Родерик Смит - Сетевые средства Linux
Резюме
Традиционно в Linux использовалась система печати BSD LPD, но в последние годы она перестала соответствовать требованиям, предъявляемым к подобным системам. Существуют альтернативные системы, которые в последние годы все чаще включаются в состав дистрибутивных пакетов Linux. К таким системам относятся LPRng и CUPS. В них улучшены средства защиты, а в системе CUPS реализованы инструменты администрирования, предоставляющие Web-интерфейс.
Настраивая компьютер для выполнения функций сервера печати, обязательно надо учитывать требования безопасности. Лучше всего использовать средства фильтрации пакетов, сконфигурировав их так, чтобы обращаться к портам 515 и 631 могли только те компьютеры, для которых разрешено взаимодействие с сервером печати (порты 515 и 631 используются соответственно при работе с помощью протоколов LPD и IPP). Кроме того, в качестве дополнительных мер защиты следует применять средства, реализованные в конкретных системах печати. LPRng предоставляет возможность управлять взаимодействием посредством протокола LPD, a CUPS обеспечивает контроль при использовании средств IPP.
Глава 10
Служба времени
Настраивая компьютер, администратору приходится устанавливать показания системных часов. Как правило, встроенные аппаратные таймеры работают не точно, кроме того, погрешность их различается в разных системах. Если сеть проработает несколько недель, то вы увидите, что системные часы, точно установленные вначале, показывают совершенно разное время (если погрешность велика, то расхождение можно заметить уже через несколько часов). В процессе перехода на летнее и зимнее время также возникают проблемы; при этом вам надо решить, следует ли вручную переводить часы или предоставить системе сделать это самостоятельно. Ситуация осложняется еще больше, если на одном компьютере установлено несколько операционных систем. Другими словами, для поддержки точного времени в сети приходится затрачивать время и усилия, которые могли бы быть направлены на решение более важных задач. Для того чтобы избавить администратора от необходимости постоянно следить за показаниями системных часов и корректировать их, разработаны специальные программы, которые называются временными серверами. Эти программы предоставляют клиентам сведения о точном времени, поэтому, для того, чтобы на всех компьютерах были установлены одинаковые показания системных часов, достаточно инсталлировать центральный временной сервер и сконфигурировать клиенты для работы с ним. Временной сервер можно также синхронизировать с одним из внешних серверов, которые получают сведения от эталонных источников. В результате такой синхронизации достигается точная установка времени во всей сети.
Использование временного сервера
Временной сервер поддерживается в сети для того, чтобы клиенты могли получать информацию о точном времени. На основании этой информации клиенты могут устанавливать свои системные часы так, чтобы они показывали время, близкое к эталонному (выражение "близкое к эталонному" может означать, что время на системных часах будет отличаться от эталонного всего на несколько миллисекунд). Это позволит избежать проблем, связанных с неодинаковой установкой системного времени. Так, например, если показания системных часов на разных компьютерах различаются, может возникнуть ситуация, при которой клиент запишет файл на сервер, а обратившись к этому же файлу через минуту, обнаружит, что время его создания опережает текущее время на две минуты. Разница во времени может существенно затруднить интерпретацию записей в файлах протоколов. Работа некоторых инструментов, например Kerberos, непосредственно основана на предположении о том, что показания часов клиента и сервера совпадают. Если в сети используются подобные средства, наличие в ней временного сервера обязательно.
Работа программы, реализующей временной сервер, может показаться несколько необычной. Дело в том, что эта программа выполняет функции как сервера, так и клиента. В частности, она не только предоставляет сведения клиентам, но и корректирует показания часов того компьютера, на котором она выполняется. Если в вашей сети есть несколько машин, работающих под управлением UNIX или Linux, вы можете настроить одну из них так, чтобы она получала сведения о точном времени от внешнего сервера, а остальные сконфигурировать для получения данных от первого компьютера. Такая конфигурация снижает нагрузку на внешние серверы. Существуют серверы, специально выделенные для поддержки информации о времени и предоставления ее клиентам. На некоторых из таких серверов для отсчета времени применяются атомные часы, а на других показания часов синхронизируются по радиосигналу, который передает официальная служба времени. Если вы не хотите устанавливать полнофункциональный временной сервер на клиентских компьютерах, можете использовать простую программу, которая выполняет лишь функции клиента. Чтобы показания часов оставались корректными, вам необходимо обеспечить периодический запуск этой программы.
Настройка сервера NTP
Из протоколов, обеспечивающих работу временных серверов, наиболее популярен NTP (Network Time Protocol — сетевой протокол времени), который описан в документе RFC 1305 (http://www.ietf.org/rfc/rfc1305.txt). Рассмотрению более старых версий этого протокола посвящены документы RFC 958, RFC 1059 и RFC 1119. На момент написания данной книги, т.е. в 2002 году, последней версией NTP была версия 4, но версия 3 продолжала широко использоваться. Основной Web-узел NTP располагается по адресу http://www.eecis.udel.edu/~ntp/. NTP поддерживает иерархическую структуру временных серверов, в которой сервер, непосредственно получающий данные об эталонном времени, предоставляет их серверам, взаимодействующим с ним; те, в свою очередь, обслуживают другие серверы и т.д. до тех пор, пока информация о времени не доставляется клиентам. Серверы и клиенты NTP разработаны для различных операционных систем, в частности для Linux. Чтобы настроить сервер NTP для работы в системе Linux, необходимо отредактировать лишь один конфигурационный файл. Контроль за действиями сервера осуществляется с помощью специальных инструментов. На компьютерах, находящихся на самом нижнем уровне иерархии NTP, могут быть запущены клиентские программы, которые также просты в использовании.
На заметкуСуществует упрощенный вариант NTP, который называется SNTP (Simple NTP — простой NTP). Клиенты SNTP осуществляют синхронизацию времени, взаимодействуя с серверами NTP.
Функционирование временных серверов
Работа временных серверов начинается с получения сведений о времени от официальных источников. Эти сведения получаются путем считывания показаний атомных часов, приема специальных радиосигналов и т.д. Служба GPS (Global Positioning System — глобальная система позиционирования) принимает временные сигналы со спутников, поэтому может быть использована в качестве официального источника данных о времени. (Информацию об устройствах отсчета времени можно получить, обратившись по адресу http://www.eecis.udel.edu/~ntp/hardware.html.)
Атомные часы, устройства приема радиосигналов и прочее оборудование принято называть эталонными временными серверами, или серверами уровня 0. Эти серверы не поддерживают сетевые соединения (они взаимодействуют с компьютерами через последовательные порты, и для обмена данными с ними требуются дополнительные устройства). Компьютеры, которые синхронизируют свои системные часы, используя такие устройства, называются серверами уровня 1. Может показаться, что на них поддерживается наиболее точное время в Internet, однако исследования показали, что приблизительно треть из них имеют погрешность в секунду и больше. Компьютеры, которые используют для синхронизации серверы уровня называются серверами уровня 2 и т.д.
Процедура синхронизации предполагает обмен клиента с сервером несколькими пакетами данных (как правило, каждые пять минут передаются как минимум пять пакетов). Клиент передает серверу пакет, содержащий текущие показания своих системных часов. В ответ сервер передает клиенту тот же пакет. Сравнивая время в момент передачи и в момент приема, клиент может оценить задержку, связанную с пересылкой данных по сети, и учесть ее при коррекции значения таймера. Клиент может быть настроен для работы с несколькими серверами. В этом случае, сравнивая показания времени, задержку, вызванную передачей данных, и другие факторы, он может выбрать из этих серверов наиболее пригодный для себя.
Полнофункциональный сервер NTP работает постоянно и время от времени опрашивает вышестоящий сервер (первоначально обращения осуществляются каждые 64 секунды, но при некоторых вариантах конфигурации системы интервал между обращениями может увеличиться до 1024 секунд). Сервер NTP корректирует показания часов компьютера, на котором он выполняется, различными способами. Большие расхождения во времени (порядка секунды или больше) сначала игнорируются — сервер считает, что они могут быть вызваны ошибками при обмене данными. Но если такая ситуация сохраняется в течение некоторого времени, NTP компенсирует ошибку; он либо непосредственно устанавливает требуемое значение времени, либо ускоряет или замедляет ход системных часов до тех пор, пока системное время и время внешнего сервера не сравняются. (Процедура ускорения и замедления хода называется подстройкой системных часов.) Сервер NTP также поддерживает специальный файл (обычно это /etc/ntp/drift, /var/state/ntp.drift или другой файл с подобным именем), в котором он хранит данные об ошибке или о "дрейфе" системного таймера. Информация в этом файле помогает серверу компенсировать ошибку системных часов в том случае, если компьютер на длительное время остается выключенным или если вышестоящий сервер NTP не доступен.
