ljudska univerza radovljica - vzpostavitev in ... · web viewv računalniškem omrežju pomeni...

VZPOSTAVITEV IN VZDRŽEVANJE OMREŽNIH STORITEV

INTERNO GRADIVO

Roman Rehberger

2013LJUDSKA UNIVERZA RADOVLJICA


KAZALO1. Zakaj uporabiti računalniško omrežje?..............................................................................8

1.1 Izmenjava informacij (ali podatkov).................................................................................8

1.1.1 Delitev programske in strojne opreme......................................................................9

1.1.2 Centralizirana administracija in pomoč.....................................................................9

1.2 Sestavni deli omrežja......................................................................................................9

1.2.1 Običajni elementi v omrežju......................................................................................9

1.2.2 Omrežja vsak z vsakim...........................................................................................10

1.2.3 Lastnosti omrežij vsak z vsakim.............................................................................11

1.2.4 Implementacija........................................................................................................12

1.2.5 Administracija.........................................................................................................12

1.3 Računalniška omrežja po velikosti................................................................................12

1.3.1 Lokalna omrežja.....................................................................................................13

1.3.2 Mestna omrežja......................................................................................................13

1.3.3 Prostrana omrežja..................................................................................................14

1.4 Strežniška omrežja........................................................................................................14

1.4.1 Specializirani strežniki............................................................................................15

1.4.2 Vloga programske opreme v strežniških omrežjih..................................................16

1.4.3 Prednosti strežniškega omrežja.............................................................................16

1.5 Aplikacije odjemalec/strežnik........................................................................................17

1.5.1 Odjemalec...............................................................................................................19

1.5.2 Strežnik...................................................................................................................20

1.5.3 Vrste arhitekture odjemalec/strežnik......................................................................22

1.5.4 INET arhitektura odjemalec/strežnik.......................................................................25

1.5.5 Prihodnost modela odjemalec/strežnik...................................................................26

1.5.6 Orodja za gradnjo aplikacij odjemalec/strežnik......................................................26

1.6 Diskovno omrežje NAS (Network Attached Storage)....................................................28

2. Strežnik........................................................................................................................30

2.1 Tiskalniški strežnik........................................................................................................30

2.2 Poštni strežniki..............................................................................................................31

2.2.1 Protokol SMTP........................................................................................................31

2.2.2 Protokol ESMTP.....................................................................................................32

2.2.3 Protokol POP3........................................................................................................32

2.2.4 Protokol IMAP4.......................................................................................................33

2.2.5 Delovanje protokola SMTP in POP........................................................................34

Stran 1LJUDSKA UNIVERZA RADOVLJICA


2.2.6 Postfix.....................................................................................................................34

2.2.7 Courier....................................................................................................................35

2.2.8 Nastavitve poštnega odjemalca..............................................................................35

2.2.9 Elektronska pošta...................................................................................................39

2.2.10 Začetek e–pošte...................................................................................................40

2.2.11 Kako deluje internetna e–pošta?..........................................................................40

2.2.12 Oblika internetne e–pošte.....................................................................................41

2.2.13 Glava internetne e–pošte......................................................................................41

2.2.14 Sporočila in odjemalci...........................................................................................41

2.2.15 Nezaželena pošta in e–pošta črvi.........................................................................41

2.2.16 Protokol SMTP......................................................................................................42

2.3 Spletni strežnik..............................................................................................................42

2.3.1 Zgodovina spletnih strežnikov................................................................................45

2.3.2 Kako postaviti spletni strežnik.................................................................................45

2.4 Delovanje spletnega strežnika......................................................................................47

2.5 Namestitev spletnega strežnika....................................................................................48

2.5.1 Pravice nad datotekami v okolju Windows.............................................................48

2.5.2 Ostale varnostne zadeve........................................................................................48

2.5.3 Nastavljanje pravic nad datotekami na Linux-sistemu v lastnem upravljanju.........49

2.5.4 Nastavljanje pravic nad datotekami na gostujočem spletnem strežniku................49

2.6 Izbira povezave in domene...........................................................................................50

2.7 Imenski strežnik.............................................................................................................52

2.7.1 Komunikacije DNS..................................................................................................54

2.7.2 DHCP strežnik........................................................................................................55

2.8 Protokol za prenos datotek FTP....................................................................................58

2.8.1 File Transfer Protocol.............................................................................................58

2.8.2 Zagon FTP in prijava na strežnik FTP....................................................................59

2.8.3 Prenašanje datotek.................................................................................................60

2.8.4 Ukazi FTP...............................................................................................................60

2.8.5 Pošiljanje datotek....................................................................................................61

2.9 Trivial FTP.....................................................................................................................62

2.10 Telnet..........................................................................................................................63

2.8 Datotečni strežnik..........................................................................................................64

2.9 Grid v Sloveniji..............................................................................................................66

2.9.1 Slovenska iniciativa za grid.....................................................................................66

2.9.2 Arnesova testna gruča............................................................................................67



3. Upravljanje z uporabniškimi računi..............................................................................68

3.1 Microsoft Windows........................................................................................................68

3.2 Linux..............................................................................................................................69

3.3 Opis različnih tipov uporabnikov....................................................................................70

3.3.1 Administrator...........................................................................................................70

3.3.2 Standardni uporabnik..............................................................................................70

3.3.3 Račun za goste.......................................................................................................71

3.3.4 Sistemski uporabnik................................................................................................71

3.3.5 Navadni uporabnik..................................................................................................71

3.3.6 Skupine...................................................................................................................71

3.3.7 Uporabniški profil....................................................................................................71

3.4 Upravljanje z uporabniki v okolju Windows...................................................................71

3.4.1 Dodajanje uporabniškega računa...........................................................................72

3.5 Namestitev operacijskega sistema................................................................................76

3.6 Priprava omrežja...........................................................................................................78

3.7 Namestitev spletnega strežnika....................................................................................80

3.8 Nastavitev spletnega strežnika......................................................................................82

3.9 Dodatne spletne aplikacije za spletni strežnik (SSI, CGI Perl, PHP, ASP)...................86

3.9.1 SSI..........................................................................................................................86

3.9.2 CGI in Perl..............................................................................................................88

3.9.3 PHP........................................................................................................................91

3.9.4 ASP.........................................................................................................................94

3.10 Namestitev in nastavitev podatkovne baze MySQL....................................................95

4. DIGITALNI PODPISI....................................................................................................98

4.1 Izdelava in uporaba digitalnega podpisa.......................................................................99

4.2 Pravni vidik digitalnega podpisa..................................................................................100

4.3 Digitalna potrdila..........................................................................................................101

4.3.1 Digitalna potrdila javnih ključev in overitelji..........................................................101

4.4 Vrste napadov.............................................................................................................104

4.4.1 Napadi na šifre......................................................................................................104

4.4.2 Napad samo s šifropisom (angl. Ciphertext-Only Attack).....................................105

4.4.3 Napad z grobo silo (angl. Brute-Force Attack).....................................................105

4.4.4 Napad z izbranim čistopisom (angl. Chosen-Plaintext Attack).............................105

4.4.5 Napad z izbranim šifropisom (angl. Chosen-Ciphertext Attack)...........................105

4.4.6 Napad z znanim čistopisom (angl. Known-Plaintext Attack)................................105

5. Oddaljeni dostop...........................................................................................................106



5.1 Oddaljeno namizje z VNC...........................................................................................106

5.2. Oddaljeno namizje z Windows XP Professional........................................................107

5.2.1 Oddaljeni dostop z Windows 7.................................................................................108

5.2.2 Varovanje oddaljenega dostopa...........................................................................108

5.3 Obstoječi programi za oddaljen dostop.......................................................................109

5.3.1 LogMeIn................................................................................................................109

5.3.2 Windows Remote Desktop Connection................................................................110

5.3.3 UltraVNC...............................................................................................................113

5.3.4 TightVNC..............................................................................................................113

5.3.5 RealVnc................................................................................................................114

5.3.6 TeamViewer..........................................................................................................114

5.4 Povezovanje................................................................................................................116

5.4.1 Nadzor namizja.....................................................................................................116

5.4.2 Predstavitev..........................................................................................................117

6. Prvi koraki v Imeniških storitvah.................................................................................118

6.1 Imenik..........................................................................................................................118

6.1.1 Razmerje med pogostostjo branja in pisanja........................................................119

6.1.2 Možnost razširitve imenika...................................................................................119

6.1.3 Porazdeljenost podatkov......................................................................................119

6.1.4 Ponavljanje vsebine..............................................................................................119

6.1.5 Učinkovitost..........................................................................................................119

6.1.6 Standardi..............................................................................................................120

6.2 Osnove LDAP..............................................................................................................120

6.2.1 Uporaba LDAP......................................................................................................121

6.2.2 Struktura imenikov LDAP......................................................................................121

6.2.3 Drevesna struktura LDAP.....................................................................................122

6.2.4 Osnovna struktura imenika LDAP........................................................................123

6.2.5 Uporaba zaščite SSL (plast zaščitenih vtičnic) v imeniškem strežniku LDAP......123

6.3 Seznami za nadzor dostopa LDAP (ACL)...................................................................124

6.3.1 Modeli ACL...........................................................................................................124

6.3.2 Posebne vrednosti ACL........................................................................................125

6.4 Infiniband.....................................................................................................................125

7. KAKO SE IZOGNITI OKUŽBI RAČUNALNIŠKEGA SISTEMA.................................127

7.1 Licenčna in odprtokodna programska oprema............................................................127

7.2 Redno posodabljanje programske opreme.................................................................127

7.3 Odklanjanje reklamnih zgoščenk.................................................................................127



7.4 Previdno deskanje po svetovnem spletu.....................................................................127

7.5 Filtriranje nezaželenih elektronskih sporočil................................................................128

7.6 Namestitev ustrezne protivirusne in druge programske zaščite..................................128

7.7 Uporaba požarnega zida.............................................................................................128

7.8 Izobraževanje uporabnikov.........................................................................................128

7.9 Programska oprema - Programi za filtriranje spletnih vsebin......................................129

7.10 Programi za filtriranje spam pošte.............................................................................130

7.10.1 MailWasher.........................................................................................................131

7.10.2 SMTP Relay........................................................................................................131

7.10.3 SpamAssassin....................................................................................................131

7.11 Nadzor pretoka podatkov med omrežji.....................................................................131

7.11.1 VDOROBRAN (Firewall).....................................................................................131

8.1 Varnost podatkov........................................................................................................133

8.2 Varnostno kopiranje in arhiviranje podatkov...............................................................134

8.2.1 Varnost podatkov v operacijskem sistemu Windows............................................135

8.2.2 Varnost podatkov v operacijskem sistemu Linux..................................................136

9.Virtualizacija...................................................................................................................138

9.1 Vrste virtualizacije.......................................................................................................138

9.2 Emulacija.....................................................................................................................138

9.3 Popolna virtualizacija...................................................................................................139

9.4 Strojno podprta virtualizacija.......................................................................................139

9.5 Delna virtualizacija......................................................................................................139

9.6 Paravirtualizacija.........................................................................................................139

9.7 Virtualizacija na nivoju operacijskega sistema............................................................140

9.8 Odprto-kodna virtualizacija na nivoju operacijskega sistema OpenVZ.......................141

9.9 Popolna virtualizacija...................................................................................................141

9.10 Popolna virtualizacija VMWare Server......................................................................142



KAZALO SLIKSlika 1: Seja z Microsoft Outlook..............................................................................................8Slika 2: Tiskalnik v samostojnem okolju....................................................................................9Slika 3: Delitev tiskalnika v omrežju..........................................................................................9Slika 4: Omrežja vsak z vsakim in strežniška omrežja...........................................................10Slika 5: Omrežje vsak z vsakim..............................................................................................10Slika 6: Komunikacija med računalnikoma.............................................................................11Slika 7: Lokalno omrežje.........................................................................................................13Slika 8: Mestno omrežje pogosto temelji na CATV.................................................................13Slika 9: Prostrano omrežje......................................................................................................14Slika 10: Strežniško omrežje...................................................................................................14Slika 11: Komunikacija med računalnikoma...........................................................................15Slika 12: Strežniki podjetja IBM,.............................................................................................15Slika 13: Specializirani strežniki..............................................................................................16Slika 14: En administrator upravlja z omrežno varnostjo........................................................17Slika 15: Model odjemalec/strežnik.........................................................................................18Slika 16: Odjemalec-strežnik (Client-server)..........................................................................19Slika 17: Nivoji abstrakcije sistemov tipa odjemalec/strežnik.................................................21Slika 18: Tri vrste distribuirane arhitekture.............................................................................21Slika 19: Enonivojski model....................................................................................................22Slika 20: Prva generacija arhitekture odjemalec/strežnik.......................................................23Slika 21: Druga generacija arhitekture odjemalec/strežnik.....................................................24Slika 22: INET model..............................................................................................................25Slika 23: Primerjava orodij po skalabilnosti in kompleksnosti aplikacij...................................27Slika 24: Sedona kot vmesnik med različnimi standardi.........................................................28Slika 25: Tiskalniški strežnik...................................................................................................30Slika 26: Razlika SMTP in POP3............................................................................................33Slika 27: Poštni strežnik..........................................................................................................34Slika 28: "Klasična" pošta.......................................................................................................39Slika 29: Elektronska pošta.....................................................................................................39Slika 30: program za odjem e–pošte......................................................................................40Slika 31: Elektronska pošta.....................................................................................................42Slika 32: Spletni strežnik.........................................................................................................43Slika 33: DNS sestavlja več slojev imen.................................................................................53Slika 34: Prošnja za naslov IP................................................................................................56Slika 35: Pregled prostih naslovov in ponujanje.....................................................................56Slika 36: Izbira naslova IP.......................................................................................................57Slika 37: Vnos v tabelo in potrditev izbire...............................................................................57Slika 38: Nastavljanje DHCP odjemalca v Windows XP.........................................................58Slika 39: Protokol FTP............................................................................................................58Slika 40: Program z grafičnim vmesnikom za ftp....................................................................59Slika 41: Prijava in uporaba ftp v ukazni vrstici.......................................................................62Slika 42: Telnet program v Windows......................................................................................63Slika 43: S telnetom lahko ugotovljamo odziv SMTP.............................................................64Slika 44: Prikaz delovanja oddaljene pomoči.......................................................................101Slika 45: Windows povezava z oddaljenim računalnikom....................................................103Slika 46: Prijavna forma programa RealVnc.........................................................................106Slika 47: Gumb za snemanje programa................................................................................106



Slika 48: Prvi del namestitve.................................................................................................107Slika 49: Drugi del namestitve..............................................................................................107Slika 50: Tretji del namestitve...............................................................................................107Slika 51: Četrti del namestitve..............................................................................................108Slika 52: Peti del namestitve.................................................................................................108Slika 53: Osnovna struktura imenika LDAP..........................................................................114Slika 54: Poenostavljena slika delovanja Infiniband tehnologije...........................................118Slika 55: Virtualizacija z uporabo emulacije..........................................................................130Slika 56: Popolna virtualizacija.............................................................................................131Slika 57: Paravirtualizacija....................................................................................................132Slika 58: Virtualizacija na nivoju operacijskega sistema.......................................................132Slika 59: Sestava virtualizacije OpenVZ...............................................................................133Slika 60: Sestava popolne virtualizacije VMWare Server.....................................................134Slika 11: Digitalni podpis.......................................................................................................136Slika 12: Delovanje digitalnega podpisa...............................................................................137



1. Zakaj uporabiti računalniško omrežje?

Zaradi velike učinkovitosti in procesorske moči današnjih osebnih računalnikov se bo morda kdo vprašali, zakaj so omrežja sploh potrebna. Od najzgodnejših omrežij do današnjih izjemno močnih osebnih računalnikov je odgovor ostal enak: omrežja zvišujejo učinkovitost in zmanjšujejo stroške. Računalniška omrežja dosegajo te prednosti v treh osnovnih točkah:

izmenjava informacij (ali podatkov), izmenjava programske in strojne opreme, centralizacija administracije in pomoči.

Bolj določeno, računalniki, ki so del omrežja, lahko izmenjujejo:

dokumente, poštna sporočila, ilustracije, slike in avdio-video datoteke, avdio-videokonference, tiskalnike, faksirne naprave, modeme, pogone CD, pogone DVD in vse ostale enote, kot so disketniki in pogoni zip, trde diske.

In še več možnosti obstaja. Zmožnosti omrežji se enakomerno razširjajo kot nove možnosti za izmenjavo in komunikacijo preko navadnih računalnikov.

1.1 Izmenjava informacij (ali podatkov)

Slika 1: Seja z Microsoft Outlook

Zmožnost hitre in poceni izmenjave informacij je dokazano ena od najbolj priljubljenih omrežnih storitev. Dokazano je bilo, da je elektronska pošta ena izmed najbolj pomembnih razlogov, da ljudje uporabljajo internet. Veliko podjetij je investiralo v omrežja, ki se uporabljajo za elektronsko komunikacijo (elektronska sporočila, skupinsko delo), ki temelji na omrežjih.

S tem ko spravimo informacije v obliko za izmenjavo, lahko omrežja znižajo potrebo po "papirni" komunikaciji, zvišajo učinkovitost, in naredijo katerokoli informacije ali podatke dosegljive skoraj



istočasno vsem, ki jih potrebujejo. Menedžerji uporabljajo informacijsko komunikacijsko tehnologijo, da hitro in učinkovito komunicirajo z velikim številom ljudi in da organizirajo in planirajo srečanja z ljudmi. Danes je to precej bolj enostavno, kot je bilo nekoč.

1.1.1 Delitev programske in strojne opreme

Slika 2: Tiskalnik v samostojnem okolju

Pred izumom računalniških omrežij so uporabniki računalnikov morali imeti lastne tiskalnike, risalnike in druge periferne naprave. Edini način, kako so si uporabniki lahko delili tiskalnik, je bil, da so izmenjajoče sedeli za računalnikom, ki je bil povezan z eno samo napravo. Slika prikazuje tipično samostojno okolje z računalnikom, na katerega je priključen tiskalnik.

Slika 3: Delitev tiskalnika v omrežju

Omrežja so omogočila veliko ljudem izmenjavo podatkov in hkratno delitev perifernih enot. Če več uporabnikov želi uporabljati tiskalnik, ga lahko vsi uporabljajo, če je vsem na voljo v omrežju. Slika prikazuje tipično omrežje, v katerem si več računalnikov deli en tiskalnik.

Omrežje se lahko uporablja za delitev in standardizacijo aplikacij, kot razni urejevalniki besedila, zbirke podatkov in drugo, za zagotovitev, da vsak v omrežju uporablja aplikacijo, ki ustreza istemu standardu. To dovoljuje, da se dokumenti hitro in enostavno izmenjujejo in zagotavlja večjo učinkovitost – uporabnike je enostavneje specializirati se za en urejevalnik besedila, kot da jih poznajo več (in običajno slabo).

1.1.2 Centralizirana administracija in pomoč

Za tehnično osebje je enostavneje je podpirati eno različico operacijskega sistema in aplikacij in postaviti vse računalnike v isti način, kot pa podpirati več različnih sistemov in platform.

1.2 Sestavni deli omrežja

1.2.1 Običajni elementi v omrežju

Računalniška omrežja se med seboj razlikujejo po velikosti, po namenu uporabe, po vrsti operacijskega sistema in še po drugem. Za omrežja pa so značilni določeni sestavne deli, določene funkcije in lastnosti.



Računalniška omrežja so sestavljajo:

strežnikiTo so računalniki, na katerih so v skupno rabo dani viri za uporabnike v omrežju.

odjemalciTo so računalniki, ki dostopajo do virov, ki so v skupni rabi.

medijiTo so kabli in druga strojna oprema, ki omogočajo fizično povezavo delov omrežja.

dokumenti v skupni rabiTo so dokumenti, ki so dani v skupno rabo na strežnikih in so na voljo v omrežju.

tiskalniki in ostale periferne naprave v skupni rabiTo so dodatne naprave, ki so dane v skupno omrežno rabo.

viriTo je katera koli storitev ali naprava, kot recimo datoteke, tiskalniki, ali drugačne naprave, ki so bile omogočene za uporabo uporabnikom v omrežju.

Kljub temu da imajo omrežja skupne značilnosti, pa so omrežja razdeljena v dve široki skupini, kot je prikazano na sliki:

omrežja vsak z vsakim (angl. Peer-To-Peer Network), strežniška omrežja (angl. Server Based Network).

Slika 4: Omrežja vsak z vsakim in strežniška omrežja

1.2.2 Omrežja vsak z vsakim

Slika 5: Omrežje vsak z vsakim



V omrežjih vsak z vsakim, ni posebnih računalnikov za strežnike in odjemalce in tudi ni nobene hierarhije računalnikov. Vsi računalniki so enakovredni. Vsak računalnik je po svoji funkciji tako strežnik kot tudi odjemalec, zato tudi ni administrativnih nalog za celotno omrežje.

Vsak uporabnik na svojem računalniku določa, kateri viri so v skupni rabi in na voljo drugim uporabnikom v omrežju. Slika prikazuje omrežje vsak z vsakim, v katerem računalniki delujejo kot strežniki in odjemalci.

Slika 6: Komunikacija med računalnikoma

V omrežjih vsak z vsakim ni hierarhije, zato lahko vedno komunicirata katerakoli sistema med seboj. Za medsebojno komunikacijo ne potrebujeta nobenega posrednika ali dovoljenje tretjega.

1.2.3 Lastnosti omrežij vsak z vsakimVelikost

Omrežja vsak z vsakim imenujemo tudi delovne skupine (angl. Workgroups). Izraz delovna skupina se uporablja za majhno skupino ljudi. Običajno je v omrežju vsak z vsakim 10 ali manj računalnikov.

Cena

Omrežja vsak z vsakim so po svoji zgradbi zelo enostavna. Ker vsak računalnik deluje kot strežnik in odjemalec, ni potreben zmogljiv centralni strežnik. Omrežja vsak z vsakim so lahko cenejša kot strežniška omrežja.

Operacijski sistem

V omrežju vsak z vsakim omrežni programi ne potrebujejo istih standardov, zmogljivosti in stopnje varnosti kot programi za namenske strežnike. Namenski strežniki delujejo samo kot strežniki in ne kot odjemalci.

Omrežja vsak z vsakim je možno zgraditi z različnimi operacijskimi sistemi. V takih primerih ni potrebne nobene dodatne strojne ali programske opreme za vzpostavitev omrežja vsak z vsakim. Večina današnjih operacijskih sistemov dopušča omrežja vsak z vsakim (na primer Windows XP, Linux).

Delitev virov

Vsak uporabnik lahko deli svoje vire na kakršen koli način želi. Ti viri vsebujejo datoteke, deljene imenike, tiskalnike in drugo.

Zahteve strežnikov

V okolju vsak z vsakim mora vsak računalnik uporabiti visok odstotek svojih virov za uporabnika na računalniku, ki mu pravimo lokalni uporabnik (angl. Local User). Prav tako mora uporabiti dodatne vire,



kot so prostor trdem disku ali prostor v pomnilniku za podporo uporabnikom, ki dostopajo do virov po omrežju, tem uporabnikom pravimo oddaljeni uporabniki (angl. Remote User).

Varnost

V računalniškem omrežju pomeni varnost ustvariti geslo na viru, na primer na določenem imeniku, ki je v skupni rabi v omrežju. Vsi omrežni uporabniki vsak z vsakim nastavijo svojo varnost in viri, ki so v skupni rabi, se lahko nahajajo na vseh računalnikih in ne samo na centralnem računalniku; pravzaprav je centraliziran nadzor zelo težko vzpostaviti. Ta varnostna luknja je zelo velikega pomena v omrežni varnosti, saj določeni uporabniki ne poskrbijo dovolj za varnost in lahko druge uporabnike v omrežju. Če je varnost potrebna, je strežniško omrežje boljša odločitev.

1.2.4 Implementacija

V običajnih omrežjih vsak z vsakim so naslednje ugodnosti:

računalniki se nahajajo na mizah uporabnikov, uporabniki se obnašajo kot administratorji na svojih računalnikih in sami odločajo o svoji

varnosti, računalniki v omrežju so povezani z vidnim kablom.

Omrežja vsak z vsakim so dobra izbira v naslednjih situacijah:

Kadar je 10 ali manj uporabnikov. Kadar si uporabniki delijo določene datoteke in tiskalnike, vendar ne obstajajo namenski

strežniki. Kadar varnost ni pomembna. Kadar se ne predvideva rast omrežja.

1.2.5 Administracija

Omrežna administrativna dela vsebujejo:

upravljanje z uporabniki in varnostjo, upravljanje z viri v skupni rabi, upravljanje z aplikacijami in podatki, namestitev in nadgradnja aplikacij in operacijskega sistema.

V tipičnem omrežju vsak z vsakim ni nihče administrator celotnega omrežja. Namesto tega je vsak uporabnik administrator na svojem računalniku.

1.3 Računalniška omrežja po velikosti

Računalniška omrežja so uvrščena v eno od skupin v odvisnosti od velikosti, od funkcije in od tehnologije prenosa podatkov. Pogosta delitev je na na lokalna (LAN), mestna (MAN) in prostrana (WAN), pojavljajo pa se še delitve na šolska omrežja (CAM, angl. Campus Area Network), globalna (svetovna) omrežja (GAM, angl. Global Area Network) in druga.



1.3.1 Lokalna omrežja

Slika 7: Lokalno omrežje

Lokalno omrežje (LAN) je osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje lahko sega od enostavnega (dva računalnika, ki sta povezana preko medija) do kompleksnega (na stotine povezanih računalnikov in perifernih enot).

Značilnost lokalnih omrežij je v tem, da so to zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V lokalnih omrežjih je tudi malo napak pri prenosu podatkov.

Večinoma se uporabljajo za skupno rabo datotek in tiskalnikov. Pogosto pa tudi za skupno administracijo (domena), za zaščito pred zunanjim omrežjem, za sporočanje.

1.3.2 Mestna omrežja

Slika 8: Mestno omrežje pogosto temelji na CATV

Mestna omrežja (angl. Metropolitan Area Network, MAN) se uporabljajo v večjih mestih ali širšem območju. Najboljši primer mestnega omrežja je omrežje kabelske televizije, ki je na razpolago v mnogih mestih. Ta sistem je zrasel iz skromnih skupnih anten, ki so se uporabljale za sprejem slabih televizijskih signalov. V takšnem sistemu se je na vrhu hriba nahajala antena, ki je nato signal peljala do posameznih gospodinjstev.

To so bili običajno na hitro narejeni in lokalno načrtovani sistemi. Ko so se začeli nekateri ukvarjati s tem poslom, so se omrežja razširila na celotna mesta. Naslednji korak so bili posebni programi, ki so bili emitirani v določenem kabelskem sistemu. Običajno so bili kanali specializirani, npr. za šport, politiko, kuhanje, aerobiko in podobno. Do leta 1990 so se uporabljali samo za TV–signale.



Ko je internet privabil širše množice, so operaterji kabelske televizije pričeli z izdelavo sprememb v omrežju, ki je omogočal dvosmerni promet in neuporabljen spekter so uporabili za povezavo z internetom. V tem trenutku so se distribucijski TV-sistemi začeli spreminjati v mestna omrežja.

Tipične storitve mestnih omrežij so prenos datotek, videa, TV in radijskega signala, telefonija.

1.3.3 Prostrana omrežja

Slika 9: Prostrano omrežje

Prostrana omrežja (angl. Wide Area Network, WAN) nimajo geografskih omejitev. Poveže lahko tudi računalnike ali druge naprave v določeni pokrajini, v državi ali celo na nasprotnih straneh sveta. WAN je običajno sestavljen iz več med seboj povezanih LAN.

Danes je najbolj poznano prostrano omrežje internet. Največji problem prostranih omrežij je pravilno iskanje najučinkovitejše poti do naslovnika ali usmerjanje.

Tipične storitve prostranih omrežij so splet, elektronska pošta, oddaljen dostop, prenos datotek.

1.4 Strežniška omrežja

Slika 10: Strežniško omrežje

Strežniki so računalniki, ki dajo v skupno rabo svoje vire za vse uporabnike v omrežju. Pomembno v tej definiciji je da, lahko samo strežniki dajo svoje vire v skupno rabo in da jo dajo v skupno rabo vsem odjemalcem.

V okolju z več kot 10 uporabniki bi bilo omrežje vsak z vsakim brez pomena. Zato ima večina omrežij strežnik. Namenski strežnik deluje samo kot strežnik in se ne uporablja kot odjemalec ali delovna postaja. Strežniki so označeni kot namenski, ker niso odjemalci in zato ker so optimizirani, da hitro ustrežejo odjemalcem in poskrbijo za potrebno varnost datotek in imenikov. Strežniška omrežja so postala standardni model omrežij.



Slika 11: Komunikacija med računalnikoma

V strežniških omrežjih ne moreta med seboj komunicirati katerakoli sistema. Komunicirata lahko samo strežnik in odjemalec. Dva odjemalca potrebujeta za medsebojno komunikacijo posrednika – strežnik.

Ko omrežja naraščajo (število priključenih računalnikov v omrežje, fizična razdalja med njimi in naraščajoč promet med njimi), je potreben več kot samo en strežnik.

1.4.1 Specializirani strežniki

Slika 12: Strežniki podjetja IBM

Vir: foto: Pryzmat Roman Milert, licenca CC:BY-NC-NS

Strežniki morajo opravljati različna in kompleksna opravila. Strežniki za velika omrežja so postali specializirani, da lahko zadovoljijo potrebe posameznih uporabnikov.

Načrtovanje specializiranih strežnikov postane pomembno pri naraščajočih omrežjih. Načrtovalec mora upoštevati možnost naraščanja omrežja tako, da omrežje ne bo moteno, če pride do menjave strežnikov.

Sledijo primeri različnih tipov specializiranih strežnikov vključenih v velika omrežja.

Datotečni in tiskalniški strežniki

Datotečni in tiskalniški strežniki omogočajo uporabnikom dostop do datotek in tiskalnikov. Na primer, če uporabljate aplikacije za delo z besedilom, se te aplikacije zaganjajo na vašem računalniku. Dokument, ki je shranjen na datotečnem ali tiskalniškem strežniku, lahko naložite v pomnilnik



računalnika in ga nato lokalno urejate. Datotečni in tiskalniški strežniki se torej uporabljajo za shranjevanje podatkov.

Aplikacijski strežniki

Aplikacijski strežniki so odgovorni za strežniško stran v aplikacijah odjemalec/strežnik, kot tudi podatke, ki so dosegljivi za odjemalce. Na primer, strežniki shranjujejo goro podatkov, ki je organizirana tako, da lažje dobimo te podatke. Aplikacijski strežnik se razlikuje od datotečnega in tiskalniškega strežnika po tem, da datotečni in tiskalniški strežniki naložijo podatke na računalnik, aplikacijski strežniki pa sami izvedejo operacije, tako ostane baza podatkov na strežniku in se odjemalcu se pošlje samo rezultat zahteve.

E–poštni in faksirni strežniki

E–poštni strežniki delujejo kot aplikacijski strežniki, ker so ločene strežniške in odjemalske aplikacije. Odjemalec selektivno naloži podatke s strežnika. Faksirni strežniki upravljajo s faksirnim prometom v omrežju in upravljajo s skupno rabo enega ali več faks modemov.

Domenski strežniki

Slika 13: Specializirani strežniki

Domenski strežniki omogočajo uporabnikom, da varno shranjujejo in lokalizirajo informacije v omrežju. Uporabniki so razdeljeni v logične skupine, ki dovoljujejo uporabnikom dostop do določenih virov v omrežju.

1.4.2 Vloga programske opreme v strežniških omrežjih

Strežnik in operacijski sistem delujeta skupaj kot celota. Ni pomembno, kako močan je lahko strežnik, brez operacijskega sistema nič ne koristi. Določeni operacijski sistemi so narejeni tako, da iztisnejo najboljše iz strojne opreme strežnika.

1.4.3 Prednosti strežniškega omrežja

Čeprav ga je težje namestiti, konfigurirati, in upravljati ima strežniško omrežje več prednosti pred omrežji vsak z vsakim.

Skupna raba virov

Strežniki so načrtovani zato, da omogočajo dostop do mnogih datotek in tiskalnikov in pri tem zagotavljajo ustrezno varnost. Podatki v strežniku, ki jih le–ta da v skupno rabo, so centralno upravljani in bolje nadzorovani. Ker so dokumenti v skupni rabi centralizirano locirani, jih lahko lažje najdemo in z njimi oskrbujemo posamezne računalnike.

Varnost



Slika 14: En administrator upravlja z omrežno varnostjo

Varnost je primarni razlog za odločitev za strežniško omrežje. V strežniškem omrežju, en administrator skrbi za varnost celotnega omrežja in določa pravila za vsakega uporabnika v omrežju. Slika prikazuje skrb za varnost v omrežju.

Varnostne kopije

Varnostne kopije se lahko ustvarijo večkrat na dan, enkrat na mesec, pač odvisno od pomembnosti podatkov. Strežniške varnostne kopije, se lahko naredijo avtomatično, tudi če se strežnik nahaja na drugih delih omrežja.

Redundanca

Poleg uporabe varnostnih kopij se uporabljajo tudi redundantni sistemi. Podatki na enem strežniku se kopirajo na drugega in tam tudi ostanejo. Tudi če se karkoli zgodi primarni hrambi datotek, se lahko uporabi varnostna kopija in podatki se lahko obnovijo.

Število uporabnikov v omrežju

Strežniško omrežje lahko vsebuje tisoče uporabnikov. Takšen tip omrežja bi bilo nemogoče upravljati, če bi bilo to omrežje vsak z vsakim, ampak določeni programi omogočajo delo s strežniškimi omrežji pri tako velikem številu.

Strojna oprema

Računalniki odjemalcev imajo manjše strojne zahteve, saj ne potrebujejo dodatnega pomnilnika in trdih diskov, za strežniške namene. Strežniška omrežja so dobra izbira:

kadar je v omrežju 10 ali več uporabnikov. kadar si uporabniki delijo določene datoteke in tiskalnike, ki jih lahko shranimo na strežnik. kadar je varnost pomembna in se zahteva centralizirana administracija. kadar se predvideva rast omrežja.

1.5 Aplikacije odjemalec/strežnik

Model odjemalec/strežnik bi lahko definirali kot delitev procesiranja in podatkov med enim ali več odjemalčevimi računalniki, ki izvajajo aplikacijo, in enim strežnim računalnikom, ki nudi storitve vsakemu izmed odjemalcev. Računalniki so med seboj običajno povezani v omrežje, pri čemer je odjemalec delovna postaja, na katerem se izvaja grafični uporabniški vmesnik (GUI - Graphical User Interface).

Aplikacije odjemalec/strežnik so krmiljene iz delovne postaje. Pri tem je namizje (desktop) delovne postaje uporabnikov pogled v okolje. Obstaja več definicij modela odjemalec/strežnik, ki so odvisne od tega, koliko organizacij, prodajalcev in založnikov so obšle. Najprimernejša se zdi sledeča:



Odjemalec (“client”) je enouporabniška delovna postaja, ki zagotavlja predstavitev podatkov, njihovo obdelavo, povezovanje, storitve baze in primeren vmesnik.

Strežnik (“server”) je eden ali več večuporabniških računalnikov z deljenim (shared) spominom, ki omogočajo obdelavo, povezovanje, storitve baze in primeren vmesnik.

Slika 15: Model odjemalec/strežnik

Aplikacija odjemalec/strežnik je okolje, katerega namen je porazdelitev procesiranja podatkov med odjemalcem in strežnikom. Za to okolje je značilno, da je heterogeno, kar pomeni, da sta lahko strojna in programska oprema (operacijski sistem) odjemalca in strežnika različna. Komunikacija poteka s pomočjo dobro definiranega niza standardnih aplikacijskih programskih vmesnikov (API - Application Programming Interface) in klicev oddaljenih procedur (RPC - Remote Procedure Call).

Učinkovita aplikacija odjemalec/strežnik naj bi bila popolnoma neodvisna od arhitekture. Uporabnik aplikacije želi funkcionalnost, ki naj bi jo aplikacija nudila. Spremembe v arhitekturi in tehnologiji morajo biti transparentne za uporabnika.

Odjemalec/strežnik je odprt sistem. Prednosti tega okolja so :

Medsebojna povezljivost (interoperability) - ključne komponente delujejo neodvisno po skupnem protokolu

Skalabilnost (scalability) - zaradi spremembe obsega obdelave lahko vsako od ključnih komponent kadarkoli zamenjamo z bolj ali manj zmogljivo, brez večjih sprememb na ostalih komponentah.

Prilagodljivost (adaptability) - novo tehnologijo brez težav vključimo v obstoječi sistem Podatkovna integriteta (data integrity) - entiteta, domena in referenčna integriteta se

vzdržujejo na podatkovnem strežniku, kar omogoča enostavno vzdrževanje in razširljivost Dosegljivost (accessability) - podatki so enostavno dosegljivi s pomočjo računalniškega

omrežja in aplikacij odjemalca Učinkovitost (performance) - učinkovitost se lahko optimizira s optimizacijo strojne opreme in

procesov Varovanje (security) - podatkovna varnost je centralizirana na strežniku Redundančnost (redundancy) - z vgradnjo redundančnih komponent lahko omogočimo

delovanje sistema, kljub izpadu določenih komponent Uravnoteženje (balancing) - sistem lahko enostavno uravnotežimo tako, da preobremenjene

poti razbremenimo na način, da podatke preusmerjamo na manj obremenjene poti (routing).



1.5.1 Odjemalec

Odjemalec v modelu odjemalec/strežnik je delovna postaja. Katerakoli delovna postaja, ki jo uporablja en uporabnik, je odjemalec. Ista delovna postaja, ki je hkrati dodeljena večim uporabnikom, je strežnik. Za odjemalca ni značilnih tehnoloških karakteristik.

V zadnjih letih se je zmogljivost delovnih postaj bistveno povečala. Ta rast omogoča bolj zahtevne aplikacije, ki jih lahko izvajamo na našem namizju (desktop). Z delovnimi postajami se je v zadnjih 15 letih močno povečala tudi komunikacija in prenos po omrežju. Le-to so omogočile izjemno hitra lokalna in globalna računalniška omrežja (LAN in WAN), omrežni protokoli in optični vodniki.

Slika 16: Odjemalec-strežnik (Client-server)

Odjemalčeva delovna postaja lahko uporablja DOS, Windows, OS/2, MacSystem 7 ali UNIX operacijski sistem. Velikokrat odjemalčeva delovna postaja nudi za posameznika produktivne funkcije, na primer obdelavo besedila, ki uporabljajo programsko in strojno opremo, nameščeno izključno na tej delovni postaji. Ko je odjemalec priključen na LAN, lahko dostopa do storitev, ki jih omogoča omrežni operacijski sistem (NOS - Network Operating System) in odjemalčeva delovna postaja. Delovna postaja lahko naloži program in shrani obdelano tekstovno datoteko iz strežnika in potemtakem uporablja funkcije nad datotekami, ki jih omogoča omrežni operacijski sistem. Datoteko lahko pošlje na oddaljen tiskalnik s pomočjo omrežnega operacijskega sistema. Odjemalec lahko uporablja tudi kot terminal za dostop do aplikacij, nameščenih na gostujočem (“host”) miniračunalniku ali velikem računalniku (“mainframe”).

Aplikacije odjemalec/strežnik omogočajo mešano izvajanje funkcij. Uporabljajo se oboje, tako funkcije odjemalčeve delovne postaje, kot tudi strežniškega procesorja. Kot primer je podatkovni (database) strežnik, ki priskrbi podatke v odvisnosti od SQL zahteve odjemalca. Podatki se obdelajo na odjemalčevi delovni postaji, kjer se lahko izvede izračun še neznanih vrednosti in oblikovanje odgovora glede na zaslon delovne postaje.

V modelu odjemalec/strežnik je odjemalec potrošnik uslug, ki jih nudi eden ali več strežnih procesorjev. Model omogoča ločitev funkcij in temelji na ideji, da je vloga strežnika nudenje storitev glede na zahteve odjemalca. Pri tem je pomembno, da lahko delovna postaja deluje na nekaterih nivojih kot odjemalec, na drugih pa kot strežnik. Kot primer, v okolju LAN Manager je delovna postaja v vlogi odjemalca za enega uporabnika, medtem ko je hkrati v vlogi strežnika za tiskanje za več uporabnikov.



Delovna postaja odjemalca uporablja lokalni operacijski sistem za povezovanje v omrežni operacijski sistemski vmesnik. Ta operacijski sistem je lahko enak ali različen od operacijskega sistema, ki je nameščen na strežniku. Večina današnjih uporabnikov osebnih računalnikov uporablja Windows operacijski sistem kot odjemalčev operacijski sistem.

Idealna platforma odjemalec/strežnik deluje v odprtem sistemskem okolju (“open system environment”) in uporablja strežno pravilo zahteva-storitev (reqester-server), ki temelji na dobro definiranih standardih. To omogoča povezljivost najrazličnejše programske in strojne opreme. Če se trdno držimo standarda zahteva-storitev, se lahko strežniki razvijajo, se spreminjajo operacijski sistemi in strojna oprema, ne da bi se spremenile aplikacije odjemalca. To pomeni, da je odjemalec lahko računalnik nivoja Intel 386SX ali močna RISC delovna postaja, oba pa lahko uporabljata enake aplikacije in sprejemata podatke od strežnika, vse dokler se držimo standarda.

1.5.2 Strežnik

Strežnik je večuporabniški računalnik. Da postane računalnik strežnik, ne potrebujemo nobene posebne strojne opreme. Strojno opremo določimo glede na zahteve aplikacij in ekonomičnosti. Strežniki za aplikacije odjemalec/strežnik delujejo boljše, če jih konfiguriramo z operacijskim sistemom, ki omogoča delitev spomina, ograjevanje (isolation) aplikacije in prekinjevalno večopravilnost. Operacijski sistemi s prekinjevalno večopravilnostjo omogočajo, da posel z višjo prioriteto prekine izvajanje posla z nižjo prioriteto in tako dobi kontrolo nad procesorjem.

Naloga strežnika je kontrolirati in omogočiti dostop do njegovih sredstev. Aplikacije na strežniku morajo biti ograjene (ločene) druga od druge, da napaka ene aplikacije ne poškoduje druge. Prekinjevalna večopravilnost onemogoča, da bi en sam posel porabil vsa sredstva strežnika in tako oviral ostale posle. Prav to je vzrok za določitev relativne prioritete poslov na strežniku. Te zahteve so značilne za implementacijo sistemov odjemalec/strežnik in ne za implementacijo datotečnega strežnika (“file server”), saj datotečni strežnik izvaja samo en posel, deluje v omejenem prostoru izvajanja, brez zahtev po ograditvi aplikacije in brez prekinjevalne večopravilnosti.

Tradicionalni gostiteljski miniračunalniki in veliki računalniki so imeli vlogo iniciativnega strežnika za mrežo terminalov, ki so jih podpirali. Vzrok za to je, da se nudenje funkcionalnosti uporabnikov terminalov lahko zagotovi samo preko gostiteljskega računalnika, tako kot tudi osebni podatki, kakor tudi združene sistemske informacije, ki so shranjene na gostiteljskem strežniku. Omrežne, aplikacijske storitve in storitve podatkovnih baz so centralizirane na gostiteljskem strežniku.

Prikaz in nadzor

Predstavitvena logika

Aplikacijska logika

Aplikacijski strežnik

Dostop do baze Podatkovni strežnik



Upravljanje datotek

Datotečni strežnik

Upravljanje diska

Diskovni strežnik

Slika 17: Nivoji abstrakcije sistemov tipa odjemalec/strežnik

Model odjemalec/strežnik je fenomen, ki je nenehno rasel. Oddaljene delovne skupine so opazile potrebo po dodeljevanju dragih virov in priključitvi svojih delovnih postaj na lokalno omrežje (LAN). Lokalno omrežje je raslo dokler ni prišlo do zasičenosti v organizaciji. Vse skupaj je izgledalo kot parkirišča - bilo jih je veliko in bila so oddaljena druga od drugih.

Strežnik skrbi za aplikacije, datoteke, podatkovne baze, tiskalnike, fax-e, slike, komunikacijo, varovanje, sisteme in storitve omrežja. Za vsako izmed naštetih storitev je značilen določen nivo abstrakcije (Slika 2), ki je opisan v nadaljevanju. Ločimo lahko torej:

Aplikacijski strežnik nudi podobna funkcionalna opravila, kot jih ima tradicionalni gostujoči miniračunalnik in velik računalnik kot odziv na zahtevo terminala ali tiskalnika. V modelu odjemalec/strežnik se te storitve nudijo za celotna opravila ali le za dele opravil. Storitve se zahtevajo z klici oddaljenih procedur (RPC). Več aplikacijskih strežnikov lahko sodeluje pri določenem opravilu. Ti strežniki lahko imajo različne operacijske sisteme, lahko jih sestavlja različna strojna oprema in lahko uporabljajo različne podatkovne-bazne strežnike.

Datotečni strežnik nudi storitve na nivoju podatkovnega zapisa za nepodatkovno-bazne aplikacije. Datotečni strežnik določi in vodi razpoložljiv prostor za skladišče. V seznamu funkcij, ki jih omogoča datotečni strežnik, so funkcije, ki omogočajo poimenovanje datotek in delo s strukturo direktorija. Shranjeni programi se običajno naložijo iz datotečnega strežnika na odjemalca ali gostiteljski strežnik in se tam izvajajo.

Slika 18: Tri vrste distribuirane arhitekture

Strežnik za tiskanje omogoča, da tiskamo odjemalčev dokument tako, da ga uvrstimo v čakajočo vrsto za tiskanje, mu določimo prioriteto in izvedemo določeno zahtevo za tiskanje na izbranem tiskalniku. Strežnik za tiskanje mora imeti logiko, ki omogoča enolično karakterizacijo tiskalnika.



Strežnik za pošiljanje fax-ov omogoča podobne funkcije kot strežnik za tiskanje. Razlika je le v tem, da strežnik za pošiljanje fax-ov uvrsti v čakajočo vrsto fax-dokumente oziroma jih razpošilja, ko so komunikacijske zveze dovolj dobre. Fax-dokumenti se razpošiljajo v stisnjeni obliki z uporabo stiskanja Skupine III ali Skupine IV, kar pomeni da mora strežnik za pošiljanje fax-ov biti sposoben dinamičnega kompresiranja in dekompresiranja, tiskanja in prikazovanja dokumentov. Vse te operacije so običajno izvedene s pomočjo fax kartice, lahko pa so rešene tudi programsko.

Komunikacijski strežnik omogoča komunikacijo po velikih omrežjih (WAN). Ta podpora navadno vključuje System Network Architecture (SNA), asinhrone protokole, X.25, ISDN, TCP/IP, OSI in LAN-LAN NetBIOS komunikacijske protokole.

Strežniki za varovanje omejujejo dostop do programske opreme in podatkov na strežniku. Komunikacijski dostop je nadzorovan s strani komunikacijskega strežnika. V večini primerov se uporablja implementacija s pomočjo uporabniškega imena oz. uporabniške številke, ki v osnovi pomeni omejitve dostopa.

Sistemski in omrežni strežniki za lokalna omrežja so vodeni s pomočjo lokalnega LAN administratorja, storitve WAN-a pa morajo biti vodene iz neke centralne lokacije. Navadno se vodenje oddaljenega lokalnega omrežja upravlja iz centralnega podatkovnega kraja s treningom ljudi, ki opravljajo vodenje informacijskih sistemov.

1.5.3 Vrste arhitekture odjemalec/strežnik

Tronivojska arhitektura (Three-Tier) je ena pomembnejših usmeritev pri razvoju velikih poslovnih aplikacij. Na tržišču se pojavljajo mnogi proizvodi, ki podpirajo ta koncept. Razvoj tronivojske arhitekture se je začel z razvojem dvonivojske arhitekture, katere zametki so v enonivojski arhitekturi. Sam razvoj arhitekture odjemalec/strežnik pa se ni ustavil pri tronivojski arhitekuri, temveč se nenehno razvija in izpopolnjuje.

Enonivojska arhitektura

Enonivojska arhitektura je najenostavnejši primer, saj pravzaprav sploh ne gre za delitev na nivoje. V enonivojski arhitekturi so uporabniški vmesnik in komponente z aplikacijsko logiko nameščene na računalniku odjemalca, kjer se izvajajo. Dostop do podatkovne baze je le lokalen, kar pomeni, da v tem modelu strežnik ni potreben. Gre pravzaprav za samostojne aplikacije, ki so namenjene za osebno uporabo.

Slika 19: Enonivojski model

Dvonivojska arhitektura

Dvonivojska arhitektura pomeni prvo generacijo arhitekture odjemalec/strežnik. Nekateri to generacijo imenujejo model debeli-odjemalec (Fat Client), saj je vse: uporabniški vmesnik (GUI), aplikacija in dostop do podatkovne baze logično implementiran na odjemalcu, kjer se tudi izvaja.



Dvonivojsko arhitekturo sestavljata dva nivoja - uporabniški nivo (odjemalec) in nivo dostopa do podatkovne baze (strežnik). Podatkovna baza se nahaja na strežniku, do koder dostopa odjemalec. Aplikacija, ki teče na odjemalcu, logično izdaja SQL ukaze ali kakšne druge aplikacijsko programske in vmesniške (API) klice, namenjene podatkovnemu strežniku, (DBMS, Lotus Notes, …) kadarkoli potrebuje podatke, ki se nahajajo na strežniku. Prednost tega dostopa je maksimiranje uporabe delovne postaje in omogočanje implementacije visoko kvalitetnega grafičnega in uporabniško prijaznega vmesnika. Kakorkoli že, dvonivojska arhitektura je izjemno zahtevna za upravljanje.

V ogromnih sistemih, kjer se lahko zvrsti tisoče delovnih postaj, se pojavi težava z vzdrževanjem aplikacij in njihovo nadgradnjo, ki narašča eksponentno. Ne smemo pozabiti, da se te aplikacije nenehno razvijajo, pojavljajo se novi operacijski sistemi, kot na primer Windows 95, kar povzroča, da se debeli-odjemalec nenehno širi (debeli) in zahteva pogoste nadgradnje programske, kot tudi strojne opreme. Prav to zahteva ogromna denarna sredstva.

Slika 20: Prva generacija arhitekture odjemalec/strežnik

Prizadevanje, da se vzdrževanje poceni s prenosom dela aplikacije iz odjemalca na strežnik z vgrajevanjem procedur v podatkovno bazo, je postavljalo zelo velike zahteve za strojno opremo na strežniku. V tem primeru bi strojna oprema strežnika morala obdelovati veliko količino podatkov pri upravljanju z bazo in istočasno izvrševati del procedur aplikacije.

Po vsem naštetem lahko zaključimo, da so lastnosti dvonivojske arhitekture: primernost za pilotske projekte, mali sistemi (omogoča delo največ 50 uporabnikom), homogeno računalniško okolje, enojna relacijska podatkovna baza, kratek življenjski cikel aplikacije in centralizirano procesiranje na odjemalcu.

Tronivojska arhitektura

Problem debelega-odjemalca je rešljiv tako, da premaknemo nekaj aplikacijske logike in logike dostopa do baze v tretji sistem, ki ga poimenujemo kot aplikacijski strežnik (poslovni nivo). Koliko aplikacijske logike je distribuirano na odjemalcu in koliko na strežniku, je odvisno od faktorjev, ki upoštevajo zahteve po zmogljivosti, stroške vzdrževanja in nadgrajevanja, dostopnosti do strežnika in razpoložljivosti razvojnega orodja, ki zadovolji potrebo po različnih modelih odjemalec/strežnik.

Aplikacijski strežnik je popolnoma samostojen programski del aplikacije, ki se lahko ali pa tudi ne, odvija na posebni platformi, kjer izvaja celotno logiko aplikacije in je izključno orientiran na problematiko, ki jo aplikacija pokriva. Z odjemalčevega stališča je aplikacijski nivo strežnik, medtem ko je za nivo podatkovne baze aplikacijski strežnik odjemalec.

Nivoji tronivojske arhitekture so:

Uporabniški nivo, ki opisuje uporabnikov pogled na okolje, skozi katero dostopa k sistemu in upravlja z njim. Uporabniški nivo predstavlja delovna postaja odjemalca.

Poslovni nivo je nov nivo glede na dvonivojsko arhitekturo. V njem se oblikuje in odvija problematika aplikacije.



Nivo dostopa do podatkovne baze, ki omogoča dostop sistema k podatkom. Vključuje shranjevanje in doseganje podatkov, dostop na disk in do podatkovne baze. Dostopni nivo predstavlja strežnik podatkovne baze.

Slika 21: Druga generacija arhitekture odjemalec/strežnik

Prednost takšne strukture aplikacije se v prvi vrsti odraža v povečanju skupnih zmogljivosti celotnega sistema. Razen izboljšanja zmogljivosti sistema omogoča tronivojska arhitektura zaradi zmožnosti integracije raznovrstnih orodij, rešitve za izdelavo boljših in uporabniku prijaznejših vmesnikov. Za razvoj poslovnega nivoja se odpira možnost istočasne uporabe različnih razvojnih orodij, ki lahko dostopajo do različnih podatkovnih baz, kar je lahko zelo koristno pri prehodu na drugo podatkovno bazo ali pri delu z različnimi podatkovnimi bazami.

Skalabilnost tronivojske arhitekture aplikacij je naslednja velika prednost. Povečanje števila uporabnikov dvonivojske aplikacije istočasno povečuje tudi količino podatkov in število operacij, ki se izvajajo na strežniku. Edina možnost, da se ohranijo zmogljivosti celotnega sistema, je povečanje kapacitete strežnika, kar pa ima seveda svoje meje. Ta problem se lahko pri tronivojski aplikaciji zelo enostavno reši z dodajanjem novega strežnika za poslovni nivo. Na vsakem od strežnikov se lahko odvija isti proces, uporabnik pa dostopa do tistega, ki je trenutno najmanj obremenjen. Vsi strežniki poslovnega nivoja komunicirajo istočasno s podatki na istem strežniku s podatkovno bazo, ki je v tem primeru manj obremenjen, ker se na njem ne odvijajo več procesi poslovnega dela aplikacije.

Zelo pomembna lastnost tronivojske arhitekture je možnost uporabe raznovrstnih platform uporabniškega vmesnika. Aplikacija se odvija na enem podatkovnem strežniku ter na enem ali več strežnikih poslovnega nivoja, medtem ko se uporabniški nivo lahko razvije tako, da se istočasno odvija na različnih odjemalčevih platformah, priključenih na iste strežnike poslovnega nivoja.

N-nivojska arhitektura

Tronivojska arhitektura je najenostavnejši primer N-nivojske ali večnivojske arhitekture. Pri tem se število nivojev nanaša na število dodanih poslovnih strežnikov. Aplikacija je lahko razdeljena na več načinov na več platform. Pomembno je, da z gradnjo sistem postane bolj zapleten, vendar s tem povečamo zmogljivost, varnost ali zmanjšamo omrežni promet. S tem se tudi povečuje modularnost sistema, omogoči se enostavni in hitrejši razvoj, olajša se vzdrževanje, še posebno s povečanjem števila uporabnikov sistema.

Lastnosti N-nivojske arhitekture so: primernost za aplikacijsko kritične posle, omogoča delo velikemu številu uporabnikov (sto ali tisoč), heterogeno računalniško okolje, distribuiranost podatkov različnih tipov, distribuirano procesiranje, dolg življenjski cikel aplikacije.

Kako aplikacijo razdelimo na nivoje? Kako vemo, da smo aplikacijo razdelili pravilno? Kdo naredi razdelitev na nivoje? Obstaja pet osnovnih principov razdelitve aplikacije:

Redko obstaja le ena in samo ena prava pot za razdelitev aplikacije Glavni vzrok za razdelitev aplikacije mora vplivati na način razdelitve



Razdelitev ne sme biti predmet trenutne odločitve, kar pomeni, da je za smiselno razdelitev potreben določen trud

Samo dobro razdeljena aplikacija se lahko kasneje ponovno razdeli Razdelitev aplikacije je veščina in ne znanost. Zmožnost hitre ponovne razdelitve aplikacije je

izjemno pomembna

Tehnično delitev aplikacije opravi običajno izkušen ekspert informacijske tehnologije. Le-ta lahko razdelitev opravi ročno ali avtomatsko s pomočjo aplikacijskega razvojnega orodja. Orodje, ki podpira avtomatsko razdelitev aplikacije, bi naj grafično prikazalo nerazdeljen pogled na aplikacijo. Razvijalec aplikacije ali sistemski administrator določi, kje je lociran in kakšnega tipa je novi strežnik, ter katere objekte bo strežnik vseboval. Če razvojno okolje za te akcije omogoča grafični prikaz, vmesnik povleci in spusti (drag-and-drop), je to vse, kar mora razvijalec opraviti.

Zraven orodij za avtomatsko razdelitev aplikacije nam nekateri založniki ponujajo še orodja za inteligentno razdelitev aplikacije. Za ta orodja je značilno, da razvijalcu aplikacije ali sistemskemu administratorju pomagajo nastaviti razdelitveno shemo za določeno aplikacijo. Navadno je težko določiti, katera shema je najboljša za dano aplikacijo, zato je potrebno preučiti zahtevane karakteristike sistema, saj lahko le tako omogočimo uporabnikom optimalno uporabo dane aplikacije.

1.5.4 INET arhitektura odjemalec/strežnik

Slika 22: INET model

INET (InterNET/IntraNET) V tem primeru se celotna aplikacija razvije na strežniku. Vse skupaj spominja na Web strežnike, kjer se na delovni postaji odjemalca izvaja samo uporabniški vmesnik. Na odjemalčevi strani, spletni pregledovalnik, kot na primer Netscape Navigator, skrbi za relativno malo obdelave. Vse kar mora opraviti, je oblikovati in prikazati HTML (angl. HyperText Markup Language) datoteko. Procesiranje pregledovalnika lahko nekoliko naraste z vlečenjem (downloading) logično specificiranega HTML dokumenta s spletnega strežnika, podobno kot funkcija za validacijo polja napisana v JavaScript-u. Pregledovalnik lahko uporablja še klice neodvisnega procesiranja, podobno kot Java aplete. INET model je torej oblikovan po vzoru spletnega strežnika, v katerem strežnik pogosteje izvaja osnovno aplikacijsko logiko kot odjemalec.

Pregledovalnik in strežnik komunicirata po protokolu HyperText Transport Protocol (HTTP). Takšni sistemi se lahko izvajajo preko javnega Interneta ali privatnega Intraneta. Termin INET namreč obsega obe implementaciji.

Na prvi pogled se zdi, da je INET pristop preveč ekstremen - odjemalec je preveč suh, preveč okleščen. Pa vendar ima enostavnost in robustnost tega modela veliko prednosti. Vzdrževanje delovne postaje, kjer teče pregledovalnik, je lahko zelo poceni, saj je potreben minimalno usposabljanje osebja in delovne postaje ni potrebno nadgrajevati. To pomeni, da je namestitev pregledovalnika na več delovnih postaj enostavna in poceni, njegova nadgradnja je lahko pogosta. Spremembe aplikacijske logike se izvajajo centralizirano na spletnem strežniku.



1.5.5 Prihodnost modela odjemalec/strežnik

Danes obstajata dva vodilna industrijska standarda za distribuirane programske komponente. Prvi je Microsoft-ov Distributed Component Object Model (DCOM), drugi pa Common Object Request Broker Architecture (CORBA). Oba standarda težita, da bi meja med odjemalčevim in strežniškim operacijskim sistemom prej kot slej izginila. Tako bi računalniki izmenično nastopali v vlogi odjemalca in strežnika.

DCOM je standard za specifikacijo in implementacijo v okolju Windows NT in Windows 95. Standard vsebuje distribuiran vmesnik, protokole in specifikacije. DCOM je nadgradnja standarda COM. Standard je vpeljala programska hiša Microsoft.

CORBA je bolj splošni standard in ni vezan le na eno okolje kot je to značilno za DCOM. CORBA ima podobno funkcijo, kot jo ima DCOM v okolju Windows NT in Windows 95. Standard CORBA obstaja od leta 1990. Prednosti standarda CORBA so:

podpira veliko obstoječih jezikov in omogoča njihovo mešanje podpira distribuiranje in objektno orientacijo prenosljivost omogoča veliko stopnjo povezljivosti.

Za današnjo arhitekturo odjemalec/strežnik je značilno, da je prilagodljiva in modularna. Arhitekturo lahko spreminjamo, sestavljamo in razvijamo v veliko smeri. Vse zgoraj opisane pristope lahko mešamo in tako sestavimo arhitekturo, ki zadovolji naše zahteve. Vse pomembnejši dejavnik v okolju odjemalec/strežnik postaja Internet, zaradi česar nastaja vse več oblik distribuiranega računalništva.

Internet bo razširil zmožnost arhitekture odjemalec/strežnik. Standardi bodo olajšali in razširili arhitekturo odjemalec/strežnik tako v podjetjih kot tudi izven njih. Razvoj programskih jezikov v smeri tehnologije distribuiranih objektov bo potekal izjemno počasi. Glavni vzrok bo prav Internet.

Uspešne organizacije v prihodnosti bodo uporabljale model odjemalec/strežnik, kot tehnologijo, ki omogoča, da se bodo zavedale vrednosti svojih izdelkov ali storitev. Ob koncu stoletja bo “podjetje na mizi” norma vseh uspešnih organizacij.

Odjemalec/strežnik tako še vedno ostaja edina in najboljša arhitektura, ki izkorišča prednosti Interneta in ostalih novih tehnologij, ki jih le-ta prinaša. Ne glede na to, kaj se bo zgodilo, bomo že v naslednjem desetletju videli, ali bo arhitektura odjemalec/strežnik ostala temeljna arhitektura za večino razvoja.

1.5.6 Orodja za gradnjo aplikacij odjemalec/strežnik

Danes je na voljo precej orodij, ki omogočajo razvoj aplikacij tipa odjemalec/strežnik. Slika 8 prikazuje kako lahko ta orodja razdelimo v štiri osnovne kategorije:

Transakcijsko orientirana orodja (TO), ki omogočajo izgradnjo obsežnih distribuiranih transakcijskih procesnih sistemov. Ta orodja izhajajo iz sveta CASE. Uporabljajo se za izdelavo visoko zmogljivih sistemov za ogromno število uporabnikov. Takšni orodji sta High Productivity System (HPS) hiše Seer Technology in Composer hiše Texas Instruments.

Jeziki četrte generacije tipa odjemalec/strežnik (C/S 4GL - client/server fourth generation languages), ki omogoča skalabilnost in distribuirano gradnjo aplikacij. Ta orodja omogočajo bolj kompleksne aplikacije, vendar za manj uporabnikov. Na vrhu, tako po kompleksnosti, kot tudi skalabilnosti, sta orodji Forte hiše Forte Software, Dinasty hiše Dinasty Technologies, na dnu pa so Visual Basic, Uniface, SQL Windows, PowerObjects, Visual Objects in PowerBuilder.

Objektno orientirana orodja (OO orodja) za sestavljanje aplikacij iz predefiniranih objektov. Pristen primer takšnega orodja sta PARTS hiše Digitalk in VisualAge hiše IBM. Ta orodja omogočajo gradnjo distribuiranih objektnih aplikacij.



Slika 23: Primerjava orodij po skalabilnosti in kompleksnosti aplikacij

Objektno orientirana orodja jezikov četrte generacije (OO 4GL) za oblikovanje kompleksnih (in distribuiranih) aplikacij, ki uporabljajo objektno paradigmo. Primer takšnih orodij so Kappa podjetja Intellicorp, ObjectIQ hiše Hitachi in ART*Enterprise podjetja Inference. Orodja omogočajo največjo kompleksnost razvojnega okolja. Ta orodja se od standardnih orodij odjemalec/strežnik četrte generacije loči po tem, da so prej prevzela objektno paradigmo.

Pričakujemo lahko, da bo v prihodnosti vse več orodij, ki bodo omogočala povezovanje različnih standardov med seboj. Eno izmed prvih takšnih orodij na trgu bo Sedona, katere izid bo sredi leta 1997. Sedona je Oracle-ova komponentno bazirana rešitev odjemalec/strežnik, ki omogoča objektno orientirano (OO) modeliranje, oblikovanje in izgradnjo aplikacij. Sedona je oblikovana tako, da lahko nastopa v vlogi ponudnika in potrošnika komponent, in uporablja vse vodilne standarde: DCOM, CORBA, C++, Java in objektno/relacijskega strežnika Oracle8. Prednost Sedone je, da skrije težave pri delu z različnimi standardi za komponente. Model Sedona sestavlja strežnik, ki ga poimenujemo Object Manager (OM), in odjemalci. Da lahko odjemalci koristijo storitve OM, morajo vzpostaviti z OM vezo, ki je lahko lokalna ali oddaljena.



Slika 24: Sedona kot vmesnik med različnimi standardi

1.6 Diskovno omrežje NAS (Network Attached Storage)

Diskovno omrežje NAS (angl. Network Attached Storage) je arhitektura namenjena konsolidaciji in centralizaciji shranjevanja vseh vrst podatkov. Diskovni sistemi omogočajo zagon sistema iz centralnega diskovnega polja v omrežju NAS, ki v nasprotju z omrežjem SAN uporablja mrežna sredstva (SMB/CIFS – Windows ali NFS-Unix), kar zagotavlja preprosto in hitro zamenjavo sistemske strojne opreme ter kopiranje podatkov, ki niso vezani na strežnik, torej na operacijski sistem in njegov datotečni sistem.

Naprave NAS so v omrežju enakovredne datotečnim strežnikom (pravzaprav so datotečni strežniki), zato do podatkov na takšnih napravah dostopamo na ravni datotek na enak način kot do drugih omrežnih diskov.

NAS je sistem trdih diskov. Priključen je neposredno v omrežje. Predstavlja zanimiv in varen način sprotnega hranjenja podatkov in tudi rezervnega kopiranja.

Prednosti sistema NAS: disk ni priključen v noben računalnik, s tem je imun na okvare računalnika ali strežnika, računalniku ne jemlje sistemskih virov, kar nam omogoča večjo hitrost delovanja sistema, Neodvisnost.

Prednosti uporabe takšnega načina kopiranja pregledno za operacijski sistem, poenostavi se upravljanje s sistemskimi sredstvi, najustreznejša uporaba diskovnih zmogljivosti.

Poleg zgoraj naštetih prednosti imajo omrežja NAS še številne druge prednosti, kot so enotno okolje za shranjevanje podatkov, enoten pregled in administracija diskovnih zmogljivosti, dodatne funkcionalnosti (kopiranje, zrcaljenje, obnova podatkov, izenačevanje obremenitev sistemskih sredstev – Load Balancing), ki so pomembne za dostopnost podatkov in delovanja IT sistema.

Arhitektura omrežja NAS je osnova za skupno uporabo diskovnih zmogljivosti. Arhitekturo omrežja NAS običajno najdemo v manjših in srednje velikih informacijskih okoljih, kjer sta prednostnega pomena konsolidacija in centralizacija vseh vrst podatkov. Omrežni diski (NAS oziroma Network Attached Storage) se počasi prebijajo tudi do domačih omrežij. Tudi taki, ki vsebujejo več diskov, sestavljenih v polje RAID. Sodobni diskovni sistemi NAS (Network Attached Storage) omogočajo:

centralizirana nadzor in upravljanje, enostavno upravljanje sistemskih sredstev,



visoko stopnjo razpoložljivosti in virtualizacijo strežniškega okolja.

Enostavno upravljanje sistemskih sredstev in visoka stopnja razpoložljivosti in virtualizacija strežniškega okolja so poglavitni razlogi za uvedbo diskovnega sistema. Infrastruktura mora zagotavljati ne le zaščito podatkov, temveč tudi njihovo 24-urno razpoložljivost in dostopnost.

VPRAŠANJA

1. Kaj je podatek in kaj je informacija? Podaj primer za oboje!2. Kaj je Informatika? Kaj je glavni cilj?3. Kaj je Informacijski sistem in kaj so njegove naloge?4. Naštej informacijske sisteme, ter podaj kratek opis za vsakega!5. Kaj je modeliranje in kaj je model? Podaj primer!6. Opiši življenjski cikel Informacijskega sistema!7. Kaj je metodologija?



2. StrežnikV računalništvu ima izraz server oz. strežnik več različnih pomenov. Strežnik je lahko računalniški program, ki deluje kot storitev za potrebe ali zahteve drugih programov, ki se lahko (ni pa nujno) izvajajo na istem računalniku. Server izvaja osnovne storitve preko omrežja, bodisi med zasebnimi uporabniki znotraj določene organizacije ali javnim uporabnikom preko interneta. Lahko predstavlja fizični računalnik, ki služi za delovanje ene ali več takšnih storitev, ki služijo za potrebe delovanja programov, ki se izvajajo na drugih računalnikih, ki so na istem omrežju. Lahko pa server predstavlja tudi del strojnega/programskega sistema, kot so podatkovni, datotečni, poštni ali tiskalniški strežnik. V spletni mreži je strežnik ponavadi računalnik, povezan v Internet, v katerem se nahaja naša spletna stran. Njegova naloga je, da našo spletno stran prikaže vsakomur, ki je s pomočjo brskalnika sporočil zahtevo za ogled naše strani. Rezultati so nato preko strežnika poslani nazaj na naš računalnik. Dostop do strežnika je dovoljen le pooblaščeni osebi, hkrati pa mora biti spletni server ustrezno zmogljiv, ustrezati mora vsem varnostnim standardom, biti zaščiten z požarnim zidom ter mora imeti ustrezno geografsko lokacijo. Strežnik tako predstavlja nek temelj interneta, saj lahko vsaka računalnika na svetu vzpostavljata svojo vezo preko interneta zgolj preko strežnika. Spletni strežniki vedno ne funkcionirajo idealno, saj lahko pride tudi do preobremenitve serverja. Najpogostejši razlogi za to so: preveliko število spletnih obiskovalcev (včasih se lahko tisoče ali celo milijone ljudi v krajšem časovnem intervalu poveže na določeno spletno stran), računalniški črvi ( včasih lahko povzročijo nenormalno veliko število obiskovalcev, zaradi velikega števila okuženih računalnikov), XSS virusi (ogromno število obiskovalcev, zaradi milijonskega števila okuženih brskalnikov ali spletnih strežnikov), neomejen oz. nefiltriran promet na večjih spletnih straneh, upočasnitev interneta (zahteve klientov so tako opravljene bolj počasi, zato se število povezav povečuje, dokler serverji ne dosežejo svojih meja) ter delna nedostopnost spletnih serverjev ( zaradi nujnih vzdrževalnih del ali nadgradnje).

2.1 Tiskalniški strežnikTiskanje ali tiskalniški strežnik, je naprava, ki povezuje tiskalnikov do računalnikov preko omrežja. Priznava, tiskanje iz računalnika in pošlje delovnih mest z ustreznimi tiskalniki, čakalne vrste delovnih mest na lokalni ravni, da sprejme dejstvo, da lahko delo pridejo hitreje kot tiskalnik, lahko dejansko zmogel. Pomožne funkcije vključujejo zmožnost vpogleda v čakalno vrsto poslov, ki jih je treba obravnavati, možnost preurediti ali izbrisati čaka tiskanja, ali možnost, da naredi različne vrste računovodstva (kot štetje strani tiskalnik, ki lahko vključuje branje podatkov, pridobljenih s tiskalnikom (e).

Tiskalni strežniki lahko podpirajo različne industrijskega standarda ali lastniških protokolov za tiskanje, vključno z Internet Printing protokola, protokol Line Printer Daemon, NetWare, NetBIOS / NetBEUI ali JetDirect .

Slika 25: Tiskalniški strežnik

Tiskalni strežnik lahko omreženi računalnik z enim ali več tiskalnikov v skupni rabi. Druga možnost je tiskalniški strežnik lahko namenska naprava v omrežju, s povezavami na LAN in eno ali več



tiskalnikov. Namenskega strežnika naprave so ponavadi dokaj enostavno tako konfiguracijo in funkcije. Funkcionalnost tiskalniški strežnik je lahko povezano z drugimi napravami, kot so brezžični usmerjevalnik, požarni zid ali oboje. [1] Tiskalnik ima lahko vgrajen tiskalniški strežnik.

Vsi tiskalniki s pravo vrsto priključka so združljivi z vsemi tiskalne strežnike, proizvajalci strežnikov dajo na voljo seznam združljivih tiskalnikih ker strežnik ne more izvajati vso komunikacijsko funkcionalnost tiskalnika (npr. črnilo nizko signala).

2.2 Poštni strežnikiS klikom na gumb miške lahko pošljete e-pošto iz enega konca sveta na drugega v nekaj sekundah. Večini od nas se ta proces zdi samoumeven, le malo jih premisli, kako to dejansko deluje. Poštni strežnik je program na računalniku, ki ima vlogo poštarja.

Delovanje

Vsaka e-pošta se pošlje skozi serijo poštnih strežnikov vzdolž poti proti določenemu prejemniku. Čeprav se zdi, kot da je sporočilo poslano takoj iz enega računalnika na drugega, pa je dejstvo, da poteka preko več kompleksnih prenosov. V večini primerov mora pismo prepotovati vsaj štiri računalnike. Brez te serije poštnih strežnikov bi si lahko pošiljali e-pošto le iz enega računa na drug račun primer frco49.com na frco49.com.

Vrste Poštnih strežnikov

Poštni strežniki se lahko razdelijo na odhodne poštne strežnike in strežnike za prihajajočo pošto, tako imenovane dohodne strežnike. Najbolj znan odhodni poštni strežnik je SMTP (angl. Simple Mail Transfer Protokol) ter najbolj znana dohodna poštna strežnika POP3 (angl. Post Office Protocol), kateri običajno shranjujejo poslana in prejeta sporočila na lokalnih računalnikih uporabnikov in IMAP4 (angl. Internet Message Access Protocol), ki običajno shranjuje kopije sporočil na strežniku.

2.2.1 Protokol SMTPSMTP (angl. Simple Mail Transfer Protocol) je preprost protokol za prenos elektronske pošte, ki je standard za prenos elektronske pošte v internetu. Je internetni standard, ki omogoča komunikacijo s programsko opremo za pošiljanje elektronske pošte prek interneta. Večina programske opreme je zasnovana za uporabo protokola SMTP za pošiljanje e-pošte. Z drugimi besedami, uporabniki običajno uporabljajo program, ki uporablja protokol SMTP za pošiljanje e-pošte in protokola POP3 ali IMAP za prejemanje e-pošte.

S temi protokoli prenašamo elektronsko pošto med različnimi sistemi, povezanimi s TCP/IP. To so samo protokoli, ki so namenjeni za prenose elektronske pošte, medtem ko potrebujemo za sestavo pošte druge programe, ki jim pravimo uporabniški agenti (ang. User Agents).

Struktura SMTP je osnovana na sledečem modelu povezave kot rezultat zahteve uporabnika pošte. SMTP vzpostavi obojestranski prenosni kanal sprejemniku. Sprejemnik je lahko končni ali vmesni.

Odgovori SMTP so poslani od sprejemnika k pošiljatelju v odgovor na ukaze, ko je prenosni kanal vzpostavljen, pošiljatelj pošlje poštne ukaze, ki označujejo pošiljatelja pošte. Če ima sprejemnik prost kanal, sprejme in odgovori z OK. SMTP pošiljatelj pošlje ukaz RCPT, ki identificira prejemnika pošte. Če prejemnik SMTP lahko sprejme pošto za tega prejemnika, odgovori z OK, če ne, ti odgovori oziroma zavrne tega prejemnika (toda ne celotne pošiljke).

Strežniki SMTP delujejo na vratih 25 ali vratih 587 znotraj protokola TCP. Sicer pa lahko vrata poljubno nastavljamo na strežniku, v tem primeru moramo ustrezno nastaviti tudi naš odjemni program in odpreti ustrezna vrata na požarnih zidovih, v kolikor so bila prej zaprta.

Zgodovina in varnost



Protokol SMTP je bil zasnovan v začetku leta 1980 in je bil zgrajena iz standardov iz leta 1970. V teh letih je bil internet zelo zaprta skupnost, v glavnem sestavljena iz znanstvenikov in vladnih institucij. Takrat so ljudje zaupali drug drugemu, zato ima protokol SMTP ohlapne varnostne luknje. Lahko npr. pošljemo sporočilo z lažnim naslovom pošiljatelja. Lahko se širijo sporočila, ki vsebujejo priponke z virusi. Nekdo lahko prejme sporočilo, misleč, da je prišlo od prijatelja, ampak je dejansko prišel od nekoga drugega. Zaradi hitrega širjenja in popularnosti v svetovnem spletu je protokol SMTP moral vključiti posebna pravila in metode za posredovanje pošte in avtentifikacijo uporabnikov za preprečevanje zlorab. Zadnja posodobljena različica protokola SMTP iz leta 2008 vključuje ESMTP (angl. Extended Simple Mail Transfer Protocol). Ta je bil ustvarjen, da se omogoči prenos multimedijskih vsebin prek e-pošte.

2.2.2 Protokol ESMTPESMTP (angl. Extended Simple Mail Transfer Protocol) dodaja številne izboljšave na protokol SMTP in je bil prvotno protokol za pošiljanje e-pošte, ki podpira grafiko, avdio in video datoteke ter besedilo v različnih nacionalnih jezikih. Vključuje varnostna preverjanja, zaščito strežnikov ter spreminja ukaz HELO v EHLO.

Protokol ESMTP uvede STARTTLS, s tem omogoča šifriranje s Transport Layer Security (TLS), 8BITMIME, s tem omogoča izmenjavo e-poštnih sporočil, izven 7-bitnega ASCII nabora znakov in SMTP Auth namenjen za preverjanje pristnosti. Z uporabo STARTTLS protokol ESMTP deluje na nešifriranih vratih protokola SMTP 25 ali 587. Če pa uporabljamo šifriran prenos SSL, pa uporablja vrata TCP 465.

ZgodovinaPrvi standard, kateri je bil izdelan iz standarda za protokol SMTP leta 1995, je uvajal splošno strukturo za vse obstoječe in prihodnje razširitve.

2.2.3 Protokol POP3POP3 (angl. Post Office Protocol) je internetni protokol na aplikacijskem sloju, ki je namenjen pridobivanju elektronske pošte iz oddaljenega poštnega strežnika na lokalni računalnik odjemalca preko povezave TCP/IP. POP in IMAP (angl. Internet Message Access Protocol) sta najbolj razširjena dohodna internetna standarda za pridobivanje elektronske pošte. Skoraj vsi sodobni e-poštni odjemalci in poštni strežniki podpirajo ta dva protokola. POP protokol je bil razvit v več različicah, različica 3 pa je trenutni standard.

POP3 in prejšnje različice le–tega (POP1 in POP2), omogočajo uporabnikom z slabšimi povezavami, kot so recimo klicne povezave, da poberejo e–pošto s strežnika. Za ogled teh sporočil ter rokovanje z njimi ni potrebna povezava v internet. Čeprav določeni programi omogočajo opcijo "pusti sporočila na strežniku", e–pošta odjemalci, ki uporabljajo protokol POP3, se povežejo in poberejo vsa sporočila s strežnika in jih shranijo na računalnik, jih zbrišejo iz strežnika, ter se odjavijo.

POP3 strežnik uporablja znana vrata TCP 110 ali TCP vrata 995, ki so namenjena varnemu prenosu podatkov, in uporablja kriptografska protokola Transport Layer Security (TLS) in njegovega predhodnika Secure Sockets Layer (SSL).

E-poštni programi, ki uporabljajo protokol POP3, so zasnovani tako, da vsa prenesena sporočila odstranijo iz poštnega strežnika (če tako nastavimo). Ker se na poštnem strežniku ne shrani kopija vsakega e-poštnega sporočila, lahko do e-poštnih sporočil, ki smo jih že prebrali, dostopamo le preko enega računalnika. Toda skoraj vsi e-poštni programi omogočajo, da shranijo kopije e-poštnih sporočil na poštnem strežniku.

Prednost protokola POP3 je, da ne zasede veliko prostora na poštnem strežniku, ker se prenesena e-pošta sproti briše, slabost tega pa je, da ne moremo dostopati do svoje e-pošte iz več računalnikov hkrati (razen preko oddaljenega namizja).



Slika 26: Razlika SMTP in POP3

Zgodovina in varnostProtokol POP1 je bil ustvarjen leta 1984, Protokol POP2 leta 1985 ter prvotni protokol POP3 leta 1988, a se je pozneje še večkrat posodobil. Protokolu POP2 so bila dodeljena vrata 109. Prvotni protokol POP3 je podpiral le nešifriranega uporabnika. Protokol POP3 trenutno podpira več metod za zagotavljanje varstva pred dostopom do tuje e-pošte. Na voljo so predvsem razširitve mehanizmov protokola POP3. Predvsem podpira SASL način preverjanja pristnosti.

2.2.4 Protokol IMAP4IMAP (angl. Internet Message Access Protocol) je internetni protokol na aplikacijskem sloju ISO/OSI modela, ki je namenjen pridobivanju elektronske pošte iz oddaljenega strežnika na lokalni računalnik odjemalca, preko povezave TCP/IP. POP in IMAP sta najbolj razširjena dohodna internetna standarda za pridobivanje elektronske pošte. IMAP protokol je bil razvit v več različicah, z različico 4 pa je trenutni standard.

Strežnik IMAP4 uporablja znana vrata TCP 143, ali vrata TCP 993, ki so namenjena varnemu prenosu podatkov, in uporablja kriptografska protokola Secure Sockets Layer (SSL). E-poštni programi, ki uporabljajo protokol IMAP, so zasnovani tako, da za vsako preneseno sporočilo privzeto naredi kopijo na poštnem strežniku. Ker se na poštnem strežniku shrani kopija vsakega e-poštnega sporočila, lahko do vseh e-poštnih sporočil dostopamo iz več računalnikov hkrati. IMAP omogoča tudi zgolj ogled naslovov e-poštnih sporočil v strežniku, kar je zanimivo za preverjanje pošte z mobilnimi napravami.

Prednosti in slabostiPrednost protokola IMAP je, da lahko vso elektronsko pošto z računom IMAP pregledamo hkrati na več računalnikih in da nam vodi arhiv vseh prejetih poštnih sporočil. Prav tako lahko elektronsko pošto pregledujemo in urejamo preko mobilnega telefona. Problem tega pa je, da elektronska pošta zasede veliko prostora na poštnem strežniku.

Če imamo zakupljen paket gostovanja, ki ne ponuja dovolj prostora za naše potrebe, je potrebno starejšo pošto iz strežnika redno brisati. Če se zgodi, da se naš rezerviran prostor na strežniku zapolni, ne bomo mogli prejemati nove e-pošte, dokler stare ne pobrišemo iz poštnega strežnika ali pa povečamo prostor za pošto sistemsko.



Slika 27: Poštni strežnik

ZgodovinaIMAP je predlagal leta 1986 Mark Crispin kot moderno alternativo zelo razširjenemu protokolu POP.

Prva različica protokola IMAP je uradno dokumentirana kot internetni standard IMAP2, objavljen julija leta 1988. Ta je bil posodobljen avgusta leta 1990 in je ohranjal isto številko različice. Februarja leta 1991 je prišla nova različica protokola IMAP3, ki pa nikoli ni bil sprejet na trgu.

Kasneje so ustvarili protokol IMAPbis, ki je podpiral MIME (angl. Multipurpose Internet Mail Extension) standard za pripenjanje dvojiških datotek elektronski pošti. To je bilo pomembno za razvoj zaradi uporabnosti MIME, kljub temu pa ni bil nikoli objavljen v obliki standarda.

V decembru 1994 je bila IMAP različica 4 objavljen v dveh standardih RFC, ki opisuje glavne protokole in mehanizme za preverjanje pristnosti za IMAP4. IMAP4 je trenutna različica in se pogosto uporablja še danes.

2.2.5 Delovanje protokola SMTP in POPKo Janko pošlje sporočilo Klemnu preko e-poštnega odjemalca, se e-poštni odjemalec poveže s strežnikom SMTP Jankove domene, v našem primeru frco49.com, kateri mu sporoči elektronski naslov prejemnika, telo sporočila in ostale priloge.

Strežnik SMTP frco49.com nato obdeluje prejemnikov elektronski naslov in če je ime domene enako kot pošiljateljevo, sporočilo preusmeri na strežnik POP3 ali IMAP frco49.com, če pa je ime prejemnikove domene drugačno, pa mora komunicirati s strežnikom SMTP druge domene.

Če želi strežnik SMTP frco49.com najti prejemnikov strežnik SMTP, v našem primeru amis.net, mora komunicirati s strežnikom DNS, kateri mu pove naslov IP. Sedaj ko strežnik SMTP frco49.com ve naslov IP od strežnika SMTP amis.net, lahko usmeri elektronsko sporočilo do njega. Strežnik SMTP amis.net obdela sporočilo in ga preusmeri na strežnik POP3 ali IMAP amis.net. Na koncu prejemnikov e-poštni odjemalec omogoči, da se elektronsko sporočilo prenese.

2.2.6 PostfixPostfix je brezplačni in odprtokodni e-poštni strežnik oziroma MTA (angl. Mail Transfer Agent), ki deluje na sistemih Unix. Postfix poskuša biti hiter, enostaven za upravljanje in varen. Poštni strežnik postfix ima svoje začetke v raziskavi podjetja IBM kot alternative za široko rabo programa Sendmail. Postfix uporablja kriptografski protokol TLS, podpira protokol SMTP ter SMTP AUTH za preverjanje pristnosti preko SASL. Podpira tudi različne podatkovne baze, kot so Berkeley DB, CDB, DBM, LDAP, Memcached , MySQL, PostgreSQL in SQLite. Uporablja mbox, nabiralnike maildir in virtualno domeno.



Postfix e-poštni strežnik prejeto elektronsko pošto shranjuje na disk, če pa želimo do pošte dostopati preko drugih računalnikov, pa ga moramo uporabiti v kombinaciji s POP3 ali IMAP strežnikom, v našem primeru je to Courier strežnik.

ZgodovinaLeta 1997 ga je napisal Wietse Venema na IBM Thomas J. Watson Research centru in prvič je izšel decembra 1998. Prva stabilna različica za javnost je izšla januarja leta 2008. Postfix aktivno razvija njen ustanovitelj in tudi drugi sodelavci.

2.2.7 CourierStrežnik Courier je hiter in prilagodljiv strežnik, ki uporablja nabiralnik Maildirs za shranjevanje pošte. Deluje na operacijskem sistemu Linux. Uporablja protokol ESMTP, IMAP in POP3. Courier Strežnik lahko deluje neodvisen od ostalih strežnikov. Predvsem Courier IMAP se uporablja z drugimi poštnimi strežniki, kot so Postfix, Qmai in Exim, ki zagotavljajo maildirs. Courier preverja pristnost z uporabo kriptografskega protokola SSL. Courier lahko deluje kot vmesni rele pošte, med notranjim LAN in internetom, ali opravlja končno dostavo, do poštnih nabiralnikov.

2.2.8 Nastavitve poštnega odjemalca Zaženemo Outlook Express --> V menuju Tools (Orodja) izberemo Accounts... (Računi...) -->Odpre vse okno Internet Accounts (Internetni računi). Kliknemo Add (Dodaj) --> Mail... (Pošta...)

Odpre se novo okno. V polje Display name: (Ime za prikaz:) vpišemo svoje ime in kliknemo Next (Naprej).



Odpre se novo okno. V polje E-mail address: (E-poštni naslov:) vpišemo svoj e-poštni naslov in kliknemo Next (Naprej).

Odpre se novo okno. Za tip strežnika za prihajajočo pošto lahko izberemo POP3 ali IMAP. Če smo izbrali POP3 potem za Incoming mail server: (Strežnik za prihajajočo pošto:) vpišemo pop.aza-ms.si, v polje Outgoing mail server (Strežnik za odhajajočo pošto:) pa smtp.aza-ms.si in kliknemo Next (Naprej).

V primeru, da smo izbrali IMAP strežnik v polje Incoming mail server: (Strežnik za prihajajočo pošto:) vpišemo imap.aza-ms.si, v polje Outgoing mail server (Strežnik za odhajajočo pošto:) pa smtp.aza-ms.si in kliknemo Next (Naprej).



Odpre se novo okno. V polje Account name: (Ime računa:) vpišemo svoje uporabniško ime, v polje Password: (Geslo:) pa dodeljeno geslo in kliknemo Next (Naprej).

Odpre se še zadnje okno v čarovniku. Kliknemo Finish (Dokončaj).



Za pošiljanje elektronske pošte preko zgoraj nastavljenega strežnika se mora poštni odjemalec avtenticirati. To omogočimo tako, da v oknu Internet accounts (Internetni računi) izberemo Properties (Lastnosti).

Med zavihki zgoraj izberemo Servers (Strežniki) in odkljukamo možnost My server requires authentication (Moj strežnik zahteva avtentikacijo).

Na koncu kliknemo še OK in Close in končamo konfiguriranje.

Vključitev šifriranja prejemanja in pošiljanja pošte v poštnem odjemalcu Outlook Express

Po želji lahko komunikacija s poštnim strežnikom poteka šifrirano. Če želimo lahko to omogočimo tako, da v lastnostih poštnega računa izberemo zavihek Advanced (Dodatno). Če želimo elektronsko pošto pošiljati in prejemati moramo s klikom dodati kljukici v polji This server requires a secure connection (SSL) (Ta strežnik zahteva varno povezavo (SSL)).



2.2.9 Elektronska pošta

Slika 28: "Klasična" pošta

Pošto poznamo iz vsakdanjega življenja. Ko poštni delavec pobere vašo pošto iz poštenega nabiralnika, jo odnese v lokalni poštni urad. Če ni prejemnik na območju poštnega urada, se pošlje pošta do drugega želenega poštnega urada. V tem poštnem uradu poštar vzame pošto in jo odnese v poštni nabiralnik vašega prijatelja. Le–ta ga bo vzel iz nabiralnika in ga odnesel domov.

Slika 29: Elektronska pošta



Elektronska pošta je način sestavljanja, pošiljanja in sprejemanja sporočil elektronskih komunikacijskih sistemih. Večina sistemov elektronske pošte danes uporablja internet, po drugi strani je elektronska pošta ena najpogostejših uporab interneta.

To je ena od najbolj razširjenih storitev interneta. Poleg tega je elektronska pošta tudi najpogostejši razlog, zakaj so se ljudje sploh odločili, da se povežejo v internet. Elektronska pošta (e–pošta) je namenjena izmenjavi sporočil v računalniških omrežjih, ki se jim lahko tudi doda datoteke. Ta izmenjava je postala tako priljubljena, ker lahko uporabnik pošlje sporočilo neposredno iz računalnika, ne da bi mu bilo potrebno pismo natisniti, ga položiti v ovojnico, nanj prilepiti znamko in ga odnesti do poštnega nabiralnika

Elektronska pošta omogoča izmenjavo sporočil s posamezniki ali skupinami ljudi po vsem svetu v obliki, ki je že pripravljena za obdelavo v računalniku. Zato postaja e–pošta glavni način sporazumevanja med podjetji in ustanovami, še posebej za znotraj teh organizacij, ki so že skoraj vse opremljene z lokalnimi omrežji osebnih računalnikov.

2.2.10 Začetek e–pošte

Mnogi menijo, da je e–pošta bila začetnik interneta. Obstoječi e–poštni sistemi so bili v resnici pomembni pripomočki za nastanek interneta. E–pošta je začela delovati leta 1965, kot način komunikacije za časovno delitev virov velikih (angl. Mainframe) računalnikov. Čeprav je točna zgodovina zelo nejasna, so se prvi sistemi uporabljali v SDC Q32 in v MIT CTSS.

E–pošta se je hitro razširila, kar je dovoljevalo uporabnikom pošiljanje med različnimi računalniki. Novejša zgodovina omrežne e–pošte je prav tako zelo nejasna. Sistemi AUTODIN so bili morda prvi, ki so dovoljevali pošiljanje elektronskih sporočil med uporabniki različnih računalnikov leta 1966, vendar je prav tako možno da je sistem SAGE omogočal isto, vendar že pred tem.

Računalniško omrežje ARPANET je veliko naredilo za razvoj e–pošte. Ray Tomlison je uvedel uporabo znaka @, za ločevanje imena uporabnikov in domen leta 1971. Prvo sporočilo, ki ga je poslal Ray Tomlison, je bilo testno sporočilo, ki je vsebovalo znake iz prve vrstice tipkovnice: QWERTYUIOP.

2.2.11 Kako deluje internetna e–pošta?

Slika 30: Program za odjem e–pošte



Tukaj je primer komunikacije z e–pošto;

1. Manca napiše sporočilo s pomočjo njenega odjemalca za e–pošto. V polje prejemnika napiše ali pa izbere iz imenika e–poštni naslov prejemnika. Pritisne na odpošlji gumb. Njen odjemalec spremeni njeno sporočilo v obliko internetne e–pošte in uporabi protokol SMTP, da pošlje sporočilo lokalnemu posredniku (angl. Mail Transfer Agent, MTA).

2. MTA pregleda končni naslov podan v protokolu SMTP. Moderni internetni e–poštni naslov je oblike predal@domena. Del pred znakom @ je predal naslov, ki je običajno tudi uporabniško ime, del za znakom @ pa je ime domene. MTA pregleda ime domene v domenskem imenskem sistemu (angl. Domain Name System, DNS), da najde strežnike za izmenjavo e–pošte.

3. DNS strežnik želene domene odgovori.4. SMTP strežnik pošlje sporočilo ciljnemu strežniku sporočilo s protokolom SMTP.5. Peter v svojem odjemalcu e–pošte pritisne gumb prejmi pošto. Pošto prenese na svoj

računalnik s protokolom POP3 ali IMAP4.

2.2.12 Oblika internetne e–pošte

Oblika internetnih e–poštnih sporočil je bila definirana v RFC 2882 in drugih, ki določajo razširitve sporočil (angl. Multipurpose internet Mail Extensions, MIME). Internetna e–poštna sporočila so sestavljena iz dveh velikih delov:

Glave Lastnosti sporočila, pošiljatelj, prejemnik in druga sporočila o e–pošti,

Telesa Sporočilo samo, nekatera vsebujejo tudi del za podpis čisto na dnu sporočila.

2.2.13 Glava internetne e–pošte

Vsaka glava ima svojo ime in vrednost. Ime glave se začne v prvi črki vrstice. Imena glave so omejena na 7 bitov znakov ASCII. Ne–ASCII vrednosti so lahko uporabljene z uporabo kodiranja MIME. Sporočila imajo najmanj 4 dele glave:

1. Od (angl. From): e–pošta naslov, in opcijsko ime, pošiljatelja sporočila,2. Za (angl. To): e–pošta naslov, in opcijsko ime, prejemnika sporočila,3. Zadeva (angl. Subject): Opis sporočila,4. Datum (angl. Date): Lokalni čas in datum, kdaj je bilo sporočilo poslano.

Čeprav glava "To (Za)" v sporočilu ni nujno povezana z naslovom, kamor naj bi bil e–pošta poslana. V resnici je zbirka naslovov podana v protokolu SMTP. Prav tako glava ne potrebuje polja "From (Od)", naslov pravega pošiljatelja.

2.2.14 Sporočila in odjemalci

Sporočila se izmenjavajo med računalniki s protokolom SMTP in s pomočjo programov. Uporabniki naložijo svoja sporočila s strežnikov s protokoli POP ali IMAP. Sporočila so lahko shranjena v programih ali ša na samih strežnikih. Če sporočila ni mogoče poslati, mora MTA poslati sporočilo nazaj uporabniku, kjer opiše problem.

2.2.15 Nezaželena pošta in e–pošta črvi

Nezaželena pošta so komercialna e–poštna sporočila. Ker je pošiljanje e–pošte zelo poceni, lahko pošljejo na dan več 100 milijonov nezaželenih sporočil. Zaradi različnih programov, ki znajo snemati e–naslove, ni priporočljivo pisati svoje e–poštne naslove na spletne strani . Nekateri uporabniki poskušajo prelisičiti te programe tako, da vpisujejo nepotrebne besede v e–poštni naslov. Vendar lahko programska oprema ugotovi ali je nek e–poštni naslov veljaven. Druga možnost je uporaba JavaScript in ASCII znakov, ker le ti napišejo e–poštni naslov v izvorni kodi strani, čeprav je lahko tudi to odkodira z uporaba dobrih programov. Veliko bolj priporočljiva je uporaba slik, v katere vpišemo



svoj e–poštni naslov, saj lahko to vidi samo druga oseba in ne računalnik. E–poštni črvi uporabljajo e–poštna sporočila za razmnoževanje v ranljive računalnike. Čeprav je prvi e–poštni črv (Morris worm) okužil računalnike s sistemom UNIX, je ta težava danes veliko bolj prisotna na računalnikih s sistemom Microsoft Windows.

2.3 Spletni strežnikPosebnost spletnih strežnikov je v tem, da lahko obremenitev (število zahtev na časovno enoto) lahko skozi čas zelo niha. To pomeni, da se težko pripravimo na dogodke, kot je na primer t. i. učinek Slashdot. Zato je spletni strežnik, ki bo gostil obsežnejše in dobro obiskane spletne strani, navadno dobro namestiti na ločeno strojno opremo, namenjeno samo njemu. Kljub temu pa se včasih pojavi potreba po postavitvi manj zmogljivega spletnega strežnika: za spletno stran manjšega podjetja, društva, šole ipd.

Glede na implementacijo poznamo dve vrsti spletnih strežnikov. Spletne strežnike, ki so implementirani v samem operacijskem sistemu – kot moduli jedra ali kot navadni programi v uporabniškem prostoru.

Prednost strežnikov napisanih v prostoru jedra je v tem, da so zaradi tega, ker so napisani na nižjem nivoju tudi hitrejši. Saj dostopajo do strojne opreme, ki jo potrebujejo za svoje delo direktno in brez omejitev operacijskega sistema. Hitrejši dostop se pozna predvsem pri dostopih do pomnilnika, dostopih do procesorskih rezin in dostopih do omrežnih adapterjev. Dostopi do virov, ki jih spletni strežnik največ potrebuje in uporablja. Tipična predstavnika takih strežnikov sta Microsoft IIS in odprto-kodni spletni Linux strežnik TUX.

Učinkovitost spletnega strežnika napisanega kot modul jedra ni nujno boljša kot učinkovitost spletnega strežnika napisanega v uporabniškem prostoru. Potrebno je vedeti,da je veliko odvisno tudi od tega kakšno je jedro operacijskega sistema in kako deluje.

Funkcionalnosti sodobnih spletnih strežnikov

1. Spletni strežniki se uporabljajo za gostovanje „virtualnih gostiteljev“ (angl. Virtual Hosts). Sistemi virtualnih gostiteljev nam omogočajo, da na enem spletnem strežniku poganjamo več spletnih strani pod različnimi domenami. Prednost virtualnih gostiteljev je v tem, da lahko na enem spletnem strežniku ponujamo več kot eno spletno stran.

2. Nudenje velikih datotek. Sodobni spletni strežniki morajo biti sposobni nuditi in obdelovati velike datoteke, velikemu številu uporabnikov ponavadi tudi na različnih platformah in arhitekturah.

3. Omejitve in optimizacije prometa. Sodobni spletni strežniki so sposobni predvidevati in optimizirati zahteve in odgovore. S pomočjo optimizacij zmanjšajo promet znotraj omrežja v katerem so prisotni.

4. Balansiranje prometa (angl. Load Balancing). Strežnike lahko porazdelimo v hierarhije in mreže. S pomočjo enega ali več glavnih strežnikov lahko zahteve usmerjamo in porazdelimo med različne strežnike. Obiskovalci sploh ne opazijo na katerem spletnem strežniku je bila njihova zahteva obdelana saj se vse zgodi „v ozadju“

5. Shranjevanje v predpomnilniku (caching). Sodobni spletni strežniki uporabljajo različne mehanizme in načine za „keširanje“ odgovorov. S pomočjo mehanizmov polnjenja in praznjenja predpomnilnika spletnega strežnika lahko obidemo obdelavo vseh zahtev in tiste, zahteve, ki so najpogostejše obdelamo in vedno posredujemo isti rezultat iz začasnega pomnilnika.

Uporabniki (izdelovalci spletnih strani) danes za prenos vsebin na spletni strežnik večinoma se vedno uporabljajo protokol FTP, kar se odsvetuje iz več razlogov. Prvi je zagotovo ta, da protokol FTP ni varen, saj ne podpira šifriranja povezave. Drugi pa je ta, da je bil protokol FTP zasnovan za delo v zaupanja vrednem omrežju, torej omrežju brez požarnih zidov in preslikavanja naslovov IP v druge (NAT). Vse te značilnosti modernih omrežij namreč pomenijo težave za delovanje protokola FTP, ki včasih niso enostavno premostljive



Spletni strežnik se lahko sklicuje bodisi na strojno opremo (računalnik) in programsko opremo (računalniške aplikacije), ki pomaga za zagotavljanje vsebine, ki jih je mogoče dostopati prek interneta.

Slika 31: Spletni strežnik

Najpogostejša uporaba spletnih strežnikov, je za gostovanje spletnih strani, vendar obstajajo druge namene, kot je shranjevanje podatkov ali za vodenje poslovnih aplikacij. Glavna funkcija spletnega strežnika je zagotoviti spletne strani na zahtevo stranke. To pomeni dobavo HTML dokumentov in dodatne vsebine, ki se lahko vključijo v dokumentu, kot so slike, slogi in skripte. Običajno spletni brskalnik sproži komunikacijo tako, da zahtevek za vire z uporabo HTTP in strežnik odgovori z vsebino, ki vrne sporočilo o napaki, če tega ne more storiti. Vir je ponavadi prva datoteka na strežniku je sekundarni pomnilnik, vendar to ni nujno res in je odvisna od tega, kako se spletni strežnik izvaja. Medtem ko je osnovna naloga, da služi za vsebino, polno izvajanje HTTP vključuje tudi načine za prejemanje vsebine od stranke. Ta funkcija se uporablja za predložitev spletnih obrazcev, vključno z nalaganjem datotek. Veliko spletnih strežnikov podpirajo tudi server-side skripte, na primer, Active Server Pages (ASP) in PHP. To pomeni, da se lahko obnašanje spletnega strežnika odvija v ločenih datotekah, medtem ko so dejanske strežniške programske opreme ostanejo nespremenjene. Običajno se ta funkcija uporablja za ustvarjanje HTML dokumentov "on-the- fly" v nasprotju z vrnitvijo fiksnih dokumentov.

Dinamične spletne strani in spletni strežnikiPrvi spletni strežniki so bili namenjeni nudenju statičnih spletnih strani. Povedano drugače, na sprejeto zahtevo so odpri datoteko, ki se je nahajala fizično na disku. To datoteko so potem po delčkih poslali do odjemalca. Tak način delovanja je zelo hiter vendar zelo nepraktičen pri velikih količinah podatkov. Kadar imamo velike količine podatkov ali sistemov podatkov moramo uporabiti nekakšen mehanizem za „generiranje“ strani. Zaradi teh zahtev in težav so se pojavili spletni strežniki, ki so podpirali „dinamične spletne strani“. V prvotnih implementacijah je ob ustreznem HTTP klicu spletni strežnik pognal program, ki je na standardnem vhodu prejel posredovano zahtevo (od spletnega strežnika) potem pa je na standardni izhod zapisal „generirano“ spletno stran. Tak koncept se imenuje CGI - Common Gateway Interface. Prvi CGI sistemi so imeli v ozadju statične programe, ki so se pognali na zahtevo. Te programe so zamenjale skripte in interpreterji. Danes največkrat najdemo implementacijo, kjer podamo zahtevo po strani, spletni strežnik to zahtevo obdela in interpreterju pove kateri skript naj naloži. S tem dobimo dodaten abstraktni nivo, ki ga lahko dodatno optimiziramo in prilagajamo. Naslednji korak je najverjetneje prevajanje kode, ki je sicer interpretirana. S tem lahko dodatno optimiziramo določene segmente. Skratka v naslednjih generacijah spletnih sistemov se obetajo hibridi med integriranimi stranmi in prevedenimi programi. Sistemi bodo po konceptu podobni konceptom JIT (Just in time compilation) iz .NET okolja.



2.3.1 Zgodovina spletnih strežnikovLeta 1989 je Tim Berners - Lee predlagal nov projekt, katerega cilj je olajšanje izmenjave informacij med znanstveniki s pomočjo hiperteksta sistem svojemu delodajalcu CERN (Evropska organizacija za jedrske raziskave). Projekt je začel Berners-Lee povzročil je pisanje dveh programov v letu 1990:

brskalnik, imenovan WorldWideWeb; na svetu prvi spletni strežnik, kasneje znan kot CERN httpd, ki je potekal na NEXTSTEP.

Med letoma 1991 in 1994 je enostavnost in učinkovitost znotraj tehnologij, ki se uporabljajo za brskanje in izmenjavo podatkov prek svetovnega spleta pomagala, da jih pristanišče za veliko različnih operacijskih sistemov in širjenje njihove uporabe med socialno različnimi skupinami ljudi, najprej v znanstvene organizacije, nato v univerzitetne in na koncu v industriji. Leta 1994 je Tim Berners - Lee odločil, da predstavljajo Web World Wide Consortium (W3C) ureditev v nadaljnji razvoj vključenih več tehnologij (HTTP, HTML, itd), skozi postopek standardizacije.

2.3.2 Kako postaviti spletni strežnik

2.3.2.1 Spletni strežnik Apache Najbolj razširjen spletni strežnik vseh časov je spletni strežnik Apache – poznan tudi kot Apache HTTPD. Po nekaterih ocenah pokriva 110 milijonov spletnih strani, kar predstavlja kar 46,59% tržni delež. Spletni strežnik Apache je prvi spletni strežnik, ki je uspel preseči mejo 110 miljonov spletnih strani. Spletni strežnik se je razvil iz spletnega strežnika NCSA HTTPd. Spletni strežnik NCSA HTTPd je za „National Center for Supercomputing Applications“ do leta 1994 razvijal Rober McCool. Po njegovem odhodu iz tega centra so po mailu začeli krožiti popravki (patchi) za izboljšavo kode. Zavoljo ogromnega števila popravkov je strežnik postal zelo „patchy“ in so ga kasneje preimenovali v „Apache“. Del odločitve za to ime nosi tudi spoštovanje do Ameriških staroselcev.



Spletni strežnik je zelo primeren za razvoj in delo zaradi svoje modularne zasnove, razširljivosti, hitrosti, preizkušenosti in stabilnosti. Zanj najdemo zelo različne module; med najpogostejše zagotovo spadajo mod_php, mod_perl, mod_python, fastcgi, mod_ssl,mod_proxy. Ter tudi celovite rešitve kot so memcache mod_gzip itd. Celotna konfiguracija spletnega strežnika je izvedena preko konfiguracijskih datotek in struktur. Spletni strežnik nima uradnega grafičnega vmesnika. Spletni strežnik Apache je zelo dobra izbira tudi zaradi tega, ker deluje praktično na vseh bolj razširjenih operacijskih sistemih in platformah; tako komercialnih kot tudi odprto-kodnih. Najboljše pri vsem tem pa je, da je spletni strežnik Apache odprtokoden in kot tak popolnoma brezplačen. Zaradi svoje odprtokodnosti najdemo tudi veliko število visoko optimiziranih prilagoditev in različic (forkov).

2.3.2.2 HTTP server Postavili bomo postavili Apache http server, ki je najbolj razširjen. Priklopimo se na www.apache.org in pod Apache projects kliknemo HTTP Server. Nato pod Download kliknemo kar From here. Sedaj moramo poiskati t.i. binaries za Windows. Se pravi da spodaj ko se začnejo direktoriji, kliknemo binaries, in nato čisto spodaj še win32. Tu imamo zbirko paketov, poiskati moremo inštaler. Nekje vmes se skriva: apache_2.0.43-win32-x86-no_ssl.msi 03-Oct-2002 11:51 3.6M MSI InstallerPackage. (verzija bo vedno višja, to je le primer.) Kliknemo na povezavo in ga download-amo in zaženemo. Ko pridemo do server information, vpišemo ime serverja in naš email. Pikico pustimo na recommended in gremo naprej. Izberemo tipično namestitev. Ostane nam samo še izbira mape, kamor hočemo inštalirat server, in poklikamo install. Apache je inštaliran (lahko ga stestirate: odprite IE (ali pač nek browser) in vpišite naslov localhost (zaenkrat localhost, kako do svojega imena strani, kasneje). Odpre se apachova stran -voila! ), ostane nam samo še konfiguracija, ki je tipično linuxovska, zato je potrebno odpreti apache2/conf/httpd.conf datoteko in jo urediti. Nastavitev je malo morje, omenil bom le najpomembnejše.


http://www.apache.org/

Listen 80 Tu nastavimo port, na katerem bo deloval server. privzeti port je 80, če ga boste spreminjali, bo moral vsak uporabnik točno vedeti na katerem portu imate server, in nato vpisati naslov v stilu vasa.stran.com:888, če bi npr. spremenili port v 888.

ServerAdminVpišite svoj email. to se bo prikazalo ob kakem errorju ali drugi težavi (razen če tega ne želite), da uporabnik ve, komu lahko teži zaradi napake.

ServerNameIme serverja ste že določili pri inštalaciji, lahko pa tukaj popravite...

DocumentRootTukaj določite korensko mapo, od koder bo apache stregel dokumente. naredite si recimo eno mapo, c:wwwserver. v tej mapi boste imeli datoteke vaše strani, se pravi da morate v documentroot vpisati C:wwwserver (ime mape v narekovajih). Malo nižje imate napisano # This should be changed to whatever you set DocumentRoot to. Spodaj pa mora pisati, v našem primeru, Directory c:/wwwserver, se pravi, napisano mora biti enako ime kot je DocumentRoot.

PHPPHP potrebujemo če bomo na naši strani zaganjali kak forum ali kako drugo skripto. Hitro gremo na www.php.net in poklikamo Downloads. Pod Windows Binaries po klikamo PHP x.x.x installer.

Poiščemo Slovenia in kliknemo na en link. Ko se zadeva prenese na disk, jo zbriš.. ups, poženemo. Izberemo Advanced in vpišemo mapo kjer bi radi imeli... vpišemo SMTP server - mail.siol.net, v spodnji okenček pa svoj email.. izberemo drugo možnost od treh - show errors and warnings. Če bi izbrali še notices, bi PHP bil preveč radodaren z informacijami, in bi čisto pokvaril izgled foruma, ker bi izpisoval razna sporočilca tja kjer ne bi bilo treba. ok, next, nato izberemo apache, potem samo prvo kljukico pri .php. To je vse pri inštalaciji PHPja. Zadevo lahko gremo še stestirat: naredimo novo datoteko, recimo phpinfo.php. Notri vpišemo <?phpinfo(); ?>, shranimo in nato v IE vpišemo naslov localhost/phpinfo.php. Če je vse šlo pravilno, bi se morala pojaviti vijolična tabela z kupom podatkov o phpju, serverju, vašem računalniku... če se, php deluje pravilno. Če se ne... poglejte v nastavitv eno datoteko apache serverja, če je prava pot do PHPja. In vprašajte v komentarjih, če še vedno ne gre.

2.3.2.3 Internet Information Services

Microsoftov spletni strežnik (angl. Internet Information Services; IIS) je paleta internetnih procesov za strežnike z operacijskim sistemom Microsoft Windows. Je drugi najpopularnejši spletni strežnik na svetu. Strežniki IIS trenutno podpirajo strežniške storitve s protokoli FTP, SMTP, NNTP in HTTP/HTTPS.

Spletni strežnik IIS za razliko od Apache strežnika ni odprto-koden in je delo programerjev iz korporacije Microsoft. IIS je drugi najbolj razširjen spletni strežnik na svetu, gostuje okoli 30% vseh spletnih strani. Podpira spletne storitve za FTP, FTPS, SMTP, NNTP ter seveda HTTP in HTTPS. Do danes je bilo razvitih 8 različic, najnovejša različica je IIS 7.5. Prva različica spletnega strežnika je bila produkt dela razvijalcev iz „European Microsoft Windows NT Academic Center (EMWAC) iz Škotske. Sprva je bil strežnik na voljo kot „freeware“. Zaradi potreb Microsofta so projekt bolj podprli in so ga kasneje izdali z Windows NT 3.51. Zadnja stabilna različica je IIS 7, ki je izšla z operacijskim sistemom Microsoft Vista oziroma Microsoft Windows Server 2008. IIS ima poseben grafični vmesnik, ki omogoča administratorjem in razvijalcem, da v grafičnem načinu nastavijo celoten strežnik. Spletni strežnik IIS je bil z leti pogostokrat tarča raznih vdorov in varnostnih težav. Pred leti je bil zelo popularen „črv“ Code Redworm, ki je s pomočjo preplavitve pomnilnika „bufeer overflow“ prišel do dostopa do pomnilnika operacijskega sistema in tako omogočil izvajanje nedovoljenih operacij. Arhitektura spletnega strežnika se je z leti zelo spremenila. Tako, ne najdemo več ISAPI sistema, ki je bil nadgradnja CGI modulov, ki je bil pogostokrat šibki del sistema in je povzročal resne težave.


http://www.php.net/


Zgodovina

IIS je bil prvotno izdan kot dodatek internetnih procesov za operacijski sistem Windows NT 3.51. Sledil mu je IIS 2.0 s podporo za operacijski sistem Windows NT 4.0. Z različico 3.0 so vpeljali dinamično skriptno okolje Active Server Pages (ASP). Pri IIS 4.0 so opustili podporo za protokol Gopher in so ga izdali kot dodatni paket, ločen od Windows NT. Trenutno prodajani različici IIS sta IIS 6.0 za Windows Server 2003 in IIS 5.1 za Windows XP Professional. IIS 5.1 za Windows XP je okrnjena različica IIS, saj omejuje število povezav, in podpira eno samo spletno stran.

Windows Vista vsebuje IIS 7.0, ki ne omejuje število povezav. Omejena je samo obremenitev na kriteriju hkratnih aktivnih zahtev. Izboljšana je tudi uporabnost.

Varnost

Prve različice IIS so bile izredno ranljive in so bile vzrok največjega števila vdorov v strežnike Windows. Pri različici 6.0 do sedaj našteli le 3 varnostne luknje, od tega dve kritični. V različici 6.0 je Microsoft ponudil možnost nadzora nad obnašanjem že nameščenih ISAPI, med katerimi je bilo veliko krivcev za ranljivost v različicah 4.0 in 5.0. Z novo različico, ki je trenutno še v razvojni fazi in je del strežnika Longhorn, je Microsoft šel še korak dlje z možnostjo prilagajanja komponent.

V različicah IIS pred različico 6.0 so se vsi procesi izvajali kar s sistemskim računom, kar je lahko pripeljalo do nenadzorovanega delovanja. Pri različici 6.0 vsi procesi delujejo pod privilegiranim računom Network Services. V praksi to pomeni, da če pride do izkoriščanja uporabniške kode, ne bo nujno delovnim procesom dovoljen dostop do celotnega sistema. IIS 6.0 vsebuje tudi novo jedro HTTP (http.sys) z natančno analizo zahtev http in pomnilnik za statične in dinamične vsebine.

IIS 7.0

IIS 7.0 v operacijskem sistemu Windows Vista in tudi v Windows Server Longhorn ima modularno arhitekturo. Za razliko od enovitega strežnika, pri katerem tečejo vsi procesi, ima IIS 7.0 Core Web Server Engine. Prednost te arhitekture je, da se izvajajo samo procesi, ki jih zahtevamo in možnost razširjanja funkcionalnosti z uporabo dodatnih modulov.

Na voljo so naslednji moduli:

moduli HTTP Varnostni moduli (ang. Security Modules) Vsebinski moduli (ang. Content Modules) Kompresijski moduli (ang. Compression Modules) Pomnilniški moduli (ang. Caching Modules) Dnevniški in diagnostični moduli (ang. Logging and Diagnostic Modules)

Razširjanje v IIS 7.0 z uporabo ISAPI ni mogoče, saj je zavrnjeno zaradi podpore modulu API. Večina modulov, ki jih uporablja IIS je zgrajenih na tem API. Prednost tega je, da bodo razvijalci imeli večji nadzor nad zahtevanimi procesi kot v prejšnjih različicah. Moduli so lahko napisani s katerikoli jezikom .NET Framework.

Ena izmed vidnejših razlik glede na prejšnjo različico je ta, da so vse nastavitve strežnika shranjene izključno v nastavitveni datoteki XML namesto v zbirki podatkov. Strežnik ima tudi globalno nastavitveno datoteko, ki vsebuje privzete nastavitve. Vsaka navidezna spletna mapa vsebuje nastavitve web.config, ki so nad privzetimi nastavitvami. Spremembe teh datotek so takojšnje. Pri prejšnjih različicah smo za vsako spremembo kot je npr. sprememba privzete datoteke, določanje aktivnih modulov, nastavitev varnosti itd. potrebovali skrbniške pravice. IIS 7 se ponaša tudi s prenovljenim skrbniškim vmesnikom. Konfiguriranje ASP.NET je še bolj integrirano v skrbniški vmesnik. (Vir: http://www.egradiva.net/drugo/omrezja/70_strezniki/01_datoteka.html 22.9.2013)


http://www.egradiva.net/drugo/omrezja/70_strezniki/01_datoteka.html


2.4 Delovanje spletnega strežnika

Ne glede na to, ali gre za spletni strežnik v uporabniškem ali v jedrskem prostoru,vedno je osnovni koncept delovanja spletnega strežnika enak. Spletni strežnik teče kot program (deamon) neprekinjeno. Ima najmanj eno programsko nit, ki posluša na „vratih“ (portu) sistema. Kadar gre za navaden HTTP protokol so to vrata 80, kadar pa govorimo o varnem HTTP protokolu, poznanem tudi kot HTTPS pa so to vrata 443. Poslušanje je izvedeno tako, da ima strežnik odprt „socket“ za vse zahteve oziroma ga po potrebi odpre. Sam spletni strežnik ne počne ničesar brez zahtev. Zahteve do spletnega strežnika pridejo preko omrežja od različnih spletnih brskalnikov. Spletni brskalniki zapišejo na socket, ki posluša na odprtem portu nekaj vrstic GET zahteve. Spletni strežnik po uspešnem prejetju in dekodiranju te zahteve zahtevo obdela in pripravi odgovor, ki ga potem spletni brskalnik prebere.

Svetovni splet deluje po načelu odjemalec - strežnik. Odjemalec in strežnik med seboj komunicirata po protokolu HTTP. Odjemalec (client) je pregledovalnik za svetovni splet. S miškinim klikom na hiperpovezavo v dokumentu odjemalec sproži zahtevo, ki se po protokolu HTTP prenese na strežnik, na katerem je nameščen želeni dokument. Strežnik odgovori na zahtevo tako, da odjemalcu pošlje dokument ter prekine komunikacijsko povezavo.

Svetovni splet je odličen primer delovanja arhitekture odjemalec-strežnik. Spletni pregledovalnik na lokalnem računalniku prikaže dokument v grafični obliki, vendar je za njegovo oblikovanje odgovoren sam. Od strežnika dobi besedilo v ASCII obliki, opremljeno z enostavnimi navodili za oblikovanje. Na tak način je obremenitev omrežja zmanjšana na minimum. Večjo obremenitev omrežja predstavlja le prenos nebesedilnih delov dokumenta (slike, zvok, video).

2.5 Namestitev spletnega strežnika

2.5.1 Pravice nad datotekami v okolju Windows

Če uporabljate Windows strežnik si morate zagotoviti, da skrbniške mape dovoljujejo lastniku procesov spletnega strežnika pisanje v datoteke v tem imeniku, sicer pa lahko imajo vse druge datoteke nastavljeno pravico samo za branje in izvajanje.

2.5.2 Ostale varnostne zadeve

Na splošno je LimeSurvey zelo varen tudi brez teh dodatnih ukrepov. Če zbirate zelo občutljive podatke, lahko ti manjši dodatni varnostni ukrepi precej pomagajo:

Datoteka /application/config/config.php vsebuje uporabniško ime in geslo za podatkovno zbirko na vašem strežniku. To predstavlja določena varnostna vprašanja še posebej, če uporabljate vpis, ki ima precej visok nivo skrbniškega dostopa do vaše podatkovne baze. V primeru, da se vračajo na vsebino te PHP datoteke nekatere napake v uporabnikov brskalnik, bi lahko bile ogrožene vaše geslo podatkovne baze in druge podrobnosti (sicer je to zelo malo verjeten scenarij). Najboljši način


zmanjšanja tega tveganja je nastavitev predvidenih vpisov, ki imajo določene pravice samo za vašo limesurvey-evo podatkovno zbirko.

Drugi način za zavarovanje teh informacij je lahko prestavitev določenih podatkov iz datoteke /application/config/config.php file v mapo, ki ni v spletnem imeniku. Za Apache uporabnike je ta imenik znotraj mape htdocs (oziroma public_html ali www). Tako boste uporabljali datoteko config.php, vendar boste imeli v njej eno vrstico, ki vključuje datoteko z dejanskimi informacijami o nastavitvah (primer: <?php return include("/home/hostfolder/safedata/configreal.php");?>). Iz datoteke /application/config/config.php odstranite vse aktualne informacije o nastavitvah in jih prilepite v drugo datoteko (configreal.php), ki je vključena v datoteki /application/config/config.php. Ta datoteka se mora nahajati izven spletnega imenika. V tem primeru datoteka /application/config/config.php ne bo vsebovala gesla podatkovne zbirke itd., pač pa samo ime datoteke, ki vsebuje informacije o podatkovni zbirki. S tem se izognete spremembam vseh drugih datotek vključenih v datoteki /application/config/config.php, glede na to da so še vedno vključene in bodo vsebovale realne informacije o nastavitvah. Boste pa morali urediti datoteko configreal.php in spremeniti naslednje parametre

2.5.3 Nastavljanje pravic nad datotekami na Linux-sistemu v lastnem upravljanju

Če upravljate lasten spletni strežnik in operacijski sistem (ste lastnik strežnika ali imate v najemu virtualni strežnik, na katerem imate korenski dostop), lahko upoštevate ta priporočila.

Najprej lahko nastavite lastnika in skupino vaših LimeSurvey-evih datotek, s čimer bo olajšano nastavljanje pravic nad datotekami.

Eden možnih pristopov je, da nastavite za lastnika LimeSurvey-evih datotek vaše osebno uporabniško ime in skupino LimeSurvey-ih datotek skupino spletnega strežnika. Običajno ta skupina spletnega strežnika vsebuje le račun spletnega strežnika (in najverjetneje še kakšen račun za spletnega skrbnika).

Na primer če je vaše uporabniško ime 'mojračun' in je uporabnik spletnega strežnika 'apache' v skupini 'apache', potem lahko iz ukazne lupine uporabite sledeč ukaz:

$ chown -R myaccount:apache limesurvey/

Potem nastavite pravice nad datotekami in podmapami.

Da bodo ukazne datoteke (skripte) ustrezno delovale, potrebujejo pravico pisanja nad nekaterimi mapami:

"/limesurvey/tmp" mapi in njenih podmapah, ki se uporabljajo za uvažanje/nalaganje in morajo biti nastavljene na branje in pisanje na vašem spletnem strežniku.

mapa upload/ in vse njene podmape prav tako potrebujejo pravico branja in pisanja na vašem spletnem strežniku, če želite omogočiti nalaganje slikam in medijskim datotekam.

vse ostale mape in datoteke so lahko nastavljeno na pravico samo za branje

Namig: v kolikor boste upoštevali zgornja priporočila, lahko te nastavitve uveljavite z naslednjimi ukazi:

$ chmod -R o-r-w-x limesurvey/

$ chmod -R -w limesurvey/

$ chmod -R 770 limesurvey/tmp

$ chmod -R 770 limesurvey/upload


2.5.4 Nastavljanje pravic nad datotekami na gostujočem spletnem strežniku

Posredovanje običajnega postopka za zaščito spletne aplikacije v gostujočih okoljih je težavno, saj se okolja za gostovanja med seboj razlikujejo na več načinov. Podobno kot v primeru strežnika v lastnem upravljanju je potrebna za pravilno delovanje zagonskih datotek (skript) pravica pisanja nad nekaterimi mapami:

"/limesurvey/tmp" mapi in njenih podmapah, ki se uporabljajo za uvažanje/nalaganje in morajo biti nastavljene na branje in pisanje na vašem spletnem strežniku.

mapa upload/ in vse njene podmape prav tako potrebujejo pravico branja in pisanja na vašem spletnem strežniku, če želite omogočiti nalaganje slikam in medijskim datotekam.

vse ostale mape in datoteke so lahko nastavljeno na pravico samo za branje

Namig:

v odvisnosti od nastavitev vašega spletnega strežnika boste morali spremeniti pravico nad zapisljivimi mapami z ukazom chmode na 755 ali 777, da bodo postale zapisljive za spletni strežnik. Najprej poskušajte z 755 in če to ne bo delovalo 'povišajte' na 777.

prav tako lahko poskušate odstraniti pravico branja nad datoteko config.php za ostale uporabnike z nastavitvijo pravice na 750 in če ne bo delovalo 'povišajte' na 755.

2.6 Izbira povezave in domene

Izbira povezave

Današnji strežniki zahtevajo vse večje hitrosti povezave v svet. Neposredno s strežniki zahtevajo to tudi uporabniki, saj je vse več ljudi s širokopasovnimi povezavami. Zato se morajo podatki hitro pretakati. Danes imajo skoraj vsa podjetja v Sloveniji širokopasovno povezavo. Ponudnikov in načinov je več. Lahko si omislite ADSL, kabelsko ali brezžično povezavo, lahko pa najamete kar vod.

ADSL povezava je najprimernejša za podjetja tako po ceni kot po hitrosti prenosa. Kabelska povezava. Hitrosti prenosa so nekoliko manjše kot pri ADSL-ju, povezava je asimetrična, z njo pa dobimo tudi stalen IP naslov.

Brezžična povezava je zelo elegantna in enostavna rešitev, vendar nezanesljiva, saj lahko vremenske motnje povzročajo velike preglavice. Tudi cene se gibljejo precej visoko, podobne so cenam za najeti vod.

Tretja dobra alternativa je najeti vod, vendar si ga zaradi visoke cene redkokatero podjetje privošči, da o domačih uporabnikih ne govorim. Zaradi večje varnosti (saj je kabel speljan direktno in samo od podjetja do ponudnika), simetričnosti in stalnega IP naslova je zelo dobra alternativa za večja podjetja, ki uporabljajo poštne strežnike, saj jim velika hitrost prenosa od strežnika v svet veliko pripomore k boljšemu poslovanju.

Izbira domene

Recimo, da smo si izbrali SiOL ADSL paket. Ko se povežemo, lahko brskamo praktično po celem svetu prek medmrežja. Če pa želimo imeti strežnik, moramo biti dostopni od koderkoli po svetu. V bistvu smo že, ko se povežemo, prek IP (angl. Internet Protocol) naslova, ki ga dobimo ob uspešni povezavi. Ob naslednjem povezovanju bomo dobili drug IP naslov. To menjavanje naslova za naš isti računalnik vsekakor ni dobrodošlo, zato lahko zaprosite pri SiOL-u za brezplačni statični IP naslov.

IP naslov (angl. IP address) je unikaten naslov enega računalnika, ki je prijavljen v medmrežje. IP naslov dodeli prijavljenemu računalniku ponudnik dostopa (SiOL). Ta naslov je v obliki štirih številk (0-255) ločenih s piko (npr. 194.255.12.2).



Če nekdo ve vaš IP naslov, ko ste prijavljeni v medmrežje, lahko iz drugega konca sveta do vašega računalnika pride s tem, da se poveže na naslov http://10.0.0.1, kjer je 10.0.0.1 IP naslov vašega računalnika.

Ker so IP naslovi za človeški um neprimerni in si jih ne moremo zapomniti, uporabljamo tako imenovana domenska imena ali domene (npr. www.arnes.si httpd.apache.org, adsl.siol.net). Te so sestavljena iz angleških črk (besed) in pik. Po navadi so sestavljene iz treh delov. Zadnji del predstavlja kodo države, v kateri je domena registrirana (npr. .si, .at, .hr, .it, .de, .uk, .us ...), ali vrhnjo domeno (.com, .net, .org, .edu, .mil, .int, .gov ...). Srednji del po navadi predstavlja ime podjetja ali ustanove ali izdelka (npr. arnes, microsoft, siol, apache, ljubljana ...). Prvi del je po navadi kar www, vendar zelo pride prav, če želimo direktno nasloviti kakšno podstran podjetja (npr. httpd., adsl., windowsupdate. ...).

Seveda, če imamo podjetje in postavljamo zanj strežnik, bi bilo zelo pametno registrirati vsaj eno takšno domeno. To lahko storimo na več načinov.

DNS (angl. Domain Name System) je domenski sistem, ki pretvori medmrežni naslov - domensko ime (npr. www.podjetje.si ) v IP naslov računalnika, ki je nanj registriran. IP naslov računalnika je osnova današnjega Interneta, ki je zgrajen na protokolu TCP/IP (angl. Transmission Control Protocol/Internet Protocol).

Prvi način je, da se obrnemo na ARNES in si zagotovimo brezplačno domeno za slovenski prostor (npr. podjetje.si).

Postopek:

Izberite si ustrezno prosto domeno za slovenski prostor (.si), ki mora biti v skladu z vsemi pravili (dolžina, znaki, ime). Pravila so razpisana na ARNES-ovi spletni strani (ftp://ftp.arnes.si/network/templates/reg_domene16a.pdf ).

Pri svojemu ponudniku dostopa na medmrežje (SiOL) najemite primarni in sekundarni domenski strežnik (angl. Domain Name Server). Sporočite jim svoj IP naslov in rezervirate svojo bodočo domeno, tako dobite dve IP številki za primarni in sekundarni domenski strežnik.

Izpolnite Formular za registracijo domene, ki ga dobite na ARNES-ovi spletni strani (ftp://ftp.arnes.si/network/templates/form_domene8.pdf ).

Sporočite IP naslova primarnega in sekundarnega domenskega strežnika (pri SiOL-u) ARNES-u in tako aktivirajte domeno, s katero boste v roku sedmih dni dostopni povsod po svetu.

Druga alternativa je, če želimo eno od vrhnjih domen (npr. podjetje.com). Takrat se bomo registrirali pri enemu ponudniku (seznam ponudnikov je na http://www.internic.net/regist.html) in tako dobili domeno (npr. podetje.com). Še prej moramo prav tako poiskati domenski strežnik.

Postopek:

Izberite si ustrezno prosto domeno, ki mora biti v skladu s sintaktičnimi pravili (dolžina, znaki). Pravila so razpisana na ARNES-ovi spletni strani (ftp://ftp.arnes.si/network/templates/reg_domene16a.pdf, 2. Poglavje).

Najemite primarni in sekundarni domenski strežnik (angl. Domain Name Server), ki ga lahko dobite tudi zastonj (npr. http://www.zoneedit.com ). Nastavite svoj IP naslov in rezervirajte svojo bodočo domeno; dobite dve IP številki za primarni in sekundarni domenski strežnik.

Registrirajte domeno pri enemu od ponudnikov (seznam ponudnikov je na http://www.internic.net/regist.html , cene za eno leto so od 9 dolarjev naprej) in vnesite IP naslova primarnega in sekundarnega domenskega strežnika. V nekaj dneh bi morala domena delovati.

Prvo in drugo alternativo lahko tudi kombinirate.


http://www.internic.net/regist.html

http://www.zoneedit.com/

http://www.internic.net/regist.html

ftp://ftp.arnes.si/network/templates/form_domene8.pdf

ftp://ftp.arnes.si/network/templates/reg_domene16a.pdf

http://www.podjetje.si/

http://www.arnes.si/


Druga alternativa je sestavljena na svetovni ravni, zato bo povezava najverjetneje počasnejša, še posebej za slovenske uporabnike, glede na prvo.

Izbira strojne opreme

Izbira strojne opreme je zelo odvisna od namembnosti strežnika. Najpomembnejša strojna oprema je procesna moč, delovni pomnilnik ter dodatni pomnilnik v obliki trdih diskov. Prostora na diskih ni nikoli preveč! Poleg tega je trdi disk pravzaprav najpočasnejša naprava v računalniku, saj ne more slediti prenosnim močem delovnega pomnilnika in procesorja. Seveda obstajajo tudi alternative v obliki SCSI in Fibre Channel diskov, vendar se jih zaradi visoke cene splača vgraditi samo v močne strežnike. Pri testu sem zato uporabil navadna (IDE) trda diska. Za resen strežnik se manj kot v gigabajtih za delovni pomnilnik sploh nimamo kaj pogovarjati. Tudi več procesorjev v enem računalniku ni nič nevsakdanjega. Vendar smo sedaj zašli v prevelike vode, saj na našem strežniku ne bomo poganjali težkih aplikacij. Prav nasprotno: naš strežnik je samo za pomoč in analizo pri namestitvi!

Če želite uporabljati strežnik za eno, dve, mogoče tri predstavitvene strani podjetja ali sebe, ki vsebujejo tudi nekaj aktivnih spletnih vsebin in kakšno podatkovno bazo je računalnik s 300-500 MHz procesorjem, 128 MB pomnilnika in nekaj gigabajtnim trdim diskom več kot dovolj.

Če imate namen postaviti portal s forumom, močnejšimi aplikacijami ter več podatkovnimi bazami, priporočam močnejši računalnik z nekaj gigataktnim procesorjem, 512 MB pomnilnika in nekaj deset gigabajtnim diskom večje hitrosti (model s 7200 obrati na minuto).

Kakor hitro imate takšen portal ali celo dva z nekaj več tisočimi obiskovalci na dan in z raznimi statističnimi in iskalnimi aplikacijami bo tudi takšen strežnik kaj kmalu podlegel. Nabaviti boste morali vsaj dvoprocesorski sistem z nekaj gigataktnima procesorjema, gigabajt pomnilnika ali dva ter SCSI trde diski z deset ali petnajst tisočimi obrati na minuto velikosti nad sto GB. Pa smo zaključili z milijonom tolarjev manj.

Ker je namembnost strežnika precej težko že na začetku ugotoviti in ker je razvoj praktično vsega izjemen, si je mogoče dobro za začetek izbrati povprečen računalnik. Pozneje boste sami presodili in uvideli potrebe ter morda zamenjali.

2.7 Imenski strežnikPredvsem pri uporabi Internetnih storitev kot je elektronska pošta, svetovni splet uporabljamo imena računalnikov. V omrežju samem pa nekdo poskrbi za preslikavo iz imena v ustrezni IP naslov računalnika. Za to poskrbijo posebni računalniki tako imenovani DNS strežniki. DNS strežnik je poseben računalnik, ki pozna tako imena kot IP naslove pomembnejših računalnikov v omrežju Internet (spletni strežniki, poštni strežniki…) in le te posreduje ostalim računalnikom v omrežju. Ob vključevanju računalnika v omrežje moramo TCP/IP protokolu navesti kateri DNS strežnik bo za nas opravljal preslikavo iz IP naslovov v imena in obratno in nam - računalniku posredoval le te podatke. Lahko navedemo tudi več DNS strežnikov. DNS strežnik lahko imamo sami, lahko koristimo DNS strežnik našega ponudnika dostopa do omrežja Internet.

Ko je internet prerasel datoteke HOSTS, je prerasel tudi ozek imenski prostor, ki ga je uporabljala datoteka. V internetu je bilo preveč sistemov, da bi vsakemu od njih določili svoje ime. Da bi se izognili temu problemu, so TCP/IP razvijalci oblikovali Domain Name System (DNS), ki administratorjem omogoča, da hierarhično določijo imena računalnikom, ki so v omrežju, in ta imena pretvorijo v naslov IP. DNS je definiran v dveh dokumentih IETF: RCF 1034, imena domen – koncept in oprema, in RCF 1035, imena domen – implementacija in specifikacija. Obstaja še veliko RCF, ki nudijo nadgradnjo in širitev DNS.

Kadarkoli uporabimo DNS ime določenega TCP/IP računalnika, na primer, ko v brskalnik na primer vtipkamo www.s–sers.mb.edus.si, delovna postaja izvede postopek pretvorbe imena, preden pošlje zahtevo na ciljni strežnik. Če pogledamo dovolj hitro, lahko za delček sekunde vidimo sporočilo o statusu, ki dokazuje pretvorbo imena. Pri izvedbi pretvorbe imena gostiteljski računalnik pošlje


http://www.xn--ssers-yu3b.mb.edus.si/


sporočilo, ki vsebuje ime, DNS strežniku, katerega naslov je specificiran kot del imena gostiteljeve konfiguracije TCP/IP. Implementacija gostiteljevega DNS, ki se nahaja v vsakem računalniku TCP/IP, se imenuje odjemalec (angl. Resolver). DNS strežnik določi naslov IP, povezan z imenom, ki ga zahteva odjemalec, in ga vrne gostitelju. Po tem lahko gostitelj pošlje svoje originalno sporočilo na želen cilj, tako da uporabi naslov IP cilja.

Slika 32: DNS sestavlja več slojev imen

Da bi razumeli, kako naš lokalni DNS strežnik pridobiva naslove IP, ki mu jih pošlje naš računalnik, je treba razumeti strukturo DNS imen. Primarni element DNS je njegov hierarhični imenski prostor, ki identificira računalnike s pomočjo imen, ki so sestavljena iz treh ali več besed, ločenih s piko. DNS ime računalnika je sestavljeno iz imena gostitelja in imena domene. Ime domene, ki je sestavljeno iz dveh ali več besed, služi kot identifikacija za mrežo ali organizacijo, ime gostitelja pa identificira določen računalnik v tej mreži ali organizaciji. V imenu www.s–sers.mb.edus.si je www ime določenega računalnika v domeni s-sers.mb.edus.si.

Imena domen morajo biti registrirana pri organizaciji, ki je odgovorna, da se imena domen ne podvajajo. DNS imena beremo od desne proti levi, pri čemer beseda na skrajni desni predstavlja vrh domenske hierarhije. si v imenu s–sers.mb.edus.si torej predstavlja glavni – prvi domenski nivo. Prvotni standardi DNS so določili osem glavnih domenskih nivojev: com, edu, gov, mil, net, org, int in arpa. Vse te domene so mišljene za uporabo na računalnikih različnih vrst organizacij, edu je za ameriške izobraževalne ustanove, mil za ameriško vojsko. Domena arpa je določena za obratno rabo, pretvorbo naslovov IP v domenska imena.

Danes so ob teh osmih domenah v rabi še številne druge domene prvega nivoja, ki predstavljajo imena držav. Te mednarodne domene prvega nivoja imajo samo dve črki po standardu ISO. Za Nemčijo je domena de, za Francijo je fr, za Slovenijo si, za Tuvalu tv, za Evropo eu. V zadnjih letih vpeljujejo druga imen glavnega domenskega nivoja, določenih za posebne namene, na primer info, biz, musesum, aero...

Registrator, odgovoren za eno ali več domen prvega nivoja, nam lahko znotraj domene prvega nivoja registrira domeno drugega nivoja. Domene prvega nivoja gov in mil sta omejeni za rabo ameriške vlade in ameriške vojske, pri registratorjih domen com, org in net pa lahko vsak registrira svoje ime.

Po tem, ko si je posameznik ali organizacija registrirala domensko ime, si lahko oblikuje toliko gostiteljev ali poddomen, kolikor želi. V polnem imenu beseda na skrajni levi predstavlja gostitelja, ostala imena v desno smer pa identificirajo domeno. Lastnik domene s-sers.mb.edus.si lahko kreira poljubno število poddomen, kot je na primer odrasli.s-sers.mb.edus.si, in poljubno število gostiteljev v




vsaki od poddomen, kot je npr. obvestila.dijaki.s-sers.mb.edus.si. Ta dvostopenjski administrativni dogovor je enak kot pri naslovih IP.

Imenski strežnik (DNS) se v organizaciji lahko uporabi na dva načina: Krajevne domene: za potrebe preslikavanja imen krajevnih omrežnih naprav (računalnikov,

tiskalnikov, usmerjevalnikov ...) v krajevne naslove IP se ponekod vzdrževalci sistemov odločajo za uporabo krajevnega strežnika DNS. Tak strežnik deluje tako, da če prejme povpraševanje za preslikavo imena, ki se nanaša na domeno, za katero je avtoritativen, na povpraševanje odgovori. V nasprotnem primeru (navadno) posreduje povpraševanje naprej {največkrat imenskemu strežniku internetnega ponudnika. Krajevni imenski strežnik lahko povežemo tudi s strežnikom DHCP (če oba razumeta standard RFC 2136), ki nato imenskemu sporoča trenutno veljavne preslikave imen v naslove IP.

Javne domene: za potrebe preslikovanja imen domen, ki so registrirane pri registratorjih in so dosegljive preko interneta. Imenski strežnik, ki služi samo temu namenu, lahko za vsa ostala povpraševanja (za domene, za katere ni avtoritativen) vrne napako (to je popolnoma normalno).

Aktivna vključitev računalnikov v omrežje Internet, koriščenje storitev omrežja Internet kot sta svetovni splet in elektronska pošta zahteva ob IP naslovu še dodatne nastavitve v omrežnih lastnostih računalnikov povezanih v omrežje. IP naslov računalnika, kot 4 zloge veliko število (194.249.77.18) je za nas kot uporabnike neprijazna oblika naslavljanja računalnikov v nekem omrežju. Za vsak računalnik, s katerim bi želeli komunicirat bi morali poznat njegov IP naslov. Zaradi lažjega komuniciranja v računalniških omrežjih je vpeljana nekakšna dvojnost v naslavljanju računalnikov. Tako ima vsak računalnik ob IP naslovu, ki je osnova protokola TCP/IP še svoje ime, ki služi predvsem nam uporabnikom za lažje naslavljanje računalnikov.

Primeri imen in IP naslovov računalnikov:

razor.arnes.si 193.2.1.80

avs1.arnes.si 193.2.1.74

2.7.1 Komunikacije DNSOdnos med posameznimi domenskimi nivoji postane viden, ko pregledamo postopek, s katerim DNS strežniki pretvarjajo imena v naslove IP. Zaradi razdeljenosti imenskih prostorov DNS noben strežnik ne more vsebovati popolnega seznama internetnih domen in gostiteljev domen. Ko sistem odjemalca pošlje ime svojemu strežniku DNS, da ga ta pretvori, mora strežnik na nek način locirati informacijo, ki jo potrebuje. To nalogo opravi z analizo prejetega imena DNS in obravnavo enega domenskega nivoja naenkrat.

Vsak strežnik DNS ima naslove IP večjih korenskih imenskih strežnikov. Ti strežniki so odgovorni za ohranjanje seznama domen prvega nivoja in naslovov IP tistih strežnikov DNS, ki so pooblaščeni za upravljanje s temi domenami (tako imenovani avtoritativni strežniki). Avtoritativni strežnik je računalnik, ki je končni vir informacij o določeni domeni. Običajno je to strežnik, ki ga upravlja administrator domene, na njem opravljajo spremembe, ko modificirajo svojo mrežno konfiguracijo. Korenski strežniki so dejansko avtoritativni strežniki za večino osmih domen prvega nivoja, vsebujejo pa tudi naslove avtoritativnih strežnikov številnih mednarodnih domen. Ti strežniki obdelujejo samo majhen del postopka pretvorbe imena, kljub temu pa morajo procesirati stotine zahtev na sekundo.

DNS strežnik, ki poskuša pretvoriti ime, pošlje sporočilo enemu od korenskih strežnikov in zahteva naslov avtoritativnega strežnika glavnega domenskega nivoja iz imena. Strežnik, ki hoče pretvoriti ime www.s–sers.mb.edus.si, pošlje zahtevo korenskemu strežniku, zahtevajoč naslov avtoritativnega strežnika za domeno si. Ker je ta strežnik pooblaščen za upravljanje z domeno si, ta preskoči en korak in priskrbi naslov za strežnik, pooblaščen za domeno edus.si. Sicer bi korenski strežnik odgovoril z naslovom strežnika glavnega domenskega nivoja, osnovni strežnik pa bi poslal novo zahtevo strežniku glavnega domenskega nivoja po naslovu strežnika drugega domenskega nivoja. Ko osnovni strežnik




enkrat pozna naslov strežnika domene, jo pošlje nižjemu nivoju. Na koncu strežnik domene s-sers.mb.edus.si generira zahtevo po naslovu IP gostitelja www. Strežnik s-sers.mb.edus.si odgovori z zahtevanim naslovom IP, osnovni strežnik pa posreduje ta naslov odjemalcu.

Na ta način lahko vsak DNS strežnik na internetu locira naslov IP računalnika v katerikoli domeni. V mnogih primerih pa lahko strežniki zaobidejo ta postopek, ker običajno uporabijo predpomnilnik za informacije o imenih, ki jih pretvarjajo. Pogosto uporabljeno ime, kot je www.sersmb.com, najverjetneje že ima svoj naslov IP shranjen v pomnilniku odjemalčevega DNS strežnika, in lahko to ime prenese neposredno do odjemalca brez komunikacije z ostalimi strežniki.

Obratna pretvorba imen

DNS je zasnovan za pretvorbo imen v naslove IP, obstajajo pa primeri, v katerih računalniki TCP/IP zahtevajo obraten postopek, zamenjavo naslova IP z imenom torej. Ta naloga je ob uporabi standardne razpoložljivosti sistema skoraj nemogoča, ker je DNS imenski prostor osnovan na domenskih imenih. Če bi hoteli najti točno določen naslov IP v imenskem prostoru, bi to zahtevalo preiskavo vseh avtoritativnih DNS strežnikov na internetu, kar se bi pokazalo kot zelo nepraktično.

Za take primere DNS imenski prostor vsebuje posebno domeno, imenovano in–addr.arpa, ki obrne povezavo ime/naslov in ki vsebuje domene, ki so imenovane z naslovi IP. Z drugimi besedami, je domena drugega nivoja in–addr znotraj domene arpa, in znotraj in–addr je možnih 256 domen tretjega nivoja, le–te so poimenovane s številkami od 0 do 255.

Te domene tretjega nivoja predstavljajo prvi biti posameznega naslova IP. Vsaka domena tretjega nivoja lahko ima 256 domen četrtega nivoja, ki predstavljajo naslednje bite posameznega naslova IP. Domene petega in šestega nivoja delujejo na isti način, kar nam omogoča iskanje kateregakoli naslova IP znotraj imenskega prostora. Naslov IP 192.160.2.6 bi lahko našli v imenu domene 6.2.160.192.in.addr.arpa. Ta domena vsebuje enoto za zapis virov, ki zabeleži DNS ime računalnika, ki uporablja določen naslov IP. Okteti naslova IP so v domenskem imenu v obratnem vrstnem redu, ker se v naslovu IP najpomembnejši pokazatelj nahaja na prvem mestu, medtem ko je v domenskem imenu ime glavnega domenskega nivoja na zadnjem mestu.

2.7.2 DHCP strežnikVključevanje osebnih računalnikov v omrežje zahteva nastavitev omrežnih lastnosti (ip naslov, maska omrežja, IP prehod...). Navedene nastavitve lahko opravimo ročno, lahko si seveda olajšamo delo in v ta namen uporabimo ustrezen računalnik - strežnik, ki navedene podatke posreduje osebnim računalnikom v omrežju.

Dynamic Host Configuration Protocol strežnik - DHCP strežnik je strežnik, ki opravlja takšna opravila v omrežju. Vsakemu računalniku v ustreznem omrežju DHCP strežnik posreduje podatke; kot so IP naslov, masko omrežja, naslov prehoda, naslov DNS strežnika. Pri nastavitvah lastnosti TCP/IP protokola izberemo le vrednost Samodejno dobi IP naslov in DHCP strežnik poskrbi, da vsak računalnik v omrežju dobi svoj enolično določen IP naslov in ostale podatke.

DHCP strežnik potrebujemo za vsako omrežje ali podomrežje saj usmerjevalniki praviloma ne prepuščajo podatkov katere v omrežje pošiljajo DHCP strežniki.

Kot DHCP strežnik lahko uporabimo preprost osebni računalnik z LINUX operacijskim sistemom in nameščenim DHCP strežniškim programom. Podatke; katere IP naslove, kakšno masko omrežja, kateri naslov prehoda, naslov DNS strežnika, naj DHCP strežnik posreduje računalnikom v omrežju vpišemo v nastavitve DHCP strežnika.

Naloga IP je tudi logično naslavljanje. Obstajajo številne prednosti in slabosti obstoječega načina naslavljanja. Vsak računalnik v omrežju mora imeti unikatno številko. To zahteva precej dela z nastavitvami naslovov IP odjemalcev s protokolnim skladom TCP/IP. Administrator omrežja mora biti



prepričan, da ima vsak računalnik pravilne nastavitve, da ne prihaja do podvojitev naslovov. V majhnih omrežjih ni toliko težav kot v velikih.

2.7.2.1 Poreklo DHCP

Slika 33: Prošnja za naslov IP

V letih uporabe protokolnega sklada TCP/IP, so se razvijalci lotili različnih težav z nastavitvami TCP/IP v velikih omrežjih. Ena izmed prvih rešitev je bila Reverse Address Resolution Protocol (RARP), ki je računalnikom brez diska omogočal pridobiti naslov IP. RARP deluje ravno nasprotno kot ARP. Če ARP pošilja naokrog naslov IP, da bi pridobil naslov MAC, RARP pošilja naokrog svoj strojni naslov, da bi pridobil naslov IP. RARP je danes že zastarel, saj pridobiva samo naslov IP in ne pridobiva omrežne maske in privzetega prehoda, ki sta za današnje nastavitve TCP/IP potrebna.

Slika 34: Pregled prostih naslovov in ponujanje

Naslednji protokol, ki je omogočal samodejno nastavitev TCP/IP, je bil Bootstrap Protocol (BOOTP). BOOTP zmore več od RARP in se uporablja še danes. BOOTP omogoča postajam s TCP/IP pridobitev vseh parametrov, ki jih potrebuje za delovanje, kot so naslov IP, podomrežna maska, privzeti prehod in naslov DNS strežnika. Postaje lahko tudi naložijo zagonske datoteke s BOOTP strežnika z uporabo Trivial File Transfer Protocol (TFTP). Še vedno pa mora administrator na BOOTP strežniku nastaviti vsakega odjemalca, saj ne obstaja mehanizem, ki bi samodejno dodeljeval naslove IP odjemalcem. V primeru napačnih nastavitev se lahko zgodi, da bi dva računalnika lahko dobila isti naslov IP.



2.7.2.2 Delovanje DHCP

Slika 35: Izbira naslova IP

Dynamic Host Configuration Protocol (DHCP) so iznašli pri podjetju Microsoft zaradi težav, ki so jih imeli s protokoli RARP in BOOTP. DHCP se zgleduje po BOOTP, toda je veliko enostavnejši za uporabo in za razdeljevanje naslovov IP postajam. DHCP dinamično dodeljuje naslove IP iz določenega obsega, ki ga določi administrator. Ko je naslov IP dodeljen postaji, ne dovoli več dodeljevanja tega naslova IP drugi postaji. Torej preprečuje podvojevanje naslovov IP.

Slika 36: Vnos v tabelo in potrditev izbire

DHCP se sestoji iz treh komponent: odjemalca, strežnika in protokola, ki komunicira med njima. Večina implementacij TCP/IP ima odjemalce DHCP vgrajene v sistem. Strežnik DHCP je aplikacija, ki teče na računalniku in daje usluge odjemalcem. Strežniki Windows imajo že od Windows NT nastavitve za to storitev, prav tako pa velika večina strežnikov UNIX (vključno z Linux), Novell NetWare. DHCP strežniki in odjemalci niso odvisni od platforme. Kljub temu, da je standard razvil Microsoft, je DHCP odprt standard TCP/IP. DHCP je objavljen v Request For Comments (RFC) 2131 in 2132.

Ključna naloga DHCP je določanje naslova IP. Mogoči so naslednji načini:

Ročna nastavitev

Administrator nastavi določen IP vsaki postaji na DHCP strežniku in strežnik nato posreduje ta naslov.

Samodejna nastavitev

DHCP strežnik zagotavlja odjemalcem naslove IP, ki se nahajajo v množici, odjemalci jih dobijo v stalno uporabo.



Dinamična nastavitev

DHCP strežnik zagotavlja odjemalcem naslove IP, ki se nahajajo v množici. Odjemalci morajo periodično obveščati strežnik o uporabi tega naslova. V primeru neodziva odjemalca, se naslov vrne v množico neoddanih naslovov.

Slika 37: Nastavljanje DHCP odjemalca v Windows XP

2.8 Protokol za prenos datotek FTP

Protokolni sklad TCP/IP ima dvoje protokolov za prenos datotek. Prvi uporablja zanesljiv prenos s protokol TCP in se imenuje FTP. Protokol, ki uporablja nezanesljiv protokol UDP, pa je protokol TFTP.

2.8.1 File Transfer Protocol

Slika 38: Protokol FTP

Protokol za prenos datotek v protokolnem skladu TCP/IP je File Transfer Protocol (FTP). Izvira iz operacijskega sistema Unix, kjer se je prav tako uporabljal za prenose datotek med računalniki. Z razvojem interneta je ta protokol, ki je eden od starejših standardov interneta, postal vsestransko uporabljen protokol za prenos datotek. Vsak računalnik, ki ima nameščen TCP/IP ima nameščen tudi FTP in neko orodje za uporabo le–tega (četudi je to orodje samo v obliki ukazne vrstice).

FTP je kratica za File Transfer Protocol ali po slovensko protokol prenosa datotek in je eden od starejših standardov interneta.

Cilji FTP so:

1. uporaba deljenih datotek (računalniških programov in podatkov) na strežniku,2. spodbujati uporabo oddaljenih računalnikov,



3. prenašati podatke zanesljivo in uspešno.

Slika 39: Program z grafičnim vmesnikom za ftp

FTP je zelo robusten protokol. FTP protokol uporablja dvoje vrat (in ima dve povezavi), ki sta 20 in 21. Postaja, ki se priklaplja na oddaljeno, se mora prijaviti na dvoje vrat, da lahko FTP normalno deluje. Vrata 20 so uporabljena za vzpostavitev povezave in za nadzor povezave. Vrata 21 so uporabljena za uporabnikove datoteke (datoteke, ki bodo prenesene).

Večina današnjih operacijskih sistemov ima danes grafične vmesnike za prenos datotek, v okolju Windows lahko to storite kar z Internet Explorerjem. Ko je zveza med odjemalcem in strežnikom vzpostavljena, strežnik čaka na ukaze odjemalca. Z ukazom GET odjemalec dostopa do datotek na strežniku, z ukazom PUT pa jih pošilja strežniku. Ko je prenos podatkov zaključen, se podatkovna vrata zaprejo

Za zagon pripomočka FTP, napišemo v ukazni vrstici FTP. Prikazala se bo ukazna vrstica FTP:

FTP>

Iz te ukazne vrstice, lahko pošiljamo in sprejemamo datoteke. Za prikaz vseh ukazov napišimo v ukazni vrstici FTP HELP in pritisnemo Enter. Za pomoč pri določenem ukazu, napišemo HELP, presledek in ime ukaza.

2.8.2 Zagon FTP in prijava na strežnik FTP

Prvi korak pri vzpostavitvi prenosa s FTP je, da določimo naslov mesta strežnika FTP in začnemo program za FTP. Naslov strežnika FTP je ponavadi enak imenu spletne strani, razen da so prve tri črke ftp in ne www. Na primer, Novell Inc.'s spletna stran je www.novell.com, njihov strežnik FTP pa ima naslov ftp.novell.com. Ta primer FTP strani bomo uporabljali do konca te strani.

Najprej se zažene pripomoček za FTP, ki smo ga prej navedli in nato sledimo navodilom:

V FTP ukazni vrstici, napišemo open, nato presledek in nato ime strežnik FTP-a. Kot primer:

FTP> open ftp.novell.com



Lahko pa začnemo prenos z FTP tudi z FTP, presledek in naslov strežnika FTP (kot primer, FTP ftp.novell.com). To nam dovoli začeti prenos FTP in odpreti povezavo, v enem koraku.

Če je strežnik FTP na voljo in je zagnan, bomo dobili odgovor, da nas strežnik pozdravlja in nas sprašuje po našem uporabniškem imenu:

ftp> open ftp.novell.comConnected to ftp.novell.comi220 nemesis FTP server ready.User (ftp.novell.com:(none)):

Vpišemo veljavno uporabniško ime in pritisnemo še Enter.

Večina javnih strežnikov, ki dovolijo vsakemu prenašati datoteke, omogočajo tudi uporabniško ime anonymous. Zapomnite si, da je potrebno uporabniško ime zapisati pravilno in dvakrat preveriti, če je pravilno napisano, saj so strežniki zelo občutljivi na uporabniška imena (tudi na velike in male črke). Dodatno k uporabniškemu imenu anonymous, lahko še uporabljate "ftp", da dobite dostop do javnega strežnik FTPa. Obe uporabniški imeni sta anonimni. Zapomnite si, da so FTP (in Unix) uporabniška imena občutljiva na to, kako jih vpišemo.

Če se prijavljamo na zaseben strežnik FTP , uporabljajmo uporabniško ime in geslo, ki mam ga je dodelil administrator. Če se prijavljamo na javni strežnik FTP z uporabniškim imenom, ki je anonimen, lahko uporabljamo kot geslo e–poštni naslov.

Ni potrebno vpisati celotnega e–poštnega naslova, da se prijavimo z anonimnim uporabniškim imenom. Večina programske opreme strežnik FTPov ne preverja ali je e–poštni naslov veljaven, temveč samo, če je e–poštni naslov v pravem formatu. To pomeni, da preveri, če je vpisan znak @ in dve besedi med znakom @ znakom pika. Vpisati je potrebno samo kratek e–poštni naslov, če želite obiti geslo (na primer [email protected]). To je zelo priporočljivo, če imate dolg e–poštni naslov in tudi zelo praktično, če ne želite odvečne pošte. Večina spletnih brskalnikov ima že določen e–poštni naslov za prijavo na javne strežnik FTPe in večina uporabnikov si ga nikoli ne ogleda ali spremeni.

Če vpišemo napačno uporabniško ime in/ali geslo, bo strežnik izpisal to sporočilo:

530 Login IncorrectLogin failed.

Ponovno se bo potrebno prijaviti. Če smo pravilno vpisali, nas bo strežnik pozdravil in vas vrnil nazaj v ukazno vrstico. Zdaj je vse pripravljeno za pošiljanje in sprejemanje datotek.

2.8.3 Prenašanje datotek

Ko smo se prijavili na strežnik FTP, se napotimo v mapo, v kateri je datoteka, ki jo želimo prenesti. K sreči, so ukazi FTP podobni tistim iz okolja DOS. To ni naključno tako, saj je DOS baziran na platformi Unix, FTP pa je pripomoček Unix-a. Spodnja tabela prikazuje in opisuje skupek ukazov za FTP. Poskušajmo si jih zapomniti, saj jih je potrebno pravilno uporabljati.

2.8.4 Ukazi FTP ukaz opis

ls Krajše za "list oz. seznam", ukaz vam pokaže seznam map na strežniku. Zelo je podoben ukazu DIR v MS–DOS–u.

cd Krajše za "change directory oz. sprememba mape", ta ukaz deluje skoraj podobno kot v MS–DOSU. Uporabljajte ta ukaz za spremembo mape in za upravljanje z strukturo map na strežniku.



pwd Krajše za "print working directory oz. prikaži delovno mapo", ta ukaz Vam prikaže trenutno mape, v kateri se nahajate. Uporabno, če npr. pozabite kje se nahajate, ko veliko brskate po strežniku.

lcdKrajše za "local change directory oz. spremeni lokalno mapo", ta ukaz Vam prikaže in spremeni mapo na lokalnem računalniku. Uporabno, če prenašate datoteko in niste v mapi, v katero želite shranit to datoteko.

Ko ste prišli do mape in našli datoteko, katero želite prenesti, morate določiti parametre za tip te datoteke. Datoteke so dveh vrst:

ASCII, ki pomeni golo (neoblikovano) besedilo, Binary, ki je definiran za vse ostale tipe datotek.

Če ste določili napačno tip datoteke, bo prenesena datoteka vsebovala napake. Če ste v dvomih o tipu datoteke, potem določite datotekam dvojiški (angl. binary) tip.

Za določitev ASCII tipa, napišite ASCII v ukazno vrstico FTP. FTP se bo odzval z sporočilom, da je bil tip datotek določen za A (ASCII):

FTP> ASCIIType set to A

Za določitev dvojiškega tipa, napišemo binary v ukazno FTP vrstico. FTP se bo odzval z sporočilom, da je bil tip datotek določen za I (binary):

FTP> binaryType set to I

Za prenos datoteke, uporabimo ukaz get, na primer:

FTP> get program.exe200 PORT command successful.150 Opening BINARY mode data connection for 'scrsav.exe' (567018 bytes).

Datoteka se bo začela prenašati na vaš trdi disk. Na žalost z standardnimi nastavitvami, saj nam FTP ne pokaže statusa prenosa dateke. Ko se datoteka prenese, se nam prikaže naslenje sporočilo in vrnete se nazaj v ukazno vrstico:

226 Transfer complete.567018 bytes received in 116.27 seconds (4.88 Kbytes/sec)

Lahko pa tudi prenašamo več datotek hkrati in sicer z pomočjo mget ukaza. Enostavno napišemo mget, presledek in ime datoteke, ki jo želimo prenesti. Na primer, če želimo prenesti vse tekstovne datoteke v trenutni mapi, napišemo mget *.txt.

2.8.5 Pošiljanje datotek

Če želimo poslati datoteko na strežnik FTP, potrebujemo dovoljenje za dostop na strežnik. Za pošiljanje datotek, se najprej prijavimo na strežnik in nato sledimo naslednjim korakom:

1. V ukazni vrstici napišemo lcd, da se premaknemo v mapo na lokalnem računalniku, kjer se nahaja datoteka, ki jo želimo poslati.

2. Napišemo cd, da se premaknemo do mape izvorne datoteke.3. Nato določimo tip datoteke, ASCII ali pa binary.



4. Uporabimo put ukaz za pošiljanje datoteke.

Primer ukaza put:

FTP> put

Na primer, če želimo poslati datoteko z imenom besedilo.txt na lokalnem računalniku, toda želimo, da se ta datoteka imenuje moja.txt na izvornem strežniku, uporabimo naslednji ukaz:

FTP> put besedilo.txt moja.txt

Oglejmo si odgovor strežnika:

200 PORT command successful.150 Opening BINARY mode data connection for moja.txt226 Transfer complete.743622 bytes sent in 0.55 seconds (1352.04 Kbytes/sec)

Slika 40: Prijava in uporaba ftp v ukazni vrstici

2.9 Trivial FTP

Alternativa FTP je TFTP (angl. Trivial File Transfer Protocol). To je preprost protokol za prenos in se največ uporablja za zagon delovnih postaj brez diskov preko omrežja. Ti računalniki imajo majhen zagonski program shranjen v ROM, ki ga pošljejo strežniku. Prav tako ga uporablja tudi druga omrežna oprema (mostovi in usmerjevalniki). FTP je izredno robusten in zahteven program in zelo velik. TFTP je majhen protokol in tudi program za njegovo upravljanje je majhen.

Pomembna razlika med FTP in TFTP je, da TFTP ne zagotavlja zanesljivih uslug. Podatki se prenašajo s protokol na transportnem sloju UDP (in ne TCP). Datagram je lahko velik do 512 bajtov. Protokol je zelo enostaven. Prvi paket, ki pošlje odjemalec strežniku, je nadzorni paket, ki določa ime datoteke in postopek, ki bo potekal na oddaljeni postaji (branje ali pisanje). Nato bo poslana množica paketov velikosti 512 bajtov. Začetni paket ima zastavico 1, naslednji paketi pa vrednost zastavice inkrementirajo. Sprejemni računalnik bo po teh številkah lahko sklepal o prispelih paketih. V primeru, da paket vsebuje manj kot 512 bajtov, je to znak, da je prenos končan.

Za prenos podatkov je odgovoren protokol TFTP in aplikacija, ki ga uporablja, ne pa protokol transportnega sloja, ki je UDP. UDP je nezanesljiv protokol, ki uporablja nepovezovalni način prenosa paketov. TFTP zasleduje kaj se dogaja s podatki, ki se prenašajo.



2.10 Telnet

Slika 41: Telnet program v Windows

Telnet je aplikacija, ki omogoča prijavo na oddaljeni sistem v internetu po zgledu enostavnih terminalov (angl. Dumb Terminal).

Telnet je tudi omrežni protokol na aplikacijskem sloju v protokolnem skladu TCP/IP, ki omogoča oddaljeno povezovanje med strežnikom telnet in odjemalcem telnet. Ker je to dobro poznan in uporaben protokol, je implementiran v praktično vseh operacijskih sistemih.

Standardno uporablja 7-bitni nabor znakov ASCII (8-bitne znake uporablja le kot ukazne). S posebno izbiro lahko sproži tudi 8 bitno delovanje. Poleg klasičnih terminalskih lastnosti omogoča tudi pošiljanje celotne vrstice v paketu (ne zgolj znak za znakom).

Prvotno je bil narejen za terminalno povezovanje z Unixovih delovnih postaj do Unixovih strežnikov. Čeprav se še vedno uporablja v ta namen, se je razvilo v orodje za razreševanje težav. Na sliki lahko vidimo kako se lahko z telnetom na terminalniški način povežemo do oddaljene Unixove postaje.

Telnet je izjemno uporabno in pomembno orodje v sistemih Unix. Administratorji lahko z njim izvajajo administratorske operacije na oddaljenih sistemih. Administrator lahko z enega samega mesta doseže strežnike, ki jih želi (in ima pravico dostopa). Lahko briše datoteke, kreira mape, preverja delovanje sistema, zaustavi procese ali jih zažene. Zaradi varnosti pa je pogosto onemogočen dostop s Telnetom, saj lahko ob administratorju počenja to tudi kak nezaželen gost. Standard telnet podpira tudi avtentikacijo z geslom, vendar je protokol še iz prazgodovine interneta in se gesla prenašajo kot golo besedilo. Če je varnost zahtevana, je potrebno pazljivo določiti načine uporabe Telneta ali pa ga sploh prepovedati.

V današnjih okoljih Windows je telnet osnoven pripomoček za TCP oddaljeno povezavanje. To je še zlasti uporabno, če preverjamo vrata SMTP in HTTP. Vsaka internetna storitev, ki uporablja posamezen naslov, se bo odzvala na ta način. V spodnji tabeli so zapisani vsi najbolj poznana vrata in zakaj se katera vrata uporabljajo.

Tabela 1: Naslovi TCP vratin namen posameznih vrat

vrata TCP/IP namen vrat21 FTP23 Telnet25 SMTP



80 HTTP začetek seje110 POP3 protokol za elektronsko pošto

Da ugotovite, če se storitev TCP še vedno odziva, sledite naslednjim korakom:

1. Pojdite v Meni Start >> Run (Zaženi).2. Vpišite telnet in pritisnite OK, da se odpre program telnet.3. Izberite Connect >>Remote System da se odpre okno za povezovanje:

4. V okence za Host name vpišite naslov IP ali ime DNS storitve TCP, na katerega se želite povezati. Na primer, če želite ugotoviti ali se internetni strežnik še odziva, vpišite njegov naslov IP ali ime DNS (v tem primeru je 204.153.163.2) in TCP vrata 80 (to so privzeta vrata za spletni strežnik).

5. V okencu za vrata vpišite številko vrat (številke vrat so v zgornji tabeli), ki ustreza območju ki ga želite preveriti.

6. Nazadnje pritisnite Connect,

Slika 42: S telnetom lahko ugotovljamo odziv SMTP

2.8 Datotečni strežnik

Datotečni strežnik omogoča odjemalcem, da shranjujejo in dostopajo do informacij, kot so datoteke in programi, ki se nahajajo na strežniku iSeries. Ta strežnik nadomešča strežnika map v skupni rabi tipa 2, ki se je uporabljal pred V3R1. Datotečni strežnik OS/400 vsebuje vmesnike z integriranim datotečnim vmesnikom na strežniku iSeries. Njegove možnosti strežbe datotek so enakovredne mapam v skupni rabi, vendar odjemalci lahko dostopajo tudi do informacij v kateremkoli novem datotečnem sistemu. Odjemalci uporabljajo raje svoj lasten vmesnik za interakcijo z datotečnimi sistemi kot pa uporabniške vmesnike in API-je integriranega datotečnega sistema.

Integrirani datotečni sistem je del programa OS/400. Podpira vhod/izhod toka in upravljanje pomnilnika, podobno kot osebni računalnik in operacijski sistemi UNIX. Istočasno integrira vse informacije, ki so shranjene na strežniku iSeries.



Ključne možnosti integriranega datotečnega sistema so naslednje:

Podpora za shranjevanje informacij v tokovnih datotekah, ki so datoteke, ki vsebujejo dolge, zvezne nize podatkov. Ti nizi podatkov so lahko na primer besedilo dokumenta ali slikovni elementi v slikah. Dokumenti, ki so shranjeni v mapah iSeries, so tokovne datoteke. Drug zgled tokovnih datotek so datoteke PC in datoteke v sistemih UNIX. Podpora za tokovne datoteke je zasnovana za učinkovito uporabo aplikacij odjemalec/strežnik.

Hierarhična struktura imenikov, ki omogoča objektom v obliki vej drevesa. Če želite dostopiti do objekta, podajte pot iz imenikov do objekta.

Splošni vmesnik, ki omogoča uporabnikom in aplikacijam, da dostopajo do tokovnih datotek, datotek baz podatkov, dokumentov in drugih objektov, ki so shranjeni na strežniku iSeries.

Strežniki iSeries lahko podpirajo več različnih datotečnih sistemov s podobnimi vmesniki. Datotečni sistem omogoča uporabnikom in aplikacijam, da dostopajo do specifičnih segmentov pomnilnika, ki je so organizirani kot logične enote. Te logične enote so datoteke, imeniki, knjižnice in objekti. Datotečni sistemi iSeries so:

korenski ('root')

Datotečni sistem '/'. Zasnova tega datotečnega sistema v popolnosti izkorišča podporo tokovnih datotek in hierarhično strukturo imenikov integriranega datotečnega sistema. Ima značilnosti datotečnih sistemov DOS in OS/2.

QFileSvr.400

Datotečni sistem datotečnega strežnika OS/400. Ta datotečni sistem nudi transparenten dostop do integriranega datotečnega sistema (IFS) oddaljenih sistemov.

Opomba: V datotečnem sistemu QFileSvr.400 le eno opravilo servisira več uporabnikov.

QOpenSys

Odprti sistemski datotečni sistem. Zasnova tega datotečnega sistema je združljiva z standardi sistemov, ki temeljijo na UNIX, kot je POSIX in XPG.

QOPT

Datotečni sistem za podporo optičnih naprav. Ta sistem nudi dostop do pogonov za zgoščenke in naprav knjižnic optičnih medijev, ki so neposredno povezani na strežnik iSeries.

QSYS.LIB

Knjižnični datotečni sistem. Ta datotečni sistem podpira sistem knjižnic iSeries. Nudi dostop do datotek baze podatkov ter do vseh drugih tipov objektov iSeries, ki jih upravlja podpora knjižnic.

QDLS

Datotečni sistem storitev knjižnic dokumentov. Ta datotečni sistem podpira strukturo map. Nudi dostop do dokumentov in map.

QLANSrv

Datotečni sistem LAN Server/400. Ta datotečni sistem nudi dostop do istih imenikov in datotek, do katerih se dostopa prek licenčnega programa LAN Server/400.



2.9 Grid v Sloveniji

Grid je skupek večih gruč (ang. Cluster), torej skupek računalnikov, ki so postavljeni na različnih, geografsko ločenih, lokacijah in so med seboj povezani v gruče. Te so povezane v večji sistem: omrežje grid. Gruče med seboj povezujeta akademsko internetno omrežje in vmesna programska oprema, tako da za uporabnika delujejo kot homogen superračunalnik.

Prvo gručo so postavili na Institutu Jožef Stefan leta 2004. V letu 2010 smo gručo postavili tudi na Arnesu, saj je Arnes prevzel vodilno vlogo pri vodenju Slovenske iniciative za nacionalni grid.

Pri omrežjih grid gre za razpršena računalniška omrežja, kjer se delijo računalniške kapacitete, ki jih uporabljajo raziskovalci pri skupnih projektih. Grid je osnovan na isti ideji kot splet, vendar gre pri spletu zgolj za porazdeljene podatke, pri gridih pa tudi za delitev računalniške moči in diskovnega prostora.

V Sloveniji lahko grid tehnologije uporabljajo vsi raziskovalci, saj jim je na voljo Arnesova testna gruča. Za uporabo je potrebna zgolj pridobitev digitalnega potrdila.

Uporabnik grida lahko hitro in enostavno opravi zelo kompleksne izračune, saj so mu na voljo računalniki po vsem svetu, uporaba certifikata pa zagotavlja določeno stopnjo varnosti. Raziskave, ki bi sicer na enem računalniku potekale več desetletij, je mogoče s pomočjo grid tehnologij izvesti v nekaj dnevih.

2.9.1 Slovenska iniciativa za gridArnes je v letu 2009 prevzel vodilno organizacijsko vlogo pri vzpostavitvi in vodenju Slovenske iniciative za grid. Slovenska iniciativa za grid je vstopila med člane Evropske iniciative za grid (European Grid Initiative, EGI), sodelovala pri vzpostavljanju osrednje organizacije EGI.eu, ki je maja 2010 postala evropska institucija za vzpostavitev skupnih evropskih servisov. Ti servisi so nujni za delovanje evropske infrastrukture grid, ki je postala ključen element infrastrukture Evropskega skupnega raziskovalnega področja (European Research Area, ERA).

Razvoj omrežja grid je pod okriljem Evropske komisije potekal 6 let, evropsko iniciativo za grid je prevzel EGI v sodelovanju z nacionalnimi grid iniciativami (NGI). EGI ima trenutno 50 partnerjev, od tega tudi CERN in EMBL kot mednarodni organizaciji in 9 partnerjev iz Azije. EGI se posveča predvsem trajnemu razvoju in vzdrževanju evropskega omrežja grid, pri čemer skrbi za mednarodno sodelovanje nacionalnih omrežij in večjih projektov (npr. HPC, virtualizacija, varnostni mehanizmi, razvoj programske opreme in protokolov ipd.). Vzdržuje in razvija potrebno infrastrukturo (zlasti



osrednje servise) in sodeluje v postopkih standardizacije in razvoja programske opreme ter možnosti za medsebojno obratovanje različnih omrežij grid (OpenScience Grid v ZDA). V okviru sodelovanja v EGI, je cilj in naloga Arnesa kot zastopnika slovenskega omrežja SiGNET predstavljati interese nacionalne skupnosti uporabnikov tehnologije grid v Evropi, posredovati med partnerji SiGNET, slovenskega omrežja grid pri izmenjavi znanja in kapacitet, zagotavljati podporo za nacionalne virtualne organizacije ter nuditi tehnično podporo in usposabljanja organizacijam pri vzpostavljanju in priključevanju novih centrov ter končnim uporabnikom pri uporabi tehnologije. Poleg tega slovenska nacionalna iniciativa sodeluje tudi v nordijski kolaboraciji NorduGrid, ki razvija vmesno programsko opremo ARC, na ta način pa je tudi med razvijaci bodoče združene distribucije programskega sklada za grid (Unified Middleware Distribution).

Osrednji servisi, ki zagotavljajo delovanje celotne nacionalne infrastrukture, so postavljeni na Arnesu in Institutu »Jožef Stefan«. Center na IJS je v uporabi že od leta 2004, na Arnesu pa smo osrednje servise in demonstracijsko gručo postavili v prvem četrtletju leta 2010. Ti informacijski servisi omogočajo nadzor nad storitvami (Nagios), odkrivanje prostih kapacitet, podporo za različne virtualne organizacije (VOMS), servis za upravljanje z nalogami (ang. job manager – glite-CREAM in Nordugrid ARC), beleženje v dnevniške datoteke, informacijski sistem (BDII), sistem za popis uporabe (ang. Accounting – APEL) itn. V okviru nacionalne iniciative deluje tudi izdajatelj elektronskih potrdil za delo v znanosti SiGNET CA.

2.9.2 Arnesova testna gručaNa Arnesu so v sodelovanju s sodelavci z Instituta Jožef Stefan vzpostavili računsko gručo. Začetnih 288 jeder so povečevali. Podprti sta vmesna programska oprema gLite in Nordugrid Arc.

Arnesovo središče za grid ima vlogo nacionalne testne gruče. Za razliko od gruč v drugih organizacijah, ki so namenjene njihovim raziskovalnim dejavnostim, običajno celo specifičnim področjem ali projektom (ker so bile financirane s tem namenom in jih zato ni mogoče uporabljati v druge namene), je Arnesovo središče na voljo za vsa raziskovalna področja, predvsem pa je namenjeno preizkušanju uporabe tehnologije grid na posameznih področjih, preizkušanju organizacij, ki bi želele vzpostaviti lastno infrastrukturo in se vključiti v nacionalno iniciativo za grid ter učenju sistemskih upraviteljev in uporabnikov, ki bodo tako lahko osvojili tehnologijo grid ter jo prenesli na svoja specifična raziskovalna področja.

Prve naloge smo lahko izvedli že v marcu, nato smo do konca junija preizkušali gručo, vpeljali smo določene popravke, ki so delovanje gruče izboljšali itn. Prve prave računske naloge so bile izvedene v juliju 2010, teh je bilo nekaj 10. Od avgusta 2010 pa je gruča popolnoma operativna. Povprečno se na njej izvede 2000 nalog dnevno.



3. Upravljanje z uporabniškimi računi

Sistemsko varnost lahko izboljšamo tudi z ustrezno varnostno politiko uporabnikov. Priporočljivo je, da omejimo pravice na nivo, ki uporabnikom še omogoča nemoteno delo, ne dovoli pa jim izvajanja višjih nivojskih opravil. S tem smo uporabnikom preprečili, da bi hote ali nehote nameščali programsko opremo, onemogočeno pa jim je tudi spreminjanje sistemskih nastavitev. Z omejevanjem pravic lahko vsaj delno preprečimo izvajanje škodljive programske opreme, ki bi se v primeru, da imajo vsi uporabniki administratorske pravice, izvedla brez posebnih omejitev.

Omejevanje uporabniških pravic ima tudi določene slabosti. Tukaj mislimo predvsem na dodatno delo sistemskega administratorja, ki mora voditi uporabniške račune, več dela pa ima tudi s programsko opremo, saj jo lahko namešča le on. Seveda se da to z ustrezno organizacijo omrežja znatno poenostaviti. V nadaljevanju si oglejmo organizacijo uporabniških računov v operacijskem sistemu Windows in Linux.

3.1 Microsoft Windows

V sodobnih operacijskih sistemih Windows se varnostne pravice (prijava v sistem, dostop do dokumentov, tiskalnikov) določajo na nivoju uporabniških računov. Uporabniški račun enolično določa posameznega uporabnika in mu dovoljuje pravice, vezane na njegovo uporabniško ime. Da nepooblaščena oseba ne more uporabljati drugega uporabniškega imena, so le-ta zaščitena z geslom. Pri določitvi gesel moramo biti še posebej pozorni pri uporabniških računih, ki imajo večje privilegije. Če izberemo enostavno geslo (ali če gesla sploh ne določimo) za npr. administratorjev uporabniški račun, smo potencialnemu hekerju močno olajšali delo in na široko odprli vrata. Uporabniški račun predstavlja enolično identifikacijo uporabnika (ID) in mu omogoča prijavo tako na lokalno delovno postajo kakor tudi prijavo v domeno.

Vsak uporabniški račun je zaščiten z geslom. S prijavo v domeno dobi uporabnik žeton, s katerim so določene pravice dostopa do virov v omrežju. Lokalni račun omogoči uporabniku prijavo na računalnik in uporabo lokalnih virov (dokumentov, map, tiskalnikov...). Uporabniški račun je shranjen v lokalni bazi (SAM).

Domenski račun omogoča, da ima uporabnik dostop do domenskih virov v celotni domeni. Uporabnik se lahko prijavi iz poljubnega računalnika, razen če mu je ta pravica eksplicitno prepovedana. Uporabniški račun je shranjen v Active Directory bazi.

Vgrajeni račun Windows ustvari pri namestitvi dva uporabniška računa (administrator in gost). Administratorski račun nam daje vse pravice nad računalnikom in je namenjen za administracijo. Račun za goste (angl. Guest) služi uporabi naključnim uporabnikom in običajno temu računu dodelimo najmanj pravic. Poleg teh Windows ustvari še druge uporabniške račune, ki ne služijo lokalni prijavi.

Skupine (angl. Groups) vsebujejo uporabniške račune. Uporabniške račune združujemo v skupine z namenom lažje administracije in učinkovitejšega dodeljevanja pravic. Član skupine pridobi vse pravice, ki pripadajo skupini. Na vsakem računalniku z Windows sistemom obstajajo lokalne skupine, ki jih lahko uporabljamo le na tistem računalniku. Na domenskem strežniku pa imamo domenske skupine, ki so vidne znotraj cele domene.

Lokalne skupine lahko ustvarimo na vseh računalnikih Windows, razen na domenskih strežnikih. Lokalni skupini lahko dodeljujemo pravice samo na računalniku, kjer je bila skupina ustvarjena. Namen lokalnih skupin je dovoliti uporabnikom določene pravice, ki jih pridobijo s članstvom v določeni lokalni privilegirani skupini. Sistemi Windows pri instalaciji avtomatično zgradijo privilegirane lokalne skupine.

Značilnosti lokalnih skupin:

vsebujejo lahko globalne skupine in račune domene. ne morejo vsebovati lokalnih skupin.



lokalni skupini se lahko dodelijo pravice samo na računalniku, kjer je bila ustvarjena. lokalna skupina ne more biti članica nobene druge skupine.

Domenske skupine so vidne v celotni domeni in na vseh delovnih postajah, ki so vključene v domeno. Ustvarimo jih lahko samo na domenskem strežniku. S pomočjo domenskih skupin si omogočimo lažjo administracijo vseh računalnikov v domeni. Vsak nov uporabniški račun, ki ga ustvarimo na domenskem strežniku, postane avtomatično član skupine domenskih uporabnikov. Število domenskih skupin ni konstantno, temveč se spreminja glede na servise, ki jih imamo nameščene na strežniku.

V strežniškem sistemu Windows obstajata dve vrsti domenskih skupin:

»Security groups« - so običajne skupine, katerim dodeljujemo dovoljenja in pravice dostopov do virov.

»Distribution groups« - so namenjene programom za pošiljanje elektronske pošte. Če naslovimo distribucijsko skupino, dobijo elektronsko pošto vsi člani skupine. Distribucijsko skupino ne moremo uporabiti za dodeljevanje pravic in dovoljenj.

Domenske skupine ločimo glede na doseg in namen uporabe v tri vrste: domenske lokalne skupine, globalne skupine in univerzalne skupine. Razlika med temi vrstami skupin se pokaže šele, če imamo v gozdu več domen.

Globalne skupine – lahko vsebujejo samo domenske uporabnike in globalne skupine iz domene. Uporabimo jih lahko za določanje pravic v vseh domenah. Vidna je v celotnem gozdu v vseh domenah.

Domenske lokalne skupine - vsebujejo lahko vse uporabnike in skupine iz vseh domen. Uporabimo jih lahko za določanje pravic samo v domeni, v kateri je bila ustvarjena. In vidna je samo v domeni, v kateri je bila ustvarjena.

Univerzalne skupine – lahko vsebujejo vse uporabnike in skupine iz vseh domen. Uporabimo jih lahko za določanje pravic v vseh domenah. Vidna je v celotnem gozdu v vseh domenah.

Zelo pomembna je strategija uporabniških skupin in uporabnikov. Le-ta je odvisna od nivoja varnosti in nadzora, ki ju želimo imeti. Zelo moramo biti pazljivi na pravice posameznih skupin. Pravilna strategija uporabe domenskih skupin igra bistveno vlogo pri administraciji domene. Delo in nadzor si bistveno poenostavimo s pravilnim gnezdenjem skupin. Pri Microsoftu predlagajo postopek A-G-DL-P.

Uporabniški račun (angl. Account) uvrstimo v globalno skupino (angl. Global group), globalno skupino uvrstimo v domensko lokalno skupino (angl. Domain Local Group) in nazadnje domenski lokalni skupini določimo pravice ter dostop do virov (angl. Permission).

Uporabnik dobi pravice s članstvom v privilegirani lokalni skupini. Lahko pa se zgodi, da članstvo v skupini dodeli uporabniku preveč privilegijev, ker se pravice dodelijo v svežnju. Preko »Domain Security Policy« lahko uporabnikom dodajamo posamezne pravice.

3.2 Linux

Linux je večopravilni in večuporabniški operacijski sistem, kar pomeni, da lahko več ljudi hkrati poganja več različnih aplikacij na enem samem računalniku. V sistem se moramo podobno kot v Windowsih prijaviti z uporabniškim imenom in geslom, ki je naš osebni ključ za prijavo v naš račun.

Sistemski administrator na sistemu Linux je imenovan root. Za uporabnika root ni omejitev. Lahko bere, spreminja ali pobriše katerokoli datoteko na sistemu, spreminja dovoljenja in lastništvo katerekoli datoteke in poganja posebne programe, kot so tisti, ki razdelijo trdi pogon ali ustvarijo datotečne sisteme.

Osnovna zamisel tega je, da se oseba, ki skrbi za sistem, prijavi v sistem kot root ter izvaja opravila, ki jih ne bi mogla izvajati kot običajni uporabnik. Ker lahko root naredi karkoli, je mogoče narediti napake s katastrofalnimi posledicami. Če navaden uporabnik nenamenoma poskuša pobrisati vse datoteke v



imeniku /etc., mu sistem tega ne bo dovolil, medtem ko za uporabnik root to ni ovira. Za normalno uporabo ni priporočljivo uporabljati tega uporabniškega računa, saj lahko zaradi neomejenih pravic, hitro storimo kakšno nepopravljivo napako.

Uporabniške račune za ostale uporabnike operacijskega sistema lahko izdela le administrator. Nadzor dostopa se vrši na podlagi pravic, ki jih je administrator dodelil uporabnikom. V sistemu pa obstajajo tudi uporabniki, ki so bili kreirani za točno določene storitve. Tako se recimo ob namestitvi poštnega strežnika (angl. Mail Server) ustvari uporabnik z imenom mail. Uporabniki operacijskega sistema pripadajo eni, lahko pa tudi več uporabniškim skupinam.

Uporabniku pripadajo pravice, ki so določene za skupino, v kateri se nahaja. Koncept uporabnikov in uporabniških pravic je podoben tistemu v operacijskem sistemu Microsoft Windows. Ob kreiranju uporabniškega računa dobi vsak uporabnik tudi svoj imenik v katerem ima dodeljene vse pravice.

3.3 Opis različnih tipov uporabnikov

Ko računalnik uporablja večje število ljudi, je vedno veliko vprašanje glede varnosti sistema in zasebnosti naših datotek, zato se uporabljajo različni uporabniški računi. S tem vsakemu uporabniku zagotavljamo zasebnost glede vseh njegovih datotek s podatki, prav tako pa lahko vsakemu omejimo spreminjanje nastavitev, ki bi vplivale na druge uporabnike.

To dosežemo tako, da vsakemu uporabniku dodelimo svoj uporabniški račun. Navadnim uporabnikom seveda ne dodeljujemo administratorskih pravic, saj bi tako imeli preveč pravic in vpliva na ostale, pa tudi večjim nevarnostim bi bili izpostavljeni (npr. instalacija sistemsko škodljive programske opreme). Najpogosteje uporabimo standarden (navadni) uporabniški račun (odvisno od operacijskega sistema). Vsak uporabnik tako dobi uporabniško ime in geslo s katerim se prijavi v računalnik (oz. omrežje).

Večina uporabnikov dojema uporabnika samo kot ime, vendar se za tem imenom skriva še veliko več. Uporabniški račun je skupek vseh datotek, virov in informacij o uporabniku.

Pod te informacije spadajo podatki o velikosti pomnilnika, ki je dodeljena uporabniku za shranjevanje datotek, podatki o nameščenih aplikacijah, ki jih lahko uporabnik zaganja in ostale pravice, ki mu jih lahko dodelimo.

Ko na domačem računalniku namestimo operacijski sistem moramo takoj ustvariti tudi uporabnika, ki ima vse pravice (administrator). Nato pa lahko vsakemu, ki bo računalnik uporabljal, nastavimo svoj uporabniški račun.

3.3.1 Administrator

Administrator, oz. po slovensko skrbnik, ima popoln nadzor nad sistemom. Ima možnost spreminjanja nastavitev v računalniku, ki vplivajo tudi na druge uporabnike računalnika. Tako ima pravico spreminjati varnostne nastavitve, nameščati in odstranjevati novo programsko in strojno opremo, ima dostop do vseh datotek v računalniku, lahko pa tudi dodaja, briše ali spreminja nastavitve drugih uporabnikov (računov) sistema. Ob namestitvi sistema Windows moramo avtomatsko ustvariti novega uporabnika (administratorja). Če nimamo veliko računalniškega znanja, je priporočljivo da takšne vrste računa ne uporabljamo za vsakdanjo uporabo, ampak le po potrebi. Za večino uporabnikov je priporočljivejši »standardni« račun oz. uporabnik, vsakemu pa želimo določiti minimalno število pravic, ki mu še omogoča delo, ki ga želi opraviti.

3.3.2 Standardni uporabnik

Uporabniku je omogočeno le spreminjanje svojega računa, zaganjanje določenih programov (lahko tudi nameščanje in odstranjevanje), spreminjanje in shranjevanje svojih datotek in spreminjanje nastavitev, ki ne vplivajo na sistem oz. druge uporabnike. Za zaganjanje nekaterih sistemskih programov potrebuje dovoljenje administratorja. Za vsakodnevno uporabo večine ljudi je takšen račun najbolj primeren.



3.3.3 Račun za goste

Račun za goste (angl. Guest Account) je namenjen samo začasnemu dostopu do računalnika. Takšen dostop je zelo omejen. Z njim ne moremo nameščati ali odstranjevati programske opreme, ne moremo spreminjati varnostnih nastavitev, ipd. Da takšen način sploh lahko uporabljamo moramo prej na računalniku vklopiti račun za goste, ki je privzeto izklopljen. Prav tako moramo račun po končani uporabi onemogočiti.

3.3.4 Sistemski uporabnik

Sistemski računi so ustvarjeni zaradi potreb operacij sistemskih komponent, kot so e-poštni računi in sshd računi. Potrebujejo se za točno določene funkcije sistema, in vsake spremembe na njih lahko povzročijo napake pri delovanju sistema.

3.3.5 Navadni uporabnik

Navadni uporabniški računi so namenjeni uporabi računalnika za normalno delo (služba, šola, prosti čas, …). Predstavlja interakcijo človek-računalnik za navadne uporabnike računalnika. Kreiramo jih s pomočjo administratorja, vsak pa ima dodeljen nek prostor, določene omejene pravice in omejen dostop do sistemskih map ter datotek.

Naj še omenimo, da ko namestimo sistem Ubuntu, ki je dokaj razširjena distribucija Linuxa za domačo uporabo, nam ta onemogoči administratorski način in smo lahko samo navadni uporabniki. Če pa želimo uporabljati ukaze, ki spremenijo delovanje sistema, moramo pred vsakim ukazom uporabiti besedo »sudo«, oziroma nas sistem pozove, da ponovno vnesemo administratorsko geslo.

3.3.6 Skupine

Skupina je zbirka uporabniških računov, ki imajo iste varnostne pravice. Včasih jih imenujemo tudi varnostne skupine. Vsak uporabniški račun je lahko član več skupin. Najpogostejši skupini sta seveda administratorska ter skupina navadnih uporabnikov. Po potrebi pa lahko ustvarjamo svoje poljubne skupine (seveda le, če smo administratorji). Prav tako lahko premikamo uporabnike iz ene skupine v drugo, jih brišemo ter dodajamo uporabnike posameznih skupin. Pri ustvarjanju skupine moramo nastaviti varnostne pravice.

3.3.7 Uporabniški profil

Uporabniški profil je skupek nastavitev, ki določajo, kako bo nastavljen izgled računalnika, ko se bo uporabnik prijavil in kako bo potekalo delo z njim. Sem spadajo nastavitve o namizju, ohranjevalniku zaslona, nastavitve glasnosti, ipd. Profil nam omogoča, da se vedno namestijo uporabnikove lastne nastavitve, ko se prijavi na računalnik.

3.4 Upravljanje z uporabniki v okolju Windows

Upravljanje z uporabniki preko uporabniškega vmesnika v Nadzorni plošči. Ko prvič namestimo Windows-e moramo takoj vnesti uporabniško ime in geslo. Tako ustvarimo prvega uporabnika na računalniku. Takšen uporabnik je administrator in ima vse pravice in privilegije na sistemu. S tem računom lahko potem ustvarjamo in urejamo nove uporabnike. Računalnik po navadi uporablja več uporabnikov, v primeru, da smo pa edini, je vseeno priporočljivo narediti nov uporabniški račun za vsakodnevno uporabo, saj se lahko neizkušenemu uporabniku pripeti kakšna »nesreča«, če ima celoten dostop do vseh funkcij sistema. Tudi z nameščanjem nove programske opreme ne bomo imeli težav, saj nas bo Windows le vprašal po prijavi, ki jo uporabljamo za administratorski račun.



3.4.1 Dodajanje uporabniškega računa

1. Dodajanje uporabnika je v sistemu Windows na enem računalniku zelo enostavno. To smo storili v štirih glavnih korakih:

2. V start meniju smo izbrali Nadzorno ploščo, nato pa v njej Uporabniški računi.3. Ko se je odprlo novo okno, smo izbrali Upravljajte drug račun. Vnesti smo morali

administratorsko geslo.4. Nato smo kliknili na Ustvarite nov račun.5. V novem oknu smo izbrali Standardni uporabnik in vnesli ime računa (npr. Janez ali doma,

ipd.). Nato smo potrdili s klikom na Ustvari račun.

Operacijski sistem Windows Vista je večuporabniški sistem. Kar pomeni, da ga lahko uporablja več uporabnikov hkrati, seveda ne istočasno. Enega uporabnika smo že ustvarili ob namestitvi, to je Janez.

1. V nadzorni plošči izberemo Uporabniški računi, nato še enkrat Uporabniški računi. Tu lahko spremenimo nastavitve trenutnega uporabnika. Na desni vidimo sliko in ime uporabnika, vrsto računa.

Vista pozna dve vrsti računov:

Standardni uporabnik, ki lahko uporablja večino programov in spreminja nastavitve sistema, ki ne vplivajo na druge uporabnike ali na varnost računalnika.

Administrator oziroma skrbnik pa ima popoln dostop do računalnika in vseh nastavitev. Preden spreminja nastavitve, ki vplivajo na druge uporabnike, mora predhodno potrditi dejanje.



Vsak sistem torej potrebuje vsaj enega administratorja.

2. Vrsto računa spremenimo tako, da izberemo Spremenite svojo vrsto računa, dejanje potrdimo s klikom na gumb Naprej in izberemo med standardnim uporabnikom in skrbnikom.

Ker imamo trenutno samo en uporabniški račun, mora biti ta skrbniški.

3. Spremenimo lahko svoje geslo, če smo ga ob namestitvi določili.

Izberemo Spremenite svoje geslo, vtipkamo trenutno geslo, vtipkamo novo geslo in ponovno vtipkamo novo geslo, da preverimo, če se slučajno nismo pri vnašanju zmotili.

Geslo razlikuje med velikimi in malimi črkami in to je že en način, kako ustvarimo varnejše geslo, ki je potrebno, da ga nihče ne ugane ali pridobi na drug način. Naše obstoječe geslo »kranjski« je zelo šibko, zato si poglejmo namig za ustvarjanje zapletenega gesla, ki pravi, da ima zahtevno geslo najmanj osem znakov, ne vsebuje uporabniškega imena, pravega imena ali imena podjetja, ne vsebuje celotne besede, je bistveno drugačno od prejšnjih gesel in vsebuje velike črke, male črke, številke in posebne znake. Seveda mora biti tako, da ga potem sami ne pozabimo.

Ali pa ga zapišemo na papir in shranimo na varno mesto.

Vnašanje namiga za geslo ne priporočam, saj ga lahko vidijo vsi uporabniki računalnika.

Spremenimo geslo v »zabav7nik-»

4. Geslo lahko tudi odstranimo, česar zopet ne priporočam, saj bo tako lahko kdorkoli uporabljal naš računalnik.

5. Spremenimo lahko svojo sliko, tako, da izberemo novo.



Operacije, ki označene z barvnim ščitom lahko izvaja samo skrbnik sistema tako, da dejanje predhodno potrdi. Standardni uporabnik mora pred takim dejanjem vnesti skrbniško geslo.

Tako lahko spremeni ime in vrsto računa in upravlja druge račune.

6. Pa ustvarimo še nekaj novih računov. Izberemo lahko Upravljajte druge račune ali pa se vrnemo v meni Uporabniški Računi / Dodajanje ali odstranjevanje.

Tu vidimo račune, ki že obstajajo, administrator Janez in privzet račun za goste, ki je izklopljen.

7. Kliknemo Ustvarite nov račun, izberemo ime in vrsto računa, nato Ustvari račun.

8. Najbolje, da kar takoj ustvarimo geslo za novega uporabnika.9. Če se spomnite sem dejal, da Vista za vsakega uporabnika ustvari osebno mapo in druge

mape za dokumente, slike, glasbo in podobno. Ko smo ustvarili novega uporabnika, bo ta ravno tako dobil svojo osebno mapo in podmape. Do teh datotek drugi uporabniki ne morejo dostopati. Če bi vseeno želeli, da do naših dokumentov dostopajo vsi uporabniki, jih lahko shranimo v mapo Javno ali pa ustvarimo novo mapo nekje na disku.



10. Ko račun izbrišemo, nas bo računalnik vprašal, ali želimo izbrisati tudi te mape in datoteke. (Vir: http://erid.tsckr.si/2/vista_navodila/vaja5.html 22.9.2013).


http://erid.tsckr.si/2/vista_navodila/vaja5.html


3.5 Namestitev operacijskega sistema

Windows 2000 Professional

Preden začnete nameščati Windows 2000, formatirajte razdelek (particijo) v NTFS (angl. New Technology File System) datotečni sistem. Le tako boste lahko zaščitili posamezne datoteke na disku, poleg tega je NTFS hitrejši in zanesljivejši sistem, saj se vam ob morebitnem izpadu elektrike podatki ne bodo uničili.

Med nameščanjem pazite, da boste izbrali slovenske regijske nastavitve vključno s slovenskim kodnim naborom znakov. Prav tako bodite pozorni na pravilni čas in časovni pas, saj je pravilna nastavitev časa nekaj najpomembnejšega za strežnik.

Po namestitvi operacijskega sistema in osebnih prilagoditvah sistema je zelo zaželeno, da namestite tudi najnovejši servisni paketek (Service Pack 4), ki ga dobite na Microsoftovi spletni strani (http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/) ali na Windows Update strani (http://windowsupdate.microsoft.com). Ta prinaša vse najdene razpoke in hrošče v sistemu, ki jih nikoli ne bo zmanjkalo. Poleg tega namestite tudi še novejše popravke, ki prav tako dobite na Windows Update spletni strani. Ko boste namestili tudi vse strežniške komponente, vam priporočam, da defragmentirate celoten razdelek diska, saj boste s tem pridobili na hitrosti nalaganja aplikacij:

Start -> Settings -> Control Panel -> Administrative Tools -> Computer Management -> Storage -> Disk Defragmenter -> izberite pravi razdelek in kliknite "Defragment"

Preden nadaljujemo s pripravo omrežja, nastavimo še majhno optimizacijo operacijskega sistema, tako da bo ta več sredstev namenil programom v ozadju (strežniški programi):

Start -> Settings -> Control Panel -> System, kliknite na jeziček "Advanced" in nato na "Performance Options...". Izberite "Background services" in potrdite.

Kar zadeva osnovnih nastavitev za strežnik je to pravzaprav vse, ostale nastavitve so že kot privzete pravilno nastavljene. Po namestitvi servisnega paketka 4, lahko nastavite tudi samodejno posodabljanje sistema, kar dober strežnik vedno potrebuje:

Start -> Settings -> Control Panel -> Automatic Updates.


http://windowsupdate.microsoft.com/

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/


Windows XP Professional

Windows XP je dober operacijski sistem, ki je sicer posodobljeni Windows 2000 z nekaj dodatnimi funkcijami, lepotnimi okraski, ki strežniku prav nič ne koristijo, ter podporo novejši strojni opremi (npr. hipernitnost). Med novimi funkcijami nekatere za strežnik prav negativno vplivajo (npr. enostavna skupna raba, enostavne varnostne nastavitve, Windows Messenger), zato jih je treba prej izklopiti oz. nastaviti. Nekatere pa olajšalo upraviteljevo delo (npr. samodejna posodobitev, nastavitev točnega časa).

Preden začnete nameščati Windows XP, formatirajte razdelek (particijo) v NTFS (angl. New Technology File System) datotečni sistem. Le tako boste lahko zaščitili posamezne datoteke na disku, poleg tega je NTFS hitrejši in zanesljivejši sistem, saj se vam ob morebitnem izpadu elektrike podatki ne bodo uničili.

Med nameščanjem pazite, da boste izbrali slovenske regijske nastavitve vključno s slovenskim kodnim naborom znakov, v kolikor nimate slovenskega Windows XP. Prav tako bodite pozorni na pravilni čas in časovni pas, saj je pravilna nastavitev časa nekaj najbolj pomembnega za strežnik.

Po namestitvi operacijskega sistema in osebnih prilagoditvah sistema je zelo zaželeno, da namestite tudi najnovejši servisni paketek (Service Pack 1a), ki ga dobite na Microsoftovi spletni strani (http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/) ali na Windows Update strani (http://windowsupdate.microsoft.com). Ta prinaša vse najdene razpoke in hrošče v sistemu, ki jih nikoli ne bo zmanjkalo. Poleg tega namestite tudi še novejše popravke, ki prav tako dobite na Windows Update spletni strani. Ko boste namestili tudi vse strežniške komponente, vam priporočam, da defragmentirate celoten razdelek diska, saj boste s tem pridobili na hitrosti nalaganja aplikacij:

Start -> All Programs -> Accessories -> System Tools -> Disk Defragmenter, izberite pravi razdelek in kliknite "Defragment"

Da bi imeli čim manj komplikacij med delovanjem strežnika, je zaželeno, da izklopite Windows Messengerja, če ne želite, da se povezuje v medmrežje, ter ohranjevalnik zaslona, ki po nepotrebnem jemlje procesorjevo moč.

Preden nadaljujemo s pripravo omrežja, nastavimo še majhno optimizacijo operacijskega sistema, tako da bo ta več sredstev namenil programom v ozadju (strežniški programi):


http://windowsupdate.microsoft.com/

http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/


Start -> Control Panel -> System -> kliknite na jeziček Advanced -> pod Performance kliknite na gumb Settings. V novem oknu kliknite na jeziček Advanced in izberite Background services ter System cache in potrdite.

Kar zadeva osnovnih nastavitev za strežnik je to pravzaprav vse, ostale nastavitve so že kot privzete pravilno nastavljene. Velja omeniti še samodejno posodabljanje sistema, kar dober strežnik vedno potrebuje:

Start -> Control Panel -> System -> kliknite na jeziček Automatic Updates.

3.6 Priprava omrežja

Za normalno delovanje in komuniciranje z medmrežjem (če uporabljamo ADSL) moramo namestiti in nastaviti tudi mrežno kartico.

Vzpostavitev povezave



Najprej namestimo gonilnike za mrežno kartico, ki so ji ponavadi priloženi. Po vsej verjetnosti, je Windows že namestil gonilnike, v kolikor je zaznal njemu znano mrežno kartico. Windows bo za nas samodejno naredil lokalno omrežno povezavo, ki jo lahko podrobneje nastavite, če mislite strežnik vključiti tudi v lokalno omrežje. Da bo omrežje popolno in da bomo imeli povezavo v svet, moramo vzpostaviti tudi ADSL povezavo. To storimo najlaže tako, da iz priloženega CD-ja SiOL ADSL, ki smo ga dobili ob nakupu tega paketa, namestimo program, ki nam povezavo samodejno nastavi. Vse kar moramo še storiti je, da se registriramo na SiOL-ovem strežniku in da povezavo resnično vzpostavimo. Prepričajte se, da povezava deluje.

Požarni zid

Windows 2000 Professional nima vgrajenega požarnega zida. Programski požarni zid za spletni strežnik na žalost ni zastonj, zato nisem preizkusil nobenega. Plačljivih sistemov je veliko, najbolj priljubljena pa sta ZoneAlarm Pro (http://www.zonelabs.com) in Norton Internet Security Professional (http://www.symantec.com).

V Windows XP Professional je programski požarni zid vgrajen. Potrebno ga je le ustrezno nastaviti, če ga želite uporabljati.

Start -> Control Panel -> Network Connections -> desni klik na ADSL povezavo (Local Area Connection 2) -> Properties -> kliknite na jeziček "Advanced" in obkljukajte "Protect my computer and network by limiting or preventing access to this computer from the Internet".



V tem okencu kliknite spodaj desno na gumb "Settings..." in v jezičku "Services" obkljukajte "Web Server (HTTP)". Takoj se bo odprlo novo okno, kamor vpišete IP naslov računalnika (v našem primeru 10.0.0.1) in potrdite.

Pri preizkušanju se uporabi npr. lokalni IP naslov računalnika 192.168.0.2.

Potrdite še ostala dva okenca.

3.7 Namestitev spletnega strežnika

Pri preizkusu smo uporabili strežnik Apache za Windows okolje, različico 1.3.27. Odpravite se na spletno stran organizacije Apache, ki ne razvija samo strežnika, temveč obilo drugih zastonjskih orodij. Povežite se na http://httpd.apache.org in že ste na domači strani strežnika. Od tukaj prenesite strežnik Apache za Windows okolje.



Zaženite namestitveno datoteko in pojavi se čarovnik za namestitev. Brezskrbno kliknite "Next >", preberite licenco, izberite "I accept the terms in the license agreement" in dvakrat kliknite "Next >".

Pojavi se navidez zelo zahtevno pogovorno okno z nastavitvami, katere bomo podrobneje nastavljali v koraku 6. Zato tukaj še ni pomembno, kaj vnesete. Pri okencu Setup Type pustite izbrano Complete ter kliknite "Next >" in nato "Install". Strežnik je sedaj že v teku, ni pa še nastavljen podrobno, a vseeno preverite, če deluje. Ko končate namestitev s klikom na "Finish" gumb, zaženite brskalnik in vnesite naslov http://localhost. Odpreti se vam mora stran Apache strežnika.



Opomba: Stran se vam bo morda zdela čudna, to pa zato, ker strežnik ni prepoznal jezika "sl" (slovenski), ki je nastavljen v brskalniku.

Naslov http://localhost ali http://127.0.0.1 je rezerviran naslov samo za računalnik lokalno, kar pomeni, da se brskalnik nikamor ne poveže, poišče le lasten strežnik, ki je, če je, nameščen na računalniku.

Strežnik Apache lahko kadarkoli zaženete, ponovno zaženete ali zaustavite. Zagon: Start -> Programs -> Apache HTTP Server -> Control Apache Server -> Start Ponovni zagon: Start -> Programs -> Apache HTTP Server -> Control Apache Server ->

Restart Zaustavitev: Start -> Programs -> Apache HTTP Server -> Control Apache Server -> Stop.

3.8 Nastavitev spletnega strežnika

Da bi prilagodili strežnik svojim potrebam, ga moramo primerno nastaviti. Uporabili bomo v domenski imeni podjetje.si in podjetje.com ter IP naslov računalnika: 10.0.0.1.

Ker nastavitve strežnika Apache ne moremo urejati grafično, je potrebno seči po besedilni datoteki (httpd.conf). Odprite jo:

Start -> (All) Programs -> Apache HTTP Server -> Configure Apache Server -> Edit the Apache httpd.conf Configuration File

Datoteko httpd.conf lahko tudi najdete v mapi C:\Program Files\Apache Group\Apache\conf. Najbolje, da jo odprete v Notepadu (Beležnici).

Če boste naleteli na napake in nedelovanje strežnika in dodatkov, si lahko pomagate z error.log datoteko, ki jo strežnik dopolni ob vsaki napaki: Start -> Programs -> Apache HTTP Server -> Review Server Log Files -> Review Error Log.

Osnovne nastavitve

Prva nastavitev, sicer ne kaj dosti pomembna, se nahaja v sekciji 2 nastavitvene datoteke. V vrstici 275 zapišite svoj e-poštni naslov, ki se bo izpisal na straneh, generiranih od strežnika (napake, neznano, nenajdeno ...):

ServerAdmin [email protected]


mailto:[email protected]

Druga nastavitev je ime strežnika, ki bo, tako kot pri prejšnji nastavitvi zapisano na straneh, generiranih od strežnika. Pomembno je, da tukaj napišete pravilno domeno ali IP naslov. Če mislite uporabljati navidezne gostitelje (virtualhosts), potem lahko pred to vrstico vpišete znak za komentar "#".

Vrstico 293 spremenite v:

ServerName www.podjetje.si ali

ServerName www.podjetje.com

Naslednja nastavitev je ključna. Še prej na disku naredite mapo (C:\web_server), kamor boste shranili vse spletne strani. Naredite tudi dve podmapi, imenovani www in cgi-bin. Prva podmapa je namenjena spletnim stranem, druga pa spletnim skriptom (C:\web_server\www in C:\web_server\cgi-bin).

Sedaj pa v vrstico 300 v nastavitveni datoteki zapišite pot www mape, ki ste jo ustvarili: DocumentRoot "C:/web_server/www"

S to vrstico smo nastavili mapo prve strani, ki se bo prikazala gostu.

V vrstici 325 tudi nastavimo isto pot mape:

<Directory "C:/web_server/www">

Vse, kar je napisano med <Directory "C:/web_server/www"> in </Directory> so varnostne in druge nastavitve, ki veljajo za mapo C:\web_server\www, kadar se promet steka prek strežnika.

Spremenili bomo samo Options ukaz v vrstici 334, tako da bomo izbrisali argument Indexes. Argument Indexes pomeni, da nam strežnik izpiše seznam datotek in map v osnovni mapi, če spletne strani ni našel. Tega pa na našem strežniku nočemo, ker je privatni.

Vrstica 334 mora sedaj izgledati takole:

Options FollowSymLinks MultiViews

V vrstici 359 se nahaja ukaz UserDir, ki nam omogoča uporabo več spletnih uporabnikov na strežniku, ki imajo svoje spletne strani, vsak v svoji mapi. Tega verjetno ne potrebujemo, zato bomo to funkcijo izklopili. Da bi to naredili učinkoviteje, je najbolje, da izklopimo modul namenjen temu ukazu. Ukaz za modul se nahaja v sekciji 1, vrstici 223, kjer pred ukazom AddModule mod_userdir.c zapišemo znak za komentar: #AddModule mod_userdir.c

Vrnimo se v vrstico 384, kjer lahko nastavimo privzeta imena spletnih datotek, ki se naj samodejno prikažejo, ne glede na to, da jih nismo neposredno zahtevali. Če v brskalniku zahtevamo stran http://www.podjetje.si bo strežnik samodejno pokazal stran, ki ima v mapi C:\web_server\www datoteko index.html. Tako nam ni treba v naslovu brskalnika pisati http://www.podetje.si/index.html. Če želite in če potrebujete, lahko zraven ukaza DirectoryIndex dodate privzete datoteke kot so index.htm, main.htm, main.html, default.htm idr.:

DirectoryIndex index.html index.htm main.html main.htm default.htm.

V našem primeru je dovolj če nastavitev pustimo privzeto: DirectoryIndex index.html

Sedaj bomo nastavili podstrani, tako da bomo, na primer, z naslovom http://www.podjetje.si/izdelki prišli na spletno datoteko, ki se nahaja v mapi C:\web_server\www\izdelki.


http://www.podjetje.com/

http://www.podjetje.si/

Še prej pa moramo izključiti podstrani, ki jih je strežnik že ob namestitvi nastavil zase. Te strani so namenjene dokumentaciji, ki ste jo namestili s strežnikom, le-to pa ne bomo kazali vsakemu obiskovalcu.

V vrsticah 579, 581-586, 592, 594-599, 609, 615-620 dodajte znake za komentar, ali pa jih zbrišite:

#Alias /icons/ "C:/Program Files/Apache Group/Apache/icons/"

#<Directory "C:/Program Files/Apache Group/Apache/icons"># Options Indexes MultiViews# AllowOverride None# Order allow,deny# Allow from all#</Directory>

# This Alias will project the on-line documentation tree under /manual/# even if you change the DocumentRoot. Comment it if you don't want to # provide access to the on-line documentation.##Alias /manual/ "C:/Program Files/Apache Group/Apache/htdocs/manual/"

#<Directory "C:/Program Files/Apache Group/Apache/htdocs/manual"># Options Indexes FollowSymlinks MultiViews# AllowOverride None# Order allow,deny# Allow from all#</Directory>

## ScriptAlias: This controls which directories contain server scripts.# ScriptAliases are essentially the same as Aliases, except that# documents in the realname directory are treated as applications and# run by the server when requested rather than as documents sent to the client.# The same rules about trailing "/" apply to ScriptAlias directives as to# Alias.##ScriptAlias /cgi-bin/ "C:/Program Files/Apache Group/Apache/cgi-bin/"

## "C:/Program Files/Apache Group/Apache/cgi-bin" should be changed to whatever your ScriptAliased# CGI directory exists, if you have that configured.##<Directory "C:/Program Files/Apache Group/Apache/cgi-bin"># AllowOverride None# Options None# Order allow,deny# Allow from all#</Directory>

Sedaj pa tukaj nekje vmes zapišite vrstico: Alias /izdelki "C:/web_server/www/izdelki"

Osnovne nastavitve strežnika so tako nastavljene. Shranite nastavitveno datoteko in ponovno zaženite strežnik:

Start -> (All) Programs -> Apache HTTP Server -> Control Apache Server -> Restart

Če ste vse pravilno naredili, se mora strežnik ponovno zagnati brez kakršnihkoli opozoril. Da boste lahko karkoli preizkusili, naredite še mapo izdelki v mapi C:\web_server\www. Nato pa prenesite spletne strani, če jih seveda že imate v mapi C:\web_server\www in C:\web_server\www\izdelki.

Sedaj pa preizkusite dosedanje nastavitve tako, da odprete brskalnik in vpišite http://localhost/. Prikazati se vam mora spletna stran iz datoteke index.html, ki je v mapi C:\web_server\www, če seveda obstaja. Če v naslovno vrstico brskalnika vpišete http://localhost/izdelki/ se mora odpreti spletna datoteka index.html, ki se nahaja v mapi C:\web_server\www\izdelki, če seveda obstaja.

Tako, upam, da ste sedaj spoznali osnovne datotečne zadeve in naslove. Seveda si lahko datoteke in mape nastavljate kakor želite. Lahko dodate več Alias ukazov in argumentov tudi na druge mape (npr. Alias /pomoc "C:/Program Files/Apache Group/Apache/htdocs"), vendar je zaželeno, da tem mapam nastavite varnostne in druge nastavitve (<Directory "C:/Program Files/Apache Group/Apache/htdocs"> [nastavitve] </Directory>).

Kakor ste verjetno že opazili, Windows okolje uporablja znak \ (angl. Backslash) za delitev map. Linux operacijski sistem uporablja znak / (angl. Slash). V nastavitvah strežnika lahko uporabite oba.

Napredne nastavitve (navidezni gostitelj)

Naslednja stvar, ki se nas tiče, so navidezni gostitelji (angl. virtualhosts). Če želimo, da nas naslova http://www.podjetje.si in http://www.podjetje.com vodita na isti računalnik in celo isti strežnik, moramo uporabiti VirtualHost nastavitev.

Ta nastavitev se nahaja v sekciji 3, na koncu nastavitvene datoteke. Ukazu #NameVirtualHost * zbrišite znak "#" in namesto znaka "*" zapišite IP naslov vašega računalnika:

Nastavitev navideznega gostitelja nisem uporabil, ker nimam več domen ali več IP naslovov.

NameVirtualHost 10.0.0.1

Čisto na koncu nastavitvene datoteke dodajte:

<VirtualHost 10.0.0.1> ServerName www.podjetje.si DocumentRoot "C:/web_server/www/"</VirtualHost>

<VirtualHost 10.0.0.1> ServerName www.podjetje.com DocumentRoot "C:/web_server/www/"</VirtualHost>

IP naslov računalnika (10.0.0.1) se mora ujemati v vseh treh ukazih. Ukaz ServerName je pomemben, saj tako strežnik razbere, katera domena je bila zahtevana. Ukaz DocumentRoot poskrbi za spletno stran v določeni mapi.

Med <VirtualHost></VirtualHost> je možno zapisati praktično vse ukaze iz sekcije 2 nastavitvene datoteke (npr. ServerAdmin, DocumentIndex ...) in tako natančno določiti nastavitve posameznih domen.

Navidezni gostitelj se lepše odreže, kadar imamo posebne primere, npr. ko imamo več domen, ki kažejo vsaka na drugo spletno stran oz. mapo. Tako lahko ustvarimo posebne strani ali celo več različnih spletnih mest s popolnoma različnimi domenami na enem računalniku, na enem strežniku z enim IP naslovom. Če, na primer, gostujemo spletno stran www.organizacija.si dodamo naslednje vrstice:


http://www.organizacija.si/

<VirtualHost 10.0.0.1> ServerName www.organizacija.si DocumentRoot "C:/web_server/www/organizacija/" ServerAdmin [email protected]</VirtualHost>

Pri tem mora biti domena www.organizacija.si registrirana.

Lahko pa npr. gostujemo stran kar z eno domeno. S tem bi prihranili denar, ki bi bil potreben za registracijo domene, dodamo le novo domeno pri ponudniku primarnega in sekundarnega domenskega strežnika.

Recimo, da bomo gostili domačo stran prijatelja z naslovom http://prijatelj.podjetje.si. Dodajmo vrstice:

<VirtualHost 10.0.0.1> ServerName prijatelj.podjetje.com DocumentRoot "C:/web_server/www/prijatelj/" <Directory "C:/web_server/www/prijatelj/"> Options +Indexes </Directory></VirtualHost>

V tem primeru smo prijatelju dodelili tudi možnost vpogleda map kar iz brskalnika z ukazom Options +Indexes.

3.9 Dodatne spletne aplikacije za spletni strežnik (SSI, CGI Perl, PHP, ASP)Z SSI-jem lahko razširite osnovno zmožnost spletnih strani.

3.9.1 SSI

SSI (angl. Server Side Includes) je dodateka, vgrajen v strežnik Apache, ki omogoča nekaj aktivnosti na spletni strani. "Nekaj" zato, ker pozna le nekaj ukazov, ki so dovolj zmogljivi, da se nam ni potrebno ozirati po večjih, veliko zmogljivejših in s tem počasnejših skriptnih jezikih, kot sta npr. Perl in PHP. SSI nam omogoča vstavljanje ene datoteke v drugo, prikaz velikosti datoteke in datum, ko je bila datoteka zadnjič spremenjena; prikaz časa in datuma in dodatno poljubno zaganjanje skriptnih datotek (prek CGI). Posledice vseh teh ukazov se pokažejo na spletni strani, ki je programirana z ukazi SSI. Da bi takšna spletna stran delovala moramo le malo pošariti po nastavitveni datoteki Apache strežnika:


Datoteko httpd.conf lahko tudi najdete v mapi C:\Program Files\Apache Group\Apache\conf. Najbolje, da jo odprete v Notepadu (Beležnici). Če ste namestili strežnik različice 1.3.27 potem vam naslednje nastavitve ni potrebno nastavljati, ker je že. Vseeno, bodite prepričani, da je modul za SSI vklopljen. V sekciji 1, V vrstici 214: AddModule mod_include.c.


http://www.organizacija.si/

Sedaj se morate odločiti, kakšno končnico bodo imele vaše SSI datoteke s spletno vsebino. Priporočam vam, da imajo le-te končnico .shtml. Če bi se odločili za standardno končnico (.html), vedite, da bi strežnik za vsako spletno datoteko (s končnico .html) preverjal SSI ukaze, ki jih verjetno sploh ne bi imele. V našem primeru bo SSI ukaze strežnik iskal samo v datotekah s končnico .shtml. To nastavite enostavno tako, da v sekciji 2 nastavitvene datoteke (v mojem primeru v vrstici 832 in 833) izbrišete znak za komentar "#":

AddType text/html .shtmlAddHandler server-parsed .shtml

V naslednjem koraku, zadnjem, moramo nastaviti samo še dovoljenja - v kateri mapi dovolimo izvajati SSI ukaze. Imamo dva ukaza za to: Includes in IncludesNoExec. Pri zadnjem ni dovoljeno izvajati exec ukaza, ki kliče zunanje skripte (prek CGI). Recimo, da želite imeti v mapi C:\web_server\www\cas spletno datoteko, ki bo prikazala v brskalniku trenutni čas in datum. Zanjo zapišete dovoljenje (najbolje, kar pri ukazih Alias - sekcija 2, vrstica 600):

<Directory "C:/web_server/www/cas"> Options +IncludesNoExec</Directory>

Priporočam, da ne uporabljate Includes ukaza, ki dovoljuje CGI skriptiranje, ker je potencialno zelo nevarno. Shranite nastavitveno datoteko in ponovno zaženite spletni strežnik:


Sedaj naredite testno stran. Naredite novo mapo cas v mapi C:\web_server\www in v njej datoteko cas.shtml. V njo zapišite naslednje vrstice (najbolje kar v Notepadu):

<html><head><title>Trenutni cas</title></head>

<body> </body></html>

Odprite brskalnik in pojdite na naslov: http://localhost/cas/cas.shtml. Prikazati se vam mora spletna stran z zapisanim današnjim datumom in trenutnim časom, seveda, če ste vse pravilno naredili.


Če boste imeli veliko spletnih strani z SSI ukazi, potem lahko nastavite tudi privzeto datoteko, recimo index.shtml. V vrstici 384 nastavitvene datoteke (httpd.conf) dopišite index.shtml. V našem primeru:

DirectoryIndex index.html index.shtml

Shranite nastavitveno datoteko in ponovno zaženite spletni strežnik:


Sedaj preimenujte datoteko cas.shtml v index.shtml in v brskalniku vpišite naslov http://localhost/cas/. Prikazati se vam mora ista spletna stran.

3.9.2 CGI in Perl

Eden od programskih jezikov, ki so namenjeni za komunikacijo prek CGI-ja, je najbolj popularni Perl (angl. Practical Extraction and Report Language). Perl je podoben jeziku C++, a ima nekaj svojih posebnosti. Komunikacija med uporabnikom, računalnikom in zaslonom je z njim izjemno lahka.

CGI (angl. Common Gateway Interface) je standardni vmesnik za prehode, ustvarjen za enolično komuniciranje med različnimi sistemi.

Danes ima večina strežnikov nameščen prevajalnik in izvajalnik (tolmač) za Perl, saj je zelo koristen pri dinamični vsebini spletnih strani (pošiljanje sporočil, govorilnice, knjige gostov ...). Namestili ga bomo tudi mi. Ker strežnik Apache ne vsebuje Perla, ga moramo najprej prenesti iz spletnih strani. Zastonjsko različico najdete na http://www.activestate.com spletni strani, paket pa se imenuje ActiveState ActivePerl, trenutna namestitvena datoteka je različice 5.8.0 in je velika 11,5 MB.


http://www.activestate.com/


Prenesite namestitveno datoteko in jo zaženite. Pri prvem oknu kliknite Next >.Preberite, sprejmite licenco in ponovno kliknite Next >.

Pri naslednjem okencu (angl. Custom Setup) je najbolje, da pustite vse privzeto nastavljeno in kliknete Next >.

Pri naslednjih dveh okencih je tudi najbolje, da kar kliknete Next >.Kliknite Install, da se namestitev prične. Po končani namestitvi še kliknite Finish.

Sledi nastavitev osnovnih nastavitev, da bo strežnik vedel, da gre za CGI skript. Odprite nastavitveno datoteko strežnika:


Datoteko httpd.conf lahko tudi najdete v mapi C:\Program Files\Apache Group\Apache\conf.

Najbolje, da jo odprete v Notepadu (Beležnici). Tukaj je nastavitev silno malo, je pa zato več dela s samimi skripti, saj moramo poznati Perl programski jezik. Vse, kar je treba nastaviti, so samo dovoljenja nekaterim mapam. Pred prvimi nastavitvami strežnika, smo naredili v mapi C:\web_server mapo cgi-bin. Ker bomo imeli dobro organiziran strežnik, jo bomo uporabili za vse CGI skripte. S tem bomo naredili velik varnostni korak. V sekciji 2 nastavitvene datoteke se sprehodite približno v vrstico 600, kjer smo že zapisali Alias ukaz(e). Važno je, da tukaj zapišete naslednje: ScriptAlias /cgi-bin "C:/web_server/cgi-bin"


S tem smo uredili naslov za mapo za skripte. Sedaj moramo še nastaviti dodatno dovoljenje za to mapo, ki pove strežniku, da lahko v tej mapi zaganja Perl programe. To storimo že z znanimi ukazi, ki jih vpišemo kar pod ScriptAlias ukazom:

<Directory "C:/web_server/cgi-bin"> Options +ExecCGI</Directory>

Z argumentom ExecCGI smo v mapi C:\web_server\cgi-bin in v podmapah dovolili izvajanje CGI skriptov.

Nastavitveno datoteko shranite in ponovno zaženite strežnik:

Start -> (All) Programs -> Apache HTTP Server -> Control Apache Server -> Restart.

Da bi vse skupaj preverili, bo potrebno narediti preprost CGI skript, napisan v Perlu. Najbolje da v Notepadu zapišete spodnje ukaze in jih shranite v datoteko pozdrav.pl (končnica .cgi je tudi veljavna) v mapo C:\web_server\cgi-bin.

#!C:\Perl\bin\perl.exe# klic Perl tolmača

$beseda = "Pozdrav"; # spremenljivka z vrednostjo Pozdrav

# izpisprint "Content-type: text/html\n\n";print "<html>";print "<head>\n<title>Skriptni pozdrav</title>\n</head>\n";print "<body>\n$beseda!\n"; # izpis vrednosti spremenljivke $besedaprint "</body>\n</html>";

exit; # izhod

Opomba: Prva vrstica vsakega Perl skripta mora vsebovati pot do tolmača Perla. Za znakoma "#!" je potrebno zapisati pot do njega. Nahaja se v mapi bin, kamor smo namestili ActivePerl paket.

Nasvet: Po prvem ponovnem zagonu bo računalnik samodejno prepoznal pot do perl.exe tolmača, zato lahko v prvi vrstici zapišemo samo #!perl, kar je veliko bolj smotrno.

Ko ste program zapisali in shranili v mapo C:\web_server\cgi-bin z imenom pozdrav.pl, lahko vso zadevo preizkusite. Odprite brskalnik in poiščite naslov http://localhost/cgi-bin/pozdrav.pl.

V brskalniku se vam mora izpisati pozdrav.


http://localhost/cgi-bin/pozdrav.pl


Dodatek: Če želite za posamezne spletne strani, ki smo jih definirali z ukazom Alias narediti samostojen naslov za skripte, le dodajte ukaz:

ScriptAlias /izdelki-cgi "C:/web_server/cgi-bin/izdelki"

Sedaj bo vsak, ki bo zahteval naslov http://www.podjetje.si/izdelki-cgi/pozdrav.pl na strežniku zagnal skript pozdrav.pl v mapi C:\web_server\cgi-bin\izdelki.

E-pošta

Veliko strežnikov ima možnost pošiljanja in sprejemanja elektronskih sporočil. To nam omogoča, da pošljemo kakšno sporočilo obiskovalcu spletnih strani (ob prijavi, ob nakupu, ob stiku). S strežnikom Apache je to v Windows operacijskem sistemu malce oteženo. Če želimo imeti poštni strežnik, ga moramo obvezno kupiti ali dobiti preizkusno različico, ki bo delovala 30 dni, poleg tega nimamo veliko izbire. Takšen poštni strežnik je tudi SendMail, ki ga dobite na spletnih straneh http://www.indigostar.com. Namestitvena datoteka je velika 1 MB, deluje pa zelo podobno kot sendmail program v Linuxu.

3.9.3 PHP

Da bi uporabljali aktivno spletno vsebino, moramo uporabiti Perl ali PHP. PHP (trenutno tričrkovni rekurzivni akronim za »PHP Hypertext Preprocessor«, izvirno pa »Personal Home Page Tools« – orodja za osebno spletno stran) je razširjen odprtokodni programski jezik, ki se uporablja za strežniške uporabe oziroma za razvoj dinamičnih spletnih vsebin. Lahko ga primerjamo z Microsoft-ovim ASP/VBScript/JScript sistemom, Sun Mycrosystem-ovim JSP/Java sistemom in CGI/Perl sistemom.

PHP je programski jezik, temelječ na C-ju, ki je za dinamične spletne vsebine izredno dobro pripravljen. Zasnovan je tako, da ko strežnik ugotovi, da gre za PHP skript, ga prepusti PHP programu, ki skript prevede in izvede ter pošlje brskalniku ustrezno vsebino. Tudi tukaj je potrebna namestitev dodatnega programa in nastavitev. Najprej prenesimo PHP tolmač iz spletne strani http://www.php.net. Velikost namestitvene datoteke različice npr. 4.3.0 je točno 1 MB.

PHP je bil napisan kot skupina CGI programov v programskem jeziku C. Napisal ga je dansko kanadski programer Rasmus Lerdorf leta 1994, da bi zamenjal nekaj skript napisanih v Perlu, ki jih je uporabljal za upravljanje svoje spletne strani.

Lerdorf je sprva napisal PHP, da bi prikazal svoj življenjepis in hkrati zajemal podatke obiskovalcev strani. Tako je 8. julija 1995 izdal “Personal Home Page Tools”, zatem ko ga je združil z svojim interpretorjem za spletne obrazce (PHP/FI).


http://www.php.net/

http://www.indigostar.com/


Ko ste uspešno prenesli namestitveno datoteko, jo zaženite. Odpre se Welcome okno. Kliknite Next >, nato I Agree. Pustite privzeto Standard namestitev in kliknite Next >.

Naslednje okno (angl. Choose Destination Folder) tudi pustite nespremenjeno in kliknite Next >.


Naslednje okno Mail Configuration je bolj kočljivo. Če ste namestili poštni strežnik, le vpišite pravilne vrednosti. Če poštnega strežnika nimate nameščenega, pustite nedotaknjeno in kliknite Next >.

Pri naslednjem oknu Server Type izberite "Apache" in kliknite "Next >".

Še enkrat kliknite "Next >". Po končani namestitvi še dvakrat kliknite "OK".

Sedaj je čas, da nastavimo spletni strežnik, da bo prepoznal PHP skripte. Odprite nastavitveno datoteko strežnika:

Start -> (All) Programs -> Apache HTTP Server -> Configure Apache Server -> Edit the Apache httpd.conf Configuration File.

Datoteko httpd.conf lahko tudi najdete v mapi C:\Program Files\Apache Group\Apache\conf. Najbolje, da jo odprete v Notepadu (Beležnici). Vse, kar moramo nastaviti, je pot do PHP tolmača in vrsta končnice, ki jo uporabljajo PHP skripti. Datoteke s PHP skripti imajo po navadi končnice .php, .php3 ali .php4. Uporabili bomo univerzalno, .php. V nastavitveni datoteki strežnika vpišite v sekciji 2 (v mojem primeru v vrstici 844):

ScriptAlias /php_program "C:/php/"AddType application/x-httpd-php .phpAction application/x-httpd-php "/php_program/php.exe"



Če želite preizkusiti PHP skriptiranje, naredite datoteko info.php in jo shranite v mapo C:\web_server\www\php. V datoteko info.php zapišite:

<?php // začetek PHP kodephpinfo(); // ukaz, ki izpiše informacije o PHP tolmaču?> // konec PHP kode

Odprite brskalnik in poiščite naslov http://localhost/php/info.php. Odpreti se vam mora stran z vsemi podatki o PHP tolmaču.


Opomba: Podite pozorni, da ne boste uporabljali mape z imenom php_program, ker lahko pride do konflikta med PHP tolmačom in strežnikom. Če boste imeli veliko spletnih strani s PHP skripti, lahko nastavite tudi privzeto datoteko, recimo index.php. V vrstici 384 nastavitvene datoteke (httpd.conf) dopišite index.php. V našem primeru: DirectoryIndex index.html index.shtml index.php



Sedaj preimenujte datoteko info.php v index.php in v brskalniku vpišite naslov http://localhost/php/. Prikazati se vam mora ista spletna stran.

3.9.4 ASP

ASP (angl. Active Server Pages) je prav tako programski jezik, namenjen dinamičnim spletnim stranem. Je striktno Microsoftova tehnologija, s katero je želel uveljaviti aktivne spletne strani tudi na Windows strežnikih, ko še tehnologiji PHP in Perl nista bili nared zanj. S tem pa si je Microsoft zagotovil, da ASP skripti tečejo le na Windows strežnikih s priloženim strežnikom IIS (angl. Internet Information Services). ASP lahko uporabljate samo na Microsoftovem IIS strežniku. Ker strežnika IIS ne bomo postavljali, nam ne preostane nič drugega, kot da ne zagotovimo izvajanja ASP aktivnih spletnih strani.



3.10 Namestitev in nastavitev podatkovne baze MySQL

Da bi bil strežnik še bliže popolnemu, potrebujemo zanj tudi dodatek, ki bo vodil podatkovne baze na računalniku in jih postregel v taki in drugačni obliki spletnemu obiskovalcu. Poleg spletnega strežnika Apache bomo namestili MySQL strežnik za podatkovno bazo.

Odpravite se na spletno mesto http://www.mysql.com, kjer boste našli MySQL namestitveni paket. Namestitveni paket je v stisnjeni (ZIP) obliki, zato boste potrebovali tudi ZIP program (npr. WinZip, v Windows XP je že vgrajen). Trenutna različica 3.23.55 je velikosti 13,3 MB.

Prenesite namestitveni paket ter zaženite namestitev. Odpre se Welcome okno. Kliknite "Next >".Pri oknu Information kliknite "Next >".

Okno Choose Destination Location pustite nespremenjeno in kliknite "Next >".Pri naslednjem oknu Setup Type pustite Typical nastavitev ter kliknite Next >.Namestitev se začne. Na koncu še kliknite Finish.


http://www.mysql.com/


Namestitev se je tiho končala. Sedaj moramo sami postoriti najnujnejše. Odpravite se v mapo C:\mysql\bin in zaženite program winmysqladmin.exe. Zažene se WinMySQLadmin Quick Setup in hkrati MySQL strežnik. V oknu WinMySQLadmin Quick Setup vpišite uporabniško ime in geslo, s katerima boste nadalje dostopali do nastavitve baze in podatkov. To je v bistvu vse. MySQL strežnik bo sedaj vedno navzoč ob vsakem zagonu računalnika. Do baz lahko direktno dostopate prek SQL in MySQL ukazov, tako da zaženete C:\mysql\bin\mysql.exe program.

Naslednja faza je nekoliko bolj zapletena. Namreč, treba je namestiti poseben modul v Perl tolmač, da bo ta znal uporabljati MySQL baze. Pri tej fazi bodite povezani v medmrežje, ker se bodo s posebnim programom prenašali podatki iz spleta. Zaženite Perl Package Managerja:

Start -> (All) Programs -> ActiveState ActivePerl 5.8 -> Perl Package Manager

Odpre se besedilno okno. Vanj vpišite "install DBI" in potrdite: ppm> install DBI. Počakajte nekaj trenutkov, da program prenese in namesti zahtevan paket.

Po uspešnem prenosu in namestitvi, ko se prikaže sporočilo "Successfully installed DBI version 1.34 in ActivePerl 5.8.0.804", vpišite še "install DBD-mysql" in potrdite: ppm> install DBD-mysql

Počakajte nekaj trenutkov, da program prenese in namesti zahtevan paket. Po uspešnem prenosu in namestitvi, ko se prikaže sporočilo "Successfully installed DBD-mysql version 2.1026 in ActivePerl 5.8.0.804", smo Perl pripravili za delovanje v MySQL bazi.


Preverimo še, če komunikacija med Perlom in MySQL podatkovno bazo deluje. Ustvarite mysql.pl datoteko v mapi C:\web_server\cgi-bin. V datoteko mysql.pl zapišite:

#!perl# klic Perl tolmača (po ponovnem zagonu računalnika)

$host = "localhost"; # gostitelj (lokalni računalnik)$database = "mysql"; # ime podatkovne baze ("mysql")

use Mysql; # naloži modul za komunikacijo z MySQL bazo$dbh = Mysql->connect($host, $database); # poveže se v bazo@array = $dbh->listtables; # v polje naloži vse tabele iz baze

# izpisprint "Content-type: text/html\n\n";print "<html>";print "<head>\n<title>MySQL baza</title>\n</head>\n";print "<body>\n@array\n";print "</body>\n</html>";

exit;

Poženite Perl skript z brskalnikom prek naslova http://localhost/cgi-bin/mysql.pl. Če strežnik MySQL deluje in če ste vse pravilno naredili, se vam morajo izpisati vse tabele v podatkovni bazi "mysql".

Vir: http://www.tinelstudio.net/index.php?board=ucilnica&doc=apache&part=predgovor 24.9.2013)


http://www.tinelstudio.net/index.php?board=ucilnica&doc=apache&part=predgovor


4. DIGITALNI PODPISIDigitalni podpis je podatkovni niz v digitalni obliki, namenjen zagotavljanju pristnosti in /ali porekla podatkov.

Digitalni podpis je majhna količina podatkov, ki predstavlja povzetek dokumenta narejenega z zgostitvenim (hash) algoritmom šifriran z avtorjevim zasebnim ključem po asimetričnem algoritmu. Pošiljatelj torej izračuna povzetek dokumenta z zgostitvenim algoritmom. Podpis naredi tako, da povzetek šifrira s svojim zasebnim ključem. Nato odpošlje dokument, ki mu priloži podpis. Naslovnik z javnim ključem pošiljatelja dešifrira podpis in dobi povzetek. Nato izračuna povzetek dokumenta z istim zgostitvenim algoritmom kot pošiljatelj. Če se ujemata, pomeni, da je dobil tak dokument, kot ga je pošiljatelj podpisal oz. poslal. Digitalni podpis torej omogoča prejemniku informacije overjanje njenega izvora in celovitosti sporočila. Kljub veliki varnosti, ki jo omogoča tak sistem, se pojavi še en bistven problem. Ali lahko verjamemo, da je pošiljatelj ali pa prejemnik res tisti, za kogar se izdaja? Kako naj vemo, da ni nekdo ponaredil (na primer) javnega ključa našega naslovnika? Ta problem rešujejo digitalna potrdila.

Digitalni podpis je postopek, ki temelji na kombinaciji asimetričnih algoritmov in funkcije zgoščevanja. Ker pri podpisovanju ne gre primarno za zaščito vsebine pred vpogledom, temveč predvsem za povezavo podpisnika z vsebino in zaščito vsebine pred spreminjanjem, sam proces temelji na izdelavi prstnega odtisa podatkov. Pri digitalnem podpisovanju gre torej za dva temeljna koraka. Najprej je treba vhodni niz spustiti skozi zgoščevalno funkcijo, ki nam kot rezultat predloži enoličen prstni odtis. Ta prstni odtis je treba pred pošiljanjem zaščititi z asimetričnim šifriranjem. Prstni odtis torej šifriramo z zasebnim ključem, saj je sam digitalni podpis predmet preverjanja poljubnega prejemnika. To opravimo z uporabo pošiljateljevega javnega ključa. Prejemniku tako pošljemo poleg informacije o uporabljenem algoritmu čistopis (dokument) in šifriran prstni odtis (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

Namenjen je dokazovanju verodostojnosti sporočila in istovetnosti njegovega avtorja. Prejeto sporočilo je sigurno od podpisanega pošiljatelja. Digitalni podpis je pravno veljaven, kot lastnoročni podpis. Še ene lastnosti sporočila z digitalnim podpisom ne smemo prezreti: prebere ga lahko kdorkoli, ki sporočilo ima.

Slika 43: Digitalni podpis

Vir: www.google.com


http://www.google.com/

http://www.monitor.si/clanek/informacijska-varnost/


Danes se ogromno dokumentov ne prenaša več v tiskani obliki, temveč samo v elektronski. Na dokumentih ni žiga in podpisa. Kako doseči to, kar pripisujemo običajnemu podpisu in pečatu na papirnem dokumentu, za datoteke? Elektronskih dokumentov ni težko kopirati, spreminjati, preimenovati, spremeniti datum nastanka in drugih atributov. Rešitev je digitalni podpis. Digitalni podpis (angl. Digital Signature) mora zagotavljati:

avtentičnost (verjamemo, da je podpisnik res tisti, za kogar se proglaša), podpisa se ne da ponarediti, podpisa se ne da kopirati, podpisanega dokumenta se ne da spremeniti, podpisa se ne da zanikati (podpisnik ne more reči, da ni on podpisal dokumenta).

Digitalni podpis predstavlja mehanizem za ugotavljanje verodostojnosti sporočila in hkrati tudi istovetnosti njegovega avtorja. Avtorju digitalnega podpisa omogoča, da sporočilo lahko opremi z dodatkom - podpisom, ki ga lahko izdela le on. Digitalni podpis se sporočilu lahko samo doda ali pa se vgradi v samo sporočilo.

Zasledimo pojma elektronski in digitalni podpis. Med njima obstaja velika razlika. Elektronski podpis pomeni kakršnekoli oznake, narejene z elektronskimi mediji, z namenom, da označijo nek dokument ali datoteko. Digitalni podpis pa je elektronski podpis, narejen z uporabo kriptografije.

4.1 Izdelava in uporaba digitalnega podpisaZa izdelavo digitalnega ključa običajno uporabljamo asimetrične algoritme – datoteko podpisnik zašifrira s svojim zasebnim ključem. Dešifrira jo lahko vsak, ki pozna njegov javni ključ, in to se šteje kot preverjanje podpisa. Ker pa bi bilo šifriranje dolgih datotek z asimetričnim algoritmom prepočasno, pri digitalnem podpisovanju najprej naredimo povzetek (angl. Hash) datoteke z zgoščevalno funkcijo in samo tega zašifriramo z zasebnim ključem. Prednost tega je tudi to, da tak podpis lahko dodamo nešifrirani datoteki.

Pošiljatelj torej izračuna povzetek dokumenta z zgostitvenim algoritmom. Podpis naredi tako, da ta povzetek zašifrira s svojim zasebnim ključem. Odpošlje dokument, ki mu priloži podpis. Naslovnik z javnim ključem pošiljatelja dešifrira podpis, dobi povzetek. Ponovno izračuna povzetek pisma z istim zgostitvenim algoritmom kot pošiljatelj. Če se ujemata, pomeni, da je dobil tak dokument, kot ga je pošiljatelj podpisal. Poleg tega imamo na izbiro: dokument lahko zašifriramo (z naslovnikovim javnim ključem) ali pa tudi ne.

Slika 44: Delovanje digitalnega podpisa

Vir: www.google.comNajbolj pogosto se uporablja kombinacija SHA–1 z RSA, kot je to določeno v standardu PKCS#1.

Kadar gre za dokumente, ki se ne smejo večkrat uporabiti (npr. čeke - naslovnik bi jih lahko večkrat unovčil), mora biti del podpisa tudi časovni žig (angl. Timestamp). To omogoča kontrolo kopiranja in


http://www.google.com/


lažje razčiščevanje ob morebitnih sporih. Tak podpis lahko nastane samo na računalniku, ki je časovno sinhroniziran z neodvisnim časovnim strežnikom.

Kljub vsemu bi še obstajala možnost, da nekdo ponaredi javni ključ. To možnost pa izključujejo digitalna potrdila javnih ključev. Digitalno potrdilo javnega ključa (angl. Public–Key Certificate) je javni ključ in informacija o njegovem lastniku, ki ju digitalno podpiše oseba ali institucija, ki ji zaupamo.

Rešitev predstavljajo overitelji javnih ključev – certifikatske ustanove (angl. Certification Authorities, CA).

Uporabnik lahko uporablja isti par ključev za podpisovanje in za šifriranje podatkov. Vendar pa to ni dobro iz naslednjih razlogov: zasebni ključ, ki ga uporablja za podpisovanje, sme poznati samo lastnik, saj bi sicer lahko tajil, da je podpisal nek dokument. Torej v nobenem primeru ne sme nihče razen lastnika imeti varnostnih kopij tega ključa. Nasprotno pa je za zasebni ključ, ki ga uporablja za šifriranje, včasih nujno, da ga pozna še kdo drug in da imamo varnostne kopije, saj bi sicer lahko izgubili pomembne podatke.

Javni ključ, ki pripada zasebnemu ključu za podpisovanje, se mora hraniti tudi po tem, ko ni več veljaven, da lahko preverimo podpise na starih dokumentih. Za javni ključ, ki ga uporabljajo njegovi dopisovalci za šifriranje podatkov, pa to ni potrebno. Ko preneha veljati ali se izgubi, tvori in objavi novega. Ni nujno, da imamo za oba para ključev isto obdobje veljavnosti - za par za podpisovanje je to obdobje običajno daljše. Tudi ni nujno, da za oba para uporabimo isti algoritem (za podpis lahko uporabimo algoritem, ki ni primeren za šifriranje).

4.2 Pravni vidik digitalnega podpisaDigitalni podpis je na sodišču enakovreden običajnemu podpisu. Slovenski zakon o elektronskem poslovanju in elektronskem podpisu v 15. členu pravi: Varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost. Varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:

da je povezan izključno s podpisnikom, da je iz njega mogoče zanesljivo ugotoviti podpisnika, da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod

podpisnikovim nadzorom, da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba

teh podatkov ali povezave z njimi.

Postavlja pa se mnogo vprašanj s hrambo ključev, nevarnostni zaradi vdorov v sisteme.

Kdo hrani javne ključe in digitalna potrdila po tem, ko niso več veljavni? Ali je dolžina ključa zadostna, da napredek v računalništvu ni omogočil razbitja ključa? Ali je uporabljeni algoritem varen?

Mediji za hranjenje podatkov se prehitro spreminjajo. Tračnih enot, ki smo jih uporabljali pred nekaj leti, skoraj ni več. Žal pa tudi zapisi na magnetnih medijih po nekem času postanejo neberljivi.

Iz tega sledi, da bo moralo biti poskrbljeno za to, da se bodo dolgoročne pogodbe in pripadajoči digitalni podpisi v nekem časovnem obdobju prepisali na nov medij in dodal digitalni podpis, narejen po takrat najmočnejšem algoritmu – potrebovali bomo "elektronske" notarje in arhive digitalno podpisanih dokumentov.

Eden od korakov k povečanju verodostojnosti elektronsko podpisanih dokumentov pomeni časovno žigosanje. Pri tem postopku dokumentu dodamo digitalni podpis, ki povezuje čas podpisa s podatki v dokumentu. Če tak časovni podpis izvede nek neodvisen strežnik oziroma institucija, ki ni pod kontrolo



siceršnjih podpisnikov dokumenta, ob kasnejših preverjanjih ni dvomov o tem, kdaj je bil dokument podpisan in kakšen je bil ob podpisu, če se povzetek dokumenta v žigu ujema s povzetkom, narejenim ob času preverjanja. Tak časovni overovitelj od novembra 2003 deluje tudi na Ministrstvu za javno upravo (naslednik Centra za informatiko Vlade RS) kot del PKI slovenske vlade (http://www.egradiva.net/moduli/upravljanje_ik/17_digitalni_podpis/01_datoteka.html, 3.3.2013).

4.3 Digitalna potrdilaDigitalno potrdilo je digitalni dokument, ki potrjuje povezavo med javnim ključem in osebo, institucijo ali strežnikom. Digitalno potrdilo digitalno podpiše oseba ali institucija, ki ji zaupamo. Pri delu z javnimi ključi morajo uporabniki nenehno paziti na verodostojnost uporabljenih javnih ključev. V okolju javnih ključev je nujno potrebno, da zanesljivo vemo, da javni ključ s katerim šifriramo podatke, pripada predvidenemu naslovniku in da ni ponaredek.

4.3.1 Digitalna potrdila javnih ključev in overiteljiDigitalno potrdilo javnega ključa (angl. Public Key Certificate) je digitalni dokument, ki potrjuje povezavo med javnim ključem in osebo ali institucijo ali strežnikom. Z njim lahko preverimo, komu pripada javni ključ. Potrdilo vsebuje javni ključ in informacijo o njegovem imetniku, ki ju podpiše oseba ali institucija, ki ji zaupamo. Potrdila so objavljena v splošno dostopnih imenikih ali na spletnih straneh. Uporabljamo jih za identifikacijo v elektronskem poslovanju, prav tako kot osebno izkaznico v vsakdanjem življenju.

Digitalno potrdilo predstavlja enolično povezavo med imetnikom in javnim ključem. Zajema vse osnovne podatke o imetniku (ime ali naziv, uporabljene algoritme, namen uporabe ključev itd.) in hkrati tudi sam javni ključ. Digitalna potrdila so navadno javno objavljena (če ne gre za zaprt krog uporabnikov) in omogočajo uporabnikom, da se prepričajo o identiteti podpisnika ter dokopljejo do javnega ključa za potrebe šifriranja ali podpisovanja.

Seveda mora za podatke v potrdilu in povezavo imetnika z javnim ključem jamčiti določena avtoriteta. Taka avtoriteta izdaja potrdila na podlagi zahtev uporabnikov in jih tudi digitalno podpiše, S tem zagotovi verodostojnost samega potrdila. Digitalno potrdilo lahko torej razumemo kot nekakšno osebno izkaznico, ki nas povezuje z osnovnimi kriptografskimi elementi in posledično z našo navidezno identiteto (pri postopkih preverjanja subjektov).

Digitalna potrdila so na voljo v različnih oblikah in formatih. Splošno uveljavljeni standard je X.509v3 (različica 3). Poleg klasičnih potrdil so nam na voljo tudi atributna potrdila, katerih vloga ni več hranjenje javnega ključa, temveč povezovanje imetnika z njegovimi pravicami. Čemu to služi? Gre predvsem za okoliščine, ko je, recimo, posamezniku dodeljena določena funkcija, katere veljavnost s časom preneha. Če bi namreč hoteli uporabniku časovno omejiti določeno vlogo, je nespametno časovno omejiti samo digitalno potrdilo. Problem elegantno rešuje atributno potrdilo, ki je lahko omejeno na točno določen čas ali za določeno funkcijo. Seveda je postopek verifikacije nato vezan na pravo potrdilo, iz katerega vloga uporabnika in časovna omejitev nista razvidni.

Nadalje lahko delimo potrdila na taka z enim in taka z dvema paroma ključev. Dva para ključev sta pomembna predvsem v okoljih, kjer je treba zaradi redundance hraniti tudi uporabnikov zasebni ključ. Ker gre za element, ki je sicer v celoti v lasti posameznika, zasebnega ključa za potrebe podpisovanja pod nobenim pogojem ne bi smeli hraniti drugje kakor pri uporabniku. Ne nazadnje potrebujemo za preverjanje podpisa le uporabnikov javni ključ. Pri šifriranju je drugače, ko so v procesu odšifriranja ključni uporabniški zasebni ključi. Ker se ti lahko tudi izgubijo (izguba pametne kartice, pokvarjen disk in podobno), so lahko šifrirani podatki za vedno izgubljeni (le če se lotimo razbijanja zaščite, a to je navsezadnje preveč zahtevno in dolgotrajno opravilo). Take zagate rešujejo postopki rekonstrukcije zasebnega ključa (key escrow). Potrdila z dvema paroma ključev zato ločijo uporabo ključev glede na namen. Pri paru ključev za podpisovanje je uporabnik edini, ki poseduje zasebni ključ, medtem ko pri paru ključev za šifriranje overitelj hrani tudi rezervno kopijo ali podatke za rekonstrukcijo. Slovenski javni overitelj Sigen-CA, recimo, loči spletna potrdila, taka z enim parom, in osebna potrdila, taka z


http://www.egradiva.net/moduli/upravljanje_ik/17_digitalni_podpis/01_datoteka.html


dvema paroma. Slednja so seveda dražja in zahtevajo uporabo posebne opreme za podpisovanje in šifriranje (http://www.monitor.si/clanek/informacijska-varnost/ , 3.3.2013)

Podobno, kot je nastajal sistem elektronskih naslovov in imen računalnikov, so začele nastajati posamezne infrastrukture javnih ključev (udomačena je kratica PKI za Public Key Infrastructure), ki jih vpeljujejo vlade (Kanada, ZDA, Singapur, nekatere evropske države) ali posebne organizacije (Verisign, Thawte, EuroTrust, ...). Če imata dva overitelja sorodno politiko preverjanja, kompatibilno opremo in si zaupata, lahko skleneta dogovor, da se medsebojno priznavata. Tako se njuni infrastrukturi javnih ključev povežeta in uporabniki obeh lahko varno izmenjujejo podatke. Prvotna ideja je bila, da bi se tako postopoma gradila svetovna PKI obenem z imenikom po standardu X.500. Zdaj takih pričakovanj ni več - PKI bodo ostale omejene na posamezna območja ali aplikacije, znotraj katerih je možno natančno določiti imetnika digitalnega potrdila in namen uporabe potrdila. Potrdilo na ime "Janez Novak" ne pove dovolj, če je oseb s tem imenom več, ključa, kot je EMŠO, za povezavo z različnimi bazami podatkov pa zaradi zakona o varstvu osebnih podatkov ne sme vsebovati. Potrdilo za Janeza Novaka z neko negovorečo enolično identifikacijsko številko mora biti na nek način povezano z zalednimi aplikacijami, katerim je namenjeno - zagotovljena mora biti povezava na običajne identifikatorje (EMŠO, davčna številka, številka bančnega računa itd.). Tudi ugotavljanje veljavnosti digitalnega potrdila je v omejenih področjih lažje rešljivo.

Infrastrukturo javnih ključev določajo postopki in oprema za:

generiranje in hranjenje ključev, overjanje imetnikov ključev in izdajanje digitalnih potrdil javnih ključev, objavljanje digitalnih potrdil (imeniki), preklicevanje digitalnih potrdil, časovno označitev postopkov.

Središčni del predstavlja overitelj javnih ključev (angl. Certification Authority - CA). Vsak overitelj objavi svoj javni ključ in dokument (angl. Certification Policy), ki opisuje postopek, kako in komu podeljuje potrdila ter na kakšen način varuje svoj zasebni ključ.

Glede na zahtevnost postopka preverjanja identitete tistega, ki mu bo izdal digitalno potrdilo, overitelj lahko izdaja digitalna potrdila na različnih nivojih zaupanja. Lahko npr. določi, da se mora posameznik osebno zglasiti in predložiti osebni dokument, lahko pa podeli digitalno potrdilo na osnovi zahtevka, poslanega po elektronski pošti. Jasno je, da je mogoče bolj zaupati digitalnemu potrdilu, podeljenemu po prvem postopku kot po drugem. Poskrbeti mora, da so imetniki digitalnih potrdil enolično določeni (posameznik ima lahko več javnih ključev in torej tudi digitalnih potrdil) in za poseben seznam preklicanih digitalnih potrdil (torej tistih digitalnih potrdil, ki so iz različnih vzrokov neveljavni).

Pomembno je tudi, da overitelj poskrbi za varnost svojega zasebnega ključa, saj bi bila sicer potrdila, ki jih je izdal, brez pomena - še več, lahko bi prišlo do poneverb, ki bi jih prepozno opazili. Hraniti ga morajo na dobro zaščitenem računalniku.

Čeprav je ideja PKI stara že več kot dvajset let, proces izčiščevanja standardov na tem področju ni končan in smemo zaradi tega uporabniki pričakovati le omejeno povezljivost med različnimi produkti. Izhodišče je standard za digitalno potrdilo X.509V3, ki je splošno sprejet (če izvzamemo PGP). V okviru IETF deluje posebna delovna skupina PKIX, ki pripravlja standarde za PKI. Eden od evropskih projektov je bil PKI challenge in v njegovem okviru je bilo pripravljeno priporočilo za uporabo PKI.

Oblika digitalnega potrdila po standardu ISO/IEC X.509V3:

verzija (zdaj do verzije 3) serijska številka (enolična za potrdila posameznega overitelja) algoritmi in parametri (npr. SHA1 in RSA) izdajatelj (overitelj javnih ključev)




datuma veljavnosti od -do prejemnik digitalnega potrdila (njegovo ime, drugi podatki o njem) podatki o njegovem javnem ključu:

o algoritemo parametrio javni ključ

enolična oznaka uporabnika (samo v verzijah 2 in 3) razširitve (verzija 3) digitalen podpis teh podatkov, ki je narejen z zasebnim ključem CA.

Kmalu se je pokazalo, da je prvotna oblika (verziji 1 in 2) pomanjkljiva, ker imajo uporabniki lahko več parov javnih ključev, ki jih uporabljajo za različne namene, zato moramo imeti možnost, da jih razlikujemo na čimbolj avtomatiziran način. Tako je nastala verzija 3, kjer je možno dodati več razširitev (število ni eksplicitno omejeno) v obliki:

tip razširitve (registriran kot Object Identifier) kritična/nekritična (če je razširitev označena kot kritična, potem sistem ali aplikacija ne sme

uporabiti nobenega dela digitalnega potrdila, če razširitve ne pozna in je ne zna uporabiti) vrednost razširitve.

Določili so nabor standardnih razširitev, ki določajo naslednje skupine podatkov:

o ključu in politiki (npr. namen uporabe ključa, čas uporabe privatnega ključa za podpisovanje; ustrezajoča politika drugega overitelja v primerih, ko se medsebojno priznata dva overitelja

o prejemniku digitalnega potrdila in izdajatelju (alternativno ime za enega ali drugega, atributi v imeniku po standardu X.500)

omejitve pri povezovanju dveh infrastruktur.

Če pride do zlorabe, če pozabimo geslo za uporabo svojega zasebnega ključa ali pa se je pokvarila naprava, kjer smo ključ hranili, je treba tvoriti nov par ključev in dobiti novo digitalno potrdilo, staro pa preklicati. Vsa digitalna potrdila, ki so iz različnih razlogov neveljavna, objavljajo overitelji na posebnih seznamih, za katere se je uveljavila kratica CRL (angl. Certificate Revocation List). Ti seznami se objavljajo na spletnih strežnikih overiteljev ali pa v imenikih po standardu X.500, kjer so dostopni prek protokola LDAPv3. Preverjanje CRL mora biti omogočeno neprekinjeno. Da bi bilo dostopanje do CRL čim hitrejše, se je uveljavilo več načinov: ko število preklicanih potrdil preseže neko mejo, se CRL razdelijo na več vstopnih točk v direktoriju; dodatno se objavljajo samo nova preklicana potrdila od nekega časa dalje (delta CRL). V CRL je najavljeno, kdaj bo najkasneje objavljen nov CRL (čez nekaj ur, en dan, en teden, ...). Aplikacija, ki uporablja digitalna potrdila nekega overitelja, mora znati vključiti zadnji veljavni CRL overitelja v ustreznih obdobjih. Overitelj lahko izda nov CRL pred najavljenim časom, zato morajo aplikacije preverjati veljavnost upoštevanega CRL pogosteje, kot bi sklepali iz objavljenega časa v CRL.

Zaradi problema določanja časa za vključitev CRL in ker so spletne povezave vedno hitrejše, se razvija sistem sprotnega preverjanja veljavnosti digitalnega potrdila: delovna skupina PKIX pri IETF pripravlja OCSP (angl. Online Certificate Status Protocol). Do zdaj je bil izdan RFC 2560. Aplikacija pošlje zahtevo za preverjanje statusa potrdila direktno "pooblaščenemu" strežniku, ki mu pravijo "Certificate Status Responder", in ustavi vse transakcije, dokler ne dobi odgovora. Protokol OCSP že uporabljajo banke, ki so vključene v sistem Identrus.

Od leta 1994 naprej delujejo organizacije, ki podeljujejo potrdila posameznikom in organizacijam z vsega sveta, seveda stroške zaračunajo. Najbolj znana je Verisign, ki po nakupu druge največje take organizacije Thawte obvladuje večino tega trga. Nekateri overitelji imajo dogovor s proizvajalci brskalnikov, da so njihova digitalna potrdila instalirana v seznam overiteljev (npr. kot angl. Trusted Root Certification Authorities). V tem primeru uporabnikov brskalnik avtomatično zaupa takemu overitelju in torej uporabniku njegovega digitalnega potrdila ni potrebno posebej preveriti in vključiti v



brskalnik. Za to je potrebno pridobiti revizijsko poročilo Webtrust (http://www.webtrust.org/homepage.html). Potrdila manjših overiteljev niso avtomatično vključena v brskalnike, kar pa je varnostno še bolje - uporabnik se sam odloči, ali bo zaupal potrdilom nekega overitelja. V tem primeru njegovo potrdilo vključi v svoj brskalnik med zaupanja vredne overitelje.

Žal absolutne varnosti ni niti na papirju, kaj šele v praksi. Vedno se ji lahko zgolj približamo in prav to je tudi namen infrastrukture PKI in njenih elementov. Poizkuse zloma zaščite lahko na splošno razdelimo v dve skupini: teoretične in praktične. Teoretični napadi se ukvarjajo z iskanjem nekaterih šibkih točk algoritmov, torej prodiranja v samo jedro algoritma in programske opreme (lep zgled za to je hiba spletnega odjemalca Netscape, ki je v zgodnjih različicah operiral z zelo ozkim naborom naključno generiranih števil) ali iskanjem vrednosti uporabljenih nastavitvenih vrednosti (ključi, inicializacijski vektorji itd.). Princip s preizkušanjem vseh mogočih vrednosti označujemo kot napad s silo (angl. Brute Force Attack). Drugače velja za praktične napade, kjer se poizkuša napadalec tako ali drugače dokopati do zasebnih ključev, oziroma povzroči zmedo med uporabniki z razpošiljanjem ponarejenih ključev.

Težava pri teoretičnih napadih je kompleksnost algoritma in velikost uporabljenih ključev. Simetrični algoritmi operirajo danes s 128 bitnimi ključi. Teh ključev je:

2128 = 340 282 366 920 938 463 463 374 607 431 768 211 456.

Napad s silo je torej praktično težko izvedljiv, saj bi preverjanje vzelo neskončno veliko časa. In četudi bi se izkazalo, da je mogoče v realnem času razbiti simetrično zaščito, lahko uporabimo vedno daljše ključe, kjer časovna spremenljivka eksponentno narašča (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

4.4 Vrste napadovCilj napadov na šifrirne sheme je pridobivanje sporočil iz šifriranih sporočil ali celo, pridobitev zasebnega ključa. Večino napadov na šifrirne sheme lahko uporabimo tudi za sheme digitalnih podpisov. V tem primeru je cilj napadov najti zasebni ključ ali pa vsaj ponaredba digitalnega podpisa, tj. izdelati podpis, ki bo sprejet kot podpis neke druge osebe.

Napade nasprotnikov razdelimo v dva razreda:

Pasivni napadi. V tem primeru nasprotnik spremlja le komunikacijske kanale. Pasivni napadalec lahko ogrozi le zaupnost podatkov.

Aktivni napadi. V tem primeru nasprotnik želi zbrisati, dodati ali kako drugače spremeniti pretok podatkov po informacijskih kanalih. Aktivni napadalec ogroža poleg zaupnosti še pristnost in celovitost podatkov.

4.4.1 Napadi na šifreNapad na šifro je poskus kriptoanalize šifre. Pri napadu se predpostavlja, da kriptoanalitik pozna vse podrobnosti šifre (Kerckhoffosova predpostavka) in ima na voljo nekaj šifropisa. Poleg tega lahko kriptoanalitik pozna kakšen par čistopisa in šifropisa, lahko celo izbira čistopis, ki ga hoče šifrirati, in podobno. Glede na možnosti, ki jih ima kriptoanalitik, ločimo več vrst napadov na šifro. Najpomembnejše vrste so:

napad samo s šifropisom, napad z grobo silo (izčrpno iskanje), napad z izbranim čistopisom, napad z izbranim šifropisom in napad z znanim čistopisom.




http://www.webtrust.org/homepage.html


4.4.2 Napad samo s šifropisom (angl. Ciphertext-Only Attack)je vrsta napada na šifro, pri katerem ima kriptoanalitik na voljo šifropis več sporočil (iste šifre) in skuša odkriti čim več ustreznega čistopisa ali celo ključ ali ključe, ki so bili uporabljeni pri šifriranju.

4.4.3 Napad z grobo silo (angl. Brute-Force Attack)je vrsta napada z znanim čistopisom, pri čemer kriptoanalitik pri šifriranju znanega čistopisa preizkuša vse ključe po vrsti in rezultat primerja z danim šifropisom. Če je šifra tako dobra, da je najboljši napad nanjo izčrpno iskanje, mora le imeti dovolj dolg ključ, da je ni mogoče kriptoanalizirati.

4.4.4 Napad z izbranim čistopisom (angl. Chosen-Plaintext Attack)je vrsta napada na šifro, pri katerem ima kriptoanalitik možnost izbirati čistopis, ki se šifrira ,in dostop do izhoda šifre. Ker lahko izbere kakršenkoli čistopis, ima tako še boljše možnosti za uspeh kot pri napadu z znanim čistopisom. Naloga kriptoanalitika je odkriti ključ ali ključe, ki so uporabljeni pri šifriranju, ali poiskati algoritem za (nelegitimno) dešifriranje bodočih šifropisov, pri katerem so bili uporabljeni isti ključi. Proti tej vrsti napada morajo biti odporne šifre z javnimi ključi, ker ima kriptoanalitik vedno možnost takega napada, saj pozna javni ključ.

4.4.5 Napad z izbranim šifropisom (angl. Chosen-Ciphertext Attack)je vrsta napada na šifro, pri katerem ima kriptoanalitik možnost, da izbira domnevne šifropise, ki se dešifrirajo, in dostop do rezultata dešifriranja. Naloga kriptoanalitika je odkriti ključ. Tak napad je mogoč na primer s krajo dešifrirne naprave.

4.4.6 Napad z znanim čistopisom (angl. Known-Plaintext Attack)je vrsta napada na šifro, pri kateri ima kriptoanalitik poleg šifropisa več sporočil na voljo tudi nekaj parov čistopisa in ustreznega šifropisa. Kriptoanalitik si prizadeva odkriti ključe, ki so bili uporabljeni za šifriranje, ali algoritem za (nelegitimno) dešifriranje bodočih šifropisov, pri katerih so bili uporabljeni isti ključi. Ta vrst napada je možna, če je mogoče priti do čistopisa z drugimi sredstvi (sporočilo je dobljeno nezakonito ali je preprosto objavljeno v časopisu).



5. Oddaljeni dostopOddaljeni dostop je zmožnost dostopa do računalnika ali omrežja nekje v oddaljenosti. V ustanovah, ki imajo oddelke na različnih lokacijah ali pa njihovi uslužbenci veliko potujejo, se lahko le-ti povežejo z lokalno mrežo ustanove. Tako lahko uporabljamo mrežo in računalnike ustanove, čeprav delamo doma.

Za tak oddaljeni dostop običajno potrebujemo računalnik, morda notesnik, opremljen z modemom. Na voljo moramo imeti tudi ustrezno povezavo. To je lahko klicna ali najeta telefonska linija oziroma namenska povezava z oddaljenim računalnikom. Povežemo se lahko tudi brezžično. Na oddaljeni strani imamo strežni računalnik z ustrezno programsko opremo. Včasih mu pravimo tudi komunikacijski strežnik. Navezava na oddaljeni računalnik omogoča predvsem:

dostop do oddaljenih datotek dostop do oddaljenega namizja in njegovo uporabo (angl. Remote Desktop Access).

Namen dostopa do oddaljenih datotek je jasen, dostop do oddaljenega namizja pa pomeni, da na zaslonu našega računalnika vidimo namizje oddaljenega računalnika in ga uporabljamo, kot bi to bilo naše namizje.

Idealno bi bilo, če bi tako imeli na voljo celotno delovno okolje oddaljenega računalnika. Vendar pa ima oddaljeno namizje tudi svoje slabosti. Najbolj bistvena je ta, da nadzorovanje oddaljenega namizja ne poteka brez časovnih zakasnitev. Tako je potreben določen čas za prenos ukazov z naše miške in tipkovnice na oddaljeni računalnik ter za posredovanje rezultirajoče osvežene slike oddaljenega namizja na naš zaslon.

5.1 Oddaljeno namizje z VNCPoznamo več tehnoloških rešitev oddaljenega namizja. Med bolj znanimi je uporaba prosto dostopnega sistema VNC (angl. Virtual Network Computing). Ta teče na različnih operacijskih sistemih in potrebuje le malo računalniške moči.

VNC ima dve komponenti: strežnik in odjemalec (server, viewer).

VNC strežnik omogoča drugim računalnikom, da se oddaljeno povežejo na naš računalnik. Na vsakem od teh računalnikov mora biti nameščen odjemalec (VNC



viewer). Pri vstopu na strežnik se moramo predstaviti z geslom seje, ki se nastavi pri zagonu VNC strežnika. Na strežniku tudi določimo, ali ima oddaljeni odjemalec možnost aktivnega nadzora (z miško in tipkovnico) nad našim omizjem. Lahko je tudi samo pasiven opazovalec.

V splošnem VNC povezave preko interneta niso varne, saj sporočila med računalniki niso šifrirana. Za vsakdanje delo ti sicer ni tako pomembno, za poslovno rabo oziroma za delo z občutljivimi podatki pa je tako povezovanje nevarno.

5.2. Oddaljeno namizje z Windows XP ProfessionalČe imamo nameščen operacijski sistem Windows XP Professional, smo že pripravljeni na resno uporabo oddaljenega namizja. Ta operacijski sistem že vključuje (enouporabniško) strežno programsko opremo za oddaljeno namizje.

Iz našega računalnika se lahko prijavimo z istim uporabniškim imenom in geslom, ki bi ga uporabili, če bi sedeli na oddaljenem računalniku.

Namizje oddaljenega računalnika omogoča dostop do njegovih diskov in datotek, kot da so to naše »lokalne« datoteke. Če imamo na naši strani primeren odjemalčev program (to Windows XP ima že vgrajeno).

Lahko hkrati dostopamo do naših, odjemalčevih datotek s stališča oddaljenega namizja (torej oddaljeno). Tako lahko zlahka izmenjujemo datoteke med našim in oddaljenim računalnikom. Podatke lahko prenašamo med obema tudi preko skupnega odložišča (clipboard). Seveda je to primerno le za prenos manjše količine podatkov. Za prenos večje količine podatkov med računalniki je bolj primeren FTP. Oddaljeni dostop do namizja z Windows XP professional je bolj zanesljiv, če so le varnostne nastavitve na sistemu pravilno nastavljene.

5.2.1 Oddaljeni dostop z Windows 7Tako kot v vseh starejših različicah operacijskih sistemov Windows je tudi v Oknih 7 vgrajena podpora za oddaljeni dostop. V principu gre za to, da si omogočimo dostop do našega računalnika, tudi ko smo fizično stran od njega. Da bomo lahko to možnost koristili, pa moramo najprej nastaviti naš računalnik na način, da bo podpiral omenjeno funkcionalnost.



Z drugega računalnika se lahko na naš sistem povežemo tako, da kliknemo meni Start, vpišemo besedno zvezo »Remote Desktop Connection« in vpišemo IP naslov našega računalnika ter uporabniško ime in geslo uporabniškega računa, za katerega smo prej omogočili možnost oddaljenega namizja.

Kolikor pa imate spremenljiv oziroma dinamičen IP naslov lahko uporabimo storitve DynDNS. S pomočjo tovrstne brezplačne storitve si zagotovimo dosegljivost na isti domeni, ne glede na IP, ki ga imamo v danem trenutku.

5.2.2 Varovanje oddaljenega dostopaDanes postaja vse bolj običajno delo na domu, kar zmanjša ustanovi stroške vzdrževanja poslopja, stroške s prevozom ipd. Po drugi strani pa se poveča problem varovanja podatkov oziroma varnosti omrežja. Posameznikom moramo omogočati tak dostop ob upoštevanju varnostnih omejitev, ki jih nastavimo na strežnem (torej klicanem) računalniku. Najbolj važno je, da se mora uporabnik predstaviti (avtentikacija uporabnika).

Dodatno lahko zahtevamo, da poteka prenos podatkov med kličočim in klicanim računalnikom šifrirano (enkripcija). Tako lahko vzpostavimo takoimenovani SSH tunel (Secure Shell tunnel). Tunel predstavlja običajno šifrirano povezavo med dvema računalnikoma v sicer nezaupnem omrežju. Pri dostopu preko klicnih telefonskih linij lahko tudi omejimo, s katerih telefonskih številk je klic oziroma dostop sploh možen.

5.3 Obstoječi programi za oddaljen dostopUpravljanje z oddaljenimi namizji je zelo uporabno na več področjih. Prvi način uporabe je dostop do lastnega računalnika. To pomeni, da lahko kadarkoli, od kjerkoli, z ustreznim programom dostopamo do lastnega računalnika, od koder si pošiljamo datoteke, ki jih rabimo, spreminjamo nastavitve računalnika, itd. To pomeni tudi, da lahko s tem oddaljenim računalnikom upravljamo, kar pa že pomeni administracijo računalnika, ki je drugo veliko področje uporabe teh programov. To pomeni, da na računalniku, katerega upravljamo, ne potrebujemo priključenih vhodno/izhodnih naprav, kot so miška, tipkovnica in monitor... Potrebna je le omrežna povezava in predhodna namestitev ustreznih programov. To pride prav predvsem pri domačih in tudi poslovnih strežnikih, ki potrebujejo le občasno administracijo. Takšen računalnik je lahko mirno spravljen nekje v omari, a vseeno povsem normalno funkcionira.



Slika 45: Prikaz delovanja oddaljene pomoči

Še eno zelo veliko in dobrodošlo področje je oddaljena pomoč. S programom za dostop do namizja se lahko brez težav povežemo z oddaljenim računalnikom in rešimo problem, ki je nastal.

5.3.1 LogMeIn LogMeIn je program, ki ga je izdelalo podjetje LogMeIn Inc. Dostopen je na njihovi spletni strani, kjer ponujajo dve različici programa – plačljivo in brezplačno. Razlika med verzijama je v tem, da proverzija ponuja nekaj dodatnih funkcionalnosti, kot so oddaljeno tiskanje, prenos datotek, prenos zvoka, deljenje namizja in tehnično podporo.

LogMeIn deluje po načelu, da je računalnik, na katere ga namestiš program, preko spletnega vmesnika dostopen kjerkoli. Zaradi tega je program za uporabnika zelo prikladen. Ko ga enkrat namesti na svoj računalnik, lahko do njega dostopa od praktično kjerkoli, edini pogoj je povezava s spletom in poljuben brskalnik. Pa gre res za poljuben brskalnik? Sodeč podokumentaciji na njihovi spletni strani, program podpira brskalnik Internet Explorer verzija 7.0+, FirefOx 3.0+, Chrome 2.0+ ter Safari 4.0+. Glede na to mislimo, da je uporaba izraza »poljuben brskalnik« v tem primeru dovoljena, saj večina uporabnikov uporablja enega od navedenih brskalnikov, prav tako pa je podpora preteklih verzij brskalnikov zadostna.

Gre za zelo dobro implementacijo programa za oddaljen dostop do računalnika, ki omogoča tudi več sej hkrati, kar pomeni, da se lahko več uporabnikov hkrati poveže na sistem. Vendar ima tudi LogMeIn nekaj pomanjkljivosti. Za najboljšo uporabniško izkušnjo mora uporabnik namestiti dodatek k brskalniku, ki ga uporablja. Skozi samo namestitev te sicer vodijo navodila, ki so objavljena na spletni strani, a kljub temu stvar ni najbolj preprosta za povprečnega uporabnika. Za naš test smo namestili dodatek brskalniku Google Chrom e v. 27.0.1453.110, a je brskalnik avtomatsko namestitev zavrnil, ker je dodatek prepoznal kot škodljivo programsko opremo. Zato mora uporabnik dodatek namestiti



ročno, kar za marsikoga lahko predstavlja nevšečnost. Seveda obstaja alternativna izbira, da dodatka ne namestimo. V tem primeru LogMeIn uporabi Javo za prikazovanje slike, kar sicer deluje, vendar izredno počasi in mnogo slabše kot z nameščenim dodatkom. Poleg opisane ima LogMeIn eno zelo veliko pomanjkljivost, in sicer to, da z njim ne moremo dostopati do računalnikov, na katerih imamo nameščen operacijski sistem Linux. Glede na to, 4da se danes veliko spletnih strežnikov poganja na Linuxu, lahko rečemo, da gre za veliko slabost sicer odlično izdelanega programa. Po splošnem pregledu si oglejmo še tehnično plat programa.

V dokumentaciji navajajo, da je največja varnostna luknja celotne ga sistema uporabnik sam. Nato pojasnijo, da so njihove storitve za uporabnika povsem varne, saj jih vodi pet varnostnih ciljev:1. overjanje ciljnega računalnika;2. overjanje uporabnika, ki se poveže na njihov strežnik;3. overjanje strežnika ciljnemu računalniku;4. overjanje ciljnega računalnika strežniku;5. enkripcija podatkov.

5.3.2 Windows Remote Desktop ConnectionOd vseh petih verjetno najbolj znan program je Windows Remote Desktop Connection. Program je avtomatsko vgrajen v večino različic Windowsov. Prvi Windowsi, ki so ga ponujali, so bili Windows XP Professional. Od takrat so ga z izjemo Home različic obdržali v vseh drugih, torej tudi v Windows 8 Enterprise, Windows 8 Pro, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Vista Business, Windows Vista Ultimate in Windows Vista Enterprise. Ker je program zelo poznan, bomo le na kratko razložili njegove prednosti in slabosti. Ena glavnih prednosti je ta, da ga imamo zelo verjetno prednaloženega na računalniku. Tudi samo delovanje je hitro in enostavno. Kljub temu ima program obilico pomanjkljivosti. Omogoča nam zgolj povezavo med Windows sistemi, ne omogoča več sej hkrati, potrebne so dodatne nastavitve za uporabo znotraj lokalnega omrežja. Prav tako mora uporabnik sam poskrbeti za izjemo v požarnem zidu. Omenjene pomanjkljivosti so pomembno dejstvo, zato menimo, da ni ravno najboljša izbira za navadnega uporabnika, saj se ob vseh nastavitvah, ki jih je potrebno nastaviti, ta lahko večkrat zmede. Res pa je, da je progam zelo dobro dokumentiran in tako lahko uporabnik hitro najde vsa navodila na spletu. Priporočili bi ga za administracijo oddaljenih Windows strežnikov, saj je zelo dobro integriran v operacijski sistem.

Slika 46: Windows povezava z oddaljenim računalnikom

5.3.2.1 Oddaljeni dostop Windows Remote Desktop Connection

V začetnem meniju izberemo Vsi programi / Pripomočki / Povezava z oddaljenim namizjem.



Vtipkamo ime računalnika, s katerim se želimo povezati, vpišemo uporabniško ime in geslo za dostop,

kliknemo V redu. Ko smo povezavo vzpostavili, vidimo namizje tega računalnika.

Uporabljamo lahko miško in tipkovnico, zaganjamo programe povsem enako kot na našem lokalnem

računalniku. Okno lahko tudi pomanjšamo ali minimiramo.

Iz oddaljenega računalnika se odjavimo s klikom na gumb Odjavi.

Lahko ga celo ponovno zaženemo ali ugasnemo, seveda potem ne bomo imeli več dostopa do njega.



Prav tako lahko tudi mi omogočimo oddaljen dostop do našega računalnika drugim uporabnikom v

omrežju, ce vedo uporabniško ime geslo. Bolj pogosto pa ga uporabljamo za to, da lahko sami

dostopamo do računalnika iz druge lokacije. V nadzorni plošči izberemo Sistem in vzdrževanje in

nato v meniju Sistem kliknemo Dovolite oddaljen dostop. Tu imamo tri možnosti:

Ne dovoli povezav s tem računalnikom

Dovoli povezavo z računalniki, ki uporabljajo starejše verzije sistema Windows

Dovoli le povezavo z računalniki, ki imajo operacijski sistem Windows Vista.

Potem izberemo, kateri uporabniki bodo lahko dostopali do našega namizja. Vsi administratorji

oziroma skrbniki na našem računalniku že imajo dostop, lahko pa dodamo tudi druge uporabnike.

(Vir: http://www.egradiva.net/programi/windows_vista/05_dobra_praksa/07_datoteka.html 22.9.2013)

5.3.3 UltraVNC UltraVNC program je nastal leta 2005 pod GPL licenco. Torej gre za program, ki je popolnoma brezplačen. To je jasno že ob prihodu na njihovo spletno stran, ki z estetskega vidika ni ravno najlepša, v njen prid pa je potrebno omeniti, da ima zelo dobro dokumentacijo. Princip delovanja, ki so ga zasnovali, je neposredna povezava med dvema računalnikoma. Uporabnik ima ob namestitvi možnost izbire, ali želi namestiti zgolj strežnik ali zgolj opazovalnik. Seveda lahko namesti tudi oboje. Zaradi direktne povezave med računalnikoma, je varnost verjetno manj diskutabilna kot pri LogMeIn programu, a to hkrati pomeni, da je potrebno vložiti veliko več časa v nastavljanje programa. Delovanje za požarnim zidom in usmerjevalnikom pride z dodatnimi navodili, ki jih je potrebno upoštevati. Program podpira delovanje zgolj na Windows sistemih, kar je še ena velika pomanjkljivost. Tudi sama izkušnja se nam ne zdi ravno prijazna do povprečnega uporabnika, saj se mora ta spoprijeti s široko izbiro nastavitvenih možnosti, ki niso vedno jasno razložene. Sam prenos slike je sicer kvaliteten, a precej počasnejši kot pri prvih dveh programih.


http://www.egradiva.net/programi/windows_vista/05_dobra_praksa/07_datoteka.html%2022.9.2013


5.3.4 TightVNC TightVNC je program, ki ga je razvil Constantin Kaplinsky leta 2001. Gre za program, ki deluje po podobnem principu kot UltraVNC, zato ni presenetljivo, da je razlika v oceni med njima precej majhna. Oba uporabljata RFB (Remote frame buffer) protokol, treba pa je izpostaviti, da TightVNC za razliko od UltraVNC podpira tudi Linux sisteme. Oba programa sta za uporabnika zelo zapletena in ob nameščanju zahtevata kar nekaj znanja. Tako kot UltraVNC ima tudi TightVNC GPL licenco. Sam prenos slike je sprejemljiv, a vidno slabši od prvih dveh opisanih programov.

TightVNC je odlična izbira za vse, ki želijo nekaj več funkcij in naprednejšo varnost, vseeno pa ne želijo velikih kompleksnih programskih paketov, za katere bi povrh vsega morali še plačati. Program je na voljo tako za Windows kot za Linux, obstaja pa tudi v prenosni obliki, ki ne potrebuje namestitve in jo lahko poganjamo iz ključka USB. Sicer je TightVNC funkcijsko zmogljiv program, saj poleg oddaljenega dostopa do namizja omogoča prenos datotek, prilagajanje velikosti navideznega namizja, ima veliko varnostnih možnosti, poleg tega pa je primeren za dostop prek interneta (in ne le krajevnega omrežja), saj zna biti zelo varčen s prenašanjem podatkov, ki so potrebni za prikaz navideznega namizja. Tako ne bodo prikrajšani niti tisti s počasnejšimi povezavami, čeprav čudežev seveda ne gre pričakovati, če je povezava resnično klavrna. Ena od posebej priročnih funkcij tega programa je tudi, da omogoča dostopanje do računalnika brez namestitve odjemalca. TightVNC namreč omogoča dostop prek spletnega vmesnika, tako kot tudi nekateri drugi programi te vrste. Ko je namreč v računalniku, do katerega želimo dostopati, nameščen in pravilno konfiguriran TightVNC (pri požarnem zidu pa odprta primerna vrata) lahko v spletni brskalnik preprosto vpišemo IP-naslov in vrata, ki jih uporablja TightVNC (npr. http://75.145.134.48:5800 ) in zagnal se bo javanski programček, ki omogoča delo z namizjem. Edina pomanjkljivost tega je, da se geslo pošilja v navadni besedilni obliki in ga je mogoče prestreči, saj povezava ne poteka prek protokola https, TightVNC pa tudi sicer nima vgrajenega šifriranja. Ekipa, ki je ustvarila TightVNC je spisala še drugo sorodno, a nekoliko drugačno orodje, TightProjector. Ta je namenjen predvsem prikazovanju namizja enega računalnika na namizjih skupine računalnikov v istem krajevnem omrežju.

5.3.5 RealVnc RealVNC še danes razvija ista skupina ljudi, ki so spisali originalni program VNC. Deluje tako v sistemih Windows kot Mac OS X (samo različica Enterprise) in Linux (ali drugi na Unixu temelječi operacijski sistemi), na voljo sta tudi javanska različica in različica za iPhone. Osnovna različica (RealVNC Free) je brezplačna in odprtokodna, obstajata pa še komercialni in plačljivi, Personal Edition (samo za Windows) in Enterprise Edition (za vse tri sisteme). Osnovna različica je dokaj okleščena, saj ne podpira šifriranja, posebnih nastavitev, prenosa datotek, zvoka, klepeta in mnogo drugih funkcij, ki so sicer vse prisotne v različici Personal, razen razvijalskih orodij in možnosti namestitve v sistemu Mac OS X ali Linux, ki so le v različici Enterprise. Osnovna, odprtokodna različica sicer deluje v vseh treh sistemih, vendar ne v sistemih Windows Vista, 7 ali Server 2008. Predvsem izvorna koda za Linux je nekoliko zanemarjena, saj razvijalci vlagajo več napora v razvoj plačljivih različic.

Slika 47: Prijavna forma programa RealVnc

5.3.6 TeamViewerTeamViewer je odličen program, ki ga je leta 2005 razvilo podjetje TeamViewer GmbH. Do uporabnika zelo prijazen, saj je enostaven za uporabo. Ob zagonu se uporabniku odpre nezapleten uporabniški vmesnik z geslom in uporabniškim imenom. Vsak uporabnik dobi enotno identifikacijsko številko, po kateri ga TeamViewerjev strežnik prepozna. Za povezavo z drugim računalnikom je tako potrebno imeti zgolj ti dve informaciji. Podobno kot LogMeIn, tudi TeamViewer deluje preko njihovega strežnika, kar naredi program enostavnejši za uporabo, saj se uporabniku ni potrebno ukvarjati z nastavitvami usmerjevalnika in požarnega zidu. Program omogoča tudi uporabo na vseh treh glavnih operacijskih



sistemih. Samo delovanje in prenos slike sta zelo hitra in zanesljiva. Prav tako je poskrbljeno tudi za varnost, saj so vse povezave kriptirane.

5.3.6.1 Namestitev TeamViewerja1. Pojdite na uradno spletno stran Teamviewera1 in kliknite na gumb Start Full

Version It`s Free!

Slika 48: Gumb za snemanje programa

2. Malo počakajte in odpre se vam oknom kjer kliknete Save As in si shranite na namizje (oz. kamor koli želite). Ko se vam je snelo odprite datoteko. Ko se vam odpre, boste imeli na voljo dve možnosti. Prva možnost je Install. To možnost odkljukajte, če želite program za stalno namestiti na vaš računalnik. Druga možnost je Run. To možnost izberite, če želite program le uporabljati, brez da bi ga bilo potrebno namestiti.

Slika 49: Prvi del namestitve

Izberite možnost Install, ker si boste s tem zagotovili hitrejši dostop in stalni naslov.

3. Odprlo se vam bo okno z tremi možnostmi. Za osebno rabo izberite prvo možnost. Za rabo v podjetju izberite drugo, če pa boste uporabljali na oba načina pa izberite tretjo.

Slika 50: Drugi del namestitve

Izberemo prvo možnost.

1 http://teamviewer.com/en/index.aspx


http://teamviewer.com/en/index.aspx

http://www.teamviewer.com/download/TeamViewer_Setup.exe


4. Potem se vam odpre okno, z pogoji uporabe, ki jih morate prebrati. Ko jih preberete morate odkljukati oba kvadratka v spodjem levem kotu. Ko to odkljukate, kliknite na gumb next.

Slika 51: Tretji del namestitve

5. Odpre se vam še eno okno. Če na tem izberete No ste zaključili z namestitvijo, če pa izberete Yes pa se vam bo odprlo še eno okni, kjer si boste naredili svoj profil. Če boste želeli dostopati do računalnik, brez da bi vam nekdo na tem računalniku vklopil Teamviewera, se zagotovo splača izbrati možnost Yes.

Slika 52: Četrti del namestitve

6. Nato se vam bo program naložil. Če ste pri prejšnji točki označili yes, se vam bo odprlo novo okno, s katerim boste nastavili nastavitve tako, da se boste lahko povezali na računalnik tudi, če na njem ni prižgan Teamviewer.

Slika 53: Peti del namestitve

Kliknite Next.



7. Izberite ime računalnika in kodo, ki jo poznate le vi. Na naslednjem oknu izberite po želji. Prvo izbiro izberite, če že imate profil na Teamviewer-u, drugo, če ga želite sedaj narediti, ali pa tretjo, če boste to naredili kasneje.

8. V naslednjem oknu se vam pokaže vaša ID številka, ki jo lahko vidite kadarkoli ko odprete teamviewer. S to številko in z določenim geslom se boste lahko povezali na ta računalnik.

5.4 PovezovanjeNa oddaljen računalnik se lahko povežemo na dva načina. Prvi je ta, da na oddaljenem računalniku nadziramo namizje in z njim upravljamo, drug način pa je ta, da oddaljen računalnik le gledamo oz. spremljamo partnerjeve dejavnosti na računalniku.

5.4.1 Nadzor namizjaZa nadzor namizja se morate na oddaljen računalnik povezati z določenim ID naslovom in z pravilno kodo, ki vam jo lahko partner sporoči.

Ko se povežete na oddaljen računalnik se vam na vrhu pojavi orodna vrstica s naslednjimi ukazi in naslednjimi možnostmi.

Switch sides with partner

Quality

Auto select Voice over IP Session

recording

PlayPause

Ctrl+Alt+Del Optimize speed My video Stop

VPNStart

Lock Computer Optimize quality Chat Stop

Status

Remote reboot

Log off Custom settings Conference call Remote update

System information

Reboot Scaling

Original Connection infoScaledFull screen

Reboot in safe mode

Screen resolution

Send key combinations

Select single window

Disable remote input Show whole desktop

Show black screen Refresh

5.4.2 PredstavitevNa predstavitev se povežete enako kot pri nadzoru namizja, le da ko se povežete na računalnik morate počakati da le ta začne svojo predstavitev. Na predstavitev je možno prijaviti več uporabnikov, ki pa le gledajo kaj dela glavni. Tudi tukaj se vam pojavi orodna vrstica, le da imate dosti manj možnosti.



Scaling Original Voice over IP

Scaled My Video

Full Screen Chat

Connection Info... Conference Call



6. Prvi koraki v Imeniških storitvahUporabniki, ki Host On-Demand uporabljajo v podjetju, morajo pogosto upravljati informacije o konfiguraciji skupin in uporabnikov za veliko število uporabnikov. Zaradi učinkovitosti ali upravljanja, je informacije za te uporabnike mogoče porazdeliti in upravljati na več strežnikih Host On-Demand. Na žalost informacije o uporabnikih niso v skupni rabi med strežniki Host On-Demand ali med strežniki in ostalimi aplikacijami.

Vendar pa imeniška storitev, ki jo nudi strežnik LDAP (Lightweight Directory Access Protocol), omogoča tovrstno souporabo informacij. Tako lahko na primer en sam imenik LDAP shrani informacije o konfiguraciji za več strežnikov Host On-Demand. Informacije o konfiguraciji so shranjene v imeniških postavkah v imeniku LDAP. Te postavke so enkratno določene z razločevalnim imenom (DN).

V Host On-Demand lahko za shranjevanje informacij o uporabnikih, skupinah in sejah namesto zasebnega podatkovnega pomnilnika strežnika Host On-Demand uporabljate imenik LDAP. Ta možnost je na voljo iz Imeniških storitev v oknu za upravljanje Host On-Demand.

Preselitev v LDAP pomembno vpliva na informacije o konfiguraciji uporabnikov in skupin. Preden opravite preselitev, morate poznati te vplive.

Dodatne splošne informacije o LDAP in imeniku IBM SecureWay lahko najdete na spletni strani IBM SecureWay Directory Website. Še posebej koristna je IBM-ov rdeča knjiga z naslovom Understanding LDAP, ki jo lahko presnamete na tej strani.

Na primer, v imeniku uporabnikov je vsak objekt lahko oseba z ID-jem uporabnika in geslom. S temi objekti so lahko povezane tudi informacije, specifične za aplikacijo , kot so članstva v skupinah, preslikave tipkovnic, definicije makrov in parametri sej.

Imeniške storitve nudijo v iSeries 400 strežnik LDAP (angl. Lightweight Directory Access Protocol). LDAP se izvaja prek TCP/IP (angl. Transmission Control Protocol/Internet Protocol) in je postal popularen kot imeniška storitev za internetne in ne-internetne aplikacije. Večino upravnih in nastavitvenih opravil lahko v imeniškem strežniku LDAP, ki temelji na OS/400, izvedete prek grafičnega uporabniškega vmesnika Navigatorja operacij. Za upravljanje Imeniških storitev morate imeti Navigator operacij nameščen na PC-ju, ki je povezan s sistemom. Imeniške storitve lahko uporabljate z aplikacijami, ki omogočajo LDAP, kot so aplikacije za pošto, ki iščejo naslove elektronske pošte v strežnikih LDAP.

6.1 ImenikImenik je specializirana baza podatkov, v kateri so shranjene informacije o objektih in medsebojnih razmerjih.



V vsakdanjem življenju se pogosto srečujemo z različnimi vrstami imenikov. Primeri so telefonski imenik, vodič po televizijskem programu, razni nakupovalni katalogi, ipd. Te lahko poimenujemo tudi nepovezani (angl. Offline) imeniki. Pogosto najdemo v računalniškem svetu imenike, katerih namen in zgradba sta podobna. Te največkrat poimenujemo kar povezani (angl. Online) imeniki.

Večina imenikov, s katerimi imamo opravka v vsakdanjem življenju, je namenjenih iskanju določenih informacij, bodisi iskanju prave knjige v knjižnici, naročanju obleke iz kataloga, iskanju podatkov o nekem poslovnem partnerju ipd. Osnovne štiri značilnosti povezanih imenikov, po katerih se tudi najbolj razlikujejo od prej omenjenih nepovezanih imenikov, so:

dinamičnost, prilagodljivost, varnost in prilagojenost uporabniku.

Na imenik lahko gledamo kot na posebno zbirko podatkov. V osnovi se ti dvestrukturi ne razlikujeta pretirano, razlike med njima nastopijo šele, ko jih postavimo v določeno okolje oziroma izrazimo namen njune uporabe. Glavne razlike lahko razčlenimo v šest točk, ki so v nadaljevanju podrobneje opisane.

6.1.1 Razmerje med pogostostjo branja in pisanjaEna od najpomembnejših lastnosti imenikov je, da njihovo vsebino veliko bolj pogosto pregledujemo kot spreminjamo. V povprečju posamezno informacijo v imeniku preberemo od 1.000 do 10.000-krat pogosteje kot jo zapišemo ali spreminjamo. Tipičen primer takšne informacije so podatki o osebah, njihovih telefonskih številkah, naslovih, skratka, vsi takšni podatki, ki se redko spreminjajo. Za klasične zbirke podatkov to ponavadi ne velja, saj v njih hranimo informacije, ki se pogosto obnavljajo, na primer evidenca finančnih transakcij v neki banki.

6.1.2 Možnost razširitve imenikaTip vsebine, ki jo lahko hranimo v imeniku, definira t.i. shema imenika (angl. directory schema). To so pravila, katerim so podrejene informacije v imeniku oziroma delo z njimi. Značilno je, da ta shema ni fiksna, temveč se lahko sproti prilagodi novim potrebam uporabnikov ali aplikacij. Čeprav lahko v klasičnih zbirkah podatkov hranimo veliko različnih tipov informacij,ki so organizirane na različne načine, jih z definicijo zbirke omejimo.

6.1.3 Porazdeljenost podatkovDo neke mere lahko porazdelimo vsebino klasične relacijske zbirke podatkov. V tem primeru ponavadi shranimo posamezne tabele na različne računalnike. Delo s takimi podatki, npr. opravljanje različnih poizvedb, je sicer mogoče, vendar močno trpi učinkovitost oziroma hitrost delovanja. Zato se taka organizacija relacijske zbirke podatkov uporablja redkeje. Nasprotno pa je osnovna lastnost imenikov možnost porazdelitve vsebine na več strežnikov. Ta način organizacije pride do izraza predvsem pri podjetjih, ki imajo sedeže na različnih lokacijah, vsak del organizacije pa želi sam upravljati s svojim delom imenika. Bistveno pri tem je, da zadruge zunanje uporabnike imenik deluje kot enota in njegova porazdeljenost sploh ni opazna.

6.1.4 Ponavljanje vsebinePonavljanje vsebine pomeni, da hranimo isto informacijo v več različnih imenikih, na različnih lokacijah zaradi različnih vzrokov, kot so zanesljivost, razpoložljivost, lokalnost in učinkovitost. Tudi klasične zbirke podatkov včasih omogočaj ponavljanje vsebine, a ponavadi le za majhno število kopij, saj je problem v zahtevipo popolni konsistentnosti podatkov.

6.1.5 UčinkovitostUčinkovitost zbirk podatkov ponavadi merimo s številom operacij oziroma transakcij na sekundo. Neko veliko zbirko podatkov lahko opišemo kot učinkovito, če je sposobna opraviti približno 100 operacij na



sekundo. Pri imenikih je ta zahteva nekje med 1.000 in 10.000 operacij na sekundo. Te operacije so ponavadi preprostejše kot pri klasičnih zbirkah podatkov.

6.1.6 StandardiPri klasičnih zbirkah podatkov imamo opravka s t.i. psevdo-standardi, na primer poseben jezik za poizvedovanje v relacijskih zbirkah podatkov – SQL (angl. Simple Query Language). Ti poskrbijo, da lahko podatke preprosto prenesemo z ene zbirke podatkov v drugo, jih popravljamo in urejamo. Pri imenikih so standardi zelo pomembni. Vsak ponudnik aplikacije, ki omogoča dostop do imenika, se mora strogo držati standarda, saj mora aplikacija delovati z vsakim imenikom. Tu pride do izraza LDAP. Ta zagotavlja standardni model imenika in protokol za dostop do njega.

6.2 Osnove LDAP Preprost protokol za dostop do imenika LDAP (angl. Lightweight Directory Access Protocol) je odprt standard, ki je bil razvit z namenom optimizacije in poenotenja imenikov. LDAP definira standardno metodo za dostop in upravljanje informacij v imenikih. Zasnovan in optimiziran je tako, da omogoča hitro branje velikega števila podatkov v imenikih, njihovo spreminjanje pa je precej redko glede na branje. Je učinkovit, enostaven za implementacijo, a hkrati visoko funkcionalen. Deluje po principu odjemalec/strežnik, kar pomeni, da se morata odjemalec in LDAP strežnik držati točno določenih pravil,če želita komunicirati med seboj (Sodnik, 2002).

LDAP je imeniška storitev, ki teče prek TCP/IP (angl. Transmission Control Protocol/Internet Protocol). LDAP različice 2 je formalno definiran v IETF (angl. Internet Engineering Task Force) Request for Comments (RFC) 1777, Lightweight Directory Access Protocol. LDAP različice 3 je formalno definiran v IETF RFC 2251, Lightweight Directory Access Protocol (v3). Te RFC-je lahko pregledate na internetnem naslovu: http://www.ietf.org. Povezava zunaj Informacijskega centra

Imeniške storitve LDAP sledijo modelu odjemalec/strežnik. En ali več strežnikov LDAP vsebujejo podatke imenikov. Odjemalec LDAP se poveže s strežnikom LDAP in izda zahtevo. Strežnik se odzove z odgovorom, ali s kazalcem (referenčnim kazalcem) na drugi strežnik LDAP.

Osnovne zmožnosti LDAP-a, ki jih je potrebno omeniti, so naslednje:

hranjenje posebnih informacij o določenih uporabnikih, upravljanje kontaktov, hranjenje slik, evidence dokumentov, zagotavljanje varnosti itd.

LDAP deluje po načelu strežnik/odjemalec. Strežnik hrani drevesno strukturirane objekte z natančno določenimi atributi. Tipe objektov in atributov določa shema LDAP (angl. scheme). Ker potrebujemo imenik, ki bo hranil podatke o objektih, uporabljenih v več različnih storitvah, je potrebno na podlagi standardne sheme LDAP, ki je definirana v dokumentih RFC, zasnovati lastno shemo LDAP. Za to je treba najprej pridobiti lasten identikator objektov (OID). Če bi nadgradnjo sistema pfSense z FreeBSD izvedli razvijalci kar v okviru projekta pfSense, bi bilo najbolje pri organizaciji IANA pridobiti lasten OID za projekt pfSense. Njegova pridobitev je brezplačna. Razlog za izbiro izdelka OpenLDAP je preprost, je zanesljiv, zrel in dobro preizkušen odprtokodni strežnik LDAP. Poleg tega obstoječi sistem za upravljanje uporabnikov omogoča priklop na imenik LDAP, kar pomeni, da je lahko hranjenje podatkov o uporabnikih in skupinah popolnoma centralizirano v celotnem sistemu pfSense.

Poraja se vprašanje, zakaj ne bi bilo za hranjenje vseh teh podatkov bolje izbrati relacijske podatkovne baze. Razlogov je več. Imenik LDAP je danes standardni način za hranjenje hierarhično urejenih podatkov.


http://www.ietf.org/


Če imamo torej podatke, ki so večinoma urejeni drevesno oz. na način starši / otrok, je LDAP primernejši od relacijske podatkovne baze. Poleg tega sam protokol LDAP omogoča spreminjanje sheme, kar je težje izvedljivo pri RDBMS. Nenazadnje omogoča LDAP preprosto sinhronizacijo strežnikov LDAP. Slaba stran večine teh je počasnost zapisovanja in spreminjanja podatkov, zato je primernejši za okolja, kjer je branj veliko več kot pisanj. Nase okolje temu ustreza, saj bomo v imeniku LDAP hranili podatke o osebah, oddelkih, skupinah, dovoljenjih ter nekatere nastavitve programov. \Težkih" podatkov (elektronska posta, datoteke datotečnega strežnika), ki se hitro spreminjajo, imenik LDAP ne bo vseboval.

6.2.1 Uporaba LDAPKer je LDAP bolj podoben imeniški storitvi, kot pa bazi podatkov, so informacije v imeniku LDAP običajno opisne, temelječe na lastnostih. Uporabniki LDAP običajno prebirajo informacije v imeniku pogosteje, kot jih spreminjajo. Spremembe so običajno preproste spremembe vseh ali nobenih informacij. Splošna uporaba imenikov LDAP vključuje zaslonske telefonske imenike in imenike elektronske pošte.

6.2.2 Struktura imenikov LDAPSheme določajo kako so poimenovani posamezni atributi objekta, v grobem kakšne vrednosti lahko zajemajo in na kakšen način se išče po njih (število ali niz, ali je občutljiv na velike ali male črko in podobno). Če želimo torej v imenik vstaviti nove objekte ali zaradi dodatne aplikacije dopolniti podatke o objektih, naložimo novo shemo. Katero shemo uporabimo je tipično zapisano v dokumentaciji aplikacije, pogostokrat pa uporabljajo kar privzete, standardizirane sheme, ki so prisotne že v osnovni postavitvi imenika LDAP.

Imenik LDAP hrani podatke o različnih objektih v resničnem ali računalniškem svetu. Primarno se uporablja za shranjevanjem podatkov o uporabnikih, skupinah uporabnikov ter podatkih o uporabnikih, ki jih potrebujejo računalniški sistemi.

Imenik LDAP je baza podatkov, ki pa za razliko od baz SQL ni relacijska, ampak je organizirana v drevesno strukturo. Optimizirana je za branje in ne za pogosto vpisovanje podatkov, definicije podatkov pa niso poljubne ampak so vpisane v shemah

Model imeniških storitev LDAP temelji na postavkah (ki jim rečemo objekti). Vsaka postavka je sestavljena iz ene ali več lastnosti, kot so ime ali naslov in tip. Tipi so običajno sestavljeni iz mnemoničnih nizov, kot sta cn za splošno ime (common name) in mail za naslov elektronske pošte.

Slika kaže zgled imenika za postavko za Tim Jones, ki vključuje lastnosti mail in telephoneNumber. Nekatere druge mogoče lastnosti so fax, title, sn (za priimek) in jpegPhoto.

Vsak imenik ima shemo, v obliki niza pravil, ki določajo strukturo in vsebino imenika. Če želite urediti datoteke shem za strežnik LDAP, morate uporabiti Orodje za upravljanje imenikov (DMT) IBM SecureWay. Po namestitvi Imeniških storitev so datoteke v sistemu v imeniku /QIBM/UserData/OS400/DirSrv.

Opomba: Izvirne kopije datotek privzete sheme so v imeniku /QIBM/ProdData/OS400/DirSrv. Če morate zamenjati datoteke v imeniku UserData, lahko te datoteke prekopirate v ta imenik.

Vsaka postavka imenika ima posebno lastnost z imenom objectClass. Ta lastnost krmili, katere lastnosti so zahtevane in dovoljene v postavki. Z drugimi besedami, vrednosti lastnosti objectClass določajo pravila sheme, ki se jim mora postavka podrejati.



Vsaka postavka imenika ima tudi naslednje operativne lastnosti, ki jih strežnik LDAP vzdržuje samodejno:

CreatorsName, ki vsebuje povezovalni DN, uporabljen pri izdelavi postavke. CreateTimestamp, ki vsebuje podatek o času, v katerem je bila postavka izdelana. modifiersName, ki vsebuje povezovalni DN, uporabljen pri zadnjem spreminjanju postavke

(izvirno je ta enak kot CreatorsName). modifyTimestamp, ki vsebuje čas zadnjega spreminjanja postavke (izvirno je ta enak kot

CreateTimestamp).

Običajno so postavke imenika LDAP urejene v hierarhični strukturi, ki odraža politične, geografske in organizacijske omejitve. Postavke, ki predstavljajo države, se pojavljajo na vrhu hierarhije. Postavke, ki predstavljajo dežele (države) ali državne organizacije zasedajo drugo raven v hierarhiji. Spodnje postavke lahko predstavljajo ljudi, organizacijske enote, tiskalnike, dokumente ali druge postavke.

Pri strukturiranju imenika niste omejeni na običajno hierarhijo. Struktura "komponenta domene" je na primer tudi zelo popularna. V tej strukturi so postavke sestavljene kot deli imen domen TCP/IP. Na primer dc=ibm,dc=com lahko nastavite na o=ibm,c=us.

LDAP se nanaša na postavke z razločevalnimi imeni (DN-ji). Razločevalno ime je sestavljeno iz imena postavke, kot tudi iz imen objektov nad njo v imeniku, v vrstnem redu od spodaj navzgor. Celotno razločevalno ime za postavko v spodnjem levem kotu, ki jo vsebuje Slika 1, je na primer cn=Tim Jones, o=IBM, c=US. Vsaka postavka ima najmanj eno lastnost, ki je uporabljena za ime postavke. Ta lastnost za poimenovanje se imenuje relativno razločevalno ime (RDN) postavke. Postavka nad podanim RDN se imenuje nadrejeno razločevalno ime. V zgornjem zgledu cn=Tim Jones poimenuje postavko, torej je RDN. o=IBM, c=US je nadrejeni DN za cn=Tim Jones.

Če želite podati strežniku LDAP zmožnost upravljanja dela imenika LDAP, podajte v konfiguraciji strežnika najvišjo raven nadrejenih razločevalnih imen. Ta razločevalna imena se imenujejo pripone. Strežnik lahko dostopa do vseh objektov v imeniku, ki so pod podano pripono v hierarhiji imenikov. Če je na primer strežnik LDAP vsebovan v imeniku, mora imeti v svoji konfiguraciji podano pripono o=ibm, c=us, da bo lahko odgovarjal poizvedbam odjemalcev, ki se nanašajo na "Tim Jones".

Slika 54: Osnovna struktura imenika LDAP

6.2.3 Drevesna struktura LDAPDrevesu LDAP rečemo tudi DIT (angl. Directory Information Tree). Nekaj posebnih objektov, ki se tičejo samega imenika LDAP, najdemo že v korenini drevesa LDAP. To so na primer:

cn=config - nastavitve imenika openldap



cn=subschema - podatki o aktivnih shemah

Posamezne organizacije, ki imajo lahko tudi skupni imenik LDAP, si uredijo vpis svojih objektov v poddrevesu glede na primarno registrirano domeno DNS, ki ji v tem kontekstu rečemo pogosto rečemo tudi kraljestvo (angl. realm). Uporaba domene ni v ničemer povezana s strežniki in internetnimi domenami DNS, pomembno je le, da imamo uporabljeno domeno v lasti (ne pa tudi delujočo ali vpisano na strežnikih DNS). Tako ima na primer Arnes, ki ima v lasti domeno arnes.si svoje poddrevo na lokaciji dc=arnes,dc=si.

V korenini drevo potem razdelamo na posmezne skupine, za kar uporabimo organizacijsko enoto (angl. organizational unit) ou=:

ou=People - fizični uporabniki ou=Groups - skupine uporabnikov ou=System - sistemski računi za recimo samodejno

preverjanje ou=Computers - objekti, ki predstavljajo računalnike,

na primer računalniki vključeni v domeno Windows.

Včasih se je veliko uporabljajo "strmo drevo oziroma strukturo". Uporabnike se je ločevalo tudi po območnih enotah ali geografskih lokacijah, tako so na primer organizacijske enote delali ločeno za vsaki oddelek posebej, na primer:

dc=primorska,dc=primer,dc=si dc=anglija,dc=primer,dc=si dc=london,dc=primer,dc=si

6.2.4 Osnovna struktura imenika LDAPNekaj opomb o LDAP in imeniških storitvah:

Začenši z V4R5 strežnik LDAP OS/400 in odjemalec LDAP OS/400 temeljita na različici LDAP3. Odjemalca V2 lahko uporabite s strežnikom V3. Odjemalca V3 ne morete uporabiti s strežnikom V3, razen v primeru, da se povežete kot odjemalec V2 in uporabljate samo API-je V2. Če želite podrobnejše informacije, preglejte Problematika LDAP V2/V3.

Odjemalec LDAP Windows temelji na LDAP različice 3. Ker je LDAP standarden, lahko vsi strežniki LDAP souporabljajo veliko osnovnih značilnosti.

Zaradi razlik pri izvedbi niso v celoti združljivi med seboj. Strežnik LDAP, ki ga nudijo Imeniške storitve, je tesno združljiv z imeniškimi strežniki LDAP v skupini izdelkov IBM SecureWay, vendar morda ne bodo tako združljivi kot drugi strežniki LDAP.

Podatki za strežnik LDAP, ki jih nudijo Imeniške storitve, so v bazi podatkov OS/400.

6.2.5 Uporaba zaščite SSL (plast zaščitenih vtičnic) v imeniškem strežniku LDAPZa vzpostavitev varnejših komunikacij z imeniškim strežnikom LDAP lahko Imeniške storitve uporabljajo zaščito SSL (plast zaščitenih vtičnic).

Če želite v Imeniških storitvah uporabiti SSL, mora biti v sistemu nameščen eden od izdelkov ponudnika šifriranega dostopa (5722-ACx). Če želite SSL uporabiti iz Navigatorja operacij, mora biti v vašem PC-ju nameščen eden od izdelkov za šifriranje odjemalca (5722-CEx). To programsko opremo potrebujete, če želite storiti karkoli od naslednjega:

Konfigurirati in upravljati Imeniške storitve iz delovne postaje z uporabo povezave SSL. To vključuje opravila, ki jih izvajate v Navigatorju operacij.

Uporabiti povezavo SSL z aplikacijami, ki jo izdelate z vmesniki uporabniških programov odjemalcev Windows.



SSL je standard v internetni zaščiti. Uporabite ga lahko za komuniciranje z odjemalci LDAP, kot tudi s strežniki LDAP za kopije. Začenši z različico V4R5 lahko poleg overjanja strežnika uporabite overjanje uporabnika, s čimer omogočite dodatno zaščito vaših povezav SSL. Overjanje odjemalca zahteva, da odjemalec LDAP predstavi digitalno potrdilo, ki potrjuje istovetnost odjemalca strežniku, preden se z njim vzpostavi povezava.

Če želite uporabiti SSL morate v svoj sistem namestiti Upravljalnik digitalnih potrdil (DCM), možnost 34 v OS/400. DCM nudi vmesnik, s katerim lahko izdelate in upravljate digitalna potrdila in prostore za potrdila.

6.3 Seznami za nadzor dostopa LDAP (ACL)V veliko primerih boste želeli omejiti dostop do podatkov v imeniškem strežniku LDAP. Strežnik LDAP v vašem podjetju lahko na primer vsebuje telefonski imenik zaposlenih v vašem podjetju. Verjetno boste želeli, da lahko vsi zaposleni vidijo podatke v tem imeniku. Recimo, da direktorica podjetja ne želi, da bi vsi zaposleni dostopali do njene telefonske številke. V tem primeru bi lahko izdelali seznam za nadzor dostopa (ACL). S tem ACL-jem lahko omejite dostop do postavke strežnika na tiste zaposlene, od katerih želi direktorica sprejemati klice.

Z uporabo seznamov za nadzor dostopa lahko nadzorujete, kdo ima pooblastilo za dodajanje in brisanje objektov imenika. Podate lahko, ali imajo uporabniki pravico za branje, pisanje, iskanje in primerjavo lastnosti imenika. ACL-ji so lahko eksplicitni ali podedovani. ACL-je lahko uporabite na enega od naslednjih načinov:

eksplicitno nastavite ACL za podani objekt. podate, da objekti podedujejo ACL-je od objektov, ki so višje v hierarhiji imenikov LDAP.

Morda direktorica v zgornjem zgledu ni želela, da bi lahko vsi zaposleni dostopali do njene telefonske številke. Ona pa želi, da bi lahko do njene telefonske številke dostopali vsi menedžerji. V tem primeru si lahko pomagate s skupino ACL, ki poenostavi dodeljevanje pooblastil menedžerjem. Skupine ACL omogočajo, da raje dodeljujete dostop do specifičnih skupin uporabnikov, kot pa pooblastila na individualni osnovi. To je lahko posebno koristno, če potrebuje ista skupina ljudi dostop do več nizov objektov. Če na primer isti menedžerji, ki so imeli dostop do direktoričine telefonske številke, potrebujejo kasneje dostop do zapisov o plačah, bi lahko znova uporabili skupino ACL.

6.3.1 Modeli ACLVse različice Imeniških storitev podpirajo model z dovoljenji na ravni razreda dostopa. V tem modelu so tipi lastnosti LDAP razvrščeni na "Normalne", "Občutljive" ali "Kritične". Te razvrstitve krmilijo datoteke sheme lastnosti. Če v ACL objekta dodate uporabnika, podate, katere razvrstitve lahko uporabnik bere, piše, išče in primerja. V večini shem, bi bila telefonska številka razvrščena kot "običajna" lastnost. Zato bi lahko menedžerjem v zgornjem primeru za dostop do telefonske številke direktorice podali dostop za branje v "običajnih" lastnostih objekta imenika direktorice. Še vedno ne bi mogli dostopati do "občutljivih" in "kritičnih" informacij. Vse različice Imeniških storitev podpirajo nastavitev dovoljenj na ravni razreda dostopa.

V različici V5R1 pa Imeniške storitve podpirajo tudi modele dovoljenj na ravni lastnosti. V tem modelu lahko za posamezne lastnosti podate pooblastila za branje, pisanje, iskanje in primerjanje, ne glede na njihov razred dostopa. Znova preučite zgornji zgled. V modelu dovoljenj na ravni lastnosti lahko menedžerjem za lastnost telephoneNumber dodelite dostop z branjem, kljub temu da na splošno nimajo dostopa do lastnosti "Normalno".

Model dovoljenja na ravni lastnosti je združljiv samo s strežniki SecureWay Imeniških storitev različice 3.2 in novejšimi. Po privzetku ni omogočen. Pri delu z ACL-ji ga lahko omogočite. Ko to storite, lahko model onemogočite samo tako, da strežnik znova konfigurirate in obnovite bazo podatkov imenika. Preden se odločite, da boste omogočili ta model, si zapomnite, da ga ne boste mogli upravljati iz



nobenega odjemalca LDAP V2 (vključno z različicami Navigatorja operacij pred V5R1) in da boste s tem lahko pokvarili vnose ACL.

6.3.2 Posebne vrednosti ACLNa začetku imajo vsi objekti v imeniškem strežniku Imeniških storitev seznam za nadzor dostopa, ki vsebuje posebno skupino ACL, CN=Anybody, ki vključuje vse uporabnike imenika. Po privzetku ima ta skupina za vse objekte dostop z branjem, iskanjem in primerjanjem do lastnosti normalnega razreda.

Morda boste želeli, da imajo nekateri objekti iste dostopne pravice za vse uporabnike, ki se povezujejo z imeniškim strežnikom prek povezave, ki ni anonimna (anonymous). V ta namen uporabite skupino ACL (access control list) cn=Authenticated.

Če želite podati, katera dovoljenja za dostop ima objekt zase, raje uporabite posebni DN cn=this. Ta omogoča podrejenim postavkam, ki podedujejo njihove ACL-je, da so samodejno overjeni za izvajanje operacij na njihovih objektih.

6.4 InfinibandInfiniband je ena izmed tehnologij za povezovanje računalnikov med seboj. Podobno kot Fiber Channel2in Serial ATA3 je Infiniband tehnologija povezovanja med dvema ožičenima točkama, ki temelji na obojestranski serijski komunikaciji in je primarno namenjena povezovanju zelo zmogljivih procesorjev oziroma pomnilniških naprav.

Serijska komunikacija, ki je uporabljena pri tehnologiji Infiniband, uporablja osnovno hitrost 2.5 gigabitov/s (SDR4) v vsako smer. Poleg osnovne hitrosti poznamo tudi tako imenovane dvojne (DDR5) oziroma štirojne (QDR6) hitrosti delovanja, ki tako omogočata hitrosti 5 gigabitov/s oziroma 10 gigabitov/s pri isti hitrosti ure. Infiniband povezava točka-točka uporablja 8B/10B kodiranje, kar pomeni, da vsakih deset bitov prenesenih po žici nosi osem bitov informacije, kar pomeni, da vsaka serijska povezava nosi 2, 4 ali 8 gigabitov na sekundo.

Infiniband povezave pa lahko združujemo, da dobimo hitrejše povezave. Trenutno lahko združujemo v enotah po 4 oziroma po 12. Tako poznamo Infiniband povezavo 4X, ki lahko pri dvojni povezavi (DDR) doseže hitrosti 20 gigabitov na sekundo, kar v praksi pomeni 16 gigabitov na sekundo.

Tehnologija Infiniband uporablja način povezovanja preko stikal tako da ima vsaka povezava nek začetek in konec pri posameznem Infiniband vmesniku.

Slika 55: Poenostavljena slika delovanja Infiniband tehnologije

2Fiber Channel (FC) – več gigabitna tehnologija mrežnega povezovanja računalnikov

3Serial ATA (Serial Advanced Tehnology Attachment) ' tehnologija primarno namenjena povezovanju pomnilniških naprav v PC računalnikih

4 Single data rate (SDR) – enojna hitrost povezave

5 Double data rate (DDR) – dvojna hitrost povezave

6 Quad data rate (QDR) – štirojna hitrost povezave



Prednost Infinibanda je v nizki latenci. Tako imajo Infiniband SDR čipi latenco 200ns, medtem ko DDR čipi že podpirajo latenco manjšo od 140ns. Popolna latenca pa je seveda odvisna od tipa sporočila, ki ga prenašamo vendar ta tudi v najslabšem primeru ne preseže 2ms. Velika prednost Infiniband tehnologije je tudi tako imenovan neposreden dostop do oddaljenega pomnilnika (RDMA7), ki ima malo vpliva na delovanje procesorja in ima latenco pod eno mikro sekundo.

Podatki, ki jih prenašamo po povezavi tvorijo sporočilo do velikosti 4 kilobajtov. Sporočilo je lahko:

zahteva po branju oziroma pisanju neposredno v oddaljen pomnilnik (RDMA) prenos podatka po kanalu zahteva, ki je del transakcije in jo lahko prekličemo sporočilo namenjeno večim prejemnikom osnovna operacija.

Povezave med posameznimi Infiniband točkami so običajno realizirane z kabli CX4, ki jih uporabljajo različni proizvajalci za različne namene, kjer je vsem skupna velika hitrost prenosa podatkov po žici.

Proizvajalci Infiniband naprav so združeni v Infiniband Trade Association, ki skrbi za standarde povezane z Infiniband tehnologijo. Med večjimi partnetji v tej organizaciji lahko omenimo Cisco, IBM, Intel, Mellanox, QLogic, Sun in Voltaire.

Poleg omenjenega združenja obstaja tudi The OpenFabrics Alliance (OFA8), ki je neprofitna organizacija, ki poskuša pospešiti uporabo RDMA naprav v današnjih strežnikih in pomnilniških napravah. Ta organizacija je tudi prispevala največji delež gonilnikov za Infiniband naprave in vsi proizvajalci se trudijo, da je njihova oprema podprta s strani OFA.

OFA tako izdaja svoje gonilnike pod imenom OpenFabrics Enterprise Distribution9 (OFED) v katero so vključeni tudi programi za doseganje čim večjih hitrosti z uporabo RDMA pristopa.

7 Remote direct memory access (RDMA) –neposreden dostop do oddaljenega pomnilnika

8 The OpenFabrics Alliance (OFA)– neprofitna organizacija, ki podpira prenos RDMA tehnologij v današnje strežnike oziroma pomnilniške naprave9 Open Fabrics Enterprise Distribution (OFED)– zbirka gonilnikov in programov, ki podpirajo RDMA Infiniband naprave



7. KAKO SE IZOGNITI OKUŽBI RAČUNALNIŠKEGA SISTEMAOkužbi računalnika in s tem informacijskega sistema se lahko 100-odstotno izognemo le tako, da ga po namestitvi licenčne programske opreme nikoli ne priklopimo na splet in da vanj ne vnašamo podatkov iz zunanjih pomnilniških medijev. Slednje v sodobni družbi zaradi narave dela ni mogoče, saj predstavlja svetovni splet gonilo sodobnega razvoja. Čeprav se okužbam računalnikov s škodljivimi programskimi kodami ni mogoče povsem izogniti, obstajajo določena pravila oziroma priporočila, s katerimi lahko občutno omejimo možnost okužbe. Okužbi računalniškega oziroma informacijskega sistema se lahko najučinkoviteje izognemo z licenčno in odprtokodno programsko opremo, rednim posodabljanjem programske opreme, odklanjanjem reklamnih zgoščenk, previdnim deskanjem po svetovnem spletu, filtriranjem nezaželenih elektronskih sporočil, namestitvijo ustrezne protivirusne in druge programske zaščite, uporabo požarnega zida in izobraževanjem uporabnikov.

7.1 Licenčna in odprtokodna programska opremaZmanjševanje tveganja okužbe računalniškega sistema se začne že pri sami programski opremi. Kupovati in nameščati je potrebno vedno samo licenčno programsko opremo in odprtokodne rešitve. Piratska programska oprema je namreč lahko obogatena s stranskimi vrati (trojanci in črvi), preko katerih pirati nedovoljeno vstopajo oziroma vdirajo v informacijske sisteme in prenašajo, spreminjajo ali brišejo podatke bolj ali manj zaupne narave. Strokovnjaki za informacijsko varnost celo priporočajo, dav okoljih, kjer imamo opravka z občutljivimi podatki, uporabljamo le odprtokodne programske rešitve, saj so te praviloma varnejše od komercialnih. Slednja trditev velja predvsem zaradi tega, ker programsko kodo odprtokodnih programov preverja sočasno več milijonov ljudi in so zaradi tega varnostne pomanjkljivosti tudi hitreje odkrite in odpravljene. Pri tem je potrebno poudariti še, da na računalniške sisteme ne nameščamo programov, ki jih ne potrebujemo, saj z večanjem števila le-teh premo sorazmerno povečujemo tudi možnost okužbe računalniškega sistema. Vsako programsko opremo je potrebno pred namestitvijo pregledati s protivirusnim programom – tudi licenčno in odprtokodno.

7.2 Redno posodabljanje programske opremeProgramsko opremo je potrebno redno posodabljati, kar zajema tako varnostne popravke kot tudi nove različice programov. Ko hekerji odkrijejo ranljivost v določeni programski opremi, zanjo pripravijo namenske programe oziroma skripte, ki služijo kot sredstvo za izkoriščanje odkrite ranljivosti. Slednji programi so pogosto drugim uporabnikom prosto dostopni kar na spletu. Nepridipravi morajo nato le poiskati ranljive računalnike na svetovnem medmrežju in jih napasti z omenjenimi programi.

7.3 Odklanjanje reklamnih zgoščenkČe hočemo učinkovito zavarovati računalniški sistem pred napadom škodljivih programskih kod, ne smemo sprejemati reklamnih in drugih pomnilniških medijev, ki se pogosto delijo brezplačno. To velja še posebej za računalnike, ki jih uporabljamo v službi. Slednji so namreč lahko obogateni z zlonamernimi kodami. Podoben primer se je pripetil v nekem ameriškem podjetju, ko je konkurenčno podjetje delilo njihovim uslužbencem reklamne zgoščenke, na njih pa je bil trojanski konj, ki je prevzel podatke zaupne narave.

7.4 Previdno deskanje po svetovnem spletuKer se večina škodljivih programskih kod širi preko spleta (66,8%), je potrebno biti pri deskanju zelo previden. Statistično gledano se največ zlonamernih kod skriva na spletnih straneh z nelegalno in pornografsko vsebino, saj so le-te med najbolj obiskanimi. Večina škodljivih programskih kod se namesti samodejno, kar pomeni, da ne potrebuje jo nikakršne pomoči s strani uporabnika. Da se tovrstni programi namestijo, mora imeti uporabnik t.i. administratorske pravice. Zaradi slednjega strokovnjaki za informacijsko varnost priporočajo, da se pri deskanju po spletu poslužujemo uporabniškega računa z omejenimi pravicami (ang. Limited user). V podjetjih se pogosto izkaže za učinkovito sredstvo zoper zlonamerne kode postavitev zastopnega požarnega zida (proxy) z vgrajenimi programskimi filtri. Zastopni požarni zid oziroma strežnik proxy se uporablja z varnostnega vidika z namenom, da zaposleni ne obiskujejo spletnih strani, ki bi lahko ogrozile varnost sistema. V ta sklop sodijo spletne strani s pornografsko, nasilno in nelegalno programsko vsebino, strani s spletnimi igrami in podobno. Dostop do omenjenih spletnih strani administratorji preprečijo s ključnimi besedami, kot so npr. crack, serial, games. V primeru, da se v zahtevani spletni strani nahajajo vnesene ključne besede, strežnik proxy prekine uporabniku dostop do spletne strani in mu na zaslon izpiše opozorilo.



7.5 Filtriranje nezaželenih elektronskih sporočil Dobra šestina škodljivih programskih kod se širi v obliki priponk preko elektronske pošte. Tu smo Slovenci nekoliko manj na udaru, saj so tovrstna sporočila pogosto napisana v angleškem in nemškem jeziku. Za tovrstne primere velja načelo, da moramo vsako sporočilo, katerega pošiljatelja ne poznamo, nemudoma izbrisati. Pri tem opravilu se lahko poslužujemo tudi posebnega filtra, ki odstranjuje nezaželena elektronska sporočila (spam). Priporočljivo je tudi, da nam vsako prejeto sporočilo pregleda protivirusni program. Filtriranje nezaželenih sporočil lahko organizaciji predstavlja oviro pri poslovanju, saj mehanizem lahko generira alarme tudi v primeru, ko sporočilo ni nezaželeno. Tovrsten pojav imenujemo lažni alarmi (false positives). Zaradi slednjega je priporočljivo, da je samodejni filter elektronskih sporočil nastavljen na najnižjo stopnjo, s čimer podjetje ne izgubi pomembnih sporočil.

7.6 Namestitev ustrezne protivirusne in druge programske zaščiteKo imamo računalnik priključen na splet, moramo nujno imeti nameščeno tudi ustrezno protivirusno zaščito. Ta zajema protivirusne programe, ki odkrivajo in odstranjujejo zlonamerne kode. Protivirusna zaščita je lahko učinkovita le v primeru, da so protivirusni programi deležni redne oziroma pravočasne posodobitve, kajti le ažurna protivirusna baza lahko nudi ustrezno zaščito. Večina protivirusnih programov omogoča samodejno posodabljanje baze, kar pomeni, da ne potrebuje posebne pozornosti uporabnika. Protivirusni program je potrebno tudi pravilno nastaviti. Najbolj učinkovito zaščito lahko dosežemo le tako, da protivirusni program v realnem času pregleduje datoteke, ki se pretakajo po informacijskem sistemu oziroma računalniku. Poleg protivirusne zaščite je potrebno imeti še programska orodja za odstranjevanje računalniške nesnage in trdovratnih orodij »rootkit«.

7.7 Uporaba požarnega zidaPožarni zid je varnostni sistem, ki deluje kot zaščitni zid med lokalnim in zunanjim omrežjem. Požarni zid oziroma firewall nastopa kot celota programskih in strojnih komponent, ki preprečujejo neavtorizirano spreminjanje, dodajanje ali brisanje podatkov na lokalnem omrežju. Poleg tega nepridipravom preprečuje, da bi se povezali na informacijski sistem in nanj namestili zlonamerno kodo. Požarni zid je edina vstopna točka, preko katere lahko napadalec izvede napad na vire v zaščitenem oziroma zasebnem delu omrežja.Med naprednejše funkcije požarnega zida štejemo preslikavo (zasebnih) omrežnih naslovov IP, kar omogoča skupno rabo spletne povezave (NAT), demilitarizirano cono, ki omogoča ločen priklop bolj izpostavljenih naprav (npr. spletnih strežnikov), kontekstno odvisni nadzor dostopa, ki na podlagi protokolov dinamično dovoli dostop do storitev in šifriranje preko tunelske povezave in možnost postavitve navideznega privatnega omrežja (angl. oznaka VPN).

7.8 Izobraževanje uporabnikovPoleg omenjenih ukrepov je zelo pomembno tudi redno izobraževanje uporabnikov. Uporabniki so namreč tisti, ki imajo pogosto odločilno vlogo pri omejevanju širjenja škodljivih programskih kod. Pri opravljanju dela lahko kaj hitro okužijo računalnik in informacijski sistem s škodljivimi programskimi kodami, če pri tem ne upoštevajo varnostnih pravil. Odpiranje neznanih poštnih priponk in obisk spletnih strani s sumljivo vsebino sta le delca človeške radovednosti, ki večkrat povsem nezavedno pripeljeta do okužbe s škodljivo programsko kodo. Glede na hitrost širjenja sodobnih računalniških črvov se lahko okužba z enega računalnika v podjetju v nekaj minutah preseli še na vse ostale delovne postaje in strežnike, še posebej v t.i. kritičnem obdobju(ob izbruhih novih virusov). Podjetja oziroma strokovnjaki v podjetjih bi morali večkrat letno podučiti zaposlene o nevarnih posledicah računalniških virusov in ustrezni preventivi. Tudi sankcije, predvsem finančne, so ena izmed metod osveščanja zaposlenih. Ameriška študija laboratorijev ICSA Labs vsako leto nazorno kaže določen delež zaposlenih, ki med učinke ter posledice računalniških virusov prištevajo tudi nevarnost izgube delovnega mesta. Cilj podjetij je doseči zavedanje nevarnosti in škode pri svojih zaposlenih, ki jo lahko okužba z računalniškim virusom povzroči v podjetju. Razložiti jim morajo tudi načine, kako se pred virusi ubraniti, in kaj storiti, če do okužbe z računalniškim virusom dejansko pride. (Vir: http://www.snt.si/boxcontent/Kako.pdf 22.9.2013)


http://www.snt.si/boxcontent/Kako.pdf%2022.9.2013


7.9 Programska oprema - Programi za filtriranje spletnih vsebin

Programi za filtriranje neželjenih spletnih strani in ostalih vsebin omogočajo, da lahko otroci dalj časa uporabljajo računalnik in internet brez dodatnega nazdora. Osnovna zaščita je sicer že vgrajena v operacijskem sistemu Windows, vendar je včasih tudi potrebna dodatna specializirana programska oprema, ki omogoča filtriranje spletnih strani, časovno omejitev brskanja in pregled zgodovine obiskanih strani.

Microsoft Family Safety (Družinska varnost)

Družinska varnost je brezplačen program in omogoča, da sami določite, kako bodo otroci doživljali internet. Lahko omejite iskanja, blokirate ali dovolite določena spletna mesta, odločate s kom bodo komunicirali, ko uporabljajo Windows Live Messenger, Hotmail ali Spaces, in nadzorujete, kaj v spletu so obiskali.

Podrobna poročila o dejavnosti za posameznega otroka prikazujejo seznam vseh spletnih mest, ki so jih otroci obiskali (ali poskušali obiskati), in podatek o tem, ali je bil ogled dovoljen ali blokiran. Z vgrajeno odobritvijo stikov in spletnih mest lahko izveste, s kom se otroci pogovarjajo po e-pošti ali spletnih dnevnikih prek storitev Windows Live ali z neposrednimi sporočili s programom Windows Live Messenger. Vpišite se v spletno mesto Družinska varnost in odobrite ali zavrnite vsak novi stik. S spletnega mesta »Družinska varnost«, do katerega lahko dostopate iz skoraj katerega koli računalnika v spletu, lahko dostopate do varnostnih nastavitev za otroke in jih prilagajate. Program je na voljo tudi v slovenskem jeziku.

R-Filter

Aplikacija R-filter, ki vam je dodatek Internet Explorerju. Dodatek se ob instalaciji prikaže kot nov gumb v orodni vrstici Internet Explorerja ter v Explorerjevem menuju Orodja. Osnovna naloga aplikacije je filtriranje spletnih strani z neprimerno vsebino, izkazalo pa se je, da je R-filter uporaben tudi v druge namene. Kaj je neprimerna vsebina, boste lahko določili sami, saj boste imeli le vi dostop do nastavitve filtra. R-Filter je namenjen šolam in staršem, ki želijo svoje otroke zaščititi pred neprimernimi vsebinami na svetovnem spletu.

K9 Web Protection

Popolnoma brezplačen in zelo kvaliteten program vam bo omogočil filtriranje spletnih strani gleda na različne kriterije in bo za večino uporabnikov predstavljal kvalitetno rešitev. Na žalost omogoča le kontrolo na spletnimi stranmi in ne nad programi, ki jih otroci zaganjajo. Program ni na voljo v slovenskem jeziku.

Child Control

Na žalost dobre stvari niso brezplačne, pa boste za ta program, ki je eden izmed najboljših, odšteli 30 evrov. Možnosti so velike in mu je težko najti slabosti. Omogoča blokiranje spletnih strani in programov na podlagi vseh mogočih parametrov, prav tako pa omogoča tudi definiranje različnih sigurnostnih stopenj. Program ni na voljo v slovenskem jeziku.

CyberPatrol


http://download.live.com/familysafety

http://www.raziskovalec.com/filter/

http://www1.k9webprotection.com/

http://www.salfeld.com/software/parentalcontrol/index.html

http://www.cyberpatrol.com/


Še eden od solidnih programov za filtriranje, vendar na žalost komericalen. Za eno leto zaščite in varnega brskanje svojega otroka, je potrebno odšteti 40 ameriških dolarjev, vendar pa si lahko prenesete tudi preiskusno različico. Program ima vse možnosti kot prej omenjeni Child Control, vendar je administracija nekoliko zakomplicirana. Program ni na voljo v slovenskem jeziku.

NetNanny Home Suite

Ko je govora o zaščiti otrok na Internetu in starševskemu nadzoru, je program NetNanny eden on najuspešnejših. Program omogoča filtriranje vsebin na spletu, preprečevanje zagona določenih programov, do nastavitev programa pa lahko dostopamo od kjerkoli na internetu zahvaljujoč oddaljenemu dostopu do računalnika. Program ni na voljo v slovenskem jeziku. Na voljo je 14 dnevna preizkusna različica, licenčni program pa stane 50 ameriških dolarjev.

KidsWatch Time Control

Zanimiv program, omogoča nastavitve časa, ki ga otroci lahko preživijo na internetu. Samodejno odjavi uporabnika po času, ki ga nastavite. Omejite lahko tudi nameščanje programov in zagon določenih. Program ni na voljo v slovenskem jeziku, licenčna različica pa stane 30 ameriških dolarjev.

Safe Eyes

Safe Eyes bi lahko poimenovali tudi roditeljski nadzor interneta. Program omogoča, da zaščitite vašega otroka na internetu. Zakaj? Zato, ker je internet poln neprimernih strani, vsebin, predvsem za otroke. Zaščitite ga pred neprimerno vsebino kot je pornografija, droge, nasilje ... Program ni na voljo v slovenskem jeziku. Preiskusna različica je dostopna za obdobje 15 dni, licenčna različica pa stane 50 ameriških dolarjev.

7.10 Programi za filtriranje spam pošteKar 80 odstotkov pošte, ki danes kroži po internetu je nezaželene (take, ki je nismo zahtevali), ta pa lahko pride tudi do otrok. Nepazljiva objava e-poštnega naslova na internetu lahko povzroči dotok nezaželene pošte. Določeni programi lahko na internetu zbirajo e-poštne naslove in sestavljajo dopisne sezname, na katere nato masovno posredujejo nezaželeno pošto. Podjetja, ki sodeluje jo v takih dejavnostih, se navadno nahajajo v državah, kjer zakonodaja ne preprečuje tovrstnega vsiljevanja pošte. Neželena pošta je najpogosteje povezana s pornografijo,ponarejenimi zdravili, dvomljivimi finančnimi transakcijami itd. Poleg tega lahko z nezaželeno pošto dobimo tudi škodljive programe. Največkrat širijo tovrstno pošto osebe s slabimi nameni. Svojo družino lahko zaščitite z uporabo slednjih nasvetov:

Uporabite » filtre za nezaželeno pošto«. Vaš ponudnik e-poštnih storitev verjetno ponuja možnosti za filtriranje nezaželene pošte, ki jih lahko vklopite v svojem e-poštnem odjemalcu.

Naučite otroke, naj ne odpirajo e-pošte neznanih pošiljateljev. Nezaželena pošta skoraj vedno vsebuje obetavno zvene o zadevo in priponke. Pokažite jim, kako blokirajo pošiljatelja, oziroma jih prosite naj sumljiva sporočila brišejo. http://temena.famnit.upr.si/files/files/OVV_knjiga.PDF

V boju z vedno večjo količino neželene oziroma vsiljene pošte (SPAM) ponudniki internetnih storitev in programske opreme vedno znova uvajajo nove filtre za neželeno pošto. Nehote je tako ogromno zakonitih elektronskih sporočil napačno označenih kot vsiljena pošta in ta sporočila niso dostavljena v nabiralnik za prejeto pošto (INBOX). Ta napačno označena sporočila so posledično blokirana, dostavljena v mape za vsiljeno ali množično pošto ali celo samodejno izbrisana.


http://temena.famnit.upr.si/files/files/OVV_knjiga.PDF

http://www.netnanny.com/

http://www.kidswatch.com/


Kategorija programov za filtriranje spam pošte je težka za običajne uporabnike, saj so filtri običajno zapleteni za nastavitev. Najboljši programi v tej kategoriji so sicer plačljivi, obstaja pa tudi MailWasher, ki je za povprečnega uporabnika najboljša brezplačna rešitev.

7.10.1 MailWasher

MailWasher je orodje za predogled elektronskih sporočil, ki vam omogoči, da pregledate pošto na strežniku, preden jo prenesete na vaš računalnik. Prednost tega pristopa je, da lahko izbrišete vsa nezaželena sporočila vključno s spamom, virusi in sporočili z velikimi prilogami, preden se le-ta dotaknejo vašega računalnika. Program tudi označi vsa sporočila, za katera meni, da so spam ali vsebujejo nevarne priloge. MailWasher je sicer plačljiv, vendar si lahko prenesete zadnjo brezplačno različico tukaj.

7.10.2 SMTP RelayPrednost SMTP Relay fitriranja nezaželene pošte, je v tem, da podjetje ne rabi kupiti nobenih licenc in ne rabi administratorja, ki bi administriral filtriranje nezaželene pošte. Administracijo za vas opravlja lokalno specializirano podjetje, filtriranje nezaželene pošte pa se izvaja neposredno pri ponudniku filtriranja na SMTP Relay. Tako vam SMTP Relay odstrani kar do 99,5% neželene pošte. Poleg tega pa ponuja tudi izvrstna statistična poročila in enostavno nastavljanje filtrov neželene pošte, ter tako omogoča uporabnikom popoln nadzor nad stanjem e-pošte.

SMTP Relay filtriranje nezaželene pošte, deluje tako, da dohodno elektronsko pošto prehodno pregleda tako imenovani antispam gateway, tako da le ta predhodno pregleda vso elektronsko pošto usmerjeno na ta strežnik. Iz vse pošte odstrani nezaželeno pošto in pošto okuženo z zlonamerno kodo (virus, trojanski konji, malware, spyware,..). Ko je elektronska pošta pregledana, jo posreduje naprej na vaš poštni strežnik. Vso odstranjeno pošto, ki jo niste prejeli na elektronski predal, lahko pregledate na antispam gateway, kjer je vsa nezaželena pošta v tako imenovani karanteni.

Podoben MailWasherju je tudi XTerminator, ki deluje na podoben način. XTerminator je popolnoma brezplačen.

7.10.3 SpamAssassin

Nezaželeno elektronsko pošto prepoznava program SpamAssassin (www.spamassassin.org). Tako kot antivirus tudi antispam program pregleda vsako elektronsko sporočilo, ki prispe v poštni strežnik. Za prepoznavanje ne uporablja knjižnice nezaželenih sporočil, saj to ne bi bilo smiselno – reklame za viagro in podobna sporočila se namreč nenehoma spreminjajo. SpamAssassin uporablja zbirko pravil, s katerimi skuša oceniti, ali ima elektronsko sporočilo tipične elemente neželene pošte – neobičajna ločila v naslovu, čudne naslovnike, nepravilnosti v zaglavju (header) sporočila, omenjanje viagre ali kup dolarskih znakov in podobno. Vsak najden element prispeva k skupni oceni in če ta presega določeno mejo, sporočilo razglasimo za spam. Ta mehanizem seštevanja preprečuje, da bi en sam sumljiv element povzročil, da sporočilo po krivem proglasimo za spam. Dva zdravnika si zato mirno lahko dopisujeta o klinični rabi viagre, ne da bi zato sporočilo razglasili za spam. (Vir: http://www.kerberos.si/pdfs/Varno_omrezeni.pdf )

7.11 Nadzor pretoka podatkov med omrežji

7.11.1 VDOROBRAN (Firewall)

Vdorobran, ki ga bolj poznamo pod njegovim angleškim imenom »Firewall«, je računalnik, ki filtrira in nadzira pretok podatkov med dvema računalniškima omrežjema. Vdorobran navadno »sedi« med internetom in našim krajevnim omrežjem, njegova naloga pa je, da preprečuje neželeni promet iz zunanjega sveta - interneta – v našo krajevno omrežje (LAN), hkrati pa prepušča želeni oz. legitimni promet v krajevno omrežje in iz njega.


http://www.kerberos.si/pdfs/Varno_omrezeni.pdf

http://www.spamassassin.org/


Narediti popolnoma varno omrežje je namreč zelo enostavno. Dovolj je, da vse računalnike in njihovo povezovalno opremo zaklenemo v klet in da jih nikoli in pod nobenim pogojem ne vklopimo. In čeprav bi bilo takšno omrežje popolnoma varno, bi bilo prav tako popolnoma neuporabno. Izziv je narediti takšno obrambo, ki nam ne ovira vsakdanjega dela. Pomembna lastnost vdorobranov ni samo, kako dobro in hitro filtrirajo promet, temveč tudi, kako odporen na zlorabe je tudi sam vdorobran.

Kakovostni vdorobrani omogočajo celo vrsto storitev in nudijo zelo sofisticirane načine fi ltriranja, ki pa so mogoči le na precej zmogljivih operacijskih sistemih. Problem je preprost: vdorobran naj varuje krajevno omrežje pred vdori, ki jih omogočajo pomanjkljivosti v operacijskih sistemih in programju – ali naj na vdorobranu teče isti luknjasti operacijski sistem, ki nam povzroča težave že na naših računalnikih?

ANTIVIRUSNI FILTER

Clam Antivirus

Clam (www.clamav.net ) je vodilni nekomercialen antivirusni program, ki ga odlikujejo hitrost, zmogljivost in fleksibilnost. Nameščen je skupaj s strežnikom qmail, tako da pošto pregleda takoj, ko ta pride v strežnik; tudi arhivske datoteke v priponkah sporočil zanj niso ovira. Za prepoznavanje virusov uporablja lastno knjižnico podatkov o virusih, ki se samodejno obnavlja preko interneta nekajkrat dnevno. Od dragih komercialnih izdelkov (Symantec/Norton, Kaspersky Labs in drugi) se razlikuje v tem, da za knjižnico podatkov o virusih skrbijo prostovoljci - vseeno uspešno prepozna preko 20.000 različnih virusov.


http://www.clamav.net/


8.1 Varnost podatkov

V današnji informacijsko usmerjeni družbi sta varnost in ohranjanje razpoložljivosti računalniških podatkov ključnega pomena. Vedno večja vloga, ki jo imajo digitalne informacije, zahteva povečan nadzor nad tem, kako so ti podatki hranjeni in zaščiteni. Varovanje digitalnih podatkov je zahtevna naloga, še posebno, če se podatki nahajajo na več strežnikih, na delovnih postajah, v oddaljenih pisarnah po vsem svetu in na številnih prenosnikih (istor.net). Podatki so najpomembnejši del vsakega informacijskega sistema. Varovanje podatkov je izziv, s katerim se srečujemo vsi uporabniki, posebej pa podjetja. Zaradi hitrega ritma življenja in prepričanja, da te vrste stroškov ne potrebujemo, velikokrat podatke varujemo neredno oziroma nekakovostno. Tega dejstva se običajno zavemo šele takrat, ko jih izgubimo. Na njihovo izgubo ali okvaro lahko vplivajo človeški, tehnični in naravni oziroma okoljski vzroki.

Kaj so najpogostejši vzroki izgube podatkov? Na prvem mestu so tehnične okvare, sledijo okvare in napake programske opreme in napake, ki jih povzročajo ljudje s svojimi dejanji. Med nekoliko manj pogostejše vzroke za izgubo podatkov, prištevamo še škodljivo programsko opremo in naravne nesreče. Kljub temu, da so naravne nesreče najmanj pogoste, jih lahko predvidimo. Velikokrat si mislimo: nam se to ne bo zgodilo. To je na žalost največja iluzija, s katero živimo in mnogokrat to ne velja samo za varovanje podatkov. Če optimistično verjamemo, da se nam naravna nesreča ne bo zgodila, pa vselej lahko predvidimo nesreče zaradi malomarnosti ali nerodnosti (Telemach).

Nekaj dejstev v zvezi z izgubo podatkov:

94% podjetij, ki utrpi večjo izgubo podatkov, propade, 43% jih po izgubi podatkov sploh ne nadaljuje s poslovanjem, 51% podjetij pa zaprejo v dveh letih.

7 od 10 malih in srednje velikih podjetij, kjer je prišlo do večje izgube podatkov, propade v enem letu.

93% podjetij, kjer je prišlo do nedosegljivosti podatkov za 10 dni ali več, propade v manj kot 12 mesecih.

77% tistih podjetij, ki testirajo varnostne kopije na trakovih, je ugotovilo težave s trakovi.

Oblikovanje kakovostnega varnostnega načrta za varovanje podatkov ni tako enostavno, kot se zdi na prvi pogled. Načrtovanja in izvajanja varnostnega kopiranja podatkov se moramo lotiti načrtno in sistematično. Velikokrat se pomembnosti tovrstnega početja ne zavedamo, saj podatkov iz varnostnih kopij ne potrebujemo, vse dokler se z njimi kaj ne zgodi. Večje organizacije izziv sprejmejo brez velikih težav. Za manjše organizacije in končne uporabnike pa stroški hitro postanejo obsežnejši, kot smo sprva predvidevali. Vzrokov za to je več. Potrebno je narediti primerno raziskavo in izbrati opremo, s katero bomo varovali podatke ter vlagali v nakup ustrezne strojne in programske opreme.

Namestitev opreme zahteva strokovni kader, kupljeno opremo moramo ustrezno fizično varovati, uporabnike pa ustrezno izobraziti ter spremljati, ali se varnostno kopiranje opravlja redno. Če smo se odločili za varovanje podatkov na prenosljivih medijih, moramo zagotoviti ustrezna sredstva za njihovo nabavo ter s časom ustrezno menjavati opremo zaradi zastarelosti. Stroški, povezani z vzdrževanjem in popravili opreme so nepredvidljivi.

Poleg vzpostavitve rešitve na lokaciji moramo za kakovostno varovanje podatkov nujno poiskati rezervno lokacijo. Podatki morajo biti varovani na razpršenih dislociranih lokacijah, da so povsem neodvisni od stanja naše opreme. Požar, poplave, potresi, kraja opreme ne ogrožajo naših podatkov. Rešitev moramo zasnovati na podlagi preizkušene in strogo namenske opreme z redundantnimi povezavami, redundantnimi energetskimi viri ter zrcaljenjem podatkov na dveh dodatnih oddaljenih lokacijah. Oprema in podatki morajo biti pod nadzorom 24 ur na dan, vse dni v tednu. To v največji možni meri onemogoči izgubo podatkov zaradi okvare oziroma poškodbe opreme. Vsako nepravilno delovanje strojne in programske opreme se odkrije in prične odpravljati takoj. Zaradi okvar strojne in programske opreme storitev varovanja nikakor ne sme biti motena. Oprema ter lokacije morajo imeti status varovanih območij, kar pomeni, da so nenehno pod nadzorom varnostne tehnične opreme in varnostnega osebja. Varovanje moramo izvajati v skladu s standardi ISO 27001. Opremo, s katero opravljamo varnostno kopiranje, moramo redno vzdrževati in nadgrajevati. Le tako lahko uporabnikom



zagotovimo, da so podatki varovani z zadnjimi najboljšimi, svetovno preizkušenimi in priznanimi rešitvami. Priporočljivo je tudi, da podatke šifriramo in zavarujemo s pristopnim geslom, tako da so dostopni samo pooblaščenim osebam (Jančigaj, 2007).

8.2 Varnostno kopiranje in arhiviranje podatkov

Pomena varnostnega kopiranja in arhiviranja podatkov se zaveda sleherni uporabnik osebnega računalnika, a nanj pogosto pomisli šele takrat, ko je že prepozno. Zagotovo k temu pripomore zamudnost in kompleksnost tega sicer zelo pomembnega opravila. Malo pa tudi neznanje, saj lahko z nekaj truda ta proces v celoti avtomatiziramo (Lampret, 2009).

Pogosto zamenjujemo oz. enačimo pojma varnostno kopiranje in arhiviranje podatkov. Pri varnostnem kopiranju (angl. backup) podatke ščitimo pred spremembami, pretvorbami, brisanjem ali koruptiranjem, medtem ko gre pri arhiviranju (angl. Archive) za dolgoročno hrambo podatkov, ki se več ne spreminjajo.

Načela varnostnega kopiranja podatkov se v zadnjih letih niso bistveno spremenila. Vidnejši spremembi sta shranjevanje podatkov na naprave z naključnim dostopom (angl. disk based backup) in tehnologija za kontinuirano zaščito podatkov (angl. Continuous Data Protection). Tračne knjižnice z zaporednim dostopom do podatkov so najbolj razširjen način shranjevanja podatkov. Dosegajo lahko visoke hitrosti in veliko kapaciteto. Slabost te tehnologije je zanesljivost robotike, pogonov in medijev ter zaporedni dostop do podatkov, kar velikokrat onemogoča hitro vračanje podatkov. Zato jih počasi že nadomeščajo naprave z naključnim dostopom do podatkov, ki jih imenujemo diskovne ali virtualne tračne knjižnice. Slednje so zanesljivejše in omogočajo hitrejše shranjevanje ali restavriranje podatkov.

Diskovno tehnologijo lahko pri varnostnem kopiranju podatkov uporabimo na več načinov. Prvi je uporaba tehnologije JBOD (angl. Just a Bunch Of Disk), kar pomeni uporabo običajnih trdih diskov, ki so priklopljeni direktno na strežnik za centralizirano varnostno kopiranje podatkov. Drugi je uporaba diskovne knjižnice (angl. Disk Library ali Virtual Tape Library), ki se priklopi direktno na podatkovno omrežje SAN. Posebnost diskovne knjižnice je v tem, da se je programska oprema za varnostno kopiranje podatkov ne zaveda. Proti njej se predstavlja za tračno knjižnico. Kljub vrsti ključnih prednosti diskovne tehnologije pred tračno moramo razmišljati tudi o varovanju podatkov za primer katastrofe na primarni lokaciji (požar, poplava, potres, itd.). Ker podatkov z diskovne knjižnice ne moremo iznašati, je potrebno za iznos uporabiti tračne medije ali zagotoviti replikacijo oziroma kopiranje med diskovnimi knjižnicami, ki se nahajajo na ločenih lokacijah.

Varovanje v realnem času oz. kontinuirano varnostno kopiranje podatkov (angl. Continuous Data Protection) omogoča varovanje podatkov v realnem času. To pomeni, da se v realnem času zajame vsaka sprememba na pomnilniškem podsistemu, kar kasneje omogoča vzpostavitev v poljuben čas, do sekunde natančno. S pomočjo posebnih naprav lahko zagotavljamo kontinuirano zaščito vseh operacijskih sistemov ali aplikacij. Tak način zaščite podatkov je primeren za strežnike in aplikacije, ki jih zaradi varnostnega kopiranja podatkov ne smemo obremenjevati, zanje pa potrebujemo kontinuirano zaščito podatkov in možnost instantne vzpostavitve v poljuben čas. Drug način uporabe CDP je na nivoju operacijskih sistemov. Ideja teh posebnih agentov izhaja iz prepričanja, da varnostno kopiranje enkrat dnevno preprosto ne zadostuje. Na določenih dokumentih se spremembe lahko dogajajo zelo pogosto, cilj pa je, da se zaznajo takoj ter se hkrati tudi ustrezno zavarujejo.

Testiranje integritete je bistvenega pomena, saj varnostne kopije potrebujemo predvsem v neugodnih situacijah. Načrti za okrevanje so pomemben del načrta za neprekinjeno poslovanje organizacij. Načrt za okrevanje natančno določa vse postopke in aktivnosti, ki jih je potrebno v kritičnih situacijah izvesti. V IT okolju se za varnostno kopijo običajno omenja le tista, ki je narejena na tračno enoto in pod točno določenimi pogoji. Domači uporabniki in manjša podjetja, ki si ne morejo privoščiti investicije v drage sisteme varnostnega kopiranja podatkov, se zato najpogosteje poslužujejo enega od sledečih načinov:

varnostno kopiranje podatkov, prenesenih na disk v drugem računalniku, varnostno kopiranje podatkov na zunanji mrežni disk (po možnosti vsaj 2 diska v RAID polju), arhiviranje podatkov na CD/DVD medije,



varnostno kopiranje na USB ključke ali zunanje USB trde diske.

Pri shranjevanju podatkov na medije je problematična tudi življenjska doba zapisana njih, ki je med drugim odvisna od samega shranjevanja medijev, kakovosti medijev in rokovanja z njimi. Priporočljivo je, da berljivost medijev vsake toliko časa preverimo ter čez čas podatke prekopiramo tudi na nove medije.

Nobena od teh metod ne zagotavlja visoke stopnje varnosti podatkov. Problem je predvsem v fizični lokaciji medija z varnostno kopijo. Danes se veliko uporabljajo metode, kjer se podatki shranjujejo na oddaljene lokacije. Zelo priljubljeno je t.i. hranjenje podatkov v oblaku. Podatki so v primeru, da govorimo o »javnem« oblaku shranjeni na lokaciji oz. na več različnih lokacijah izven podjetja. Lahko pa postavimo tudi »zasebni« oblak, če želimo podatke hraniti v podjetju. Seveda imajo tudi te tehnologije določene slabosti. Problematično je recimo samo pošiljanje in vračanje podatkov iz oddaljenih lokacij, kjer moramo poleg varnosti podatkov zagotoviti tudi varno povezavo med prenosom le-teh. Problem lahko nastane tudi pri pošiljanju in vračanju velike količine podatkov, saj sam prenos traja običajno dlje kot v lokalnem omrežju. Vprašati pa se moramo tudi, če lahko ponudniku zaupamo svoje podatke (Merljak, 2009).

8.2.1 Varnost podatkov v operacijskem sistemu Windows

V operacijskem sistemu Windows so dovoljenja za dostop do podatkov močno odvisna od datotečnega sistema, ki ga uporabljamo. Trenutno se največ uporablja datotečni sistem NTFS (angl. New Technology File System), ki omogoča tudi največ dovoljenj na mapah in datotekah.

Dovoljenja v NTFS datotečnem sistemu lahko nastavljamo lokalno ali pa za zaščito map in dokumentov v skupni rabi. V primerjavi z dovoljenji skupne rabe nam lokalna nudi številna dodatna dovoljenja. Na voljo so naslednja osnovna dovoljenja:

poln nadzor (uporabniki lahko vidijo vsebino mape ali datoteke, spreminjajo obstoječe datoteke in mape, ustvarjajo nove datoteke in mape ali zaganjajo programe v mapi);

spreminjanje (uporabniki lahko spreminjajo obstoječe datoteke in mape, ne morejo pa ustvarjati novih);

branje in izvajanje (uporabniki lahko vidijo vsebino obstoječih datotek in map ter lahko zaganjajo programe v mapi);

branje (uporabniki lahko vidijo vsebino mape ter odpirajo datoteke in mape); pisanje (uporabniki lahko ustvarjajo nove datoteke in mape ter spreminjajo obstoječe datoteke

in mape).

Poleg teh dovoljenj poznamo še posebna dovoljenja:

poln nadzor, ki omogoča dodeljevanje dovoljenj tudi ostalim uporabnikom; prečkanje mape omogoča ali prepoveduje premikanje preko omejene mape do posameznih

datotek in map v okviru omejene mape v hierarhiji map. Izvajanje mape omogoča ali zavrača delovanje programske (izvršljive) datoteke;

naštevanje map in branje podatkov omogoča ali zavrača ogled imena datotek in podmap znotraj mape ter ogled in branje podatkov v datotekah;

atribut za branje omogoča ali prepoveduje ogled osnovnih atributov; branje razširjenih atributov omogoča ali prepoveduje ogled razširjenih atributov datoteke ali

mape; ustvarjanje datotek omogoča ali prepoveduje ustvarjanje datotek znotraj mape; pisanje podatkov omogoča ali prepoveduje spreminjanje datoteke in pisanje čez obstoječo

vsebino; ustvarjanje map omogoča ali prepoveduje ustvarjanje podmap znotraj mape. Dodajanje

podatkov omogoča ali prepoveduje spreminjanje končnega dela datoteke; atributi za pisanje in razširjeni atributi se nanašajo na pravice spreminjanja teh atributov; brisanje podmap in datotek dodeljuje pravico za brisanje podmap in datotek, tudi v primeru, če

dovoljenje za brisanje določeni podmapi oziroma datoteki ni bilo dodeljeno; dovoljenje za branje omogoča ali prepoveduje dovoljenje za branje datotek ali map;



spreminjanje dovoljenj omogoča ali prepoveduje spreminjanje dovoljenj nad določeno datoteko ali mapo;

prevzem lastništva omogoča ali prepoveduje prevzem lastništva nad določeno datoteko ali mapo.

Datoteke podedujejo dovoljenja od mape. Mape podedujejo nastavitve od nadrejene mape. Uporabnik lahko dostopa do mape le, če ima dovoljenje ali pripada skupini, ki ima dovoljenje za mapo. Dovoljenja so kumulativna. Prepoved ima največjo prioriteto in prednost tudi pred polnim nadzorom. Uporabnik, ki ima dodeljen poln nadzor nad mapo, lahko izbriše vse podmape in datoteke, ne glede na njegova dovoljenja do podmap in datotek. Uporabnik, ki ustvari datoteko ali mapo, postane tudi njun lastnik. Lastništvo je največje dovoljenje, ki mu omogoča spreminjanje dovoljenj. Tudi če administrator uporabnika odstrani iz seznama dovoljenih uporabnikov datoteke oziroma mape, lahko ta še vedno popravi dovoljenja. Administrator in člani privilegirane lokalne skupine administrators lahko vedno prevzamejo lastništvo nad mapo ali dokumentom. Lastništvo lahko tudi dodelijo drugemu uporabniku.

8.2.2 Varnost podatkov v operacijskem sistemu Linux

V operacijskem sistemu Linux je običajno več kot en uporabnik, zato Linux ponuja mehanizem, znan kot dovoljenja datotek, ki ščiti uporabniške datoteke pred pregledovanjem drugih uporabnikov. Ta mehanizem omogoča datotekam in imenikom, da so »last« točno določenega uporabnika. Uporabnik, ki je ustvaril datoteke v svojem domačem imeniku, je tudi njihov lastnik in ima do njih dostop. Linux tudi dovoljuje delitev datotek med uporabniki in skupinami uporabnikov. Če lastnik datotek želi, lahko onemogoči uporabnikom dostop do svojih datotek. Na večini sistemov je drugim uporabnikom dovoljeno branje svojih datotek, ne pa tudi njihovo spreminjanje ali brisanje.

Vsako datoteko si lasti določen uporabnik. Vendar so datoteke tudi last določene skupine (angl. group) uporabnikov sistema. Vsak uporabnik se ob kreiranju uporabniškega računa dodeli vsaj v eno skupino. Sistemski administrator lahko podeli uporabniku dostop do več kot ene tovrstne skupine.

Skupine navadno določa vrsta uporabnikov, ki dostopajo do računalnika, na primer na šolskem sistemu Linux so lahko uporabniki razdeljeni v skupine učenci, učitelji, administrativni delavci in gostje. Obstaja tudi nekaj sistemsko definiranih skupin (kot sta skupini bin in admin), ki jih uporablja sam sistem za nadzor dostopa do virov. Dovoljenja so razdeljena v tri glavne oddelke: branje, pisanje in izvajanje. Ta dovoljenja so lahko dana trem razredom uporabnikov: lastniku datoteke, skupini, kateri pripada datoteka in vsem uporabnikom, ne glede na skupino.

Dovoljenje za branje pusti uporabniku brati vsebino datoteke ali v primeru imenikov izpis vsebine imenika. Dovoljenje za pisanje dovoljuje uporabniku pisanje ali spreminjanje datoteke. Pri imenikih dovoljenje za pisanje dovoljuje uporabniku ustvarjanje novih datotek ali brisanje starih datotek v tem imeniku. Končno, dovoljenje za izvajanje dovoljuje uporabniku pogon datoteke kot programa ali skripta ukazne lupine.

Poglejmo primer, ki demonstrira dovoljenja datotek. Z uporabo ukaza »ls – l« se prikaže »dolgi« izpis imena datoteke, vključno z dovoljenji za uporabo te datoteke.

drwxr--r-- 5 ucenec users

16384 Apr 20 12:58 besedilo.doc

Prvo polje v izpisu predstavlja dovoljenja za uporabo datoteke, tretje polje vsebuje lastnika datoteke (ucenec), četrto je skupina, kateri datoteka pripada (users) in zadnje polje je mapa z imenom (besedilo.doc). To datoteko si lasti učenec, ki pripada skupini »users«. Niz drwxrwxr-x po vrsti našteva dovoljenja, dana lastniku datoteke, skupini datoteke in vsem ostalim.

Prvi znak niza dovoljenj predstavlja oziroma pove, ali gre za imenik ali datoteko. Znak »d« pomeni, da je to datoteka. Naslednji trije znaki (»rwx«) predstavljajo dovoljenja, podeljena lastniku datoteke. Črka »r« pomeni »branje« (angl. read), črka »w« pomeni »pisanje« (angl. write) in črka »x« izvajanje (angl.



Execute). Torej, uporabnik učenec ima dovoljenja za branje, pisanje in izvajanje datoteke besedilo.doc.

Naslednji trije znaki (»r--«) predstavljajo dovoljenja skupine do uporabe datoteke.

Skupina, ki si lasti to datoteko, se imenuje »users«. Ker se tukaj pojavlja le »r«, lahko vsak uporabnik, ki pripada skupini »users«, bere to datoteko. Zadnji trije znaki, tudi (»r--«), predstavljajo dovoljenja, podeljena vsem uporabnikom sistema (razen lastniku datoteke in uporabnikom skupine »users«). Prisoten je le »r«, zato lahko drugi uporabniki berejo datoteko, a ne morejo vanjo pisati ali je izvajati.

Dovoljenja za dostop do datoteke so odvisna od dovoljenj za dostop do imenika, v katerem je datoteka. Na primer, če so dovoljenja datoteke nastavljena na rwxrwxrwx, drugi uporabniki ne morejo dostopati do datoteke, razen če imajo bralni ali izvajalni dostop do imenika, v katerem je datoteka.

Če bi želeli omejiti dostop do vseh svojih datotek, bi lahko nastavili dovoljenja svojega domačega imenika na -rwx. Na ta način noben drug uporabnik nima dostopa do našega imenika, datotek in imenikov v njem. Se pravi, če želimo sploh dostopati do datoteke, moramo imeti izvajalni dostop do vseh imenikov po poti datoteke in dovoljenje za branje (ali izvajanje) same datoteke.

Običajni nabor dovoljenj za dostop do datotek je -rw-r--r--, kar omogoča branje datoteke drugim uporabnikom, a brez vsakih sprememb. Običajni nabor dovoljenj za imenike je - rwx r - x r - x, kar omogoča drugim uporabnikom sprehod po imenikih, a brez ustvarjanja ali brisanja datotek v njih. Če želimo obdržati druge uporabnike čim dlje od naših datotek, nastavimo dovoljenje datoteke na –rw, ki bo preprečevala vsem drugim uporabnikom dostop do datoteke. Podobno nastavitev dovoljenj imenika na –rwx prepreči vstop drugim uporabnikom v ta imenik.

Poleg standardnih imamo v Linux sistemih tudi nekaj dodatnih opcij za spreminjanje dovoljenj na datotekah. Najprej so to nastavitveni biti »suid«, »guid« in »sticky bit«. »Suid« (set user id) in »sgid« (set group id) omogočata uporabnikom izvajanje datotek s pravicami lastnika datoteke ali njegove uporabniške skupine. Brez teh nastavitev se pravice na datotekah izvajajo s pravicami uporabnika, ki jih izvaja. Zaradi varnosti je bolje na sistemu imeti čim manj takšnih datotek ali pa vsaj takšnih, katerih lastniki so višje nivojski uporabniki. »Sticky bit« (uporablja se tudi izraz saved text bit) se uporablja za zaščito datotek ali imenikov. Datoteke, ki ima postavljen »sticky bit«, ne more brisati nihče drug razen njen lastnik, lahko pa jo ostali v skladu s pravicami pregledujejo, spreminjajo ter izvajajo. Podobno je, če »sticky bit« postavimo na določen imenik. Uporabniki, ki imajo do njega dostop, lahko vanj pišejo, brisanje pa je omogočeno le lastniku tega imenika. Tipično je na Linux sistemih lastnik datoteke eden sam, zato se zna pojaviti težava, če želimo to datoteko dovoliti tudi kateremu izmed ostalih uporabnikov.

To lahko sicer storimo tako, da dodelimo dovoljenje celotni uporabniški skupini ali pa kar vsem ostalim, ne moremo pa to storiti za posameznega uporabnika. Linux v ta namen podpira razširjene ACL (angl. Access Control Lists) pravice, ki omogočajo pravice tudi takšnim uporabnikom, ki niso direktno povezani s tisto datoteko ali imenikom.



9.VirtualizacijaVirtualizacija je v zadnjih parih letih postal nekakšen trend. Porazdelitev enega močnejšega strežnika med nekaj virtualnih strežnikov sicer ni nobena novost, vendar pa je šele v zadnjem času spet ta ideja zaživela. Tako so proizvajalci programske opreme za virtualizacijo v sodelovanju z proizvajalci samih računalnikov dosegli bistven napredek pri sami hitrosti virtualnih strežnikov. Sodobni procesorji tako podpirajo ukaze namenjene virtualizaciji, programska oprema pa s pomočjo teh ukazov hitreje izvaja določene operacije, ki bistveno pohitrijo delovanje samih virtualnih strežnikov.

Vizualizacija omogoča del večjemu številu logičnih in aplikacijskih procesov na eni fizični napravi, kar načeloma pomeni na enem fizičnem strežniku. Hkrati vizualizacija pomeni da na varen in zanesljiv način deljenja strojnih resursov med različnimi virtualnimi okolji. Danes vizualizacija vključuje pojme, kot so vizualizacija strežnikov, vizualizacija računalnikov, vizualizacija namizja (virtual desktop), vizualizacija aplikacij in na najširšem smislu tudi virtualizacija poslovanja (Cloud Computing).

Slika 56: Virtualno okolje

Vizualizacija je z svojo tehnologijo prinesla prihranke pri nabavi nove strojne opreme, prihranke pri vzdrževanju informacijske opreme, sprostitev zmogljivosti obstoječe IT opreme, pospešeno uvajanje novih informacijskih rešitev oziroma razširitvijo obstoječih rešitev, enostavnejšo upravljanje, preizkušanje,… Poleg teh učinkovitost vizualizacija omogoča lažje načrtovanje in izvajanje upravljanje neprekinjenega poslovanja (Business Continuity) in okrevanje po odpovedi (Disaster Recovery) in lažja uporaba sistemov za visoko dostopnost (High Availability).

Virtualizacija strežnikov (Virtual Server) - omogoča več logičnih strežnikov (Guest) na enem fizičnem strežniku (Host). Možno je kloniranje posameznih virtualnih strežnikov, ter kopiranje, selitev, varnostna kopija, določevanje različne količine razpoložljivih virov.

Virtualizacija namizij – VDI (Virtual Desktop Infrastructure) omogoča centralizirano upravljanje namiznih računalnikov. Pri tem je namizni operacijski sistemi za osebne računalnike dejansko virtualnih strojev na strežniku, ki se lahko ohranijo, so centralno podprti, možna enostavna nadgradnja, kopiranje,… Vsakodnevne dejavnosti vzdrževanja in uvajanje namiznih računalnikov in z njimi povezanih poslovnih aplikacij tako postane veliko lažje.

Virtualizacija aplikacij - omogoča centralizirano upravljanje aplikacij, kjer aplikacija dejansko izvaja na strežniku. Izvajanje, vzdrževanje, nadgradnje in varnostno kopiranje uporabniških aplikacij poteka na strežniku, virtualnih aplikacij in ne posameznih računalnikih uporabnikov.

9.1 Vrste virtualizacijePrvič se je pojem virtualizacije pojavil že leta 1966 v prvih razvojnih sistemih IBM M44/44X, vendar to takrat ni pomeni nič takega, kar pojmujemo pod sodobnim izrazom virtualizacije danes. Danes imamo tako na voljo veliko različnih vrst same virtualizacije, ki pa se med seboj razlikujejo v večih pomembnih detajlih.

9.2 EmulacijaPod emulacijo pojmujemo virtualizacijo, kjer programska oprema poskuša simulirati določeno računalniško opremo, tako da virtualni strežnik ne zazna nobene spremembe v delovanju samem. Tipični predstavniki take vrste virtualizacije so: Bochs, PearPC, VirtualPC za PowerPC, itd.



Uporabniški programi Uporabniški programi Uporabniški programi

...Operacijski sistem Operacijski sistem Operacijski sistem

Emulator virtualnega strežnika 1



Strojna oprema

Slika 57: Virtualizacija z uporabo emulacije

Taka virtualizacija v današnjem svetu ni pretirano razširjena zaradi hitrosti, ki jo ponuja. Emulacija namreč ni dovolj hitra in posledično ni zanimiva za same proizvajalce in uporabnike.

9.3 Popolna virtualizacijaPopolna virtualizacija pomeni način delovanja, kjer fizični strežnik simulira dovolj strojne opreme, tako da jo lahko virtualni strežnik uporabi in deluje v izolaciji od ostalih delov fizičnega strežnika. Virtualni strežnik tako ne potrebuje nobenih dodatnih posegov in lahko deluje tako na fizičnem strežniku kot tudi na virtualnem strežniku. Tipični predstavniki te virtualizacije so: VMWare Server, Microsoft VirtualPC, Parallels Desktop, VMWare Workstation, itd.

Uporabniški programi Uporabniški programi...

Operacijski sistem Operacijski sistem

Nadzornik virtualnih strežnikov Upravljanje

Strojna oprema

Slika 58: Popolna virtualizacija

Popolne virtualizacije je v današnjih računalnikih največ, saj je v zadnjih parih letih tehnologija izredno napredovala in omogoča skorajda enako hitrost kot delovanje na fizičnem strežniku.

9.4 Strojno podprta virtualizacijaStrojno podprta virtualizacija je sorazmerno nov pojem, ki sta ga na tržišče poslala dva proizvajalca procesorjev AMD in Intel. Njihovi procesorji naj bi omogočali strojno podporo sami virtualizaciji in na tak način pohitrili samo delovanje virtualnih strežnikov. Tako naj bi procesorji sami izvajali izolacijo posameznih virtualnih strežnikov. Tak način že podpirajo določeni produkti (VMWare Fusion, Parallels Desktop for Mac, itd.)

Ta pristop je sorazmerno nov in zaenkrat še ni pridobil toliko na veljavi, vendar bomo pa v prihodnosti zagotovo veliko slišali o tem, saj so nekateri proizvajalci strojne opreme napovedali, da bodo podprli to vrsto virtualizacije in s tem še zmanjšali ovire, ki nastajajo pri doseganju čim hitrejše oblike virtualizacije.

9.5 Delna virtualizacijaDelna virtualizacija je take vrste virtualizacija, ki omogoča delovanja posameznih virtualnih strežnikov, tako da si le ti delijo različne pomnilniške naslove in s tem omogočajo varno delovanje posameznih procesov. Taka vrsta virtualizacije pa ne omogoča delovanje dodatnih vitrualnih strežnikov.

Tak pristop se v današnjih računalnikih skorajda ne uporablja, vendar pa je imel kar velik vpliv pri razvoju posameznih računalniških sistemov v preteklosti (IBM M44/44X, MVS, itd.).



9.6 ParavirtualizacijaParavirtualizacija je pristop k virtualizaciji, kjer fizični strežnik posreduje svoje resurse virtualnim strežnikom preko posebnih klicev in na tak način omogoči dostop do fizičnih delov strežnika. Virtualni strežnik mora tako vedeti, da se nahaja v virtualnem okolju in s pomočjo teh posebnih klicev dostopati do same strojne opreme, ki mu jo nudi fizični strežnik. Programska oprema na fizičnem strežniku skrbi za optimalno razporeditev strojnih resursov. Najbolj znani predstavniki te vrste virtualizacije so Xen, VMWare ESX, IBM LPAR’s, itd.

Uporabniški programi Uporabniški programi

...Operacijski sistem Operacijski sistem

Nadzornik virtualnih strežnikov Upravljanje

Strojna oprema

Slika 59: Paravirtualizacija

Tak način virtualizacije je prišel v veljavo v zadnjem času in je zelo spremenil razmere na trgu komercialnih rešitev virtualizacije. Ta pristop namreč omogoča sorazmerno majhno razliko v delovanju na samem fizičnem strežniku oziroma delovanju v virtualnem strežniku.

9.7 Virtualizacija na nivoju operacijskega sistemaVirtualizacija na nivoju operacijskega sistema temelji na izboljšanem operacijskem sistemu, ki je sposoben poganjati več različnih instanc posameznih virtualnih strežnikov, ki si pa delijo isto jedro operacijskega sistema. Operacijski sistem tako določa prioritete posameznemu virtualnemu strežniku in na tak način loči med posameznimi virtualnimi strežniki. Med najbolj znane predstavnike tega tipa virtualizacije štejemo Linux-VServer, SWSoft Virtuozzo.OpenVZ, FreeBSD jails itd

Virtualni strežnik 1 Virtualni strežnik 2 Virtualni strežnik 3 ...

Operacijski sistem

Strojna oprema

Slika 60: Virtualizacija na nivoju operacijskega sistema

Ta pristop omogoča zelo velike hitrosti in skorajda ne prestavlja nobene ovire pri polnem dostopu do fizičnega strežnika. Prednost takega pristopa je tudi v velikem številu virtualnih strežnikov, ki jih lahko uporabljamo sočasno na enem fizičnem strežniku. Slabost tega sistema je v tem, da podpira le določene operacijske sisteme (Linux, Windows).

Virtualizacija na nivoju operacijskega sistema je kot že omenjeneno tak tip virtualizacije, ki spremeni zgolj operacijski sistem, ki teče na fizičnem strežniku, tako da je le-ta sposoben poganjati tudi virtualne strežnike. Največkrat ima tak pristop par omejitev:

Gostujoči virtualni strežniki lahko poganjajo samo operacijski sistem, ki je enak operacijskemu sistemu fizičnega strežnika (npr. fizični strežnik z operacijskim sistemov Linux lahko poganja gostujoče virtualne strežnike z enakim operacijskim sistemom).



Gostujoči virtualni strežnik je odvisen od jedra, ki ga uporablja operacijski sistem fizičnega strežnika. Več fizičnih strežnikov tako uporablja isto jedro. Prav zaradi tega je včasih varnost takih sistemov vprašljiva.

Čeprav te omejitve velikokrat pretehtajo k izbiri drugačnih rešitev, ima virtualizacija na nivoju operacijskega sistema tudi veliko prednosti:

Gostota virtualnih strežnikov je pri tem načinu virtualizacije daleč največja. Sorazmerno nov strežnik je tako sposoben poganjati tudi 50 ali več virtualnih strežnikov.

Zmanjšanje vmesnih plasti pri dostopu virtualnih strežnikov do naprav fizičnega strežnika pohitri delovanje servisov, ki tečejo v virtualnem strežniku.

Način dostopa do pomnilnika omogoča, da lahko na enem fizični strežniku poganjamo več virtualnih strežnikov, ki si med seboj delijo pomnilnik. Na tak način lahko izvajamo prezasedenost (»overbooking«).

Med znanimi rešitvami na trgu obstajajo:

Sun Containers proizvajalca Sun Computers, ki ponuja virtualizacijo na nivoju operacijskega sistema za svoj operacijski sistem Sun OS.

FreeBSD jails je virtualizacija namenjena operacijskemu sistemu FreeBSD. Virtuozzo proizvajalca SWSoft, ki podpira virtualizacijo na nivoju operacijskega sistema za

operacijski sistem Windows (XP ali novejše) oziroma za operacijski sistem Linux. OpenVZ je odprto-kodna virtualizacija, ki temelji na komercialni rešitvi Virtuozzo in je namenjen

samo operacijskemu sistemu Linux.

9.8 Odprto-kodna virtualizacija na nivoju operacijskega sistema OpenVZOpenVZ je odprto kodni projekt, ki ga podpira podjetje SWSoft, ki iz tega projekta črpa in prodaja svojo komercialno rešitev namenjeno virtualizaciji na nivoju operacijskega sistema Virtuozzo. OpenVZ je virtualizacija namenjena samo operacijskemu sistemu Linux, medtem ko Virtuozzo podpira tudi operacijski sistem Windows.

Projekt OpenVZ ima zelo enostaven pristop k virtualizaciji, saj vse temelji zgolj na spremembah v jedru operacijskega sistema Linux in parih uporabniških programov s katerimi upravljamo virtualne strežnike znotraj enega fizičnega strežnika.

Sama instalacija poteka tako, da najdemo jedro, ki ga OpenVZ podpira in s pomočjo popravkov to jedro na novo prevedemo z podporo za OpenVZ. Ko imamo jedro, ki podpira to virtualizacijo, lahko naložimo še dodatne programe, ki nam bodo pomagali pri zagonu posameznih virtualnih strežnikov, kot tudi programe s katerimi bo ustvarjanje novih virtualnih strežnikov veliko lažje.

Virtualizacija na nivoju operacijskega sistema zahteva tudi spremenjen operacijski sistem v virtualnih strežnikih. Taki virtualni strežniki nimajo svojega jedra in si delijo jedro operacijskega sistema fizičnega strežnika.



Slika 61: Sestava virtualizacije OpenVZ

9.9 Popolna virtualizacijaMed popolno virtualizacijo kot smo že omenili sodijo rešitve, ki virtualnim strežnikom ponudijo navidezno strojno opremo namesto dostopa strojne opreme fizičnega strežnika in na tak način omogočijo uporabo nespremenjenih operacijskih sistemov v samih virtualnih strežnikih.

Prednosti takega pristopa so predvsem: Ni potrebe po spreminjanju operacijskega sistema posameznega virtualnega strežnika. Popolna ločenost navidezne strojne opreme od strojne opreme fizičnega strežnika. Možnost uporabe različnih operacijskih sistemov v virtualnih strežnikih.

Popolna virtualizacija ima tudi nekaj očitnih slabosti: Zaradi večjega števila procesorskih operacij popolna virtualizacija ne omogoča večjega števila

virtualnih strežnikov na enem fizičnem strežniku. Zaradi navidezne strojne opreme mora proizvajalec programske opreme za popolno

virtualizacijo zagotavljati tudi gonilnike za navidezno strojno opremo, ki jo vidi virtualni strežnik. To včasih prinese dodatne nevšečnosti.

Popolna virtualizacija je bila ena izmed prvih tehnik virtualizacije na trgu in še vedno zavzema velik delež trga. Med najbolj znane rešitve popolne virtualizacije prištevamo naslednje:

Parallels Workstation je rešitev namenjena za operacijske sisteme Windows Parallels Desktop for Mac je rešitev namenjena operacijskemu sistemu Apple OS X VirtualPC je rešitev podjetja Microsoft za operacijski sistem Windows VMWare Workstation je po mnenju mnogih najbolj razširjen produkt za namizne računalnike. VMWare Server je rešitev za popolno virtualizacijo, ki je nastala iz komercialne rešitve

VMWare GSX Server in spada med tako imenovano brezplačno programje.

9.10 Popolna virtualizacija VMWare ServerVMWare Server je programska rešitev namenjena operacijskima sistemoma Microsoft Windows in Linux. Oba lahko brezplačno dobimo na Internetu in ga z enostavnim namestitvenim postopkom namestimo v naš operacijski sistem. Sama namestitev uredi vse potrebne spremembe znotraj operacijskega sistema, saj potrebuje ta način virtualizacije večjo integracijo v spodnje plasti operacijskega sistema, da s tem pohitri delovanje nekaterih vitalnih servisov posameznih virtualnih strežnikov.



Posebnost VMWare Server-ja je v posebnem naboru programov za virtualne strežnik VMWare Tools, ki omogočajo virtualnim strežnikom boljšo komunikacijo z fizičnim strežnikom. Tako lahko z dodatkom VMWare Tools virtualni strežnik dobi dostop do datotek na fizičnem strežniku, hitreje dostopa do mrežnih povezav samega fizičnega strežnika, medtem ko sam fizični strežnik lažje nadzoruje porabo pomnilnika znotraj virtualnega strežnika.

Slika 62: Sestava popolne virtualizacije VMWare Server

Povezovanje virtualnih strežnikov na mrežne naprave je pri VMWare Server-ju rešeno na tak način, da lahko vsakemu virtualnemu strežniku dodamo poljubno število navideznih mrežnih kartic. Vsaki od teh navideznih kartic pa lahko potem določimo način delovanja. Poznamo tri različne načine delovanja mrežnih kartic v VMWare Server-ju:

1. Povezovanje s prevajanjem mrežnega naslova, ki omogoča prevod IP naslova, ki ga uporablja eno omrežje v drug IP naslov, ki ga prepozna drugo omrežje. V tem primeru se fizični strežnik obnaša kot povezovalnik oziroma prehod med obema omrežjema.

2. Povezovanje z uporabo mostu tako da virtualni strežnik uporablja navidezno mrežno kartico, ki je direktno povezana z mrežno kartico fizičnega strežnika. Na tak način ima virtualni strežnik direktni dostop. Trenutno je možna uporaba mostu zgolj z Ethernet karticami.

3. Povezovanje v omrežje znotraj fizičnega strežnika, kar pomeni, da lahko virtualni strežniki znotraj enega fizičnega strežnika tvorijo svojo zasebno omrežje, ki pa ni povezano z nobenim omrežjem zunaj fizičnega strežnika.

Dodeljevanje pomnilniških in procesorskih resursov je rešeno z uporabo posebnega programa VMWare Server Console, ki lahko teče na oddaljenem računalniku. S tem programom lahko poleg samega nadzora resursov dostopamo do navidezne konzole virtualnega strežnika. Dodeljevanje resursov je enostavno in ne zahteva kakšnega posebnega znanja, dobro pa je da vsak uporabnik pozna vsaj osnovno zgradbo računalnika, da bo lahko bolj smiselno razporedil resurse po virtualnih strežnikih znotraj VMWare Server-ja. Podatki o dodeljenih resursih so shranjeni na fizičnem strežniku v tekstovni datoteki, kar pomeni, da lahko vse operacije opravimo tudi na samem fizičnem strežniku brez uporabe VMWare Server Console aplikacije.

Namestitev novega virtualnega strežnika se tako začne v VMWare Server Console, kjer ustvarimo nov virtualni strežnik, mu določimo resurse, število in način mrežnih povezav. Po zagonu novega virtualnega strežnika dobimo nov prazen virtualni strežnik brez operacijskega sistema. Od tu naprej lahko uporabljamo virtualni strežnik kot običajen računalnik s to razliko, da če hočemo pohitriti delovanje virtualnega strežnika, lahko uporabimo paket VMWare Tools, ki nam bo pomagal posebej za virtualne naprave primernimi gonilniki.



Sodnik, J. (2002). Preprost protokol za dostop do imenika LDAP. Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za elektrotehniko

http://acesso.serpro.gov.br/hod/sl/help/ldapuse.html




http://acesso.serpro.gov.br/hod/sl/help/ldapuse.html

ljudska univerza radovljica - vzpostavitev in ... · web viewv računalniškem omrežju pomeni...

Documents