDB'' (встраиваемая библиотека базы данных, первоначально разработанная UC Berkeley), а прелестно названный ''slurpd'' распространяет изменения на все копии справочника LDAP. На стороне клиента OpenLDAP предоставляет различные инструменты командной строки для манипулирования записями каталога, включающие ''ldapadd'', добавляющий информацию в каталог, и ''ldapsearch'', используемый для (угадали!) поиска по каталогу.<br />
|Ширина=200px}}<br />
<br />
Для просмотра человеком записи каталога LDAP отображаются в текстовом формате, называемом LDIF (формат обмена данными LDAP). Это формально заданный синтаксис, в соответствии с которым записи каталога представляются «вне» LDAP. Например, LDIF используется для предварительного создания записи при вводе ее в каталог, переноса данных из одного справочника в другой или просмотра содержимого справочника. В развитие нашего примера, LDIF-представление пользователя <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> будет выглядеть так:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
Мы сфокусировали здесь внимание на типе объекта '''posixAccount''', потому что он необходим нам для поддержки аутентификации.<br />
<br />
===Станция «Рабочая»===<br />
<br />
Хватит теории! Давайте же установим и сконфигурируем LDAP. Я использую сервер CentOS, как на прошлом уроке (CentOS – это эквивалент RHEL5), но все, что будет показано далее, легко применимо для других дистрибутивов RedHat или Fedora.<br />
<br />
Мы будем использовать LDAP, который создан в Мичиганском университете (см. <font color="blue">'''<nowiki>www.openldap.org</nowiki>'''</font>). Установка его в CentOS проста:<br />
<code><br />
# yum install openldap-clients openldap-servers<br />
</code><br />
<br />
[[Изображение:LXF104_73_1.png|thumb|300px|Рис. 1. Компоненты OpenLDAP.]]<br />
<br />
Рисунок 1 показывает основные компоненты OpenLDAP. Остальные компоненты клиента – модуль PAM LDAP ('''/lib/security/pam_ldap.so''') и библиотека разрешения LDAP ('''/lib/libnss_ldap.so'''), поддерживающая хранение стандартных учетных записей Linux в LDAP; мы займемся ими в следующем месяце.<br />
<br />
Для запуска службы LDAP необходимо кое-что изменить в файле конфигурации slapd ('''/etc/openldap/slapd.conf'''). Вот строки, которые я поменял:<br />
<code><br />
suffix = “dc=example,dc=com”<br />
rootdn = “cn=admin,dc=example,dc=com”<br />
rootpw = {SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
<br />
Первая задает «именованный контекст» нашей службы LDAP, то есть dn ее верхней записи. Здесь можно использовать все что угодно, но я основывался на доменном имени DNS (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>) настраиваемой машины: это стандартное решение. Вторая строка задает dn для учетной записи администратора сервера LDAP (он имеет полный контроль над содержимым каталога – это аналог root для Linux), а третья строка задает хэшированный пароль для этой учетной записи. Хэшированный пароль я сгенерировал с помощью '''slappasswd''':<br />
<code><br />
# slappasswd<br />
New password:<br />
Re-enter new password:<br />
{SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
а затем вырезал и вставил результат в файл. После этого я запустил службу:<br />
<code><br />
# service ldap start<br />
</code><br />
<br />
[[Изображение:LXF104_74_1.png|thumb|300px|Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.]]<br />
<br />
Далее нам надо заселить наш каталог записями, которые пригодятся для аутентификации. Чтобы сообразить, куда мы движемся, посмотрите на рисунок 2, там показана структура, которую нам надо создать.<br />
<br />
Сперва нужно построить и добавить в справочник узлы верхнего уровня. Я решил создать учетные записи пользователей в узле <font color="darkred">ou=users,dc=example,dc=com</font>. Слово ‘<font color="darkred">users</font>’ не является ключевым, просто я взял такое имя. Я начал с создания файла LDIF, названного '''root.ldif''':<br />
<code><br />
# Build the root node<br />
dn: dc=example,dc=com<br />
dc: example<br />
objectClass: dcObject<br />
objectClass: organizationalUnit<br />
ou: example dot com<br />
# Build the users ou<br />
dn: ou=users,dc=example,dc=com<br />
ou: users<br />
objectClass:<br />
organizationalUnit<br />
</code><br />
<br />
Затем я добавил этот узел в каталог с помощью команды:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f root.ldif<br />
</code><br />
<br />
Теперь добавим учетную запись пользователя. Выполняется это сходным образом: создается файл LDIF, а затем используется ''ldapadd'' для его добавления. Вот файл ('''newuser.ldif'''), который я создал:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=<br />
example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
<br />
Затем я добавил этот узел в каталог:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f newuser.ldif<br />
</code><br />
<br />
Так как записи LDAP нам понадобятся для аутентификации входа на сервер ''Dovecot'', я должен задать еще и пароль для пользователя, как показано здесь:<br />
<code><br />
# ldappasswd -x -D “cn=admin,dc=example,dc=com” -W -S “cn=cbrown,ou=users,dc=example,dc=com”<br />
New password:<br />
Re-enter new password:<br />
Enter LDAP Password:<br />
Result: Success (0)<br />
</code><br />
<br />
Теперь не мешает проверить, что пользователь был добавлен в каталог; давайте выполним поиск записи. Для этого можно употребить ''ldapsearch'':<br />
<code><br />
# ldapsearch -x -b “ou=users,dc=example,dc=com” ‘(cn=cbrown)’<br />
# cbrown, users, example.com<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectClass: posixAccount<br />
objectClass: account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
userPassword:: e1NTSEF9cCt2Sml1enpCSTdOZjJUSU1ZcEp0c<br />
U5LTnQzVHhjZzg=<br />
# search result<br />
search: 2<br />
result: 0 Success<br />
# numResponses: 2<br />
# numEntries: 1<br />
</code><br />
<br />
Это упражнение следует проделать для других пользователей, но если у вас их много, есть смысл автоматизировать процесс с помощью скрипта.<br />
<br />
Справочники создаются именно для поиска в них, поэтому стоит разобрать поиск LDAP более подробно. Команда ldapsearch немного похожа на SQL-запрос к реляционной базе данных. Попробуем обойтись без формального описания синтаксиса. Я придумал хороший пример: разбил команду на несколько строк и для удобства ссылок пронумеровал их. Первые шесть строк из представленных ниже – на самом деле одна команда (обратные слэши у них на конце указывают, что команда продолжается на следующей строке). Для запуска этой команды в терминале просто удалите номера и, естественно, слэши, набрав весь код в одну строку.<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -h mail.example.com \<br />
-x -LLL -b “dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W<br />
-s sub \<br />
‘(|(uid=*brown)(gidNumber<=100))’ \<br />
uid<br />
Enter LDAP Password:<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
uid: cbrown<br />
</source><br />
<br />
Теперь давайте вникать:<br />
# Флаг <font color="darkred">-h</font> используется для указания хоста, где запущен сервер LDAP. По умолчанию считается, что это localhost.<br />
# Аргумент <font color="darkred">-x</font> велит команде использовать простой метод аутентификации (не SASL), <font color="darkred">-LLL</font> снижает число комментариев и прочих лишних слов в выводе, а флаг <font color="darkred">-b</font> определяет, где мы хотим начать поиск в дереве справочника. В нашем случае мы начинаем с вершины дерева.<br />
# Флаг <font color="darkred">-D</font> задает dn пользователя, под которым мы хотим зайти (это пользователь, определенный параметром <font color="darkred">rootdn</font> в '''slapd.conf'''), а <font color="darkred">-W</font> велит команде запрашивать пароль.<br />
# Здесь говорится, что поиск должен захватывать все ветви указанной базы, так что в данном случае мы запускаем поиск по всему справочнику.<br />
# Пример фильтра поиска. Он говорит «покажите мне записи, где имя пользователя заканчивается на ‘brown’ или ID группы меньше или равно 100». Фильтры поиска – самая трудная часть синтаксиса для правильного написания, но (в определенном смысле) и самая важная.<br />
# Эта строка содержит список имен атрибутов, которые мы хотим отобразить (в нашем случае просто имя пользователя). Если список пуст, ''ldapsearch'' покажет все атрибуты.<br />
# Далее мы запрашиваем пароль для входа LDAP.<br />
<br />
Наконец, строки 8 и 9 показывают вывод поиска.<br />
<br />
Осилим еще один пример?<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -x \<br />
-b “ou=users,dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W \<br />
-s base ‘(objectClass=*)’<br />
</source><br />
<br />
Рассмотрим строки 2 и 4. В строке 2 задан конкретный узел дерева справочника, откуда начнется поиск, а в строке 4 мы говорим LDAP не распространять поиск за пределы этого узла, а изучать только записи, заданные в строке 2. Фильтр поиска здесь фактически и не фильтр: он гласит «любая запись с атрибутом '''objectClass''', независимо от значения», а это вообще все записи. Итак, этот поиск выводит на дисплей содержимое определенного узла дерева.<br />
<br />
[[Изображение:LXF104_75_1.png|Thumb|Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.]]<br />
[[Изображение:LXF104_75_2.png|Thumb|Рис. 4. Выполнение поиска в LDAP при помощи LAT.]]<br />
<br />
Если вы предпочли бы использовать графические инструменты для поиска в вашем справочнике LDAP или добавления учетной записи пользователя, обратите внимание на Lat (''LDAP Administration Tool''). Это одно из новоиспеченных приложений, написанное на C# с использованием Mono и ''GTK#'', поэтому вам понадобятся установленные библиотеки Mono для его использования, но на моем клиенте с Ubuntu он установился и работал без каких-либо проблем. Рисунок 3 показывает этот инструмент в работе при обозревании иерархии LDAP, а на рисунке 4 показан пример поиска по UID 555.<br />
<br />
===Аутентификация Dovecot===<br />
<br />
Давайте закруглимся, применив каталог LDAP к полезному делу. Читатели предыдущего номера могут помнить, что мы оставили нашего героя (почтовый сервер ''Dovecot'') нуждающимся в аутентификации учетных записей POP3 базы данных пользователей, независимых от учетных записей пользователей в Linux.<br />
<br />
Оказывается, ''Dovecot'' может использовать LDAP для аутентификации двумя способами: он может войти в LDAP с именем пользователя ‘rootdn’ и паролем ‘rootpw’, затем посмотреть имя пользователя и хэшированный пароль пользователя, который пытается аутентифицироваться, а может просто попробовать подключиться к серверу LDAP с именем и паролем того пользователя, кто пытается войти, и посмотреть, успешна ли попытка. Вход в LDAP известен как ‘связывание’, и эта техника называется аутентификационной связью. Этот метод мы и будем использовать.<br />
<br />
Настройка ''Dovecot'' на использование LDAP для аутентификационной связи требует изменений в файле '''/etc/Dovecot.conf'''. Вот строки, которые я менял:<br />
<code><br />
auth_verbose = yes<br />
auth_debug = yes<br />
passdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
userdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
</code><br />
<br />
Первые две строки включают вывод отладочных сообщений. На рабочем сервере они вам не понадобятся, но мне файл журнала ('''/var/log/maillog''') очень помог при отладке конфигурации ''Dovecot''. Две остальные строфы файла указывают, что мы будем использовать LDAP и как базу данных паролей, и как базу данных пользователей, и задают место размещения файла конфигурации LDAP для ''Dovecot''.<br />
<br />
Дико извиняюсь, но есть еще один файл конфигурации! Для его создания я начал с копирования примера конфигурации LDAP из дистрибутива ''Dovecot'' на место:<br />
<code><br />
# cp /usr/share/doc/dovecot-1.0/examples/dovecot-ldap.conf /etc<br />
</code><br />
<br />
Затем я сделал следующие изменения в '''/etc/Dovecot-ldap.conf''' (номера строк опять-таки нужны только для ссылок на них в тексте):<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
hosts = localhost<br />
dn = cn=admin,dc=example,dc=com<br />
dnpass = adminpw<br />
auth_bind = yes<br />
auth_bind_userdn = cn=%u,ou=users,dc=example,dc=com<br />
base = ou=users,dc=example,dc=com<br />
</source><br />
<br />
Строка 1 задает имя сервера, на котором запущен LDAP. Строка 2 определяет dn учетной записи, которое ''Dovecot'' будет использовать для входа в LDAP, а строка 3 задает пароль для этой учетной записи. (Вообще-то было бы лучше не использовать для этого учетную запись с полными правами rootdn, а создать особую учетную запись для ''Dovecot''). Строка 4 говорит, что будет использоваться аутентификационная связь, а строка 5 задает dn пользователя, которого мы пробуем аутентифицировать как такового (над этим мне пришлось поломать голову!). В файле конфигурации ''Dovecot'', <font color="darkred">%u</font> ссылается на имя пользователя, которое использует MUA (почтовый агент) пользователя, чтобы войти. Строка 6 определяет узел в дереве справочника LDAP, под которым находятся учетные записи пользователей.<br />
<br />
Угнездив на месте эти строки, я смог подсоединиться к службе POP3 ''Dovecot'' с учетной записью cbrown и забрать почту.<br />
<br />
Если у вас что-то не заработало, загляните в файл журнала, обычно '''/var/log/maillog'''. Сообщения, оставляемые ''Dovecot'', очень подробны и говорят сами за себя. '''LXF'''<br />
<br />
----<br />
<br />
===Что еще почитать? (врезка)===<br />
<br />
# По LDAP существует множество книг. Самыми полезными мне показались две: ''LDAP System Administration by Gerald Carter'' (O’Reilly, 1-56592-491-6), и ''Understanding and Deploying LDAP Directory Services by Howes, Smith and Good'' (Addison Wesley, 0672323168). Последняя более академическая (и тяжелая!)<br />
# Официальная документация ''Dovecot'' доступна по адресу http://wiki.dovecot.org. В частности, статья http://wiki.dovecot.org/AuthDatabase/LDAP показывает, как сделать аутентификацию LDAP в ''Dovecot''. Кроме того, '''slapd.conf''', '''ldap.conf''' и все инструменты командной строки имеют прекрасные man-страницы.<br />
# Основную информацию по сборке почтового сервера можно найти по адресам http://freshrpms.net/docs/mail-server и http://wanderingbarque.com/howtos/mailserver/mailserver.html. (Это очень подробное пошаговое руководство, написанное Питером Лэйси [Peter Lacey]; оно охватывает интеграцию ''Postfix'', ''Dovecot'', OpenLDAP, Jamm, ''Cyrus-SASL'' и ''SquirrelMail'', и основано на RHEL 3).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF104:Hardcore_LinuxLXF104:Hardcore Linux2009-03-30T21:28:40Z<p>Kipruss: викификация</p>
<hr />
<div>==LDAP: Защитим вход в Dovecot==<br />
<br />
Позволять кому попало использовать наш почтовый сервер без аутентификации пользователя – сущее безумие. '''Д-р Крис Браун''' наведет порядок с помощью LDAP…<br />
<br />
Сегодняшнее утреннее чтение начнем с Книги Тукса, главы пятой, с самого первого стиха.<br />
<br />
# В начале был файл с паролями, и файл с паролями был Unix. Через него все пользователи могли получить доступ; и без него никто из входящих не мог пройти. И сисадмины сказали, что это хорошо.<br />
# Но вот настала Великая Сеть, и возроптали сисадмины, говоря: «Файл с паролями свое отслужил, требует он дублирования данных и затрудняет масштабирование на большую сеть». Тогда Sun сказал: «Не бойтесь, ибо мы принесли вам Желтые Страницы, которые централизуют данные пользователей».<br />
# Но затем явились четыре мудреца из Beetea и сказали: «Не смеете вы взять имя Желтые Страницы, оно наша собственность и наша торговая марка». И ответил им Sun: «Пускай то, что раньше звалось Желтыми Страницами, отныне зовется NIS». И сисадмины сказали, что это хорошо.<br />
# Но прошло время, и снова разочаровались сисадмины, и возроптали они во второй раз: «Истинно, NIS имеет плоское пространство имен и не имеет контроля доступа».<br />
# И снова сказал Sun: «Не бойтесь, ибо мы принесли вам NIS+, иерархическое пространство имен в нем и контроль доступа в избытке». Но сисадмины возроптали в третий раз, по своему неразумию.<br />
# И создан был консорциум, и родил он спецификацию X500. И X500 родил DAP, DAP родил DIXIE, а DIXIE родил LDAP. И увидели сисадмины, что это хорошо. И это конец нашего утреннего чтения.<br />
<br />
Истинно говорю вам, в этот день, на этом уроке мы создадим службу каталогов LDAP и используем ее для аутентификации в агенте доступа к почте POP/IMAP ''Dovecot''.<br />
<br />
===Азбука LDAP===<br />
<br />
LDAP (облегченный протокол доступа к каталогам) – это служба каталогов, которую в принципе можно использовать для хранения любых данных, хотя на практике она чаще используется для хранения информации о пользователях, в частности, аутентификационных данных. Благодаря наличию открытой реализации (OpenLDAP) LDAP стал популярен в мире Linux как замена служб типа NIS или NIS+; в мире Windows она тоже хорошо известна – как основа ''Microsoft Active Directory''.<br />
<br />
Служба каталогов немного похожа на базу данных: обе могут хранить большие объемы информации и эффективно выполнять в ней поиск. Однако, служба каталогов оптимизирована для чтения (поиска); отношение времени записи к времени чтения обычно велико, и это не годится для ситуаций, когда требуется частое обновление данных. Для справочника естественно, что чтение выполняется в 10000 раз чаще, чем запись. Реляционные базы данных более симметричны по скорости чтения и записи. Кроме того, каталоги обычно не поддерживают транзакции, откаты и реляционные операции, типа <font color="darkred">join</font>, которые имеют важное значение для реляционных баз данных.<br />
<br />
Если вы представите себе печатный телефонный справочник, асимметрия между чтением и записью станет очевидной. Номера телефонов ищутся в телефонном справочнике тысячи раз на дню. Обновление справочника приводит к печати, например, 100000 новых экземпляров и распространению их между абонентами. Обычно телефонные компании делают это раз в год.<br />
<br />
Вы можете использовать LDAP в разных целях: например, для аутентификации постоянных пользователей Linux; или для реализации отображений ''Postfix'', таких как виртуальный почтовый ящик, рассмотренный на уроке прошлого месяца. На данном уроке мы используем LDAP для простой аутентификации пользователей в ''Dovecot''.<br />
<br />
Отдать должное мощи и гибкости LDAP в ограниченном пространстве статьи – примерно то же, что пытаться открыть мир классической музыки инопланетянину, промычав ему первые четыре ноты Пятой симфонии Бетховена; но мы постараемся.<br />
<br />
===Что в имени тебе моем?===<br />
<br />
Каталоги LDAP состоят из набора записей, упорядоченных в виде древовидной структуры. Каждая позиция в дереве идентифицируется так называемым «различимым именем» (distinguished name, dn). Например, dn может быть вида <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font>. Сравним его с другими видами синтаксиса: как имя файла в Linux, оно бы записалось в виде '''/com/example/users/cbrown''', а «полное доменное имя» в DNS выглядело бы '''cbrown.users.example.com'''.<br />
<br />
Каждая запись в справочнике содержит информацию в виде набора пар «атрибут:значение». Какие именно атрибуты присутствуют, определяется так называемым классом объекта записи. Например, наша запись <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> является объектом класса <font color="darkred">posixAccount</font>. Описание, какой атрибут ассоциируется с каким классом, называется схемой, и она задается в файлах схем. Например, здесь описание класса <font color="darkred">posixAccount</font> берется из файла '''/etc/openldap/schema/nis.schema''':<br />
<code><br />
objectclass ( 1.3.6.1.1.1.2.0 NAME ‘posixAccount’<br />
DESC ‘Abstraction of an account with POSIX attributes’<br />
SUP top AUXILIARY<br />
MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )<br />
MAY ( userPassword $ loginShell $ gecos $ description ) )<br />
</code><br />
<br />
Здесь важно отметить имя класса, список требуемых атрибутов (условие <font color="darkred">MUST</font>) и список необязательных атрибутов (условие <font color="darkred">MAY</font>). Если вы знакомы с файлом паролей Linux, вы заметите сходство атрибутов в объекте <font color="darkred">posixAccount</font> и полях в '''/etc/passwd'''. (Учтите, однако, что атрибут LDAP <font color="darkred">uid</font> – это то, что мы назвали бы именем учетной записи, а атрибут <font color="darkred">uidNumber</font> – как раз то, что мы называем UID!) В терминах объектно-ориентированного программирования вы можете представить запись в файле схемы как описание класса, а запись в каталоге – как экземпляр класса. Также возможно наследование класса от «вышестоящего» класса (в объектно-ориентированном программировании он называется родительским или базовым). Строка <font color="darkred">SUP</font> top <font color="darkred">AUXILIARY</font> в предыдущем примере говорит нам, что вышестоящий класс, находящийся на вершине иерархии классов – это сам <font color="darkred">posixAccount</font>, который не наследуется ни от чего. Но зайти дальше в аналогиях с ООП не получится: записи LDAP содержат только данные. Никакого запускаемого кода (который ОО-программисты назвали бы методом) с объектом не ассоциируется.<br />
<br />
{{Врезка<br />
|Заголовок=LDAP как он есть<br />
|Содержание=На стороне сервера услуги предоставляет демон ''slapd''. В качестве своей базы данных он использует ''BDB'' (встраиваемая библиотека базы данных, первоначально разработанная UC Berkeley), а прелестно названный ''slurpd'' распространяет изменения на все копии справочника LDAP. На стороне клиента OpenLDAP предоставляет различные инструменты командной строки для манипулирования записями каталога, включающие ''ldapadd'', добавляющий информацию в каталог, и ''ldapsearch'', используемый для (угадали!) поиска по каталогу.<br />
|Ширина=200px}}<br />
<br />
Для просмотра человеком записи каталога LDAP отображаются в текстовом формате, называемом LDIF (формат обмена данными LDAP). Это формально заданный синтаксис, в соответствии с которым записи каталога представляются «вне» LDAP. Например, LDIF используется для предварительного создания записи при вводе ее в каталог, переноса данных из одного справочника в другой или просмотра содержимого справочника. В развитие нашего примера, LDIF-представление пользователя <font color="darkred">cn=cbrown,ou=users,dc=example,dc=com</font> будет выглядеть так:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
Мы сфокусировали здесь внимание на типе объекта '''posixAccount''', потому что он необходим нам для поддержки аутентификации.<br />
<br />
===Станция «Рабочая»===<br />
<br />
Хватит теории! Давайте же установим и сконфигурируем LDAP. Я использую сервер CentOS, как на прошлом уроке (CentOS – это эквивалент RHEL5), но все, что будет показано далее, легко применимо для других дистрибутивов RedHat или Fedora.<br />
<br />
Мы будем использовать LDAP, который создан в Мичиганском университете (см. <font color="blue">'''<nowiki>www.openldap.org</nowiki>'''</font>). Установка его в CentOS проста:<br />
<code><br />
# yum install openldap-clients openldap-servers<br />
</code><br />
<br />
[[Изображение:LXF104_73_1.png|thumb|300px|Рис. 1. Компоненты OpenLDAP.]]<br />
<br />
Рисунок 1 показывает основные компоненты OpenLDAP. Остальные компоненты клиента – модуль PAM LDAP ('''/lib/security/pam_ldap.so''') и библиотека разрешения LDAP ('''/lib/libnss_ldap.so'''), поддерживающая хранение стандартных учетных записей Linux в LDAP; мы займемся ими в следующем месяце.<br />
<br />
Для запуска службы LDAP необходимо кое-что изменить в файле конфигурации slapd ('''/etc/openldap/slapd.conf'''). Вот строки, которые я поменял:<br />
<code><br />
suffix = “dc=example,dc=com”<br />
rootdn = “cn=admin,dc=example,dc=com”<br />
rootpw = {SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
<br />
Первая задает «именованный контекст» нашей службы LDAP, то есть dn ее верхней записи. Здесь можно использовать все что угодно, но я основывался на доменном имени DNS (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>) настраиваемой машины: это стандартное решение. Вторая строка задает dn для учетной записи администратора сервера LDAP (он имеет полный контроль над содержимым каталога – это аналог root для Linux), а третья строка задает хэшированный пароль для этой учетной записи. Хэшированный пароль я сгенерировал с помощью '''slappasswd''':<br />
<code><br />
# slappasswd<br />
New password:<br />
Re-enter new password:<br />
{SSHA}JM2o2+Z07QJ9CZxqD6CIL3aEe/zSzMmW<br />
</code><br />
а затем вырезал и вставил результат в файл. После этого я запустил службу:<br />
<code><br />
# service ldap start<br />
</code><br />
<br />
[[Изображение:LXF104_74_1.png|thumb|300px|Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.]]<br />
<br />
Далее нам надо заселить наш каталог записями, которые пригодятся для аутентификации. Чтобы сообразить, куда мы движемся, посмотрите на рисунок 2, там показана структура, которую нам надо создать.<br />
<br />
Сперва нужно построить и добавить в справочник узлы верхнего уровня. Я решил создать учетные записи пользователей в узле <font color="darkred">ou=users,dc=example,dc=com</font>. Слово ‘<font color="darkred">users</font>’ не является ключевым, просто я взял такое имя. Я начал с создания файла LDIF, названного '''root.ldif''':<br />
<code><br />
# Build the root node<br />
dn: dc=example,dc=com<br />
dc: example<br />
objectClass: dcObject<br />
objectClass: organizationalUnit<br />
ou: example dot com<br />
# Build the users ou<br />
dn: ou=users,dc=example,dc=com<br />
ou: users<br />
objectClass:<br />
organizationalUnit<br />
</code><br />
<br />
Затем я добавил этот узел в каталог с помощью команды:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f root.ldif<br />
</code><br />
<br />
Теперь добавим учетную запись пользователя. Выполняется это сходным образом: создается файл LDIF, а затем используется ''ldapadd'' для его добавления. Вот файл ('''newuser.ldif'''), который я создал:<br />
<code><br />
dn: cn=cbrown,ou=users,dc=<br />
example,dc=com<br />
objectclass: posixAccount<br />
objectclass: Account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
</code><br />
<br />
Затем я добавил этот узел в каталог:<br />
<code><br />
# ldapadd -D “cn=admin,dc=example,dc=com” -x -W -f newuser.ldif<br />
</code><br />
<br />
Так как записи LDAP нам понадобятся для аутентификации входа на сервер ''Dovecot'', я должен задать еще и пароль для пользователя, как показано здесь:<br />
<code><br />
# ldappasswd -x -D “cn=admin,dc=example,dc=com” -W -S “cn=cbrown,ou=users,dc=example,dc=com”<br />
New password:<br />
Re-enter new password:<br />
Enter LDAP Password:<br />
Result: Success (0)<br />
</code><br />
<br />
Теперь не мешает проверить, что пользователь был добавлен в каталог; давайте выполним поиск записи. Для этого можно употребить ''ldapsearch'':<br />
<code><br />
# ldapsearch -x -b “ou=users,dc=example,dc=com” ‘(cn=cbrown)’<br />
# cbrown, users, example.com<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
objectClass: posixAccount<br />
objectClass: account<br />
cn: cbrown<br />
uid: cbrown<br />
uidNumber: 555<br />
gidNumber: 555<br />
homeDirectory: /home/cbrown<br />
userPassword:: e1NTSEF9cCt2Sml1enpCSTdOZjJUSU1ZcEp0c<br />
U5LTnQzVHhjZzg=<br />
# search result<br />
search: 2<br />
result: 0 Success<br />
# numResponses: 2<br />
# numEntries: 1<br />
</code><br />
<br />
Это упражнение следует проделать для других пользователей, но если у вас их много, есть смысл автоматизировать процесс с помощью скрипта.<br />
<br />
Справочники создаются именно для поиска в них, поэтому стоит разобрать поиск LDAP более подробно. Команда ldapsearch немного похожа на SQL-запрос к реляционной базе данных. Попробуем обойтись без формального описания синтаксиса. Я придумал хороший пример: разбил команду на несколько строк и для удобства ссылок пронумеровал их. Первые шесть строк из представленных ниже – на самом деле одна команда (обратные слэши у них на конце указывают, что команда продолжается на следующей строке). Для запуска этой команды в терминале просто удалите номера и, естественно, слэши, набрав весь код в одну строку.<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -h mail.example.com \<br />
-x -LLL -b “dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W<br />
-s sub \<br />
‘(|(uid=*brown)(gidNumber<=100))’ \<br />
uid<br />
Enter LDAP Password:<br />
dn: cn=cbrown,ou=users,dc=example,dc=com<br />
uid: cbrown<br />
</source><br />
<br />
Теперь давайте вникать:<br />
# Флаг <font color="darkred">-h</font> используется для указания хоста, где запущен сервер LDAP. По умолчанию считается, что это localhost.<br />
# Аргумент <font color="darkred">-x</font> велит команде использовать простой метод аутентификации (не SASL), <font color="darkred">-LLL</font> снижает число комментариев и прочих лишних слов в выводе, а флаг <font color="darkred">-b</font> определяет, где мы хотим начать поиск в дереве справочника. В нашем случае мы начинаем с вершины дерева.<br />
# Флаг <font color="darkred">-D</font> задает dn пользователя, под которым мы хотим зайти (это пользователь, определенный параметром <font color="darkred">rootdn</font> в '''slapd.conf'''), а <font color="darkred">-W</font> велит команде запрашивать пароль.<br />
# Здесь говорится, что поиск должен захватывать все ветви указанной базы, так что в данном случае мы запускаем поиск по всему справочнику.<br />
# Пример фильтра поиска. Он говорит «покажите мне записи, где имя пользователя заканчивается на ‘brown’ или ID группы меньше или равно 100». Фильтры поиска – самая трудная часть синтаксиса для правильного написания, но (в определенном смысле) и самая важная.<br />
# Эта строка содержит список имен атрибутов, которые мы хотим отобразить (в нашем случае просто имя пользователя). Если список пуст, ''ldapsearch'' покажет все атрибуты.<br />
# Далее мы запрашиваем пароль для входа LDAP.<br />
<br />
Наконец, строки 8 и 9 показывают вывод поиска.<br />
<br />
Осилим еще один пример?<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
# ldapsearch -x \<br />
-b “ou=users,dc=example,dc=com” \<br />
-D cn=admin,dc=example,dc=com -W \<br />
-s base ‘(objectClass=*)’<br />
</source><br />
<br />
Рассмотрим строки 2 и 4. В строке 2 задан конкретный узел дерева справочника, откуда начнется поиск, а в строке 4 мы говорим LDAP не распространять поиск за пределы этого узла, а изучать только записи, заданные в строке 2. Фильтр поиска здесь фактически и не фильтр: он гласит «любая запись с атрибутом '''objectClass''', независимо от значения», а это вообще все записи. Итак, этот поиск выводит на дисплей содержимое определенного узла дерева.<br />
<br />
[[Изображение:LXF104_75_1.png|Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.]]<br />
[[Изображение:LXF104_75_2.png|Рис. 4. Выполнение поиска в LDAP при помощи LAT.]]<br />
<br />
Если вы предпочли бы использовать графические инструменты для поиска в вашем справочнике LDAP или добавления учетной записи пользователя, обратите внимание на Lat (''LDAP Administration Tool''). Это одно из новоиспеченных приложений, написанное на C# с использованием Mono и ''GTK#'', поэтому вам понадобятся установленные библиотеки Mono для его использования, но на моем клиенте с Ubuntu он установился и работал без каких-либо проблем. Рисунок 3 показывает этот инструмент в работе при обозревании иерархии LDAP, а на рисунке 4 показан пример поиска по UID 555.<br />
<br />
===Аутентификация Dovecot===<br />
<br />
Давайте закруглимся, применив каталог LDAP к полезному делу. Читатели предыдущего номера могут помнить, что мы оставили нашего героя (почтовый сервер ''Dovecot'') нуждающимся в аутентификации учетных записей POP3 базы данных пользователей, независимых от учетных записей пользователей в Linux.<br />
<br />
Оказывается, ''Dovecot'' может использовать LDAP для аутентификации двумя способами: он может войти в LDAP с именем пользователя ‘rootdn’ и паролем ‘rootpw’, затем посмотреть имя пользователя и хэшированный пароль пользователя, который пытается аутентифицироваться, а может просто попробовать подключиться к серверу LDAP с именем и паролем того пользователя, кто пытается войти, и посмотреть, успешна ли попытка. Вход в LDAP известен как ‘связывание’, и эта техника называется аутентификационной связью. Этот метод мы и будем использовать.<br />
<br />
Настройка ''Dovecot'' на использование LDAP для аутентификационной связи требует изменений в файле '''/etc/Dovecot.conf'''. Вот строки, которые я менял:<br />
<code><br />
auth_verbose = yes<br />
auth_debug = yes<br />
passdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
userdb ldap {<br />
args = /etc/dovecot-ldap.conf<br />
}<br />
</code><br />
<br />
Первые две строки включают вывод отладочных сообщений. На рабочем сервере они вам не понадобятся, но мне файл журнала ('''/var/log/maillog''') очень помог при отладке конфигурации ''Dovecot''. Две остальные строфы файла указывают, что мы будем использовать LDAP и как базу данных паролей, и как базу данных пользователей, и задают место размещения файла конфигурации LDAP для ''Dovecot''.<br />
<br />
Дико извиняюсь, но есть еще один файл конфигурации! Для его создания я начал с копирования примера конфигурации LDAP из дистрибутива ''Dovecot'' на место:<br />
<code><br />
# cp /usr/share/doc/dovecot-1.0/examples/dovecot-ldap.conf /etc<br />
</code><br />
<br />
Затем я сделал следующие изменения в '''/etc/Dovecot-ldap.conf''' (номера строк опять-таки нужны только для ссылок на них в тексте):<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
hosts = localhost<br />
dn = cn=admin,dc=example,dc=com<br />
dnpass = adminpw<br />
auth_bind = yes<br />
auth_bind_userdn = cn=%u,ou=users,dc=example,dc=com<br />
base = ou=users,dc=example,dc=com<br />
</source><br />
<br />
Строка 1 задает имя сервера, на котором запущен LDAP. Строка 2 определяет dn учетной записи, которое ''Dovecot'' будет использовать для входа в LDAP, а строка 3 задает пароль для этой учетной записи. (Вообще-то было бы лучше не использовать для этого учетную запись с полными правами rootdn, а создать особую учетную запись для ''Dovecot''). Строка 4 говорит, что будет использоваться аутентификационная связь, а строка 5 задает dn пользователя, которого мы пробуем аутентифицировать как такового (над этим мне пришлось поломать голову!). В файле конфигурации ''Dovecot'', <font color="darkred">%u</font> ссылается на имя пользователя, которое использует MUA (почтовый агент) пользователя, чтобы войти. Строка 6 определяет узел в дереве справочника LDAP, под которым находятся учетные записи пользователей.<br />
<br />
Угнездив на месте эти строки, я смог подсоединиться к службе POP3 ''Dovecot'' с учетной записью cbrown и забрать почту.<br />
<br />
Если у вас что-то не заработало, загляните в файл журнала, обычно '''/var/log/maillog'''. Сообщения, оставляемые ''Dovecot'', очень подробны и говорят сами за себя. '''LXF'''<br />
<br />
----<br />
<br />
===Что еще почитать? (врезка)===<br />
<br />
# По LDAP существует множество книг. Самыми полезными мне показались две: ''LDAP System Administration by Gerald Carter'' (O’Reilly, 1-56592-491-6), и ''Understanding and Deploying LDAP Directory Services by Howes, Smith and Good'' (Addison Wesley, 0672323168). Последняя более академическая (и тяжелая!)<br />
# Официальная документация ''Dovecot'' доступна по адресу http://wiki.dovecot.org. В частности, статья http://wiki.dovecot.org/AuthDatabase/LDAP показывает, как сделать аутентификацию LDAP в ''Dovecot''. Кроме того, '''slapd.conf''', '''ldap.conf''' и все инструменты командной строки имеют прекрасные man-страницы.<br />
# Основную информацию по сборке почтового сервера можно найти по адресам http://freshrpms.net/docs/mail-server и http://wanderingbarque.com/howtos/mailserver/mailserver.html. (Это очень подробное пошаговое руководство, написанное Питером Лэйси [Peter Lacey]; оно охватывает интеграцию ''Postfix'', ''Dovecot'', OpenLDAP, Jamm, ''Cyrus-SASL'' и ''SquirrelMail'', и основано на RHEL 3).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF104_75_2.pngФайл:LXF104 75 2.png2009-03-30T21:28:27Z<p>Kipruss: Рис. 4. Выполнение поиска в LDAP при помощи LAT.</p>
<hr />
<div>Рис. 4. Выполнение поиска в LDAP при помощи LAT.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF104_75_1.pngФайл:LXF104 75 1.png2009-03-30T21:28:08Z<p>Kipruss: Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.</p>
<hr />
<div>Рис. 3. Просмотр справочника LDAP с помощью LAT. Снимок экрана показывает запись, добавленную нами для пользователя cbrown.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF104_74_1.pngФайл:LXF104 74 1.png2009-03-30T21:27:46Z<p>Kipruss: Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.</p>
<hr />
<div>Рис. 2. Простая структура каталога LDAP для поддержки аутентификации.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF104_73_1.pngФайл:LXF104 73 1.png2009-03-30T21:27:25Z<p>Kipruss: Рис. 1. Компоненты OpenLDAP.</p>
<hr />
<div>Рис. 1. Компоненты OpenLDAP.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103:Hardcore_LinuxLXF103:Hardcore Linux2009-03-28T22:41:36Z<p>Kipruss: /* Продолжение следует */</p>
<hr />
<div>==Почта: собери свой сервер==<br />
<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний '''д-ра Криса Брауна''' рассеет тьму невежества.<br />
<br />
Чтобы вы могли представить, с чем вообще едят почтовый сервер, взгляните на '''Рис. 1''': там показана схема доставки почты в Интернете.<br />
<br />
[[Изображение:LXF103_67_1.png|thumb|300px|Рис. 1: Один день из жизни почтового сообщения.]]<br />
<br />
Проследим продвижение почтового сообщения на его пути через Интернет от отправителя к получателю и разберемся, как все компоненты работают совместно. Пусть Маша сидит за своим компьютером и составляет электронное послание, используя почтовый клиент (Mail User Agent – MUA). В мире Linux клиент Маши будет чем-то вроде ''Evolution'' или ''KMail''. Она пишет своей маме Ане, электронный адрес которой '''<nowiki>anna@example.com</nowiki>'''. Когда Маша нажимает кнопку Послать, ее MUA соединяется с Mail Transport Agent (MTA – почтовым транспортным агентом), на который Маша настроила свой MUA для отправки почты. Обычно MTA предоставляется Маше ее интернет-провайдером (ISP). MUA и MTA говорят друг с другом на языке протокола SMTP (Simple Mail Transfer Protocol – простой протокол передачи почты), организовывая доставку сообщений. В ходе этого диалога MUA определяет получателя сообщения и передает текст письма.<br />
<br />
MTA отвечает за «дальнюю перевозку» сообщения. Он сделает запрос к DNS (Domain Name System, системе доменных имен) на поиск записи MX (Mail Exchanger), которая скажет ему, какая машина действует как почтовый сервер для домена '''<nowiki>example.com</nowiki>''', где расположен Анин почтовый ящик. Из этого запроса он может узнать, что почтовый сервер, допустим, '''<nowiki>mail.example.com</nowiki>'''. MTA Маши теперь соединяется с MTA на '''<nowiki>mail.example.com</nowiki>''', снова использует SMTP для указания получателя письма и передает тело сообщения. Принимающий MTA проверяет, что он и вправду почтовый сервер для домена получателя, а потом уж дает согласие на прием. Если все проходит нормально, принимающий MTA передает сообщение MDA (Mail Delivery Agent – почтовому агенту доставки), который сохраняет сообщение в хранилище сообщений (оно находится в файловой системе почтового сервера). Для этого сообщения работа MTA выполнена.<br />
<br />
Аня проводит выходные с дядей Васей, помогая ему разбирать чердак, и не может в эти дни читать почту. Но когда она доберется до компьютера, ее почтовый клиент соединится с Mail Access Agent (MAA – агентом доступа к почте) на ее почтовом сервере <font color="blue">'''<nowiki>example.com</nowiki>'''</font> для проверки почты, которую MTA ее домена сохранил в ее хранилище. Ее MUA может использовать для этого один или два протокола. Чаще всего это Post Office Protocol (POP3 – почтовый протокол) версии 3. POP – это протокол, который скачивает почту с почтового сервера, затем (как правило) удаляет ее с сервера и оставляет ее на клиенте (компьютере в Аниной квартире), обеспечивая долговременное хранение сообщения. Но если Аня работает в корпорации Example.Com, данное учреждение может иметь почтовый сервер, работающий по протоколу IMAP4. IMAP расшифровывается как Internet Message Access Protocol [интернетпротокол доступа к сообщениям]; он позволяет Аниному MUA получать доступ к ее почтовому архиву, но долговременное хранение писем происходит на сервере (хотя некоторые MUA поддерживают локальные копии). Благодаря IMAP можно подключаться к серверу с любого компьютера с IMAP-клиентом и видеть весь почтовый архив – а вот если бы вы читали почту, используя POP на разных машинах, то в итоге ваши письма были бы раскиданы по этим машинам, что я знаю по своему горькому опыту.<br />
<br />
Наш почтовый сервер изображен на Рисунке 1 как большой серый квадрат в правом верхнем углу. В реальности необходимы два компьютера – один для почтового сервера, другой для клиента. Возьмем ''Postfix'' как SMTP-сервер и ''Dovecot'' как почтовый POP3-сервер. На почтовом сервере моя основная ОС – CentOS 5 (CentOS – это клон Red Hat Enterprise Linux), но конфигурация и операции с ''Postfix'' и ''Dovecot'' не зависят от используемого дистрибутива Linux. Клиентская машина может быть любой. В моем случае на ней Ubuntu 7.04 с ''Evolution'' в качестве MUA.<br />
<br />
===Начнем: Mail Transfer Agent===<br />
<br />
Сперва мы установим ''Postfix''. Но предварительно проверим: вдруг ''Sendmail'' уже установлен и запущен. На системах типа Red Hat это могут сделать следующие команды:<br />
<code><br />
# rpm -q sendmail<br />
# service sendmail status<br />
</code><br />
<br />
Если ''Sendmail'' запущен, надо его остановить и позаботиться, чтобы он не запустился после перезагрузки:<br />
<code><br />
# service sendmail stop<br />
# chkconfig sendmail --del<br />
</code><br />
<br />
При наличии на вашей машине включенного брандмауэра, вы должны открыть порт для SMTP (tcp/25).<br />
<br />
Моя собственная установка ''Postfix'' споткнулась, обнаружив отсутствие административной группы под названием <font color="darkred">postdrop</font>. То есть до установки пакетов нужно было создать эту группу:<br />
<code><br />
# groupadd -r postdrop<br />
# yum install postfix<br />
</code><br />
<br />
Возможно, эта проблема касается только моего дистрибутива, и на вашей системе такого не произойдет.<br />
<br />
Для обеспечения запуска сервиса ''Postfix'' при загрузке, запустите команду<br />
<code><br />
# chkconfig --add postfix<br />
</code><br />
<br />
Файл настройки ''Postfix'' – '''/etc/postfix/main.cf'''. Фактически, ''Postfix'' должен заработать «из коробки» как простой почтовый сервер с минимальной доработкой готовой конфигурации, но есть несколько параметров, требующих внимания. Так, строку в '''main.cf'''<br />
<code><br />
inet_interfaces = localhost<br />
</code><br />
нужно заменить на<br />
<code><br />
inet_interfaces = all<br />
</code><br />
<br />
Это мы велим ''Postfix'' слушать SMTP соединения на всех сетевых интерфейсах машины, а не только на локальном (localhost).<br />
<br />
Далее проверим установки параметра <font color="darkred">myhostname</font>. Он определяет FQDN этой почтовой системы. Если он не определен, то по умолчанию берется имя хоста машины, на которой запущен сервер, возвращаемое командой <font color="darkred">hostname</font>. Так, если ваш хост – <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, это имя и будет принято по умолчанию.<br />
<br />
Наконец, параметр <font color="darkred">mydestination</font> задает список доменов, которые эта машина считает для себя пунктом назначения (то есть домены, для которых машина сохраняет сообщения). Минимальное значение этого параметра должно походить на следующее:<br />
<code><br />
mydestination = example.com<br />
</code><br />
<br />
Установив все эти параметры, можно запускать ''Postfix''. На RedHat-совместимых системах это делается командой<br />
<code><br />
# service postfix start<br />
</code><br />
<br />
Далее, я создал учетную запись для пользователя <font color="darkred">anna</font> и установил пароль:<br />
<code><br />
# useradd anna<br />
# passwd anna<br />
</code><br />
<br />
Без них не обойтись, потому что «локальный» агент доставки почты в ''Postfix'' требует, чтобы получатель имел учетную запись в Linux-системе: по ней происходит аутентификация в ''Dovecot'' (который мы рассмотрим чуть позже).<br />
<br />
Теперь у нас все готово для теста доставки почты в хранилище сообщений. На моей настольной системе с Ubuntu я создал запись в файле '''/etc/hosts''', возвращающую IP-адрес машины '''<nowiki>mail.example.com</nowiki>'''. В моем случае строка выглядела так:<br />
<code><br />
192.168.0.41 mail.example.com<br />
</code><br />
<br />
В реальности, почтовый сервер должен иметь DNS-запись, и вам не нужно задавать ее в '''/etc/hosts'''. Затем я сконфигурировал «учетную запись» в моем MUA (''Evolution'') на использование SMTP-сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font> для исходящих сообщений. Я включил эту учетную запись Evolution и отключил остальные. Затем я попытался послать несколько писем на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>.<br />
<br />
Сработало? Ну, тот факт, что письма исчезли из моих Исходящих [Outbox] в ''Evolution'', уже обнадеживал, но лучший способ проверки – найти сообщения сохраненными на почтовом сервере. Что выводит нас на ...<br />
<br />
===Хранилище сообщений===<br />
<br />
Традиционный способ хранения сообщений на почтовом сервере известен как формат Mbox: для каждого пользователя хранится отдельный текстовый файл. Имя этого файла совпадает с именем учетной записи пользователя, чью почту он хранит, а каталог определяется параметром <font color="darkred">mail_spool_directory</font> настройки ''Postfix'' (обычно '''/var/spool/mail''' или '''/var/mail'''). Например, Анины сообщения могут заноситься в '''/var/spool/mail/anna'''. Внутри этого файла каждое сообщение начинается строкой с первым словом “<font color="darkred">From</font>” и заканчивается пустой строкой. (Вас может сбить с толку наличие в этом файле других строк, тоже начинающихся на “From:” – заметили двоеточие? Это часть заголовков сообщения.) Надеюсь, ''Postfix'' вписал мое тестовое сообщение в этот файл.<br />
<br />
Альтернативная схема хранения сообщений (также называемая форматом Maildir) использует отдельную директорию для каждого пользователя (обычно это поддиректория с названием '''maildir''' внутри домашнего каталога пользователя) и, внутри нее, отдельный файл для каждого сообщения. При этом меньше шансов заблокировать или угробить все сообщения разом, чем в формате Mbox.<br />
<br />
Если посланное вами сообщение появилось в хранилище, пора перейти к нашему POP3-серверу. Если его нет, прочитайте советы во врезке ''Решение проблем'', внизу .<br />
<br />
===Установка и настройка Dovecot===<br />
<br />
На моей CentOS для установки ''Dovecot'' надо всего лишь скомандовать:<br />
<code><br />
# yum install dovecot<br />
</code><br />
<br />
Теперь нужно найти файл конфигурации ''Dovecot''. Обычно это '''/etc/dovecot.conf'''. Как типичный современный файл конфигурации, он довольно длинен (более 1000 строк), но почти целиком состоит из комментариев. Как оказалось, мне нужно было изменить две строчки; одна задает протокол(ы), которые должен обслуживать ''Dovecot'', а вторая говорит, где находятся файлы почтового ящика. Эти два параметра я изменил так:<br />
<code><br />
protocols = pop3<br />
mail_location = mbox:~/mail:INBOX=/var/spool/mail/%n<br />
</code><br />
<br />
Первая строка говорит, что мы будем использовать только протокол POP3. Во второй строке, установка <font color="darkred">INBOX</font> использует специальный параметр <font color="darkred">%n</font> для замены именем пользователя, под которым мы зашли проверить почту (в нашем примере – “<font color="darkred">anna</font>”). Заметим, что значение параметра <font color="darkred">INBOX</font> должно совпадать с расположением хранилища почты, указанном в ''Postfix''.<br />
<br />
Если у вас на почтовом сервере запущен брандмауэр, нужно также открыть порт POP3 (110/tcp).<br />
<br />
Теперь мы готовы к запуску сервиса:<br />
<code><br />
# service dovecot start<br />
</code><br />
<br />
Пора тестировать. На клиенте, в настройках MUA мне необходимо установить для приема почты использование протокола POP и сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, затем задать имя '''<font color="darkred">anna</font>''' и отключить опции шифрования, предлагаемые MUA. Теперь я готов принять мои сообщения. В этом пункте мой MUA должен (надеюсь) запросить пароль '''<font color="darkred">anna</font>''', а мне необходимо предоставить пароль, который я задал, создавая ее учетную запись Linux на сервере. Если все пройдет гладко, вы должны увидеть ранее посланные письма появившимися во Входящих MUA. И если вы вернетесь на сервер, то обнаружите, что сообщения исчезли из хранилища <font color="darkred">anna</font>. Если опять ничего не выйдет, обратитесь ко врезке ''Решение проблем''.<br />
<br />
===Ура, оно работает!===<br />
<br />
Если вы дошли досюда, поздравляем! У вас появился работающий почтовый сервер. Как обычно, я создавал максимально простую конфигурацию, чтобы все поскорее заработало. Однако эта реализация подразумевает несколько допущений: во-первых, почтовый сервер обслуживает только один домен (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>), а во-вторых, все пользователи, желающие получать почту, имеют учетные записи Linux на почтовом сервере. Это последнее ограничение задается как со стороны локального агента доставки в ''Postfix'', так и ''Dovecot'', который, в своей конфигурации по умолчанию, требует действующей учетной записи Linux для аутентификации пользователей, для входа через POP и получения электронной почты. Отметим также, что в нашей конфигурации MTA (''Postfix'') не требуется аутентификации пользователя, в отличие от MAA (''Dovecot'').<br />
<br />
===Поддерживаем несколько доменов===<br />
<br />
В реальных условиях одной машине приходится быть почтовым сервером для множества доменов. Самый простой путь это обеспечить – добавить домены в параметр mydestination в '''/etc/Postfix/main.cf'''. Например, установка:<br />
<code><br />
mydestination = example.com example.org example.net <br />
</code><br />
велит Postfix принимать почту для трех указанных доменов. Конечно, если вы что-то поменяли в '''main.cf''', нужно заставить <font color="darkred">postfix</font> перечитать его:<br />
<code><br />
# service postfix reload<br />
</code><br />
<br />
Конечно, надо также обеспечить, чтобы MX-записи в DNS для всех трех доменов ссылались на сервер <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>. Однако эта методика имеет ограниченное применение, поскольку у всех доменов – общее пространство имен: так, почта на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>, <font color="blue">'''<nowiki>anna@example.org</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> будет в конце концов сохранена в одном и том же месте. И, конечно, Ане (и всем другим получателям почты) нужна учетная запись Linux на сервере.<br />
<br />
Более гибкое решение – использовать так называемые «виртуальные» почтовые домены. При таком способе каждый домен имеет отдельное пространство имен, и письма для <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> окажутся в разных хранилищах почты. Получателю также не требуется иметь системную учетную запись Linux. Но зато требуется чуть больше работы по настройке...<br />
<br />
Требуемые для этого строки в '''main.cf''' показаны в Листинге А ниже. Учтите, что номера строк проставлены только для удобства ссылки: в файле их нет.<br />
<br />
{{Врезка<br />
|Заголовок=Альтернативы<br />
|Содержание=Как всегда в Linux, существует несколько программных решений для построения почтового сервера. Для MTA вы можете использовать ''Postfix'', ''Exim'' или почтенный ''Sendmail''. ''Postfix'' – самый юный; он написан Вьетсе Венема <nowiki>[Wietse Venema]</nowiki> в 1999 году, имеет прекрасную репутацию по безопасности и служит MTA по умолчанию во многих текущих дистрибутивах Linux. Exim был разработан в 1995 году в Кембриджском университете Филипом Хейзелом <nowiki>[Philip Hazel]</nowiki>. ''Sendmail'' написан Эриком Оллманом <nowiki>[Eric Allman]</nowiki> в 1983 году; много лет он тянул на себе большинство интернет-почты, и стало почти обязательным ссылаться на него, как на «почтенный», хотя у него самый непонятный файл конфигурации по эту сторону Бетельгейзе. Для MAA тоже есть выбор. Это может быть IMAP-сервер ''Cyrus'', ''Courier'', ''qpopper'', инструментарий IMAP University of Washington, Dovecot и другие. Более подробный список и сравнение почтовых серверов вы можете найти на http://en.wikipedia.org/wiki/Comparison_of_mail_servers.<br />
|Ширина=200px}}<br />
<br />
===ЛИСТИНГ A===<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
virtual_mailbox_domains = example.com example.org example.net<br />
virtual_mailbox_base = /var/spool/vmail<br />
virtual_mailbox_maps = hash:/etc/Postfix/virtual_mailbox_map<br />
virtual_uid_maps = static:550<br />
virtual_gid_maps = static:101<br />
</source><br />
<br />
Строка 1 в ''Листинге А'' содержит список доменов, которые будут поддерживаться. Их надо удалить из параметра <font color="darkred">mydestination</font>, так как они теперь будут обрабатываться с использованием «виртуального» агента доставки ''Postfix'', и «локальный» агент им больше не нужен.<br />
<br />
Если список доменов по-настоящему большой, вы можете предпочесть поместить его в отдельный файл, например, '''/etc/postfix/virtual_domains''', по образцу:<br />
<code><br />
# list of virtual domains for postfix<br />
example.com<br />
example.net<br />
example.org<br />
# ... and lots more ...<br />
</code><br />
и ссылаться на этот файл через параметр <font color="darkred">virtual_mailbox_domains</font> в '''main.cf''':<br />
<code><br />
virtual_mailbox_domains = /etc/postfix/virtual_domains<br />
</code><br />
<br />
Аналогично, многие параметры в '''main.cf''' могут иметь список требуемых значений, помещенный в отдельный файл.<br />
<br />
Строка 2 в ''Листинге А'' задает директорию верхнего уровня, где должны сохраняться сообщения. Очевидно, надо выбрать схему, совместимую с нашими POP- и IMAP-серверами. Здесь выбрано одно из множества возможных решений.<br />
<br />
Создадим то, что ''Postfix'' называет «картой» – для отметки, где получатели почтовых адресов будут сохранять сообщения относительно заданного <font color="darkred">virtual_mailbox_base</font>. Я создал простую карту в файле, который назвал '''/etc/postfix/virtual_mailbox_map''':<br />
<code><br />
anna@example.com anna<br />
anna@example.net anna_smith<br />
chris@example.org cbrown<br />
</code><br />
<br />
Теперь, например, письмо, посланное на <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font>, будет сохранено в '''/var/spool/vmail/anna_smith'''; письмо, посланное на адрес <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>, «упадет» в '''/var/spool/vmail/cbrown''', и так далее. Заметьте, что здесь не требуется совпадения видимых снаружи имен пользователей (в нашем примере, '''<font color="darkred">anna</font>''' и '''<font color="darkred">chris</font>''') со внутренними именами (<font color="darkred">anna_smith</font> и </font color="darkred">cbrown</font>).<br />
<br />
Конвертируем этот файл в «карту», используя команду postmap:<br />
<code><br />
# postmap /etc/postfix/virtual_mailbox_map<br />
</code><br />
<br />
В результате появится файл '''virtual_mailbox_map.db'''. Карта, в данном случае, просто вид индексированной структуры данных, ключи которой могут быть эффективно просмотрены ''Postfix''. ''Postfix'' поддерживает несколько типов «карт»; по умолчанию это обычно «хэш».<br />
<br />
Далее, в строке 3 ''Листинга А'', вы сообщаете ''Postfix'', где находится карта.<br />
<br />
''Postfix'' нуждается в отождествлении пользователя, используемом для доставки сообщения в хранилище. Возможно задание нескольких карт (<font color="darkred">uid_map</font> и <font color="darkred">gid_map</font>), определяющих отдельные отождествления для всех и каждого получателя, но мы сделаем проще и используем одну и ту же личность для всех получателей. Я создал пользователя с именем '''<font color="darkred">postmanpat</font>''' для этой цели.<br />
<code><br />
# useradd -d /var/spool/vmail -g postdrop -u 550 -m postmanpat<br />
</code><br />
<br />
Отметим, что домашняя директория '''<font color="darkred">postmanpat</font>''' находится в моей выбранной директории '''virtual_ mailbox_base'''. Далее я смягчил права доступа в '''/var/spool/vmail''', чтобы Dovecot мог ей воспользоваться.<br />
<code><br />
# chmod 755 /var/spool/vmail<br />
</code><br />
<br />
Нет необходимости предварительно создавать файл сохраненных сообщений для индивидуальных получателей – ''Postfix'' сделает это по требованию. Наконец, строки 4 и 5 Листинга А задают тождество пользователя и группы, которые ''Postfix'' будет использовать для помещения сообщений в хранилище. Они соответствуют ID пользователя <font color="darkred">postmanpat</font> и группы <font color="darkred">postdrop</font>.<br />
<br />
После внесения данных изменений та часть, за которую отвечает ''Postfix'', должна работать. Возвратитесь к клиентской машине и пошлите тестовое сообщение на <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>. На сервере проверьте, что это сообщение появилось в '''/var/spool/vmail/cbrown'''. Если да, то доставка ''Postfix'' на виртуальные почтовые домены работает!<br />
<br />
На стороне ''Dovecot'' я просто изменил определение параметра <font color="darkred">mail_location</font> на следующее:<br />
<code><br />
mail_location = mbox:~/mail:INBOX=/var/spool/vmail/%n<br />
</code><br />
<br />
===Продолжение следует===<br />
<br />
Пока мы не касались аутентификации POP3 при входе в ''Dovecot''. В текущем состоянии, чтобы Dovecot заработал, вам необходимо создать очередные учетные записи Linux пользователям anna, anna_smith и cbrown, для новой аутентификации ''Dovecot''. Чтобы виртуальные домены применялись правильно, необходимо рассмотреть вопрос об аутентификации учетных записей POP3 через базу данных пользователей, не зависящую от учетных записей Linux. На данном уроке уже подпущено достаточно ежей под череп, но в следующем номере ''Linux Format'' я попытаюсь решить вопрос об аутентификации внутри почтовых систем и в ''Postfix'' и в ''Dovecot''. Пишите на [[mailto://answers@linuxformat.ru]], если у вас возникнут проблемы с вашим почтовым сервером. '''LXF'''<br />
<br />
----<br />
<br />
===Решение проблем (врезка)===<br />
<br />
[[Изображение:LXF103_68_1.png|thumb|300px|Пример использования команды telnet.]]<br />
<br />
Если вы не можете передать и принять почту, используя ваш почтовый сервер, попробуйте проверить следующее:<br />
<br />
1. На клиенте проверьте, что почтовый сервер пингуется по его IP-адресу и имени, используя команды:<br />
<code><br />
# ping 192.168.0.41<br />
# ping mail.example.com<br />
</code><br />
(Естественно, подставьте сюда IP-адреc вашего сервера.)<br />
<br />
2. На сервере проверьте, что серверы SMTP и POP слушают соединения, используя команду<br />
<code><br />
# netstat -at<br />
</code><br />
<br />
Вы должны увидеть LISTEN в конце информации о портах SMTP и POP3.<br />
<br />
3. На клиенте, попробуйте использовать telnet для соединения с портом 25 на почтовом сервере, используя команду:<br />
<code><br />
# telnet mail.example.com 25<br />
</code><br />
<br />
Вы должны получить отклик с сервера типа такого:<br />
<code><br />
220 mail.example.com ESMTP Postfix<br />
</code><br />
<br />
Если вы знакомы с SMTP-протоколом, можете вести полный SMTP-диалог вручную и по-настоящему отправить почтовое сообщение. См. экранный снимок справа с примером такого диалога.<br />
<br />
4. На сервере проверьте, что брандмауэр не блокирует доступ к портам 25 (SMTP) и 110 (POP3), используя команду:<br />
<code><br />
# iptables -L<br />
</code><br />
<br />
Если вы не уверены, отключите брандмауэр командой:<br />
<code><br />
# itables -F<br />
</code><br />
и попробуйте снова. Не забудьте потом восстановить работоспособность брандмауэра.<br />
<br />
5. На сервере поищите разгадку в системных журналах почты (обычно /var/log/maillog).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103LXF1032009-03-28T22:25:44Z<p>Kipruss: /* Учебники */</p>
<hr />
<div>=== Учебники ===<br />
<br />
* [[LXF103:Совет месяца|'''Совет месяца:''' Счастье луковое]]<br />
* [[LXF103:Навести порядок в снимках|'''Фотография.''' Навести порядок в снимках]]<br />
В Linux нет недостатка в инструментах управления фотографиями. '''Дэйл Стрикланд-Кларк''' рассмотрит все варианты и найдет для вас лучший, будь то ''DigiKam, Picasa'' или ''F-Spot''.<br />
<br />
* [[LXF103:Hardcore Linux|'''Hardcore Linux.''' Почта: собери свой сервер.]]<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний '''д-ра Криса Брауна''' рассеет тьму невежества. <br />
<br />
* R: типы данных<br />
<br />
* [[LXF103:Ни строчки кода!|Ни строчки кода!]]<br />
* [[LXF103:Стрелялка|Стрелялка за выходные]]<br />
<br />
[[Категория:Математические пакеты]]<br />
<br />
=== [[LXF103:Ответы|Ответы]]===<br />
<br />
Устраняем проблемы Linux: память, смена IP-адреса, проблемы с загрузкой, ''apt-get'' без сети, шрифты, компиляция ПО, брандмауэры и поиски Луны с ''KMoon''.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103LXF1032009-03-28T22:24:56Z<p>Kipruss: </p>
<hr />
<div>=== Учебники ===<br />
<br />
* [[LXF103:Совет месяца|'''Совет месяца:''' Счастье луковое]]<br />
* [[LXF103:Навести порядок в снимках|'''Фотография.''' Навести порядок в снимках]]<br />
В Linux нет недостатка в инструментах управления фотографиями. '''Дэйл Стрикланд-Кларк''' рассмотрит все варианты и найдет для вас лучший, будь то ''DigiKam, Picasa'' или ''F-Spot''.<br />
<br />
* [[LXF103:Hardcore Linux|'''Hardcore Linux.''' Почта: собери свой сервер.]]<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний д-ра Криса Брауна рассеет тьму невежества. <br />
<br />
* R: типы данных<br />
<br />
* [[LXF103:Ни строчки кода!|Ни строчки кода!]]<br />
* [[LXF103:Стрелялка|Стрелялка за выходные]]<br />
<br />
[[Категория:Математические пакеты]]<br />
<br />
=== [[LXF103:Ответы|Ответы]]===<br />
<br />
Устраняем проблемы Linux: память, смена IP-адреса, проблемы с загрузкой, ''apt-get'' без сети, шрифты, компиляция ПО, брандмауэры и поиски Луны с ''KMoon''.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103:Hardcore_LinuxLXF103:Hardcore Linux2009-03-28T22:23:00Z<p>Kipruss: /* Продолжение следует */</p>
<hr />
<div>==Почта: собери свой сервер==<br />
<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний '''д-ра Криса Брауна''' рассеет тьму невежества.<br />
<br />
Чтобы вы могли представить, с чем вообще едят почтовый сервер, взгляните на '''Рис. 1''': там показана схема доставки почты в Интернете.<br />
<br />
[[Изображение:LXF103_67_1.png|thumb|300px|Рис. 1: Один день из жизни почтового сообщения.]]<br />
<br />
Проследим продвижение почтового сообщения на его пути через Интернет от отправителя к получателю и разберемся, как все компоненты работают совместно. Пусть Маша сидит за своим компьютером и составляет электронное послание, используя почтовый клиент (Mail User Agent – MUA). В мире Linux клиент Маши будет чем-то вроде ''Evolution'' или ''KMail''. Она пишет своей маме Ане, электронный адрес которой '''<nowiki>anna@example.com</nowiki>'''. Когда Маша нажимает кнопку Послать, ее MUA соединяется с Mail Transport Agent (MTA – почтовым транспортным агентом), на который Маша настроила свой MUA для отправки почты. Обычно MTA предоставляется Маше ее интернет-провайдером (ISP). MUA и MTA говорят друг с другом на языке протокола SMTP (Simple Mail Transfer Protocol – простой протокол передачи почты), организовывая доставку сообщений. В ходе этого диалога MUA определяет получателя сообщения и передает текст письма.<br />
<br />
MTA отвечает за «дальнюю перевозку» сообщения. Он сделает запрос к DNS (Domain Name System, системе доменных имен) на поиск записи MX (Mail Exchanger), которая скажет ему, какая машина действует как почтовый сервер для домена '''<nowiki>example.com</nowiki>''', где расположен Анин почтовый ящик. Из этого запроса он может узнать, что почтовый сервер, допустим, '''<nowiki>mail.example.com</nowiki>'''. MTA Маши теперь соединяется с MTA на '''<nowiki>mail.example.com</nowiki>''', снова использует SMTP для указания получателя письма и передает тело сообщения. Принимающий MTA проверяет, что он и вправду почтовый сервер для домена получателя, а потом уж дает согласие на прием. Если все проходит нормально, принимающий MTA передает сообщение MDA (Mail Delivery Agent – почтовому агенту доставки), который сохраняет сообщение в хранилище сообщений (оно находится в файловой системе почтового сервера). Для этого сообщения работа MTA выполнена.<br />
<br />
Аня проводит выходные с дядей Васей, помогая ему разбирать чердак, и не может в эти дни читать почту. Но когда она доберется до компьютера, ее почтовый клиент соединится с Mail Access Agent (MAA – агентом доступа к почте) на ее почтовом сервере <font color="blue">'''<nowiki>example.com</nowiki>'''</font> для проверки почты, которую MTA ее домена сохранил в ее хранилище. Ее MUA может использовать для этого один или два протокола. Чаще всего это Post Office Protocol (POP3 – почтовый протокол) версии 3. POP – это протокол, который скачивает почту с почтового сервера, затем (как правило) удаляет ее с сервера и оставляет ее на клиенте (компьютере в Аниной квартире), обеспечивая долговременное хранение сообщения. Но если Аня работает в корпорации Example.Com, данное учреждение может иметь почтовый сервер, работающий по протоколу IMAP4. IMAP расшифровывается как Internet Message Access Protocol [интернетпротокол доступа к сообщениям]; он позволяет Аниному MUA получать доступ к ее почтовому архиву, но долговременное хранение писем происходит на сервере (хотя некоторые MUA поддерживают локальные копии). Благодаря IMAP можно подключаться к серверу с любого компьютера с IMAP-клиентом и видеть весь почтовый архив – а вот если бы вы читали почту, используя POP на разных машинах, то в итоге ваши письма были бы раскиданы по этим машинам, что я знаю по своему горькому опыту.<br />
<br />
Наш почтовый сервер изображен на Рисунке 1 как большой серый квадрат в правом верхнем углу. В реальности необходимы два компьютера – один для почтового сервера, другой для клиента. Возьмем ''Postfix'' как SMTP-сервер и ''Dovecot'' как почтовый POP3-сервер. На почтовом сервере моя основная ОС – CentOS 5 (CentOS – это клон Red Hat Enterprise Linux), но конфигурация и операции с ''Postfix'' и ''Dovecot'' не зависят от используемого дистрибутива Linux. Клиентская машина может быть любой. В моем случае на ней Ubuntu 7.04 с ''Evolution'' в качестве MUA.<br />
<br />
===Начнем: Mail Transfer Agent===<br />
<br />
Сперва мы установим ''Postfix''. Но предварительно проверим: вдруг ''Sendmail'' уже установлен и запущен. На системах типа Red Hat это могут сделать следующие команды:<br />
<code><br />
# rpm -q sendmail<br />
# service sendmail status<br />
</code><br />
<br />
Если ''Sendmail'' запущен, надо его остановить и позаботиться, чтобы он не запустился после перезагрузки:<br />
<code><br />
# service sendmail stop<br />
# chkconfig sendmail --del<br />
</code><br />
<br />
При наличии на вашей машине включенного брандмауэра, вы должны открыть порт для SMTP (tcp/25).<br />
<br />
Моя собственная установка ''Postfix'' споткнулась, обнаружив отсутствие административной группы под названием <font color="darkred">postdrop</font>. То есть до установки пакетов нужно было создать эту группу:<br />
<code><br />
# groupadd -r postdrop<br />
# yum install postfix<br />
</code><br />
<br />
Возможно, эта проблема касается только моего дистрибутива, и на вашей системе такого не произойдет.<br />
<br />
Для обеспечения запуска сервиса ''Postfix'' при загрузке, запустите команду<br />
<code><br />
# chkconfig --add postfix<br />
</code><br />
<br />
Файл настройки ''Postfix'' – '''/etc/postfix/main.cf'''. Фактически, ''Postfix'' должен заработать «из коробки» как простой почтовый сервер с минимальной доработкой готовой конфигурации, но есть несколько параметров, требующих внимания. Так, строку в '''main.cf'''<br />
<code><br />
inet_interfaces = localhost<br />
</code><br />
нужно заменить на<br />
<code><br />
inet_interfaces = all<br />
</code><br />
<br />
Это мы велим ''Postfix'' слушать SMTP соединения на всех сетевых интерфейсах машины, а не только на локальном (localhost).<br />
<br />
Далее проверим установки параметра <font color="darkred">myhostname</font>. Он определяет FQDN этой почтовой системы. Если он не определен, то по умолчанию берется имя хоста машины, на которой запущен сервер, возвращаемое командой <font color="darkred">hostname</font>. Так, если ваш хост – <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, это имя и будет принято по умолчанию.<br />
<br />
Наконец, параметр <font color="darkred">mydestination</font> задает список доменов, которые эта машина считает для себя пунктом назначения (то есть домены, для которых машина сохраняет сообщения). Минимальное значение этого параметра должно походить на следующее:<br />
<code><br />
mydestination = example.com<br />
</code><br />
<br />
Установив все эти параметры, можно запускать ''Postfix''. На RedHat-совместимых системах это делается командой<br />
<code><br />
# service postfix start<br />
</code><br />
<br />
Далее, я создал учетную запись для пользователя <font color="darkred">anna</font> и установил пароль:<br />
<code><br />
# useradd anna<br />
# passwd anna<br />
</code><br />
<br />
Без них не обойтись, потому что «локальный» агент доставки почты в ''Postfix'' требует, чтобы получатель имел учетную запись в Linux-системе: по ней происходит аутентификация в ''Dovecot'' (который мы рассмотрим чуть позже).<br />
<br />
Теперь у нас все готово для теста доставки почты в хранилище сообщений. На моей настольной системе с Ubuntu я создал запись в файле '''/etc/hosts''', возвращающую IP-адрес машины '''<nowiki>mail.example.com</nowiki>'''. В моем случае строка выглядела так:<br />
<code><br />
192.168.0.41 mail.example.com<br />
</code><br />
<br />
В реальности, почтовый сервер должен иметь DNS-запись, и вам не нужно задавать ее в '''/etc/hosts'''. Затем я сконфигурировал «учетную запись» в моем MUA (''Evolution'') на использование SMTP-сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font> для исходящих сообщений. Я включил эту учетную запись Evolution и отключил остальные. Затем я попытался послать несколько писем на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>.<br />
<br />
Сработало? Ну, тот факт, что письма исчезли из моих Исходящих [Outbox] в ''Evolution'', уже обнадеживал, но лучший способ проверки – найти сообщения сохраненными на почтовом сервере. Что выводит нас на ...<br />
<br />
===Хранилище сообщений===<br />
<br />
Традиционный способ хранения сообщений на почтовом сервере известен как формат Mbox: для каждого пользователя хранится отдельный текстовый файл. Имя этого файла совпадает с именем учетной записи пользователя, чью почту он хранит, а каталог определяется параметром <font color="darkred">mail_spool_directory</font> настройки ''Postfix'' (обычно '''/var/spool/mail''' или '''/var/mail'''). Например, Анины сообщения могут заноситься в '''/var/spool/mail/anna'''. Внутри этого файла каждое сообщение начинается строкой с первым словом “<font color="darkred">From</font>” и заканчивается пустой строкой. (Вас может сбить с толку наличие в этом файле других строк, тоже начинающихся на “From:” – заметили двоеточие? Это часть заголовков сообщения.) Надеюсь, ''Postfix'' вписал мое тестовое сообщение в этот файл.<br />
<br />
Альтернативная схема хранения сообщений (также называемая форматом Maildir) использует отдельную директорию для каждого пользователя (обычно это поддиректория с названием '''maildir''' внутри домашнего каталога пользователя) и, внутри нее, отдельный файл для каждого сообщения. При этом меньше шансов заблокировать или угробить все сообщения разом, чем в формате Mbox.<br />
<br />
Если посланное вами сообщение появилось в хранилище, пора перейти к нашему POP3-серверу. Если его нет, прочитайте советы во врезке ''Решение проблем'', внизу .<br />
<br />
===Установка и настройка Dovecot===<br />
<br />
На моей CentOS для установки ''Dovecot'' надо всего лишь скомандовать:<br />
<code><br />
# yum install dovecot<br />
</code><br />
<br />
Теперь нужно найти файл конфигурации ''Dovecot''. Обычно это '''/etc/dovecot.conf'''. Как типичный современный файл конфигурации, он довольно длинен (более 1000 строк), но почти целиком состоит из комментариев. Как оказалось, мне нужно было изменить две строчки; одна задает протокол(ы), которые должен обслуживать ''Dovecot'', а вторая говорит, где находятся файлы почтового ящика. Эти два параметра я изменил так:<br />
<code><br />
protocols = pop3<br />
mail_location = mbox:~/mail:INBOX=/var/spool/mail/%n<br />
</code><br />
<br />
Первая строка говорит, что мы будем использовать только протокол POP3. Во второй строке, установка <font color="darkred">INBOX</font> использует специальный параметр <font color="darkred">%n</font> для замены именем пользователя, под которым мы зашли проверить почту (в нашем примере – “<font color="darkred">anna</font>”). Заметим, что значение параметра <font color="darkred">INBOX</font> должно совпадать с расположением хранилища почты, указанном в ''Postfix''.<br />
<br />
Если у вас на почтовом сервере запущен брандмауэр, нужно также открыть порт POP3 (110/tcp).<br />
<br />
Теперь мы готовы к запуску сервиса:<br />
<code><br />
# service dovecot start<br />
</code><br />
<br />
Пора тестировать. На клиенте, в настройках MUA мне необходимо установить для приема почты использование протокола POP и сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, затем задать имя '''<font color="darkred">anna</font>''' и отключить опции шифрования, предлагаемые MUA. Теперь я готов принять мои сообщения. В этом пункте мой MUA должен (надеюсь) запросить пароль '''<font color="darkred">anna</font>''', а мне необходимо предоставить пароль, который я задал, создавая ее учетную запись Linux на сервере. Если все пройдет гладко, вы должны увидеть ранее посланные письма появившимися во Входящих MUA. И если вы вернетесь на сервер, то обнаружите, что сообщения исчезли из хранилища <font color="darkred">anna</font>. Если опять ничего не выйдет, обратитесь ко врезке ''Решение проблем''.<br />
<br />
===Ура, оно работает!===<br />
<br />
Если вы дошли досюда, поздравляем! У вас появился работающий почтовый сервер. Как обычно, я создавал максимально простую конфигурацию, чтобы все поскорее заработало. Однако эта реализация подразумевает несколько допущений: во-первых, почтовый сервер обслуживает только один домен (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>), а во-вторых, все пользователи, желающие получать почту, имеют учетные записи Linux на почтовом сервере. Это последнее ограничение задается как со стороны локального агента доставки в ''Postfix'', так и ''Dovecot'', который, в своей конфигурации по умолчанию, требует действующей учетной записи Linux для аутентификации пользователей, для входа через POP и получения электронной почты. Отметим также, что в нашей конфигурации MTA (''Postfix'') не требуется аутентификации пользователя, в отличие от MAA (''Dovecot'').<br />
<br />
===Поддерживаем несколько доменов===<br />
<br />
В реальных условиях одной машине приходится быть почтовым сервером для множества доменов. Самый простой путь это обеспечить – добавить домены в параметр mydestination в '''/etc/Postfix/main.cf'''. Например, установка:<br />
<code><br />
mydestination = example.com example.org example.net <br />
</code><br />
велит Postfix принимать почту для трех указанных доменов. Конечно, если вы что-то поменяли в '''main.cf''', нужно заставить <font color="darkred">postfix</font> перечитать его:<br />
<code><br />
# service postfix reload<br />
</code><br />
<br />
Конечно, надо также обеспечить, чтобы MX-записи в DNS для всех трех доменов ссылались на сервер <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>. Однако эта методика имеет ограниченное применение, поскольку у всех доменов – общее пространство имен: так, почта на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>, <font color="blue">'''<nowiki>anna@example.org</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> будет в конце концов сохранена в одном и том же месте. И, конечно, Ане (и всем другим получателям почты) нужна учетная запись Linux на сервере.<br />
<br />
Более гибкое решение – использовать так называемые «виртуальные» почтовые домены. При таком способе каждый домен имеет отдельное пространство имен, и письма для <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> окажутся в разных хранилищах почты. Получателю также не требуется иметь системную учетную запись Linux. Но зато требуется чуть больше работы по настройке...<br />
<br />
Требуемые для этого строки в '''main.cf''' показаны в Листинге А ниже. Учтите, что номера строк проставлены только для удобства ссылки: в файле их нет.<br />
<br />
{{Врезка<br />
|Заголовок=Альтернативы<br />
|Содержание=Как всегда в Linux, существует несколько программных решений для построения почтового сервера. Для MTA вы можете использовать ''Postfix'', ''Exim'' или почтенный ''Sendmail''. ''Postfix'' – самый юный; он написан Вьетсе Венема <nowiki>[Wietse Venema]</nowiki> в 1999 году, имеет прекрасную репутацию по безопасности и служит MTA по умолчанию во многих текущих дистрибутивах Linux. Exim был разработан в 1995 году в Кембриджском университете Филипом Хейзелом <nowiki>[Philip Hazel]</nowiki>. ''Sendmail'' написан Эриком Оллманом <nowiki>[Eric Allman]</nowiki> в 1983 году; много лет он тянул на себе большинство интернет-почты, и стало почти обязательным ссылаться на него, как на «почтенный», хотя у него самый непонятный файл конфигурации по эту сторону Бетельгейзе. Для MAA тоже есть выбор. Это может быть IMAP-сервер ''Cyrus'', ''Courier'', ''qpopper'', инструментарий IMAP University of Washington, Dovecot и другие. Более подробный список и сравнение почтовых серверов вы можете найти на http://en.wikipedia.org/wiki/Comparison_of_mail_servers.<br />
|Ширина=200px}}<br />
<br />
===ЛИСТИНГ A===<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
virtual_mailbox_domains = example.com example.org example.net<br />
virtual_mailbox_base = /var/spool/vmail<br />
virtual_mailbox_maps = hash:/etc/Postfix/virtual_mailbox_map<br />
virtual_uid_maps = static:550<br />
virtual_gid_maps = static:101<br />
</source><br />
<br />
Строка 1 в ''Листинге А'' содержит список доменов, которые будут поддерживаться. Их надо удалить из параметра <font color="darkred">mydestination</font>, так как они теперь будут обрабатываться с использованием «виртуального» агента доставки ''Postfix'', и «локальный» агент им больше не нужен.<br />
<br />
Если список доменов по-настоящему большой, вы можете предпочесть поместить его в отдельный файл, например, '''/etc/postfix/virtual_domains''', по образцу:<br />
<code><br />
# list of virtual domains for postfix<br />
example.com<br />
example.net<br />
example.org<br />
# ... and lots more ...<br />
</code><br />
и ссылаться на этот файл через параметр <font color="darkred">virtual_mailbox_domains</font> в '''main.cf''':<br />
<code><br />
virtual_mailbox_domains = /etc/postfix/virtual_domains<br />
</code><br />
<br />
Аналогично, многие параметры в '''main.cf''' могут иметь список требуемых значений, помещенный в отдельный файл.<br />
<br />
Строка 2 в ''Листинге А'' задает директорию верхнего уровня, где должны сохраняться сообщения. Очевидно, надо выбрать схему, совместимую с нашими POP- и IMAP-серверами. Здесь выбрано одно из множества возможных решений.<br />
<br />
Создадим то, что ''Postfix'' называет «картой» – для отметки, где получатели почтовых адресов будут сохранять сообщения относительно заданного <font color="darkred">virtual_mailbox_base</font>. Я создал простую карту в файле, который назвал '''/etc/postfix/virtual_mailbox_map''':<br />
<code><br />
anna@example.com anna<br />
anna@example.net anna_smith<br />
chris@example.org cbrown<br />
</code><br />
<br />
Теперь, например, письмо, посланное на <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font>, будет сохранено в '''/var/spool/vmail/anna_smith'''; письмо, посланное на адрес <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>, «упадет» в '''/var/spool/vmail/cbrown''', и так далее. Заметьте, что здесь не требуется совпадения видимых снаружи имен пользователей (в нашем примере, '''<font color="darkred">anna</font>''' и '''<font color="darkred">chris</font>''') со внутренними именами (<font color="darkred">anna_smith</font> и </font color="darkred">cbrown</font>).<br />
<br />
Конвертируем этот файл в «карту», используя команду postmap:<br />
<code><br />
# postmap /etc/postfix/virtual_mailbox_map<br />
</code><br />
<br />
В результате появится файл '''virtual_mailbox_map.db'''. Карта, в данном случае, просто вид индексированной структуры данных, ключи которой могут быть эффективно просмотрены ''Postfix''. ''Postfix'' поддерживает несколько типов «карт»; по умолчанию это обычно «хэш».<br />
<br />
Далее, в строке 3 ''Листинга А'', вы сообщаете ''Postfix'', где находится карта.<br />
<br />
''Postfix'' нуждается в отождествлении пользователя, используемом для доставки сообщения в хранилище. Возможно задание нескольких карт (<font color="darkred">uid_map</font> и <font color="darkred">gid_map</font>), определяющих отдельные отождествления для всех и каждого получателя, но мы сделаем проще и используем одну и ту же личность для всех получателей. Я создал пользователя с именем '''<font color="darkred">postmanpat</font>''' для этой цели.<br />
<code><br />
# useradd -d /var/spool/vmail -g postdrop -u 550 -m postmanpat<br />
</code><br />
<br />
Отметим, что домашняя директория '''<font color="darkred">postmanpat</font>''' находится в моей выбранной директории '''virtual_ mailbox_base'''. Далее я смягчил права доступа в '''/var/spool/vmail''', чтобы Dovecot мог ей воспользоваться.<br />
<code><br />
# chmod 755 /var/spool/vmail<br />
</code><br />
<br />
Нет необходимости предварительно создавать файл сохраненных сообщений для индивидуальных получателей – ''Postfix'' сделает это по требованию. Наконец, строки 4 и 5 Листинга А задают тождество пользователя и группы, которые ''Postfix'' будет использовать для помещения сообщений в хранилище. Они соответствуют ID пользователя <font color="darkred">postmanpat</font> и группы <font color="darkred">postdrop</font>.<br />
<br />
После внесения данных изменений та часть, за которую отвечает ''Postfix'', должна работать. Возвратитесь к клиентской машине и пошлите тестовое сообщение на <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>. На сервере проверьте, что это сообщение появилось в '''/var/spool/vmail/cbrown'''. Если да, то доставка ''Postfix'' на виртуальные почтовые домены работает!<br />
<br />
На стороне ''Dovecot'' я просто изменил определение параметра <font color="darkred">mail_location</font> на следующее:<br />
<code><br />
mail_location = mbox:~/mail:INBOX=/var/spool/vmail/%n<br />
</code><br />
<br />
===Продолжение следует===<br />
<br />
Пока мы не касались аутентификации POP3 при входе в ''Dovecot''. В текущем состоянии, чтобы Dovecot заработал, вам необходимо создать очередные учетные записи Linux пользователям anna, anna_smith и cbrown, для новой аутентификации ''Dovecot''. Чтобы виртуальные домены применялись правильно, необходимо рассмотреть вопрос об аутентификации учетных записей POP3 через базу данных пользователей, не зависящую от учетных записей Linux. На данном уроке уже подпущено достаточно ежей под череп, но в следующем номере ''Linux Format'' я попытаюсь решить вопрос об аутентификации внутри почтовых систем и в ''Postfix'' и в ''Dovecot''. Пишите на [[mailto://answers@linuxformat.ru|answers@linuxformat.ru]], если у вас возникнут проблемы с вашим почтовым сервером. '''LXF'''<br />
<br />
----<br />
<br />
===Решение проблем (врезка)===<br />
<br />
[[Изображение:LXF103_68_1.png|thumb|300px|Пример использования команды telnet.]]<br />
<br />
Если вы не можете передать и принять почту, используя ваш почтовый сервер, попробуйте проверить следующее:<br />
<br />
1. На клиенте проверьте, что почтовый сервер пингуется по его IP-адресу и имени, используя команды:<br />
<code><br />
# ping 192.168.0.41<br />
# ping mail.example.com<br />
</code><br />
(Естественно, подставьте сюда IP-адреc вашего сервера.)<br />
<br />
2. На сервере проверьте, что серверы SMTP и POP слушают соединения, используя команду<br />
<code><br />
# netstat -at<br />
</code><br />
<br />
Вы должны увидеть LISTEN в конце информации о портах SMTP и POP3.<br />
<br />
3. На клиенте, попробуйте использовать telnet для соединения с портом 25 на почтовом сервере, используя команду:<br />
<code><br />
# telnet mail.example.com 25<br />
</code><br />
<br />
Вы должны получить отклик с сервера типа такого:<br />
<code><br />
220 mail.example.com ESMTP Postfix<br />
</code><br />
<br />
Если вы знакомы с SMTP-протоколом, можете вести полный SMTP-диалог вручную и по-настоящему отправить почтовое сообщение. См. экранный снимок справа с примером такого диалога.<br />
<br />
4. На сервере проверьте, что брандмауэр не блокирует доступ к портам 25 (SMTP) и 110 (POP3), используя команду:<br />
<code><br />
# iptables -L<br />
</code><br />
<br />
Если вы не уверены, отключите брандмауэр командой:<br />
<code><br />
# itables -F<br />
</code><br />
и попробуйте снова. Не забудьте потом восстановить работоспособность брандмауэра.<br />
<br />
5. На сервере поищите разгадку в системных журналах почты (обычно /var/log/maillog).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103:Hardcore_LinuxLXF103:Hardcore Linux2009-03-28T22:22:12Z<p>Kipruss: /* Продолжение следует */</p>
<hr />
<div>==Почта: собери свой сервер==<br />
<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний '''д-ра Криса Брауна''' рассеет тьму невежества.<br />
<br />
Чтобы вы могли представить, с чем вообще едят почтовый сервер, взгляните на '''Рис. 1''': там показана схема доставки почты в Интернете.<br />
<br />
[[Изображение:LXF103_67_1.png|thumb|300px|Рис. 1: Один день из жизни почтового сообщения.]]<br />
<br />
Проследим продвижение почтового сообщения на его пути через Интернет от отправителя к получателю и разберемся, как все компоненты работают совместно. Пусть Маша сидит за своим компьютером и составляет электронное послание, используя почтовый клиент (Mail User Agent – MUA). В мире Linux клиент Маши будет чем-то вроде ''Evolution'' или ''KMail''. Она пишет своей маме Ане, электронный адрес которой '''<nowiki>anna@example.com</nowiki>'''. Когда Маша нажимает кнопку Послать, ее MUA соединяется с Mail Transport Agent (MTA – почтовым транспортным агентом), на который Маша настроила свой MUA для отправки почты. Обычно MTA предоставляется Маше ее интернет-провайдером (ISP). MUA и MTA говорят друг с другом на языке протокола SMTP (Simple Mail Transfer Protocol – простой протокол передачи почты), организовывая доставку сообщений. В ходе этого диалога MUA определяет получателя сообщения и передает текст письма.<br />
<br />
MTA отвечает за «дальнюю перевозку» сообщения. Он сделает запрос к DNS (Domain Name System, системе доменных имен) на поиск записи MX (Mail Exchanger), которая скажет ему, какая машина действует как почтовый сервер для домена '''<nowiki>example.com</nowiki>''', где расположен Анин почтовый ящик. Из этого запроса он может узнать, что почтовый сервер, допустим, '''<nowiki>mail.example.com</nowiki>'''. MTA Маши теперь соединяется с MTA на '''<nowiki>mail.example.com</nowiki>''', снова использует SMTP для указания получателя письма и передает тело сообщения. Принимающий MTA проверяет, что он и вправду почтовый сервер для домена получателя, а потом уж дает согласие на прием. Если все проходит нормально, принимающий MTA передает сообщение MDA (Mail Delivery Agent – почтовому агенту доставки), который сохраняет сообщение в хранилище сообщений (оно находится в файловой системе почтового сервера). Для этого сообщения работа MTA выполнена.<br />
<br />
Аня проводит выходные с дядей Васей, помогая ему разбирать чердак, и не может в эти дни читать почту. Но когда она доберется до компьютера, ее почтовый клиент соединится с Mail Access Agent (MAA – агентом доступа к почте) на ее почтовом сервере <font color="blue">'''<nowiki>example.com</nowiki>'''</font> для проверки почты, которую MTA ее домена сохранил в ее хранилище. Ее MUA может использовать для этого один или два протокола. Чаще всего это Post Office Protocol (POP3 – почтовый протокол) версии 3. POP – это протокол, который скачивает почту с почтового сервера, затем (как правило) удаляет ее с сервера и оставляет ее на клиенте (компьютере в Аниной квартире), обеспечивая долговременное хранение сообщения. Но если Аня работает в корпорации Example.Com, данное учреждение может иметь почтовый сервер, работающий по протоколу IMAP4. IMAP расшифровывается как Internet Message Access Protocol [интернетпротокол доступа к сообщениям]; он позволяет Аниному MUA получать доступ к ее почтовому архиву, но долговременное хранение писем происходит на сервере (хотя некоторые MUA поддерживают локальные копии). Благодаря IMAP можно подключаться к серверу с любого компьютера с IMAP-клиентом и видеть весь почтовый архив – а вот если бы вы читали почту, используя POP на разных машинах, то в итоге ваши письма были бы раскиданы по этим машинам, что я знаю по своему горькому опыту.<br />
<br />
Наш почтовый сервер изображен на Рисунке 1 как большой серый квадрат в правом верхнем углу. В реальности необходимы два компьютера – один для почтового сервера, другой для клиента. Возьмем ''Postfix'' как SMTP-сервер и ''Dovecot'' как почтовый POP3-сервер. На почтовом сервере моя основная ОС – CentOS 5 (CentOS – это клон Red Hat Enterprise Linux), но конфигурация и операции с ''Postfix'' и ''Dovecot'' не зависят от используемого дистрибутива Linux. Клиентская машина может быть любой. В моем случае на ней Ubuntu 7.04 с ''Evolution'' в качестве MUA.<br />
<br />
===Начнем: Mail Transfer Agent===<br />
<br />
Сперва мы установим ''Postfix''. Но предварительно проверим: вдруг ''Sendmail'' уже установлен и запущен. На системах типа Red Hat это могут сделать следующие команды:<br />
<code><br />
# rpm -q sendmail<br />
# service sendmail status<br />
</code><br />
<br />
Если ''Sendmail'' запущен, надо его остановить и позаботиться, чтобы он не запустился после перезагрузки:<br />
<code><br />
# service sendmail stop<br />
# chkconfig sendmail --del<br />
</code><br />
<br />
При наличии на вашей машине включенного брандмауэра, вы должны открыть порт для SMTP (tcp/25).<br />
<br />
Моя собственная установка ''Postfix'' споткнулась, обнаружив отсутствие административной группы под названием <font color="darkred">postdrop</font>. То есть до установки пакетов нужно было создать эту группу:<br />
<code><br />
# groupadd -r postdrop<br />
# yum install postfix<br />
</code><br />
<br />
Возможно, эта проблема касается только моего дистрибутива, и на вашей системе такого не произойдет.<br />
<br />
Для обеспечения запуска сервиса ''Postfix'' при загрузке, запустите команду<br />
<code><br />
# chkconfig --add postfix<br />
</code><br />
<br />
Файл настройки ''Postfix'' – '''/etc/postfix/main.cf'''. Фактически, ''Postfix'' должен заработать «из коробки» как простой почтовый сервер с минимальной доработкой готовой конфигурации, но есть несколько параметров, требующих внимания. Так, строку в '''main.cf'''<br />
<code><br />
inet_interfaces = localhost<br />
</code><br />
нужно заменить на<br />
<code><br />
inet_interfaces = all<br />
</code><br />
<br />
Это мы велим ''Postfix'' слушать SMTP соединения на всех сетевых интерфейсах машины, а не только на локальном (localhost).<br />
<br />
Далее проверим установки параметра <font color="darkred">myhostname</font>. Он определяет FQDN этой почтовой системы. Если он не определен, то по умолчанию берется имя хоста машины, на которой запущен сервер, возвращаемое командой <font color="darkred">hostname</font>. Так, если ваш хост – <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, это имя и будет принято по умолчанию.<br />
<br />
Наконец, параметр <font color="darkred">mydestination</font> задает список доменов, которые эта машина считает для себя пунктом назначения (то есть домены, для которых машина сохраняет сообщения). Минимальное значение этого параметра должно походить на следующее:<br />
<code><br />
mydestination = example.com<br />
</code><br />
<br />
Установив все эти параметры, можно запускать ''Postfix''. На RedHat-совместимых системах это делается командой<br />
<code><br />
# service postfix start<br />
</code><br />
<br />
Далее, я создал учетную запись для пользователя <font color="darkred">anna</font> и установил пароль:<br />
<code><br />
# useradd anna<br />
# passwd anna<br />
</code><br />
<br />
Без них не обойтись, потому что «локальный» агент доставки почты в ''Postfix'' требует, чтобы получатель имел учетную запись в Linux-системе: по ней происходит аутентификация в ''Dovecot'' (который мы рассмотрим чуть позже).<br />
<br />
Теперь у нас все готово для теста доставки почты в хранилище сообщений. На моей настольной системе с Ubuntu я создал запись в файле '''/etc/hosts''', возвращающую IP-адрес машины '''<nowiki>mail.example.com</nowiki>'''. В моем случае строка выглядела так:<br />
<code><br />
192.168.0.41 mail.example.com<br />
</code><br />
<br />
В реальности, почтовый сервер должен иметь DNS-запись, и вам не нужно задавать ее в '''/etc/hosts'''. Затем я сконфигурировал «учетную запись» в моем MUA (''Evolution'') на использование SMTP-сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font> для исходящих сообщений. Я включил эту учетную запись Evolution и отключил остальные. Затем я попытался послать несколько писем на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>.<br />
<br />
Сработало? Ну, тот факт, что письма исчезли из моих Исходящих [Outbox] в ''Evolution'', уже обнадеживал, но лучший способ проверки – найти сообщения сохраненными на почтовом сервере. Что выводит нас на ...<br />
<br />
===Хранилище сообщений===<br />
<br />
Традиционный способ хранения сообщений на почтовом сервере известен как формат Mbox: для каждого пользователя хранится отдельный текстовый файл. Имя этого файла совпадает с именем учетной записи пользователя, чью почту он хранит, а каталог определяется параметром <font color="darkred">mail_spool_directory</font> настройки ''Postfix'' (обычно '''/var/spool/mail''' или '''/var/mail'''). Например, Анины сообщения могут заноситься в '''/var/spool/mail/anna'''. Внутри этого файла каждое сообщение начинается строкой с первым словом “<font color="darkred">From</font>” и заканчивается пустой строкой. (Вас может сбить с толку наличие в этом файле других строк, тоже начинающихся на “From:” – заметили двоеточие? Это часть заголовков сообщения.) Надеюсь, ''Postfix'' вписал мое тестовое сообщение в этот файл.<br />
<br />
Альтернативная схема хранения сообщений (также называемая форматом Maildir) использует отдельную директорию для каждого пользователя (обычно это поддиректория с названием '''maildir''' внутри домашнего каталога пользователя) и, внутри нее, отдельный файл для каждого сообщения. При этом меньше шансов заблокировать или угробить все сообщения разом, чем в формате Mbox.<br />
<br />
Если посланное вами сообщение появилось в хранилище, пора перейти к нашему POP3-серверу. Если его нет, прочитайте советы во врезке ''Решение проблем'', внизу .<br />
<br />
===Установка и настройка Dovecot===<br />
<br />
На моей CentOS для установки ''Dovecot'' надо всего лишь скомандовать:<br />
<code><br />
# yum install dovecot<br />
</code><br />
<br />
Теперь нужно найти файл конфигурации ''Dovecot''. Обычно это '''/etc/dovecot.conf'''. Как типичный современный файл конфигурации, он довольно длинен (более 1000 строк), но почти целиком состоит из комментариев. Как оказалось, мне нужно было изменить две строчки; одна задает протокол(ы), которые должен обслуживать ''Dovecot'', а вторая говорит, где находятся файлы почтового ящика. Эти два параметра я изменил так:<br />
<code><br />
protocols = pop3<br />
mail_location = mbox:~/mail:INBOX=/var/spool/mail/%n<br />
</code><br />
<br />
Первая строка говорит, что мы будем использовать только протокол POP3. Во второй строке, установка <font color="darkred">INBOX</font> использует специальный параметр <font color="darkred">%n</font> для замены именем пользователя, под которым мы зашли проверить почту (в нашем примере – “<font color="darkred">anna</font>”). Заметим, что значение параметра <font color="darkred">INBOX</font> должно совпадать с расположением хранилища почты, указанном в ''Postfix''.<br />
<br />
Если у вас на почтовом сервере запущен брандмауэр, нужно также открыть порт POP3 (110/tcp).<br />
<br />
Теперь мы готовы к запуску сервиса:<br />
<code><br />
# service dovecot start<br />
</code><br />
<br />
Пора тестировать. На клиенте, в настройках MUA мне необходимо установить для приема почты использование протокола POP и сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, затем задать имя '''<font color="darkred">anna</font>''' и отключить опции шифрования, предлагаемые MUA. Теперь я готов принять мои сообщения. В этом пункте мой MUA должен (надеюсь) запросить пароль '''<font color="darkred">anna</font>''', а мне необходимо предоставить пароль, который я задал, создавая ее учетную запись Linux на сервере. Если все пройдет гладко, вы должны увидеть ранее посланные письма появившимися во Входящих MUA. И если вы вернетесь на сервер, то обнаружите, что сообщения исчезли из хранилища <font color="darkred">anna</font>. Если опять ничего не выйдет, обратитесь ко врезке ''Решение проблем''.<br />
<br />
===Ура, оно работает!===<br />
<br />
Если вы дошли досюда, поздравляем! У вас появился работающий почтовый сервер. Как обычно, я создавал максимально простую конфигурацию, чтобы все поскорее заработало. Однако эта реализация подразумевает несколько допущений: во-первых, почтовый сервер обслуживает только один домен (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>), а во-вторых, все пользователи, желающие получать почту, имеют учетные записи Linux на почтовом сервере. Это последнее ограничение задается как со стороны локального агента доставки в ''Postfix'', так и ''Dovecot'', который, в своей конфигурации по умолчанию, требует действующей учетной записи Linux для аутентификации пользователей, для входа через POP и получения электронной почты. Отметим также, что в нашей конфигурации MTA (''Postfix'') не требуется аутентификации пользователя, в отличие от MAA (''Dovecot'').<br />
<br />
===Поддерживаем несколько доменов===<br />
<br />
В реальных условиях одной машине приходится быть почтовым сервером для множества доменов. Самый простой путь это обеспечить – добавить домены в параметр mydestination в '''/etc/Postfix/main.cf'''. Например, установка:<br />
<code><br />
mydestination = example.com example.org example.net <br />
</code><br />
велит Postfix принимать почту для трех указанных доменов. Конечно, если вы что-то поменяли в '''main.cf''', нужно заставить <font color="darkred">postfix</font> перечитать его:<br />
<code><br />
# service postfix reload<br />
</code><br />
<br />
Конечно, надо также обеспечить, чтобы MX-записи в DNS для всех трех доменов ссылались на сервер <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>. Однако эта методика имеет ограниченное применение, поскольку у всех доменов – общее пространство имен: так, почта на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>, <font color="blue">'''<nowiki>anna@example.org</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> будет в конце концов сохранена в одном и том же месте. И, конечно, Ане (и всем другим получателям почты) нужна учетная запись Linux на сервере.<br />
<br />
Более гибкое решение – использовать так называемые «виртуальные» почтовые домены. При таком способе каждый домен имеет отдельное пространство имен, и письма для <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> окажутся в разных хранилищах почты. Получателю также не требуется иметь системную учетную запись Linux. Но зато требуется чуть больше работы по настройке...<br />
<br />
Требуемые для этого строки в '''main.cf''' показаны в Листинге А ниже. Учтите, что номера строк проставлены только для удобства ссылки: в файле их нет.<br />
<br />
{{Врезка<br />
|Заголовок=Альтернативы<br />
|Содержание=Как всегда в Linux, существует несколько программных решений для построения почтового сервера. Для MTA вы можете использовать ''Postfix'', ''Exim'' или почтенный ''Sendmail''. ''Postfix'' – самый юный; он написан Вьетсе Венема <nowiki>[Wietse Venema]</nowiki> в 1999 году, имеет прекрасную репутацию по безопасности и служит MTA по умолчанию во многих текущих дистрибутивах Linux. Exim был разработан в 1995 году в Кембриджском университете Филипом Хейзелом <nowiki>[Philip Hazel]</nowiki>. ''Sendmail'' написан Эриком Оллманом <nowiki>[Eric Allman]</nowiki> в 1983 году; много лет он тянул на себе большинство интернет-почты, и стало почти обязательным ссылаться на него, как на «почтенный», хотя у него самый непонятный файл конфигурации по эту сторону Бетельгейзе. Для MAA тоже есть выбор. Это может быть IMAP-сервер ''Cyrus'', ''Courier'', ''qpopper'', инструментарий IMAP University of Washington, Dovecot и другие. Более подробный список и сравнение почтовых серверов вы можете найти на http://en.wikipedia.org/wiki/Comparison_of_mail_servers.<br />
|Ширина=200px}}<br />
<br />
===ЛИСТИНГ A===<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
virtual_mailbox_domains = example.com example.org example.net<br />
virtual_mailbox_base = /var/spool/vmail<br />
virtual_mailbox_maps = hash:/etc/Postfix/virtual_mailbox_map<br />
virtual_uid_maps = static:550<br />
virtual_gid_maps = static:101<br />
</source><br />
<br />
Строка 1 в ''Листинге А'' содержит список доменов, которые будут поддерживаться. Их надо удалить из параметра <font color="darkred">mydestination</font>, так как они теперь будут обрабатываться с использованием «виртуального» агента доставки ''Postfix'', и «локальный» агент им больше не нужен.<br />
<br />
Если список доменов по-настоящему большой, вы можете предпочесть поместить его в отдельный файл, например, '''/etc/postfix/virtual_domains''', по образцу:<br />
<code><br />
# list of virtual domains for postfix<br />
example.com<br />
example.net<br />
example.org<br />
# ... and lots more ...<br />
</code><br />
и ссылаться на этот файл через параметр <font color="darkred">virtual_mailbox_domains</font> в '''main.cf''':<br />
<code><br />
virtual_mailbox_domains = /etc/postfix/virtual_domains<br />
</code><br />
<br />
Аналогично, многие параметры в '''main.cf''' могут иметь список требуемых значений, помещенный в отдельный файл.<br />
<br />
Строка 2 в ''Листинге А'' задает директорию верхнего уровня, где должны сохраняться сообщения. Очевидно, надо выбрать схему, совместимую с нашими POP- и IMAP-серверами. Здесь выбрано одно из множества возможных решений.<br />
<br />
Создадим то, что ''Postfix'' называет «картой» – для отметки, где получатели почтовых адресов будут сохранять сообщения относительно заданного <font color="darkred">virtual_mailbox_base</font>. Я создал простую карту в файле, который назвал '''/etc/postfix/virtual_mailbox_map''':<br />
<code><br />
anna@example.com anna<br />
anna@example.net anna_smith<br />
chris@example.org cbrown<br />
</code><br />
<br />
Теперь, например, письмо, посланное на <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font>, будет сохранено в '''/var/spool/vmail/anna_smith'''; письмо, посланное на адрес <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>, «упадет» в '''/var/spool/vmail/cbrown''', и так далее. Заметьте, что здесь не требуется совпадения видимых снаружи имен пользователей (в нашем примере, '''<font color="darkred">anna</font>''' и '''<font color="darkred">chris</font>''') со внутренними именами (<font color="darkred">anna_smith</font> и </font color="darkred">cbrown</font>).<br />
<br />
Конвертируем этот файл в «карту», используя команду postmap:<br />
<code><br />
# postmap /etc/postfix/virtual_mailbox_map<br />
</code><br />
<br />
В результате появится файл '''virtual_mailbox_map.db'''. Карта, в данном случае, просто вид индексированной структуры данных, ключи которой могут быть эффективно просмотрены ''Postfix''. ''Postfix'' поддерживает несколько типов «карт»; по умолчанию это обычно «хэш».<br />
<br />
Далее, в строке 3 ''Листинга А'', вы сообщаете ''Postfix'', где находится карта.<br />
<br />
''Postfix'' нуждается в отождествлении пользователя, используемом для доставки сообщения в хранилище. Возможно задание нескольких карт (<font color="darkred">uid_map</font> и <font color="darkred">gid_map</font>), определяющих отдельные отождествления для всех и каждого получателя, но мы сделаем проще и используем одну и ту же личность для всех получателей. Я создал пользователя с именем '''<font color="darkred">postmanpat</font>''' для этой цели.<br />
<code><br />
# useradd -d /var/spool/vmail -g postdrop -u 550 -m postmanpat<br />
</code><br />
<br />
Отметим, что домашняя директория '''<font color="darkred">postmanpat</font>''' находится в моей выбранной директории '''virtual_ mailbox_base'''. Далее я смягчил права доступа в '''/var/spool/vmail''', чтобы Dovecot мог ей воспользоваться.<br />
<code><br />
# chmod 755 /var/spool/vmail<br />
</code><br />
<br />
Нет необходимости предварительно создавать файл сохраненных сообщений для индивидуальных получателей – ''Postfix'' сделает это по требованию. Наконец, строки 4 и 5 Листинга А задают тождество пользователя и группы, которые ''Postfix'' будет использовать для помещения сообщений в хранилище. Они соответствуют ID пользователя <font color="darkred">postmanpat</font> и группы <font color="darkred">postdrop</font>.<br />
<br />
После внесения данных изменений та часть, за которую отвечает ''Postfix'', должна работать. Возвратитесь к клиентской машине и пошлите тестовое сообщение на <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>. На сервере проверьте, что это сообщение появилось в '''/var/spool/vmail/cbrown'''. Если да, то доставка ''Postfix'' на виртуальные почтовые домены работает!<br />
<br />
На стороне ''Dovecot'' я просто изменил определение параметра <font color="darkred">mail_location</font> на следующее:<br />
<code><br />
mail_location = mbox:~/mail:INBOX=/var/spool/vmail/%n<br />
</code><br />
<br />
===Продолжение следует===<br />
<br />
Пока мы не касались аутентификации POP3 при входе в ''Dovecot''. В текущем состоянии, чтобы Dovecot заработал, вам необходимо создать очередные учетные записи Linux пользователям anna, anna_smith и cbrown, для новой аутентификации ''Dovecot''. Чтобы виртуальные домены применялись правильно, необходимо рассмотреть вопрос об аутентификации учетных записей POP3 через базу данных пользователей, не зависящую от учетных записей Linux. На данном уроке уже подпущено достаточно ежей под череп, но в следующем номере ''Linux Format'' я попытаюсь решить вопрос об аутентификации внутри почтовых систем и в ''Postfix'' и в ''Dovecot''. Пишите на mailto://answers@linuxformat.ru, если у вас возникнут проблемы с вашим почтовым сервером. '''LXF'''<br />
<br />
----<br />
<br />
===Решение проблем (врезка)===<br />
<br />
[[Изображение:LXF103_68_1.png|thumb|300px|Пример использования команды telnet.]]<br />
<br />
Если вы не можете передать и принять почту, используя ваш почтовый сервер, попробуйте проверить следующее:<br />
<br />
1. На клиенте проверьте, что почтовый сервер пингуется по его IP-адресу и имени, используя команды:<br />
<code><br />
# ping 192.168.0.41<br />
# ping mail.example.com<br />
</code><br />
(Естественно, подставьте сюда IP-адреc вашего сервера.)<br />
<br />
2. На сервере проверьте, что серверы SMTP и POP слушают соединения, используя команду<br />
<code><br />
# netstat -at<br />
</code><br />
<br />
Вы должны увидеть LISTEN в конце информации о портах SMTP и POP3.<br />
<br />
3. На клиенте, попробуйте использовать telnet для соединения с портом 25 на почтовом сервере, используя команду:<br />
<code><br />
# telnet mail.example.com 25<br />
</code><br />
<br />
Вы должны получить отклик с сервера типа такого:<br />
<code><br />
220 mail.example.com ESMTP Postfix<br />
</code><br />
<br />
Если вы знакомы с SMTP-протоколом, можете вести полный SMTP-диалог вручную и по-настоящему отправить почтовое сообщение. См. экранный снимок справа с примером такого диалога.<br />
<br />
4. На сервере проверьте, что брандмауэр не блокирует доступ к портам 25 (SMTP) и 110 (POP3), используя команду:<br />
<code><br />
# iptables -L<br />
</code><br />
<br />
Если вы не уверены, отключите брандмауэр командой:<br />
<code><br />
# itables -F<br />
</code><br />
и попробуйте снова. Не забудьте потом восстановить работоспособность брандмауэра.<br />
<br />
5. На сервере поищите разгадку в системных журналах почты (обычно /var/log/maillog).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF103:Hardcore_LinuxLXF103:Hardcore Linux2009-03-28T22:19:45Z<p>Kipruss: викификация</p>
<hr />
<div>==Почта: собери свой сервер==<br />
<br />
Большинство людей пользуется электронной почтой, понятия не имея, как она работает. Светоч знаний '''д-ра Криса Брауна''' рассеет тьму невежества.<br />
<br />
Чтобы вы могли представить, с чем вообще едят почтовый сервер, взгляните на '''Рис. 1''': там показана схема доставки почты в Интернете.<br />
<br />
[[Изображение:LXF103_67_1.png|thumb|300px|Рис. 1: Один день из жизни почтового сообщения.]]<br />
<br />
Проследим продвижение почтового сообщения на его пути через Интернет от отправителя к получателю и разберемся, как все компоненты работают совместно. Пусть Маша сидит за своим компьютером и составляет электронное послание, используя почтовый клиент (Mail User Agent – MUA). В мире Linux клиент Маши будет чем-то вроде ''Evolution'' или ''KMail''. Она пишет своей маме Ане, электронный адрес которой '''<nowiki>anna@example.com</nowiki>'''. Когда Маша нажимает кнопку Послать, ее MUA соединяется с Mail Transport Agent (MTA – почтовым транспортным агентом), на который Маша настроила свой MUA для отправки почты. Обычно MTA предоставляется Маше ее интернет-провайдером (ISP). MUA и MTA говорят друг с другом на языке протокола SMTP (Simple Mail Transfer Protocol – простой протокол передачи почты), организовывая доставку сообщений. В ходе этого диалога MUA определяет получателя сообщения и передает текст письма.<br />
<br />
MTA отвечает за «дальнюю перевозку» сообщения. Он сделает запрос к DNS (Domain Name System, системе доменных имен) на поиск записи MX (Mail Exchanger), которая скажет ему, какая машина действует как почтовый сервер для домена '''<nowiki>example.com</nowiki>''', где расположен Анин почтовый ящик. Из этого запроса он может узнать, что почтовый сервер, допустим, '''<nowiki>mail.example.com</nowiki>'''. MTA Маши теперь соединяется с MTA на '''<nowiki>mail.example.com</nowiki>''', снова использует SMTP для указания получателя письма и передает тело сообщения. Принимающий MTA проверяет, что он и вправду почтовый сервер для домена получателя, а потом уж дает согласие на прием. Если все проходит нормально, принимающий MTA передает сообщение MDA (Mail Delivery Agent – почтовому агенту доставки), который сохраняет сообщение в хранилище сообщений (оно находится в файловой системе почтового сервера). Для этого сообщения работа MTA выполнена.<br />
<br />
Аня проводит выходные с дядей Васей, помогая ему разбирать чердак, и не может в эти дни читать почту. Но когда она доберется до компьютера, ее почтовый клиент соединится с Mail Access Agent (MAA – агентом доступа к почте) на ее почтовом сервере <font color="blue">'''<nowiki>example.com</nowiki>'''</font> для проверки почты, которую MTA ее домена сохранил в ее хранилище. Ее MUA может использовать для этого один или два протокола. Чаще всего это Post Office Protocol (POP3 – почтовый протокол) версии 3. POP – это протокол, который скачивает почту с почтового сервера, затем (как правило) удаляет ее с сервера и оставляет ее на клиенте (компьютере в Аниной квартире), обеспечивая долговременное хранение сообщения. Но если Аня работает в корпорации Example.Com, данное учреждение может иметь почтовый сервер, работающий по протоколу IMAP4. IMAP расшифровывается как Internet Message Access Protocol [интернетпротокол доступа к сообщениям]; он позволяет Аниному MUA получать доступ к ее почтовому архиву, но долговременное хранение писем происходит на сервере (хотя некоторые MUA поддерживают локальные копии). Благодаря IMAP можно подключаться к серверу с любого компьютера с IMAP-клиентом и видеть весь почтовый архив – а вот если бы вы читали почту, используя POP на разных машинах, то в итоге ваши письма были бы раскиданы по этим машинам, что я знаю по своему горькому опыту.<br />
<br />
Наш почтовый сервер изображен на Рисунке 1 как большой серый квадрат в правом верхнем углу. В реальности необходимы два компьютера – один для почтового сервера, другой для клиента. Возьмем ''Postfix'' как SMTP-сервер и ''Dovecot'' как почтовый POP3-сервер. На почтовом сервере моя основная ОС – CentOS 5 (CentOS – это клон Red Hat Enterprise Linux), но конфигурация и операции с ''Postfix'' и ''Dovecot'' не зависят от используемого дистрибутива Linux. Клиентская машина может быть любой. В моем случае на ней Ubuntu 7.04 с ''Evolution'' в качестве MUA.<br />
<br />
===Начнем: Mail Transfer Agent===<br />
<br />
Сперва мы установим ''Postfix''. Но предварительно проверим: вдруг ''Sendmail'' уже установлен и запущен. На системах типа Red Hat это могут сделать следующие команды:<br />
<code><br />
# rpm -q sendmail<br />
# service sendmail status<br />
</code><br />
<br />
Если ''Sendmail'' запущен, надо его остановить и позаботиться, чтобы он не запустился после перезагрузки:<br />
<code><br />
# service sendmail stop<br />
# chkconfig sendmail --del<br />
</code><br />
<br />
При наличии на вашей машине включенного брандмауэра, вы должны открыть порт для SMTP (tcp/25).<br />
<br />
Моя собственная установка ''Postfix'' споткнулась, обнаружив отсутствие административной группы под названием <font color="darkred">postdrop</font>. То есть до установки пакетов нужно было создать эту группу:<br />
<code><br />
# groupadd -r postdrop<br />
# yum install postfix<br />
</code><br />
<br />
Возможно, эта проблема касается только моего дистрибутива, и на вашей системе такого не произойдет.<br />
<br />
Для обеспечения запуска сервиса ''Postfix'' при загрузке, запустите команду<br />
<code><br />
# chkconfig --add postfix<br />
</code><br />
<br />
Файл настройки ''Postfix'' – '''/etc/postfix/main.cf'''. Фактически, ''Postfix'' должен заработать «из коробки» как простой почтовый сервер с минимальной доработкой готовой конфигурации, но есть несколько параметров, требующих внимания. Так, строку в '''main.cf'''<br />
<code><br />
inet_interfaces = localhost<br />
</code><br />
нужно заменить на<br />
<code><br />
inet_interfaces = all<br />
</code><br />
<br />
Это мы велим ''Postfix'' слушать SMTP соединения на всех сетевых интерфейсах машины, а не только на локальном (localhost).<br />
<br />
Далее проверим установки параметра <font color="darkred">myhostname</font>. Он определяет FQDN этой почтовой системы. Если он не определен, то по умолчанию берется имя хоста машины, на которой запущен сервер, возвращаемое командой <font color="darkred">hostname</font>. Так, если ваш хост – <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, это имя и будет принято по умолчанию.<br />
<br />
Наконец, параметр <font color="darkred">mydestination</font> задает список доменов, которые эта машина считает для себя пунктом назначения (то есть домены, для которых машина сохраняет сообщения). Минимальное значение этого параметра должно походить на следующее:<br />
<code><br />
mydestination = example.com<br />
</code><br />
<br />
Установив все эти параметры, можно запускать ''Postfix''. На RedHat-совместимых системах это делается командой<br />
<code><br />
# service postfix start<br />
</code><br />
<br />
Далее, я создал учетную запись для пользователя <font color="darkred">anna</font> и установил пароль:<br />
<code><br />
# useradd anna<br />
# passwd anna<br />
</code><br />
<br />
Без них не обойтись, потому что «локальный» агент доставки почты в ''Postfix'' требует, чтобы получатель имел учетную запись в Linux-системе: по ней происходит аутентификация в ''Dovecot'' (который мы рассмотрим чуть позже).<br />
<br />
Теперь у нас все готово для теста доставки почты в хранилище сообщений. На моей настольной системе с Ubuntu я создал запись в файле '''/etc/hosts''', возвращающую IP-адрес машины '''<nowiki>mail.example.com</nowiki>'''. В моем случае строка выглядела так:<br />
<code><br />
192.168.0.41 mail.example.com<br />
</code><br />
<br />
В реальности, почтовый сервер должен иметь DNS-запись, и вам не нужно задавать ее в '''/etc/hosts'''. Затем я сконфигурировал «учетную запись» в моем MUA (''Evolution'') на использование SMTP-сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font> для исходящих сообщений. Я включил эту учетную запись Evolution и отключил остальные. Затем я попытался послать несколько писем на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>.<br />
<br />
Сработало? Ну, тот факт, что письма исчезли из моих Исходящих [Outbox] в ''Evolution'', уже обнадеживал, но лучший способ проверки – найти сообщения сохраненными на почтовом сервере. Что выводит нас на ...<br />
<br />
===Хранилище сообщений===<br />
<br />
Традиционный способ хранения сообщений на почтовом сервере известен как формат Mbox: для каждого пользователя хранится отдельный текстовый файл. Имя этого файла совпадает с именем учетной записи пользователя, чью почту он хранит, а каталог определяется параметром <font color="darkred">mail_spool_directory</font> настройки ''Postfix'' (обычно '''/var/spool/mail''' или '''/var/mail'''). Например, Анины сообщения могут заноситься в '''/var/spool/mail/anna'''. Внутри этого файла каждое сообщение начинается строкой с первым словом “<font color="darkred">From</font>” и заканчивается пустой строкой. (Вас может сбить с толку наличие в этом файле других строк, тоже начинающихся на “From:” – заметили двоеточие? Это часть заголовков сообщения.) Надеюсь, ''Postfix'' вписал мое тестовое сообщение в этот файл.<br />
<br />
Альтернативная схема хранения сообщений (также называемая форматом Maildir) использует отдельную директорию для каждого пользователя (обычно это поддиректория с названием '''maildir''' внутри домашнего каталога пользователя) и, внутри нее, отдельный файл для каждого сообщения. При этом меньше шансов заблокировать или угробить все сообщения разом, чем в формате Mbox.<br />
<br />
Если посланное вами сообщение появилось в хранилище, пора перейти к нашему POP3-серверу. Если его нет, прочитайте советы во врезке ''Решение проблем'', внизу .<br />
<br />
===Установка и настройка Dovecot===<br />
<br />
На моей CentOS для установки ''Dovecot'' надо всего лишь скомандовать:<br />
<code><br />
# yum install dovecot<br />
</code><br />
<br />
Теперь нужно найти файл конфигурации ''Dovecot''. Обычно это '''/etc/dovecot.conf'''. Как типичный современный файл конфигурации, он довольно длинен (более 1000 строк), но почти целиком состоит из комментариев. Как оказалось, мне нужно было изменить две строчки; одна задает протокол(ы), которые должен обслуживать ''Dovecot'', а вторая говорит, где находятся файлы почтового ящика. Эти два параметра я изменил так:<br />
<code><br />
protocols = pop3<br />
mail_location = mbox:~/mail:INBOX=/var/spool/mail/%n<br />
</code><br />
<br />
Первая строка говорит, что мы будем использовать только протокол POP3. Во второй строке, установка <font color="darkred">INBOX</font> использует специальный параметр <font color="darkred">%n</font> для замены именем пользователя, под которым мы зашли проверить почту (в нашем примере – “<font color="darkred">anna</font>”). Заметим, что значение параметра <font color="darkred">INBOX</font> должно совпадать с расположением хранилища почты, указанном в ''Postfix''.<br />
<br />
Если у вас на почтовом сервере запущен брандмауэр, нужно также открыть порт POP3 (110/tcp).<br />
<br />
Теперь мы готовы к запуску сервиса:<br />
<code><br />
# service dovecot start<br />
</code><br />
<br />
Пора тестировать. На клиенте, в настройках MUA мне необходимо установить для приема почты использование протокола POP и сервера <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>, затем задать имя '''<font color="darkred">anna</font>''' и отключить опции шифрования, предлагаемые MUA. Теперь я готов принять мои сообщения. В этом пункте мой MUA должен (надеюсь) запросить пароль '''<font color="darkred">anna</font>''', а мне необходимо предоставить пароль, который я задал, создавая ее учетную запись Linux на сервере. Если все пройдет гладко, вы должны увидеть ранее посланные письма появившимися во Входящих MUA. И если вы вернетесь на сервер, то обнаружите, что сообщения исчезли из хранилища <font color="darkred">anna</font>. Если опять ничего не выйдет, обратитесь ко врезке ''Решение проблем''.<br />
<br />
===Ура, оно работает!===<br />
<br />
Если вы дошли досюда, поздравляем! У вас появился работающий почтовый сервер. Как обычно, я создавал максимально простую конфигурацию, чтобы все поскорее заработало. Однако эта реализация подразумевает несколько допущений: во-первых, почтовый сервер обслуживает только один домен (<font color="blue">'''<nowiki>example.com</nowiki>'''</font>), а во-вторых, все пользователи, желающие получать почту, имеют учетные записи Linux на почтовом сервере. Это последнее ограничение задается как со стороны локального агента доставки в ''Postfix'', так и ''Dovecot'', который, в своей конфигурации по умолчанию, требует действующей учетной записи Linux для аутентификации пользователей, для входа через POP и получения электронной почты. Отметим также, что в нашей конфигурации MTA (''Postfix'') не требуется аутентификации пользователя, в отличие от MAA (''Dovecot'').<br />
<br />
===Поддерживаем несколько доменов===<br />
<br />
В реальных условиях одной машине приходится быть почтовым сервером для множества доменов. Самый простой путь это обеспечить – добавить домены в параметр mydestination в '''/etc/Postfix/main.cf'''. Например, установка:<br />
<code><br />
mydestination = example.com example.org example.net <br />
</code><br />
велит Postfix принимать почту для трех указанных доменов. Конечно, если вы что-то поменяли в '''main.cf''', нужно заставить <font color="darkred">postfix</font> перечитать его:<br />
<code><br />
# service postfix reload<br />
</code><br />
<br />
Конечно, надо также обеспечить, чтобы MX-записи в DNS для всех трех доменов ссылались на сервер <font color="blue">'''<nowiki>mail.example.com</nowiki>'''</font>. Однако эта методика имеет ограниченное применение, поскольку у всех доменов – общее пространство имен: так, почта на <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font>, <font color="blue">'''<nowiki>anna@example.org</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> будет в конце концов сохранена в одном и том же месте. И, конечно, Ане (и всем другим получателям почты) нужна учетная запись Linux на сервере.<br />
<br />
Более гибкое решение – использовать так называемые «виртуальные» почтовые домены. При таком способе каждый домен имеет отдельное пространство имен, и письма для <font color="blue">'''<nowiki>anna@example.com</nowiki>'''</font> и <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font> окажутся в разных хранилищах почты. Получателю также не требуется иметь системную учетную запись Linux. Но зато требуется чуть больше работы по настройке...<br />
<br />
Требуемые для этого строки в '''main.cf''' показаны в Листинге А ниже. Учтите, что номера строк проставлены только для удобства ссылки: в файле их нет.<br />
<br />
{{Врезка<br />
|Заголовок=Альтернативы<br />
|Содержание=Как всегда в Linux, существует несколько программных решений для построения почтового сервера. Для MTA вы можете использовать ''Postfix'', ''Exim'' или почтенный ''Sendmail''. ''Postfix'' – самый юный; он написан Вьетсе Венема <nowiki>[Wietse Venema]</nowiki> в 1999 году, имеет прекрасную репутацию по безопасности и служит MTA по умолчанию во многих текущих дистрибутивах Linux. Exim был разработан в 1995 году в Кембриджском университете Филипом Хейзелом <nowiki>[Philip Hazel]</nowiki>. ''Sendmail'' написан Эриком Оллманом <nowiki>[Eric Allman]</nowiki> в 1983 году; много лет он тянул на себе большинство интернет-почты, и стало почти обязательным ссылаться на него, как на «почтенный», хотя у него самый непонятный файл конфигурации по эту сторону Бетельгейзе. Для MAA тоже есть выбор. Это может быть IMAP-сервер ''Cyrus'', ''Courier'', ''qpopper'', инструментарий IMAP University of Washington, Dovecot и другие. Более подробный список и сравнение почтовых серверов вы можете найти на http://en.wikipedia.org/wiki/Comparison_of_mail_servers.<br />
|Ширина=200px}}<br />
<br />
===ЛИСТИНГ A===<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
virtual_mailbox_domains = example.com example.org example.net<br />
virtual_mailbox_base = /var/spool/vmail<br />
virtual_mailbox_maps = hash:/etc/Postfix/virtual_mailbox_map<br />
virtual_uid_maps = static:550<br />
virtual_gid_maps = static:101<br />
</source><br />
<br />
Строка 1 в ''Листинге А'' содержит список доменов, которые будут поддерживаться. Их надо удалить из параметра <font color="darkred">mydestination</font>, так как они теперь будут обрабатываться с использованием «виртуального» агента доставки ''Postfix'', и «локальный» агент им больше не нужен.<br />
<br />
Если список доменов по-настоящему большой, вы можете предпочесть поместить его в отдельный файл, например, '''/etc/postfix/virtual_domains''', по образцу:<br />
<code><br />
# list of virtual domains for postfix<br />
example.com<br />
example.net<br />
example.org<br />
# ... and lots more ...<br />
</code><br />
и ссылаться на этот файл через параметр <font color="darkred">virtual_mailbox_domains</font> в '''main.cf''':<br />
<code><br />
virtual_mailbox_domains = /etc/postfix/virtual_domains<br />
</code><br />
<br />
Аналогично, многие параметры в '''main.cf''' могут иметь список требуемых значений, помещенный в отдельный файл.<br />
<br />
Строка 2 в ''Листинге А'' задает директорию верхнего уровня, где должны сохраняться сообщения. Очевидно, надо выбрать схему, совместимую с нашими POP- и IMAP-серверами. Здесь выбрано одно из множества возможных решений.<br />
<br />
Создадим то, что ''Postfix'' называет «картой» – для отметки, где получатели почтовых адресов будут сохранять сообщения относительно заданного <font color="darkred">virtual_mailbox_base</font>. Я создал простую карту в файле, который назвал '''/etc/postfix/virtual_mailbox_map''':<br />
<code><br />
anna@example.com anna<br />
anna@example.net anna_smith<br />
chris@example.org cbrown<br />
</code><br />
<br />
Теперь, например, письмо, посланное на <font color="blue">'''<nowiki>anna@example.net</nowiki>'''</font>, будет сохранено в '''/var/spool/vmail/anna_smith'''; письмо, посланное на адрес <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>, «упадет» в '''/var/spool/vmail/cbrown''', и так далее. Заметьте, что здесь не требуется совпадения видимых снаружи имен пользователей (в нашем примере, '''<font color="darkred">anna</font>''' и '''<font color="darkred">chris</font>''') со внутренними именами (<font color="darkred">anna_smith</font> и </font color="darkred">cbrown</font>).<br />
<br />
Конвертируем этот файл в «карту», используя команду postmap:<br />
<code><br />
# postmap /etc/postfix/virtual_mailbox_map<br />
</code><br />
<br />
В результате появится файл '''virtual_mailbox_map.db'''. Карта, в данном случае, просто вид индексированной структуры данных, ключи которой могут быть эффективно просмотрены ''Postfix''. ''Postfix'' поддерживает несколько типов «карт»; по умолчанию это обычно «хэш».<br />
<br />
Далее, в строке 3 ''Листинга А'', вы сообщаете ''Postfix'', где находится карта.<br />
<br />
''Postfix'' нуждается в отождествлении пользователя, используемом для доставки сообщения в хранилище. Возможно задание нескольких карт (<font color="darkred">uid_map</font> и <font color="darkred">gid_map</font>), определяющих отдельные отождествления для всех и каждого получателя, но мы сделаем проще и используем одну и ту же личность для всех получателей. Я создал пользователя с именем '''<font color="darkred">postmanpat</font>''' для этой цели.<br />
<code><br />
# useradd -d /var/spool/vmail -g postdrop -u 550 -m postmanpat<br />
</code><br />
<br />
Отметим, что домашняя директория '''<font color="darkred">postmanpat</font>''' находится в моей выбранной директории '''virtual_ mailbox_base'''. Далее я смягчил права доступа в '''/var/spool/vmail''', чтобы Dovecot мог ей воспользоваться.<br />
<code><br />
# chmod 755 /var/spool/vmail<br />
</code><br />
<br />
Нет необходимости предварительно создавать файл сохраненных сообщений для индивидуальных получателей – ''Postfix'' сделает это по требованию. Наконец, строки 4 и 5 Листинга А задают тождество пользователя и группы, которые ''Postfix'' будет использовать для помещения сообщений в хранилище. Они соответствуют ID пользователя <font color="darkred">postmanpat</font> и группы <font color="darkred">postdrop</font>.<br />
<br />
После внесения данных изменений та часть, за которую отвечает ''Postfix'', должна работать. Возвратитесь к клиентской машине и пошлите тестовое сообщение на <font color="blue">'''<nowiki>chris@example.org</nowiki>'''</font>. На сервере проверьте, что это сообщение появилось в '''/var/spool/vmail/cbrown'''. Если да, то доставка ''Postfix'' на виртуальные почтовые домены работает!<br />
<br />
На стороне ''Dovecot'' я просто изменил определение параметра <font color="darkred">mail_location</font> на следующее:<br />
<code><br />
mail_location = mbox:~/mail:INBOX=/var/spool/vmail/%n<br />
</code><br />
<br />
===Продолжение следует===<br />
<br />
Пока мы не касались аутентификации POP3 при входе в ''Dovecot''. В текущем состоянии, чтобы Dovecot заработал, вам необходимо создать очередные учетные записи Linux пользователям anna, anna_smith и cbrown, для новой аутентификации ''Dovecot''. Чтобы виртуальные домены применялись правильно, необходимо рассмотреть вопрос об аутентификации учетных записей POP3 через базу данных пользователей, не зависящую от учетных записей Linux. На данном уроке уже подпущено достаточно ежей под череп, но в следующем номере ''Linux Format'' я попытаюсь решить вопрос об аутентификации внутри почтовых систем и в ''Postfix'' и в ''Dovecot''. Пишите на answers@linuxformat.ru, если у вас возникнут проблемы с вашим почтовым сервером. '''LXF'''<br />
<br />
----<br />
<br />
===Решение проблем (врезка)===<br />
<br />
[[Изображение:LXF103_68_1.png|thumb|300px|Пример использования команды telnet.]]<br />
<br />
Если вы не можете передать и принять почту, используя ваш почтовый сервер, попробуйте проверить следующее:<br />
<br />
1. На клиенте проверьте, что почтовый сервер пингуется по его IP-адресу и имени, используя команды:<br />
<code><br />
# ping 192.168.0.41<br />
# ping mail.example.com<br />
</code><br />
(Естественно, подставьте сюда IP-адреc вашего сервера.)<br />
<br />
2. На сервере проверьте, что серверы SMTP и POP слушают соединения, используя команду<br />
<code><br />
# netstat -at<br />
</code><br />
<br />
Вы должны увидеть LISTEN в конце информации о портах SMTP и POP3.<br />
<br />
3. На клиенте, попробуйте использовать telnet для соединения с портом 25 на почтовом сервере, используя команду:<br />
<code><br />
# telnet mail.example.com 25<br />
</code><br />
<br />
Вы должны получить отклик с сервера типа такого:<br />
<code><br />
220 mail.example.com ESMTP Postfix<br />
</code><br />
<br />
Если вы знакомы с SMTP-протоколом, можете вести полный SMTP-диалог вручную и по-настоящему отправить почтовое сообщение. См. экранный снимок справа с примером такого диалога.<br />
<br />
4. На сервере проверьте, что брандмауэр не блокирует доступ к портам 25 (SMTP) и 110 (POP3), используя команду:<br />
<code><br />
# iptables -L<br />
</code><br />
<br />
Если вы не уверены, отключите брандмауэр командой:<br />
<code><br />
# itables -F<br />
</code><br />
и попробуйте снова. Не забудьте потом восстановить работоспособность брандмауэра.<br />
<br />
5. На сервере поищите разгадку в системных журналах почты (обычно /var/log/maillog).<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF103_68_1.pngФайл:LXF103 68 1.png2009-03-28T21:26:08Z<p>Kipruss: Пример использования команды telnet</p>
<hr />
<div>Пример использования команды telnet</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF103_67_1.pngФайл:LXF103 67 1.png2009-03-28T20:58:51Z<p>Kipruss: Рис. 1: Один день из жизни почтового сообщения.</p>
<hr />
<div>Рис. 1: Один день из жизни почтового сообщения.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF102LXF1022009-03-07T21:54:54Z<p>Kipruss: дополнение</p>
<hr />
<div>=== Учебники ===<br />
<br />
* [[LXF102:Hardcore Linux|'''Hardcore Linux.''' Виртуальный сервер Linux.]]<br />
Строить сбалансированный по нагрузке кластер с LVS – отличный способ согреться в зимний день: не хуже, чем колоть дрова, уверяет д-р Крис Браун.<br />
* R: данные и графики<br />
[[Категория:Математические пакеты]]<br />
<br />
* [[LXF102:Кодирование DVD|DVD: уложиться в формат]]<br />
Что делать, если отснятый вами материал чуть-чуть не умещается на DVD-диск.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF102:Hardcore_LinuxLXF102:Hardcore Linux2009-03-07T21:50:29Z<p>Kipruss: викификация</p>
<hr />
<div>==Виртуальный сервер Linux==<br />
<br />
Строить сбалансированный по нагрузке кластер с LVS – отличный способ согреться<br />
в зимний день: не хуже, чем колоть дрова, уверяет '''д-р Крис Браун'''.<br />
<br />
<br />
Данный урок покажет вам, как создать сбалансированный по нагрузке кластер web-серверов, с масштабируемой производительностью, значительно превышающей возможности индивидуального сервера. Мы будем использовать программное обеспечение для кластеров от Red Hat, но основная функциональность, описанная в данном учебнике, основана на модуле виртуального сервера ядра Linux и не привязана к Red Hat.<br />
<br />
Если вы захотите последовать уроку «в натуре», вам потребуется как минимум четыре компьютера, как показано на рис. 1 (на следующей странице). Я понимаю, что для некоторых читателей такой проект будет практически недосягаемым, но, надеюсь, он пригодится как мысленный эксперимент, вроде того, что Шредингер проделывал со своим котом.<br />
<br />
Машина 1 – просто клиент, используемый для тестирования: ею может быть все, что имеет web-браузер. Я экспроприировал машину моей жены, на ней стоит Vista. Машина 2 – стенд для эксперимента. Она должна работать под Linux и, предпочтительно, иметь два сетевых интерфейса, как показано на рисунке. (Можно собрать кластер, используя всего одну сеть, но этот механизм не годится для промышленного применения и требует немного колдовства на уровне IP, чтобы заставить его работать.)<br />
<br />
Эта машина выполняет обязанности балансировщика нагрузки и маршрутизатора в кластере, и в документации LVS ее называют “director” <font color="blue">[активный маршрутизатор, – прим. пер.]</font>. В моем случае на машине 2 запущен CentOS5 (по сути, эквивалент RHEL5). Машины 3 и 4 – дополнительные серверы [в документации их называют «реальными»]; в принципе, вы можете использовать что-то вроде webсерверов. Я использовал пару ноутбуков, один с SUSE 10.3, второй с Ubuntu 7.04. На деле вам потребуется больше дополнительных серверов, но двух достаточно для получения результата.<br />
<br />
Вы, верно, недоумеваете, почему на всех четырех компьютеров я запустил разные ОС. Хороший вопрос – я сам часто его себе задаю! Увы, это просто факт из жизни тех из нас, кто зарабатывает на хлеб с Linux.<br />
<br />
===Как работает сбалансированный по нагрузке кластер===<br />
<br />
Машины клиентов посылают запрос (например, запрос на web-страницу HTTP GET) на публичный IP-адрес активного маршрутизатора (на рисунке, <font color="darkred">'''192.168.0.41'''</font>; для клиентов это адрес, по которому предоставляется услуга).<br />
<br />
Активный маршрутизатор выбирает один из реальных серверов для перенаправления запроса. Он перезаписывает IP-адрес назначения пакета на выбранный реальный сервер и перенаправляет пакет во внутреннюю сеть.<br />
<br />
Выбранный реальный сервер обрабатывает запрос и отсылает HTTP-ответ, который теоретически содержит запрошенную страницу. Этот ответ адресован клиентской машине (<font color="darkred">'''192.168.0.2'''</font>), но вначале он возвращается к активному маршрутизатору (<font color="darkred">'''10.0.0.1'''</font>), потому что тот сконфигурирован как шлюз по умолчанию для реальных серверов. Активный маршрутизатор меняет IP-адрес источника в пакете на свой публичный IP-адрес и посылает пакет обратно клиенту.<br />
<br />
Все эти трюки на уровне IP выполняются с помощью LVS-модуля ядра Linux. Активный маршрутизатор работает не просто в качестве обратного web-прокси, и команды типа <font color="darkred">netstat -ant</font> не покажут каких либо процессов уровня пользователя, прослушивающих 80 порт. Перезапись адреса – это разновидность NAT (Network Address Translation), позволяющая активному маршрутизатору маскироваться под реальный сервер, скрыв наличие внутренней сети, выполняющей реальную работу.<br />
<br />
===Балансируя нагрузку===<br />
<br />
Балансировка нагрузки – ключевая особенность LVS: благодаря ей, можно быть уверенным, что каждый реальный сервер получает примерно одинаковый объем работы. LVS имеет для этого несколько алгоритмов; мы упомянем четыре из них.<br />
<br />
* '''Циклическое распределение [round-robin scheduling]''' – самый простой алгоритм. Активный маршрутизатор просто работает по кругу, переходя снова на первый реальный сервер, когда исчерпает список. Этот метод хорошо подходит для тестирования, потому что позволяет легко проверить на работоспособность все реальные сервера, но он не самый лучший при промышленном применении.<br />
* '''Циклическое распределение с весовыми коэффициентами [weighted round-robin]''' – аналогично, но позволяет назначать для каждого реального сервера «вес», соответствующий его относительной скорости. Сервер с весовым коэффициентом «два» считается в два раза мощнее сервера с весовым коэффициентом «один», и может обработать в два раза больше запросов.<br />
* '''Минимум соединений [least-connection]''' – наименее нагруженный сервер отслеживается по количеству активных соединений, и запрос отправляется на сервер с наименьшей загрузкой.<br />
* '''Минимум соединений с весовыми коэффициентами [weighted least connection]''' также выполняет подсчет относительной производительности (весов) серверов. Этот метод хорош для производственных кластеров, потому что он прекрасно работает, когда запросы сильно различаются по времени их обработки и/или когда реальные сервера в кластере имеют различную мощность.<br />
<br />
Два последних метода динамические, то есть учитывают данные о текущей загрузке машин в кластере.<br />
<br />
[[Изображение:LXF102_73_1.png|thumb|300px|Рис. 1. Простой кластер со сбалансированной нагрузкой.]]<br />
<br />
===Инструменты для работы===<br />
<br />
Чтобы все это заработало, ядро поддерживает таблицу виртуального сервера, которая содержит, кроме прочего, IP-адреса реальных серверов. Для поддержания и просмотра этой таблицы используется инструмент командной строки ''ipvsadm''.<br />
<br />
Если ваше ядро (как большинство других современных ядер) собрано с поддержкой LVS, то ''ipvsadm'' – единственная программа, которую вы обязаны иметь, чтоб заставить LVS работать; однако есть другие инструменты, облегчающие жизнь. (Ситуация похожа на механизм пакетной фильтрации в ядре. В теории для управления им и создания межсетевого экрана нужна только утилита командной строки ''iptables'', на практике же большинство из нас использует для построения собственных правил фильтрации инструменты высокого уровня, часто графические). На данном уроке мы воспользуемся инструментами для кластеров от Red Hat, включая web-ориентированный инструмент настройки ''Piranha''.<br />
<br />
Основной недостаток конфигурации, показанной на '''рис. 1''' – активный маршрутизатор является единой точкой отказа в пределах кластера. Чтобы этого избежать, можно использовать в качестве активного маршрутизатора пару серверов (основной и резервный); используя обмен сообщениями heartbeat, резервный сервер может определить сбой основного сервера и взять на себя его работу.<br />
<br />
На нашем уроке я игнорирую эту проблему, отчасти потому, что о ней говорилось в прошлом месяце, а отчасти потому, что тогда нужно было бы пять машин для построения кластера, а у меня их только четыре! Отметим, что инструменты кластеризации от RedHat действительно включают функциональность для переключения с основного на резервный маршрутизаторы.<br />
<br />
===Настраиваем реальные сервера===<br />
<br />
Если вы хотите по-настоящему построить кластер, описанный на этом уроке, начните с реальных серверов. Это могут быть любые машины, имеющие web-сервер HTTP на 80-м порту; в моем случае на них был запущен Linux и ''Apache''.<br />
<br />
Нужно создать какие-нибудь данные в директории '''DocumentRoot''' на каждом сервере, и для тестирования было бы неплохо, чтобы на каждой машине эти данные были свои: тогда легко различить, какой сервер обрабатывает запрос в данный момент. Например, на реальном сервере 1 я создал файл '''proverb.html''', содержащий строку «<font color="darkred">Дорога ложка к обеду</font>». На сервере 2 строка была уже «<font color="darkred">Не зная броду, не суйся в воду</font>». Конечно, в реальных условиях нужно, наоборот, «синхронизировать» все реальные сервера, чтобы они хранили одно и то же содержимое – к этой проблеме мы вернемся позднее.<br />
<br />
Назначьте машинам реальные IP-адреса, предназначенные для внутренних сетей; в моем случае это <font color="darkred">'''10.0.0.2'''</font> и <font color="darkred">'''10.0.0.3'''</font>. Установите маршрутизацию по умолчанию на этих машинах на приватный IP-адрес активного маршрутизатора (<font color="darkred">'''10.0.0.1'''</font>).<br />
<br />
[[Изображение:LXF102_74_1.jpg|thumb|200px|Рис. 2. Конфигурирование виртуального сервера с Piranha.]]<br />
<br />
===Установка активного маршрутизатора===<br />
<br />
На активном маршрутизаторе начните с закачки и установки инструментов кластеризации Red Hat. В моем случае (вспомните, что я запустил на этой машине CentOS5) я просто использовал графический инструмент установки (''pirut'') для добавления пакетов ''ipvsadm'' и ''Piranha'' из репозитория CentOS5. Моим следующим шагом был запуск команды <font color="darkred">piranha-passwd</font> для установки пароля на инструмент конфигурации ''piranha'':<br />
<code><br />
# /etc/init.d/piranha-gui start<br />
</code><br />
<br />
[[Изображение:LXF102_74_2.jpg|thumb|200px|Рис. 3. Определяем реальные сервера.]]<br />
<br />
Этот сервис слушает порт 3636 и предоставляет web-интерфейс для конфигурирования инструментов кластеризации, так что после его запуска мне осталось набрать в браузере <font color="blue">'''<nowiki>http://localhost:3636</nowiki>'''</font> для доступа к нему. Далее мне нужно было зайти, используя имя пользователя <font color="darkred">piranha</font> и пароль, который я установил. После этого стали доступны четыре основных окна: <font color="darkblue">Control/Monitoring, Global Settings, Redundancy</font> и <font color="darkblue">Virtual Servers</font> (вы можете увидеть ссылку на них на '''рис. 3'''). Для начала зайдите в окно Virtual Servers и добавьте новый сервис. На '''рис. 2''' показана форма, которую вы должны заполнить. Среди прочего, вы должны задать имя сервиса, указать номер порта и интерфейс, через который он будет принимать пакеты, и выбрать алгоритм работы (для начального тестирования я выбрал <font color="darkblue">‘Round Robin’ [Циклическое распределение]</font>). Кликнув на ссылку <font color="darkblue">Real Server</font> вверху этой страницы, вы попадете на страницу, показанную на '''рис. 3'''. Здесь вы должны указать имя, IP-адрес и веса ваших реальных серверов.<br />
<br />
За кадром, большинство настроек, захваченных ''Piranha'', хранятся в файле конфигурации '''/etc/sysconfig/ha/lvs.cf'''. Другие инструменты кластеризации читают его; это обычный текстовый файл, и ник-<br />
<br />
то не запрещает вам редактировать его напрямую. Выполнив данную настройку, можно начинать. Запустите сервис кластеризации из командной строки:<br />
<code><br />
# /etc/init.d/pulse start<br />
</code><br />
<br />
(В реальности вы должны сделать этот сервис автоматически запускаемым при загрузке.)<br />
<br />
[[Изображение:LXF102_75_1.jpg|thumb|200px|Рис. 4. Экран управления и мониторинга Piranha.]]<br />
<br />
Теперь идите на экран управления/мониторинга ''Piranha'', как показано на '''рис. 4'''. Внимательно посмотрите на таблицу маршрутизации LVS. Вы должны увидеть записи о вашем виртуальном сервере (это строки, начинающиеся с <font color="darkred">TCP...</font>), а пониже – строки для каждого реального сервера. Ту же информацию можно добыть из командной строки, набрав<br />
<code><br />
# ipvsadm -L<br />
</code><br />
<br />
===Периодическая проверка здоровья===<br />
<br />
Также на экране управления/мониторинга есть таблица процессов LVS. Здесь вы можете увидеть множество «процессов-нянек». Они отвечают за проверку присутствия и работоспособности реальных серверов – по няньке на сервер. Их работа – периодически посылать простой запрос <font color="darkred">HTTP GET</font> и проверять ответ. Внимательно рассмотрев опции <font color="darkred">-s</font> и <font color="darkred">-x</font> для няньки, вы распознаете посылаемые и ожидаемые строки, используемые для теста. (Вы можете задать эти строки, как вам нравится, используя страницу <font color="darkblue">Virtual Servers > Monitoring Scripts Piranha.</font>)<br />
<br />
{{Врезка<br />
|Заголовок=Боитесь за узкие места?<br />
|Содержание=Так как весь входящий и исходящий трафик идет через активный маршрутизатор, вы, возможно, опасаетесь, что его производительность создаст узкое место. Но это маловероятно. Вспомните, что активный маршрутизатор выполняет только простые манипуляции над заголовками пакетов внутри ядра; даже скромная машина способна разобраться со 100-мегабитной сетью. Более вероятно, что узким местом будет ширина канала при доступе к сайту. Для более подробной информации об использовании старых ПК для задач типа сетевых, см. [[LXF102:Вторая_жизнь_старого_ПК|спецрепортаж этого месяца]]<br />
|Ширина=200px}}<br />
<br />
Просмотрев журнал доступа ''Apache'' на реальном сервере, вы увидите, что эти запросы выполняются каждые шесть секунд. Если нянька обнаружит, что ее сервер замолк, она вызовет ''ipvsadm'' для удаления записи о машине из таблицы маршрутизации LVS, и активный маршрутизатор не сможет пересылать запросы на эту машину. Нянька будет продолжать опрашивать сервер, и если он восстановится, она снова запустит ''ipvsadm'' для восстановления записи маршрутизации.<br />
<br />
Вы можете наблюдать такое поведение, отключив сетевой кабель от реального сервера (или просто остановив демон ''httpd'') и изучив таблицу маршрутизации LVS: окажется, что запись о вашем покойном сервере исчезла. Подключите сетевой кабель или перезапустите сервер, и запись возникнет снова. Будьте терпеливы: прежде чем эти изменения проявятся, может пройти 20 секунд, а то и больше.<br />
<br />
===Развязка===<br />
<br />
Если все в порядке, пора заняться клиентской машиной (под номером 1 на первом рисунке) и попробовать получить доступ к странице из браузера. В нашем примере, вы должны обратиться к <font color="blue">'''<nowiki>http://192.168.0.41/proverbs.html</nowiki>'''</font> и увидеть страницу с пословицей, хранящуюся на одном из ваших реальных серверов. Обновившись, вы увидите страницу с другой пословицей со следующего сервера в циклическом порядке. Можете также проверить поведение циклического распределения, изучив журнал доступа Apache на каждом реальном сервере. (Вглядевшись в записи журнала, вы увидите, что доступ был с <font color="darkred">'''192.168.0.2'''</font>, а няня запрашивала состояние с <font color="darkred">'''10.0.0.1'''</font>.) Если все заработало, поздравляю! Вы только что построили свой первый сбалансированный по нагрузке Linux-кластер.<br />
<br />
===Постскриптум===<br />
<br />
Давайте сделаем паузу и выясним, что мы изучили на двух наших уроках. Мы увидели, как построить отказоустойчивое кластерное решение, добавляющее лишнюю девятку к коэффициенту доступности вашего сервиса (например, с доступности 99.9% до 99.99%); и увидели, как построить сбалансированный по нагрузке кластер, превышающий по производительности индивидуальный web-сервер. В обоих случаях мы использовали свободное, открытое ПО, запускаемое на свободной открытой ОС. Иногда я представляю, что именно об этом думает Стив Балмер на сон грядущий; и всякий раз мне чертовски приятно. '''LXF'''<br />
<br />
----<br />
<br />
===Если он не работает... (врезка)===<br />
<br />
Не исключено, что ваш кластер с первой попытки не заработает. У вас есть несколько вариантов выхода из этого положения. Первый – швырнуть один из ноутбуков через всю комнату и проклясть Microsoft.<br />
<br />
Это, конечно, не конструктивная мера, хотя бы вы и почувствовали себя лучше. И Microsoft обвинять не за что, потому что мы не пользуемся никаким ее программным обеспечением. Второй вариант – сделать несколько глубоких вдохов, успокоиться и провести серию диагностических тестов.<br />
<br />
Первым делом неплохо проверить соединение с LVS-машиной, используя старый добрый ''ping''. Сперва убедитесь, что пингуется ваша тестовая машина (<font color="darkred">'''192.168.0.2'''</font>). Затем проверьте доступность обоих реальных серверов (<font color="darkred">'''10.0.0.2'''</font> и <font color="darkred">'''10.0.0.3'''</font>). Если это не работает, запустите <font color="darkred">ifconfig -a</font> и убедитесь, что '''eth0''' имеет IP-адрес <font color="darkred">'''192.168.0.41'''</font>, а '''eth1''' – <font color="darkred">'''10.0.0.1'''</font>.<br />
<br />
Также запустите <font color="darkred">route -n</font> для проверки таблицы маршрутизации – убедитесь, что вы имеете маршруты к сетям <font color="darkred">'''192.168.0.0'''</font> и <font color="darkred">'''10.0.0.0'''</font> через соответствующие интерфейсы.<br />
<br />
Если ваши реальные серверы пингуются, запустите web-браузер на LVS-машине (исходя из того, что браузер установлен – вообще-то он там ни к чему). Убедитесь, что вы можете открыть URL <font color="blue">'''<nowiki>http://10.0.0.2</nowiki>'''</font> и <font color="blue">'''<nowiki>http://10.0.0.3</nowiki>'''</font> и видите содержимое web-страниц, хранящихся на этих серверах. (Если машины пингуются, но web-сервера недоступны, убедитесь, что они запущены на реальных серверах и эти сервера не имеют правил брандмауэра, запрещающих к ним доступ.)<br />
<br />
Нужно также внимательно проверить таблицу маршрутизации LVS, отображаемую на странице <font color="darkblue">Control/Monitoring</font> в ''Piranha'', и убедиться, что ваши реальные сервера там показаны. Если у вас опять ничего не вышло, проверьте, включена ли на LVS-машине маршрутизация IP-пакетов (IP-forwarding) – например, командой<br />
<code><br />
# cat /proc/sys/net/ipv4/ip_forward<br />
</code><br />
<br />
Если она вернет <font color="darkred">'''1'''</font>, то все прекрасно, а если <font color="darkred">'''0'''</font>, включайте функцию командой:<br />
<code><br />
# echo 1 > /proc/sys/net/ipv4/ip_forward<br />
</code><br />
<br />
Вы можете также проверить, настроено ли ваше ядро для работы с LVS. Если ваш дистрибутив содержит копию файла конфигурации, использованного при сборке ядра (с именем '''/boot/config-так-или-сяк'''), примените ''grep'' для поиска строки <font color="darkred">CONFIG_IP_VS</font> и убедитесь, что вы видите <font color="darkred">CONFIG_IP_VS=m</font> среди прочих. Вы также можете попробовать<br />
<code><br />
# lsmod | grep vs<br />
</code><br />
для проверки, что модуль ''ip_vs'' загружен. Если вы не можете найти доказательства поддержки виртуального сервера в ядре, придется перенастроить и пересобрать ядро; порядок действий при этом выходит за рамки данного урока.<br />
<br />
Если все тесты дают OK, но все еще ничего не работает, теперь уже можно шваркнуть одним из ноутбуков об стену. Кластер от этого не оживет, но зато станет ясно, что именно поломалось.<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF102_75_1.jpgФайл:LXF102 75 1.jpg2009-03-07T21:03:50Z<p>Kipruss: </p>
<hr />
<div>Рис. 4. Экран управления и мониторинга Piranha.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF102_75_1.jpgФайл:LXF102 75 1.jpg2009-03-07T21:03:38Z<p>Kipruss: Рис. 5. Экран управления и мониторинга Piranha.</p>
<hr />
<div>Рис. 5. Экран управления и мониторинга Piranha.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF102_74_2.jpgФайл:LXF102 74 2.jpg2009-03-07T20:55:59Z<p>Kipruss: Рис. 3. Определяем реальные сервера.</p>
<hr />
<div>Рис. 3. Определяем реальные сервера.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF102_74_1.jpgФайл:LXF102 74 1.jpg2009-03-07T20:55:31Z<p>Kipruss: Рис. 2. Конфигурирование виртуального сервера с Piranha.</p>
<hr />
<div>Рис. 2. Конфигурирование виртуального сервера с Piranha.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:LXF102_73_1.pngФайл:LXF102 73 1.png2009-03-07T20:38:37Z<p>Kipruss: Рис. 1. Простой кластер со сбалансированной нагрузкой.</p>
<hr />
<div>Рис. 1. Простой кластер со сбалансированной нагрузкой.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF98:Hardcore_LinuxLXF98:Hardcore Linux2009-03-07T20:23:02Z<p>Kipruss: /* Установка VirtualBox */</p>
<hr />
<div>==<font color=darkred>VirtualBox:</font> Windows в Ubuntu==<br />
<br />
''Запускайте приложения Microsoft под Linux в Ubuntu Feisty при помощи VirtualBox от Innotek и Windows XP – '''Джек Найт''' здесь на коне….''<br />
<br />
Требовалось ли вам когда-нибудь на вашей машине одно или несколько Windows-приложений для решения некоторой задачи? А может, у вас есть клиент, использующий Windows, и вам надо работать с документами ''MS Project'' или запускать непосредственно ''Outlook'' для совместного использования их календарей ''MS Exchange''? Один из выходов – двойная загрузка, другой – запуск Windows XP в качестве гостевой ОС на виртуальной машине (ВМ); но<br />
есть действительно классное решение – угадайте, какое? Бесплатное, по крайней мере для большинства из нас! ''VirtualBox'' от ''Innotek'' – удивительный продукт, и хотя я на самом деле не проверял его производительность, навскидку кажется, что он значительно превосходит и ''VMWare Workstation'', и ''Server''. Он располагает набором приятных функций и возможностью организовать сетевой мост через беспроводной адаптер ноутбука (нечто прежде немыслимое в ''VMWare'') – чем не продукт-конфетка?<br />
<br />
Innotek применяет дуальную схему лицензирования – существуют открытая и закрытая двоичная версии ''VirtualBox'' (последняя бесплатна для ознакомления или персонального использования). Более того, у Innonek весьма разумная политика лицензирования для малого бизнеса – по запросу о покупке коммерческих лицензий на две машины я был любезно извещен, что это относится к категории «бесплатно»! Уже в восторге? Ну, это только начало – а вот и убойный довод: при помощи этой штуки можно запускать отдельные приложения Windows на рабочем столе Linux, и они появятся как обычные окна Gnome, KDE (или другие) на вашем X-столе. Прибавьте сюда ''Beryl/Compiz'', и получите весьма впечатляющий инструмент. Качайте с [http://www.virtualbox.org www.virtualbox.org].<br />
<br />
Но как заставить все это работать? Что ж, понадобится кое-какая подгонка и на стороне Linux, и на стороне Windows – но результат стоящий, по крайней мере, по моему скромному мнению. В этой статье я проведу вас через настройку моста через беспроводной адаптер на ноутбуке, а продолжу настройкой двух типичных приложений, зависящих от Windows – ''MS Project'' и ''Outlook'', чтобы под Ubuntu Feisty они выглядели как родные.<br />
<br />
===План действий===<br />
<br />
Вот что мы проделаем на следующих страницах:<br />
<br />
*Кое-что подправим для устранения неприятностей с USB и DVD.<br />
*Создадим TAP-устройство на сетевом интерфейсе базовой машины (идеально для WLAN-интерфейса ноутбука).<br />
*Установим персональную/пробную версию ''VirtualBox'' от Innotek.<br />
*Создадим ВМ для Windows XP и настроим ее на использование сетевого TAP-устройства.<br />
*Установим Windows XP (самые общие моменты).<br />
*Настроим Windows XP со всеми тонкостями, для безупречной работы.<br />
*Настроим ''VirtualBox'' на работу без ручного вмешательства и автоматический старт.<br />
*Введем пункты меню для наших приложений-примеров.<br />
<br />
В детали установки гостевой ОС я вдаваться не буду: если кто не знает, как это сделать, описание найти легко. Зато приведу простой метод установки самого ''VirtualBox''.<br />
<br />
Лично я использую на этом уроке Ubuntu 7.04 (Feisty), но эти инструкции должны отлично работать для dapper или edgy, при мелких изменениях (например, замене всех вхождений слова «feisty» по смыслу). Они должны работать и в Kubuntu; правда, я еще не проделывал мои операции в KDE, чтобы разобраться с отличиями. Машину, где запущен VirtualBox, я буду называть HOST [хост], а запущенные в нем системы – GUEST [гость]. Предполагается, что вы можете запускать командную оболочку и использовать редактор для изменения текстовых файлов. Прежде чем продолжить, познакомьтесь со врезкой<br />
Избавляемся от неприятностей.<br />
<br />
===Настраиваем TAP-устройство===<br />
<br />
Нам нужно установить пакеты, а именно ''User Mode Linux Utilities'' и ''Proxy Arp Routing Daemon''. Для начала убедитесь, что подключен репозиторий '''universe''': в строке-меню Gnome выберите <font color=darkblue>Система > Администрирование > Источники приложений</font>, затем установите галочку <font color=darkblue>Свободное ПО, поддерживаемое сообществом</font> (<font color=darkblue>universe</font>). Теперь откройте терминал и введите:<br />
<source lang="bash"><br />
sudo apt-get install uml-utilities parprouted<br />
sudo chgrp vboxusers /dev/net/tun<br />
</source><br />
<br />
Теперь надо встроить TAP в сетевой адаптер хост-системы. Это особенно полезно для ноутбуков с беспроводными интерфейсами, поскольку WLAN-адаптер обычно получает IP-адрес через DHCP, но гостевая машина не может делать этого – как правило, несколько IP-адресов нельзя получить для того, что в сущности является клонированным интерфейсом. К тому же если беспроводной интерфейс использует защиту WPA, то появление интерфейса-клона, вероятно, заставит WAP<br />
(Wireless Access Point – точка беспроводного доступа) заподозрить, что компьютер под атакой. Итак, сделаем вот что: выявим неиспользованные подсети, выберем пару уникальных IP-адресов и присвоим один TAP-устройству, а другой гостевой машине. Неважно, что они фиксированы: адрес хост-машины будет динамическим, и они будут проходить через маскардинг. В итоге гостевая машина будет «просто работать», где бы вы ни получили WLAN-соединение для хоста.<br />
<br />
Проще всего создать скрипт для инициализации TAP-устройства и поддержки конфигурации сети. Вот мой вариант:<br />
<source lang="bash"><br />
#!/bin/bash<br />
# Имя: tapctrl<br />
# Использование: tapctrl start|stop<br />
# Обеспечивает: tap для virtualbox во внешней сети, включая беспроводные<br />
# Аннотация:<br />
# устанавливает tap-устройство для совместного использования интерфейса wifi с vbox<br />
# Описание: создает виртуальный tap-интерфейс, присваивает IP- адрес, настраивает iptables<br />
# для маскарадинга через устройство по умолчанию<br />
# и настраивает прокси arp с демоном parprouted для корректной маршрутизации<br />
# Автор: Jack Knight<br />
# - Open Source Migrations Ltd, UK (http://www.osml.co.uk)<br />
# Настраиваем переменные здесь:<br />
DESC="Virtualbox IP tap"<br />
PATH=/sbin:/bin:/usr/sbin:/usr/bin<br />
TUNDEVICE=tap1 # Произвольно, но должно соответствовать устройству, указанному в сетевых настройках VirtualBox.<br />
LANDEVICE=eth1 # Исправьте, чтобы соответствовало вашему сетевому устройству – может быть eth0, eth1 ath0, wlan1 и т. д.<br />
IPADDR=172.16.254.254 # Произвольно, но убедитесь, что вы взяли нечто из неиспользуемой подсети<br />
case "$1" in start|restart|force-reload)<br />
echo -n "Starting $DESC: "<br />
tunctl -t $TUNDEVICE -u $USER<br />
ip link set $TUNDEVICE up<br />
ip addr add $IPADDR dev $TUNDEVICE<br />
arp -Ds $IPADDR $TUNDEVICE pub<br />
iptables -t nat -A POSTROUTING -o $LANDEVICE -j MASQUERADE<br />
iptables -t nat -P POSTROUTING ACCEPT # Разрешаем работу других интерфейсов<br />
echo 1 > /proc/sys/net/ipv4/ip_forward<br />
echo 1 > /proc/sys/net/ipv4/conf/$TUNDEVICE/proxy_arp<br />
parprouted $LANDEVICE $TUNDEVICE<br />
;;<br />
stop)<br />
echo -n "Stopping $DESC: "<br />
iptables --table nat -F<br />
killall parprouted<br />
ip link set $TUNDEVICE down <br />
;;<br />
*)<br />
N=/etc/init.d/$NAME<br />
echo "Usage: $N start|stop" >&2<br />
exit 1<br />
;;<br />
esac<br />
exit 0<br />
</source><br />
<br />
Этот код есть на DVD; если кому-то нужно, у меня также есть более проработанный скрипт, работающий со многими пользователями, виртуальными машинами и устройствами и не опубликованный здесь ради простоты. Не стесняйтесь обращаться за ним ко мне по электронной почте через мой web-сайт.<br />
<br />
===Установка VirtualBox===<br />
<br />
К сожалению, поскольку на момент написания ''VirtualBox'' еще не попал в основные репозитории Ubuntu, перед установкой пакета придется добавить новый сторонний репозиторий от ''VirtualBox'':<br />
<source lang="bash"><br />
sudo sh -c 'echo "# VirtualBox репозиторий для Ubuntu Feisty Fawn<br />
deb http://www.virtualbox.org/debian feisty non-free" \<br />
> /etc/apt/sources.list.d/feisty-virtualbox.list'<br />
wget http://www.virtualbox.org/debian/innotek.asc -O- | sudo apt-key add -<br />
sudo apt-get update<br />
sudo apt-get -y install virtualbox<br />
</source><br />
<br />
===Настройка виртуальной машины===<br />
<br />
На хост-ситеме Ubuntu нам понадобится механизм совместного использования файлов мирами Linux и Windows. К счастью, ''VirtualBox'' имеет для этого встроенный механизм , так что Samba на хост-машине или NFS на обеих сторонах можно не устанавливать. Учтите: совместного использования вашего жесткого диска НЕ получится, пока вы не установите ''Vbox GuestAdditions'' в гостевой системе! При создании общих папок гостевая система должна быть выключена.<br />
<br />
Общие папки работают только в версии 1.3.8; в версию 1.4.0 вкралась ошибка! Если у вас та самая версия, и вы не хотите возиться с Samba ради совместного доступа, скачайте iso с [http://www.virtualbox.de/download/1.3.8/VBoxGuestAdditions_1.3.8.iso www.virtualbox.de/download/1.3.8/VBoxGuestAdditions_1.3.8.iso].<br />
<br />
Выключите ВМ, смените виртуальный '''cdrom''' на этот '''iso''' и перезапустите гостевую систему. Установите ''VirtualBoxGuest Additions'', и все должно заработать. Пока что я не слыхал о неприятностях, связанных с «не той» версией гостевых дополнений. Это должно вас временно выручить, до следующей версии, где Innotek, скорее всего, исправит эту ошибку.<br />
<br />
Для настройки на стороне хоста, с выключенной гостевой ОС, просто выберите вашу ВМ в окне ''VirtualBox Manager'' и нажмите <font color=darkblue>Свойства</font>, а затем <font color=darkblue>Общие папки</font> у нижнего края, как показано на экранном снимке справа, заполните два поля подходящими значениями и нажмите <font color=darkblue>OK</font>. Теперь запустите гостевую ОС и, открыв окно DOS, введите:<br />
<br />
net use E: \\vboxsvr\Shared_Folder<br />
<br />
и добавьте <font color=darkred>/Persistent:Yes</font> к этой команде, если хотите сохранить это при перезапуске. Внимание: не ошибитесь в написании <font color=darkred>vboxsvr</font> – это важно!<br />
<br />
Альтернативный метод – открыть окно ''Проводника'' Windows и выбрать <font color=darkblue>Сервис > Подключить сетевой диск</font>; вы увидите диалоговое окно, похожее на то, что справа. Тем же манером вставьте подходящие значения и нажмите <font color=darkblue>Готово</font>. Если все в порядке, то появится новое окно ''Проводника'' с содержимым каталога хост-машины.<br />
<br />
Далее включим RDP-протокол, чтобы разрешить удаленные сессии. Просто щелкните на флажке <font color=darkblue>Enable VRDP Server</font>, как показано в этой колонке ниже.<br />
<br />
===Настройка Windows XP===<br />
<br />
Следующие настройки в принципе могут работать и для других версий Windows, не XP, но я не берусь этого утверждать, поскольку не успел протестировать. Нам нужны такие настройки, чтобы наша установленная Windows выводила на экран только панель задач, но не рабочий стол. Для этого поковыряемся в реестре; но учтите, что в Windows XP SP2 доступ к рассматриваемым настройкам ограничен, и обычный пользователь не вправе изменять эту часть – поэтому сперва мы временно присвоим права администратора пользователю, который будет использовать сессию Windows.<br />
<br />
Войдите как «Администратор» (или любой другой пользователь с достаточными правами), затем перейдите в нужное место посредством <font color=darkblue>Пуск > Настройки > Панель управления > Пользователи</font> и щелкните на записи, которую хотите использовать для запуска Windows-программ. Щелкните на <font color=darkblue>Изменить тип учетной записи</font> и установите переключатель в <font color=darkblue>Администратор компьютера</font>, затем обратитесь к кнопке <font color=darkblue>Изменить тип учетной записи</font>. Теперь выйдите из-под администратора и войдите как ваш пользователь, запустите ''regedit32'' и найдите следующий ключ:<br />
<br />
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer<br />
<br />
Нам необходимо создать новое значение <font color=darkred>DWORD</font> с именем <font color=darkred>NoDesktop</font> и присвоить ему значение <font color=darkblue>1</font>, чтобы Windows отображала только приложение, которое мы хотим запустить, а не весь рабочий стол. Для этого выберите <font color=darkblue>Правка</font> в главном меню, далее <font color=darkblue>Создать и Параметр DWORD</font> и введите имя <font color=darkred>NoDesktop</font>, затем нажмите <font color=darkblue>Enter</font>. Ключ теперь должен быть выделен, поэтому нажмите вновь <font color=darkblue>Enter</font>, чтобы отредактировать его и установить его значение в <font color=darkred>1</font>. По завершении все<br />
должно выглядеть как на экранном снимке в конце этой колонки.<br />
<br />
Другой вариант – загрузка файла [http://www.osml.eu/files/nodesktop.reg www.osml.eu/files/nodesktop.reg] с сервера Open Source Migrations Limited (используйте его на собственный страх и риск). Сохраните его на своем рабочем столе, затем просто дважды щелкните на нем, подтвердите действие, и реестр соответствующим образом изменится.<br />
<br />
Теперь вы, вероятно, захотите отнять права администратора у учетной записи, повторив предыдущую процедуру в обратном порядке. Работа в Windows с правами администратора столь же небезопасна, как работа в Linux или Unix от имени суперпользователя, и если у вас нет для нее серьезных причин, выйдите из системы и войдите как администратор, превратите пользователя в обычного, и тогда мы сможем завершить наши другие задачи.<br />
<br />
====Настройка Windows на автоматический вход.====<br />
<br />
*Нажмите кнопку <font color=darkblue>Пуск</font>, выберите <font color=darkblue>Выполнить</font>, введите в окне<br />
control userpasswords2<br />
и нажмите <font color=darkblue>OK</font>.<br />
<br />
*Снимите галочку около <font color=darkblue>Требовать ввод имени и пароля пользователя</font> и нажмите <font color=darkblue>Применить</font>.<br />
<br />
*Появится окно с запросом: под каким пользователем и паролем вы хотите осуществить автоматический вход. Просто введите ранее определенные имя и пароль пользователя.<br />
<br />
====Установка Гостевых Дополнений VirtualBox.====<br />
<br />
*Выберите в главном меню окна вашей ВМ пункт Devices [Устройства], затем щелкните на <font color=darkblue>Install Guest Additions</font>.<br />
*Отвечайте на вопросы установщика для завершения установки.<br />
<br />
====Настройка фиксированного IP-адреса, используемого Windows.====<br />
<br />
*Перейдите к <font color=darkblue>Пуск > Настройка > Панель управления > Сетевые подключения</font>.<br />
*Выполните правый щелчок на <font color=darkblue>Подключение к локальной сети</font> и выберите <font color=darkblue>Свойства</font>.<br />
*Введите IP-адрес, соответствующую маску подсети, адрес шлюза по умолчанию и по крайней мере один DNS-сервер. Вы можете найти<br />
ваш(и) DNS сервер(а), набрав в терминале хост-машины:<br />
cat /etc/resolv.conf<br />
После слов <font color=darkred>nameserver</font> указаны IP-адреса DNS-серверов. Шлюз по умолчанию должен соответствовать определенному для вашего TAP-интерфейса в '''/etc/tap.conf'''. Учтите: IP-адрес должен отличаться от IP ''Virtual Box'', прописанного в файле '''/etc/tap.conf'''. Я предлагаю устанавливать IP-адреса, отсчитывая от конца диапазона назад в '''tap.conf''' – т. е. от 254 и меньше для каждого TAP-устройства – и от начала диапазона для ваших гостевых машин, например, 172.16.254.1 и больше. Настройте ваш маршрутизатор на выдачу Windows другого IP. У большинства из вас, вероятно, только одно TAP-устройство, так что это не должно быть проблемой.<br />
<br />
====Включение RDP-соединений в Windows и установка пароля.====<br />
<br />
*Нажмите <font color=darkblue>Пуск > Настройка > Панель управления > Система</font> и перейдите на вкладку <font color=darkblue>Удаленные сеансы</font>.<br />
*Поставьте галочку напротив пункта <font color=darkblue>Разрешить удаленные подключения к этому компьютеру</font> и нажмите OK.<br />
*В <font color=darkblue>Панели управления</font> щелкните на <font color=darkblue>Пользователи</font>. Выберите пользователя, под которым хотите входить, и нажмите <font color=darkblue>Создать пароль</font>.<br />
*Введите ваш пароль в появившейся строке и нажмите кнопку Создать пароль. Учтите: этот пароль надо установить обязательно, иначе нормальной работы не будет.<br />
*Далее, загрузите файл: [http://www.cendio.se/files/thinlinc/seamlessrdp/seamlessrdp.zip www.cendio.se/files/thinlinc/seamlessrdp/seamlessrdp.zip] и распакуйте его в '''C:\seamlessrdp'''.<br />
*Теперь подготовим Windows XP Pro для разрешения удаленного доступа с глубиной цвета 256 бит.<br />
*Нажмите <font color=darkblue>Пуск</font>, <font color=darkblue>Выполнить</font>, введите в поле <font color=darkred>''regedit''</font> и нажмите <font color=darkblue>OK</font>.<br />
*В редакторе реестра перейдите к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp<br />
*В панели справа выделите ключ ColorDepth и щелкните на нем правой кнопкой мыши. Выберите Изменить и измените поле Значение на 4.<br />
*Или, для удобства, просто загрузите файл: [http://www.osml.eu/files/rdpcolourdepth.reg www.osml.eu/files/rdpcolourdepth.reg] с сервера Open Source Migrations Limited (используйте на свой страх и риск). Сохраните его на рабочем столе, затем дважды щелкните на нем, подтвердите действие – и реестр будет изменен. На этом завершается настройка на стороне Windows.<br />
<br />
===Настройка: VirtualBox===<br />
<br />
Теперь можно настроить ''VirtualBox'' на автозапуск при загрузке. Вопервых, мы собираемся запустить вашу машину из командной строки,<br />
поэтому в терминале введите:<br />
<br />
VBoxManage startvm "WinXPPro" -type vrdp<br />
<br />
Замените здесь <font color=darkred>WinXPPro</font> на имя вашей ВМ. Чтобы Windows всякий раз запускалась без проблем, выполните <font color=darkblue>Система > Параметры > Сеансы</font> и выберите вкладку <font color=darkblue>Запускаемые при старте программы</font>. Щелкните на кнопке <font color=darkblue>Создать</font>, затем скопируйте и вставьте указанную выше команду в текстовое поле и нажмите <font color=darkblue>OK</font>.<br />
<br />
Перед запуском новой ВМ необходимо убедиться, что наша нижняя панель сворачивается, иначе в Windows будут не видны кнопка <font color=darkblue>Пуск</font> и системный лоток, и нам это необходимо по крайней мере один раз (а может, и больше): если мы далее в Windows наткнемся на проблемы или для установки новых приложений. Просто щелкните правой кнопкой мыши в пустом месте нижней панели и выберите <font color=darkblue>Свойства</font>, установите флажок <font color=darkblue>Показывать/скрывать кнопки</font> и нажмите <font color=darkblue>OK</font>. Теперь слева и справа на вашей панели есть кнопки с изображением стрелки, позволяющие при нажатии ее спрятать.<br />
<br />
Теперь впервые запустим нашу ВМ Windows. В терминале наберите:<br />
<br />
rdesktop -rsound -A -s "c:\seamlessrdp\seamlessrdpshell.exe C:\Windows\explorer.exe" <IP-адрес Windows XP>:3389 -u "<Имя пользователя Windows>" -p <Ваш пароль Windows><br />
<br />
Вам нужно будет соответственно изменить переменные. Практически все, но будет виден полный рабочий стол, поскольку Windows необходимо перезагрузить, чтобы все новые возможности заработали. Это немного путано, но сделать так придется, потому что XP не будет воспринимать удаленные подключения, пока вы хоть раз не войдете. Короче, нажмите комбинацию клавиш <font color=darkblue>Ctrl+Esc</font> и выберите <font color=darkblue>Завершить сеанс</font>.<br />
<br />
Выполните предыдущую команду снова, и у вас, после небольшой задержки на вход пользователя, должно появиться отдельное окно ''Проводника''.<br />
<br />
Вы должны видеть просто запущенное окно ''Проводника'', а при нажатии одной из вышеупомянутых стрелок на нижней панели Gnome появится кнопка <font color=darkblue>Пуск</font> и т.д.<br />
<br />
Теперь мы можем войти в верхнее меню Ubuntu, <font color=darkblue>Система > Параметры > Главное меню</font> и определить важные приложения, без которых вам не жить. Например, для установки ''Outlook'' (подразумевается, из ''Office 2003'') вам следует поместить в строку следующую команду:<br />
<br />
/usr/bin/rdesktop -rsound -A -s "c:\seamlessrdp\seamlessrdpshell.exe C:\<br />
Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE" <IP-адрес<br />
Windows XP>:3389 -u "<Имя пользователя Windows >" -p <Ваш пароль<br />
Windows ><br />
<br />
<br />
Наконец, выключить ВМ можно так:<br />
<br />
VBoxManage controlvm "Windows-XP-Pro" savestate<br />
<br />
или так:<br />
<br />
VBoxManage controlvm "Windows-XP-Pro" acpipowerbutton<br />
<br />
для сохранения текущего состояния машины; или имитировать отключение питания. Пора звать к своему монитору друзей – пусть подивятся на ваши подвиги!<br />
<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Ubuntu]]<br />
[[Категория:VirtualBox]]<br />
[[Категория:Джек Найт]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF98:Hardcore_LinuxLXF98:Hardcore Linux2009-03-07T20:22:23Z<p>Kipruss: /* Настраиваем TAP-устройство */</p>
<hr />
<div>==<font color=darkred>VirtualBox:</font> Windows в Ubuntu==<br />
<br />
''Запускайте приложения Microsoft под Linux в Ubuntu Feisty при помощи VirtualBox от Innotek и Windows XP – '''Джек Найт''' здесь на коне….''<br />
<br />
Требовалось ли вам когда-нибудь на вашей машине одно или несколько Windows-приложений для решения некоторой задачи? А может, у вас есть клиент, использующий Windows, и вам надо работать с документами ''MS Project'' или запускать непосредственно ''Outlook'' для совместного использования их календарей ''MS Exchange''? Один из выходов – двойная загрузка, другой – запуск Windows XP в качестве гостевой ОС на виртуальной машине (ВМ); но<br />
есть действительно классное решение – угадайте, какое? Бесплатное, по крайней мере для большинства из нас! ''VirtualBox'' от ''Innotek'' – удивительный продукт, и хотя я на самом деле не проверял его производительность, навскидку кажется, что он значительно превосходит и ''VMWare Workstation'', и ''Server''. Он располагает набором приятных функций и возможностью организовать сетевой мост через беспроводной адаптер ноутбука (нечто прежде немыслимое в ''VMWare'') – чем не продукт-конфетка?<br />
<br />
Innotek применяет дуальную схему лицензирования – существуют открытая и закрытая двоичная версии ''VirtualBox'' (последняя бесплатна для ознакомления или персонального использования). Более того, у Innonek весьма разумная политика лицензирования для малого бизнеса – по запросу о покупке коммерческих лицензий на две машины я был любезно извещен, что это относится к категории «бесплатно»! Уже в восторге? Ну, это только начало – а вот и убойный довод: при помощи этой штуки можно запускать отдельные приложения Windows на рабочем столе Linux, и они появятся как обычные окна Gnome, KDE (или другие) на вашем X-столе. Прибавьте сюда ''Beryl/Compiz'', и получите весьма впечатляющий инструмент. Качайте с [http://www.virtualbox.org www.virtualbox.org].<br />
<br />
Но как заставить все это работать? Что ж, понадобится кое-какая подгонка и на стороне Linux, и на стороне Windows – но результат стоящий, по крайней мере, по моему скромному мнению. В этой статье я проведу вас через настройку моста через беспроводной адаптер на ноутбуке, а продолжу настройкой двух типичных приложений, зависящих от Windows – ''MS Project'' и ''Outlook'', чтобы под Ubuntu Feisty они выглядели как родные.<br />
<br />
===План действий===<br />
<br />
Вот что мы проделаем на следующих страницах:<br />
<br />
*Кое-что подправим для устранения неприятностей с USB и DVD.<br />
*Создадим TAP-устройство на сетевом интерфейсе базовой машины (идеально для WLAN-интерфейса ноутбука).<br />
*Установим персональную/пробную версию ''VirtualBox'' от Innotek.<br />
*Создадим ВМ для Windows XP и настроим ее на использование сетевого TAP-устройства.<br />
*Установим Windows XP (самые общие моменты).<br />
*Настроим Windows XP со всеми тонкостями, для безупречной работы.<br />
*Настроим ''VirtualBox'' на работу без ручного вмешательства и автоматический старт.<br />
*Введем пункты меню для наших приложений-примеров.<br />
<br />
В детали установки гостевой ОС я вдаваться не буду: если кто не знает, как это сделать, описание найти легко. Зато приведу простой метод установки самого ''VirtualBox''.<br />
<br />
Лично я использую на этом уроке Ubuntu 7.04 (Feisty), но эти инструкции должны отлично работать для dapper или edgy, при мелких изменениях (например, замене всех вхождений слова «feisty» по смыслу). Они должны работать и в Kubuntu; правда, я еще не проделывал мои операции в KDE, чтобы разобраться с отличиями. Машину, где запущен VirtualBox, я буду называть HOST [хост], а запущенные в нем системы – GUEST [гость]. Предполагается, что вы можете запускать командную оболочку и использовать редактор для изменения текстовых файлов. Прежде чем продолжить, познакомьтесь со врезкой<br />
Избавляемся от неприятностей.<br />
<br />
===Настраиваем TAP-устройство===<br />
<br />
Нам нужно установить пакеты, а именно ''User Mode Linux Utilities'' и ''Proxy Arp Routing Daemon''. Для начала убедитесь, что подключен репозиторий '''universe''': в строке-меню Gnome выберите <font color=darkblue>Система > Администрирование > Источники приложений</font>, затем установите галочку <font color=darkblue>Свободное ПО, поддерживаемое сообществом</font> (<font color=darkblue>universe</font>). Теперь откройте терминал и введите:<br />
<source lang="bash"><br />
sudo apt-get install uml-utilities parprouted<br />
sudo chgrp vboxusers /dev/net/tun<br />
</source><br />
<br />
Теперь надо встроить TAP в сетевой адаптер хост-системы. Это особенно полезно для ноутбуков с беспроводными интерфейсами, поскольку WLAN-адаптер обычно получает IP-адрес через DHCP, но гостевая машина не может делать этого – как правило, несколько IP-адресов нельзя получить для того, что в сущности является клонированным интерфейсом. К тому же если беспроводной интерфейс использует защиту WPA, то появление интерфейса-клона, вероятно, заставит WAP<br />
(Wireless Access Point – точка беспроводного доступа) заподозрить, что компьютер под атакой. Итак, сделаем вот что: выявим неиспользованные подсети, выберем пару уникальных IP-адресов и присвоим один TAP-устройству, а другой гостевой машине. Неважно, что они фиксированы: адрес хост-машины будет динамическим, и они будут проходить через маскардинг. В итоге гостевая машина будет «просто работать», где бы вы ни получили WLAN-соединение для хоста.<br />
<br />
Проще всего создать скрипт для инициализации TAP-устройства и поддержки конфигурации сети. Вот мой вариант:<br />
<source lang="bash"><br />
#!/bin/bash<br />
# Имя: tapctrl<br />
# Использование: tapctrl start|stop<br />
# Обеспечивает: tap для virtualbox во внешней сети, включая беспроводные<br />
# Аннотация:<br />
# устанавливает tap-устройство для совместного использования интерфейса wifi с vbox<br />
# Описание: создает виртуальный tap-интерфейс, присваивает IP- адрес, настраивает iptables<br />
# для маскарадинга через устройство по умолчанию<br />
# и настраивает прокси arp с демоном parprouted для корректной маршрутизации<br />
# Автор: Jack Knight<br />
# - Open Source Migrations Ltd, UK (http://www.osml.co.uk)<br />
# Настраиваем переменные здесь:<br />
DESC="Virtualbox IP tap"<br />
PATH=/sbin:/bin:/usr/sbin:/usr/bin<br />
TUNDEVICE=tap1 # Произвольно, но должно соответствовать устройству, указанному в сетевых настройках VirtualBox.<br />
LANDEVICE=eth1 # Исправьте, чтобы соответствовало вашему сетевому устройству – может быть eth0, eth1 ath0, wlan1 и т. д.<br />
IPADDR=172.16.254.254 # Произвольно, но убедитесь, что вы взяли нечто из неиспользуемой подсети<br />
case "$1" in start|restart|force-reload)<br />
echo -n "Starting $DESC: "<br />
tunctl -t $TUNDEVICE -u $USER<br />
ip link set $TUNDEVICE up<br />
ip addr add $IPADDR dev $TUNDEVICE<br />
arp -Ds $IPADDR $TUNDEVICE pub<br />
iptables -t nat -A POSTROUTING -o $LANDEVICE -j MASQUERADE<br />
iptables -t nat -P POSTROUTING ACCEPT # Разрешаем работу других интерфейсов<br />
echo 1 > /proc/sys/net/ipv4/ip_forward<br />
echo 1 > /proc/sys/net/ipv4/conf/$TUNDEVICE/proxy_arp<br />
parprouted $LANDEVICE $TUNDEVICE<br />
;;<br />
stop)<br />
echo -n "Stopping $DESC: "<br />
iptables --table nat -F<br />
killall parprouted<br />
ip link set $TUNDEVICE down <br />
;;<br />
*)<br />
N=/etc/init.d/$NAME<br />
echo "Usage: $N start|stop" >&2<br />
exit 1<br />
;;<br />
esac<br />
exit 0<br />
</source><br />
<br />
Этот код есть на DVD; если кому-то нужно, у меня также есть более проработанный скрипт, работающий со многими пользователями, виртуальными машинами и устройствами и не опубликованный здесь ради простоты. Не стесняйтесь обращаться за ним ко мне по электронной почте через мой web-сайт.<br />
<br />
===Установка VirtualBox===<br />
<br />
К сожалению, поскольку на момент написания ''VirtualBox'' еще не попал в основные репозитории Ubuntu, перед установкой пакета придется добавить новый сторонний репозиторий от ''VirtualBox'':<br />
<br />
sudo sh -c 'echo "# VirtualBox репозиторий для Ubuntu Feisty Fawn<br />
deb http://www.virtualbox.org/debian feisty non-free" \<br />
> /etc/apt/sources.list.d/feisty-virtualbox.list'<br />
wget http://www.virtualbox.org/debian/innotek.asc -O- | sudo apt-key add -<br />
sudo apt-get update<br />
sudo apt-get -y install virtualbox<br />
<br />
===Настройка виртуальной машины===<br />
<br />
На хост-ситеме Ubuntu нам понадобится механизм совместного использования файлов мирами Linux и Windows. К счастью, ''VirtualBox'' имеет для этого встроенный механизм , так что Samba на хост-машине или NFS на обеих сторонах можно не устанавливать. Учтите: совместного использования вашего жесткого диска НЕ получится, пока вы не установите ''Vbox GuestAdditions'' в гостевой системе! При создании общих папок гостевая система должна быть выключена.<br />
<br />
Общие папки работают только в версии 1.3.8; в версию 1.4.0 вкралась ошибка! Если у вас та самая версия, и вы не хотите возиться с Samba ради совместного доступа, скачайте iso с [http://www.virtualbox.de/download/1.3.8/VBoxGuestAdditions_1.3.8.iso www.virtualbox.de/download/1.3.8/VBoxGuestAdditions_1.3.8.iso].<br />
<br />
Выключите ВМ, смените виртуальный '''cdrom''' на этот '''iso''' и перезапустите гостевую систему. Установите ''VirtualBoxGuest Additions'', и все должно заработать. Пока что я не слыхал о неприятностях, связанных с «не той» версией гостевых дополнений. Это должно вас временно выручить, до следующей версии, где Innotek, скорее всего, исправит эту ошибку.<br />
<br />
Для настройки на стороне хоста, с выключенной гостевой ОС, просто выберите вашу ВМ в окне ''VirtualBox Manager'' и нажмите <font color=darkblue>Свойства</font>, а затем <font color=darkblue>Общие папки</font> у нижнего края, как показано на экранном снимке справа, заполните два поля подходящими значениями и нажмите <font color=darkblue>OK</font>. Теперь запустите гостевую ОС и, открыв окно DOS, введите:<br />
<br />
net use E: \\vboxsvr\Shared_Folder<br />
<br />
и добавьте <font color=darkred>/Persistent:Yes</font> к этой команде, если хотите сохранить это при перезапуске. Внимание: не ошибитесь в написании <font color=darkred>vboxsvr</font> – это важно!<br />
<br />
Альтернативный метод – открыть окно ''Проводника'' Windows и выбрать <font color=darkblue>Сервис > Подключить сетевой диск</font>; вы увидите диалоговое окно, похожее на то, что справа. Тем же манером вставьте подходящие значения и нажмите <font color=darkblue>Готово</font>. Если все в порядке, то появится новое окно ''Проводника'' с содержимым каталога хост-машины.<br />
<br />
Далее включим RDP-протокол, чтобы разрешить удаленные сессии. Просто щелкните на флажке <font color=darkblue>Enable VRDP Server</font>, как показано в этой колонке ниже.<br />
<br />
===Настройка Windows XP===<br />
<br />
Следующие настройки в принципе могут работать и для других версий Windows, не XP, но я не берусь этого утверждать, поскольку не успел протестировать. Нам нужны такие настройки, чтобы наша установленная Windows выводила на экран только панель задач, но не рабочий стол. Для этого поковыряемся в реестре; но учтите, что в Windows XP SP2 доступ к рассматриваемым настройкам ограничен, и обычный пользователь не вправе изменять эту часть – поэтому сперва мы временно присвоим права администратора пользователю, который будет использовать сессию Windows.<br />
<br />
Войдите как «Администратор» (или любой другой пользователь с достаточными правами), затем перейдите в нужное место посредством <font color=darkblue>Пуск > Настройки > Панель управления > Пользователи</font> и щелкните на записи, которую хотите использовать для запуска Windows-программ. Щелкните на <font color=darkblue>Изменить тип учетной записи</font> и установите переключатель в <font color=darkblue>Администратор компьютера</font>, затем обратитесь к кнопке <font color=darkblue>Изменить тип учетной записи</font>. Теперь выйдите из-под администратора и войдите как ваш пользователь, запустите ''regedit32'' и найдите следующий ключ:<br />
<br />
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer<br />
<br />
Нам необходимо создать новое значение <font color=darkred>DWORD</font> с именем <font color=darkred>NoDesktop</font> и присвоить ему значение <font color=darkblue>1</font>, чтобы Windows отображала только приложение, которое мы хотим запустить, а не весь рабочий стол. Для этого выберите <font color=darkblue>Правка</font> в главном меню, далее <font color=darkblue>Создать и Параметр DWORD</font> и введите имя <font color=darkred>NoDesktop</font>, затем нажмите <font color=darkblue>Enter</font>. Ключ теперь должен быть выделен, поэтому нажмите вновь <font color=darkblue>Enter</font>, чтобы отредактировать его и установить его значение в <font color=darkred>1</font>. По завершении все<br />
должно выглядеть как на экранном снимке в конце этой колонки.<br />
<br />
Другой вариант – загрузка файла [http://www.osml.eu/files/nodesktop.reg www.osml.eu/files/nodesktop.reg] с сервера Open Source Migrations Limited (используйте его на собственный страх и риск). Сохраните его на своем рабочем столе, затем просто дважды щелкните на нем, подтвердите действие, и реестр соответствующим образом изменится.<br />
<br />
Теперь вы, вероятно, захотите отнять права администратора у учетной записи, повторив предыдущую процедуру в обратном порядке. Работа в Windows с правами администратора столь же небезопасна, как работа в Linux или Unix от имени суперпользователя, и если у вас нет для нее серьезных причин, выйдите из системы и войдите как администратор, превратите пользователя в обычного, и тогда мы сможем завершить наши другие задачи.<br />
<br />
====Настройка Windows на автоматический вход.====<br />
<br />
*Нажмите кнопку <font color=darkblue>Пуск</font>, выберите <font color=darkblue>Выполнить</font>, введите в окне<br />
control userpasswords2<br />
и нажмите <font color=darkblue>OK</font>.<br />
<br />
*Снимите галочку около <font color=darkblue>Требовать ввод имени и пароля пользователя</font> и нажмите <font color=darkblue>Применить</font>.<br />
<br />
*Появится окно с запросом: под каким пользователем и паролем вы хотите осуществить автоматический вход. Просто введите ранее определенные имя и пароль пользователя.<br />
<br />
====Установка Гостевых Дополнений VirtualBox.====<br />
<br />
*Выберите в главном меню окна вашей ВМ пункт Devices [Устройства], затем щелкните на <font color=darkblue>Install Guest Additions</font>.<br />
*Отвечайте на вопросы установщика для завершения установки.<br />
<br />
====Настройка фиксированного IP-адреса, используемого Windows.====<br />
<br />
*Перейдите к <font color=darkblue>Пуск > Настройка > Панель управления > Сетевые подключения</font>.<br />
*Выполните правый щелчок на <font color=darkblue>Подключение к локальной сети</font> и выберите <font color=darkblue>Свойства</font>.<br />
*Введите IP-адрес, соответствующую маску подсети, адрес шлюза по умолчанию и по крайней мере один DNS-сервер. Вы можете найти<br />
ваш(и) DNS сервер(а), набрав в терминале хост-машины:<br />
cat /etc/resolv.conf<br />
После слов <font color=darkred>nameserver</font> указаны IP-адреса DNS-серверов. Шлюз по умолчанию должен соответствовать определенному для вашего TAP-интерфейса в '''/etc/tap.conf'''. Учтите: IP-адрес должен отличаться от IP ''Virtual Box'', прописанного в файле '''/etc/tap.conf'''. Я предлагаю устанавливать IP-адреса, отсчитывая от конца диапазона назад в '''tap.conf''' – т. е. от 254 и меньше для каждого TAP-устройства – и от начала диапазона для ваших гостевых машин, например, 172.16.254.1 и больше. Настройте ваш маршрутизатор на выдачу Windows другого IP. У большинства из вас, вероятно, только одно TAP-устройство, так что это не должно быть проблемой.<br />
<br />
====Включение RDP-соединений в Windows и установка пароля.====<br />
<br />
*Нажмите <font color=darkblue>Пуск > Настройка > Панель управления > Система</font> и перейдите на вкладку <font color=darkblue>Удаленные сеансы</font>.<br />
*Поставьте галочку напротив пункта <font color=darkblue>Разрешить удаленные подключения к этому компьютеру</font> и нажмите OK.<br />
*В <font color=darkblue>Панели управления</font> щелкните на <font color=darkblue>Пользователи</font>. Выберите пользователя, под которым хотите входить, и нажмите <font color=darkblue>Создать пароль</font>.<br />
*Введите ваш пароль в появившейся строке и нажмите кнопку Создать пароль. Учтите: этот пароль надо установить обязательно, иначе нормальной работы не будет.<br />
*Далее, загрузите файл: [http://www.cendio.se/files/thinlinc/seamlessrdp/seamlessrdp.zip www.cendio.se/files/thinlinc/seamlessrdp/seamlessrdp.zip] и распакуйте его в '''C:\seamlessrdp'''.<br />
*Теперь подготовим Windows XP Pro для разрешения удаленного доступа с глубиной цвета 256 бит.<br />
*Нажмите <font color=darkblue>Пуск</font>, <font color=darkblue>Выполнить</font>, введите в поле <font color=darkred>''regedit''</font> и нажмите <font color=darkblue>OK</font>.<br />
*В редакторе реестра перейдите к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp<br />
*В панели справа выделите ключ ColorDepth и щелкните на нем правой кнопкой мыши. Выберите Изменить и измените поле Значение на 4.<br />
*Или, для удобства, просто загрузите файл: [http://www.osml.eu/files/rdpcolourdepth.reg www.osml.eu/files/rdpcolourdepth.reg] с сервера Open Source Migrations Limited (используйте на свой страх и риск). Сохраните его на рабочем столе, затем дважды щелкните на нем, подтвердите действие – и реестр будет изменен. На этом завершается настройка на стороне Windows.<br />
<br />
===Настройка: VirtualBox===<br />
<br />
Теперь можно настроить ''VirtualBox'' на автозапуск при загрузке. Вопервых, мы собираемся запустить вашу машину из командной строки,<br />
поэтому в терминале введите:<br />
<br />
VBoxManage startvm "WinXPPro" -type vrdp<br />
<br />
Замените здесь <font color=darkred>WinXPPro</font> на имя вашей ВМ. Чтобы Windows всякий раз запускалась без проблем, выполните <font color=darkblue>Система > Параметры > Сеансы</font> и выберите вкладку <font color=darkblue>Запускаемые при старте программы</font>. Щелкните на кнопке <font color=darkblue>Создать</font>, затем скопируйте и вставьте указанную выше команду в текстовое поле и нажмите <font color=darkblue>OK</font>.<br />
<br />
Перед запуском новой ВМ необходимо убедиться, что наша нижняя панель сворачивается, иначе в Windows будут не видны кнопка <font color=darkblue>Пуск</font> и системный лоток, и нам это необходимо по крайней мере один раз (а может, и больше): если мы далее в Windows наткнемся на проблемы или для установки новых приложений. Просто щелкните правой кнопкой мыши в пустом месте нижней панели и выберите <font color=darkblue>Свойства</font>, установите флажок <font color=darkblue>Показывать/скрывать кнопки</font> и нажмите <font color=darkblue>OK</font>. Теперь слева и справа на вашей панели есть кнопки с изображением стрелки, позволяющие при нажатии ее спрятать.<br />
<br />
Теперь впервые запустим нашу ВМ Windows. В терминале наберите:<br />
<br />
rdesktop -rsound -A -s "c:\seamlessrdp\seamlessrdpshell.exe C:\Windows\explorer.exe" <IP-адрес Windows XP>:3389 -u "<Имя пользователя Windows>" -p <Ваш пароль Windows><br />
<br />
Вам нужно будет соответственно изменить переменные. Практически все, но будет виден полный рабочий стол, поскольку Windows необходимо перезагрузить, чтобы все новые возможности заработали. Это немного путано, но сделать так придется, потому что XP не будет воспринимать удаленные подключения, пока вы хоть раз не войдете. Короче, нажмите комбинацию клавиш <font color=darkblue>Ctrl+Esc</font> и выберите <font color=darkblue>Завершить сеанс</font>.<br />
<br />
Выполните предыдущую команду снова, и у вас, после небольшой задержки на вход пользователя, должно появиться отдельное окно ''Проводника''.<br />
<br />
Вы должны видеть просто запущенное окно ''Проводника'', а при нажатии одной из вышеупомянутых стрелок на нижней панели Gnome появится кнопка <font color=darkblue>Пуск</font> и т.д.<br />
<br />
Теперь мы можем войти в верхнее меню Ubuntu, <font color=darkblue>Система > Параметры > Главное меню</font> и определить важные приложения, без которых вам не жить. Например, для установки ''Outlook'' (подразумевается, из ''Office 2003'') вам следует поместить в строку следующую команду:<br />
<br />
/usr/bin/rdesktop -rsound -A -s "c:\seamlessrdp\seamlessrdpshell.exe C:\<br />
Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE" <IP-адрес<br />
Windows XP>:3389 -u "<Имя пользователя Windows >" -p <Ваш пароль<br />
Windows ><br />
<br />
<br />
Наконец, выключить ВМ можно так:<br />
<br />
VBoxManage controlvm "Windows-XP-Pro" savestate<br />
<br />
или так:<br />
<br />
VBoxManage controlvm "Windows-XP-Pro" acpipowerbutton<br />
<br />
для сохранения текущего состояния машины; или имитировать отключение питания. Пора звать к своему монитору друзей – пусть подивятся на ваши подвиги!<br />
<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Ubuntu]]<br />
[[Категория:VirtualBox]]<br />
[[Категория:Джек Найт]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:YaleksОбсуждение участника:Yaleks2009-03-07T20:14:57Z<p>Kipruss: /* LXF100 ... */</p>
<hr />
<div>Установил расширения Cite, ParserFunctions и SyntaxHighlight - проверяйте --17:21, 11 марта 2008 (MSK)<br />
<br />
Вы вчера перенесли статью LXF97:TEX в LXF97:Препринт, но при этом некорректно изменили оглавление номера, оставив в нем ссылку на LXF97:TEX, но удалив при этом ссылку на следующую статью Андрея Боровского. Я ее найти в списке статей не могу. Верните ее пожалуйста на место. --[[Участник:Crazy Rebel|Crazy Rebel]] 08:07, 3 октября 2008 (MSD) <br />
: Я просто очистил содержимое, сама статья была создана давно. Оглавление сейчас пофиксил. --[[Участник:Yaleks|Yaleks]] 15:07, 4 октября 2008 (MSD)<br />
<br />
== Викификация LXF70-77 ==<br />
До сих пор я занимался викификацией LXF c конца, а Вы с начала. Но теперь, когда остались не завершенными только самые начальные номера, причем в каждом из них уже сделана какая то часть работы, Валентин Синицин посоетовал обратиться непосредственно к Вам, чтобы разделить оставшиеся для викификации статьи. В принципе я могу пойти и другим путем - начиная викификацию 2008 года. Так что давайте решим как будет удобнее. --[[Участник:Crazy Rebel|Crazy Rebel]]<br />
<br />
* Вот что осталось (если существующие оглавления полные):<br />
<nowiki># <s>[[LXF74-75:Inkscape]] (13 ссылок)</s><br />
# <s>[[LXF71:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF72:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:Сравнение: Электронные фотоальбомы]] (2 ссылки)</s><br />
# <s>[[LXF74-75:Технологии Linux-2006]] (2 ссылки)</s><br />
# <s>[[LXF71:VariCAD 2005]]</s><br />
# <s>[[LXF71:KOffice 1.4]]</s><br />
# <s>[[LXF71:SmoothWall Firewall 4]]</s><br />
# <s>[[LXF71:Amarok 1.3]]</s><br />
# <s>[[LXF71:Спецрепортаж]]</s><br />
# <s>[[LXF71:Настольный Linux]]</s><br />
# <s>[[LXF71:Гонка за лидером]]</s><br />
# <s>[[LXF71:Дневники Linux]]</s><br />
# <s>[[LXF71:Subversion]]</s><br />
# <s>[[LXF77:Realsoft 3D]]</s><br />
# <s>[[LXF72:Советы по ускорению]]</s><br />
# <s>[[LXF76:Азбука записи]]</s><br />
# <s>[[LXF73:Автомонтирование USB]]</s><br />
# <s>[[LXF73:Русификация Debian 3.1]]</s><br />
# <s>[[LXF72:Frequently Asked Questions]]</s><br />
# <s>[[LXF72:Краткая справка]]</s><br />
# <s>[[LXF71:Ответы]]</s><br />
# <s>[[LXF72:Ответы]]</s><br />
# <s>[[LXF73:Ответы]]</s><br />
# <s>[[LXF74-75:Ответы]]</s><br />
# <s>[[LXF77:Ответы]]</s><br />
# <s>[[LXF71:Первые шаги]]</s><br />
# <s>[[LXF72:Первые шаги Печать]]</s><br />
# <s>[[LXF74-75:Первые шаги]]</s><br />
# <s>[[LXF77:Сравнение]]</s><br />
# <s>[[LXF71:Сравнение]]</s><br />
# <s>[[LXF76:Сравнение]]</s><br />
# <s>[[LXF76:Что такое]] GPL V3</s><br />
# <s>[[LXF76:Интервью]] Джереми Элиссон</s><br />
# <s>[[LXF76:Трюки с железом]]</s><br />
# <s>[[LXF76:Интервью2]] Йон фон Течнер</s><br />
# <s>[[LXF76:Dynebolic]]</s><br />
# <s>[[LXF76:MythTV]]</s></nowiki><br />
<br />
Большое число из этого уже устарело и представляет лишь исторический интерес. Можно тут <s>отмечать</s> (<nowiki><s>...</s></nowiki>) перед викификаций, чтобы не было коллизий. --[[Участник:Yaleks|Yaleks]] 22:45, 3 февраля 2009 (MSK)<br />
<br />
* Поздравляю! Позиции в списке закончились.<br />
** Это да, но мне ещё спецрепортаж доделывать. --[[Участник:Yaleks|Yaleks]] 20:24, 5 марта 2009 (MSK)<br />
*** Я так сильно подозреваю, что это не единственная проблема, хотя я старался и выверял все номера, но могли гдето и недоделки остаться и статьи спрятаться. Но в общем следует считать, что эта часть завершена. Тем более что спецрепортаж это большая но всего одна статья.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:08, 6 марта 2009 (MSK)<br />
<br />
== LXF72 Советы по ускорению ==<br />
<br />
А зачем там было делать "LXF72..." загловком? Я тоже так вначале сделал, но мне крайне не понравилось, что советы нумеруются 1.1 ... 1.32 тогда как в моем варианта было 1, 2 .... Ну и еще почему заголовок статьи Вы выделяетя двумя знаками <nowiki>==</nowiki> ведь можно и одним, тогда каждый вопрос отделяется друг от друго горизонтальной линией.<br />
:* <nowiki>==</nowiki> это заголовок 1-ого уровня вики-синтаксиса (= использовать некорректно). И где вы редактируете статьи, что там вставляется какой-то 2-х байтовый пробел? Через OCR что-ли пропускаете? --[[Участник:Yaleks|Yaleks]] 22:15, 26 февраля 2009 (MSK)<br />
:::* Статьи я копирую из kpdf собственно сразу в окно Firefox, откуда там стали браться неразрывные пробелы я понятия не имею. Возможно такие pdf-ки потому что LXF99 я делал таким же способом но никаких неразрывных пробелов там нет. Или это так работает новый kpdf.<br />
:::* Проблему решил так - сначала копирую текст в kate там удаляю всю гадость (заменой по тексту) и уже потом вставляю в окно Firefox.<br />
<br />
== LXF100 ... ==<br />
<br />
В общем то викификация LXF70-99 подходит к концу и Синицын уже спрашивал меня о продолжении работы. Я согласен и как я понимаю Вы тоже. Но у Вас несколько другой подход - викифицировать не номерами, а темами. В приципе я вижу и преимущества и недостатки такого подхода. Ну из перимуществ это то, что пользователь получает информацию которая должна быть для него наиболее интересна, а из недостатков- отдельный номер может быть так до конца и не закончен. Будет осутствовать общий стиль оформлния. В общем я готов на любой подход к викификации. Если мы будем пользоваться Вашим методом то предлагаю делать так чтобы не пересекаться - Заранее оглавления не делаем, кто создает статью, тот ее и викифицирует.<br />
: Если вы посмотрите на статистику хотя-бы нескольких ресурсов, то поймёте, что удержать и заставить посмотреть хотя-бы 3 страницы очень сложно. Потому иметь законченные и связанные кластеры статей лучше, чем несвязанную подборку из одного номера. Очень мало людей приходят введя адрес первой страницы и читают по-порядку, в основном по ссылкам с других сайтов или поисковых систем. --[[Участник:Yaleks|Yaleks]] 15:24, 1 марта 2009 (MSK)<br />
:: И всеже я предлагаю сначала закончить LXF71 и только после этого приступать к 100 и далее, а то Синицын мне как то писал что руководство недовольно, что викификация этих номеров не закончена. А в остальном полностью согласен. Предлагаю значит сделать как раз так - кто начал викификацию тот ее и заканчивает. Чтобы нам тут оглавление не составлять.<br />
<br />
Надо не забывать делать редиректы на статьи в номере 100-101 с несуществующих номеров 100 и 101. --[[Участник:Kipruss|Kipruss]]<br />
* Зачем эти редиректы? И наверно не надо делать вики-ссылок на изображения, просто размещайте в зоне видимости, где на них ссылаются. Я ещё пару мелочей поправил. --[[Участник:Yaleks|Yaleks]] 09:33, 7 марта 2009 (MSK)<br />
:: Редиректы - мне показалось, что лишними не будут. Я и сам сперва создал страницу с LXF100 в составе, вот и задумался о редиректах. И - да, насчет source вместо code - это полезная штука. Буду пользоваться.--[[Участник:Kipruss|Kipruss]] 23:14, 7 марта 2009 (MSK)<br />
<br />
== Присоединение к проекту ==<br />
<br />
Обращаюсь к Yaleks'у, как к координатору: я готов в меру сил помочь в викификации того, что наиболее нужно в настоящее время. Номера 100-106 имеются, скачал по ссылке, которую дал Валентин. Мой почтовый адрес: kipruss_A_mail.ru. После прочтения, думаю, этот раздел можно удалить. :)<br />
<br />
* Ну так выбирайте статью, вроде как решили с учебников начать, а то и цикл, вписывайте на соответствующей странице(цах) его название и вперед. Валентин сказал что за оформлением оглавления журанлов он сам проследит, но всетаки постарайтесь как в журнале делать название статьи и аннотацию.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:10, 6 марта 2009 (MSK)<br />
** Раз с учебников, то беру цикл "Hardcore Linux". Потом - Django, но этот цикл начинается с мая, по-моему - наверное лучше сделать те, которые продолжаются с прошлого года.--[[Участник:Kipruss|Kipruss]] 23:36, 6 марта 2009 (MSK)<br />
* Смотрите на оформление существующих статей и делайте по аналогии (также см. [[Информация для авторов]]). Crazy Rebel, осталось расхождение с наименование картинок, я всё-таки предлагаю, чтобы в названии был номер журнала и страницы (возможно выбранный в начале Img не очень логично и лучше перейти к LXF10X_YY_Z.{jpg/png}). --[[Участник:Yaleks|Yaleks]] 11:57, 6 марта 2009 (MSK)<br />
** Поздно я обратил внимание на это замечание. Ну, ничего страшного, надеюсь. Проба пера: [[LXF100:Hardcore_Linux]]<br />
** Хорошо. Со следующей статьи начну именовать так. Не думаю что надо что либо переделывать в уже викифицицированных журналах если только качество старых картинок не нравится.--[[Участник:Crazy Rebel|Crazy Rebel]] 16:35, 6 марта 2009 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-07T20:12:05Z<p>Kipruss: оформление</p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте http://www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
[[Изображение:Img_100_87_1.png|thumb|400px|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на Рис. 1.<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<source lang="bash"><br />
cat /dev/ttyS0<br />
</source><br />
а на запасном – команду:<br />
<source lang="bash"><br />
cat /etc/fstab > /dev/ttyS0<br />
</source><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<source lang="ini" line="GESHI_NORMAL_LINE_NUMBERS"><br />
udpport 694<br />
bcast eth1<br />
serial /dev/ttyS0<br />
baud 9600<br />
keepalive 2<br />
deadtime 20<br />
initdead 60<br />
node primary.example.com<br />
node backup.example.com<br />
</source><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>8</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<source lang="bash"><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</source><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<source lang="bash"><br />
chmod 755 tester<br />
</source><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<source lang="bash"><br />
chmod 600 authkeys<br />
</source><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<source lang="bash"><br />
/etc/init.d/heartbeat start<br />
</source><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<source lang="bash"><br />
/etc/init.d/httpd start<br />
</source><br />
и проверьте, что, открыв в браузере адрес <font color=blue><nowiki>http://localhost</nowiki></font>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<source lang="bash"><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</source><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<source lang="bash"><br />
/etc/init.d/heartbeat start<br />
</source><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<source lang="bash"><br />
ps -ef | grep httpd<br />
</source><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <font color=blue><nowiki>www.example.com</nowiki></font> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <font color=blue><nowiki>http://www.example.com</nowiki></font>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<source lang="bash"><br />
arp -a<br />
</source><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<source lang="bash"><br />
/etc/init.d/heartbeat stop<br />
</source><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <font color=blue><nowiki>www.example.com</nowiki></font> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-06T23:36:58Z<p>Kipruss: </p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на [[:Изображение:Img_100_87_1.png|Рис. 1]].<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<code><br />
cat /dev/ttyS0<br />
</code><br />
а на запасном – команду:<br />
<code><br />
cat /etc/fstab > /dev/ttyS0<br />
</code><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
[[Изображение:Img_100_87_1.png|thumb|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<code><br />
1. udpport 694<br />
2. bcast eth1<br />
3. serial /dev/ttyS0<br />
4. baud 9600<br />
5. keepalive 2<br />
6. deadtime 20<br />
7. initdead 60<br />
8. node primary.example.com<br />
9. node backup.example.com<br />
</code><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>8</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<code><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</code><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<code><br />
chmod 755 tester<br />
</code><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<code><br />
chmod 600 authkeys<br />
</code><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.<br />
com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/<br />
ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:<br />
primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/<br />
tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for<br />
node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<code><br />
/etc/init.d/httpd start<br />
</code><br />
и проверьте, что, открыв в браузере адрес <font color=blue><nowiki>http://localhost</nowiki></font>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<code><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</code><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<code><br />
ps -ef | grep httpd<br />
</code><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <font color=blue><nowiki>www.example.com</nowiki></font> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <font color=blue><nowiki>http://www.example.com</nowiki></font>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<code><br />
arp -a<br />
</code><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<code><br />
/etc/init.d/heartbeat stop<br />
</code><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <font color=blue><nowiki>www.example.com</nowiki></font> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:YaleksОбсуждение участника:Yaleks2009-03-06T23:30:40Z<p>Kipruss: /* LXF100 ... */</p>
<hr />
<div>Установил расширения Cite, ParserFunctions и SyntaxHighlight - проверяйте --17:21, 11 марта 2008 (MSK)<br />
<br />
Вы вчера перенесли статью LXF97:TEX в LXF97:Препринт, но при этом некорректно изменили оглавление номера, оставив в нем ссылку на LXF97:TEX, но удалив при этом ссылку на следующую статью Андрея Боровского. Я ее найти в списке статей не могу. Верните ее пожалуйста на место. --[[Участник:Crazy Rebel|Crazy Rebel]] 08:07, 3 октября 2008 (MSD) <br />
: Я просто очистил содержимое, сама статья была создана давно. Оглавление сейчас пофиксил. --[[Участник:Yaleks|Yaleks]] 15:07, 4 октября 2008 (MSD)<br />
<br />
== Викификация LXF70-77 ==<br />
До сих пор я занимался викификацией LXF c конца, а Вы с начала. Но теперь, когда остались не завершенными только самые начальные номера, причем в каждом из них уже сделана какая то часть работы, Валентин Синицин посоетовал обратиться непосредственно к Вам, чтобы разделить оставшиеся для викификации статьи. В принципе я могу пойти и другим путем - начиная викификацию 2008 года. Так что давайте решим как будет удобнее. --[[Участник:Crazy Rebel|Crazy Rebel]]<br />
<br />
* Вот что осталось (если существующие оглавления полные):<br />
<nowiki># <s>[[LXF74-75:Inkscape]] (13 ссылок)</s><br />
# <s>[[LXF71:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF72:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:Сравнение: Электронные фотоальбомы]] (2 ссылки)</s><br />
# <s>[[LXF74-75:Технологии Linux-2006]] (2 ссылки)</s><br />
# <s>[[LXF71:VariCAD 2005]]</s><br />
# <s>[[LXF71:KOffice 1.4]]</s><br />
# <s>[[LXF71:SmoothWall Firewall 4]]</s><br />
# <s>[[LXF71:Amarok 1.3]]</s><br />
# <s>[[LXF71:Спецрепортаж]]</s><br />
# <s>[[LXF71:Настольный Linux]]</s><br />
# <s>[[LXF71:Гонка за лидером]]</s><br />
# <s>[[LXF71:Дневники Linux]]</s><br />
# <s>[[LXF71:Subversion]]</s><br />
# <s>[[LXF77:Realsoft 3D]]</s><br />
# <s>[[LXF72:Советы по ускорению]]</s><br />
# <s>[[LXF76:Азбука записи]]</s><br />
# <s>[[LXF73:Автомонтирование USB]]</s><br />
# <s>[[LXF73:Русификация Debian 3.1]]</s><br />
# <s>[[LXF72:Frequently Asked Questions]]</s><br />
# <s>[[LXF72:Краткая справка]]</s><br />
# <s>[[LXF71:Ответы]]</s><br />
# <s>[[LXF72:Ответы]]</s><br />
# <s>[[LXF73:Ответы]]</s><br />
# <s>[[LXF74-75:Ответы]]</s><br />
# <s>[[LXF77:Ответы]]</s><br />
# <s>[[LXF71:Первые шаги]]</s><br />
# <s>[[LXF72:Первые шаги Печать]]</s><br />
# <s>[[LXF74-75:Первые шаги]]</s><br />
# <s>[[LXF77:Сравнение]]</s><br />
# <s>[[LXF71:Сравнение]]</s><br />
# <s>[[LXF76:Сравнение]]</s><br />
# <s>[[LXF76:Что такое]] GPL V3</s><br />
# <s>[[LXF76:Интервью]] Джереми Элиссон</s><br />
# <s>[[LXF76:Трюки с железом]]</s><br />
# <s>[[LXF76:Интервью2]] Йон фон Течнер</s><br />
# <s>[[LXF76:Dynebolic]]</s><br />
# <s>[[LXF76:MythTV]]</s></nowiki><br />
<br />
Большое число из этого уже устарело и представляет лишь исторический интерес. Можно тут <s>отмечать</s> (<nowiki><s>...</s></nowiki>) перед викификаций, чтобы не было коллизий. --[[Участник:Yaleks|Yaleks]] 22:45, 3 февраля 2009 (MSK)<br />
<br />
* Поздравляю! Позиции в списке закончились.<br />
** Это да, но мне ещё спецрепортаж доделывать. --[[Участник:Yaleks|Yaleks]] 20:24, 5 марта 2009 (MSK)<br />
*** Я так сильно подозреваю, что это не единственная проблема, хотя я старался и выверял все номера, но могли гдето и недоделки остаться и статьи спрятаться. Но в общем следует считать, что эта часть завершена. Тем более что спецрепортаж это большая но всего одна статья.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:08, 6 марта 2009 (MSK)<br />
<br />
== LXF72 Советы по ускорению ==<br />
<br />
А зачем там было делать "LXF72..." загловком? Я тоже так вначале сделал, но мне крайне не понравилось, что советы нумеруются 1.1 ... 1.32 тогда как в моем варианта было 1, 2 .... Ну и еще почему заголовок статьи Вы выделяетя двумя знаками <nowiki>==</nowiki> ведь можно и одним, тогда каждый вопрос отделяется друг от друго горизонтальной линией.<br />
:* <nowiki>==</nowiki> это заголовок 1-ого уровня вики-синтаксиса (= использовать некорректно). И где вы редактируете статьи, что там вставляется какой-то 2-х байтовый пробел? Через OCR что-ли пропускаете? --[[Участник:Yaleks|Yaleks]] 22:15, 26 февраля 2009 (MSK)<br />
:::* Статьи я копирую из kpdf собственно сразу в окно Firefox, откуда там стали браться неразрывные пробелы я понятия не имею. Возможно такие pdf-ки потому что LXF99 я делал таким же способом но никаких неразрывных пробелов там нет. Или это так работает новый kpdf.<br />
:::* Проблему решил так - сначала копирую текст в kate там удаляю всю гадость (заменой по тексту) и уже потом вставляю в окно Firefox.<br />
<br />
== LXF100 ... ==<br />
<br />
В общем то викификация LXF70-99 подходит к концу и Синицын уже спрашивал меня о продолжении работы. Я согласен и как я понимаю Вы тоже. Но у Вас несколько другой подход - викифицировать не номерами, а темами. В приципе я вижу и преимущества и недостатки такого подхода. Ну из перимуществ это то, что пользователь получает информацию которая должна быть для него наиболее интересна, а из недостатков- отдельный номер может быть так до конца и не закончен. Будет осутствовать общий стиль оформлния. В общем я готов на любой подход к викификации. Если мы будем пользоваться Вашим методом то предлагаю делать так чтобы не пересекаться - Заранее оглавления не делаем, кто создает статью, тот ее и викифицирует.<br />
: Если вы посмотрите на статистику хотя-бы нескольких ресурсов, то поймёте, что удержать и заставить посмотреть хотя-бы 3 страницы очень сложно. Потому иметь законченные и связанные кластеры статей лучше, чем несвязанную подборку из одного номера. Очень мало людей приходят введя адрес первой страницы и читают по-порядку, в основном по ссылкам с других сайтов или поисковых систем. --[[Участник:Yaleks|Yaleks]] 15:24, 1 марта 2009 (MSK)<br />
:: И всеже я предлагаю сначала закончить LXF71 и только после этого приступать к 100 и далее, а то Синицын мне как то писал что руководство недовольно, что викификация этих номеров не закончена. А в остальном полностью согласен. Предлагаю значит сделать как раз так - кто начал викификацию тот ее и заканчивает. Чтобы нам тут оглавление не составлять.<br />
Надо не забывать делать редиректы на статьи в номере 100-101 с несуществующих номеров 100 и 101.<br />
<br />
== Присоединение к проекту ==<br />
<br />
Обращаюсь к Yaleks'у, как к координатору: я готов в меру сил помочь в викификации того, что наиболее нужно в настоящее время. Номера 100-106 имеются, скачал по ссылке, которую дал Валентин. Мой почтовый адрес: kipruss_A_mail.ru. После прочтения, думаю, этот раздел можно удалить. :)<br />
<br />
* Ну так выбирайте статью, вроде как решили с учебников начать, а то и цикл, вписывайте на соответствующей странице(цах) его название и вперед. Валентин сказал что за оформлением оглавления журанлов он сам проследит, но всетаки постарайтесь как в журнале делать название статьи и аннотацию.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:10, 6 марта 2009 (MSK)<br />
** Раз с учебников, то беру цикл "Hardcore Linux". Потом - Django, но этот цикл начинается с мая, по-моему - наверное лучше сделать те, которые продолжаются с прошлого года.--[[Участник:Kipruss|Kipruss]] 23:36, 6 марта 2009 (MSK)<br />
* Смотрите на оформление существующих статей и делайте по аналогии (также см. [[Информация для авторов]]). Crazy Rebel, осталось расхождение с наименование картинок, я всё-таки предлагаю, чтобы в названии был номер журнала и страницы (возможно выбранный в начале Img не очень логично и лучше перейти к LXF10X_YY_Z.{jpg/png}). --[[Участник:Yaleks|Yaleks]] 11:57, 6 марта 2009 (MSK)<br />
** Поздно я обратил внимание на это замечание. Ну, ничего страшного, надеюсь. Проба пера: [[LXF100:Hardcore_Linux]]<br />
** Хорошо. Со следующей статьи начну именовать так. Не думаю что надо что либо переделывать в уже викифицицированных журналах если только качество старых картинок не нравится.--[[Участник:Crazy Rebel|Crazy Rebel]] 16:35, 6 марта 2009 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF101:Hardcore_LinuxLXF101:Hardcore Linux2009-03-06T23:27:55Z<p>Kipruss: Перенаправление на LXF100-101:Hardcore Linux</p>
<hr />
<div>#REDIRECT [[LXF100-101:Hardcore Linux]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100:Hardcore_LinuxLXF100:Hardcore Linux2009-03-06T23:27:06Z<p>Kipruss: «LXF100:Hardcore Linux» переименована в «LXF100-101:Hardcore Linux» поверх перенаправления</p>
<hr />
<div>#REDIRECT [[LXF100-101:Hardcore Linux]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-06T23:27:06Z<p>Kipruss: «LXF100:Hardcore Linux» переименована в «LXF100-101:Hardcore Linux» поверх перенаправления</p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на [[:Изображение:Img_100_87_1.png|Рис. 1]].<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<code><br />
cat /dev/ttyS0<br />
</code><br />
а на запасном – команду:<br />
<code><br />
cat /etc/fstab > /dev/ttyS0<br />
</code><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
[[Изображение:Img_100_87_1.png|thumb|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<code><br />
1. udpport 694<br />
2. bcast eth1<br />
3. serial /dev/ttyS0<br />
4. baud 9600<br />
5. keepalive 2<br />
6. deadtime 20<br />
7. initdead 60<br />
8. node primary.example.com<br />
9. node backup.example.com<br />
</code><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>8</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<code><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</code><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<code><br />
chmod 755 tester<br />
</code><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<code><br />
chmod 600 authkeys<br />
</code><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.<br />
com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/<br />
ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:<br />
primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/<br />
tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for<br />
node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<code><br />
/etc/init.d/httpd start<br />
</code><br />
и проверьте, что, открыв в браузере адрес <nowiki><font color=blue>http://localhost</font></nowiki>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<code><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</code><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<code><br />
ps -ef | grep httpd<br />
</code><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <nowiki><font color=blue>www.example.com</font></nowiki> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <nowiki><font color=blue>http://www.example.com</font></nowiki>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<code><br />
arp -a<br />
</code><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<code><br />
/etc/init.d/heartbeat stop<br />
</code><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <nowiki><font color=blue>www.example.com</font></nowiki> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-06T23:26:03Z<p>Kipruss: /* Три файла конфигурации */</p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на [[:Изображение:Img_100_87_1.png|Рис. 1]].<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<code><br />
cat /dev/ttyS0<br />
</code><br />
а на запасном – команду:<br />
<code><br />
cat /etc/fstab > /dev/ttyS0<br />
</code><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
[[Изображение:Img_100_87_1.png|thumb|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<code><br />
1. udpport 694<br />
2. bcast eth1<br />
3. serial /dev/ttyS0<br />
4. baud 9600<br />
5. keepalive 2<br />
6. deadtime 20<br />
7. initdead 60<br />
8. node primary.example.com<br />
9. node backup.example.com<br />
</code><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>8</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<code><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</code><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<code><br />
chmod 755 tester<br />
</code><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<code><br />
chmod 600 authkeys<br />
</code><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.<br />
com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/<br />
ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:<br />
primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/<br />
tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for<br />
node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<code><br />
/etc/init.d/httpd start<br />
</code><br />
и проверьте, что, открыв в браузере адрес <nowiki><font color=blue>http://localhost</font></nowiki>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<code><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</code><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<code><br />
ps -ef | grep httpd<br />
</code><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <nowiki><font color=blue>www.example.com</font></nowiki> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <nowiki><font color=blue>http://www.example.com</font></nowiki>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<code><br />
arp -a<br />
</code><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<code><br />
/etc/init.d/heartbeat stop<br />
</code><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <nowiki><font color=blue>www.example.com</font></nowiki> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101LXF100-1012009-03-06T23:23:45Z<p>Kipruss: </p>
<hr />
<div>=== Учебники ===<br />
<br />
* [[LXF100-101:Hardcore Linux|'''Hardcore Linux.''' Кластеры: Повышаем отказоустойчивость.]]<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. Д-р Крис Браун покажет, как удержаться на плаву. <br />
* [[LXF100-101:Ананас|Ананас]]<br />
Документы и печатные формы<br />
* Обработка данных<br />
Введение в R<br />
<br />
=== Игросторой ===<br />
* [[LXF100-101:Стрелялка|Стрелялка за выходные]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF101LXF1012009-03-06T23:20:46Z<p>Kipruss: Перенаправление на LXF100-101</p>
<hr />
<div>#REDIRECT [[LXF100-101]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100LXF1002009-03-06T23:20:28Z<p>Kipruss: Перенаправление на LXF100-101</p>
<hr />
<div>#REDIRECT [[LXF100-101]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF101:Hardcore_LinuxLXF101:Hardcore Linux2009-03-06T23:19:08Z<p>Kipruss: Перенаправление на LXF100:Hardcore Linux</p>
<hr />
<div>#REDIRECT [[LXF100:Hardcore Linux]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:YaleksОбсуждение участника:Yaleks2009-03-06T23:12:40Z<p>Kipruss: /* Присоединение к проекту */</p>
<hr />
<div>Установил расширения Cite, ParserFunctions и SyntaxHighlight - проверяйте --17:21, 11 марта 2008 (MSK)<br />
<br />
Вы вчера перенесли статью LXF97:TEX в LXF97:Препринт, но при этом некорректно изменили оглавление номера, оставив в нем ссылку на LXF97:TEX, но удалив при этом ссылку на следующую статью Андрея Боровского. Я ее найти в списке статей не могу. Верните ее пожалуйста на место. --[[Участник:Crazy Rebel|Crazy Rebel]] 08:07, 3 октября 2008 (MSD) <br />
: Я просто очистил содержимое, сама статья была создана давно. Оглавление сейчас пофиксил. --[[Участник:Yaleks|Yaleks]] 15:07, 4 октября 2008 (MSD)<br />
<br />
== Викификация LXF70-77 ==<br />
До сих пор я занимался викификацией LXF c конца, а Вы с начала. Но теперь, когда остались не завершенными только самые начальные номера, причем в каждом из них уже сделана какая то часть работы, Валентин Синицин посоетовал обратиться непосредственно к Вам, чтобы разделить оставшиеся для викификации статьи. В принципе я могу пойти и другим путем - начиная викификацию 2008 года. Так что давайте решим как будет удобнее. --[[Участник:Crazy Rebel|Crazy Rebel]]<br />
<br />
* Вот что осталось (если существующие оглавления полные):<br />
<nowiki># <s>[[LXF74-75:Inkscape]] (13 ссылок)</s><br />
# <s>[[LXF71:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF72:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:Сравнение: Электронные фотоальбомы]] (2 ссылки)</s><br />
# <s>[[LXF74-75:Технологии Linux-2006]] (2 ссылки)</s><br />
# <s>[[LXF71:VariCAD 2005]]</s><br />
# <s>[[LXF71:KOffice 1.4]]</s><br />
# <s>[[LXF71:SmoothWall Firewall 4]]</s><br />
# <s>[[LXF71:Amarok 1.3]]</s><br />
# <s>[[LXF71:Спецрепортаж]]</s><br />
# <s>[[LXF71:Настольный Linux]]</s><br />
# <s>[[LXF71:Гонка за лидером]]</s><br />
# <s>[[LXF71:Дневники Linux]]</s><br />
# <s>[[LXF71:Subversion]]</s><br />
# <s>[[LXF77:Realsoft 3D]]</s><br />
# <s>[[LXF72:Советы по ускорению]]</s><br />
# <s>[[LXF76:Азбука записи]]</s><br />
# <s>[[LXF73:Автомонтирование USB]]</s><br />
# <s>[[LXF73:Русификация Debian 3.1]]</s><br />
# <s>[[LXF72:Frequently Asked Questions]]</s><br />
# <s>[[LXF72:Краткая справка]]</s><br />
# <s>[[LXF71:Ответы]]</s><br />
# <s>[[LXF72:Ответы]]</s><br />
# <s>[[LXF73:Ответы]]</s><br />
# <s>[[LXF74-75:Ответы]]</s><br />
# <s>[[LXF77:Ответы]]</s><br />
# <s>[[LXF71:Первые шаги]]</s><br />
# <s>[[LXF72:Первые шаги Печать]]</s><br />
# <s>[[LXF74-75:Первые шаги]]</s><br />
# <s>[[LXF77:Сравнение]]</s><br />
# <s>[[LXF71:Сравнение]]</s><br />
# <s>[[LXF76:Сравнение]]</s><br />
# <s>[[LXF76:Что такое]] GPL V3</s><br />
# <s>[[LXF76:Интервью]] Джереми Элиссон</s><br />
# <s>[[LXF76:Трюки с железом]]</s><br />
# <s>[[LXF76:Интервью2]] Йон фон Течнер</s><br />
# <s>[[LXF76:Dynebolic]]</s><br />
# <s>[[LXF76:MythTV]]</s></nowiki><br />
<br />
Большое число из этого уже устарело и представляет лишь исторический интерес. Можно тут <s>отмечать</s> (<nowiki><s>...</s></nowiki>) перед викификаций, чтобы не было коллизий. --[[Участник:Yaleks|Yaleks]] 22:45, 3 февраля 2009 (MSK)<br />
<br />
* Поздравляю! Позиции в списке закончились.<br />
** Это да, но мне ещё спецрепортаж доделывать. --[[Участник:Yaleks|Yaleks]] 20:24, 5 марта 2009 (MSK)<br />
*** Я так сильно подозреваю, что это не единственная проблема, хотя я старался и выверял все номера, но могли гдето и недоделки остаться и статьи спрятаться. Но в общем следует считать, что эта часть завершена. Тем более что спецрепортаж это большая но всего одна статья.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:08, 6 марта 2009 (MSK)<br />
<br />
== LXF72 Советы по ускорению ==<br />
<br />
А зачем там было делать "LXF72..." загловком? Я тоже так вначале сделал, но мне крайне не понравилось, что советы нумеруются 1.1 ... 1.32 тогда как в моем варианта было 1, 2 .... Ну и еще почему заголовок статьи Вы выделяетя двумя знаками <nowiki>==</nowiki> ведь можно и одним, тогда каждый вопрос отделяется друг от друго горизонтальной линией.<br />
:* <nowiki>==</nowiki> это заголовок 1-ого уровня вики-синтаксиса (= использовать некорректно). И где вы редактируете статьи, что там вставляется какой-то 2-х байтовый пробел? Через OCR что-ли пропускаете? --[[Участник:Yaleks|Yaleks]] 22:15, 26 февраля 2009 (MSK)<br />
:::* Статьи я копирую из kpdf собственно сразу в окно Firefox, откуда там стали браться неразрывные пробелы я понятия не имею. Возможно такие pdf-ки потому что LXF99 я делал таким же способом но никаких неразрывных пробелов там нет. Или это так работает новый kpdf.<br />
:::* Проблему решил так - сначала копирую текст в kate там удаляю всю гадость (заменой по тексту) и уже потом вставляю в окно Firefox.<br />
<br />
== LXF100 ... ==<br />
<br />
В общем то викификация LXF70-99 подходит к концу и Синицын уже спрашивал меня о продолжении работы. Я согласен и как я понимаю Вы тоже. Но у Вас несколько другой подход - викифицировать не номерами, а темами. В приципе я вижу и преимущества и недостатки такого подхода. Ну из перимуществ это то, что пользователь получает информацию которая должна быть для него наиболее интересна, а из недостатков- отдельный номер может быть так до конца и не закончен. Будет осутствовать общий стиль оформлния. В общем я готов на любой подход к викификации. Если мы будем пользоваться Вашим методом то предлагаю делать так чтобы не пересекаться - Заранее оглавления не делаем, кто создает статью, тот ее и викифицирует.<br />
: Если вы посмотрите на статистику хотя-бы нескольких ресурсов, то поймёте, что удержать и заставить посмотреть хотя-бы 3 страницы очень сложно. Потому иметь законченные и связанные кластеры статей лучше, чем несвязанную подборку из одного номера. Очень мало людей приходят введя адрес первой страницы и читают по-порядку, в основном по ссылкам с других сайтов или поисковых систем. --[[Участник:Yaleks|Yaleks]] 15:24, 1 марта 2009 (MSK)<br />
:: И всеже я предлагаю сначала закончить LXF71 и только после этого приступать к 100 и далее, а то Синицын мне как то писал что руководство недовольно, что викификация этих номеров не закончена. А в остальном полностью согласен. Предлагаю значит сделать как раз так - кто начал викификацию тот ее и заканчивает. Чтобы нам тут оглавление не составлять.<br />
<br />
== Присоединение к проекту ==<br />
<br />
Обращаюсь к Yaleks'у, как к координатору: я готов в меру сил помочь в викификации того, что наиболее нужно в настоящее время. Номера 100-106 имеются, скачал по ссылке, которую дал Валентин. Мой почтовый адрес: kipruss_A_mail.ru. После прочтения, думаю, этот раздел можно удалить. :)<br />
<br />
* Ну так выбирайте статью, вроде как решили с учебников начать, а то и цикл, вписывайте на соответствующей странице(цах) его название и вперед. Валентин сказал что за оформлением оглавления журанлов он сам проследит, но всетаки постарайтесь как в журнале делать название статьи и аннотацию.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:10, 6 марта 2009 (MSK)<br />
** Раз с учебников, то беру цикл "Hardcore Linux". Потом - Django, но этот цикл начинается с мая, по-моему - наверное лучше сделать те, которые продолжаются с прошлого года.--[[Участник:Kipruss|Kipruss]] 23:36, 6 марта 2009 (MSK)<br />
* Смотрите на оформление существующих статей и делайте по аналогии (также см. [[Информация для авторов]]). Crazy Rebel, осталось расхождение с наименование картинок, я всё-таки предлагаю, чтобы в названии был номер журнала и страницы (возможно выбранный в начале Img не очень логично и лучше перейти к LXF10X_YY_Z.{jpg/png}). --[[Участник:Yaleks|Yaleks]] 11:57, 6 марта 2009 (MSK)<br />
** Поздно я обратил внимание на это замечание. Ну, ничего страшного, надеюсь. Проба пера: [[LXF100:Hardcore_Linux]]<br />
** Хорошо. Со следующей статьи начну именовать так. Не думаю что надо что либо переделывать в уже викифицицированных журналах если только качество старых картинок не нравится.--[[Участник:Crazy Rebel|Crazy Rebel]] 16:35, 6 марта 2009 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-06T23:08:56Z<p>Kipruss: оформление</p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на [[:Изображение:Img_100_87_1.png|Рис. 1]].<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<code><br />
cat /dev/ttyS0<br />
</code><br />
а на запасном – команду:<br />
<code><br />
cat /etc/fstab > /dev/ttyS0<br />
</code><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
[[Изображение:Img_100_87_1.png|thumb|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<code><br />
1. udpport 694<br />
2. bcast eth1<br />
3. serial /dev/ttyS0<br />
4. baud 9600<br />
5. keepalive 2<br />
6. deadtime 20<br />
7. initdead 60<br />
8. node primary.example.com<br />
9. node backup.example.com<br />
</code><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>9</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<code><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</code><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<code><br />
chmod 755 tester<br />
</code><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<code><br />
chmod 600 authkeys<br />
</code><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.<br />
com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/<br />
ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:<br />
primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/<br />
tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for<br />
node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<code><br />
/etc/init.d/httpd start<br />
</code><br />
и проверьте, что, открыв в браузере адрес <nowiki><font color=blue>http://localhost</font></nowiki>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<code><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</code><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<code><br />
ps -ef | grep httpd<br />
</code><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <nowiki><font color=blue>www.example.com</font></nowiki> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <nowiki><font color=blue>http://www.example.com</font></nowiki>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<code><br />
arp -a<br />
</code><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<code><br />
/etc/init.d/heartbeat stop<br />
</code><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <nowiki><font color=blue>www.example.com</font></nowiki> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF100-101:Hardcore_LinuxLXF100-101:Hardcore Linux2009-03-06T23:06:29Z<p>Kipruss: новая статья</p>
<hr />
<div>==Кластеры: Повышаем отказоустойчивость.==<br />
<br />
Отказоустойчивость – то свойство, которое помогает кластеру пережить сбой электропитания и другие бедствия. '''Д-р Крис Браун''' покажет, как удержаться на плаву.<br />
<br />
<br />
Журналы доступа к моей web-странице – не самое захватывающее чтиво. Если исключить случайные вторжения роботов поисковых систем, посетители заходят на сайт не чаще раза в неделю. Честно говоря, если сайт упадет, это заметят разве что через несколько месяцев. Даже грустно. Другая крайность – коммерческие web-сайты, приносящие владельцам ежедневный доход: несколько минут простоя такого сайта выливаются в ощутимые убытки для компании. На данном уроке я расскажу, как создать в Linux отказоустойчивый кластер. В случае краха основного сервера система автоматически переключается на запасной, а снаружи кластер выглядит как один очень надежный сервер. Нам поможет открытая программа ''Heartbeat'', найти которую можно на сайте www.linuxha.org. Кластер мы построим из двух компьютеров (основной и запасной сервер). ''Heartbeat'' будет отвечать за обнаружение отказа основного сервера и управлять запуском нужного нам сервиса на запасном. Мы воспользуемся сервисом ''Apache (httpd)'', но эта технология подойдет и для любого другого сервиса: FTP, DNS или почтового. В общем, все будет работать примерно так:<br />
<br />
# В обычном режиме необходимые сервисы (типа ''httpd'') предоставляются основным сервером.<br />
# Основной и запасной серверы постоянно обмениваются друг с другом сообщениями ''Heartbeat'' [англ. пульс], которые говорят запасному серверу, что с основным все в порядке.<br />
# Если запасной сервер не получает сообщения, он перенимает ресурсы основного сервера (например, запускает собственную копию сервера ''httpd'').<br />
# Запасной сервер перенимает IP-адрес, по которому предоставлялся сервис на основном сервере.<br />
<br />
===Начинаем: компоненты системы===<br />
<br />
Если вы намерены двинуться дальше и попробовать все на практике, то вам понадобятся три компьютера – основной сервер, запасной сервер и клиент, с помощью которого мы сможем проверить, как все работает.<br />
<br />
На основном и запасном серверах должен быть установлен Linux, на клиенте – необязательно (хотя под Linux в вашем распоряжении окажутся лучшие средства диагностики). Компьютеры должны быть подключены к сети Ethernet. Для обмена сигналами ''Heartbeat'' на основном и запасном серверах должна быть вторая сетевая карта. Эти карты нужно соединить друг с другом либо перекрестным (crossover) кабелем, либо через мини-хаб. Если на обоих компьютерах есть последовательный порт, то вместо второго Ethernet-подключения можно соединить их последовательные порты перекрестным кабелем, по которому будет производиться обмен сигналами. Общая схема показана на [[:Изображение:Img_100_87_1.png|Рис. 1]].<br />
<br />
===Установка heartbeat-соединения===<br />
<br />
Если обмен сигналами ''Heartbeat'' будет осуществляться через Ethernet, соединить сетевые карты друг с другом можно двумя способами: либо через перекрестный кабель RJ45, либо парой обычных кабелей через мини-хаб. Первый вариант лучше, потому что здесь нечему выходить из строя. Каждой из карт нужно назначить статический IP-адрес, причем выбранный из частного диапазона, ни один адрес из которого не используется во внутренней сети. Например, первой карте можно назначить адрес 10.0.0.1, второй – 10.0.0.2. Убедитесь, что компьютеры могут достучаться друг до друга [ping].<br />
<br />
Также можно использовать и соединение через последовательный порт. Тогда нам потребуется последовательный перекрестный кабель. На обоих концах этого кабеля, который еще называют нуль-модемным, имеется 9-контактный разъем типа «мама». Кабелем нужно соединить последовательные порты компьютеров. (Последовательные порты и кабели сейчас используются редко, и если на ваших компьютерах их нет, проще пойти и купить вторую сетевую карту для соединения по Ethernet.)<br />
<br />
Чтобы проверить соединение через последовательные порты, выполните на основном сервере команду:<br />
<code><br />
cat /dev/ttyS0<br />
</code><br />
а на запасном – команду:<br />
<code><br />
cat /etc/fstab > /dev/ttyS0<br />
</code><br />
<br />
На основном сервере должно отображаться содержимое файла. Повторите эксперимент в обратном направлении.<br />
<br />
''Heartbeat'' будет прекрасно работать с соединением любого типа. Преимущество Ethernet-соединения – трафик ''Heartbeat'' в этом случае можно отслеживать с помощью одной из утилит для отслеживания пакетов (например, wireshark). Можно даже использовать одновременно оба соединения, что позволит обойтись без ненужных откатов, если только одно из них выйдет из строя.<br />
<br />
[[Изображение:Img_100_87_1.png|thumb|Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.]]<br />
<br />
===Настройка сетевых интерфейсов===<br />
<br />
Оба сетевых интерфейса, которые участвуют в ''Heartbeat''-соединении, должны быть настроены на статические IP-адреса, так как DHCP-сервера в этой «сети» точно нет. Статические адреса должны быть и на основных интерфейсах, которые используются для подключения к основному и запасному серверам. Обратите внимание, что это НЕ те адреса, на которых предоставляется сервис. ''Heartbeat'' назначит сетевой карте исправного компьютера второй IP-адрес, и именно он будет использоваться клиентами для доступа к ресурсу.<br />
<br />
===Три файла конфигурации===<br />
<br />
Сразу после установки Heartbeat нужно создать в каталоге '''/etc/ha.d''' три (да, три!) файла конфигурации, а именно:<br />
<br />
* '''ha.cf''' Файл содержит настройки самого ''Heartbeat''; в нем определяются используемые программой пути и устанавливаются некоторые временные параметры.<br />
* '''haresources''' Этот файл определяет ресурсы (сервисы), которыми будет управлять Heartbeat, и основной сервер для каждого из этих ресурсов.<br />
* '''authkey''' В этом файле задается пароль и метод шифрования, используемый для аутентификации Heartbeat-сообщений.<br />
<br />
Начнем с '''ha.cf'''. Пример этого файла можно найти в документации на ''Heartbeat'' ('''/usr/share/doc/heartbeat/ha.cf'''). Это один из файлов типа «визгу много, проку мало», которые целиком состоят из документации и закомментированных примеров. Можно скопировать его в '''/etc/ha.d''' и использовать как отправную точку, или создать свой файл с нуля.<br />
<br />
{{Врезка<br />
|Заголовок=Ошибка!<br />
|Содержание=В этой статье мы не говорим о том, как предотвратить неисправности других типов, например, те, что возникают в инфраструктуре самого интернета. В частности, мы не говорим о создании дополнительных информационных каналов для связи с сайтом. Впрочем, это не так уж и важно, потому что врожденная гибкость архитектуры интернета позволяет поглощать частные сбои. Часто даже говорят, что сеть ARPANET (предшественник интернета) разрабатывалась с таким расчетом, чтобы выдержать взрыв атомной бомбы. ARPANET и правда должна была справляться с утратой части сети, но главная причина была в том, что коммутация узлов сети и связей внутри нее была не особенно надежной, даже и без атомной бомбы.<br />
|Ширина=200px}}<br />
<br />
Вот минимальный вариант этого файла. Номера строк даны только для удобства ссылок, в самом файле их нет:<br />
<code><br />
1. udpport 694<br />
2. bcast eth1<br />
3. serial /dev/ttyS0<br />
4. baud 9600<br />
5. keepalive 2<br />
6. deadtime 20<br />
7. initdead 60<br />
8. node primary.example.com<br />
9. node backup.example.com<br />
</code><br />
<br />
Строки <font color=darkred>1</font> и <font color=darkred>2</font> задают номер порта и сетевой интерфейс, используемые для Heartbeat-соединения. Для соединения через последовательные порты в строках <font color=darkred>3</font> и <font color=darkred>3</font> задается порт и скорость соединения. Можно (и рекомендуется) использовать оба типа, но у меня было только соединение через последовательные порты, и я закомментировал строки <font color=darkred>1</font> и <font color=darkred>2</font>. В строке <font color=darkred>5</font> задается тайм-аут между сообщениями, а строка <font color=darkred>6</font> определяет время, по истечении которого, не дождавшись очередного сообщения от основного сервера, запасной сочтет его покойником. В строке <font color=darkred>7</font> указывается время, необходимое для активации сетевого интерфейса после включения компьютера, после чего ''Heartbeat'' начинает функционировать. В строках <font color=darkred>9</font> и <font color=darkred>9</font> задаются имена хостов для основного и запасного серверов (те, что возвращает команда <font color=darkred>uname -n</font>).<br />
<br />
Для начала попробуем управлять полностью фиктивным сервисом '''tester'''. Мы напишем скрипт, '''/etc/ha.d/resources.d/tester''', вызываемый ''Heartbeat''. Он будет всего лишь вызывать команду <font color=darkred>logger</font>, которая сообщит нам (через ''syslogd''), что скрипт был запущен. Вот как он выглядит:<br />
<code><br />
#!/bin/bash<br />
logger $0 called with argument $1<br />
</code><br />
<br />
Скрипт нужно сделать исполняемым, например, так:<br />
<code><br />
chmod 755 tester<br />
</code><br />
<br />
В следующем файле, ''haresources'', содержится список ресурсов, которыми управляет ''Heartbeat''. Когда компьютер выходит из строя, эти ресурсы перемещаются с одного узла сети на другой. (попробуйте произносить это как “ha-resources”, а не “hare-sauces” <font color=blue>[англ. hare – заяц, source – источник, sauce – соус, – прим. ред.]</font>. По правде говоря, я сроду не ел зайчатины, но первым делом подумал о кролике и решил, что подойдет клюквенный соус.) Опять же, пример этого файла можно найти в документации ('''/usr/share/doc/Heartbeat''') – можете просто скопировать его в '''/etc/ha.d''' или создать свой собственный файл с нуля. Для нашего первого теста в этом файле должна быть всего одна строка:<br />
<code><br />
primary.example.com tester<br />
</code><br />
<br />
Также нужно создать файл '''/etc/ha.d/authkeys''', содержащий ключи, используемые для аутентификации ''Heartbeat''-сообщений, например:<br />
<code><br />
auth1<br />
1 sha1 foobar<br />
</code><br />
<br />
Нужно позаботиться, чтобы читать этот файл мог только администратор:<br />
<code><br />
chmod 600 authkeys<br />
</code><br />
<br />
Если права доступа к этому файлу есть у кого-то еще, ''Heartbeat'' не запустится.<br />
<br />
Скопируйте эти четыре файла с основного сервера на запасной в соответствующие каталоги. Файл '''ha.cf''', возможно, придется подправить в зависимости от аппаратного обеспечения компьютера, а остальные файлы должны быть одинаковыми на обоих компьютерах.<br />
<br />
Теперь можно запустить ''Heartbeat''. Для отслеживания сообщений ''Heartbeat'' на обоих компьютерах запустите <font color=darkred>tail -f</font> для файла журнала ('''/var/log/messages'''). Запустите программу с помощью команды:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
{{Врезка<br />
|Заголовок=Украденная личность<br />
|Содержание=Перенос IP-адреса на другой компьютер – компьютерный эквивалент «воровства личности»: вы притворяетесь кем-то другим, а потом убеждаете весь мир, что вы настоящий. В процессе переноса системы на запасной сервер обязано произойти следующее. Во-первых, основной сервер должен отдать IP-адрес. Если он загорелся или нашел другую кончину, это произойдет по умолчанию, но если heartbeat останавливается на другом (исправном) сервере, адрес, очевидно, нужно забрать назад. Другая проблема – обновление записей в ARP-кэше. Доставка сетевого пакета на конкретный компьютер в конечном счете основана на его MAC-адресе – уникальном 48-битном номере, зашитом в каждую сетевую карту. Чтобы определить MAC-адрес компьютера по его IP-адресу, используется протокол ARP (Address Resolution Protocol – протокол разрешения адресов). Записи о соответствии IP-адресов и MAC-адресов обычно хранятся в кэше ARP 10–15 минут. Чтобы принудительно обновить ARP-кэш на других компьютерах, heartbeat рассылает в сеть так называемые «незаконные» [gratuitous] ARP-пакеты с компьютера, перенявшего IP-адрес.<br />
|Ширина=200px}}<br />
<br />
На обоих компьютерах действия ''Heartbeat'' будут писаться в журнал. На основном сервере среди прочего должно появиться сообщение типа:<br />
<code><br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
</code><br />
<br />
Оно означает, что основной сервер, как и ожидалось, запустил сервис '''tester'''.<br />
<br />
{{Врезка<br />
|Заголовок=Загружаем heartbeat<br />
|Содержание=''Heartbeat'' нужно установить и на основном, и на запасном сервере. У меня на обоих компьютерах была установлена CentOS 5 (фактически, RHEL5). Я просто установил ''heartbeat'' вместе с зависимостями (которые включали ''heartbeat-pils'' и ''heartbeat-stonith'') из репозиториев CentOS с помощью ''yum''. Похожие пакеты есть и в репозиториях других дистрибутивов, таких как Ubuntu; в виде пакета RPMs для SUSE/Novell Linux их можно найти на сайте http://www.linux-ha.org/ или загрузить архив с исходными кодами с этого же сайта и скомпилировать программу из них.<br />
|Ширина=200px}}<br />
<br />
''Heartbeat'' запущен, и мы можем проверить поведение системы в случае отказа. Я просто выдернул шнур электропитания из основного сервера и наблюдал за сообщениями в файле журнала запасного. По истечении заданного времени запасной сервер сообщил об отказе основного и запустил сервис '''tester'''. Вот соответствующие строки журнала:<br />
<code><br />
heartbeat: [9615]: WARN: node primary.example.com: is dead<br />
heartbeat: [9615]: WARN: No STONITH device configured.<br />
heartbeat: [9615]: WARN: Shared disks are not protected.<br />
heartbeat: [9615]: info: Resources being acquired from primary.example.<br />
com.<br />
heartbeat: [9615]: info: Link primary.example.com:/dev/ttyS0 dead.<br />
heartbeat: [10305]: info: No local resources [/usr/share/heartbeat/<br />
ResourceManager listkeys backup.example.com] to acquire.<br />
harc[10304]: [10323]: info: Running /etc/ha.d/rc.d/status status<br />
mach_down[10329]: [10350]: info: Taking over resource group tester<br />
ResourceManager[10351]: [10362]: info: Acquiring resource group:<br />
primary.example.com tester<br />
logger: /etc/ha.d/resource.d/tester called with argument status<br />
ResourceManager[10351]: [10379]: info: Running /etc/ha.d/resource.d/<br />
tester start<br />
logger: /etc/ha.d/resource.d/tester called with argument start<br />
mach_down[10329]: [10384]: info: mach_down takeover complete for<br />
node primary.example.com.<br />
</code><br />
<br />
Первая проверка завершилась успешно, и пора поручить ''Heartbeat'' управление полноценным сервисом. Для этого проекта я выбрал httpd. Таким образом, сейчас нам нужно убедиться, что ''Apache'' установлен на обоих компьютерах, и положить в корневой каталог web-сервера какие-нибудь легко распознаваемые файлы. Я просто создал два файла '''/var/www/html/index.html''', по одному для основного и запасного серверов; в файле для основного сервера была строка “This is the website from the primary server”, для запасного – “This is the website from the backup server” («Это сайт с основного/запасного сервера»). На обоих компьютерах запустите ''httpd'':<br />
<code><br />
/etc/init.d/httpd start<br />
</code><br />
и проверьте, что, открыв в браузере адрес <nowiki><font color=blue>http://localhost</font></nowiki>, вы видите эти файлы. Теперь остановите ''Apache'' и убедитесь, что он не запустится автоматически при загрузке системы. Воспользуйтесь командами:<br />
<code><br />
/etc/init.d/httpd stop<br />
chkconfig httpd --del<br />
</code><br />
<br />
Это важно, потому что ''Apache'' должен запуститься не во время загрузки, а только если ''Heartbeat'' запустил его.<br />
<br />
Теперь нужно изменить файл ''haresources'' так:<br />
<code><br />
primary.example.com httpd<br />
primary.example.com 192.168.0.50<br />
</code><br />
<br />
В первой строке указывается сервис, которым будет управлять ''Heartbeat'', а во второй – IP-адрес, используемый клиентом для доступа к сервису. При запуске ''Heartbeat'' этот адрес назначается на основной сервер как второй IP-адрес. Если основной сервер откажет, копия ''Heartbeat'', запущенная на запасном сервере, перенесет этот IP-адрес на свой сетевой интерфейс.<br />
<br />
Предполагается, что ''Heartbeat'' будет управлять сервисами путем запуска скрипта, указанного в '''haresources''', с аргументами <font color=darkred>start</font>, <font color=darkred>stop</font> или <font color=darkred>status</font>. Конечно, это те самые аргументы скриптов каталога '''/etc/init.d''', что используются для запуска сервисов во время загрузки системы, и, по правде говоря, ''Heartbeat'' будет автоматически искать скрипт '''httpd''' в каталоге '''/etc/init.d'''.<br />
<br />
После внесения этих изменений в конфигурацию основного и запасного серверов можно снова запустить ''Heartbeat'' на каждом из них:<br />
<code><br />
/etc/init.d/heartbeat start<br />
</code><br />
<br />
Когда ''Heartbeat'' войдет в нормальный режим работы, нужно кое-что проверить. На основном сервере запустите:<br />
<code><br />
ip addr show<br />
</code><br />
и проверьте, что ''Heartbeat'' назначил второй IP-адрес (в нашем примере <font color=darkred>192.168.0.50</font>) на наш сетевой интерфейс. Также запустите команду<br />
<code><br />
ps -ef | grep httpd<br />
</code><br />
которая проверит, что сервис ''httpd'' запущен. На запасной сервер второй IP-адрес не назначается, а сервис ''httpd'' на нем не выполняется.<br />
<br />
Теперь пора загрузить третий компьютер, чтобы использовать в качестве клиента. Убедитесь, что он может разрешить имя компьютера, на котором запущен сервис, по его IP-адресу. Для этого я просто добавил строку<br />
<code><br />
192.168.0.50 www.example.com<br />
</code><br />
в файл '''/etc/hosts'''. Проверьте, пингуется ли адрес <nowiki><font color=blue>www.example.com</font></nowiki> с компьютера клиента. Откройте в браузере на клиентском компьютере страницу <nowiki><font color=blue>http://www.example.com</font></nowiki>. Вы должны увидеть файл '''index.html''' основного сервера. На клиенте также можно проверить кэш '''arp''', запустив команду<br />
<code><br />
arp -a<br />
</code><br />
и обратить внимание на MAC-адрес, связанный с IP-адресом 192.168.0.50. В моем случае результат работы команды был таким:<br />
<code><br />
www.example.com (192.168.0.50) at 00:0C:F1:96:A3:F7 [ether] on eth0<br />
</code><br />
<br />
===Ладно, и как это работает?===<br />
<br />
Мы подошли к драматической развязке: демонстрации переноса сервиса на запасной сервер в случае отказа основного. Можно было просто отключить питание основного сервера, как и в предыдущем эксперименте, но на сей раз я избрал более кроткий способ – просто остановил ''Heartbeat'' на основном сервере командой:<br />
<code><br />
/etc/init.d/heartbeat stop<br />
</code><br />
<br />
Остановившись, ''Heartbeat'' остановит ''httpd'' на основном сервере и проинформирует запасной сервер об отключении основного (через ''Heartbeat''-соединение). Запасной сервер сразу возьмет управление на себя, и в файле его журнала ('''/var/log/messages''') появятся новые сообщения. Два из них наиболее важны (время и другую информацию в начале строки я удалил):<br />
<code><br />
Running /etc/init.d/httpd start<br />
Registering new address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
В этом случае все заняло пару секунд. Если бы я просто выдернул из сети шнур питания основного сервера, то на восстановление системы потребовалось бы больше времени: в этом случае перед тем, как сделать вывод об отказе основного сервера и взять управление на себя, запасной сервер ожидал бы ответа 20 секунд (параметр <font color=darkred>deadtime</font> в файле '''ha.cf''').<br />
<br />
На клиентском компьютере следует провести пару важных тестов. Во-первых, попробуйте обновить страницу <nowiki><font color=blue>www.example.com</font></nowiki> в браузере. Должна появиться страница запасного сервера. Во-вторых, еще раз просмотрите содержимое ARP-кэша. На моем компьютере команда <font color=darkred>arp –a</font> вернула следующий результат:<br />
<code><br />
www.example.com (192.168.0.50) at 00:10:60:60:3E:8E [ether] on eth0<br />
</code><br />
<br />
Это означает, что пакеты, предназначенные для адреса <font color=darkred>192.168.0.50</font>, теперь будут направляться на запасной сервер.<br />
<br />
А что же дальше? Ну, наверное, со временем кто-то доберется до основного сервера, починит его и перезапустит. Когда ''Heartbeat'' перезапускается, он сообщает об этом запасному серверу через ''Heartbeat''-соединение. В журнале запасного сервера появятся такие строки:<br />
<code><br />
Heartbeat restart on node primary.example.com<br />
Releasing resource group: primary.example.com httpd<br />
Running /etc/init.d/httpd stop<br />
Withdrawing address record for 192.168.0.50 on eth0<br />
</code><br />
<br />
Они означают, что запасной сервер освободил ресурсы и разрешил основному забрать их.<br />
<br />
Если у вас хватило духу дочитать до конца, поздравляю! Вы создали отказоустойчивый кластер в Linux и можете начать делать на этом деньги в реальном мире! Однако прежде чем пойти на собеседование в Google, NASA или даже Krazy Ken’s 24x7 Liquorice Emporium, быть может, вы захотите узнать о некоторых вопросах подробнее.<br />
<br />
Один из них – это концепция «ограждения» (fencing). Когда запасной сервер перенимает ресурсы основного, нужно как-то гарантировать, чтобы основной сервер не попытался снова предоставить эти сервисы. ''Heartbeat'' может использовать для этого механизм STONITH (“shoot the other node in the head” – «контрольный выстрел в голову»), если вы купите устройство, программно отключающее питание компьютера. Второй вопрос – как синхронизировать содержимое двух web-серверов. В нашем примере мы умышленно сделали его разным, но на практике может потребоваться какое-то средство синхронизации их содержимого (''rsync'' или ''unison''). '''LXF'''<br />
<br />
{{Врезка<br />
|Заголовок=Дополнительная информация<br />
|Содержание=Побольше узнать о ''heartbeat'' можно в документации '''/usr/share/doc/heartbeat''' (каталог зависит от конкретного дистрибутива), в частности, в файле '''GettingStarted'''. На сайте Linux HA также есть руководства и документация. Рекомендую вам прекрасную книжку “Linux Enterprise Cluster: Build a Highly Available Cluster with Commodity Hardware and Free Software” (No Starch Press, ISBN 1-59327-036-4).<br />
|Ширина=200px}}<br />
<br />
[[Категория:Учебники]]<br />
[[Категория:Hardcore Linux]]<br />
[[Категория:Крис Браун]]</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Img_100_87_1.pngФайл:Img 100 87 1.png2009-03-06T22:10:18Z<p>Kipruss: Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.</p>
<hr />
<div>Рис. 1: Общая схема проекта; обратите внимание на IP-адреса.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:YaleksОбсуждение участника:Yaleks2009-03-06T20:36:34Z<p>Kipruss: /* Присоединение к проекту */</p>
<hr />
<div>Установил расширения Cite, ParserFunctions и SyntaxHighlight - проверяйте --17:21, 11 марта 2008 (MSK)<br />
<br />
Вы вчера перенесли статью LXF97:TEX в LXF97:Препринт, но при этом некорректно изменили оглавление номера, оставив в нем ссылку на LXF97:TEX, но удалив при этом ссылку на следующую статью Андрея Боровского. Я ее найти в списке статей не могу. Верните ее пожалуйста на место. --[[Участник:Crazy Rebel|Crazy Rebel]] 08:07, 3 октября 2008 (MSD) <br />
: Я просто очистил содержимое, сама статья была создана давно. Оглавление сейчас пофиксил. --[[Участник:Yaleks|Yaleks]] 15:07, 4 октября 2008 (MSD)<br />
<br />
== Викификация LXF70-77 ==<br />
До сих пор я занимался викификацией LXF c конца, а Вы с начала. Но теперь, когда остались не завершенными только самые начальные номера, причем в каждом из них уже сделана какая то часть работы, Валентин Синицин посоетовал обратиться непосредственно к Вам, чтобы разделить оставшиеся для викификации статьи. В принципе я могу пойти и другим путем - начиная викификацию 2008 года. Так что давайте решим как будет удобнее. --[[Участник:Crazy Rebel|Crazy Rebel]]<br />
<br />
* Вот что осталось (если существующие оглавления полные):<br />
<nowiki># <s>[[LXF74-75:Inkscape]] (13 ссылок)</s><br />
# <s>[[LXF71:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF72:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:Сравнение: Электронные фотоальбомы]] (2 ссылки)</s><br />
# <s>[[LXF74-75:Технологии Linux-2006]] (2 ссылки)</s><br />
# <s>[[LXF71:VariCAD 2005]]</s><br />
# <s>[[LXF71:KOffice 1.4]]</s><br />
# <s>[[LXF71:SmoothWall Firewall 4]]</s><br />
# <s>[[LXF71:Amarok 1.3]]</s><br />
# <s>[[LXF71:Спецрепортаж]]</s><br />
# <s>[[LXF71:Настольный Linux]]</s><br />
# <s>[[LXF71:Гонка за лидером]]</s><br />
# <s>[[LXF71:Дневники Linux]]</s><br />
# <s>[[LXF71:Subversion]]</s><br />
# <s>[[LXF77:Realsoft 3D]]</s><br />
# <s>[[LXF72:Советы по ускорению]]</s><br />
# <s>[[LXF76:Азбука записи]]</s><br />
# <s>[[LXF73:Автомонтирование USB]]</s><br />
# <s>[[LXF73:Русификация Debian 3.1]]</s><br />
# <s>[[LXF72:Frequently Asked Questions]]</s><br />
# <s>[[LXF72:Краткая справка]]</s><br />
# <s>[[LXF71:Ответы]]</s><br />
# <s>[[LXF72:Ответы]]</s><br />
# <s>[[LXF73:Ответы]]</s><br />
# <s>[[LXF74-75:Ответы]]</s><br />
# <s>[[LXF77:Ответы]]</s><br />
# <s>[[LXF71:Первые шаги]]</s><br />
# <s>[[LXF72:Первые шаги Печать]]</s><br />
# <s>[[LXF74-75:Первые шаги]]</s><br />
# <s>[[LXF77:Сравнение]]</s><br />
# <s>[[LXF71:Сравнение]]</s><br />
# <s>[[LXF76:Сравнение]]</s><br />
# <s>[[LXF76:Что такое]] GPL V3</s><br />
# <s>[[LXF76:Интервью]] Джереми Элиссон</s><br />
# <s>[[LXF76:Трюки с железом]]</s><br />
# <s>[[LXF76:Интервью2]] Йон фон Течнер</s><br />
# <s>[[LXF76:Dynebolic]]</s><br />
# <s>[[LXF76:MythTV]]</s></nowiki><br />
<br />
Большое число из этого уже устарело и представляет лишь исторический интерес. Можно тут <s>отмечать</s> (<nowiki><s>...</s></nowiki>) перед викификаций, чтобы не было коллизий. --[[Участник:Yaleks|Yaleks]] 22:45, 3 февраля 2009 (MSK)<br />
<br />
* Поздравляю! Позиции в списке закончились.<br />
** Это да, но мне ещё спецрепортаж доделывать. --[[Участник:Yaleks|Yaleks]] 20:24, 5 марта 2009 (MSK)<br />
*** Я так сильно подозреваю, что это не единственная проблема, хотя я старался и выверял все номера, но могли гдето и недоделки остаться и статьи спрятаться. Но в общем следует считать, что эта часть завершена. Тем более что спецрепортаж это большая но всего одна статья.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:08, 6 марта 2009 (MSK)<br />
<br />
== LXF72 Советы по ускорению ==<br />
<br />
А зачем там было делать "LXF72..." загловком? Я тоже так вначале сделал, но мне крайне не понравилось, что советы нумеруются 1.1 ... 1.32 тогда как в моем варианта было 1, 2 .... Ну и еще почему заголовок статьи Вы выделяетя двумя знаками <nowiki>==</nowiki> ведь можно и одним, тогда каждый вопрос отделяется друг от друго горизонтальной линией.<br />
:* <nowiki>==</nowiki> это заголовок 1-ого уровня вики-синтаксиса (= использовать некорректно). И где вы редактируете статьи, что там вставляется какой-то 2-х байтовый пробел? Через OCR что-ли пропускаете? --[[Участник:Yaleks|Yaleks]] 22:15, 26 февраля 2009 (MSK)<br />
:::* Статьи я копирую из kpdf собственно сразу в окно Firefox, откуда там стали браться неразрывные пробелы я понятия не имею. Возможно такие pdf-ки потому что LXF99 я делал таким же способом но никаких неразрывных пробелов там нет. Или это так работает новый kpdf.<br />
:::* Проблему решил так - сначала копирую текст в kate там удаляю всю гадость (заменой по тексту) и уже потом вставляю в окно Firefox.<br />
<br />
== LXF100 ... ==<br />
<br />
В общем то викификация LXF70-99 подходит к концу и Синицын уже спрашивал меня о продолжении работы. Я согласен и как я понимаю Вы тоже. Но у Вас несколько другой подход - викифицировать не номерами, а темами. В приципе я вижу и преимущества и недостатки такого подхода. Ну из перимуществ это то, что пользователь получает информацию которая должна быть для него наиболее интересна, а из недостатков- отдельный номер может быть так до конца и не закончен. Будет осутствовать общий стиль оформлния. В общем я готов на любой подход к викификации. Если мы будем пользоваться Вашим методом то предлагаю делать так чтобы не пересекаться - Заранее оглавления не делаем, кто создает статью, тот ее и викифицирует.<br />
: Если вы посмотрите на статистику хотя-бы нескольких ресурсов, то поймёте, что удержать и заставить посмотреть хотя-бы 3 страницы очень сложно. Потому иметь законченные и связанные кластеры статей лучше, чем несвязанную подборку из одного номера. Очень мало людей приходят введя адрес первой страницы и читают по-порядку, в основном по ссылкам с других сайтов или поисковых систем. --[[Участник:Yaleks|Yaleks]] 15:24, 1 марта 2009 (MSK)<br />
:: И всеже я предлагаю сначала закончить LXF71 и только после этого приступать к 100 и далее, а то Синицын мне как то писал что руководство недовольно, что викификация этих номеров не закончена. А в остальном полностью согласен. Предлагаю значит сделать как раз так - кто начал викификацию тот ее и заканчивает. Чтобы нам тут оглавление не составлять.<br />
<br />
== Присоединение к проекту ==<br />
<br />
Обращаюсь к Yaleks'у, как к координатору: я готов в меру сил помочь в викификации того, что наиболее нужно в настоящее время. Номера 100-106 имеются, скачал по ссылке, которую дал Валентин. Мой почтовый адрес: kipruss_A_mail.ru. После прочтения, думаю, этот раздел можно удалить. :)<br />
<br />
* Ну так выбирайте статью, вроде как решили с учебников начать, а то и цикл, вписывайте на соответствующей странице(цах) его название и вперед. Валентин сказал что за оформлением оглавления журанлов он сам проследит, но всетаки постарайтесь как в журнале делать название статьи и аннотацию.--[[Участник:Crazy Rebel|Crazy Rebel]] 10:10, 6 марта 2009 (MSK)<br />
** Раз с учебников, то беру цикл "Hardcore Linux". Потом - Django, но этот цикл начинается с мая, по-моему - наверное лучше сделать те, которые продолжаются с прошлого года.--[[Участник:Kipruss|Kipruss]] 23:36, 6 марта 2009 (MSK)<br />
* Смотрите на оформление существующих статей и делайте по аналогии (также см. [[Информация для авторов]]). Crazy Rebel, осталось расхождение с наименование картинок, я всё-таки предлагаю, чтобы в названии был номер журнала и страницы (возможно выбранный в начале Img не очень логично и лучше перейти к LXF10X_YY_Z.{jpg/png}). --[[Участник:Yaleks|Yaleks]] 11:57, 6 марта 2009 (MSK)<br />
** Хорошо. Со следующей статьи начну именовать так. Не думаю что надо что либо переделывать в уже викифицицированных журналах если только качество старых картинок не нравится.--[[Участник:Crazy Rebel|Crazy Rebel]] 16:35, 6 марта 2009 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:YaleksОбсуждение участника:Yaleks2009-03-05T22:39:01Z<p>Kipruss: /* LXF100 ... */</p>
<hr />
<div>Установил расширения Cite, ParserFunctions и SyntaxHighlight - проверяйте --17:21, 11 марта 2008 (MSK)<br />
<br />
Вы вчера перенесли статью LXF97:TEX в LXF97:Препринт, но при этом некорректно изменили оглавление номера, оставив в нем ссылку на LXF97:TEX, но удалив при этом ссылку на следующую статью Андрея Боровского. Я ее найти в списке статей не могу. Верните ее пожалуйста на место. --[[Участник:Crazy Rebel|Crazy Rebel]] 08:07, 3 октября 2008 (MSD) <br />
: Я просто очистил содержимое, сама статья была создана давно. Оглавление сейчас пофиксил. --[[Участник:Yaleks|Yaleks]] 15:07, 4 октября 2008 (MSD)<br />
<br />
== Викификация LXF70-77 ==<br />
До сих пор я занимался викификацией LXF c конца, а Вы с начала. Но теперь, когда остались не завершенными только самые начальные номера, причем в каждом из них уже сделана какая то часть работы, Валентин Синицин посоетовал обратиться непосредственно к Вам, чтобы разделить оставшиеся для викификации статьи. В принципе я могу пойти и другим путем - начиная викификацию 2008 года. Так что давайте решим как будет удобнее. --[[Участник:Crazy Rebel|Crazy Rebel]]<br />
<br />
* Вот что осталось (если существующие оглавления полные):<br />
# <s>[[LXF74-75:Inkscape]] (13 ссылок)</s><br />
# <s>[[LXF71:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF72:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:GIMP]]</s> (7 ссылок)<br />
# <s>[[LXF73:Сравнение: Электронные фотоальбомы]] (2 ссылки)</s><br />
# <s>[[LXF74-75:Технологии Linux-2006]] (2 ссылки)</s><br />
# <s>[[LXF71:VariCAD 2005]]</s><br />
# <s>[[LXF71:KOffice 1.4]]</s><br />
# <s>[[LXF71:SmoothWall Firewall 4]]</s><br />
# <s>[[LXF71:Amarok 1.3]]</s><br />
# <s>[[LXF71:Спецрепортаж]]</s><br />
# <s>[[LXF71:Настольный Linux]]</s><br />
# <s>[[LXF71:Гонка за лидером]]</s><br />
# <s>[[LXF71:Дневники Linux]]</s><br />
# <s>[[LXF71:Subversion]]</s><br />
# <s>[[LXF77:Realsoft 3D]]</s><br />
# <s>[[LXF72:Советы по ускорению]]</s><br />
# <s>[[LXF76:Азбука записи]]</s><br />
# <s>[[LXF73:Автомонтирование USB]]</s><br />
# <s>[[LXF73:Русификация Debian 3.1]]</s><br />
# <s>[[LXF72:Frequently Asked Questions]]</s><br />
# <s>[[LXF72:Краткая справка]]</s><br />
# <s>[[LXF71:Ответы]]</s><br />
# <s>[[LXF72:Ответы]]</s><br />
# <s>[[LXF73:Ответы]]</s><br />
# <s>[[LXF74-75:Ответы]]</s><br />
# <s>[[LXF77:Ответы]]</s><br />
# <s>[[LXF71:Первые шаги]]</s><br />
# <s>[[LXF72:Первые шаги Печать]]</s><br />
# <s>[[LXF74-75:Первые шаги]]</s><br />
# <s>[[LXF77:Сравнение]]</s><br />
# <s>[[LXF71:Сравнение]]</s><br />
# <s>[[LXF76:Сравнение]]</s><br />
# <s>[[LXF76:Что такое]] GPL V3</s><br />
# <s>[[LXF76:Интервью]] Джереми Элиссон</s><br />
# <s>[[LXF76:Трюки с железом]]</s><br />
# <s>[[LXF76:Интервью2]] Йон фон Течнер</s><br />
# <s>[[LXF76:Dynebolic]]</s><br />
# <s>[[LXF76:MythTV]]</s><br />
<br />
Большое число из этого уже устарело и представляет лишь исторический интерес. Можно тут <s>отмечать</s> (<nowiki><s>...</s></nowiki>) перед викификаций, чтобы не было коллизий. --[[Участник:Yaleks|Yaleks]] 22:45, 3 февраля 2009 (MSK)<br />
<br />
* Поздравляю! Позиции в списке закончились.<br />
** Это да, но мне ещё спецрепортаж доделывать. --[[Участник:Yaleks|Yaleks]] 20:24, 5 марта 2009 (MSK)<br />
<br />
== LXF72 Советы по ускорению ==<br />
<br />
А зачем там было делать "LXF72..." загловком? Я тоже так вначале сделал, но мне крайне не понравилось, что советы нумеруются 1.1 ... 1.32 тогда как в моем варианта было 1, 2 .... Ну и еще почему заголовок статьи Вы выделяетя двумя знаками <nowiki>==</nowiki> ведь можно и одним, тогда каждый вопрос отделяется друг от друго горизонтальной линией.<br />
:* <nowiki>==</nowiki> это заголовок 1-ого уровня вики-синтаксиса (= использовать некорректно). И где вы редактируете статьи, что там вставляется какой-то 2-х байтовый пробел? Через OCR что-ли пропускаете? --[[Участник:Yaleks|Yaleks]] 22:15, 26 февраля 2009 (MSK)<br />
:::* Статьи я копирую из kpdf собственно сразу в окно Firefox, откуда там стали браться неразрывные пробелы я понятия не имею. Возможно такие pdf-ки потому что LXF99 я делал таким же способом но никаких неразрывных пробелов там нет. Или это так работает новый kpdf.<br />
:::* Проблему решил так - сначала копирую текст в kate там удаляю всю гадость (заменой по тексту) и уже потом вставляю в окно Firefox.<br />
<br />
== LXF100 ... ==<br />
<br />
В общем то викификация LXF70-99 подходит к концу и Синицын уже спрашивал меня о продолжении работы. Я согласен и как я понимаю Вы тоже. Но у Вас несколько другой подход - викифицировать не номерами, а темами. В приципе я вижу и преимущества и недостатки такого подхода. Ну из перимуществ это то, что пользователь получает информацию которая должна быть для него наиболее интересна, а из недостатков- отдельный номер может быть так до конца и не закончен. Будет осутствовать общий стиль оформлния. В общем я готов на любой подход к викификации. Если мы будем пользоваться Вашим методом то предлагаю делать так чтобы не пересекаться - Заранее оглавления не делаем, кто создает статью, тот ее и викифицирует.<br />
: Если вы посмотрите на статистику хотя-бы нескольких ресурсов, то поймёте, что удержать и заставить посмотреть хотя-бы 3 страницы очень сложно. Потому иметь законченные и связанные кластеры статей лучше, чем несвязанную подборку из одного номера. Очень мало людей приходят введя адрес первой страницы и читают по-порядку, в основном по ссылкам с других сайтов или поисковых систем. --[[Участник:Yaleks|Yaleks]] 15:24, 1 марта 2009 (MSK)<br />
:: И всеже я предлагаю сначала закончить LXF71 и только после этого приступать к 100 и далее, а то Синицын мне как то писал что руководство недовольно, что викификация этих номеров не закончена. А в остальном полностью согласен. Предлагаю значит сделать как раз так - кто начал викификацию тот ее и заканчивает. Чтобы нам тут оглавление не составлять.<br />
<br />
== Присоединение к проекту ==<br />
<br />
Обращаюсь к Yaleks'у, как к координатору: я готов в меру сил помочь в викификации того, что наиболее нужно в настоящее время. Номера 100-106 имеются, скачал по ссылке, которую дал Валентин. Мой почтовый адрес: kipruss@mail.ru. После прочтения, думаю, этот раздел можно удалить. :)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5:LXF94:OpenVPNОбсуждение:LXF94:OpenVPN2008-03-17T09:10:24Z<p>Kipruss: Новая: Lodger, а зачем ты убрал примеры конфигурационных файлов? Они вроде места много не занимают, а без них кар...</p>
<hr />
<div>Lodger, а зачем ты убрал примеры конфигурационных файлов? Они вроде места много не занимают, а без них картина неполная.</div>Kiprusshttp://wiki.linuxformat.ru/wiki/%D0%9E%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA%D0%B0:KiprussОбсуждение участника:Kipruss2008-03-16T20:02:50Z<p>Kipruss: </p>
<hr />
<div>Kipruss, спасибо конечно за помощь.. но я сам переведу свой номер в вики ;)<br />
<br />
О.К., если помощь не требуется, то и ладно. Просто из журнала я понял, что приглашаются все редактировать статьи, которые их интересуют. Я как раз сейчас этой темой заинтересовался - дай, думаю, в Wiki забью, чтобы отовсюду смотреть...</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF94:OpenVPNLXF94:OpenVPN2008-03-15T22:04:29Z<p>Kipruss: /* Шаг 2: Создаем ключи */</p>
<hr />
<div>== OpenVPN за 10 минут ==<br />
<br />
''Технология VPN во многом напоминает перевозку денег в бронированной инкассаторской машине <br />
по улицам многолюдного города. Но какую модель следует выбрать, чтобы ваши ценности не <br />
достались злоумышленникам? Спросите у '''Валентина Яценко'''.''<br />
<br />
VPN – Virtual Private Network, Виртуальная Частная Сеть – технология, позволяющая соединять между собой локальные сети и отдельные компьютеры, находящиеся на расстоянии тысяч километров друг от друга; подключаться к локальной сети через Интернет, используя шифрованный канал связи, организовывать безопасный туннель для передачи важных данных... Возможности применения VPN безграничны! Вам необходимо соединить офисы в разных концах страны единой сетью, не прокладывая километры кабелей? Вы хотите подключаться к домашней локальной сети из Интернет-кафе? Требуется передать важные данные на большое расстояние без риска утечки информации? Может быть, большинство данных, которые вы передаете через Интернет, составляют тайну, и их необходимо обезопасить? Если вы хотя бы на один вопрос ответили утвердительно, VPN – это именно то, что вам нужно!<br />
<br />
=== Шаг 1: Устанавливаем ===<br />
<br />
Пакеты с ''OpenVPN'' доступны для большинства распространенных дистрибутивов, в том числе для RedHat/Fedora, Mandriva, OpenSUSE, Slackware, Debian и Ubuntu. Если ''OpenVPN'' не включен в ваш любимый дистрибутив, попробуйте поискать пакет на [http://rpmfind.net rpmfind.net] (для систем, использующих RPM) или [http://linuxpackages.net linuxpackages.net] (Slackware и производные) Наконец, программу можно загрузить в исходных текстах с официального сайта ([http://openvpn.net openvpn.net]).<br />
<br />
Для установки ''OpenVPN'' также необходимо установить ''OpenSSL'' (openssl.org) и ''liblzo'' (http://www.oberhumer.com/opensource/lzo), которые есть во многих дистрибутивах. Для работы ''OpenVPN'' нужен модуль ядра ''tun''. Он присутствует в большинстве систем, но если команда <font color=darkred>modrpobe tun</font> завершается с ошибкой «Can’t locale module tun», вам придется пересобрать ядро – о том, как это сделать, подробно рассказано в [[LXF89]]. Необходимо включить опцию CONFIG_TUN (Device Drivers –> Network device support –> Universal TUN/TAP device driver support). <br />
<br />
Если вы собираетесь использовать ''OpenVPN'' постоянно, пропишите модуль ''tun'' в '''/etc/modules''' для автоматической инициализации при загрузке либо включите его непосредственно в ядро. В противном случае перед запуском ''OpenVPN'' вам нужно будет загружать модуль ''tun'' самостоятельно (командой <font color=darkred>modrpobe tun</font>). Если вы планируете предоставлять клиентам доступ в Интернет через ''VPN'', необходимо настроить NAT (Network Address Translation). Скорее всего, это уже сделано за вас разработчиками дистрибутива, но на случай возникновения проблем имейте в виду, что нам потребуется опция <font color=darkred>CONFIG_IP_NF_TARGET_MASQUERADE</font> (Networking –> Networking options –> Network packet filtering –> IP tables support –> Full NAT). Для работы с NAT используется утилита ''iptables'' (см. [[LXF87/88]]), которая, скорее всего, уже установлена в вашей системе. Проверьте это и, в случае необходимости, добавьте ее через менеджер пакетов вашего дистрибутива.<br />
<br />
===Шаг 2: Создаем ключи===<br />
<br />
Итак, ''OpenVPN'' установлен. Что дальше? В первую очередь необходимо создать ключи и сертификаты для сервера и клиентов. Скрипты, облегчающие эту задачу, находятся в каталоге '''easy-rsa''' (''см. врезку «Где же easy-rsa?» внизу''). <br />
<br />
В первую очередь, отредактируйте расположенный в нем файл vars. Установите значения переменных: <br />
<br />
* '''KEY_COUNTRY''' – равным двухсимвольному коду вашей страны (для России это <font color=darkred>RU</font>).<br />
* '''KEY_PROVINCE''' – названию вашего региона (например, <font color=darkred>Moscow region</font> или <font color=darkred>MSK</font>).<br />
* '''KEY_CITY''', соответственно – ваш город (скажем, <font color=darkred>Moscow</font>).<br />
* '''KEY_ORG''' – организация (<font color=darkred>OpenVPN Solutions</font> подойдет).<br />
* '''KEY_EMAIL''' – ваш e-mail адрес (<font color=darkred>me@my.e-ma.il</font>).<br />
<br />
Все эти данные необходимы для генерации сертификатов и ключей в соответствии со стандартом, поэтому оставлять какие-то переменные пустыми нельзя.<br />
<br />
Также можно изменить параметр <font color=darkred>KEY_SIZE</font>, отвечающий за размер ключей (максимальный размер ключа, поддерживаемый ''OpenVPN'' – 2048 бит).<br />
<br />
Далее необходимо инициализировать переменные, используемые при создании публичного ключа командой<br />
<br />
. ./vars <br />
<br />
и, на всякий случай, удалить существующие ключи командой<br />
<br />
./clean-all<br />
<br />
После этого следует сгенерировать корневой сертификат (см. [[LXF93]]):<br />
<br />
./build-ca<br />
<br />
В процессе выполнения последнего скрипта вам будет задано несколько вопросов. Нужно ввести только Common Name для сертификата (например, RootCA), все остальные параметры уже заданы в качестве переменных окружения скриптом vars. <br />
<br />
После создания корневого сертификата необходимо сгенерировать для сервера секретный ключ. В этом вам поможет скрипт ''build-key-server''. Как и в предыдущем случае, для большинства вопросов можно оставить ответы по умолчанию. На вопрос о Common Name введите “server”, на два последних вопроса (подписать ли сертификат и – каламбур, но перевод именно такой – сертифицировать ли его) ответьте утвердительно; когда вас спросят о пароле (“A challenge password”) – введите пароль для ключа сервера (запоминать его не нужно). Наберите<br />
<br />
./build-key-server server<br />
<br />
Далее, создайте ключи для необходимого количества клиентов. Эта процедура аналогична созданию ключа для сервера, за исключением того, что для клиентов ключи создаются скриптом <font color=darkred>build-key</font>, а не <font color=darkred>build-key-server</font>. У каждого ключа, конечно же, должно быть указано свое значение в поле Common Name:<br />
<br />
./build-key clientname<br />
<br />
Если вы хотите защитить паролем ключи клиентов, воспользуйтесь вместо ''build-key'' скриптом ''build-key-pass''. И наконец, в довершение ко всем сертификатам и ключам необходимо создать файл параметров Диффи (Diffie) и Хеллмэна (Hellman). Алгоритм Диффи и Хеллмэна позволяет обмениваться секретными ключами по небезопасным каналам. Для их генерации запустите скрипт <br />
''build-dh'' без параметров:<br />
<br />
./build-dh<br />
<br />
Этот процесс занимает определенное время, поэтому владельцам слабых компьютеров стоит попить чаю, вместо того чтобы просто сидеть и ждать окончания работы скрипта. <br />
<br />
Если вам уже надоело возиться с ключами, сертификатами и прочим – не падайте духом: осталось только скопировать нужные файлы на клиентские компьютеры. Клиентам необходимы следующие <br />
файлы:<br />
<br />
* '''ca.crt''' (Root CA certificate) необходим серверу и всем клиентам, он не является секретным.<br />
* '''clientname.crt''' (сертификат клиента <font color=darkred>clientname</font>) необходим только клиенту <font color=darkred>clientname</font>, он не является секретным.<br />
* '''clientname.key''' (ключ клиента <font color=darkred>clientname</font>) необходим только клиенту clientname, это секретный ключ.<br />
<br />
Эти файлы можно найти в подкаталоге '''keys''' каталога '''easy-rsa'''.<br />
<br />
===Шаг 3: Настраиваем===<br />
<br />
Итак, у нас есть все необходимые для работы ''OpenVPN'' файлы – все, кроме конфигурационных, созданием которых мы и займемся. Начнем с сервера. Для создания новых конфигурационных файлов удобно использовать примеры из поставки ''OpenVPN'', они находятся в подкаталоге '''sample-config-files''' каталога ''OpenVPN'' ('''../sample-config-files''', если вы находитесь в каталоге '''easy-rsa'''). В принципе, можно использовать стандартный конфигурационный файл для сервера, изменив некоторые параметры. Вот список этих параметров (некоторые из них, например, <font color=darkred>port</font> и <font color=darkred>protocol</font>, изменять не обязательно):<br />
<br />
* '''ca''' – полный путь до корневого сертификата, который мы создали скриптом ''build-ca''.<br />
* '''cert''' – полный путь до сертификата сервера, который мы создали его скриптом ''build-key-server''. <br />
* '''key''' – путь до ключа сервера, созданного все тем же скриптом ''build-key-server''.<br />
* '''dh''' – путь до файла параметров Диффи и Хеллмэна, созданного скриптом ''build-dh''.<br />
* '''server''' – режим запуска ''OpenVPN''. В строке с режимом запуска для сервера должна быть указана подсеть и маска подсети (пример – <font color=darkred>server 10.8.0.0 255.255.255.0</font>). Подсеть, указанная по умолчанию – 10.8.0.0/24. Если в вашей сети она уже используется, задайте другую локальную подсеть.<br />
* '''port''' – порт, на котором будет запущен сервер. Стандартный порт ''OpenVPN'' – 1194, но вы можете изменить его по своему желанию.<br />
* '''protocol''' – протокол. По умолчанию ''OpenVPN'' использует экономичный UDP, но вы можете предпочесть надежный TCP.<br />
<br />
Если вы не сторонник конфигураций по умолчанию, отредактируйте файл в соответствии со своими предпочтениями. Если же вы не хотите тратить на это время, то можете использовать мой вариант, составленный специально для этой статьи. Вы найдете его на прилагаемом к журналу диске.<br />
<br />
Для создания конфигурационного файла клиента также можно использовать пример, идущий в поставке с ''OpenVPN''. В нем надо изменить пути к необходимым файлам на свои, указать адрес и порт сервера в директиве remote и, кроме того, удостоверится, что выбранные настройки совпадают с настройками сервера (протокол, сжатие и т.п.). Пример конфигурационного файла клиента можно также взять с диска LXF. Тех же, кто хочет предоставлять ''VPN''-клиентам доступ в Интернет, ждет еще один шаг: включение NAT (Network Address Translation, Трансляция сетевых адресов) и настройка маршрутизации. Для начала необходимо написать соответствующее правило ''IPTables'':<br />
<br />
iptables -t nat -A POSTROUTING -s маска_подсети -o внешний_интерфейс -j MASQUERADE <br />
<br />
например:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
Его необходимо сохранить, добавив в файл с правилами iptables или в скрипты загрузки. Затем необходимо включить маршрутизацию, записав в '''/etc/sysctl.conf''' строку <font color=darkred>“net.ipv4.ip_forward = 1”</font> и выполнив команду<br />
<br />
sysctl -w net.ipv4.ip_forward=1<br />
<br />
===Шаг 4: Проверка связи===<br />
<br />
Если вы дошли до этого места, спешу вас обрадовать – остался всего <br />
один, очень простой шаг. Надо запустить ''OpenVPN'' на сервере, а потом <br />
и на всех клиентах. Для сервера: перейдите в каталог с ключами (keys) <br />
и выполните:<br />
<br />
openvpn --config ../sample-config-files/server.conf<br />
<br />
После чего вы должны увидеть подобные строки:<br />
<br />
Thu Aug 31 12:04:20 2006 OpenVPN 2.0.7 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jul 22 2006<br />
Thu Aug 31 12:04:20 2006 Diffie-Hellman initialized with 1024 bit key<br />
Thu Aug 31 12:04:20 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]<br />
Thu Aug 31 12:04:20 2006 TUN/TAP device tun0 opened <Skipped><br />
Thu Aug 31 12:04:20 2006 Initialization Sequence Completed<br />
<br />
На клиенте (клиентах) выполните команду<br />
<br />
openvpn --config client.conf<br />
<br />
после чего проверьте наличие <font color=darkred>tun</font>-интерфейса командой <font color=darkred>ifconfig</font>:<br />
<br />
ifconfig tun0<br />
tun0 Link encap:UNSPEC HWaddr 00:00:00:00:00:00<br />
inet addr:85.140.161.153 P-t-P:10.8.0.2 Mask:255.255.255.0<br />
UP POINTOPOINT RUNNING MTU:1500 Metric:1<br />
RX packets:0 errors:0 dropped:0 overruns:0 frame:0<br />
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0<br />
collisions:0 txqueuelen:10<br />
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) <br />
<br />
Обратите внимание на статус (UP): он означает, что интерфейс находится в активном состоянии. Если в вашей системе имеется более одного <font color=darkred>tun</font>-интерфейса (это можно проверить командой <font color=darkred>ifconfig</font> без параметров), замените <font color=darkred>tun0</font> на <font color=darkred>tun1</font>, <font color=darkred>tun2</font> и т.п. <br />
<br />
Если интерфейс сконфигурирован правильно, проверьте доступность других хостов. Когда путь к файлу соответствий «клиент-IP» (опция <font color=darkred>ifconfig-pool-persist</font> в конфигурационном файле сервера) не указан, их адреса назначаются сервером ''OpenVPN'' случайным образом. Наберите:<br />
<br />
ping 10.8.0.2<br />
<br />
Вместо <font color=darkred>10.8.0.2</font> подставьте IP-адрес, выданный командой <font color=darkred>ifconfig</font> на другой машине. В случае, если интерфейс сконфигурирован правильно, но ответа не приходит, необходимо выяснить, разрешают ли правила межсетевого экрана ICMP-трафик.<br />
<br />
Приходящие ответы свидетельствуют о том, что ''VPN''-соединение установлено и работает. <br />
<br />
===Примечание 1. Врезки===<br />
<br />
'''Почему OpenVPN?'''<br />
<br />
Существует множество реализаций VPN, самые популярные из них – PPTP, ''FreeS/WAN'' и ''OpenVPN''. Почему же в этой статье мы рассмотрим именно последний вариант? PPTP навевает мысли о Microsoft, ''FreeS/WAN'' давно не обновлялся – на его официальном сайте сказано, что последняя версия датируется 22 апреля 2004 года, более того, дальнейших обновлений ''FreeS/WAN'' не будет, а это, согласитесь, недопустимо для проекта, одной из целей которого является обеспечение безопасности... ''OpenVPN'' же активно развивается и регулярно обновляется, использует стойкие криптографические алгоритмы и предлагает множество способов идентификации, в том числе комбинированных, что немаловажно для безопасности. Кроме того, ''OpenVPN'' работает на большинстве распространенных платформ – Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X, Solaris, благодаря чему его можно использовать в гетерогенных сетях. Все это, безусловно, делает ''OpenVPN'' лучшим выбором для организации VPN.<br />
<br />
'''Где искать easy-rsa?'''<br />
<br />
Каталог '''easy-rsa''' может находиться в '''/usr/share/doc/openvpn-2.0''', '''/usr/share/doc/openvpn''', '''/usr/share/doc/openvpn/examples''', '''/usr/share/openvpn''' или в '''/usr/share/doc/packages/openvpn''' – в зависимости от дистрибутива. Его также можно найти в архиве с исходными текстами.<br />
<br />
===Примечание 2. Примеры конфигурационных файлов (с диска)===<br />
<br />
'''server.conf'''<br />
<br />
# Конфигурационный файл сервера OpenVPN (Linux-версия)<br />
# Порт<br />
port 1194<br />
# Протокол<br />
proto udp<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt<br />
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt<br />
key /usr/local/etc/openvpn/easy-rsa/keys/server.key<br />
# Путь к dh (измените на свой)<br />
dh dh1024.pem<br />
# Режим сервера,подсеть 10.8.0.0/24<br />
server 10.8.0.0 255.255.255.0<br />
# Файл соответствий клиент - виртуальный IP (по-умолчанию выдаётся динамический IP)<br />
ifconfig-pool-persist ipp.txt<br />
# Раскомментируйте если хотите, чтобы клиенты "видели" друг друга<br />
;client-to-client<br />
# Отключать после ... секунд без обмена данными (второй параметр)<br />
keepalive 10 120<br />
# Включить сжатие<br />
comp-lzo<br />
# Максимум клиентов одновременно - раскомментируйте если вам нужно ограничение по числу клиентов<br />
;max-clients 100<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
<br />
'''client.conf'''<br />
<br />
# Конфигурационный файл клиента OpenVPN (Linux-версия)<br />
client<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Протокол<br />
proto udp<br />
# Адрес и порт сервера<br />
remote 192.168.0.1 1194<br />
# Если не получается установить соответствие между именем и адресом сервера - продолжать попытки<br />
resolv-retry infinite<br />
# Для клиента не нужно слушать порты<br />
nobind<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
# Сохранять определённые параметры<br />
persist-key<br />
persist-tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /home/qweo/tmp/article/keys/ca.crt<br />
cert /home/qweo/tmp/article/keys/clientname.crt<br />
key /home/qweo/tmp/article/keys/clientname.key<br />
# Включить сжатие (не включайте сжатие если на сервере оно отключено)<br />
comp-lzo<br />
# Уровень журналирования<br />
verb 3<br />
<br />
--[[Участник:Kipruss|Kipruss]] 00:35, 16 марта 2008 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF87/88LXF87/882008-03-15T21:45:25Z<p>Kipruss: Внес из-за отсутствия в содержании. Пока пустой</p>
<hr />
<div>==LXF87/88==</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF94:OpenVPNLXF94:OpenVPN2008-03-15T21:44:06Z<p>Kipruss: /* OpenVPN за 10 минут */</p>
<hr />
<div>== OpenVPN за 10 минут ==<br />
<br />
''Технология VPN во многом напоминает перевозку денег в бронированной инкассаторской машине <br />
по улицам многолюдного города. Но какую модель следует выбрать, чтобы ваши ценности не <br />
достались злоумышленникам? Спросите у '''Валентина Яценко'''.''<br />
<br />
VPN – Virtual Private Network, Виртуальная Частная Сеть – технология, позволяющая соединять между собой локальные сети и отдельные компьютеры, находящиеся на расстоянии тысяч километров друг от друга; подключаться к локальной сети через Интернет, используя шифрованный канал связи, организовывать безопасный туннель для передачи важных данных... Возможности применения VPN безграничны! Вам необходимо соединить офисы в разных концах страны единой сетью, не прокладывая километры кабелей? Вы хотите подключаться к домашней локальной сети из Интернет-кафе? Требуется передать важные данные на большое расстояние без риска утечки информации? Может быть, большинство данных, которые вы передаете через Интернет, составляют тайну, и их необходимо обезопасить? Если вы хотя бы на один вопрос ответили утвердительно, VPN – это именно то, что вам нужно!<br />
<br />
=== Шаг 1: Устанавливаем ===<br />
<br />
Пакеты с ''OpenVPN'' доступны для большинства распространенных дистрибутивов, в том числе для RedHat/Fedora, Mandriva, OpenSUSE, Slackware, Debian и Ubuntu. Если ''OpenVPN'' не включен в ваш любимый дистрибутив, попробуйте поискать пакет на [http://rpmfind.net rpmfind.net] (для систем, использующих RPM) или [http://linuxpackages.net linuxpackages.net] (Slackware и производные) Наконец, программу можно загрузить в исходных текстах с официального сайта ([http://openvpn.net openvpn.net]).<br />
<br />
Для установки ''OpenVPN'' также необходимо установить ''OpenSSL'' (openssl.org) и ''liblzo'' (http://www.oberhumer.com/opensource/lzo), которые есть во многих дистрибутивах. Для работы ''OpenVPN'' нужен модуль ядра ''tun''. Он присутствует в большинстве систем, но если команда <font color=darkred>modrpobe tun</font> завершается с ошибкой «Can’t locale module tun», вам придется пересобрать ядро – о том, как это сделать, подробно рассказано в [[LXF89]]. Необходимо включить опцию CONFIG_TUN (Device Drivers –> Network device support –> Universal TUN/TAP device driver support). <br />
<br />
Если вы собираетесь использовать ''OpenVPN'' постоянно, пропишите модуль ''tun'' в '''/etc/modules''' для автоматической инициализации при загрузке либо включите его непосредственно в ядро. В противном случае перед запуском ''OpenVPN'' вам нужно будет загружать модуль ''tun'' самостоятельно (командой <font color=darkred>modrpobe tun</font>). Если вы планируете предоставлять клиентам доступ в Интернет через ''VPN'', необходимо настроить NAT (Network Address Translation). Скорее всего, это уже сделано за вас разработчиками дистрибутива, но на случай возникновения проблем имейте в виду, что нам потребуется опция <font color=darkred>CONFIG_IP_NF_TARGET_MASQUERADE</font> (Networking –> Networking options –> Network packet filtering –> IP tables support –> Full NAT). Для работы с NAT используется утилита ''iptables'' (см. [[LXF87/88]]), которая, скорее всего, уже установлена в вашей системе. Проверьте это и, в случае необходимости, добавьте ее через менеджер пакетов вашего дистрибутива.<br />
<br />
===Шаг 2: Создаем ключи===<br />
<br />
Итак, ''OpenVPN'' установлен. Что дальше? В первую очередь необходимо создать ключи и сертификаты для сервера и клиентов. Скрипты, облегчающие эту задачу, находятся в каталоге '''easy-rsa''' (''см. врезку «Где же easy-rsa?» внизу''). <br />
<br />
В первую очередь, отредактируйте расположенный в нем файл vars. Установите значения переменных: <br />
<br />
* '''KEY_COUNTRY''' – равным двухсимвольному коду вашей страны (для России это <font color=darkred>RU</font>).<br />
* '''KEY_PROVINCE''' – названию вашего региона (например, <font color=darkred>Moscow region</font> или <font color=darkred>MSK</font>).<br />
* '''KEY_CITY''', соответственно – ваш город (скажем, <font color=darkred>Moscow</font>).<br />
* '''KEY_ORG''' – организация (<font color=darkred>OpenVPN Solutions</font> подойдет).<br />
* '''KEY_EMAIL''' – ваш e-mail адрес (<font color=darkred>me@my.e-ma.il</font>).<br />
<br />
Все эти данные необходимы для генерации сертификатов и ключей в соответствии со стандартом, поэтому оставлять какие-то переменные пустыми нельзя.<br />
<br />
Также можно изменить параметр <font color=darkred>KEY_SIZE</font>, отвечающий за размер ключей (максимальный размер ключа, поддерживаемый ''OpenVPN'' – 2048 бит).<br />
<br />
Далее необходимо инициализировать переменные, используемые при создании публичного ключа командой<br />
<br />
. ./vars <br />
<br />
и, на всякий случай, удалить существующие ключи командой<br />
<br />
./clean-all<br />
<br />
После этого следует сгенерировать корневой сертификат (см. [[LXF93]]):<br />
<br />
./build-ca<br />
<br />
В процессе выполнения последнего скрипта вам будет задано несколько вопросов. Нужно ввести только Common Name для сертификата (например, RootCA), все остальные параметры уже заданы в качестве переменных окружения скриптом vars. <br />
<br />
После создания корневого сертификата необходимо сгенерировать для сервера секретный ключ. В этом вам поможет скрипт ''build-key-server''. Как и в предыдущем случае, для большинства вопросов <br />
можно оставить ответы по умолчанию. На вопрос о Common Name введите “server”, на два последних вопроса (подписать ли сертификат и – каламбур, но перевод именно такой – сертифицировать ли <br />
его) ответьте утвердительно; когда вас спросят о пароле (“A challenge password”) – введите пароль для ключа сервера (запоминать его не нужно). Наберите<br />
<br />
./build-key-server server<br />
<br />
Далее, создайте ключи для необходимого количества клиентов. Эта процедура аналогична созданию ключа для сервера, за исключением того, что для клиентов ключи создаются скриптом <font color=darkred>build-key</font>, а не <font color=darkred>build-key-server</font>. У каждого ключа, конечно же, должно быть указано свое значение в поле Common Name:<br />
<br />
./build-key clientname<br />
<br />
Если вы хотите защитить паролем ключи клиентов, воспользуйтесь вместо ''build-key'' скриптом ''build-key-pass''. И наконец, в довершение ко всем сертификатам и ключам необходимо создать файл параметров Диффи (Diffie) и Хеллмэна (Hellman). Алгоритм Диффи и Хеллмэна позволяет обмениваться секретными ключами по небезопасным каналам. Для их генерации запустите скрипт <br />
''build-dh'' без параметров:<br />
<br />
./build-dh<br />
<br />
Этот процесс занимает определенное время, поэтому владельцам слабых компьютеров стоит попить чаю, вместо того чтобы просто сидеть и ждать окончания работы скрипта. <br />
<br />
Если вам уже надоело возиться с ключами, сертификатами и прочим – не падайте духом: осталось только скопировать нужные файлы на клиентские компьютеры. Клиентам необходимы следующие <br />
файлы:<br />
<br />
* '''ca.crt''' (Root CA certificate) необходим серверу и всем клиентам, он не <br />
является секретным.<br />
* '''clientname.crt''' (сертификат клиента <font color=darkred>clientname</font>) необходим только клиенту <font color=darkred>clientname</font>, он не является секретным.<br />
* '''clientname.key''' (ключ клиента <font color=darkred>clientname</font>) необходим только клиенту clientname, это секретный ключ.<br />
<br />
Эти файлы можно найти в подкаталоге '''keys''' каталога '''easy-rsa'''.<br />
<br />
===Шаг 3: Настраиваем===<br />
<br />
Итак, у нас есть все необходимые для работы ''OpenVPN'' файлы – все, кроме конфигурационных, созданием которых мы и займемся. Начнем с сервера. Для создания новых конфигурационных файлов удобно использовать примеры из поставки ''OpenVPN'', они находятся в подкаталоге '''sample-config-files''' каталога ''OpenVPN'' ('''../sample-config-files''', если вы находитесь в каталоге '''easy-rsa'''). В принципе, можно использовать стандартный конфигурационный файл для сервера, изменив некоторые параметры. Вот список этих параметров (некоторые из них, например, <font color=darkred>port</font> и <font color=darkred>protocol</font>, изменять не обязательно):<br />
<br />
* '''ca''' – полный путь до корневого сертификата, который мы создали скриптом ''build-ca''.<br />
* '''cert''' – полный путь до сертификата сервера, который мы создали его скриптом ''build-key-server''. <br />
* '''key''' – путь до ключа сервера, созданного все тем же скриптом ''build-key-server''.<br />
* '''dh''' – путь до файла параметров Диффи и Хеллмэна, созданного скриптом ''build-dh''.<br />
* '''server''' – режим запуска ''OpenVPN''. В строке с режимом запуска для сервера должна быть указана подсеть и маска подсети (пример – <font color=darkred>server 10.8.0.0 255.255.255.0</font>). Подсеть, указанная по умолчанию – 10.8.0.0/24. Если в вашей сети она уже используется, задайте другую локальную подсеть.<br />
* '''port''' – порт, на котором будет запущен сервер. Стандартный порт ''OpenVPN'' – 1194, но вы можете изменить его по своему желанию.<br />
* '''protocol''' – протокол. По умолчанию ''OpenVPN'' использует экономичный UDP, но вы можете предпочесть надежный TCP.<br />
<br />
Если вы не сторонник конфигураций по умолчанию, отредактируйте файл в соответствии со своими предпочтениями. Если же вы не хотите тратить на это время, то можете использовать мой вариант, составленный специально для этой статьи. Вы найдете его на прилагаемом к журналу диске.<br />
<br />
Для создания конфигурационного файла клиента также можно использовать пример, идущий в поставке с ''OpenVPN''. В нем надо изменить пути к необходимым файлам на свои, указать адрес и порт сервера в директиве remote и, кроме того, удостоверится, что выбранные настройки совпадают с настройками сервера (протокол, сжатие и т.п.). Пример конфигурационного файла клиента можно также взять с диска LXF. Тех же, кто хочет предоставлять ''VPN''-клиентам доступ в Интернет, ждет еще один шаг: включение NAT (Network Address Translation, Трансляция сетевых адресов) и настройка маршрутизации. Для начала необходимо написать соответствующее правило ''IPTables'':<br />
<br />
iptables -t nat -A POSTROUTING -s маска_подсети -o внешний_интерфейс -j MASQUERADE <br />
<br />
например:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
Его необходимо сохранить, добавив в файл с правилами iptables или в скрипты загрузки. Затем необходимо включить маршрутизацию, записав в '''/etc/sysctl.conf''' строку <font color=darkred>“net.ipv4.ip_forward = 1”</font> и выполнив команду<br />
<br />
sysctl -w net.ipv4.ip_forward=1<br />
<br />
===Шаг 4: Проверка связи===<br />
<br />
Если вы дошли до этого места, спешу вас обрадовать – остался всего <br />
один, очень простой шаг. Надо запустить ''OpenVPN'' на сервере, а потом <br />
и на всех клиентах. Для сервера: перейдите в каталог с ключами (keys) <br />
и выполните:<br />
<br />
openvpn --config ../sample-config-files/server.conf<br />
<br />
После чего вы должны увидеть подобные строки:<br />
<br />
Thu Aug 31 12:04:20 2006 OpenVPN 2.0.7 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jul 22 2006<br />
Thu Aug 31 12:04:20 2006 Diffie-Hellman initialized with 1024 bit key<br />
Thu Aug 31 12:04:20 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]<br />
Thu Aug 31 12:04:20 2006 TUN/TAP device tun0 opened <Skipped><br />
Thu Aug 31 12:04:20 2006 Initialization Sequence Completed<br />
<br />
На клиенте (клиентах) выполните команду<br />
<br />
openvpn --config client.conf<br />
<br />
после чего проверьте наличие <font color=darkred>tun</font>-интерфейса командой <font color=darkred>ifconfig</font>:<br />
<br />
ifconfig tun0<br />
tun0 Link encap:UNSPEC HWaddr 00:00:00:00:00:00<br />
inet addr:85.140.161.153 P-t-P:10.8.0.2 Mask:255.255.255.0<br />
UP POINTOPOINT RUNNING MTU:1500 Metric:1<br />
RX packets:0 errors:0 dropped:0 overruns:0 frame:0<br />
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0<br />
collisions:0 txqueuelen:10<br />
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) <br />
<br />
Обратите внимание на статус (UP): он означает, что интерфейс находится в активном состоянии. Если в вашей системе имеется более одного <font color=darkred>tun</font>-интерфейса (это можно проверить командой <font color=darkred>ifconfig</font> без параметров), замените <font color=darkred>tun0</font> на <font color=darkred>tun1</font>, <font color=darkred>tun2</font> и т.п. <br />
<br />
Если интерфейс сконфигурирован правильно, проверьте доступность других хостов. Когда путь к файлу соответствий «клиент-IP» (опция <font color=darkred>ifconfig-pool-persist</font> в конфигурационном файле сервера) не указан, их адреса назначаются сервером ''OpenVPN'' случайным образом. Наберите:<br />
<br />
ping 10.8.0.2<br />
<br />
Вместо <font color=darkred>10.8.0.2</font> подставьте IP-адрес, выданный командой <font color=darkred>ifconfig</font> на другой машине. В случае, если интерфейс сконфигурирован правильно, но ответа не приходит, необходимо выяснить, разрешают ли правила межсетевого экрана ICMP-трафик.<br />
<br />
Приходящие ответы свидетельствуют о том, что ''VPN''-соединение установлено и работает. <br />
<br />
===Примечание 1. Врезки===<br />
<br />
'''Почему OpenVPN?'''<br />
<br />
Существует множество реализаций VPN, самые популярные из них – PPTP, ''FreeS/WAN'' и ''OpenVPN''. Почему же в этой статье мы рассмотрим именно последний вариант? PPTP навевает мысли о Microsoft, ''FreeS/WAN'' давно не обновлялся – на его официальном сайте сказано, что последняя версия датируется 22 апреля 2004 года, более того, дальнейших обновлений ''FreeS/WAN'' не будет, а это, согласитесь, недопустимо для проекта, одной из целей которого является обеспечение безопасности... ''OpenVPN'' же активно развивается и регулярно обновляется, использует стойкие криптографические алгоритмы и предлагает множество способов идентификации, в том числе комбинированных, что немаловажно для безопасности. Кроме того, ''OpenVPN'' работает на большинстве распространенных платформ – Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X, Solaris, благодаря чему его можно использовать в гетерогенных сетях. Все это, безусловно, делает ''OpenVPN'' лучшим выбором для организации VPN.<br />
<br />
'''Где искать easy-rsa?'''<br />
<br />
Каталог '''easy-rsa''' может находиться в '''/usr/share/doc/openvpn-2.0''', '''/usr/share/doc/openvpn''', '''/usr/share/doc/openvpn/examples''', '''/usr/share/openvpn''' или в '''/usr/share/doc/packages/openvpn''' – в зависимости от дистрибутива. Его также можно найти в архиве с исходными текстами.<br />
<br />
===Примечание 2. Примеры конфигурационных файлов (с диска)===<br />
<br />
'''server.conf'''<br />
<br />
# Конфигурационный файл сервера OpenVPN (Linux-версия)<br />
# Порт<br />
port 1194<br />
# Протокол<br />
proto udp<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt<br />
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt<br />
key /usr/local/etc/openvpn/easy-rsa/keys/server.key<br />
# Путь к dh (измените на свой)<br />
dh dh1024.pem<br />
# Режим сервера,подсеть 10.8.0.0/24<br />
server 10.8.0.0 255.255.255.0<br />
# Файл соответствий клиент - виртуальный IP (по-умолчанию выдаётся динамический IP)<br />
ifconfig-pool-persist ipp.txt<br />
# Раскомментируйте если хотите, чтобы клиенты "видели" друг друга<br />
;client-to-client<br />
# Отключать после ... секунд без обмена данными (второй параметр)<br />
keepalive 10 120<br />
# Включить сжатие<br />
comp-lzo<br />
# Максимум клиентов одновременно - раскомментируйте если вам нужно ограничение по числу клиентов<br />
;max-clients 100<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
<br />
'''client.conf'''<br />
<br />
# Конфигурационный файл клиента OpenVPN (Linux-версия)<br />
client<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Протокол<br />
proto udp<br />
# Адрес и порт сервера<br />
remote 192.168.0.1 1194<br />
# Если не получается установить соответствие между именем и адресом сервера - продолжать попытки<br />
resolv-retry infinite<br />
# Для клиента не нужно слушать порты<br />
nobind<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
# Сохранять определённые параметры<br />
persist-key<br />
persist-tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /home/qweo/tmp/article/keys/ca.crt<br />
cert /home/qweo/tmp/article/keys/clientname.crt<br />
key /home/qweo/tmp/article/keys/clientname.key<br />
# Включить сжатие (не включайте сжатие если на сервере оно отключено)<br />
comp-lzo<br />
# Уровень журналирования<br />
verb 3<br />
<br />
--[[Участник:Kipruss|Kipruss]] 00:35, 16 марта 2008 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF94:OpenVPNLXF94:OpenVPN2008-03-15T21:43:33Z<p>Kipruss: /* Шаг 2: Создаем ключи */</p>
<hr />
<div>== OpenVPN за 10 минут ==<br />
<br />
''Технология VPN во многом напоминает перевозку денег в бронированной инкассаторской машине <br />
по улицам многолюдного города. Но какую модель следует выбрать, чтобы ваши ценности не <br />
достались злоумышленникам? Спросите у '''Валентина Яценко'''.''<br />
<br />
VPN – Virtual Private Network, Виртуальная Частная Сеть – технология, позволяющая соединять между собой локальные сети и отдельные компьютеры, находящиеся на расстоянии тысяч километров друг от друга; подключаться к локальной сети через Интернет, используя шифрованный канал связи, организовывать безопасный туннель для передачи важных данных... Возможности применения VPN безграничны! Вам необходимо соединить офисы в разных концах страны единой сетью, не прокладывая километры кабелей? Вы хотите подключаться к домашней локальной сети из Интернет-кафе? Требуется передать важные данные на большое расстояние без риска утечки информации? Может быть, большинство данных, которые вы передаете через Интернет, составляют тайну, и их необходимо обезопасить? Если вы хотя бы на один вопрос ответили утвердительно, VPN – это именно то, что вам нужно!<br />
<br />
=== Шаг 1: Устанавливаем ===<br />
<br />
Пакеты с ''OpenVPN'' доступны для большинства распространенных дистрибутивов, в том числе для RedHat/Fedora, Mandriva, OpenSUSE, Slackware, Debian и Ubuntu. Если ''OpenVPN'' не включен в ваш любимый дистрибутив, попробуйте поискать пакет на [http://rpmfind.net rpmfind.net] (для систем, использующих RPM) или [http://linuxpackages.net linuxpackages.net] (Slackware и производные) Наконец, программу можно загрузить в исходных текстах с официального сайта ([http://openvpn.net openvpn.net]).<br />
<br />
Для установки ''OpenVPN'' также необходимо установить ''OpenSSL'' (openssl.org) и ''liblzo'' (http://www.oberhumer.com/opensource/lzo), которые есть во многих дистрибутивах. Для работы ''OpenVPN'' нужен модуль ядра ''tun''. Он присутствует в большинстве систем, но если команда <font color=darkred>modrpobe tun</font> завершается с ошибкой «Can’t locale module tun», вам придется пересобрать ядро – о том, как это сделать, подробно рассказано в [LXF89]. Необходимо включить опцию CONFIG_TUN (Device Drivers –> Network device support –> Universal TUN/TAP device driver support). <br />
<br />
Если вы собираетесь использовать ''OpenVPN'' постоянно, пропишите модуль ''tun'' в '''/etc/modules''' для автоматической инициализации при загрузке либо включите его непосредственно в ядро. В противном случае перед запуском ''OpenVPN'' вам нужно будет загружать модуль ''tun'' самостоятельно (командой <font color=darkred>modrpobe tun</font>). Если вы планируете предоставлять клиентам доступ в Интернет через ''VPN'', необходимо настроить NAT (Network Address Translation). Скорее всего, это уже сделано за вас разработчиками дистрибутива, но на случай возникновения проблем имейте в виду, что нам потребуется опция <font color=darkred>CONFIG_IP_NF_TARGET_MASQUERADE</font> (Networking –> Networking options –> Network packet filtering –> IP tables support –> Full NAT). Для работы с NAT используется утилита ''iptables'' (см. [LXF87/88]), которая, скорее всего, уже установлена в вашей системе. Проверьте это и, в случае необходимости, добавьте ее через менеджер пакетов вашего дистрибутива.<br />
<br />
===Шаг 2: Создаем ключи===<br />
<br />
Итак, ''OpenVPN'' установлен. Что дальше? В первую очередь необходимо создать ключи и сертификаты для сервера и клиентов. Скрипты, облегчающие эту задачу, находятся в каталоге '''easy-rsa''' (''см. врезку «Где же easy-rsa?» внизу''). <br />
<br />
В первую очередь, отредактируйте расположенный в нем файл vars. Установите значения переменных: <br />
<br />
* '''KEY_COUNTRY''' – равным двухсимвольному коду вашей страны (для России это <font color=darkred>RU</font>).<br />
* '''KEY_PROVINCE''' – названию вашего региона (например, <font color=darkred>Moscow region</font> или <font color=darkred>MSK</font>).<br />
* '''KEY_CITY''', соответственно – ваш город (скажем, <font color=darkred>Moscow</font>).<br />
* '''KEY_ORG''' – организация (<font color=darkred>OpenVPN Solutions</font> подойдет).<br />
* '''KEY_EMAIL''' – ваш e-mail адрес (<font color=darkred>me@my.e-ma.il</font>).<br />
<br />
Все эти данные необходимы для генерации сертификатов и ключей в соответствии со стандартом, поэтому оставлять какие-то переменные пустыми нельзя.<br />
<br />
Также можно изменить параметр <font color=darkred>KEY_SIZE</font>, отвечающий за размер ключей (максимальный размер ключа, поддерживаемый ''OpenVPN'' – 2048 бит).<br />
<br />
Далее необходимо инициализировать переменные, используемые при создании публичного ключа командой<br />
<br />
. ./vars <br />
<br />
и, на всякий случай, удалить существующие ключи командой<br />
<br />
./clean-all<br />
<br />
После этого следует сгенерировать корневой сертификат (см. [[LXF93]]):<br />
<br />
./build-ca<br />
<br />
В процессе выполнения последнего скрипта вам будет задано несколько вопросов. Нужно ввести только Common Name для сертификата (например, RootCA), все остальные параметры уже заданы в качестве переменных окружения скриптом vars. <br />
<br />
После создания корневого сертификата необходимо сгенерировать для сервера секретный ключ. В этом вам поможет скрипт ''build-key-server''. Как и в предыдущем случае, для большинства вопросов <br />
можно оставить ответы по умолчанию. На вопрос о Common Name введите “server”, на два последних вопроса (подписать ли сертификат и – каламбур, но перевод именно такой – сертифицировать ли <br />
его) ответьте утвердительно; когда вас спросят о пароле (“A challenge password”) – введите пароль для ключа сервера (запоминать его не нужно). Наберите<br />
<br />
./build-key-server server<br />
<br />
Далее, создайте ключи для необходимого количества клиентов. Эта процедура аналогична созданию ключа для сервера, за исключением того, что для клиентов ключи создаются скриптом <font color=darkred>build-key</font>, а не <font color=darkred>build-key-server</font>. У каждого ключа, конечно же, должно быть указано свое значение в поле Common Name:<br />
<br />
./build-key clientname<br />
<br />
Если вы хотите защитить паролем ключи клиентов, воспользуйтесь вместо ''build-key'' скриптом ''build-key-pass''. И наконец, в довершение ко всем сертификатам и ключам необходимо создать файл параметров Диффи (Diffie) и Хеллмэна (Hellman). Алгоритм Диффи и Хеллмэна позволяет обмениваться секретными ключами по небезопасным каналам. Для их генерации запустите скрипт <br />
''build-dh'' без параметров:<br />
<br />
./build-dh<br />
<br />
Этот процесс занимает определенное время, поэтому владельцам слабых компьютеров стоит попить чаю, вместо того чтобы просто сидеть и ждать окончания работы скрипта. <br />
<br />
Если вам уже надоело возиться с ключами, сертификатами и прочим – не падайте духом: осталось только скопировать нужные файлы на клиентские компьютеры. Клиентам необходимы следующие <br />
файлы:<br />
<br />
* '''ca.crt''' (Root CA certificate) необходим серверу и всем клиентам, он не <br />
является секретным.<br />
* '''clientname.crt''' (сертификат клиента <font color=darkred>clientname</font>) необходим только клиенту <font color=darkred>clientname</font>, он не является секретным.<br />
* '''clientname.key''' (ключ клиента <font color=darkred>clientname</font>) необходим только клиенту clientname, это секретный ключ.<br />
<br />
Эти файлы можно найти в подкаталоге '''keys''' каталога '''easy-rsa'''.<br />
<br />
===Шаг 3: Настраиваем===<br />
<br />
Итак, у нас есть все необходимые для работы ''OpenVPN'' файлы – все, кроме конфигурационных, созданием которых мы и займемся. Начнем с сервера. Для создания новых конфигурационных файлов удобно использовать примеры из поставки ''OpenVPN'', они находятся в подкаталоге '''sample-config-files''' каталога ''OpenVPN'' ('''../sample-config-files''', если вы находитесь в каталоге '''easy-rsa'''). В принципе, можно использовать стандартный конфигурационный файл для сервера, изменив некоторые параметры. Вот список этих параметров (некоторые из них, например, <font color=darkred>port</font> и <font color=darkred>protocol</font>, изменять не обязательно):<br />
<br />
* '''ca''' – полный путь до корневого сертификата, который мы создали скриптом ''build-ca''.<br />
* '''cert''' – полный путь до сертификата сервера, который мы создали его скриптом ''build-key-server''. <br />
* '''key''' – путь до ключа сервера, созданного все тем же скриптом ''build-key-server''.<br />
* '''dh''' – путь до файла параметров Диффи и Хеллмэна, созданного скриптом ''build-dh''.<br />
* '''server''' – режим запуска ''OpenVPN''. В строке с режимом запуска для сервера должна быть указана подсеть и маска подсети (пример – <font color=darkred>server 10.8.0.0 255.255.255.0</font>). Подсеть, указанная по умолчанию – 10.8.0.0/24. Если в вашей сети она уже используется, задайте другую локальную подсеть.<br />
* '''port''' – порт, на котором будет запущен сервер. Стандартный порт ''OpenVPN'' – 1194, но вы можете изменить его по своему желанию.<br />
* '''protocol''' – протокол. По умолчанию ''OpenVPN'' использует экономичный UDP, но вы можете предпочесть надежный TCP.<br />
<br />
Если вы не сторонник конфигураций по умолчанию, отредактируйте файл в соответствии со своими предпочтениями. Если же вы не хотите тратить на это время, то можете использовать мой вариант, составленный специально для этой статьи. Вы найдете его на прилагаемом к журналу диске.<br />
<br />
Для создания конфигурационного файла клиента также можно использовать пример, идущий в поставке с ''OpenVPN''. В нем надо изменить пути к необходимым файлам на свои, указать адрес и порт сервера в директиве remote и, кроме того, удостоверится, что выбранные настройки совпадают с настройками сервера (протокол, сжатие и т.п.). Пример конфигурационного файла клиента можно также взять с диска LXF. Тех же, кто хочет предоставлять ''VPN''-клиентам доступ в Интернет, ждет еще один шаг: включение NAT (Network Address Translation, Трансляция сетевых адресов) и настройка маршрутизации. Для начала необходимо написать соответствующее правило ''IPTables'':<br />
<br />
iptables -t nat -A POSTROUTING -s маска_подсети -o внешний_интерфейс -j MASQUERADE <br />
<br />
например:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
Его необходимо сохранить, добавив в файл с правилами iptables или в скрипты загрузки. Затем необходимо включить маршрутизацию, записав в '''/etc/sysctl.conf''' строку <font color=darkred>“net.ipv4.ip_forward = 1”</font> и выполнив команду<br />
<br />
sysctl -w net.ipv4.ip_forward=1<br />
<br />
===Шаг 4: Проверка связи===<br />
<br />
Если вы дошли до этого места, спешу вас обрадовать – остался всего <br />
один, очень простой шаг. Надо запустить ''OpenVPN'' на сервере, а потом <br />
и на всех клиентах. Для сервера: перейдите в каталог с ключами (keys) <br />
и выполните:<br />
<br />
openvpn --config ../sample-config-files/server.conf<br />
<br />
После чего вы должны увидеть подобные строки:<br />
<br />
Thu Aug 31 12:04:20 2006 OpenVPN 2.0.7 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jul 22 2006<br />
Thu Aug 31 12:04:20 2006 Diffie-Hellman initialized with 1024 bit key<br />
Thu Aug 31 12:04:20 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]<br />
Thu Aug 31 12:04:20 2006 TUN/TAP device tun0 opened <Skipped><br />
Thu Aug 31 12:04:20 2006 Initialization Sequence Completed<br />
<br />
На клиенте (клиентах) выполните команду<br />
<br />
openvpn --config client.conf<br />
<br />
после чего проверьте наличие <font color=darkred>tun</font>-интерфейса командой <font color=darkred>ifconfig</font>:<br />
<br />
ifconfig tun0<br />
tun0 Link encap:UNSPEC HWaddr 00:00:00:00:00:00<br />
inet addr:85.140.161.153 P-t-P:10.8.0.2 Mask:255.255.255.0<br />
UP POINTOPOINT RUNNING MTU:1500 Metric:1<br />
RX packets:0 errors:0 dropped:0 overruns:0 frame:0<br />
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0<br />
collisions:0 txqueuelen:10<br />
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) <br />
<br />
Обратите внимание на статус (UP): он означает, что интерфейс находится в активном состоянии. Если в вашей системе имеется более одного <font color=darkred>tun</font>-интерфейса (это можно проверить командой <font color=darkred>ifconfig</font> без параметров), замените <font color=darkred>tun0</font> на <font color=darkred>tun1</font>, <font color=darkred>tun2</font> и т.п. <br />
<br />
Если интерфейс сконфигурирован правильно, проверьте доступность других хостов. Когда путь к файлу соответствий «клиент-IP» (опция <font color=darkred>ifconfig-pool-persist</font> в конфигурационном файле сервера) не указан, их адреса назначаются сервером ''OpenVPN'' случайным образом. Наберите:<br />
<br />
ping 10.8.0.2<br />
<br />
Вместо <font color=darkred>10.8.0.2</font> подставьте IP-адрес, выданный командой <font color=darkred>ifconfig</font> на другой машине. В случае, если интерфейс сконфигурирован правильно, но ответа не приходит, необходимо выяснить, разрешают ли правила межсетевого экрана ICMP-трафик.<br />
<br />
Приходящие ответы свидетельствуют о том, что ''VPN''-соединение установлено и работает. <br />
<br />
===Примечание 1. Врезки===<br />
<br />
'''Почему OpenVPN?'''<br />
<br />
Существует множество реализаций VPN, самые популярные из них – PPTP, ''FreeS/WAN'' и ''OpenVPN''. Почему же в этой статье мы рассмотрим именно последний вариант? PPTP навевает мысли о Microsoft, ''FreeS/WAN'' давно не обновлялся – на его официальном сайте сказано, что последняя версия датируется 22 апреля 2004 года, более того, дальнейших обновлений ''FreeS/WAN'' не будет, а это, согласитесь, недопустимо для проекта, одной из целей которого является обеспечение безопасности... ''OpenVPN'' же активно развивается и регулярно обновляется, использует стойкие криптографические алгоритмы и предлагает множество способов идентификации, в том числе комбинированных, что немаловажно для безопасности. Кроме того, ''OpenVPN'' работает на большинстве распространенных платформ – Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X, Solaris, благодаря чему его можно использовать в гетерогенных сетях. Все это, безусловно, делает ''OpenVPN'' лучшим выбором для организации VPN.<br />
<br />
'''Где искать easy-rsa?'''<br />
<br />
Каталог '''easy-rsa''' может находиться в '''/usr/share/doc/openvpn-2.0''', '''/usr/share/doc/openvpn''', '''/usr/share/doc/openvpn/examples''', '''/usr/share/openvpn''' или в '''/usr/share/doc/packages/openvpn''' – в зависимости от дистрибутива. Его также можно найти в архиве с исходными текстами.<br />
<br />
===Примечание 2. Примеры конфигурационных файлов (с диска)===<br />
<br />
'''server.conf'''<br />
<br />
# Конфигурационный файл сервера OpenVPN (Linux-версия)<br />
# Порт<br />
port 1194<br />
# Протокол<br />
proto udp<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt<br />
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt<br />
key /usr/local/etc/openvpn/easy-rsa/keys/server.key<br />
# Путь к dh (измените на свой)<br />
dh dh1024.pem<br />
# Режим сервера,подсеть 10.8.0.0/24<br />
server 10.8.0.0 255.255.255.0<br />
# Файл соответствий клиент - виртуальный IP (по-умолчанию выдаётся динамический IP)<br />
ifconfig-pool-persist ipp.txt<br />
# Раскомментируйте если хотите, чтобы клиенты "видели" друг друга<br />
;client-to-client<br />
# Отключать после ... секунд без обмена данными (второй параметр)<br />
keepalive 10 120<br />
# Включить сжатие<br />
comp-lzo<br />
# Максимум клиентов одновременно - раскомментируйте если вам нужно ограничение по числу клиентов<br />
;max-clients 100<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
<br />
'''client.conf'''<br />
<br />
# Конфигурационный файл клиента OpenVPN (Linux-версия)<br />
client<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Протокол<br />
proto udp<br />
# Адрес и порт сервера<br />
remote 192.168.0.1 1194<br />
# Если не получается установить соответствие между именем и адресом сервера - продолжать попытки<br />
resolv-retry infinite<br />
# Для клиента не нужно слушать порты<br />
nobind<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
# Сохранять определённые параметры<br />
persist-key<br />
persist-tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /home/qweo/tmp/article/keys/ca.crt<br />
cert /home/qweo/tmp/article/keys/clientname.crt<br />
key /home/qweo/tmp/article/keys/clientname.key<br />
# Включить сжатие (не включайте сжатие если на сервере оно отключено)<br />
comp-lzo<br />
# Уровень журналирования<br />
verb 3<br />
<br />
--[[Участник:Kipruss|Kipruss]] 00:35, 16 марта 2008 (MSK)</div>Kiprusshttp://wiki.linuxformat.ru/wiki/LXF94:OpenVPNLXF94:OpenVPN2008-03-15T21:41:08Z<p>Kipruss: /* Исправление описок */</p>
<hr />
<div>== OpenVPN за 10 минут ==<br />
<br />
''Технология VPN во многом напоминает перевозку денег в бронированной инкассаторской машине <br />
по улицам многолюдного города. Но какую модель следует выбрать, чтобы ваши ценности не <br />
достались злоумышленникам? Спросите у '''Валентина Яценко'''.''<br />
<br />
VPN – Virtual Private Network, Виртуальная Частная Сеть – технология, позволяющая соединять между собой локальные сети и отдельные компьютеры, находящиеся на расстоянии тысяч километров друг от друга; подключаться к локальной сети через Интернет, используя шифрованный канал связи, организовывать безопасный туннель для передачи важных данных... Возможности применения VPN безграничны! Вам необходимо соединить офисы в разных концах страны единой сетью, не прокладывая километры кабелей? Вы хотите подключаться к домашней локальной сети из Интернет-кафе? Требуется передать важные данные на большое расстояние без риска утечки информации? Может быть, большинство данных, которые вы передаете через Интернет, составляют тайну, и их необходимо обезопасить? Если вы хотя бы на один вопрос ответили утвердительно, VPN – это именно то, что вам нужно!<br />
<br />
=== Шаг 1: Устанавливаем ===<br />
<br />
Пакеты с ''OpenVPN'' доступны для большинства распространенных дистрибутивов, в том числе для RedHat/Fedora, Mandriva, OpenSUSE, Slackware, Debian и Ubuntu. Если ''OpenVPN'' не включен в ваш любимый дистрибутив, попробуйте поискать пакет на [http://rpmfind.net rpmfind.net] (для систем, использующих RPM) или [http://linuxpackages.net linuxpackages.net] (Slackware и производные) Наконец, программу можно загрузить в исходных текстах с официального сайта ([http://openvpn.net openvpn.net]).<br />
<br />
Для установки ''OpenVPN'' также необходимо установить ''OpenSSL'' (openssl.org) и ''liblzo'' (http://www.oberhumer.com/opensource/lzo), которые есть во многих дистрибутивах. Для работы ''OpenVPN'' нужен модуль ядра ''tun''. Он присутствует в большинстве систем, но если команда <font color=darkred>modrpobe tun</font> завершается с ошибкой «Can’t locale module tun», вам придется пересобрать ядро – о том, как это сделать, подробно рассказано в [LXF89]. Необходимо включить опцию CONFIG_TUN (Device Drivers –> Network device support –> Universal TUN/TAP device driver support). <br />
<br />
Если вы собираетесь использовать ''OpenVPN'' постоянно, пропишите модуль ''tun'' в '''/etc/modules''' для автоматической инициализации при загрузке либо включите его непосредственно в ядро. В противном случае перед запуском ''OpenVPN'' вам нужно будет загружать модуль ''tun'' самостоятельно (командой <font color=darkred>modrpobe tun</font>). Если вы планируете предоставлять клиентам доступ в Интернет через ''VPN'', необходимо настроить NAT (Network Address Translation). Скорее всего, это уже сделано за вас разработчиками дистрибутива, но на случай возникновения проблем имейте в виду, что нам потребуется опция <font color=darkred>CONFIG_IP_NF_TARGET_MASQUERADE</font> (Networking –> Networking options –> Network packet filtering –> IP tables support –> Full NAT). Для работы с NAT используется утилита ''iptables'' (см. [LXF87/88]), которая, скорее всего, уже установлена в вашей системе. Проверьте это и, в случае необходимости, добавьте ее через менеджер пакетов вашего дистрибутива.<br />
<br />
===Шаг 2: Создаем ключи===<br />
<br />
Итак, ''OpenVPN'' установлен. Что дальше? В первую очередь необходимо создать ключи и сертификаты для сервера и клиентов. Скрипты, облегчающие эту задачу, находятся в каталоге '''easy-rsa''' (''см. врезку «Где же easy-rsa?» внизу''). <br />
<br />
В первую очередь, отредактируйте расположенный в нем файл vars. Установите значения переменных: <br />
<br />
* '''KEY_COUNTRY''' – равным двухсимвольному коду вашей страны (для России это <font color=darkred>RU</font>).<br />
* '''KEY_PROVINCE''' – названию вашего региона (например, <font color=darkred>Moscow region</font> или <font color=darkred>MSK</font>).<br />
* '''KEY_CITY''', соответственно – ваш город (скажем, <font color=darkred>Moscow</font>).<br />
* '''KEY_ORG''' – организация (<font color=darkred>OpenVPN Solutions</font> подойдет).<br />
* '''KEY_EMAIL''' – ваш e-mail адрес (<font color=darkred>me@my.e-ma.il</font>).<br />
<br />
Все эти данные необходимы для генерации сертификатов и ключей в соответствии со стандартом, поэтому оставлять какие-то переменные пустыми нельзя.<br />
<br />
Также можно изменить параметр <font color=darkred>KEY_SIZE</font>, отвечающий за размер ключей (максимальный размер ключа, поддерживаемый ''OpenVPN'' – 2048 бит).<br />
<br />
Далее необходимо инициализировать переменные, используемые при создании публичного ключа командой<br />
<br />
. ./vars <br />
<br />
и, на всякий случай, удалить существующие ключи командой<br />
<br />
./clean-all<br />
<br />
После этого следует сгенерировать корневой сертификат (см. [LXF93]):<br />
<br />
./build-ca<br />
<br />
В процессе выполнения последнего скрипта вам будет задано несколько вопросов. Нужно ввести только Common Name для сертификата (например, RootCA), все остальные параметры уже заданы в качестве переменных окружения скриптом vars. <br />
<br />
После создания корневого сертификата необходимо сгенерировать для сервера секретный ключ. В этом вам поможет скрипт ''build-key-server''. Как и в предыдущем случае, для большинства вопросов <br />
можно оставить ответы по умолчанию. На вопрос о Common Name введите “server”, на два последних вопроса (подписать ли сертификат и – каламбур, но перевод именно такой – сертифицировать ли <br />
его) ответьте утвердительно; когда вас спросят о пароле (“A challenge password”) – введите пароль для ключа сервера (запоминать его не нужно). Наберите<br />
<br />
./build-key-server server<br />
<br />
Далее, создайте ключи для необходимого количества клиентов. Эта процедура аналогична созданию ключа для сервера, за исключением того, что для клиентов ключи создаются скриптом <font color=darkred>build-key</font>, а не <font color=darkred>build-key-server</font>. У каждого ключа, конечно же, должно быть указано свое значение в поле Common Name:<br />
<br />
./build-key clientname<br />
<br />
Если вы хотите защитить паролем ключи клиентов, воспользуйтесь вместо ''build-key'' скриптом ''build-key-pass''. И наконец, в довершение ко всем сертификатам и ключам необходимо создать файл параметров Диффи (Diffie) и Хеллмэна (Hellman). Алгоритм Диффи и Хеллмэна позволяет обмениваться секретными ключами по небезопасным каналам. Для их генерации запустите скрипт <br />
''build-dh'' без параметров:<br />
<br />
./build-dh<br />
<br />
Этот процесс занимает определенное время, поэтому владельцам слабых компьютеров стоит попить чаю, вместо того чтобы просто сидеть и ждать окончания работы скрипта. <br />
<br />
Если вам уже надоело возиться с ключами, сертификатами и прочим – не падайте духом: осталось только скопировать нужные файлы на клиентские компьютеры. Клиентам необходимы следующие <br />
файлы:<br />
<br />
* '''ca.crt''' (Root CA certificate) необходим серверу и всем клиентам, он не <br />
является секретным.<br />
* '''clientname.crt''' (сертификат клиента <font color=darkred>clientname</font>) необходим только клиенту <font color=darkred>clientname</font>, он не является секретным.<br />
* '''clientname.key''' (ключ клиента <font color=darkred>clientname</font>) необходим только клиенту clientname, это секретный ключ.<br />
<br />
Эти файлы можно найти в подкаталоге '''keys''' каталога '''easy-rsa'''.<br />
<br />
===Шаг 3: Настраиваем===<br />
<br />
Итак, у нас есть все необходимые для работы ''OpenVPN'' файлы – все, кроме конфигурационных, созданием которых мы и займемся. Начнем с сервера. Для создания новых конфигурационных файлов удобно использовать примеры из поставки ''OpenVPN'', они находятся в подкаталоге '''sample-config-files''' каталога ''OpenVPN'' ('''../sample-config-files''', если вы находитесь в каталоге '''easy-rsa'''). В принципе, можно использовать стандартный конфигурационный файл для сервера, изменив некоторые параметры. Вот список этих параметров (некоторые из них, например, <font color=darkred>port</font> и <font color=darkred>protocol</font>, изменять не обязательно):<br />
<br />
* '''ca''' – полный путь до корневого сертификата, который мы создали скриптом ''build-ca''.<br />
* '''cert''' – полный путь до сертификата сервера, который мы создали его скриптом ''build-key-server''. <br />
* '''key''' – путь до ключа сервера, созданного все тем же скриптом ''build-key-server''.<br />
* '''dh''' – путь до файла параметров Диффи и Хеллмэна, созданного скриптом ''build-dh''.<br />
* '''server''' – режим запуска ''OpenVPN''. В строке с режимом запуска для сервера должна быть указана подсеть и маска подсети (пример – <font color=darkred>server 10.8.0.0 255.255.255.0</font>). Подсеть, указанная по умолчанию – 10.8.0.0/24. Если в вашей сети она уже используется, задайте другую локальную подсеть.<br />
* '''port''' – порт, на котором будет запущен сервер. Стандартный порт ''OpenVPN'' – 1194, но вы можете изменить его по своему желанию.<br />
* '''protocol''' – протокол. По умолчанию ''OpenVPN'' использует экономичный UDP, но вы можете предпочесть надежный TCP.<br />
<br />
Если вы не сторонник конфигураций по умолчанию, отредактируйте файл в соответствии со своими предпочтениями. Если же вы не хотите тратить на это время, то можете использовать мой вариант, составленный специально для этой статьи. Вы найдете его на прилагаемом к журналу диске.<br />
<br />
Для создания конфигурационного файла клиента также можно использовать пример, идущий в поставке с ''OpenVPN''. В нем надо изменить пути к необходимым файлам на свои, указать адрес и порт сервера в директиве remote и, кроме того, удостоверится, что выбранные настройки совпадают с настройками сервера (протокол, сжатие и т.п.). Пример конфигурационного файла клиента можно также взять с диска LXF. Тех же, кто хочет предоставлять ''VPN''-клиентам доступ в Интернет, ждет еще один шаг: включение NAT (Network Address Translation, Трансляция сетевых адресов) и настройка маршрутизации. Для начала необходимо написать соответствующее правило ''IPTables'':<br />
<br />
iptables -t nat -A POSTROUTING -s маска_подсети -o внешний_интерфейс -j MASQUERADE <br />
<br />
например:<br />
<br />
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ppp0 -j MASQUERADE<br />
<br />
Его необходимо сохранить, добавив в файл с правилами iptables или в скрипты загрузки. Затем необходимо включить маршрутизацию, записав в '''/etc/sysctl.conf''' строку <font color=darkred>“net.ipv4.ip_forward = 1”</font> и выполнив команду<br />
<br />
sysctl -w net.ipv4.ip_forward=1<br />
<br />
===Шаг 4: Проверка связи===<br />
<br />
Если вы дошли до этого места, спешу вас обрадовать – остался всего <br />
один, очень простой шаг. Надо запустить ''OpenVPN'' на сервере, а потом <br />
и на всех клиентах. Для сервера: перейдите в каталог с ключами (keys) <br />
и выполните:<br />
<br />
openvpn --config ../sample-config-files/server.conf<br />
<br />
После чего вы должны увидеть подобные строки:<br />
<br />
Thu Aug 31 12:04:20 2006 OpenVPN 2.0.7 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jul 22 2006<br />
Thu Aug 31 12:04:20 2006 Diffie-Hellman initialized with 1024 bit key<br />
Thu Aug 31 12:04:20 2006 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]<br />
Thu Aug 31 12:04:20 2006 TUN/TAP device tun0 opened <Skipped><br />
Thu Aug 31 12:04:20 2006 Initialization Sequence Completed<br />
<br />
На клиенте (клиентах) выполните команду<br />
<br />
openvpn --config client.conf<br />
<br />
после чего проверьте наличие <font color=darkred>tun</font>-интерфейса командой <font color=darkred>ifconfig</font>:<br />
<br />
ifconfig tun0<br />
tun0 Link encap:UNSPEC HWaddr 00:00:00:00:00:00<br />
inet addr:85.140.161.153 P-t-P:10.8.0.2 Mask:255.255.255.0<br />
UP POINTOPOINT RUNNING MTU:1500 Metric:1<br />
RX packets:0 errors:0 dropped:0 overruns:0 frame:0<br />
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0<br />
collisions:0 txqueuelen:10<br />
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) <br />
<br />
Обратите внимание на статус (UP): он означает, что интерфейс находится в активном состоянии. Если в вашей системе имеется более одного <font color=darkred>tun</font>-интерфейса (это можно проверить командой <font color=darkred>ifconfig</font> без параметров), замените <font color=darkred>tun0</font> на <font color=darkred>tun1</font>, <font color=darkred>tun2</font> и т.п. <br />
<br />
Если интерфейс сконфигурирован правильно, проверьте доступность других хостов. Когда путь к файлу соответствий «клиент-IP» (опция <font color=darkred>ifconfig-pool-persist</font> в конфигурационном файле сервера) не указан, их адреса назначаются сервером ''OpenVPN'' случайным образом. Наберите:<br />
<br />
ping 10.8.0.2<br />
<br />
Вместо <font color=darkred>10.8.0.2</font> подставьте IP-адрес, выданный командой <font color=darkred>ifconfig</font> на другой машине. В случае, если интерфейс сконфигурирован правильно, но ответа не приходит, необходимо выяснить, разрешают ли правила межсетевого экрана ICMP-трафик.<br />
<br />
Приходящие ответы свидетельствуют о том, что ''VPN''-соединение установлено и работает. <br />
<br />
===Примечание 1. Врезки===<br />
<br />
'''Почему OpenVPN?'''<br />
<br />
Существует множество реализаций VPN, самые популярные из них – PPTP, ''FreeS/WAN'' и ''OpenVPN''. Почему же в этой статье мы рассмотрим именно последний вариант? PPTP навевает мысли о Microsoft, ''FreeS/WAN'' давно не обновлялся – на его официальном сайте сказано, что последняя версия датируется 22 апреля 2004 года, более того, дальнейших обновлений ''FreeS/WAN'' не будет, а это, согласитесь, недопустимо для проекта, одной из целей которого является обеспечение безопасности... ''OpenVPN'' же активно развивается и регулярно обновляется, использует стойкие криптографические алгоритмы и предлагает множество способов идентификации, в том числе комбинированных, что немаловажно для безопасности. Кроме того, ''OpenVPN'' работает на большинстве распространенных платформ – Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X, Solaris, благодаря чему его можно использовать в гетерогенных сетях. Все это, безусловно, делает ''OpenVPN'' лучшим выбором для организации VPN.<br />
<br />
'''Где искать easy-rsa?'''<br />
<br />
Каталог '''easy-rsa''' может находиться в '''/usr/share/doc/openvpn-2.0''', '''/usr/share/doc/openvpn''', '''/usr/share/doc/openvpn/examples''', '''/usr/share/openvpn''' или в '''/usr/share/doc/packages/openvpn''' – в зависимости от дистрибутива. Его также можно найти в архиве с исходными текстами.<br />
<br />
===Примечание 2. Примеры конфигурационных файлов (с диска)===<br />
<br />
'''server.conf'''<br />
<br />
# Конфигурационный файл сервера OpenVPN (Linux-версия)<br />
# Порт<br />
port 1194<br />
# Протокол<br />
proto udp<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt<br />
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt<br />
key /usr/local/etc/openvpn/easy-rsa/keys/server.key<br />
# Путь к dh (измените на свой)<br />
dh dh1024.pem<br />
# Режим сервера,подсеть 10.8.0.0/24<br />
server 10.8.0.0 255.255.255.0<br />
# Файл соответствий клиент - виртуальный IP (по-умолчанию выдаётся динамический IP)<br />
ifconfig-pool-persist ipp.txt<br />
# Раскомментируйте если хотите, чтобы клиенты "видели" друг друга<br />
;client-to-client<br />
# Отключать после ... секунд без обмена данными (второй параметр)<br />
keepalive 10 120<br />
# Включить сжатие<br />
comp-lzo<br />
# Максимум клиентов одновременно - раскомментируйте если вам нужно ограничение по числу клиентов<br />
;max-clients 100<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
<br />
'''client.conf'''<br />
<br />
# Конфигурационный файл клиента OpenVPN (Linux-версия)<br />
client<br />
# Использовать tun (tunneling) вместо tap (ethernet bridging)<br />
dev tun<br />
# Протокол<br />
proto udp<br />
# Адрес и порт сервера<br />
remote 192.168.0.1 1194<br />
# Если не получается установить соответствие между именем и адресом сервера - продолжать попытки<br />
resolv-retry infinite<br />
# Для клиента не нужно слушать порты<br />
nobind<br />
# Снижение привилегий до указанных (в целях безопасности) (раскомментируйте если необходимо, в этом случае OpenVPN надо запускать с правами root)<br />
;user nobody<br />
;group nogroup<br />
# Сохранять определённые параметры<br />
persist-key<br />
persist-tun<br />
# Полные пути к необходимым файлам (измените на свои пути)<br />
ca /home/qweo/tmp/article/keys/ca.crt<br />
cert /home/qweo/tmp/article/keys/clientname.crt<br />
key /home/qweo/tmp/article/keys/clientname.key<br />
# Включить сжатие (не включайте сжатие если на сервере оно отключено)<br />
comp-lzo<br />
# Уровень журналирования<br />
verb 3<br />
<br />
--[[Участник:Kipruss|Kipruss]] 00:35, 16 марта 2008 (MSK)</div>Kipruss