Solaris_8_N.qxd 18.04.03 14:29 Page 1 В помощь сетевым администраторам Solaris 8. Руководство администратора S Операционная система Solaris, наряду с сопутствующими продуктами Sun, o такими как Java, является одной из самых надежных и масштабируемых плат) форм для построения приложений электронной коммерции и поддержки се) l a Solaris 8 тевых служб. Однако потенциальные пользователи системы сталкиваются с r трудностями, пытаясь получить подробную информацию о возможностях i Solaris. Они желают знать, насколько технически сложным будет переход на Solaris, и хотят s изучить философию, на которой основана система. 8 Отвечая на подобные вопросы, книга «Solaris 8. Руководство администратора» подробно . освещает все аспекты применения системы Solaris в качестве сервера, обеспечивающего Р работу сетевых служб всех уровней. Учитывая новую волну интереса к Solaris как к корпо) у Руководство администратора ративной сетевой операционной системе, автор уделяет основное внимание службам к уровня предприятий и предлагает концептуальный, сложный материал, отсутствующий в о прочих руководствах. Издание ориентировано на опытных сетевых администраторов, в нуждающихся в предметном руководстве по сетевым функциям Solaris; описан процесс ус) о тановки системы на платформах Intel и Sparc. С помощью книги вы сможете освоить при) менение Solaris в качестве файлового сервера, сервера приложений и сервера баз данных. д с Книга позволяет приобрести опыт и навыки, необходимые для понимания воздействия т новых служб и новых программных продуктов на существующие серверные системы. Так в называемые исторические службы, описания которых занимают целые главы, как прави) о ло, не используются в современных условиях и поэтому здесь не описаны. Кроме того, от) сутствует подробная историческая справка по системам Unix и Solaris, поскольку этот ма) а териал можно почерпнуть из других источников. Автор поставил перед собой цель опи) д сать современные сетевые технологии, которые находят применение на практике. м «Solaris 8. Руководство администратора» – это независимый взгляд, основательный и реа) и листичный анализ операционной системы. Книга ориентирована на опытных админист) раторов Solaris, а также на тех, кто желает больше узнать об этой системе. н и с т р а т о р Êàòåãîðèÿ: UNIX Издательство «Символ(cid:17)Плюс» а Óðîâåíü ïîäãîòîâêè ÷èòàòåëåé: Ñðåäíèé (812) 324(cid:17)5353, (095) 945(cid:17)8100 У о т т е р с www.symbol.ru Пол Уоттерс Solaris 8 Administrator’s Guide Paul Watters Solaris 8 Руководство администратора Пол Уоттерс Санкт(cid:6)Петербург–Москва 2003 Пол Уоттерс Solaris 8. Руководство администратора Перевод М.Зислиса Главный редактор А.Галунов Зав. редакцией Н.Макарова Научный редактор С.Клименков Редактор А.Лосев Корректура С.Беляева Верстка Н.Гриценко Уоттерс П. Solaris 8. Руководство администратора.– Пер. с англ.– СПб: Символ(cid:29)Плюс, 2003.– 336 с., ил. ISBN 5(cid:29)93286(cid:29)052(cid:29)9 В книге «Solaris8. Руководство администратора» подробно освещаются аспек(cid:29) ты применения Solaris в качестве сервера, обеспечивающего работу сетевых служб всех уровней. Учитывая новую волну интереса к Solaris как к корпора(cid:29) тивной сетевой ОС, автор уделяет основное внимание службам уровня предпри(cid:29) ятий и предлагает концептуальный, сложный материал, отсутствующий в про(cid:29) чих руководствах. Издание ориентировано на опытных сетевых администрато(cid:29) ров, нуждающихся в предметном руководстве по сетевым функциям Solaris; рассмотрен процесс установки системы на платформах Intel и Sparc. Материал книги, содержащий описание современных сетевых технологий, применяемых на практике, поможет освоить использование Solaris в качестве файлового сервера, сервера приложений и сервера баз данных и приобрести на(cid:29) выки, необходимые для понимания влияния новых служб и новых программ(cid:29) ных продуктов на существующие серверные системы. ISBN 5(cid:1)93286(cid:1)052(cid:1)9 ISBN 0(cid:1)596(cid:1)00073(cid:1)1 (англ) © Издательство Символ(cid:29)Плюс, 2003 Authorized translation of the English edition © 2002 O’Reilly & Associates Inc. This translation is published and sold by permission of O’Reilly & Associates Inc., the own(cid:29) er of all rights to publish and sell the same. Все права на данное издание защищены Законодательством РФ, включая право на полное или час(cid:29) тичное воспроизведение в любой форме. Все товарные знаки или зарегистрированные товарные зна(cid:29) ки, упоминаемые в настоящем издании, являются собственностью соответствующих фирм. Издательство«Символ(cid:29)Плюс».199034,Санкт(cid:29)Петербург,16линия,7, тел.(812) 324(cid:29)5353, [email protected]. Лицензия ЛП N 000054 от 25.12.98. Налоговая льгота – общероссийский классификатор продукции ОК 005(cid:29)93, том 2; 953000 – книги и брошюры. Подписано в печать 16.04.2003. Формат 70х1001 /16. Печать офсетная. Объем 21 печ.л. Тираж 2000 экз. Заказ N Отпечатано с диапозитивов в Академической типографии «Наука» РАН 199034, Санкт(cid:29)Петербург, 9 линия, 12. Оглавление Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 1. Сеть – это компьютер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Sun ONE, открытое сетевое окружение. . . . . . . . . . . . . . . . . . . . . . . . .14 Версии Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Ресурсы, посвященные Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 2. Создание сетей Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Системные понятия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Архитектура сетей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Протоколы Интернета. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30 Применение inetd. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Применение snoop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 3. Установка Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 Планируем установку . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 Установка на платформе SPARC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Установка на платформе Intel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Подготовка к установке (SPARC). . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 Подготовка к установке (Intel) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 Установка с помощью мастера Web Start. . . . . . . . . . . . . . . . . . . . . . .75 4. Настройка сетей. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 Создание сетей и подсетей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77 Настройка сетевых интерфейсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80 Сбор сетевой статистики. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Маршрутизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 5. Службы имен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 Домены и службы имен. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95 Служба доменных имен (DNS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 Сетевая информационная служба (NIS) . . . . . . . . . . . . . . . . . . . . . . .118 6 Оглавление Сетевая информационная служба (NIS+). . . . . . . . . . . . . . . . . . . . . .120 Облегченный протокол доступа к каталогам (LDAP) . . . . . . . . . . .126 6. Системное администрирование. . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 Управление пользователями. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 Управление программными пакетами . . . . . . . . . . . . . . . . . . . . . . . .139 Управление принтерами. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 Квоты. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 Установка Sendmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153 7. Файловые серверы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 Samba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 Серверы NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183 Измерение производительности NFS . . . . . . . . . . . . . . . . . . . . . . . . .193 8. Управление данными. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 Принципы управления данными. . . . . . . . . . . . . . . . . . . . . . . . . . . . .200 Инструменты контроля версий. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Резервное копирование. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211 Выбор носителей для резервного копирования . . . . . . . . . . . . . . . .214 Методы резервного копирования и восстановления . . . . . . . . . . . .216 Пакеты для резервного копирования и восстановления . . . . . . . .227 9. Сетевая безопасность. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .228 Парольная безопасность. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230 Защищенный интерпретатор SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . .241 Блокировка IP(cid:29)портов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 Фильтрация пакетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Kerberos 5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253 IPsec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255 SOCKS Internet Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257 MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260 10. Сетевые информационные системы. . . . . . . . . . . . . . . . . . . . . . . . .261 Информационные веб(cid:29)системы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262 Настройка веб(cid:29)сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .276 Исполнение сервлетов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282 Создание сервлетов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285 CORBA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288 Enterprise JavaBeans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .294 Установка сервера баз данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301 Алфавитный указатель . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307 Предисловие Электронная коммерция навсегда изменила мир компьютеров. При(cid:29) земленные задачи, связанные с созданием сетей, установкой систем, обеспечением удаленного доступа, в мировом масштабе вызывают го(cid:29) раздо больший интерес, чем проявляемый отдельными пользователя(cid:29) ми на местах. Клиент может получать доступ к приложению электрон(cid:29) ной коммерции, находясь на другом конце города и даже на другом конце света. Пришло время, когда привычные витрины заменяются виртуальны(cid:29) ми, так что действия системных администраторов и архитекторов те(cid:29) перь подвергаются более тщательному анализу. Представьте себе, что реальный магазин вынужден закрыть двери для покупателей по при(cid:29) чине аппаратного сбоя! Чтобы предоставить тот уровень обслужива(cid:29) ния, который ожидается и даже требуется в эпоху сети Интернет, вир(cid:29) туальные магазины должны работать двадцать четыре часа в сутки, семь дней в неделю, по пятьдесят две недели в году. Меняются потреб(cid:29) ности покупателей, а значит, меняются потребности разработчиков и обслуживающего персонала систем: архитектурные решения ставятся под сомнение, а любое изменение бюджета должно быть оправдано в контексте существующих доходов. Вдумчивые системные админист(cid:29) раторы системы Solaris™ теперь считают обязанностью вникать в де(cid:29) ловую активность своих фирм, поскольку их действия при построении систем высокой доступности могут коренным образом повлиять на ус(cid:29) пешность любого предприятия. Для кого эта книга Эта книга является руководством для администраторов, перед кото(cid:29) рыми стоят задачи настройки сетевых служб Solaris, доступных дале(cid:29) ко за пределами локальных сетей. Многие из принципов и примеров, приводимых в книге, применимы как в глобальных, так и в локаль(cid:29) ных сетях, хотя требования к безопасности и уровню обслуживания в приложениях электронной коммерции, как правило, оставляют в те(cid:29) ни вопросы, связанные с локальными службами. Тем не менее в элект(cid:29) ронной коммерции особенно важна грамотная поддержка и сопровож(cid:29) 8 Предисловие дение локальных сетевых служб, от потенциала масштабирования ко(cid:29) торых может зависеть решение глобальных задач. Методы, процедуры и техники, описанные в книге, не привязаны жестко к конкретному изданию системы Solaris; при этом отдельные команды, возможности и параметры могут варьироваться. Помимо прочего, некоторые из недавно появившихся служб доступны только в системе Solaris версии 8 и более поздних. Чтение этой книги принесет пользу любому, кто имеет дело с сетевы(cid:29) ми службами Solaris, будь то системный администратор, архитектор, инженер или разработчик. Обзор Настоящая книга рассказывает о построении сетей на основе служб системы Solaris. Сначала мы изучим основы сетевого взаимодействия и планирования подсетей и, в частности, рассмотрим процесс установки и настройки служб для отдельной вычислительной системы. От прак(cid:29) тических вопросов межсетевой маршрутизации мы перейдем к распро(cid:29) страненным службам имен, реализующим управление различными ре(cid:29) сурсами (узлами, пользователямиит.д.) в масштабах целых сетей. Речь пойдет об управлении этими ресурсами на уровне отдельных вы(cid:29) числительных систем, после чего будут подробно освещены две широко применяемые системы доступа к файлам (и связанные с ними протоко(cid:29) лы). Дальше нас ждет обсуждение методик управления данными и воп(cid:29) росов, связанных с оценкой и измерением емкостных потребностей. Я представлю анализ способов обеспечения безопасности вычислитель(cid:29) ных систем и сетей посредством инструментов операционной системы Solaris и решений независимых разработчиков. И наконец, я расска(cid:29) жу о разработке системы электронной коммерции с применением уровней приложений и служб архитектуры Sun ONE™ (Open Network Environment, открытое сетевое окружение). В главе 1 «Сеть– это компьютер» представлено будущее сетевых ин(cid:29) формационных систем глазами компании Sun– будущее, основанное на среде ONE и применении систем SunOS™ и Solaris в качестве базо(cid:29) вых технологий, способных обеспечить солидный фундамент для де(cid:29) ловой активности. На конкретном примере рассмотрен анализ требо(cid:29) ваний и спецификаций для гипотетической системы электронной ком(cid:29) мерции, построенной на базе Solaris, и того, каким образом различные уровни среды ONE могут настраиваться в целях эффективного реше(cid:29) ния поставленных задач. В основе существования современных сетевых служб лежит семейство протоколов TCP/IP и сеть Интернет. Глава2 «Создание сетей Solaris» посвящена краеугольным принципам работы сетей (в частности форма(cid:29) ту IP(cid:29)адресов, разрешению имен узлов и адресов), а также вопросам по(cid:29) строения сетей Solaris. Мы обсудим поддержку сетевых устройств, реа(cid:29) Предисловие 9 лизованную в системе Solaris, рассмотрим установку и настройку ос(cid:29) новных сетевых служб TCP/IP (включая демон интернет(cid:29)служб inetd). Чтобы продемонстрировать основные принципы работы протокола TCP (Transmission Control Protocol) и родственных ему, мы разберем содержимое реальных пакетов, которыми обмениваются узлы под уп(cid:29) равлением Solaris. В главе 3 «Установка системы Solaris» даны пошаговые инструкции по установке и выбору значений основных параметров сетевых настроек для платформ Solaris Intel и Solaris SPARC. Существует три метода ус(cid:29) тановки системы Solaris: из командной строки (текстовый интерфейс), диалоговый (на основе меню) и веб(cid:29)старт (на основе Java). Мы изучим последний. Кроме того, затронем задачи планирования, выполнение которых необходимо для выбора корректных параметров настройки сети. Вы узнаете о распространенных ошибках при установке системы Solaris, а также о методах разрешения возникающих проблем. Учитывая сложность задач, связанных с настройкой единственной вы(cid:29) числительной системы, планирование и настройка целой сети могут вы(cid:29) глядеть устрашающе. В главе4 «Настройка сетей» рассказывается о на(cid:29) стройке сети из машин под управлением Solaris, описываются настрой(cid:29) ка сетевых интерфейсов в различных конфигурациях, статическая и динамическая маршрутизация, а также способы диагностирования и разрешения сетевых проблем. В дополнение к этому материалу приво(cid:29) дятся примеры инициализации устройств и проверки интерфейсов. Когда сеть начинает расти, и ответственность за решение различных задач делится между системами, особую важность приобретает уста(cid:29) новка по меньшей мере одной системы каталогов, которая позволит находить узлы сети. Для доменов сети Интернет могут потребоваться дополнительные службы имен. В главе5 «Службы имен» рассказыва(cid:29) ется о важности распределенных служб имен, позволяющих находить машины, пользователей и различные виды сетевых ресурсов, и читате(cid:29) ли знакомятся с процессом настройки службы доменных имен (DNS) системы Solaris. DNS позволяет преобразовывать IP(cid:29)адреса в имена, удобные для использования людьми, и обратно. Сетевая информаци(cid:29) онная служба (Network Information System, NIS/NIS+), разработан(cid:29) ная Sun, позволяет сделать шаг вперед от традиционной системы DNS в плане поддержки иерархических пространств имен. Система NIS/ NIS+, которую мы рассмотрим в подробностях, является универсаль(cid:29) ным решением по управлению сетевыми ресурсами, позволяющим проводить как авторизацию доступа к ресурсам, так и идентифика(cid:29) цию, то есть проверку подлинности, во взаимодействиях клиентов и серверов. И наконец, речь пойдет о более современном облегченном протоколе доступа к каталогам (Lightweight Directory Access Protocol, LDAP) и его реализации на платформе Solaris. В главе6 «Системное администрирование» рассказывается об управле(cid:29) нии пользователями и ресурсами в масштабе одной вычислительной