Obsah Přidání účtu v aplikaci Mozilla Thunderbird Přidání účtu v aplikaci MS Outlook iii

Administrace – manuál

Administrace – manuál

Obsah Úvod ...................................................................................................................................................... vii 1. Obecná charakteristika produkt˚u soLNet *box......................................................................... vii 2. Popis produkt˚u .......................................................................................................................... vii 2.1. soLNet firewall .............................................................................................................. vii 2.2. soLNet filebox .............................................................................................................. viii 2.3. soLNet mailbox ............................................................................................................ viii 2.4. soLNet AVirCheck.......................................................................................................... ix 2.5. soLNet multibox.............................................................................................................. x 1. Pˇrihlášení ............................................................................................................................................ 1 1.1. Proˇc se nelze pˇrihlásit?............................................................................................................. 1 2. Navigace .............................................................................................................................................. 2 2.1. Záložky..................................................................................................................................... 2 2.2. Vyhledávání ............................................................................................................................. 3 3. Domény ............................................................................................................................................... 5 3.1. Pˇrehled...................................................................................................................................... 5 3.1.1. Informace o limitech .................................................................................................... 5 3.1.2. Zaplnˇení poštovních schránek ...................................................................................... 6 3.1.3. Administraˇcní kontakt .................................................................................................. 7 3.2. Úˇcty, skupiny, subdomény........................................................................................................ 7 3.3. Poˇcítaˇce .................................................................................................................................... 8 3.4. Povolené služby........................................................................................................................ 9 3.4.1. Doruˇcování pošty.......................................................................................................... 9 3.4.2. DNS (vedení záznamu)................................................................................................. 9 3.4.3. Web (virtuální server)................................................................................................... 9 3.5. Doménový koš........................................................................................................................ 10 3.6. Databáze................................................................................................................................. 10 3.7. Webhosting............................................................................................................................. 12 3.8. Volitelné položky objekt˚u....................................................................................................... 13 4. Úˇcty.................................................................................................................................................... 16 4.1. Vytvoˇrení a smazání úˇctu....................................................................................................... 16 4.2. Konfigurace úˇctu .................................................................................................................... 17 4.2.1. Nastavení .................................................................................................................... 17 4.2.2. Heslo........................................................................................................................... 17 4.2.3. Povolené služby.......................................................................................................... 18 4.2.4. Pˇrezdívky.................................................................................................................... 20 4.2.5. Pˇreposílání pošty ........................................................................................................ 20 4.2.6. Skupiny....................................................................................................................... 22 4.2.7. Souborový server........................................................................................................ 23 4.2.8. Další nastavení............................................................................................................ 24 4.3. Pˇrístup k poštˇe ........................................................................................................................ 24 4.3.1. Pˇridání úˇctu v aplikaci Mozilla Thunderbird ............................................................. 24 4.3.2. Pˇridání úˇctu v aplikaci MS Outlook ........................................................................... 26 iii

5. Skupiny ............................................................................................................................................. 28 5.1. Vytvoˇrení a smazání skupiny ................................................................................................. 28 5.2. Konfigurace skupiny............................................................................................................... 28 5.2.1. Nastavení .................................................................................................................... 29 ˇ 5.2.2. Clenové skupiny ......................................................................................................... 29 5.2.3. Pˇrezdívky.................................................................................................................... 30 5.2.4. Povolené služby.......................................................................................................... 30 5.2.5. Pˇreposílání pošty ........................................................................................................ 31 5.2.6. Další nastavení............................................................................................................ 32 6. Pˇrístupová práva .............................................................................................................................. 33 6.1. Obecnˇe o pˇrístupových právech ............................................................................................. 33 6.2. Hierarchie pˇrístupových práv ................................................................................................. 33 6.3. Zadávání a rušení pˇrístupových práv ..................................................................................... 34 6.3.1. Zadávání ..................................................................................................................... 34 6.3.2. Rušení ......................................................................................................................... 35 6.4. Jednotlivá práva a úroveˇn oprávnˇení...................................................................................... 35 7. Filtrovací pravidla pˇríchozí pošty................................................................................................... 38 7.1. Obecnˇe o filtrovacích pravidlech............................................................................................ 38 7.2. Konfigurace filtrovacího pravidla........................................................................................... 39 8. Sdílené kontejnery ........................................................................................................................... 43 8.1. Globální kontejnery................................................................................................................ 43 8.2. Doménové kontejnery ............................................................................................................ 44 9. Souborový server.............................................................................................................................. 46 9.1. Nastavení služeb..................................................................................................................... 46 9.1.1. Typ a jméno souborového serveru.............................................................................. 46 9.1.2. Konfigurace zvoleného typu serveru .......................................................................... 47 9.1.3. Nastavení domény pro souborový server ................................................................... 47 9.2. Jak nastavit server jako PDC.................................................................................................. 48 9.2.1. Nastavení na serveru................................................................................................... 49 9.2.2. Nastavení na jednotlivých pracovních stanicích......................................................... 51 9.2.2.1. Windows XP EN............................................................................................. 51 9.2.2.2. Windows 2000 Professional CZ ..................................................................... 53 9.2.2.3. Windows 98 CZ .............................................................................................. 54 9.3. Souborové složky ................................................................................................................... 56 9.3.1. Souborové složky na serveru ...................................................................................... 56 9.3.2. Nastavení pˇrístupových práv souborových složek na serveru .................................... 58 9.3.3. Nastavení pˇrístupových práv z pracovní stanice ........................................................ 60 9.4. Pˇrihlašovací skripty ................................................................................................................ 65 9.4.1. Rychlý start................................................................................................................. 65 9.4.2. Syntaxe a promˇenné ................................................................................................... 67 9.4.3. Pˇríkazy........................................................................................................................ 68 9.5. Instalace sít’ové tiskárny ........................................................................................................ 68 9.6. Další nastavení ....................................................................................................................... 71 9.6.1. Nastavení doménového uživatele jako správce pracovní stanice ............................... 71 9.6.2. Zmˇena hesla uživatele ................................................................................................ 73 iv

9.6.2.1. Windows 98 .................................................................................................... 73 9.6.2.2. Windows 2000 a Windows XP ....................................................................... 74 9.6.3. Zmˇena názvu poˇcítaˇce ................................................................................................ 74 9.6.3.1. Windows 98 .................................................................................................... 75 9.6.3.2. Windows 2000 a Windows XP ....................................................................... 75 10. Systémový monitoring ................................................................................................................... 77 11. Lokální sítˇe ..................................................................................................................................... 79 11.1. Urˇcování lokálních sítí ......................................................................................................... 79 11.2. Nastavení rozhraní................................................................................................................ 80 11.3. Kontroly sít’ového toku........................................................................................................ 82 11.4. Aktuální sít’ový provoz ........................................................................................................ 84 11.4.1. Filtry ......................................................................................................................... 85 11.4.1.1. Pˇrednastavené filtry....................................................................................... 85 ˇ 11.4.2. Casy .......................................................................................................................... 86 11.4.3. Spojení...................................................................................................................... 86 11.4.4. Konfigurace vlastního filtru ...................................................................................... 88 11.4.4.1. Vyhledávání.................................................................................................. 90 11.4.4.2. Souˇcty ........................................................................................................... 91 11.5. Archiv sít’ového provozu ..................................................................................................... 92 11.6. Dynamické akce ................................................................................................................... 93 11.6.1. Instrukce pro pˇríkazy dynamických akcí.................................................................. 95 11.7. Konfigurace VPN v systému Windows ................................................................................ 97 11.8. Podsítˇe ................................................................................................................................ 100 11.9. Pˇrístupová práva ................................................................................................................. 100 12. Archiv hlášení............................................................................................................................... 102 13. Nastavení služeb serveru ............................................................................................................. 104 13.1. DHCP ................................................................................................................................. 104 13.1.1. Nastavení DHCP pro podsít’ .................................................................................. 105 13.2. Antispamový subsystém..................................................................................................... 106 13.2.1. Identifikace a oznaˇcení spamu................................................................................ 106 13.2.2. Filtrování spamu..................................................................................................... 107 13.2.3. Uˇcení ...................................................................................................................... 107 13.3. Antivirový subsystém......................................................................................................... 108 13.4. Poštovní server ................................................................................................................... 109 13.5. Souborový server................................................................................................................ 110 13.6. Odkazy na WebIS............................................................................................................... 111 13.7. Pˇrihlašovací doména .......................................................................................................... 111 13.7.1. Nastavení implicitní pˇrihlašovací domény ............................................................. 112 13.7.2. Nastavení mapování domén.................................................................................... 112 13.8. Ostatní možné služby ......................................................................................................... 113 14. Pˇrílohy........................................................................................................................................... 114 14.1. Diagram pr˚uchodu pošty .................................................................................................... 114 14.2. IMAP versus POP3 ............................................................................................................ 114 14.3. Kontakty ............................................................................................................................. 115 14.3.1. Pˇrístup ke kontakt˚um z Mozilla Thunderbirdu....................................................... 115 v

14.3.2. Pˇrístup ke kontakt˚um z MS Outlook Express......................................................... 118 Slovníˇcek ............................................................................................................................................. 121

vi

Úvod Tento manuál je urˇcen odbˇeratel˚um nˇekterého z produkt˚u ˇrady soLNet *box. Popisuje administraˇcní cˇ ást webového rozhraní systému urˇcenou ke správˇe server˚u.

1. Obecná charakteristika produktu˚ soLNet *box Podstatou ˇrešení soLNet *box je poskytnutí hardwaru vˇcetnˇe servisu, instalace softwaru, správy a aktualizace nových verzí, monitoringu a bezprostˇredního ˇrešení vzniklých problém˚u. K dispozici je také telefonická, e-mailová a on-line podpora a kontinuální vylepšování a pˇridávání softwarových služeb podle ohlas˚u. Ušetˇríte tedy poˇcáteˇcní náklady na nákup hardwaru, starosti s jeho správou, pˇrípadnou reklamaci vadného hardwaru a problémy, které mohou vzniknout v d˚usledku výpadku. Nemusíte platit drahé licence za software nebo nové verze. Není nutné mít specializovaného pracovníka, který se bude o server starat. ˇ Rešení soLNet *box jsou urˇcena široké vrstvˇe zákazník˚u, jejich správa je možná pˇres WWW rozhraní a neklade vˇetší d˚uraz na odborné znalosti. K dispozici je také rychlá nápovˇeda, která pˇrímo ve webovém rozhraní vysvˇetluje základní pojmy.

2. Popis produktu˚ V souˇcasné dobˇe nabízí spoleˇcnost soLNet, s.r.o tyto produkty:

•

soLNet firewall

•

soLNet filebox

•

soLNet mailbox

•

soLNet AVirCheck

•

soLNet multibox

2.1. soLNet firewall soLNet firewall je zaˇrízení, které zabraˇnuje toku nežádoucích dat mezi vnitˇrní sítí (intranetem) a vnˇejší sítí (Internetem). soLNet firewall pˇrináší nejen nové standardy z hlediska bezpeˇcnosti, ale také zp˚usob, jak ušetˇrit náklady spojené s provozem na Internetu. Ty lze snížit napˇríklad pronájmem cˇ ásti linky dalším subjekt˚um nebo blokováním nežádoucích stránek, což m˚uže napomoci i zvýšení produktivity práce. Oproti ˇrešením jiných firem pracuje soLNet firewall nejen na sít’ové vrstvˇe (blokování paket˚u), ale i na aplikaˇcní vrstvˇe IP protokolu (filtrování a proxy pˇrístup k r˚uzným službám na serveru, napˇr. WWW cache nebo SMTP). vii

Úvod soLNet firewall nabízí: •

pˇripojení jedné nebo více firemních sítí k Internetu,

•

blokování nežádoucích stránek,

•

snížení toku dat z Internetu použitím WWW proxy cache,

•

zvýšení propustnosti linky do Internetu díky WWW proxy serveru,

•

mˇeˇrení a záznam statistik využití provozu z a do Internetu jednotlivými uživateli,

•

zrychlení odezvy na dotazy do Internetu pomocí "urychlovacího" name serveru (cache-only DNS server).

•

ochranu firemní sítˇe, napˇr. proti tˇemto útok˚um: •

smazání nebo krádež firemních dat,

•

odposlouchávání komunikace ve firemní síti,

•

zneužítí firemního pˇripojení k Internetu,

•

zmˇena WWW stránek na serveru za firewallem,

•

zneužítí identity.

•

snazší konfiguraci pracovních stanic díky DHCP serveru,

•

pˇrípojný bod pro spojení nˇekolika poboˇcek firmy, tzv. VPN,

•

konfiguraci omezení, zaruˇcení, pˇrípadnˇe upˇrednostnˇení sít’ového provozu (Quality of Service),

•

úˇctování pˇrenesených dat, vˇcetnˇe detailního nastavení hierarchické struktury sítí, pˇrístupových práv apod.

2.2. soLNet filebox soLNet filebox je server urˇcený ke sdílení soubor˚u s možností úplné konfigurace pˇrístupových práv pro uživatele i skupiny. Data na serveru jsou pˇrístupná i po vypnutí všech pracovních stanic v síti. soLNet filebox nabízí: •

pˇrístup k firemním soubor˚um odkudkoliv z Internetu,

•

jednodušší práce se soubory jiných uživatel˚u,

•

možnost nasdílet data skupinám zamˇestnanc˚u podle definovaných pˇrístupových práv,

•

velkokapacitní datový prostor, který je k dispozici celé firmˇe,

•

rozdílové zálohování, které probíhá v noci na speciálnˇe urˇcený zálohovací disk,

•

periodickou antivirovou kontrolu dat na serveru.

viii

Úvod

2.3. soLNet mailbox soLNet mailbox je poštovní server vyšší kategorie, který nabízí mimo standardního protokolu POP3 také kvalitnˇejší a preferovaný protokol IMAP (viz kapitolu IMAP versus POP3), libovolný poˇcet domén, poštovních úˇct˚u a skupin. Samozˇrejmostí jsou sdílené uživatelské schránky, firemní sdílené kontakty, správa pˇreposílání, nastavení maximální velikosti poštovní schránky, webové a wapové rozhraní pro práci s poštou, kompatibilita s rozšíˇrenými poštovními klienty (Mozilla Thunderbird, MS Outlook) a mnoho dalšího. Souˇcástí serverových služeb je také antivirový a antispamový systém, který automaticky kontroluje pr˚uchozí poštu na serveru. Díky pˇrístupovým práv˚um lze jasnˇe oddˇelit jednotlivé domény. Lze tedy bezpeˇcnˇe pronajmout cˇ ásti serveru dalším subjekt˚um. soLNet mailbox nabízí: •

zabezpeˇcení d˚uvˇerných dat firemní pošty v lokální firemní síti,

•

rychlou práci s poštou,

•

rychlé doruˇcování pošty do lokálních domén,

•

pˇrístup k poštˇe z jakéhokoliv poˇcítaˇce v síti,

•

možnost blokování nevhodných pˇríloh v poštˇe.

•

antivirový systém bˇežící na centrálním serveru,

•

podpora WapMailu a WebMailu.

•

pˇrístup k poštˇe a doruˇcování pošty i pˇri výpadku pˇripojení k Internetu.

•

rozdílové zálohování, které probíhá v noci na speciálnˇe urˇcený zálohovací disk,

•

podpora pro teoreticky neomezené množství souˇcasnˇe pˇripojených uživatel˚u (záleží jen na výkonnosti hardwaru),

•

podpora skupinových a veˇrejných poštovních složek a úplná konfigurace pˇrístupových práv pro uživatele a skupiny,

•

stejnˇe rychlý pˇrístup k poštˇe pro všechny uživatele ve VPN,

•

šifrované protokoly pro pˇrístup k poštˇe,

•

centrálnˇe spravované kontakty s možností nastavení pˇrístupových práv.

•

podporu sdílených kalendáˇru˚ .

2.4. soLNet AVirCheck soLNet AVirCheck je samostatný software, který je dodáván jako souˇcást soLNet fileboxu, soLNet mailboxu a soLNet multiboxu. Funguje jako antivirový štít, který automaticky kontroluje pˇríchozí a odchozí poštu nebo data na souborovém serveru. AVirCheck nejˇcastˇeji bˇeží v souˇcinnosti s velice kvalitním a bezpeˇcným poštovním serverem Exim, podporuje však i další nejbˇežnˇejší poštovní servery jako jsou Sendmail, Qmail nebo Postfix.

ix

Úvod Systém soLNet AVirCheck je dodáván s licencí výkonného a cˇ asto aktualizovaného (témˇeˇr každý druhý den) systému Dr.WEB. O jeho kvalitách svˇedˇcí také opakovanˇe udˇelené ocenˇení prestižním magazínem Virus Bulletin. Vlastnosti systému soLNet AVirCheck: •

vysoká konfigurovatelnost,

•

vyhledávání vir˚u v komprimovaných pˇrílohách,

•

blokování pˇríloh specifikovaných typ˚u podle pˇrípon (preventivnˇe zabrání pˇrijení neznámých vir˚u),

•

zahození zprávy s virem nebo se zakázanou pˇrílohou a automatické informování správce,

•

hlášení o nedoruˇcení dopisu s virem cˇ i blokovanou pˇrílohou je možné zasílat i p˚uvodnímu adresátovi dopisu,

•

antitivirovou kontrolu lze provádˇet souˇcasnˇe nˇekolika antivirovými systémy,

•

automatická aktualizace databáze známých vir˚u.

2.5. soLNet multibox Multiserverové ˇrešení soLNet multibox vzniklo spojením soLNet firewallu, soLNet mailboxu, soLNet fileboxu a soLNet AVirChecku do jednoho cenovˇe výhodnˇejšího balíku. S produktem soLNet multibox zákazník obdrží poštovní server s antivirem, firewall, WWW a FTP proxy, souborový server, DHCP server, sdílené kontakty a další služby. V souˇcasné dobˇe nabízíme soLNet multibox dimenzovaný pro 10, 20, 50, 100, 500 nebo 1000 uživatel˚u. Požadavek na vyšší poˇcet uživatel˚u, VPN nebo clustery prosím konzultujte s našimi odborníky.

x

Kapitola 1. Pˇrihlášení Pro pˇrístup do Administrace je potˇreba zadat do webového prohlížeˇce jako URL adresu vašeho serveru (napˇr. https://mail.vasefirma.cz.). V URL musí být rovnˇež specifikován protokol; bud’ http pro nezabezpeˇcený pˇrístup nebo https pro pˇrístup zabezpeˇcený pomocí SSL. ˇ protokol https, Tip: Pro pˇrístup odjinud než z lokální síteˇ doporuˇcujeme používat bezpeˇcnejší který zamezuje odposlechu a pˇrípadnému zneužití pˇrihlašovacích údaju. ˚

Pro pˇrihlášení do Administrace je nutné znát pˇrihlašovací jméno a heslo. Jako jméno lze používat i pˇrezdívky úˇct˚u. Pˇri instalaci serveru obdrží administrátor první heslo. Pˇrístup do Administrace ovšem mohou mít i jiní uživatelé, kterým umožˇnuje pˇrístup administrátor. Ten m˚uže souˇcasnˇe nastavit, ke kterým objekt˚um bude mít takový uživatel pˇrístup. Toho lze využít napˇríklad pˇri pronajímání domén jiným zákazník˚um. Ti pak mohou v Administraci plnˇe ovládat svoji doménu a úˇcty v ní, ale neuvidí ostatní domény ani je nebudou moci nijak ovlivˇnovat. Obrázek 1-1. Pˇrihlášení do Administrace

1.1. Procˇ se nelze pˇrihlásit? Jestliže se pokus o pˇrihlášení do Administrace nezdaˇrí, jedná se zˇrejmˇe o jednu z následujících pˇríˇcin: •

Chybnˇe zadané uživatelské jméno nebo heslo – pamatujte, že pˇri zadávání tˇechto údaj˚u záleží na velikosti písmen a pokud nemáte pˇrednastavenu správnou pˇrihlašovací doménu, musíte jako jméno zadat celou svou e-mailovou adresu.

•

Uživatel nemá administraˇcní práva – do Administrace se m˚uže pˇrihlásit pouze uživatel, který k tomu má oprávnˇení. Více v kapitole Nastavení úˇctu.

V pˇrípadˇe nejasností ohlednˇe pˇrihlašovacího jména a hesla, kontaktujte svého administrátora.

1

Kapitola 2. Navigace K Administraci se pˇristupuje pˇres Internet prostˇrednictvím webového prohlížeˇce. Po pˇrihlášení uvidíte pracovní plochu, která je rozdˇelena na tˇri svisle oddˇelené oblasti.

•

Levý sloupec obsahuje záložky, které popisují jednotlivé položky nabídky pro aktuální objekt. Poˇcet záložek se m˚uže lišit podle konkrétní instalace serveru.

•

Stˇrední pracovní cˇ ást obsahuje seznamy a formuláˇre pro práci se zvolenou položkou. D˚uležitá informace se zobrazuje v horní cˇ ásti obrazovky v cˇ erveném obdélníku. Je tam obvykle název domény nebo jméno úˇctu, v jehož konfiguraci se právˇe nacházíte. K pˇrepínání do vyšších úrovní nabídek slouží tlaˇcítko Nahoru, které se nachází v levém horním rohu obrazovky. Pouze v nejvyšší úrovni Administrace se zmˇení na tlaˇcítko Odhlásit.

•

Sloupec napravo obsahuje rychlou nápovˇedu pro aktuálnˇe zobrazený formuláˇr.

Obrázek 2-1. Hlavní nabídka Administrace

2.1. Záložky Záložky v sloupci nalevo se mˇení podle toho, jaký objekt máte aktuálnˇe zvolen. Název objektu je zobrazen v cˇ erveném obdélníku v horní stˇredové cˇ ásti obrazovky. Na obrázcích níže je vidˇet nabídka pro doménu a nabídka pro uživatele v doménˇe. 2

Kapitola 2. Navigace Obrázek 2-2. Nabídka pro zvolenou doménu

Obrázek 2-3. Nabídka pro zvoleného uživatele

2.2. Vyhledávání Formuláˇr v této sekci slouží k rychlému nalezení úˇctu, skupiny, domény nebo subdomény na serveru. Do prvního vstupního pole pˇred znakem @ se vpisují jména nebo cˇ ásti jmen pro úˇcty a skupiny, do druhého pole pak jména nebo cˇ ásti jmen doména a subdomén. Pˇri vyhledávání lze využít znaku *, který nahrazuje libovolný poˇcet jiných znak˚u. Zadáním samotné hvˇezdiˇcky se zobrazí všechny úˇcty a skupiny, respektive domény. Kliknutím na název nalezeného objektu se pˇrepnete do podrobného nastavení v pˇríslušné sekci. 3

Kapitola 2. Navigace V tabulce Souhrnné informace jsou uvedeny nastavené limity pro poˇcty objekt˚u, povolených služeb na ˇ serveru a diskový prostor vymezený pro poštovní schránky. Cervená cˇ ísla znamenají, že limit byl dosažen nebo pˇrekroˇcen. Nevyplnˇená hodnota znamená, že limit není nastaven. Tlaˇcítkem Podrobné informace se zobrazí všechny limity u všech dostupných služeb pro jednotlivé objekty. Obrázek 2-4. Pˇríklad vyhledávacího filtru nad úˇcty a doménami

4

Kapitola 3. Domény V záložce Domény vidíte seznam domén na vašem serveru. Každá doména m˚uže obsahovat subdomény, skupiny a poštovní úˇcty. Domény musí být vytvoˇreny dˇríve, než zaˇcnete zakládat poštovní úˇcty nebo skupiny. Obrázek 3-1. Domény

Pokud vytváˇríte novou doménu, vložte do vstupního pole její název a kliknˇete na tlaˇcítko Pˇridat. V názvu smíte použít pouze malá písmena, cˇ íslice a pomlˇcku. Jednotlivé cˇ ásti domény se oddˇelují teˇckou. Tlaˇcítkem Smazat zrušíte vˇcechny oznaˇcené domény, pokud jsou prázdné, tedy neobsahují žádné subdomény, skupiny, ani úˇcty. Pˇred úplným zrušením neprázdné domény musíte nejprve ruˇcnˇe smazat její obsah.

3.1. Pˇrehled V této záložce m˚užete sledovat souhrnné informace o nastavených limitech na doménˇe, o zaplnˇení poštovních schránek doménových úˇct˚u a udržovat fakturaˇcní a technický kontakt k doménˇe.

3.1.1. Informace o limitech V tabulce Souhrnné informace jsou uvedeny nastavené limity pro poˇcty objekt˚u, povolených služeb na ˇ doménˇe a diskový prostor vymezený pro poštovní schránky. Cervená cˇ ísla znamenají, že limit byl dosažen nebo pˇrekroˇcen. Nevyplnˇená hodnota znamená, že limit není nastaven. Je-li vyplnˇen sloupec zbývá, jsou poˇcty položek omezeny profilem této domény, nadˇrazené domény, nebo celého serveru. V pˇrípadˇe, že je limit nastaven na samotné doménˇe a souˇcasnˇe i na nadˇrazené doménˇe nebo na serveru, pak se aplikuje nejnižší limit ze všech. 5

Kapitola 3. Domény Obrázek 3-2. Limity pro doménu

ˇ poštovních schránek 3.1.2. Zaplnení Tlaˇcítkem Zobrazit se vypíše seznam poštovních schránek, které odpovídají aktuálnˇe nastavenému testu. Tento seznam m˚užete uložit jako textový soubor tlaˇcítkem Exportovat do CSV a následnˇe ho ˇ otevˇrít nepˇríklad v tabulkovém procesoru. Tlaˇcítkem Pˇridat upozornení.. m˚užete zadat e-mailovou adresu, na kterou se zašle upozornˇení, pokud zaplnˇení nˇekteré schránky splní zadanou podmínku. Výsledné pravidlo se pˇrepíše pod formuláˇr, jak je vidˇet na obrázku níže. Test zadaných pravidel se provádí každou noc a upozornˇení pro každý z nich se zasílá jen tehdy, pokud daný test uspˇeje na nˇejaké schránce. Upozornˇení na pˇreplnení schránky, které je nasmˇerováno do té stejné schránky bude cˇ ekat na doruˇcení, dokud se ve schránce neuvolní místo. Ovšem obecnˇe platí, že první zpráva, která pˇrekroˇcí kvótu dané schránky se ještˇe doruˇcí celá. Obrázek 3-3. Kontrola zaplnˇení schránek

6

Kapitola 3. Domény

ˇ kontakt 3.1.3. Administracní Kontaktní informace u domény se využívají na serverech k automatickému zpracování plateb nebo oznámení o technických zásazích na serveru. V zájmu každého správce serveru proto je, aby tyto údaje byly vyplnˇeny a byly aktuální. Obrázek 3-4. Fakturaˇcní a technický kontakt domény

ˇ skupiny, subdomény 3.2. Úcty, Všechny tyto záložky v menu pro domény vypadají a fungují prakticky stejnˇe. Obsahují seznam objekt˚u daného typu, které doména obsahuje, vstupní pole a tlaˇcítko Pˇridat pro nové objekty a tlaˇcítko Smazat pro rušení existujících.

7

Kapitola 3. Domény Obrázek 3-5. Seznam skupin v doménˇe

V názvech úˇct˚u a skupin lze používat pouze malá písmena, cˇ íslice, teˇcku a pomlˇcku. V názvech subdomén navíc nelze používat teˇcku, protože ta v názvu oddˇeluje domény vyšších ˇrád˚u. U jakéhokoliv názvu nového objektu staˇcí zadat jeho lokální cˇ ást; doména, pro kterou se vytváˇrí, se doplní automaticky. Pˇri smazání úˇctu nebo skupiny bude smazána rovnˇež pošta, kterou daný objekt obsahuje. Subdoménu nelze smazat, pokud obsahuje nˇejaké úˇcty nebo skupiny.

ˇ ce ˇ 3.3. Pocíta V této záložce menu pro domény je seznam poˇcítaˇcu˚ , které administrátor do domény pˇripojil. Oznaˇcením a smazáním konkrétního poˇcítaˇce z tohoto seznamu ho z domény vyjmete. Obrázek 3-6. Seznam poˇcítaˇcu˚ v doménˇe

8

Kapitola 3. Domény

3.4. Povolené služby ˇ 3.4.1. Dorucování pošty Pokud je tato služba povolena, doména bude pˇrijímat e-mailové zprávy a zprávy adresované do neexistujících úˇct˚u v doménˇe bude pˇresouvat do doménového koše, jinak se pˇríchozí pošta vrací odesílateli. Správa pošty je podrobnˇe popsána v manuálu Administrace.

3.4.2. DNS (vedení záznamu) Povolením této služby se do konfigurace lokálního jmenného serveru (DNS) zˇrídí nový záznam. Ten slouží pro pˇreklad IP adres na doménová jména, obsahuje pˇrezdívky (aliasy) pro kanonický název domény, MX záznamy pro doruˇcování pošty apod. Tyto údaje jsou obsaženy v implicitní šablonˇe pro nové domény, která je uložena v souboru /etc/bind/hosting.db. Implicitní obsah zóny záleží na konkrétním serveru, je nastaven pˇri konfiguraci hostingové cˇ ásti administrace a musí zohledˇnovat distribuci zón na sekundární nameservery. Pokud máme zˇrízen záznam pro doménu priklad.cz, lze z pohledu správce zmˇenit obsah zóny vytvoˇrením souboru /etc/bind/zones/priklad.cz, který se pˇri novém generování konfigurace jmenného serveru pro danou doménu použije pˇrednostnˇe. Nejjednodušší zp˚usob, jak tento soubor vytvoˇrit, je zkopírovat p˚uvodní soubor hosting.db právˇe do adresáˇre /etc/bind/zones/, kde jej pˇrejmenujete a m˚užete modifikovat. Aby se však výsledná zóna skuteˇcnˇe použila, je nutné v ní modifikovat klíˇc Serial, nejlépe zvýšením jeho hodnoty o 1. Po ruˇcní zmˇenˇe konfigurace je tˇreba pˇregenerovat konfiguraˇcní soubory pˇríkazem sasschedule generate_domain_configs. Tento pˇríkaz zajistí restart všech služeb, jejichž konfigurace se zmˇenila.

3.4.3. Web (virtuální server) Pokud povolíte službu Web, vytvoˇrí se v konfiguraci webového serveru pro danou doménu koˇrenový adresáˇr pro data a konfigurace takzvaného virtuálního serveru, který zajistí pˇrístup k doménˇe pˇres Internet. To znamená, že se do souboru /etc/apache/hostings.conf pˇridá záznam Virtualhost pro virtuální server podle šablony /etc/solnet/templates/ apache/default.tmpl. Je možné tímto zp˚usobem generovat více virtuálních server˚u, implicitnˇe se vytváˇrí pro doménu priklad.cz rovnˇež alias pro pˇrístup na Internet www.priklad.cz. Vygenerovaný virtuální server lze modifikovat dvˇema zp˚usoby. Oba jsou definovány v implicitní šablonˇe. Opˇet pro názornost uvažujme novou doménu priklad.cz: •

Do souboru /etc/apache/virtualhosts/priklad.cz lze vložit úplnˇe novou konfiguraci virtuálního serveru. Pokud tento soubor existuje, použije se místo již vygenerované konfigurace.

9

Kapitola 3. Domény •

Do souboru /etc/apache/includes/priklad.cz se ukládají drobné úpravy, které nepˇrepíší celou konfiguraci, ale pouze se pˇri jejím generování vloží na konec souboru s p˚uvodní konfigurací virtuálního serveru.

Implicitní šablona obsahuje alias /stats pro pˇrístup ke generovaným statistikám návštˇevnosti s implicitním pˇrístupem pro všechny uživatele v dané doménˇe. Nejjednodušší zp˚usob, jak modifikovat vygenerovaný virtuální server, je zkopírovat si pˇríslušnou cˇ ást souboru /etc/apache/hosting.conf do svého /etc/apache/virtualhosts/priklad.cz. Po ruˇcní zmˇenˇe konfigurace je tˇreba pˇregenerovat konfiguraˇcní soubory pˇríkazem sasschedule generate_domain_configs. Tento pˇríkaz zajistí restart všech služeb, jejichž konfigurace se zmˇenila.

3.5. Doménový koš Doménový koš je jedna nebo více poštovních schránek, do kterých se ukládají e-mailové zprávy, které jsou adresovány do domény, ale cílový úˇcet v ní neexistuje. Jako doménový koš m˚užete použít libovolný existující úˇcet v doménˇe. Pokud nemáte v doménˇe aktivní doménový koš, zpráva smˇeˇrující do schránky, která v doménˇe neexistuje, se vrátí odesílateli s informací o nedoruˇcitelnosti. V opaˇcném pˇrípadˇe se uloží do koše a odesílatel není informován o niˇcem. Záložka Doménový koš je v nabídce pro konkrétní doménu. Koš se aktivuje zatrhávacím políˇckem nahoˇre, ale nastavení tohoto políˇcka je ještˇe potˇreba potvrdit tlaˇcítkem Použít. Schránek pro doménový koš m˚uže být více. Nové nastavíte pomocí vstupního pole. Obrázek 3-7. Doménový koš

10

Kapitola 3. Domény

3.6. Databáze Na hostingu s Administrací lze provozovat databáze typu MySQL a PostgreSQL. Rozhraní v Administraci slouží pouze k zavedení organizaˇcní struktury pro databáze v jednotlivých doménách a k pˇrehledu nad uživateli, kteˇrí k nim mají urˇcitá oprávnˇení. Databáze se zˇrizují pro každou doménu zvlášt’ v záložce Databáze dostupné v boˇcním menu Administrace. Každá databáze v doménˇe má v názvu pˇredvyplnˇenu pˇredponu, která je jednoznaˇcná pro celý server. Pro první zˇrizovanou databázi daného typu v dané doménˇe je nutné kromˇe jejího jména zadat jméno a heslo pro administrátora, který bude mít všechny tyto databáze pod kontrolou. Úˇcty pro pˇrístup k databázím jsou nezávislé na již existujících úˇctech v Administraci, ponˇevadž databáze typu MySQL a PostgreSQL používají vlastní správu uživatelských úˇct˚u a pˇrístupová práva k nim. Nelze ani kombinovat úˇcty k r˚uzným typ˚um databází, ovšem není obvyklé, aby v rámci jedné domény byly zˇrízeny databáze více typ˚u. Podrobné nastavení pˇrístupových práv k jednotlivým úˇct˚um nebo kódování pro databázi se již provádí ve webovém rozhraní, které je pˇrímo urˇceno ke správˇe jednotlivých databází. Pˇrístup k nim a odkaz na oficiální dokumentaci jsou uvedeny níže. •

MySQL – https://nazev_primarniho_serveru/phpmyadmin, seriál v cˇ eštinˇe (http://www.linuxsoft.cz/article_list.php?id_kategory=215), oficiální dokumentace (http://www.phpmyadmin.net/documentation/) (anglicky).

•

PostgreSQL – https://nazev_primarniho_serveru/phppgadmin, seriál v cˇ eštinˇe (http://www.linuxsoft.cz/article.php?id_article=304), informaˇcní wikiweb (http://postgresql.interweb.cz/index.php/Hlavn%C3%AD_strana) k databázi PostgreSQL.

nazev_primarniho_serveru je adresa vašeho hostingu, ke kterému existuje reverzní záznam pro

IP adresu serveru. Obrázek 3-8. Zˇrízené databáze v doménˇe

Pod tabulkou zˇrízených databází je seznam uživatel˚u, kteˇrí mají nˇejaká oprávnˇení pro pˇrístup k nim. Administrátoˇri pro jednotlivé typy databází jsou v seznamu vyznaˇceni tuˇcným písmem. Pro nového 11

Kapitola 3. Domény uživatele urˇcíte pouze typ databáze, jméno a heslo. Heslo lze zmˇenit nebo prohlédnout kliknutím na jméno uživatele v tabulce. Poznámka: Na serveru existuje také tzv. superadministrátor (obvykle uživatel admin@), který v hlavním menu Administrace vidí položku Globální databáze. Pro tu neplatí organizaˇcní struktura databází v doménách. Tento uživatel je také jediný, který smí vytváˇret databáze, jejichž název nebude zaˇcínat vygenerovanou pˇredponou.

3.7. Webhosting Pro doménu pˇrístupnou z Internetu lze v Administraci WebISu nastavovat následující služby. Implicitnˇe jsou povoleny pouze služby PHP a PHP Safe Mode. •

Aliasy – alias je jiné jméno pro doménu, pod kterým lze k této doménˇe pˇristupovat pˇres HTTP nebo HTTPS. Alias domény nelze používat pˇri pˇrihlašování na server ani pˇri odesílání pošty. Doména i její alias musí být korektnˇe zaregistrovány v DNS. Poˇcet alias˚u k doménˇe není omezen. Pro každou založenou doménu se v nastavení serveru automaticky vytvoˇrí alias zaˇcínající na www, který se nezobrazuje. Tedy napˇr. k doménˇe priklad.cz se lze ihned po založení pˇristupovat i pod aliasem www.priklad.cz. Toto se týká pouze samotné domény, nikoliv ruˇcnˇe zakládaných alias˚u. ˇ Poznámka: Používání aliasu˚ muže ˚ u nekterých vyhledávacích služeb snižovat hodnocení webových stránek, protože jiná webová adresa ve skuteˇcnosti zobrazuje stejné stránky. Za to ˇ dané stránce muže ˚ automatický program indexující obsah Internetu (web-crawler, spider) udelit ˇ ˇ penalizaci za duplicitní obsah. Výsledkem muže ˚ být nižší návštevnost stránek. Vhodnejší ˇ varianta je používat pˇresmerování, viz níže.

•

PHP – aktivuje aktuální verzi PHP, která je nainstalovaná na serveru. Pˇrepínat mezi jinými verzemi PHP není možné. Tato služba je implicitnˇe povolena.

•

PHP Safe Mode – tzv. bezpeˇcný režim PHP aktivuje bezpeˇcnostní omezení pro spouštˇení nˇekterých zneužitelných pˇríkaz˚u. V tomto režimu napˇríklad nelze pracovat se soubory, které vlastní jiný uživatel než je vlastník spouštˇeného skriptu. Pokud je bezpeˇcný režim zakázán, pˇredstavuje to bezpeˇcnostní riziko pro celý server, protože jsou potenciálnˇe ohrožena i data jiných uživatel˚u. Nˇekteré aplikace v PHP jsou však naprogramovány tak, že v bezpeˇcném režimu nefungují. Tato služba je implicitnˇe povolena, z bezpeˇcnostních d˚uvod˚u ji m˚uže vypnout pouze superadministrátor serveru.

•

FileInfo – umožˇnuje používání sady direktiv webového serveru pro manipulaci s typy MIME a metadaty dokument˚u, a pro provádˇení pˇrepisovacích pravidel nad URL prostˇrednictvím souboru .htaccess. Podrobnˇejší informace jsou k dispozici na oficiálních stránkách dokumentace k serveru Apache (http://httpd.apache.org/docs/2.2/mod/core.html#allowoverride).

12

Kapitola 3. Domény •

WebDAV – tato služba rozšiˇruje protokol HTTP a umožˇnuje uživatel˚um kolektivnˇe pracovat se soubory prostˇrednictvím Internetu. Je možné se pˇripojit ke vzdálenému adresáˇri a pracovat s ním jako s lokálním.

•

HTTPS – nadstavba komunikaˇcního protokolu HTTP, která umožˇnuje zabezpeˇcené pˇrenosy dat. Server musí mít nainstalovaný ovˇeˇrený certifikát a HTTPS potom umožˇnuje autentizovat jednotlivá spojení nebo je šifrovat pomocí SSL nebo TLS.

•

Výpis adresáˇru˚ – pˇri vstupu na URL, které není zakonˇceno jménem stránky ale adresáˇrem, se implicitnˇe hledá pˇredem definovaný soubor a ten se zobrazí. Nejˇcastˇeji to bývá soubor index s možnými pˇríponami htm, html, php, php4 nebo php5. Pokud takový soubor neexistuje a tato služba není povolena, pak webový server vrátí chybové hlášení HTTP Error 403.14 – Forbidden: Directory listing denied. V opaˇcném pˇrípadˇe se obsah adresáˇre vypíše. Nastavení platí pro celý domovský adresáˇr domény, ale lze jej pro konkrétní adresáˇr pˇrekonfigurovat.

•

Pˇresmˇerování – pˇresmˇerování domény je další zp˚usob pro používání jiného názvu pro stejnou doménu. Pˇri pˇresmˇerování dochází ke zmˇenˇe URL. Používá se napˇr. pˇri pˇrestˇehování nebo pˇrejmenování domény, nebo pˇri spojení dvou domén do jedné. Ve vztahu k vyhledávacím službám je pˇresmˇerování výhodnˇejší než aliasy, protože neznamená riziko penalizace ze strany automatických program˚u indexujících obsah Internetu za duplicitní obsah.

•

Periodické stahování stránky – pokud je potˇreba v rámci webu domény pravidelnˇe spouštˇet obslužný skript, je možné periodicky pˇristupovat ke stránce, která jej obsahuje. Toto automaticky obstarává program cron v hodinových nebo jednodenních intervalech. Obrázek 3-9. Nastavení webhostingu u domény

13

Kapitola 3. Domény

3.8. Volitelné položky objektu˚ Ke kontakt˚um a událostem WebISu lze pˇridávat vlastní položky. Jejich nastavení je v Administraci WebISu u domény, v záložce Další nastavení a nabídce Volitelné položky kontakt˚u resp. Volitelné položky událostí. V principu je nastavení pro všechny typy objekt˚u stejné. U každé volitelné položky lze nastavit následující údaje: •

název položky – žádné dva názvy nemohou být stejné.

•

typ – u nˇekterých polí se kontroluje správnost zápisu položky. Pro typ výbˇerové menu se jednotlivé možnosti pro výbˇer uvádí v následujícím tvaru: název_menu {položka1/položka2/položka3}. Poˇcet položek není omezen.

•

filtr – pokud je toto pole zaškrtnuto, bude možné podle obsahu dané položky vyhledávat v knize nebo kalendáˇri speciálním filtrem a bude možné také zobrazovat volitelnou položku jako sloupec v seznamu objekt˚u.

•

zobrazit v záložce – volitelnou položku lze zobrazovat i v nˇekteré existující záložce nastavení objektu, implicitnˇe je zvolena nová záložka Volitelné položky. Obrázek 3-10. Volitelné položky u kontaktu WebISu

Obrázek 3-11. Nastavení volitelných položek

14

Kapitola 3. Domény

Obrázek 3-12. Zobrazení volitelné položky v seznamu a vyhledávání pomocí speciálního filtru

15

ˇ Kapitola 4. Úcty Uživatelské úˇcty reprezentují fyzické e-mailové schránky. Protože na serveru m˚uže být mnoho nezávislých domén, nemají uživatelské úˇcty globální platnost, ale je vždy nutné urˇcit jejich pˇríslušnost do dané domény.

ˇ 4.1. Vytvoˇrení a smazání úctu Pˇred vytvoˇrením poštovního úˇctu je nejprve potˇreba vybrat doménu, do které úˇcet bude patˇrit. Po zvolení domény se zobrazí seznam úˇct˚u, které do ní patˇrí. Tlaˇcítkem Pˇridat.. nebo stejnojmennou volbou v menu Úˇcty vytvoˇríte nový úˇcet. Staˇcí zadat lokální cˇ ást adresy nového úˇctu. V názvu úˇctu m˚užete použít pouze malá písmena bez diakritiky, cˇ íslice, teˇcku a pomlˇcku. Oznaˇcené úˇctu a všechnu poštu v nich m˚užete zrušit volbou Smazat, která je rovnˇež v menu Úˇcty. Pokud je pro úˇcet vytvoˇren kontakt v doménové knize, z˚ustane po smazání úˇctu zachován. ˇ Mazání úˇct˚u je omezeno pouze nastavením pˇrístupových práv. Clenství ve skupinách cˇ i neprázdný obsah schránky daného úˇctu nemá na možnost smazání úˇctu žádný vliv s výjimkou pˇrípadu, že je tento úˇcet jediným cˇ lenem skupiny, která má v menu Povolené služby zatrženu volbu Doruˇcování poštu a souˇcasnˇe v menu Pˇreposílání volbu Pˇreposílat cˇ len˚um skupiny. ˇ být jednotná pro celou doménu. Každý úˇcet Poznámka: Pravidla pro pojmenovávání úˇctu˚ by mela ˇ jednoznaˇcneˇ identifikovat svého majitele, ponechat dostateˇcný prostor pro pˇridání dalších by mel ˇ úˇctu˚ a být snadno zapamatovatelný jak pro svého vlastníka, tak pro další uživatele. Nejˇcasteji používaná konvence je [email protected]. Je zcela nevhodné pojmenovávat úˇcty ruznými ˚ zkratkami, pˇrezdívkami apod.

Pˇri velkém množství úˇct˚u je užiteˇcné používat filtry – menu Filtr obsahuje nˇekolik vyhledávacích kritérií. Pˇri vyhledávání je možno zadávat podˇretˇezce, ale nejsou podporovány žádné zástupné znaky. Obrázek 4-1. Vytvoˇrení úˇctu

16

Kapitola 4. Úˇcty

ˇ 4.2. Konfigurace úctu Pouhé vytvoˇrení úˇctu ke správnému fungování nestaˇcí. Následuje popis jednotlivých nabídek úˇctu.

4.2.1. Nastavení Pˇrihlašovací jméno slouží k pˇrístupu ke službám na serveru jako je WebIS, IMAP apod. Jméno a pˇríjmení pˇredstavuje skuteˇcné jméno vlastníka úˇctu, které se napˇríklad pˇridává do hlaviˇcek e-mailových zpráv. Max. vel. schránky neboli kvóta urˇcuje v megabytech velikost diskového prostoru, který má daný úˇcet k dispozici pro poštu. Pokud z˚ustane hodnota nevyplnˇena, nastaví se maximum automaticky na 2 GB. Zpráva, která kvótu pˇrekroˇcí, se ještˇe do schránky uloží, další pˇríchozí zprávy z˚ustanou ve frontˇe poštovního serveru. Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontakt˚u. Novˇe vytvoˇrený úˇcet nemá kontakt v této knize vytvoˇren. Viz kapitolu o sdílených kontejnerech. Obrázek 4-2. Konfigurace úˇctu

17

Kapitola 4. Úˇcty

4.2.2. Heslo Na tomto místˇe nastavujete uživateli heslo, zpravidla pˇred prvním pˇrihlášením, pˇrípadnˇe když si ho zapomene. Uživatel, který nemá nastaveno žádné heslo, se nebude moci pˇrihlásit k žádné službˇe na serveru. D˚uležitost správnˇe zvoleného hesla se cˇ asto podceˇnuje. Lidé nˇekdy alespoˇn vˇedí, že by ve svém hesle mˇeli používat nealfanumerické znaky, což ale leckdy konˇcí tak, že si volí hesla jako Dana22, Kam1l nebo nˇeco ještˇe jednoduššího. Takové heslo potenciální aktivní útoˇcník s pomocí softwarových nástroj˚u odhalí bˇehem nˇekolika sekund. Následuje nˇekolik jednoduchých pravidel, jak správnˇe volit heslo. •

Heslo by mˇelo být v ideálním pˇrípadˇe alespoˇn osm znak˚u dlouhé.

•

V hesle se rozlišují velká a malá písmena. Je dobré je kombinovat.

•

Kv˚uli snazšímu zapamatování hesla je vhodné si pro nˇej zvolit nˇejakou mnemotechnickou pom˚ucku. Napˇríklad heslo [poASDDF je vytvoˇreno ze znak˚u, které jsou blízko u sebe na klávesnici, heslo 87del21 je pozpátku zadané datum 12. ledna 1978 apod.

•

Není doporuˇceno do hesla vkládat celá slova, obzvláštˇe ne vlastní jména.

Je užiteˇcné o tˇechto pravidlech uživatele pouˇcit. Obrázek 4-3. Heslo

4.2.3. Povolené služby V této nabídce jsou vidˇet služby, které jsou na serveru nainstalovány. Jejich poˇcet se m˚uže lišit v závislosti na tom, jaký serverový produkt máte zakoupen. Na obrázku níže je vidˇet nabídka serveru, který obsahuje všechny služby.

18

Kapitola 4. Úˇcty •

Administrace – pokud je služba povolena, bude se moci uživatel pˇrihlásit do Administrace. Jeho možnosti pro prohlížení a editaci r˚uzných nastavení s zcela odvíjí od nastavení pˇrístupových práv jednotlivých objekt˚u. Tato služba implicitnˇe není povolena.

•

Antispamová kontrola pošty – pokud je služba povolena, pˇridávají se k pˇríchozím zprávám hlaviˇcky s bodovým ohodnocením programu SpamAssassin. To udává relativní pravdˇepodobnost, že zpráva je spam. Uživatel pak m˚uže pˇríchozí poštu na základˇe tˇechto hlaviˇcek sám tˇrídit pomocí filtrovacích pravidel. Více o antispamovém systému najdete v pˇríslušné kapitole. Tato služba je implicitnˇe povolena.

•

Antivirová kontrola pošty – pokud je služba povolena, bude kontrolovat pˇríchozí i odchozí pošta na pˇrítomnost vir˚u. Více o antivirovém systému najdete v pˇríslušné kapitole. Tato služba je implicitnˇe povolena.

•

Doruˇcování pošty – pokud je zakázáno doruˇcování pošty do schránky úˇctu, chová se systém tak, jako by daný úˇcet neexistoval, tedy zejména doruˇcuje poštu smˇeˇrující na tento úˇcet do doménového koše, pokud je nˇejaký definován. V opaˇcném pˇrípadˇe se vrací odesílateli jako nedoruˇcitelná. Tato služba je implicitnˇe povolena.

•

FTP – pokud je služba povolena, bude mít daný uživatel v adresáˇri Others/www své domovské složky pˇrístupný koˇrenový adresáˇr své domény. Do nˇej je možné nahrávat soubory, které budou pˇrístupné na Internetu pˇres HTTP. Tato služba není implicitnˇe povolena.

•

Pˇrístup k poštˇe – tato služba umožˇnuje provoz nˇekterého protokolu na výbˇer pošty. Souˇcasnˇe jsou k dispozici IMAP, POP3 a WapMail. Pokud je tato služba zakázána, nebude mít uživatel ve WebISu k dispozici sekci Pošta. Tato služba je implicitnˇe povolena.

•

Pˇrihlašování pomocí modemu – tato služba umožˇnuje pˇripojení pˇres komutovanou linku k serveru Radius, který pˇri provozu modemu ovˇeˇruje pˇrihlašovací údaje a zaznamenává cˇ as pˇripojení uživatele a množství pˇrenesených dat. Tato služba není implicitnˇe povolena.

•

Souborový server – tato služba umožˇnuje pˇripojení k serveru Samba, na který se ukládají sdílené soubory. V závislosti na nastavení pˇrístupových práv jednotlivých souborových složek server jednorázovˇe ovˇeˇrí heslo pˇri pokusu uživatele vstoupit do dané složky. Ovšem i v pˇrípadˇe, že má uživatel tuto službu zakázánu, bude mít pˇrístup do tˇech sdílených složek, které jsou veˇrejné a umožˇnují anonymní pˇrihlášení. Tato služba je implicitnˇe povolena.

•

Odesílání pošty – tato služba umožˇnuje odesílání pošty pˇres SMTP pˇrihlášenému uživateli odkudkoliv z Internetu. Pokud není povolena, uživatel se nem˚uže pˇrihlásit, ale m˚uže odesílat poštu anonymnˇe, pokud je v lokální síti.

•

WapMail – tato služba explicitnˇe umožˇnuje pˇrístup k libovolným dat˚um pˇres WAP. V pˇrípadˇe WebISu je to pošta a kontakty. Jako adresu pro pˇripojení pˇres WAP použijte ve svém mobilním zaˇrízení bˇežnou adresu pro pˇrístup k WebISu na vašem pracovišti a za ni napište /wapmail. Tedy napˇríklad http://mail.priklad.cz/wapmail. Následnˇe zadejte stejné pˇrihlašovací údaje jako do WebISu. Tato služba je implicitnˇe povolena.

•

Webis – tato služba umožˇnuje pˇrihlášení do WebISu a je implicitnˇe povolena.

19

Kapitola 4. Úˇcty Obrázek 4-4. Povolené služby

4.2.4. Pˇrezdívky Jeden uživatel m˚uže pro pˇrijímání pošty souˇcasnˇe používat více jmen pro sv˚uj e-mailový úˇcet. Tˇemto jmén˚um se ˇríká pˇrezdívky. Pˇrezdívku lze se skuteˇcným názvem úˇctu zamˇenˇ ovat nejen pˇri zasílání pošty na tento úˇcet. Lze ji také využívat jako pˇrihlašovací jméno do WebISu nebo Administrace. Nelze ji však použít pro pˇrihlášení ke službám IMAP, POP3, SMTP apod. Pˇrezdívka má vždy stejnou doménu jako úˇcet, ke kterému patˇrí. Obrázek 4-5. Pˇrezdívky

20

Kapitola 4. Úˇcty

4.2.5. Pˇreposílání pošty Pokud v této nabídce není vyplnˇena žádná mobilní ani e-mailová adresa, pak se pošta vždy doruˇcuje do schránky úˇctu. Pˇred odesláním pošty na SMS bránu mobilní adresy se z e-mailu odstraní pˇrílohy, pˇrebyteˇcné znaky, mezery, zruší se diakritika a text se pˇrevede do zhuštˇené podoby. Pˇrevod a odesílání na mobil lze ovlivnit pˇrepínaˇci uvedenými za mobilní adresou: •

S – pošle se pouze pˇredmˇet zprávy.

•

P – SMS se rozdˇelí maximálnˇe na tolik cˇ ástí, kolik P zadáte.

•

L – neprovede se komprese vynecháním mezer (napˇr. text zapomeˇn na to se jinak zhustí na text ZapomenNaTo).

•

N – neprovedou se žádné úpravy textových cˇ ástí zprávy.

•

D – nepˇrepošlou se zprávy, které pˇrijdou z domény shodné s doménou úˇctu (na mobil nep˚ujdou firemní zprávy).

•

U – pˇreposílají se i zprávy, které pˇrijdou z adresy úˇctu.

•

R – pˇri rozdˇelení zprávy na více SMS se tyto pošlou v normálním poˇradí (standardnˇe se posílají v obráceném poˇradí).

•

T – SMS se budou posílat pouze od 17:00 do 9:00 a o víkendu, tedy mimo pracovní dobu.

•

B – v SMS není uveden údaj o p˚uvodní velikosti zprávy.

•

C – v SMS není uveden údaj o pˇresném cˇ ase, kdy byla zpráva pˇreposlána.

•

K – pˇredmˇet zprávy se pošle v hlaviˇcce Subject, nikoliv v tˇele zprávy.

•

Q – doˇcasnˇe zadanou adresu zneaktivní, SMS se neposílá.

•

X – zpráva, která byla oznaˇcena antispamem jako nevyžádaná, se nepˇreposílá.

•

cˇ íslo – udává maximální velikost jedné SMS ve znacích. Standardnˇe se velikost SMS spoˇcítá podle mobilního operátora (domény mobilní adresy).

Zadaná mobilní adresa s parametry tedy m˚uže vypadat napˇr. takto: [email protected] PPDT 50 Poznámka: Zakázat doruˇcování do schránky má smysl, pokud je pˇríliš plná nebo pokud vlastník úˇctu již není v systému aktivní, ale pˇresto chce ješteˇ pˇrechodnou dobu dostávat poštu z této adresy.

21

Kapitola 4. Úˇcty Obrázek 4-6. Pˇreposílání

4.2.6. Skupiny Poštovní úˇcty v rámci jedné domény mohou být organizovány do skupin, které slouží pˇrevážnˇe pro hromadnou distribuci pošty a pro hromadné nastavování pˇrístupových práv. Pˇrístupová práva uživatele pak odpovídají souˇctu jeho pˇrístupových práv a pˇrístupových práv skupiny, jíž je cˇ lenem. ˇ V seznamu jsou vidˇet všechny skupiny v doménˇe. Clenství v nich se zadává zaškrtnutím pˇríslušného políˇcka napravo. Úˇcet m˚uže být i cˇ lenem skupiny z jiné domény. V tom pˇrípadˇe je ale tˇreba zadat celý její název vˇcetnˇe domény. Nové nastavení cˇ lenství ve skupinách potvrd’te tlaˇcítkem Použít. ˇ Clen skupiny získá práva skupiny, která jsou jí pˇridˇelena ke konkrétním objekt˚um (kontakty, sdílené složky apod.). Úˇcet ovšem nepˇrebírá nastavení povolených služeb z nastavení skupin. Obrázek 4-7. Skupiny

22

Kapitola 4. Úˇcty

4.2.7. Souborový server V této nabídce máte možnost konfigurovat souborový server pro jednotlivého uživatele. Aˇckoliv je výhodnˇejší a jednodušší mít pˇrihlašovací skripty a domovské adresáˇre definovány spoleˇcnˇe pro celou doménu, v nˇekterých výjimeˇcných pˇrípadech m˚uže být potˇreba nastavit je jinak. Popis nastavení jednotlivých položek je popsán v pˇríslušné cˇ ásti kapitoly o souborovém serveru. V tomto formuláˇri je nˇekolik voleb navíc. •

Výbˇerové menu Pˇrihlašovací jméno umožní uživateli používat pˇri pˇripojování k souborovému serveru bud’ výchozí jméno svého úˇctu nebo jednu z pˇrezdívek. U pˇrezdívky není tˇreba dodržovat doporuˇcené konvence pro pojmenovávání úˇctu, proto m˚uže být mnohem kratší.

•

Ve výbˇerovém menu Heslo lze nastavit bud’ výchozí heslo do WebISu nebo vlastní. Nové vlastní heslo je potˇreba uložit tlaˇcítkem Použít zvlášt’.

•

Zaškrtávací pole Pˇri dalším pˇrihlášení zmˇenit heslo donutí uživatele, aby pˇri pˇríštím pˇripojení k serveru zmˇenil své heslo. Poté se tato volba automaticky vypne.

•

Zaškrtávací pole Možnost pˇreskoˇcit zmˇenu hesla lze uživateli umožnit ignorovat výzvu na zmˇenu hesla, která se ovšem bude zobrazovat pˇri každém pˇrihlášení, dokud si uživatel heslo nezmˇení.

•

Do pole Povolené pracovní stanice se píší jména poˇcítaˇcu˚ pˇripojených do domény, na kterých se uživatel m˚uže pˇrihlašovat. Pokud je pole prázdné, lze se pˇripojovat na všechny dostupné stanice.

•

Obrázek 4-8. Nastavení pˇrihlašování do domény pro uživatele

23

Kapitola 4. Úˇcty

4.2.8. Další nastavení Menu v této záložce obsahuje volby pro administrátorský pˇrístup ke sdíleným kontejner˚um. Dále obsahuje nastavení pˇrístupových práv a filtrovacích pravidel úˇctu. Obrázek 4-9. Další nastavení úˇctu

4.3. Pˇrístup k pošteˇ Kromˇe WebISu lze poštu pˇrijímat a odesílat i z externích poštovních klient˚u jako je Mozilla Thunderbird nebo MS Outlook. Staˇcí vytvoˇrit a nakonfigurovat úˇcet. Pˇri nastavování úˇctu pro naše servery patˇrí následující pravidla: •

Server pro odchozí poštu (SMTP) musí mít nastaveno, že vyžaduje ovˇeˇrení uživatele, jak je pro jednotlivé klienty popsáno níže. Server má totiž zakázáno pˇreposílání pošty z neznámých zdroj˚u (tzv. open relay), což znamená, že pro odeslání pošty je potˇreba jméno a heslo. Toto opatˇrení brání šíˇrení spamu na Internetu.

•

Adresy pro servery pˇríchozí a odchozí pošty jsou stejné, napˇr. mail.priklad.cz .

•

E-mailová adresa a pˇrihlašovací jméno uživatele jsou stejné, zejména tedy obˇe obsahují doménu, napˇr. [email protected] .

ˇ v aplikaci Mozilla Thunderbird 4.3.1. Pˇridání úctu Po prvním spuštˇení aplikace Thunderbird zvolte v hlavním menu Soubor -> Nový -> Úˇcet... a vyplˇnujte údaje v pr˚uvodci nastavení. Vzorovˇe vytvoˇrený úˇcet m˚užete vidˇet na obrázku níže. 24

Kapitola 4. Úˇcty Obrázek 4-10. Vzorové nastavení nového úˇctu

Po potvrzení zadaných informací se úˇcet vytvoˇrí a po zadání hesla m˚užete pˇristupovat k poštovní schránce na serveru. Obrázek 4-11. Otevˇrená e-mailová zpráva

Aby bylo možno poštu korektnˇe a bezpeˇcnˇe odesílat, je nutné ještˇe nastavit server pro odchozí poštu v nabídce Nástroje -> Nastavení úˇctu... -> Server odchozí pošty (SMTP). Vzorové nastavení je opˇet na obrázku níže.

25

Kapitola 4. Úˇcty Obrázek 4-12. Vzorové nastavení SMTP

ˇ v aplikaci MS Outlook 4.3.2. Pˇridání úctu Po prvním spuštˇení aplikace Outlook zvolte v hlavním menu Nástroje -> E-mailové úˇcty... -> Pˇridat nový e-mailový úˇcet. Následnˇe zvolte typ serveru, preferovaný je IMAP. Klepnˇete na Další a vyplˇnte údaje k úˇctu podle následujícího obrázku. Obrázek 4-13. Vzorové nastavení úˇctu

Aby bylo možno poštu korektnˇe a bezpeˇcnˇe odesílat, je nutné ještˇe zapnout zabezpeˇcený režim komunikace (SSL) a nastavit ovˇeˇrování jména a hesla pro server odchozí pošty v nabídce Nástroje -> E-mailové úˇcty... -> Zobrazit nebo zmˇenit existující e-mailové úˇcty. Následnˇe v tabulce klepnˇete na 26

Kapitola 4. Úˇcty sv˚uj úˇcet a na tlaˇcítko Zmˇenit, dále na tlaˇcítko Další nastavení a na záložky Server pro odchozí poštu a Upˇresnit. Vzorové nastavení je opˇet na obrázku níže. Obrázek 4-14. Vzorové nastavení pro SMTP

27

Kapitola 5. Skupiny Skupiny stejnˇe jako poštovní úˇcty nemají globální platnost, vždy musí patˇrit do nˇejaké domény. Jména skupin nelze použít pro pˇrihlašování ke službám na serveru, jako je WebIS nebo Administrace. Hlavní funkcí skupin je zjednodušení hromadné distribuce pošty a nastavování pˇrístupových práv.

5.1. Vytvoˇrení a smazání skupiny Pˇred vytvoˇrením skupiny je nejprve potˇreba vybrat doménu, do které úˇcet bude patˇrit. V záložce Skupiny se zobrazí seznam skupiny, které do ní patˇrí. Tlaˇcítkem Pˇridat.. nebo stejnojmennou volbou v menu Skupiny vytvoˇríte novou skupinu. Staˇcí zadat lokální cˇ ást adresy nové skupiny. V názvu skupiny m˚užete použít pouze malá písmena bez diakritiky, cˇ íslice, teˇcku a pomlˇcku. Oznaˇcené skupiny a všechnu poštu v nich m˚užete zrušit volbou Smazat, která je rovnˇež v menu Skupiny. Pokud je pro skupinu vytvoˇren kontakt v doménové knize, z˚ustane po smazání skupiny zachován. Pˇri smazání skupiny z˚ustanou úˇcty cˇ len˚u nedotˇceny. Poznámka: V pˇrípadeˇ nutnosti mužete ˚ zadat úplné jméno skupiny s jinou doménou a vytvoˇrit ji ˇ Musíte mít ovšem pro tuto operaci v cílové doméneˇ dostateˇcné oprávnení. ˇ tím na jiném míste.

Pˇri velkém množství skupin je užiteˇcné používat filtry – menu Filtr obsahuje nˇekolik vyhledávacích kritérií. Pˇri vyhledávání je možno zadávat podˇretˇezce, ale nejsou podporovány žádné zástupné znaky. Obrázek 5-1. Seznam skupin

28

Kapitola 5. Skupiny

5.2. Konfigurace skupiny Pˇríklad 5-1. Vytvoˇrení skupinove e-mailové schránky Skupinová e-mailová schránka pˇredstavuje jedno z možných využití skupin v doménˇe a vyžaduje ˇ relativnˇe nejvíce nastavování. Pokud skupina existuje, je nutné do ní pˇridat uživatele v záložce Clenové skupiny, dále umožnit pˇríjem skupinové pošty v záložce Povolené služby a také nastavit oprávnˇení ke skupinˇe na stránce Další nastavení/Pˇrístupová práva ke skupinˇe tak, aby ji její cˇ lenové mohli vidˇet, cˇ íst a pˇrípadnˇe do ní zapisovat. Následnˇe si uživatelé mohou tuto novˇe sdílenou poštovní složku pˇridat ve WebISu mezi ty, ze kterých chtˇejí novou poštu cˇ íst.

5.2.1. Nastavení Jméno skupiny slouží k jednoznaˇcné identifikaci skupiny a používa se pˇri nastavování pˇrístupových práv a doruˇcování skupinové pošty. Max. vel. schránky neboli kvóta urˇcuje v megabytech velikost diskového prostoru, který má daná skupina k dispozici pro poštu. Pokud z˚ustane hodnota nevyplnˇena, nastaví se maximum automaticky na 2 GB. Zpráva, která kvótu pˇrekroˇcí, se ještˇe do schránky uloží, další pˇríchozí zprávy z˚ustanou ve frontˇe poštovního serveru. Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontakt˚u. Novˇe vytvoˇrená skupina nemá kontakt v této knize vytvoˇren. Viz kapitolu o sdílených kontejnerech. Obrázek 5-2. Velikost schránky

29

Kapitola 5. Skupiny

ˇ 5.2.2. Clenové skupiny V seznamu jsou vidˇet všechny úˇcty v doménˇe, které lze do skupiny pˇridat. Zaškrtnˇete úˇcty, které má skupina obsahovat a kliknˇete na Použít. Ve skupinˇe mohou být také úˇcty z jiných domén, které existují na serveru. Pro pˇridání takového cizího úˇctu je tˇreba zadat do vstupního pole jeho celé jméno a kliknout na Pˇridat. ˇ Clen skupiny získá práva skupiny, která jsou jí pˇridˇelena ke konkrétním objekt˚um (kontakty, sdílené složky apod.). Úˇcet ovšem nepˇrebírá nastavení povolených služeb z nastavení skupin. ˇ Obrázek 5-3. Clenové skupiny

5.2.3. Pˇrezdívky Pro pˇrezdívky skupin platí stejná pravidla jako pro pˇrezdívky úˇct˚u. Obrázek 5-4. Pˇrezdívky

30

Kapitola 5. Skupiny

5.2.4. Povolené služby V této nabídce jsou vidˇet služby, které jsou na serveru naistalovány. Jejich poˇcet se m˚uže lišit v závislosti na tom, jaký serverový produkt máte zakoupen. Je jich také ménˇe než u úˇct˚u, ponˇevadž jménem skupiny se nelze pˇrihlašovat ke službám na serveru. Na obrázku níže je vidˇet nabídka serveru, který obsahuje všechny služby. •

Antispamová kontrola pošty – pokud je služba povolena, pˇridávají se k pˇríchozím zprávám hlaviˇcky s bodovým ohodnocením programu SpamAssassin. To udává relativní pravdˇepodobnost, že zpráva je spam. Pˇríchozí poštu lze na základˇe tˇechto hlaviˇcek tˇrídit pomocí filtrovacích pravidel. Více o antispamovém systému najdete v pˇríslušné kapitole. Tato služba je implicitnˇe povolena.

•

Antivirová kontrola pošty – pokud je služba povolena, bude kontrolovat pˇríchozí i odchozí pošta na pˇrítomnost vir˚u. Více o antivirovém systému najdete v pˇríslušné kapitole. Tato služba je implicitnˇe povolena.

•

Doruˇcování pošty – pokud je zakázáno doruˇcování pošty do schránky skupiny, chová se systém tak, jako by daná skupina neexistovala, tedy zejména doruˇcuje poštu smˇeˇrující na tuto skupinu do doménového koše, pokud je nˇejaký definován. V opaˇcném pˇrípadˇe se vrací odesílateli jako nedoruˇcitelná. Pošta ve schránce skupiny je uživatel˚um pˇrístupná jen tehdy, mají-li k ní pˇrístupová práva a mají-li ji zobrazenu mezi svými sdílenými schránkami ve stromu. Jelikož skupiny mohou být cˇ istˇe organizaˇcní bez požadavku na provoz skupinové pošty, není tato služba implicitnˇe povolena. Obrázek 5-5. Povolené služby

5.2.5. Pˇreposílání pošty Pokud v této nabídce není vyplnˇena žádná mobilní ani e-mailová adresa, ani zaškrtnuto pˇreposílání na adresy cˇ len˚u, pak se pošta vždy doruˇcuje do schránky skupiny. Pravidla pro pˇreposílání zpráv na SMS adresu jsou totožná jako pro pˇreposílání z úˇct˚u.

31

Kapitola 5. Skupiny ˇ že se pošta pro skupinu ukládá do schránky skupiny, je nutné ji nasdílet, Poznámka: V pˇrípade, aby k ní jednotliví cˇ lenové, pˇrípadneˇ další uživatelé mohli mít pˇrístup. Nasdílení je možné pˇres záložku Pˇrístupová práva. Blíže se touto problematikou zabývá kapitola o pˇrístupových právech.

Obrázek 5-6. Pˇreposílání pošty

5.2.6. Další nastavení Menu v této záložce obsahuje volby pro administrátorský pˇrístup ke sdíleným kontejner˚um. Dále obsahuje nastavení pˇrístupových práv a filtrovacích pravidel skupiny. Obrázek 5-7. Další nastavení skupiny

32

Kapitola 6. Pˇrístupová práva 6.1. Obecneˇ o pˇrístupových právech Úˇcty, skupiny, domény, kontakty, knihy kontakt˚u a další objekty v Administraci a WebISu nazveme obecným termínem objekty. Každý objekt obsahuje informaci, kdo s ním m˚uže pracovat a jakým zp˚usobem. Tuto informaci pak nazýváme pˇrístupovými právy daného objektu. Pˇrístupová práva se nastavují hierarchicky pro každý objekt nebo tˇrídu objekt˚u zvlášt’. Existuje tedy globální nastavení práv pro celou Administraci, pro doménu, pro skupinu, pro úˇcet apod. Taková nastavení lze pro každý objekt nalézt v jeho nabídce v záložce Další nastavení jako poslední odkaz v seznamu. Obrázek 6-1. Umístˇení pˇrístupových práv pro úˇcet

6.2. Hierarchie pˇrístupových práv Pro každý objekt je možné nastavovat jak pˇrístupová práva pro samotný objekt, tak speciální pˇrístupová práva, tzv. šablony nových objekt˚u, které se kopírují do pˇrístupových práv novˇe vytvoˇrených podobjekt˚u. Nejd˚uležitˇejší a nejrozsáhlejší šablony nových objekt˚u se nacházejí v koˇreni stromu, který obsahuje informace o pˇrístupových právech všech nových objekt˚u v systému. V pˇrípadˇe vytvoˇrení domény, napˇríklad "cz", se její práva nastaví podle šablon v koˇreni stromu a souˇcasnˇe se do ní z koˇrene zkopíruje cˇ ást šablon. Stejným zp˚usobem se šablony i standardní práva kopírují z domény do úˇct˚u, skupin a podobnˇe, takže nastavení šablon z koˇrene stromu se postupnˇe projeví ve všech úrovních stromu.

33

Kapitola 6. Pˇrístupová práva ˇ pˇríslušnost uživatelu˚ ve skupinách, pak se nové nastavení Poznámka: Pokud administrátor mení ˇ ˇ temto uživatelum ˚ projeví až po odhlášení a opetovném pˇrihlášení do WebISu nebo Administrace. Do té doby si systém stále pamatuje nastavení od posledního pˇrihlášení a jím se ˇrídí.

Obrázek 6-2. Pˇrístupová práva a šablony pro celý server

6.3. Zadávání a rušení pˇrístupových práv 6.3.1. Zadávání Pˇri zadávání práv u objektu je zapotˇrebí nejprve specifikovat uživatele, kterých se práva budou týkat. Uživatele pˇridáte tlaˇcítkem + Uživatel, které je úplnˇe dole na stránce, více uživatel˚u m˚užete zadat za sebe oddˇelené cˇ árkou a k jejich výbˇeru m˚užete využít ikonu knihy pro rychlý pˇrístup ke kontakt˚um. Uživatele je možné zadat tˇemito zp˚usoby: •

Jménem úˇctu – (napˇr. [email protected]). Práva se týkají jediného uživatele.

•

Promˇennou "self" – u nových objekt˚u náležících pod nˇejaký úˇcet se pˇrevede na jméno daného úˇctu.

•

Hodnotou "cokoliv@self" – u nových objekt˚u náležících pod nˇejakou doménu se pˇrevede na "cokoliv@domena". 34

Kapitola 6. Pˇrístupová práva •

Promˇennou "author" – u nových objekt˚u se pˇrevede na jméno uživatele, který daný objekt vytvoˇril a zkopíruje se do práv šablony nových objekt˚u, kam se pˇridá také jméno uživatele, který objekt vytvoˇril. Lze zadávat pouze u šablon a pˇri modifikaci pˇrístupových práv se tedy nenahrazuje.

Skupiny pˇridáte tlaˇcítkem + Skupina, které je úplnˇe dole na stránce, více skupin m˚užete zadat za sebe oddˇelené cˇ árkou a k jejich výbˇeru m˚užete využít ikonu knihy pro rychlý pˇrístup ke kontakt˚um. Skupiny je možné zadat tˇemito zp˚usoby: •

Názvem skupiny – (napˇr. [email protected]). Práva kdy se práva týkají uživatel˚u zadané skupiny.

•

Hodnotou "@domena" – (napˇr. @priklad.cz). Práva se týkají všech uživatel˚u v zadané doménˇe.

•

Hvˇezdiˇckou ("*") – práva se týkají všech uživatel˚u, i anonymních.

•

Promˇennou "self" – u nových objekt˚u náležících pod nˇejakou skupinu se pˇrevede na název dané skupiny.

•

Hodnotu "@self" – u nových objekt˚u náležících pod nˇejakou doménu se pˇrevede na hodnotu "@domena". Poznámka: Pˇri vytvoˇrení nového objektu nebo pˇri modifikaci pˇrístupových práv se všechny hodnoty self pˇrevedou na skuteˇcná jména uživatelu, ˚ pokud je to možné. Pokud se pomocí takového pˇrevodu objeví v pˇrístupových právech dveˇ stejná jména, použije se nastavení pro to, ˇ resp. nebylo zadáno pomocí nejaké ˇ ˇ které bylo zadáno pˇresneji, promenné. Pˇri rekurzivním ˇ nastavování práv se pro zanoˇrené objekty promenné nahrazují skuteˇcnými jmény.

Poznámka: Pˇri pˇridávání objektu obsahujícím doménu se všechny hodnoty self pˇrevedou na ˇ skuteˇcná jména domény, pokud je to možné. Potom se varianta s promennou ponechá pouze v šablonách pro zanoˇrenou doménu a pˇridá se pˇrevedená varianta, pomocí které se provádí výsledná modifikace všech práv mimo šablon pro zanoˇrenou doménu. Pokud zadáte napˇríklad ˇ na dveˇ nepˇrekrývající se cˇ ásti: v admins@self zustanou admins@self, práva se rozdelí ˚ práva pro zanoˇrenou doménu a v [email protected] jsou zbylá práva.

6.3.2. Rušení Pˇri rušení všech práv konkrétního uživatele nebo skupiny je potˇreba nejprve zvolit nejvyšší úroveˇn nastavení práv, na které je chcete rušit (tedy napˇr. nastavení úˇctu, domény nebo celé Administrace). V ní pomocí tlaˇcítka s cˇ erveným zatržítkem, které je zcela napravo na stejném ˇrádku jako dané vstupní pole, odznaˇcíte všechna práva pro daného uživatele nebo skupinu. Uložením nastavení tlaˇcítkem Použít vpravo dole na stránce vyjmete daný subjekt z nastavení pˇrístupových práv. Poznámka: Pokud má uživatel právo zápisu do skupiny, muže ˚ z ní smazat jakéhokoliv uživatele, kterého má právo zobrazit, bez ohledu na jeho další nastavení práv.

35

Kapitola 6. Pˇrístupová práva

ˇ 6.4. Jednotlivá práva a úrovenˇ oprávnení To, jaká práva mohou být u objektu nastavována, záleží vždy na typu konkrétního objektu. Obecnˇe se jedná o tyto akce: •

vypsání objektu udává, zda uživatel smí vˇedˇet o existenci objektu, napˇr. jestli se vypíše název úˇctu v seznamu úˇct˚u,

•

cˇ tení objektu udává, zda uživatel smí vidˇet obsah objektu, napˇr. informace o nastavení úˇctu, informace u kontaktu, nastavení doménového koše u domény apod.

•

zmˇena objektu udává, zda uživatel smí mˇenit obsah objektu, napˇr. editovat detaily kontaktu, nastavovat konfiguraci apod.

•

smazání objektu udává, zda uživatel smí daný objekt smazat. Je-li to povoleno, vztahuje se to i na smazání všech podˇrazených objekt˚u,

•

zmˇena práv objektu udává, zda uživatel smí vidˇet a mˇenit práva daného objektu. Toto oprávnˇení dává uživateli nad objektem plnou kontrolu,

•

vytvoˇrení objektu udává, zda uživatel smí pod tímto objektem vytvoˇrit objekt uvedeného typu.

Dále popíšeme, jak funguje tzv. úroveˇn oprávnˇení. Mˇejme následující situaci: Server slouží tˇrem firmám; A, B a C. Firma A je vlastníkem serveru a chce mít nad jeho nastavením plnou kontrolu. Firmy B a C spravují svoje vlastní úˇcty na serveru samy. Firma A tedy nastaví pˇrístupová práva tak, aby si firmy mohly svoje domény a úˇcty plnˇe spravovat. Mohlo by se ale stát, že nˇekterá z hostovaných firem nastaví práva u svých úˇctu tak, aby k nim firma A nemˇela pˇrístup. Aby si firma A zajistila dohled nad všemi úˇcty, m˚uže využít tzv. úrovnˇe oprávnˇení, které jsou souˇcástí všech pˇrístupových práv. Uživatel, který má k danému objektu nižší úroveˇn oprávnˇení (vyšší cˇ íslo), nem˚uže mˇenit pˇrístupová práva uživatele s vyšší úrovní oprávnˇení. Dokonce taková pˇrístupová práva ani nevidí. Jestliže pˇridáváte práva pro nového uživatele nebo skupinu, automaticky se pˇrednastaví všechna práva, která máte vy, ale zvýší se cˇ íslo úrovnˇe oprávnˇení o jedna. Takový uživatel vaše práva nevidí, ani je nem˚uže mˇenit. Obecnˇe tedy platí cˇ ím nižší cˇ íslo úrovnˇe oprávnˇení, tím vyšší autorita.

36

Kapitola 6. Pˇrístupová práva Obrázek 6-3. Úrovenˇ oprávnˇení

37

Kapitola 7. Filtrovací pravidla pˇríchozí pošty 7.1. Obecneˇ o filtrovacích pravidlech Zpracování pˇríchozí pošty lze výraznˇe ovlivnit pomocí filtrovacích pravidel. Tˇech existuje nˇekolik skupin a je stanoveno poˇradí, ve kterém se na pˇríchozí poštu aplikují. Každá skupina filtrovacích pravidel má svoje pˇrístupová práva. V seznamu pravidel jsou kromˇe tˇech pro aktuální skupinu vidˇet i ta z jiných skupin, která se na pˇríchozí poštu aplikují a uživatel k nim má oprávnˇení. Filtrovací pravidla se provádˇejí v tomto poˇradí:

•

Globální pˇrednostní filtry – dostupné z nejvyšší úrovnˇe Administrace v záložce Další nastavení, za odkazem Globální filtrovací pravidla pˇríchozí pošty. Tato pravidla jsou platná pro všechny uživatele na serveru a nelze je pˇrebít žádným pravidlem z jiné skupiny.

•

Pˇrednostní filtry domény – dostupné v záložce Další nastavení v menu konkrétní domény za odkazem Doménová filtrovací pravidla pˇríchozí pošty. Tato pravidla jsou platná pro všechny uživatele a skupiny v doménˇe a lze je pˇrebít jedinˇe globálním pˇrednostním pravidlem.

•

Uživatelské a skupinové filtry – dostupné v záložce Další nastavení v menu konkrétního úˇctu resp. skupiny za odkazem Filtrovací pravidla pˇríchozí pošty uživatele resp. Filtrovací pravidla pˇríchozí pošty skupinové schránky. Uživatelské filtry jsou také dostupné ve WebISu, v sekci Nastavení za odkazem Filtrování pošty.

•

Filtry domény – dostupné v záložce Další nastavení v menu konkrétní domény za odkazem Doménová filtrovací pravidla pˇríchozí pošty. Vztahují se na všechny uživatele a skupiny v doménˇe.

•

Globální filtry – dostupné z nejvyšší úrovnˇe Administrace v záložce Další nastavení, za odkazem Globální filtrovací pravidla pˇríchozí pošty. Vztahují se na všechny uživatele na serveru.

Obrázek 7-1. Nabídka globálních filtrovacích pravidel

38

Kapitola 7. Filtrovací pravidla pˇríchozí pošty

7.2. Konfigurace filtrovacího pravidla Nové pravidlo sestává ze tˇrí cˇ ástí. V první, Nastavení pravidla, m˚užete pravidlo pojmenovat a zatrhávacím políˇckem aktivovat nebo deaktivovat. Pravidlo, které není aktivní, se na pˇríchozí poštu neaplikuje, z˚ustává pouze uloženo pro pˇrípadné pozdˇejší použití. Druhá cˇ ást uvozená nadpisem Jestliže slouží k definování jedné nebo více podmínek, proti kterým se bude pˇríchozí zpráva testovat. Pokud je podmínek více, je možné pomocí výbˇerového menu nastavit, zda mají být splnˇeny všechny souˇcasnˇe nebo staˇcí jedna nebo více z nich. Typ podmínky vyberete v menu vyberte nový test. Tomu následnˇe vyplníte klíˇcové hodnoty pomocí výbˇerových menu a vyplˇnovacích polí. Pokud potˇrebujete testovat nˇekterou podmínku v negativním tvaru, zaškrtnˇete ji políˇckem úplnˇe vpravo a kliknˇete na tlaˇcítko Obrátit význam. Podobnˇe m˚užete danou podmínku z pravidla vyjmout tlaˇcítkem Smazat. Následuje popis parametr˚u, na které lze zprávy testovat: •

odesílatel dopisu – testují se hlaviˇcky dopisu From, Sender a Resent-From na pˇrítomnost zadané e-mailové adresy nebo její cˇ ásti.

•

ohodnocení z antispamu – testuje se hlaviˇcka dopisu X-Spam-Level, kterou do nˇej vkládá software bˇežící na serveru a odhalující nevyžádanou poštu.

•

pˇredmˇet dopisu – testuje se obsah hlaviˇcky dopisu Subject.

•

pˇríjemce dopisu – testují se hlaviˇcky dopisu To, Cc, Bcc, Resent-To a Envelope-To na pˇrítomnost zadané e-mailové adresy nebo její cˇ ásti.

•

hlaviˇcky – testuje se seznam hlaviˇcek dopisu na pˇrítomnost vyjmenovaných.

•

adresa v hlaviˇcce – testují se vyjmenované hlaviˇcky dopisu na pˇrítomnost vyjmenovaných e-mailových adres nebo jejich cˇ ástí.

•

obsah hlaviˇcky – testují se vyjmenované hlaviˇcky na pˇrítomnost zadaného ˇretˇezce. Napˇr. hlaviˇcka From nemusí obsahovat pouze e-mailovou adresu, ale také textový popis úˇctu. Do toho se nejˇcastˇeji ukládá jméno cˇ lovˇeka, který úˇcet používá. Taková hlaviˇcka m˚uže vypadat takto: "Ing. Jan Soukup" <[email protected]>. Pokud budete hledat odesílatele testem popsaným výše, budou se brát v úvahu pouze e-mailové adresy. Pomocí tohoto testu m˚užete testovat na shodu libovolný obsah libovolné hlaviˇcky.

•

velikost dopisu – testuje se velikost obsahu dopisu vˇcetnˇe všech pˇríloh v bytech.

•

jméno úˇctu, kam byl dopis doruˇcen – testuje se primární pˇrihlašovací jméno uživatele, i když samotná zpráva neobsahuje hlaviˇcky.

•

odesílatel na obálce – testuje se hlaviˇcka dopisu Return-Path na pˇrítomnost e-mailové adresy nebo její cˇ ásti.

•

pˇríjemce na obálce – testuje se hlaviˇcka dopisu Envelope-To na pˇrítomnost e-mailové adresy nebo její cˇ ásti.

39

Kapitola 7. Filtrovací pravidla pˇríchozí pošty Obálkou dopisu v elektronické poštˇe se rozumí odchozí a cílová adresa, která m˚uže být nepovinnˇe uložena v hlaviˇckách Return-Path a Envelope-To. Obálka se mˇení pˇri každé návštˇevˇe poštovního serveru pˇri putování e-mailové zprávy sítí. Podrobný popis týkající se hlaviˇcek MIME pro elektronickou poštu m˚užete nalézt v tomto návodu (http://www.cpress.cz/knihy/tcp-ip-bezp/CD-dalsi/CD-mime/mime.htm). ˇ u˚ v hlaviˇckách mužete Poznámka: Pˇri hledání ˇretezc ˚ ale nemusíte používat diakritiku a ani na ˇ ˇretezec ˇ ˇ velikosti písmen a mezery se nebere zˇretel. Pokud potˇrebujete nalézt nejaký zcela pˇresne, tedy s ohledem na diakritiku a mezery, musíte jej zadat ve formátu quoted-printable. Pˇresnou ˇ podobu ˇretezce v tomto formátu mužete ˚ vykopírovat ze zdrojového kódu hlaviˇcky e-mailu. Ten mužete ˚ zobrazit pˇri prohlížení pošty ve WebISu kliknutím na odkaz Zdrojový kód zprávy.

Tˇretí cˇ ást uvozená nadpisem proved’ následující akce slouží k definování cˇ inností, které se s dopisem, splˇnujícím podmínky z druhé cˇ ásti, provedou. Ve výbˇerovém menu vpravo lze zvolit, zda se po provedení tˇechto cˇ inností pˇredá dopis dalšímu pravidlu nebo se proces filtrování ukonˇcí. Samotnou akci m˚užete vybrat ve výbˇerovém menu a následnˇe vyplnit její parametry podobnˇe jako v podmínkové cˇ ásti. Na následujících dvou obrázcích jsou pˇríklady nastavení filtrovacích pravidel. Obrázek 7-2. Pˇríklad filtrovacího pravidla

40

Kapitola 7. Filtrovací pravidla pˇríchozí pošty Obrázek 7-3. Jiný pˇríklad filtrovacího pravidla

Následuje popis možných akcí: •

Uložení do vybrané složky – tato akce slouží k automatickému tˇrídˇení pošty. Pˇríchozí zprávu odpovídající zadaným kritériím m˚užete uložit do libovolné složky a souˇcasnˇe jí pˇriˇradit pˇríznak jako pˇreˇctená, d˚uležitá a podobnˇe. Pˇri zadávání názv˚u složek je nutné dbát na velikosti písmen.

•

Uložení do složky Doruˇcená pošta – tato akce pouze pˇrednastavuje nejˇcastˇeji používanou cˇ innost s pˇríchozí zprávou. Opˇet lze zprávu oznaˇcit nˇejakým pˇríznakem. Tato akce je souˇcasnˇe implicitní – pokud žádné pravidlo neukonˇcí zpracování zprávy, uloží se tato automaticky právˇe do složky Doruˇcená pošta.

•

Zahození zprávy – zde si m˚užete vybrat, zda chcete zprávu pˇresunout do složky, kterou máte nastavenu jako koš, nebo ji úplnˇe a bez náhrady smazat ze serveru. Zahození zprávy do koše je tedy ve své podstatˇe akce uložení. Zahození bez náhrady v kombinaci s pˇreposláním nebo odmítnutím zprávy nemá žádný úˇcinek.

•

Odmítnutí zprávy – tato akce vrátí zprávu odesílateli. M˚užete k ní nepovinnˇe pˇriložit doprovodný text. Tuto akci nelze kombinovat s jinými akcemi. Pokud zkombinujete akce odmítnutí zprávy s akcemi pˇreposlání nebo uložení v rámci jednoho pravidla, všechny akce tohoto pravidla se budou ignorovat.

•

Pˇreposlání zprávy – zde m˚užete nastavit jinou adresu, na kterou se zpráva automaticky odešle. Pˇreposílání lze kombinovat s jinými akcemi. ˇ Poznámka: Aˇckoliv WebIS upozornuje, že akci odmítnutí nelze kombinovat s jinými, pokud vytváˇríte jedno pravidlo, muže ˚ se stát, že se akce odmítnutí zkombinuje s jinou akcí v rámci vyhodnocování více ruzných ˚ pravidel najednou. V takovém pˇrípadeˇ dojde k chybeˇ a žádná ze ˇ zmínených akcí se neprovede.

41

Kapitola 7. Filtrovací pravidla pˇríchozí pošty Hotová pravidla se uloží do seznamu ve formˇe vˇety v pˇrirozeném jazyce, jak je vidˇet na obrázku níže. Nastavení pravidla m˚užete upravit kliknutím kamkoliv do rámeˇcku s jeho popisem. Pokud je pravidel v seznamu více, provádˇejí se v poˇradí shora dol˚u. Mˇenit poˇradí pravidel lze pomocí smˇerových šipek, které jsou u každého z nich vpravo. Vedle nich je zaškrtávací políˇcko – tlaˇcítko dole Aktivovat / deaktivovat zapne, resp. vypne všechna oznaˇcená pravidla. Aktivní pravidla jsou oznaˇcena fajfkou v pravém horním rohu rámeˇcku. Obrázek 7-4. Seznam uložených pravidel

42

Kapitola 8. Sdílené kontejnery Práce se sdílenými kontejnery je zcela totožná jako práce s uživatelskými kontejnery ve Webisu. Podrobnosti najdete napˇríklad v manuálu pro Webis na adrese www.webis.cz (http://www.webis.cz).

8.1. Globální kontejnery Globální knihy kontakt˚u a úkol˚u a globální kalendáˇre jsou kontejnery, které se speciálnˇe zakládají v Administraci a jsou implicitnˇe viditelné všem uživatel˚um pˇripojeným k serveru. Jsou dostupné z hlavní nabídky Administrace v záložce Další nastavení, jak je vidˇet na obrázku níže. Obrázek 8-1. Nabídka globálních kontejneru˚

V pˇrípadˇe globálních kalendáˇru˚ se standardnˇe na každý instalovaný server dodávají kalendáˇre obsahující státní svátky a jmeniny. Obrázek 8-2. Globální kalendáˇre

43

Kapitola 8. Sdílené kontejnery

8.2. Doménové kontejnery Doménové knihy kontakt˚u a úkol˚u a doménové kalendáˇre jsou kontejnery, které se speciálnˇe zakládají v Administraci a jsou implicitnˇe viditelné všem uživatel˚um patˇrícím do domény. Jsou dostupné z nabídky pro danou doménu v záložce Další nastavení, jak je vidˇet na obrázku níže. Obrázek 8-3. Nabídka doménových kontejneru˚

V pˇrípadˇe doménových knih kontakt˚u se automaticky vytvoˇrí knihy se jmény úˇct˚u a skupin, pokud vznikne kontaktní informace pˇrímo v nastavení úˇctu nebo skupiny. Tu lze vytvoˇrit tlaˇcítkem Pˇridat v záložce Nastavení konkrétního úˇctu nebo skupiny.

44

Kapitola 8. Sdílené kontejnery Obrázek 8-4. Pˇridání kontaktu úˇctu

Obrázek 8-5. Doménová kniha kontaktu˚

45

Kapitola 9. Souborový server Souborový server (file server) slouží ke sdílení soubor˚u a adresáˇru˚ v rámci firemní sítˇe. Souˇcasnˇe je možné na nˇem snadno nastavit pˇrístupová práva sdílených objekt˚u pro jednotlivé uživatele i skupiny. Základním pojmem správy sít’ového prostˇredí v systému Windows je doména. Doménou se v tomto kontextu rozumí soubor všech služeb, prostˇredk˚u a poˇcítaˇcu˚ , ke kterým má uživatel pˇrístup prostˇrednictvím jediné kombinace uživatelského jména a hesla. Dalším d˚uležitým pojmem je cestovní profil. Jedná se o uživatelské nastavení prostˇredí na pracovní stanici, jako je rozmístˇení ikon na ploše, tapeta, nastavení barev a rozložení kláves, doˇcasné soubory a podobnˇe. Pˇri správné konfiguraci domény se toto nastavení centrálnˇe ukládá a pˇri pˇrihlášení opˇet nahrává, takže z pohledu uživatele je jedno, ke které stanici v doménˇe se pˇrihlásí, jeho pracovní prostˇredí bude vypadat vždy stejnˇe.

9.1. Nastavení služeb Základní nastavení souborového serveru je pˇrístupné z hlavního menu Administrace v nabídce Další nastavení a dále v položce Nastavení služeb serveru a koneˇcnˇe v levém sloupci v rozbalovacím menu Soubory za odkazem Souborový server. Obrázek 9-1. Souborový server

9.1.1. Typ a jméno souborového serveru Souborový server m˚uže být nˇekolikerého typu podle zp˚usobu zacházení se seznamem uživatelských jmen a hesel a zpˇrístupˇnování sdílených zdroj˚u v doménˇe. •

PDC je primární ovladaˇc domény (Primary Domain Controller). Je to hlavní poˇcítaˇc, který ˇrídí doménu v systému Windows. Obsahuje databázi všech uživatelských úˇct˚u a cˇ len˚u domény, ke které má právo cˇ tení i zápisu. Ovˇeˇruje pˇrihlášení uživatel˚u na pracovní stanice a nastavuje oprávnˇení pro sdílené složky. Souˇcasnˇe na nˇem bˇeží služba WINS pro pˇreklad jmen poˇcítaˇcu˚ a jejich IP adres. 46

Kapitola 9. Souborový server •

BDC je záložní ovladaˇc domény (Backup Domain Controller). Obsahuje záložní kopie databáze uživatelských úˇct˚u z nadˇrazeného PDC, ke kterým má pouze právo cˇ tení. Synchronizace databáze se provádí pravidelnˇe, což mimo jiné znamená, že i BDC m˚uže ovˇeˇrovat pˇrihlašovací informace uživatel˚u. Server, který je nastaven jako BDC, musí mít jako nadˇrazený PDC jiný server, se kterým bude propojen. V nastavení BDC serveru je asistence našich technik˚u nezbytná.

•

Nezávislý server pracuje zcela samostatnˇe, nemá speciální status v dané doménˇe. Uživatelská jména a hesla se ovˇeˇrují až v okamžiku pˇrístupu k nˇekterému sdílenému prostˇredku. Pˇrihlašovací jména a hesla se berou z nastavené domény.

•

ˇ Clen domény je libovolný poˇcítaˇc nebo server, který je pˇripojen k PDC. Nastavení pˇrístupových práv se rovnˇež kontroluje v nadˇrazeném PDC. Pro nastavení poˇcítaˇce jako cˇ lena domény je asistence našich technik˚u nezbytná.

Název serveru je jméno, pod kterým poˇcítaˇc uvidíte ve složce Okolní poˇcítaˇce v systému Windows nebo také v sekci Okolní PC v systému WebIS. Název m˚uže sestávat jen z písmen, cˇ íslic nebo pomlˇcky a nem˚uže být delší než 15 znak˚u. Popis serveru je doplˇnující a nepovinný komentáˇr. Pokud zaškrtnete políˇcko Povolit anonymní pˇrihlášení, pak uživatel, který se pokusí pˇrihlásit se na server pod neexistujícím jménem, není odmítnut, ale je prohlášet za anonymního a vztahují se na nˇej pouze nejmenší práva pro pˇrístup ke sdíleným složkám platná pro všechny uživatele.

9.1.2. Konfigurace zvoleného typu serveru Následující nastavení se mírnˇe liší v závislosti na tom, jaký typ serveru jste nastavili. Pokud nastavujete jen cˇ lenský poˇcítaˇc v doménˇe, pak do pole Jméno domény ve Windows napíšete, pod jakým jménem se bude tento poˇcítaˇc zobrazovat ve Windows. Nejedná se o doménu v pravém slova smyslu. Pokud nastavujete PDC, BDC nebo nezávislý server, m˚užete zvolit jednu doménu z tˇech, které na serveru bˇeží, ve výbˇerovém menu Používat úˇcty v doménˇe. Proti úˇct˚um v této doménˇe se budou ovˇeˇrovat pˇrístupy ke sdíleným složkám. Dále máte možnost ještˇe konfigurovat vlastnosti zvolené domény v systému Windows. K tomu slouží odkaz nastavení domény... Služba WINS slouží k rychlému pˇrekladu mezi mezi jmény poˇcítaˇcu˚ a jejich IP adresami. Jejím nastavením získáte rychlejší a plynulejší provoz na síti. V pˇrípadˇe topologicky složitˇejších sítí (napˇr. VPN) je nastavení služby WINS nutností. Pˇri konfiguraci PDC bˇeží služba WINS vždy na samotném serveru, proto je tato hodnota pˇrednastavena. Pˇri konfiguraci BDC bˇeží služba WINS vždy na nadˇrazeném PDC, proto je tato hodnota pˇrednastavena. U nezávislého serveru a cˇ lena domény jsou k dispozici všechny možnosti nastavení, tedy vypnutí služby a zapnutí služby na samotném poˇcítaˇci nebo na jiném poˇcítaˇci. IP adresa WINS serveru urˇcuje stroj, na kterém pro daný server služba WINS bˇeží. V pˇrípadˇe, že je služba WINS nastavena na samotném serveru, je IP adresa pˇrednastavena na 127.0.0.1, což je pro daný poˇcítaˇc hodnota ekvivalentní s lokální IP adresou. Jinak je možné zadat adresu jiného poˇcítaˇce, na kterém služba WINS bˇeží. Pokud je služba vypnuta, nebere se na vloženou hodnotu zˇretel. Celkové nastavení je potˇreba potvrdit tlaˇcítkem Použít.

47

Kapitola 9. Souborový server

9.1.3. Nastavení domény pro souborový server Obrázek 9-2. Nastavení domény pro souborový server

Zde je možné mˇenit nˇekteré údaje vztahující se ke zvolené doménˇe pro souborový server: •

Windows doména/skupina: pod tímto jménem je tento server vidˇet ve Windows. Toto jméno nem˚uže být delší než 12 znak˚u a nemusí se shodovat se jménem domény. Pokud je tedy název domény napˇr. nase_firma.subdomena.cz, je obvyklé, že jméno skupiny ve Windows bude napˇr. nase_firma.

•

Pˇrihlašovací skript je tzv. logon skript obsahující pˇríkazy, které se spustí ihned po pˇrihlášení uživatele. Tuto položku obvykle není potˇreba mˇenit.

•

Cesta k profilu udává umístˇení složky, do které se bude ukládat profil uživatele (pracovní plocha, nastavení, dokumenty, ...) v systémech Windows NT, 2000 a XP. Tuto položku není potˇreba používat, protože po prvním pˇrihlášení se implicitnˇe vytváˇrí místní profil a cestovní profil se nekontroluje.

•

Cesta k profilu pro Win9X udává umístˇení složky, do které si budou ukládat profily uživatel˚u na systémech Windows 95, 98 a ME. Pro tuto položku platí totéž, co pro cestu k profilu na novˇejších verzích Windows, viz výše.

•

Pˇripojit domovský disk jako udává písmeno disku, pod kterým se automaticky pˇripojí domovská složka v systémech Windows NT, 2000 a XP. Implicitnˇe se domovská složka nepˇripojuje. Na starších verzích Windows je nutné pˇripojovat disk pod tímto písmenem manuálnˇe, a to prostˇrednictvím pˇríkaz˚u v pˇrihlašovacím skriptu: net use ${disk} /delete /y net use ${disk} \\${server}\home kde v promˇenné disk resp. server jsou uloženy písmeno zvoleného disku (ve tvaru napˇr. H:) resp. jméno vašeho souborového serveru. Tyto pˇríkazy ovšem musí být použity v sekci skriptu, která je urˇcena pouze pro spouštˇení na starších verzích Windows. Tato sekce se uvozuje zápisem [OS: Win95]. Více podrobností najdete v kapitole o pˇrihlašovacích skriptech.

Po potvrzení zmˇen tlaˇcítkem OK se zrestartují služby obsluhující souborový server, což m˚uže zp˚usobit odhlášení uživatel˚u, kteˇrí právˇe manipulují se sdílenými daty. 48

Kapitola 9. Souborový server

9.2. Jak nastavit server jako PDC 9.2.1. Nastavení na serveru Chcete-li daný souborový server nastavit jako PDC (primární ovladaˇc domény), vyberte tuto položku ve výbˇerovém menu pro pole Typ serveru. Další pole Název serveru, Popis serveru, Povolit anonymní pˇrihlášení a nastavení, ze které domény brát úˇcty, je možné nastavit napˇr. zp˚usobem uvedeným na obrázku. Obrázek 9-3. Nastavení serveru jako PDC

V doménˇe, kterou jste nastavili pro používání úˇct˚u, je dále potˇreba vytvoˇrit skupinu admins. To provedete tak, že v hlavním menu Administrace otevˇrete menu Domény a kliknete na jméno dané domény (v našem pˇrípadˇe priklad.cz). V ní zvolíte z levého sloupce položku Skupiny, do vstupního pole napíšete admins a potvrdíte tlaˇcítkem Pˇridat. Následnˇe se skupina vytvoˇrí. Je obvyklé a doporuˇcené, aby tato skupina obsahovala úˇcet se jménem admin. Kliknˇete na tlaˇcítko Nahoru v levém horním rohu obrazovky, dále zvolte záložku Úˇcty, úˇcet založte nebo kliknˇete na jeho jméno, pokud již existuje. Nyní jste v nastavení úˇctu a v levém menu je pˇrístupná záložka Skupiny. V ní zaškrtávacím políˇckem vyberte skupinu [email protected] a potvrd’te volbu tlaˇcítkem Použít. Skupina [email protected] by mˇela mít nastavena pˇrístupová práva tak, aby mohla spravovat danou doménu i všechny sdílené složky a úˇcty. To se provede v nejvyšší úrovni Administrace. V ní zvolte v levém sloupci menu Další nastavení a v nˇem odkaz Globální pˇrístupová práva. V seznamu pˇrístupových práv, který se objeví, kliknˇete dole na tlaˇcítko + Skupina , do vstupního pole vyplˇnte název skupiny v doménˇe, v našem pˇrípadˇe tedy [email protected]. Pro tuto skupinu nastavte úplnˇe všechna práva tlaˇcítkem cˇ erveného zaškrtávacího políˇcka, které je vpravo od vstupního pole skupiny.

49

Kapitola 9. Souborový server Obrázek 9-4. Nastavení pˇrístupových práv pro skupinu admins

Aby se administrátor mohl pˇrihlásit do Administrace a k souborovému serveru, je nutné mu tyto služby povolit. V dané doménˇe kliknˇete na záložku Úˇcty, kliknutím zvolte úˇcet admin a dále kliknˇete v levém menu na záložku Povolené služby. V ní zaškrtnˇete položky Administrace a Souborový server, tak jak je vidˇet na obrázku. Obrázek 9-5. Nastavení povolených služeb pro úˇcet admin

V nejvyšší úrovni Administrace v záložce Souborové složky je ještˇe nutné vytvoˇrit sdílenou souborovou složku netlogon, jejíž obsah budou moci cˇ íst všichni uživatelé a skupina admins v dané 50

Kapitola 9. Souborový server doménˇe k ní bude mít všechna práva. Obrázek 9-6. Nastavení pˇrístupových práv sdílené složky netlogon

Tím jsme vyˇcerpali všechna nastavení, která je nutná provést na serveru. Další nastavení je potˇreba udˇelat na jednotlivých pracovních stanicích.

9.2.2. Nastavení na jednotlivých pracovních stanicích ˇ jména domény na serveru nebo opetovného ˇ Poznámka: V pˇrípadeˇ zmeny pˇripojování poˇcítaˇce, ˇ který byl z nejakého duvodu ˚ z domény odpojen, je nutné mít uzavˇrena všechna spojení se serverem, zejména pˇripojené souborové složky. Všechna spojení lze rychle ukonˇcit pˇríkazem net use * /delete.

9.2.2.1. Windows XP EN Na dané pracovní stanici je nejprve nutné nastavit dané PDC jako WINS server. Nejdˇríve otevˇrete složku Sít’ová spojení, pravým tlaˇcítkem kliknˇete na vaše LAN spojení a zvolte položku Vlastnosti. V novém dialogovém oknˇe zvolte záložku Obecné, ze seznamu spojení zvolte Protokol sítˇe Internet a kliknˇete na Vlastnosti. V dalším dialogovém oknˇe v záložce Obecné kliknˇete na tlaˇcítko Rozšíˇrené nastavení. Koneˇcnˇe v dalším oknˇe zvolte záložku WINS a tlaˇcítkem Pˇridat vložte IP adresu serveru, který je nastaven jako PDC.

51

Kapitola 9. Souborový server Obrázek 9-7. Nastavení WINS serveru na pracovní stanici

Po nastavení WINS serveru je dále nutné danou pracovní stanici pˇridat jako cˇ lena do dané domény. Nejprve otevˇrete Ovládací panely, v nich zvolte položku Vlastnosti systému a v novém oknˇe záložku Identifikace v síti. Tam kliknˇete na tlaˇcítko Zmˇeny a v dalším oknˇe zatrhnˇete cˇ lenství v doménˇe a vyplˇnte jméno domény, která je nastavena na serveru. Po potvrzení tlaˇcítkem OK budete vyzváni, abyste vložili pˇrihlašovací údaje uživatele, který má právo mˇenit cˇ lenství v doménˇe, tedy doménového administrátora, v našem pˇrípadˇe uživatele admin. Pokud na daném poˇcítaˇci tento úˇcet ještˇe neexistuje, vytvoˇrí se, ale není souˇcasnˇe rozpoznán. Proto se první pˇrihlášení nemusí zdaˇrit. V takovém pˇrípadˇe vložte stejné údaje znovu a budete pˇrihlášeni do domény. Obrázek 9-8. Nastavení cˇ lenství v doménˇe na pracovní stanici

52

Kapitola 9. Souborový server

Po restartu poˇcítaˇce se uživatelé, kteˇrí mají v doménˇe úˇcet, mohou pˇrihlašovat. Obrázek 9-9. Pˇrihlášení do domény

Ke sdíleným souborovým složkám se m˚užete dostat dvˇema zp˚usoby. První je komplikovanˇejší a využijete jej v pˇrípadˇe, že neznáte názvy jednotlivých složek. Ve složce Okolní poˇcítaˇce kliknˇete na odkaz Celá sít’, v ní zvolte Sít’ Microsoft Windows, v ní nˇejakou doménu a v ní již uvidíte seznam cˇ lenských poˇcítaˇcu˚ . Pokud názvy sdílených složek znáte, staˇcí vstoupit do složky Okolní poˇcítaˇce a do vstupního pole Adresa ho napsat. Pokud tedy v našem pˇrípadˇe máme nastaven server s názvem "mailbox", vložíme toto jméno ve tvaru \\mailbox a ihned vidíme obsah této složky. Obrázek 9-10. Okolní poˇcítaˇce

53

Kapitola 9. Souborový server

9.2.2.2. Windows 2000 Professional CZ Nastavení ve Windows 2000 je prakticky stejné jako ve Windows XP. Nejprve je nutné nastavit WINS server a poté pˇridat daný poˇcítaˇc do domény. Teprve pak bude možné pˇrihlašování do dané domény. Viz obrázky níže. Obrázek 9-11. Nastavení WINS serveru ve Windows 2000

Obrázek 9-12. Pˇridání poˇcítaˇce do domény ve Windows 2000

54

Kapitola 9. Souborový server

9.2.2.3. Windows 98 CZ Ve Windows 98 se veškeré nastavení pro PDC provádí v Ovládacích panelech ve složce Sít’. Vše je pˇrehlednˇe vidˇet na obrázcích níže. Obrázek 9-13. Nastavení WINS serveru ve Windows 98

Obrázek 9-14. Nastavení pˇrihlášení do domény ve Windows 98

55

Kapitola 9. Souborový server Obrázek 9-15. Nastavení pˇridání do domény ve Windows 98

9.3. Souborové složky Sdílené souborové složky na serveru lze vytváˇret a spravovat jen v Administraci, jejich podložky a soubory v nich lze upravovat a nastavovat pouze z pracovní stanice, která je pˇripojena do domény.

9.3.1. Souborové složky na serveru Novou složku v Administraci lze vytvoˇrit tlaˇcítkem Pˇridat. Tlaˇcítko Pˇridat speciální složky slouží k vytvoˇrení následujících složek, které jsou potˇrebné pro samotný provoz souborového serveru: •

netlogon – do této složky se ukládají pˇrihlašovací skripty, které se automaticky spouští pˇri pˇrihlášení uživatele do domény,

•

print$ – do této složky se ukládají ovladaˇce pro sít’ové tiskárny,

•

domain-users – v této složce se ukládají domovské adresáˇre všech uživatel˚u v doménˇe,

•

local-users – v této složce se ukládají domovské adresáˇre uživatel˚u na lokálním poboˇckovém VPN uzlu.

Tlaˇcítkem Smazat odstraníte všechny složky, které jsou v seznamu oznaˇceny zaškrtávacím políˇckem. kliknutím na název složky se zobrazí její nastavení:

56

Kapitola 9. Souborový server Obrázek 9-16. Pˇrehled souborových složek na serveru

Pole Název je povinné. Do pole Komentáˇr se ukládá nepovinný popis složky, který je vidˇet i jako jeden z údaj˚u složky ve Windows. Zaškrtávací pole Zobrazovat v seznamu udává, zda bude složka po pˇripojení do domény viditelná. V poli Povolit souˇcasnˇe uživatel˚u lze omezit poˇcet uživatel˚u, kteˇrí jsou aktuálnˇe k dané složce pˇripojeni s tím, že systém Windows složky jednotlivým uživatel˚um po urˇcité dobˇe neˇcinnosti automaticky odpojuje. Dále jsou k dispozici tˇri režimy pro práci se soubory v pˇrípadˇe, kdy dojde k pˇrerušení spojení se serverem (režim offline): •

manuální – uživatel si manuálnˇe oznaˇcí soubory a ty se pˇred odpojením od serveru zkopírují na lokální disk pro práci offline. Obrázek 9-17. Manuální zpˇrístupnˇení souboru pro režim offline

57

Kapitola 9. Souborový server •

automatický – soubory, které uživatel otevˇre, se automaticky synchronizují do složky na lokálním disku.

•

automatický (pro programy) – tento mód je urˇcen pro složky, které jsou pouze pro cˇ tení a obsahují spustitelné programy. Ty se po zkopírování na lokální disk spouští pˇrímo, bez pˇrístupu k sít’ové verzi, což je rychlejší a snižuje to zatížení sítˇe.

•

vypnutý – žádné soubory nejsou v režimu offline k dispozici.

Tlaˇcítkem Smazat odstraníte sdílenou složku se všemi podsložkami a soubory, které v ní jsou. Tlaˇcítkem Nový odkaz.. m˚užete vytvoˇrit virtuální složku, kterou lze chápat jako jiné jméno nebo jako odkaz na p˚uvodní složku. Potvrzením názvu se pohled pˇrepne na nastavení této nové virtuální složky, kde je vyplnˇeno jméno skuteˇcné složky v položce Odkazuje na. Samotný odkaz m˚uže také smˇeˇrovat pouze na podadresáˇr zvolené složky. Jméno podadresáˇre m˚užete napsat do vstupního pole nebo jej vybrat ze seznamu podadresáˇru˚ , když kliknete na ikonu knížky. V oknˇe nastavení skuteˇcné souborové složky je uveden seznam virtuálních složek, které do ní smˇeˇrují v položce formuláˇre Odkazováno z. Smazáním virtuální složky nikdy nepˇrijdete o skuteˇcná data, protože ta jsou pouze odkazována. Obrázek 9-18. Nastavení souborové složky

9.3.2. Nastavení pˇrístupových práv souborových složek na serveru V záložce Pˇrístupová práva lze nastavit oprávnˇení pro manipulaci se složkou pro jednotlivé uživatele a skupiny uživatel˚u. Práva pro práci se samotnými daty ve složce se nastavují v horní cˇ ásti formuláˇre. Pˇri pˇridávání vˇetšího množství uživatel˚u a skupin je m˚užete vybrat ze seznamu, pokud kliknete na ikonu knížky. Pˇri psaní do vstupního pole se automaticky doplˇnují názvy existujících úˇct˚u nebo skupin.

58

Kapitola 9. Souborový server Obrázek 9-19. Pˇrístupová práva souborové složky

Kromˇe bˇežných uživatel˚u a skupin je možné pˇridávat nebo vidˇet i nˇekteré speciální záznamy: •

* (Kdokoliv) – tento záznam zahrnuje a platí pro všechny uživatele, vˇcetnˇe anonymních.

•

BUILTIN\jmeno – záznamy tohoto typy oznaˇcují vestavˇené skupiny uživatel˚u na souborovém serveru, které existují i ve Windows. Jsou to tyto skupiny: •

Administrators – skupina uživatel˚u se všemi právy. Skupina BUILTIN\Administrators vždy obsahuje skupinu správc˚u domény Domain Admins. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Admins rovna skupinˇe admins@domena, pokud je server cˇ len domény, použije se skupina Domain Admins na PDC.

•

Users – skupina bˇežných uživatel˚u s omezenými právy. Skupina BUILTIN\Users vždy obsahuje skupinu všech uživatel˚u v doménˇe Domain Users. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Users rovna skupinˇe @domena, pokud je server cˇ len domény, použije se skupina Domain Users na PDC.

•

Power Users – skupina bˇežných uživatel˚u s rozšíˇrenými právy. V souˇcasnosti se tato skupina na serveru nepoužívá.

Na obrázku výše jsou tedy práva složky testovani nastavena tak, že všichni bˇežní uživatelé v doménˇe ji mohou cˇ íst. Souˇcasnˇe všichni doménoví administrátoˇri do ní mohou zapisovat. Výhoda používání konstrukce BUILTIN je v tom, že funguje jako promˇenná, která se ˇrídí doménou, která je aktuálnˇe nastavená pro souborový server. Pokud tedy dojde k jejímu pˇrenastavení, nebude potˇreba mˇenit pˇrístupová práva existujících souborových složek, které využívají právˇe BUILTIN. •

SID (Security identifier) – bezpeˇcnostní identifikátor ve formátu napˇr. S-1-5-12-7644816715-53789099348-030366813-1013, který jednoznaˇcnˇe oznaˇcuje uživatele nebo skupinu na PDC. PDC také zajišt’uje pˇreklad tˇechto identifikátor˚u na skuteˇcná jména. Pˇri migraci domén nebo jiném technickém zásahu je možné tyto identifikátory vkládat jako záznamy pˇrístupových práv ruˇcnˇe. Pokud se ovšem objeví v seznamu SID neˇcekanˇe, pak to znamená, že daný objekt byl smazán nebo je pˇrerušeno spojení s PDC. Podrobnosti o tˇechto identifikátorech si m˚užete pˇreˇcíst napˇríklad na Wikipedii (http://en.wikipedia.org/wiki/Security_Identifier).

Práva v dolní cˇ ásti formuláˇre slouží k manipulaci se složkou v Administraci podle obecných pravidel práce s pˇrístupovými právy. Pˇri zadávání nových práv lze zadávat pouze existující uživatele nebo 59

Kapitola 9. Souborový server skupiny – jejich seznam lze zobrazit kliknutím na ikonu knížky. Tlaˇcítkem + Kdokoliv lze do tabulky pˇridat ˇrádek pˇrístupových práv spoleˇcných pro všechny uživatele, vˇcetnˇe anonymních (jsou oznaˇceni znakem *). Smazání ˇrádku se provede odznaˇcením všech práv kliknutím na cˇ ervené zaškrtávací políˇcko, v pˇrípadˇe duplicitního nebo neexistujícího názvu ještˇe vymazáním vstupního pole, a uložením nastavení formuláˇre.

9.3.3. Nastavení pˇrístupových práv z pracovní stanice Pˇrístupová práva k souborovým složkám lze nastavovat ve dvou vrstvách – v Administraci a na pracovní stanici ve Windows. Výsledná práva ke složce jsou pr˚unikem tˇechto dvou vrstev, což znamená, že pro uživatele, pro které se práva z obou vrstev nˇejak pˇrekrývají, budou platit ta "menší". Práva nastavená pˇrímo na v Administraci se na pracovních stanicích nezobrazují. Na pracovních stanicích lze pro adresáˇre a soubory nastavovat celou ˇradu pˇrístupových práv. Na obrázku níže je vidˇet, jak m˚uže napˇríklad vypadat nastavení pˇrístupových práv se skupinou Info náležící do domény priklad.cz. Každý soubor nebo složka na serveru má povinnˇe nastavena práva pro tˇri typy uživatel˚u: Obrázek 9-20. Vzorové nastavení pˇrístupových práv

•

vlastník – uživatel, který daný objekt vytvoˇril, v našem pˇríkladˇe to je Zdenˇek Vytoˇcil,

•

skupina – skupina uživatel˚u, do které vlastník patˇrí (implicitní skupina). Na souborovém serveru je implicitní vždy skupina Domain Users, obsahující všechny uživatele v doménˇe,

•

ostatní – všichni ostatní uživatelé respektive každý uživatel, pro kterého neplatí jiná pˇrístupová práva. V popisu práv ve Windows jsou oznaˇceni jako Everyone.

Mˇejme nyní sdílenou složku projekty na serveru server. Pak cesta k této složce je \\server\projekty. Nastavení koˇrenových složek na serveru lze mˇenit pouze v Administraci serveru. Nyní nastavíme práva složce test, která je podsložkou složky projekty. Nejprve zvolíme Vlastnosti.

60

Kapitola 9. Souborový server Obrázek 9-21. Sdílená složka

V ní v záložce Zabezpeˇcení je vidˇet seznam uživatel˚u a skupin, kteˇrí mají definovaná nˇejaká práva. Kliknutím na jméno v seznamu se v tabulce níže zobrazí základní nastavení pˇrístupových práv. Po jejich úpravˇe pomocí zaškrtávacích políˇcek je vhodné odeslat nové nastavení na server tlaˇcítkem Použít a pak teprve kliknout na OK. Obrázek 9-22. Základní nastavení pˇrístupových práv

Pokroˇcilé nastavení práv zobrazíte kliknutím na Upˇresnit. Zobrazí se úplný výpis všech subjekt˚u, které mají definována nˇejaká práva. Pokud je dole zaškrtnuto políˇcko Povolit šíˇrení dˇediˇcných oprávnˇení..., je potˇreba ho odškrtnout, jinak nebude možné modifikovat pˇrístupová práva subjekt˚u v seznamu. Následnˇe vám bude nabídnuta možnost práva bud’ zkopírovat nebo odebrat, zvolte možnost Kopírovat.

61

Kapitola 9. Souborový server Obrázek 9-23. Podrobné nastavení práv

Obrázek 9-24. Zrušení dˇediˇcného šíˇrení práv

Uživatelé a skupiny v seznamu pˇrístupových práv se dˇelí na známé, kteˇrí existují v doménˇe a lze je do seznamu pˇridávat, a na pˇrevzaté ze serveru oznaˇcované jako Unix user a Unix group, kteˇrí mají svá práva pˇrednastavena. Tato práva obvykle není potˇreba mˇenit. Každý soubor nebo složka na souborovém serveru má pˇriˇrazena implicitní práva pro uživatele, který ji vytvoˇril a povinnˇe také práva pro implicitní skupinu, což je skupina Domain Users. Jména CREATOR OWNER a CREATOR GROUP oznaˇcují šablony tˇechto pˇrístupových práv pro novˇe pˇridaný soubor nebo složku. Tlaˇcítkem Pˇridat... m˚užete do seznamu vložit novou skupinu nebo uživatele v doménˇe. Aby všechno správnˇe fungovalo, je potˇreba v nastavení práv ve výbˇerovém menu Použít pro... ponechat respektive nastavit hodnotu Tato složka, podsložky a soubory.

62

Kapitola 9. Souborový server Obrázek 9-25. Nastavení práv

Pokud chcete definovat pˇrístupová práva pro jinou než implicitní skupinu v doménˇe, je nejprve potˇreba odebrat práva pro šablonu skupiny CREATOR GROUP, protože z té se dˇedí práva pro implicitní skupinu, ve které jsou všichni uživatelé, ne jen ti ve zvolené skupinˇe. Obrázek 9-26. Pˇridání objektu do seznamu pˇrístupových práv

V nabídce Windows je k dispozici mnoho r˚uzných oprávnˇení, ale samotný souborový server ukládá pouze tˇri: cˇ tení, zápis a spouštˇení pro soubor a výpis, zápis a vstup do pro složky. Každou zmˇenu v nastavení práv je potˇreba potvrdit tlaˇcítkem Použít, kdy se požadavek nastavení práv odešle na server, který zpˇet zašle skuteˇcné nastavení. Na obrázku níže je vidˇet nastavení práv v nabídce Windows, která zleva doprava odpovídají hodnotám cˇ tení, zápis a spouštˇení. Tato nastavení jsou již výsledkem pˇrekladu nastavení práv ve Windows, který zaslal server. Pˇred odesláním staˇcí zaškrtnout jen jednu položku týkající se cˇ tení a ze serveru se vrátí zaškrtnutá všechna práva, která se cˇ tením pˇrímo souvisí.

63

Kapitola 9. Souborový server Obrázek 9-27. Nastavení základních pˇrístupových práv na stranˇe serveru

Systém Windows vyhodnocuje nastavení práv tak, že dává nejvˇetší pˇrednost nastavení pro ostatní uživatele (Everyone). Proto je nutno nechat všechna práva pro ostatní uživatele vypnutá, pokud potˇrebujete mít aktivní speciální nastavení práv jiných subjekt˚u. Pˇríklad 9-1. Pˇridání pˇrístupových práv pro cˇ tení skupinˇe v doménˇe Napˇríklad složce test chceme definovat práva tak, aby do ní mˇely pˇrístup na cˇ tení pouze cˇ lenové skupiny Info a vlastník. Na této složce tedy zobrazíme Vlastnosti a v záložce Zabezpeˇcení klikneme na Upˇresnit. Odškrtneme políˇcko Povolit šíˇrení dˇediˇcných práv a necháme souˇcasná práva na následnou výzvu Zkopírovat. V seznamu práv oznaˇcíme Everyone, pokud mají nastavena jiná práva než Žádná a tlaˇcítkem Odebrat je zrušíme ze seznamu. Totéž provedeme pro implicitní skupinu Domain Users a skupinovou šablonu CREATOR GROUP. Potom tlaˇcítkem Pˇridat otevˇreme seznam možných subjekt˚u pro pˇridání. Vyplníme hodnotu Info a potvrdíme. V nastavení práv v menu Použít pro ponecháme hodnotu Tato složka, podsložky a soubory a zaškrtneme jedno z práv pro cˇ tení, napˇríklad hodnotu ˇ data. Uložíme tlaˇcítkem OK. Potom tlaˇcítkem Potvrdit odešleme nové Zobrazovat obsah složky/Císt nastavení práv na server. Na obrázku níže vidíme, jak vypadá výsledné nastavení po návratu ze serveru.

64

Kapitola 9. Souborový server Obrázek 9-28. Výsledné nastavení pˇrístupových práv

9.4. Pˇrihlašovací skripty Pˇrihlašovací skript je krátký program, který se spouští po pˇrihlášení uživatele do domény. Jeho nejbˇežnˇejší využití spoˇcívá v pˇripojení domovské složky uživatele a vybraných sdílených složek na serveru. Lze je ale využívat k celé ˇradˇe úkon˚u jako jsou napˇríklad spouštˇení monitorovacích program˚u, instalace sít’ových periferií (napˇr. tiskáren), synchronizace cˇ asu klienta a serveru nebo zobrazování d˚uležitých oznámení správc˚u systému. Konfigurace pˇrihlašovacích skript˚u spoˇcívá v inicializaˇcním souboru logon.ini, který je souˇcástí sdílené složky netlogon. V nˇem lze definovat promˇenné a využívat pˇreddefinované promˇenné pro obecnou specifikaci chování serveru. Po pˇrihlášení uživatele server zpracuje tento soubor, provede náhrady za promˇenné a zástupné znaky a s ohledem na specifikované sekce vygeneruje skuteˇcný pˇrihlašovací skript, který následnˇe systém Windows spustí. Tento skript je doˇcasný a ukládá se do složky netlogon ve tvaru @<jméno_domény>.bat. Takto vypadá ukázkový inicializaˇcní soubor, který si vzápˇetí popíšeme.

9.4.1. Rychlý start Pˇríklad 9-2. Ukázkový soubor logon.ini 1 2 3 4 5 6 7 8

HOME = H: public = F: special = S: # Tohle je komentar-------------------------[Global] @ECHO "Vítejte v naší síti!" pause SET OS=${os}

65

Kapitola 9. Souborový server 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

SET WEBIS_URL=https://in.priklad.cz/webmail NET TIME \\${server} /SET /YES net use ${public} /delete /y NET USE ${public} \\${server}\globalshare /YES # Tohle je dalsi komentar--------------------[Group: admins@${domain}] @ECHO "Nazdar správˇ ce." NET USE G: \\${server}\adminshare1 /YES NET USE I: \\${server}\adminshare2 /YES [User: jaroslava.rychla@${domain}] NET USE ${special} \\${server}\specialshare /YES [Computer: STROJ*, M2?3] @ECHO "Sedíte u poˇ cítaˇ ce ${computer}." [OS: Win95] @ECHO "Váš operaˇ cní systém je: ${os}." net use ${home} /delete /y NET USE ${HOME} \\${server}\home /YES [IP: 192.168.2.*] @ECHO "Vaše IP adresa: ${ip}." [Server: MAILBOX1] @ECHO "Jste pˇ ripojeni k serveru ${server}."

Následuje popis ˇrádek po ˇrádku. •

ˇ Rádky 1,2,3: definice globálních promˇenných.

•

ˇ Rádek 5: zaˇcátek sekce, která se provádí globálnˇe, tedy pˇri pˇrihlášení libovolného uživatele.

•

ˇ Rádky 6,15,23,26,31,34: výpis zprávy v uvozovkách na obrazovku.

•

ˇ Rádek 7: pozastavení provádˇení skriptu – obnoví se stiskem klávesy.

•

ˇ Rádky 8 a 9: nastavení promˇenných prostˇredí.

•

ˇ Rádek 10: nastavení systémového cˇ asu ze serveru.

•

ˇ Rádky 11 a 27: odpojení disku pod daným písmenem. Je vhodné provádˇet pro všechny složky z d˚uvodu zabránˇení kolizí pˇri pˇridˇelování písmen disk˚u.

•

ˇ Rádky 12,16,17,20,28: pˇripojení sdílené složky jako diskové jednotky. Pˇríkaz NET USE má v tomto pˇrípadˇe dva povinné parametry. První je písmeno disku, které m˚uže být zadáno ve tvaru promˇenné a druhý je cesta sdílené složky na serveru.

•

ˇ Rádky 14,19,22,25,30,33: zaˇcátky sekcí, jejichž provádˇení není platné pro každého, ale pouze pro specifikovaný výˇcet uživatel˚u nebo stroj˚u podle zadaného kritéria. Jak je vidˇet z pˇríkladu, inicializaˇcní sekce m˚užete výˇctem omezovat pro skupiny uživatel˚u, jednotlivé uživatele, názvy 66

Kapitola 9. Souborový server poˇcítaˇcu˚ , operaˇcní systémy na pracovních stanicích, IP adresy a pro názvy server˚u. V hodnotách pro jednotlivé sekce m˚užete používat zástupné znaky * a ?.

ˇ 9.4.2. Syntaxe a promenné K obecným zásadám zápisu inicializace pˇrihlašovacích skript˚u patˇrí následující: •

syntaxe promˇenných, pˇríkaz˚u a hodnot nerozlišuje mezi velkými a malými písmeny,

•

promˇenné se zapisují ve tvaru ${název_promˇenné}. Takovýto zápis ovšem podporuje pouze váš souborový server, v bˇežných sít’ových inicializacích jej využívat nelze,

•

zápisy /y a /YES jsou totožné a nepovinné a pouze automaticky doplˇnují kladnou odpovˇed’, pokud se pˇri provádˇení pˇríkazu objeví nˇejaký potvrzovací dotaz,

•

znak @ na zaˇcátku pˇríkazu potlaˇcí výpis tohoto pˇríkazu na obrazovku,

•

znak # na zaˇcátku ˇrádku znamená, že celý ˇrádek je komentáˇr.

Samotná inicializace sestává v zásadˇe ze tˇrí cˇ ástí, jak je vidˇet už na pˇríkladu. První cˇ ást je definice globálních promˇenných a maker. Ty pˇredstavují zástupná jména pro pˇríkazy a hodnoty, které se dále vyskytují na více místech inicializace. Druhá cˇ ást je sekce Global, která obsahuje pˇríkazy, které se provedou vždy, a m˚uže se vyskytovat i nˇekolikrát na r˚uzných místech skriptu. Tˇretí cˇ ást sestává ze sekcí, které se provádˇejí jen v pˇrípadˇe, že je splnˇena podmínka, která danou sekci definuje. Taková sekce vždy zaˇcíná zápisem [kategorie: hodnota1, hodnota2, ... ]. Takovýto zápis vyjmenovaných hodnot pro jednotlivé kategorie je opˇet specifický pouze pro váš souborový server, syntaxe inicializaˇcních soubor˚u systému Windows jej nepodporují. Následuje výˇcet kategorií, podle kterých lze jednotlivé sekce specifikovat: •

Group – sekce se provede, pokud je pˇrihlašující se uživatel cˇ lenem alespoˇn jedné z vyjmenovaných skupin (je nutné používat jména skupin z Administrace, nikoliv názvy, pod kterými se zobrazují ve Windows),

•

User – sekce se provede, pokud se mezi vyjmenovanými hodnotami nachází pˇrihlašovací jméno nebo pˇrezdívka pˇrihlašujícího se uživatele,

•

Computer – sekce se provede, pokud se jméno poˇcítaˇce shoduje s nˇekterým z vyjmenovaných,

•

Server – sekce se provede, pokud se jméno daného PDC nachází mezi vyjmenovanými servery (hodí se napˇr. ve VPN),

•

OS – sekce se provede, pokud se kód operaˇcního systému bˇežící na poˇcítaˇci shoduje s nˇekterým z vyjmenovaných. Podporované kódy jsou následující:

•

•

Win95 – kód spoleˇcný pro systémy Windows 95 a Windows 98

•

Win2k – kód pro systém Windows 2000

•

WinXP – kód pro systém Windows XP

•

Vista – kód pro systém Windows Vista

IP – sekce se provede, pokud je IP adresa poˇcítaˇce mezi vyjmenovanými. 67

Kapitola 9. Souborový server Pˇri zadávání hodnot pro jednotlivé sekce m˚užete využívat zástupné znaky * a ?, kde hvˇezdiˇcka nahrazuje libovolný poˇcet znak˚u (tedy i nula) a otazník nahrazuje právˇe jeden znak. Pˇríklady použití jsou vidˇet ve vzorové inicializaci. Pˇri psaní inicializace m˚užete využít i globální pˇrednastavené promˇenné: •

computer – obsahuje název poˇcítaˇce, tak jak je zadaný v systému Windows,

•

domain – obsahuje jméno domény, do které se právˇe pˇrihlašujete (nejedná se o Windows doménu, ale o skuteˇcnou doménu, ve které jsou úˇcty),

•

groups – obsahuje seznam skupin, do kterých pˇrihlašující se uživatel patˇrí,

•

ip – obsahuje IP adresu poˇcítaˇce, ze kterého se pˇrihlašujete,

•

os – obsahuje kód operaˇcního systému, který na poˇcítaˇci bˇeží,

•

server – obsahuje jméno serveru, tak jak je nastaveno v Administraci,

•

user – obsahuje pˇrihlašovací jméno pˇrihlašujícího se uživatele,

•

workgroup – obsahuje jméno pracovní skupiny, které se rovnˇež ˇríká Windows doména. M˚uže se shodovat se skuteˇcným jménem domény, která spravuje úˇcty.

Pˇríklady použití tˇechto promˇenných jsou opˇet vidˇet ve vzorové inicializaci.

9.4.3. Pˇríkazy Pˇri psaní inicializace m˚užete nad rámec pˇríklad˚u, které jsou vidˇet ve vzorové inicializaci, využívat i všech ostatních pˇríkaz˚u operaˇcního systému MS-DOS. Jako referenˇcní materiál k tomu lze využít podrobná dokumentace (http://www.computerhope.com/overview.htm) v angliˇctinˇe.

9.5. Instalace sít’ové tiskárny Nejprve musí být v Administraci mezi souborovými složkami v doménˇe pˇridána složka print$. Tu lze pˇridat tlaˇcítkem Pˇridat speciální složky. Je potˇreba k ní nastavit úplná pˇrístupová práva pro administrátory v doménˇe a právo cˇ tení pro všechny uživatele, kteˇrí se oznaˇcují znakem *.

68

Kapitola 9. Souborový server Obrázek 9-29. Doménové složky

Obrázek 9-30. Pˇrístupová práva složky print$

Pokud chcete nahrát ovladaˇce tiskárny na server, pˇrihlaste se jako administrátor do domény a otevˇrete složku \\jméno_serveru\Tiskárny, kde by mˇely být vidˇet tiskárny nainstalované na serveru. Jejich instalaci obvykle zajistí váš integrátor WebISu. Poté u dané tiskárny zvolíte pˇres kontextovou nabídku Vlastnosti a v záložce Upˇresnˇení kliknete na tlaˇcítko Nový ovladaˇc. Pomocí pr˚uvodce instalací vyberte nˇekterý z implicitních nebo externí ovladaˇc. Následnˇe se soubory ovladaˇce zkopírují do podadresáˇre ve složce print$.

69

Kapitola 9. Souborový server Obrázek 9-31. Nový ovladaˇc

V pˇrípadˇe potˇreby m˚užete mít na serveru ovladaˇce pro více operaˇcních systém˚u. Zvolte opˇet vlastnosti tiskárny, v záložce Sdílení je tlaˇcítko Nový ovladaˇc. V novém oknˇe si zaškrtnete požadované operaˇcní systémy a z instalaˇcních disk˚u nebo jiných externích zdroj˚u nainstalujete ovladaˇce. Obrázek 9-32. Další nastavení pro více operaˇcních systému˚

Nyní m˚uže doménový administrátor pˇridat tiskárnu ze serveru mezi systémové tiskárny na pracovní stanici postupným sledováním nabídek Start/Nastavení/Tiskárny/Pˇridat tiskárnu. Spustí se pr˚uvodce instalací, kde nejprve zvolte, že pˇridáváte sít’ovou tiskárnu, dále místo zadávání názvu kliknˇete na tlaˇcítko Další. Objeví se seznam domén a pracovních skupin. Rozbalte svoji doménu, pod kterou bude seznam server˚u. Rozbalte váš server a pod ním bude seznam tiskáren. Po zvolení konkrétní tiskárny se nainstalují ovladaˇce ze serveru. Stejným postupem si poté mohou i bˇežní uživatelé domény zprovoznit sít’ovou tiskárnu.

70

Kapitola 9. Souborový server Obrázek 9-33. Jedna ze sdílených tiskáren v doménˇe

Tip: Pomocí pˇríkazu v pˇrihlašovacím skriptu lze dosáhnout toho, že se nová tiskárna v doméneˇ ˇ šíˇrit i konfiguraci automaticky pˇridá každému uživateli, který se do domény pˇrihlásí. Lze rovnež tiskárny, nastavovat ji jako výchozí nebo ji odstranit: • rundll32 printui.dll, PrinUIEntry /dn /n "\\{$server}\stara_tiskarna" /q –

tento pˇríkaz smaže specifikovanou tiskárnu, • rundll32 printui.dll, PrinUIEntry /in /n "\\{$server}\tiskarna" – tento

pˇríkaz pˇridá specifikovanou tiskárnu a zkopíruje ze serveru i její nastavení, • rundll32 printui.dll, PrinUIEntry /y /n "\\{$server}\tiskarna" – tento pˇríkaz

nastaví specifikovanou tiskárnu jako výchozí.

9.6. Další nastavení 9.6.1. Nastavení doménového uživatele jako správce pracovní stanice Pokud firemní sít’ zahrnuje více poboˇcek nebo v ní existuje vˇetší množství uživatel˚u, m˚uže být výhodné personálnˇe od sebe oddˇelit správu serveru a správu pracovních stanic. V existující doménˇe je pak možné nastavit uživatele, který bude moci plnˇe spravovat pracovní stanice, ale nebude mít administrátorská oprávnˇení k samotnému serveru. Doporuˇcený postup je následující: vytvoˇrte v doménˇe skupinu uživatel˚u, napˇr. pc_admins a do ní pˇridejte zvolené doménové uživatele. Tuto skupinu pˇridejte na pracovní stanici do pˇrednastavené lokální skupiny Administrators. Tento úkon m˚uže provést pouze uživatel, který má právo mˇenit tuto skupinu, napˇríklad doménoví administrátoˇri ze skupiny Domain Admins na serveru. 71

Kapitola 9. Souborový server Obrázek 9-34. Pˇridání zvolených doménových uživatelu˚ do skupiny

Obrázek 9-35. Pˇrednastavené skupiny uživatelu˚ ve Windows

Obrázek 9-36. Pˇridání doménové skupiny do skupiny Administrators

72

Kapitola 9. Souborový server

ˇ 9.6.2. Zmena hesla uživatele Heslo si m˚uže uživatel mˇenit bud’ v sekci Nastavení ve WebISu nebo v systému Windows na cˇ lenské pracovní stanici v doménˇe. Obrázek 9-37. Zmˇena uživatelského hesla ve WebISu

Na pracovní stanici se postup zmˇeny uživatelského hesla liší v závislosti na verzi systému Windows, která na dané stanici bˇeží.

9.6.2.1. Windows 98 Systém Windows 98 je již natolik zastaralý, že plnˇe nepodporuje domény, automatické vytváˇrení profil˚u a pˇrebírání hesel z domény. Pokud používáte tento systém, m˚užete heslo v doménˇe mˇenit bud’ sami ve WebISu nebo prostˇrednictvím správce systému v Administraci. Vzhledem k tomu, že systém Windows 98 rozlišuje mezi hesly do domény a lokálními hesly na pracovních stanicích, bude pˇri pˇrihlášení na stanici požadovat obˇe, pokud nejsou stejná. Doménové heslo si lze ovšem zapamatovat pˇri zadávání prostˇrednictvím zaškrtávacího políˇcka Uložit toto heslo do seznamu hesel. Nebo je také možné pˇri zmˇenˇe doménového hesla zmˇenit i heslo na pracovní stanici. To lze udˇelat v Ovládacích panelech ve složce Uživatelé, jak je vidˇet na obrázku.

73

Kapitola 9. Souborový server Obrázek 9-38. Zmˇena uživatelského hesla v systému Windows 98

9.6.2.2. Windows 2000 a Windows XP Oba tyto systémy již rozpoznávají pˇríslušnost uživatele k doménˇe, takže je jedno, jestli si heslo zmˇeníte ve WebISu nebo na pracovní stanici. Heslo na pracovní stanici se mˇení v obou systémech stejnˇe. Nejprve stisknete kombinaci kláves Ctrl, Alt a Del a z nabídky, která se objeví, kliknete na tlaˇcítko Zmˇenit heslo.... Viz obrázek. Obrázek 9-39. Zmˇena uživatelského hesla v systému Windows 2000

74

Kapitola 9. Souborový server

ˇ ˇ ce ˇ 9.6.3. Zmena názvu pocíta 9.6.3.1. Windows 98 Zmˇena názvu poˇcítaˇce v systému Windows 98 je snadná záležitost. Otevˇrete Ovládací panely, v nich zvolíte složku Sít’ a v ní záložku Identifikace, kde již m˚užete název zmˇenit. Viz obrázek. Po potvrzení zmˇeny je potˇreba restartovat poˇcítaˇc. Obrázek 9-40. Zmˇena názvu poˇcítaˇce v systému Windows 98

9.6.3.2. Windows 2000 a Windows XP Z d˚uvodu podpory VPN a nˇekolika dalších technických d˚uvod˚u je zmˇena názvu poˇcítaˇce v systémech Windows 2000 a Windows XP o nˇeco komplikovanˇejší v tom smyslu, že vyžaduje dva restarty poˇcítaˇce. Nejprve je potˇreba poˇcítaˇc pˇrejmenovat a vyjmout ho ze stávající domény tak, že pro nˇej vytvoˇríme doˇcasnou pracovní skupinu. Následuje první restart poˇcítaˇce, po kterém poˇcítaˇc s novým názvem vrátíme do p˚uvodní domény, budeme vyzváni k zadání uživatelského jména a hesla uživatele majícího oprávnˇení pˇripojovat poˇcítaˇce k doménˇe (obvykle uživatel admin) a znovu restartujeme. V systému Windows 2000 se všechny tyto zmˇeny provádˇejí v dialogovém oknˇe Zmˇeny identifikace. K té se dostanete z Ovládacích panel˚u, ve složce Systém v záložce Identifikace v síti pod tlaˇcítkem Vlastnosti. Viz obrázek.

75

Kapitola 9. Souborový server Obrázek 9-41. Zmˇena názvu poˇcítaˇce v systému Windows 2000

Obrázek 9-42. Zmˇena názvu poˇcítaˇce v systému Windows XP

76

Kapitola 10. Systémový monitoring Monitor systému je služba, která vizualizuje data o provozu serveru nasbíraná z r˚uzných subsystém˚u do podoby graf˚u. Data lze také exportovat do souboru pro další práci. Grafy lze zobrazovat pro r˚uzná cˇ asová období a pohled na nˇe lze pˇribližovat a oddalovat. Obecné funkce v menu nad grafem jsou následující: •

Automaticky obnovovat – pokud je tato funkce zapnuta, každých pˇet minut se naˇctou nová data do grafu. Jinak je nutné naˇcíst aktuální údaje tlaˇcítkem Obnovit.

•

Exportovat do CSV – uloží aktuální grafová data do textového souboru s hodnotami oddˇelenými stˇredníkem pro tabulkový procesor. Obrázek 10-1. Systémový monitor

Výbˇerové menu Název grafu obsahuje jednotlivé typy subsystém˚u, které jsou monitorovány: •

využití doˇcasné pamˇeti – zobrazuje volnou pamˇet’ a místo obsazené systémovou doˇcasnou pamˇetí. Buffery se typicky využívají jako doˇcasná vyrovnávací pamˇet’ mezi jádrem a vnˇejším zaˇrízením, kam je potˇreba data zapsat, zatímco cache je jiný typ vyrovnávací pamˇeti, do které se ukládají nejnovˇejší data naˇctená z disku nebo jiného zaˇrízení, aby se v pˇrípadˇe potˇreby mohla pˇríštˇe použít okamžitˇe. Pro plynulý provoz serveru je vhodné, aby cachovaná cˇ ást pamˇeti byla co nejvˇetší a pˇritom obsazené místo na odkládacím prostoru (swapu) co nejmenší.

•

obsazení RAM a swapu – tento graf zobrazuje celkové rozdˇelení operaˇcní pamˇeti a odkládacího prostoru na obsazené a neobsazené segmenty. V obsazené pamˇeti je tedy zapoˇcítána pamˇet’ jádra systému i doˇcasná pamˇet’ (buffery a cache). Z tohoto grafu lze mimo jiné odeˇcíst, kolik operaˇcní pamˇeti je na serveru instalováno a kolik odkládacího prostoru je na nˇem nastaveno.

•

bˇežící procesy – zobrazuje poˇcet aktuálnˇe bˇežících proces˚u. 77

Kapitola 10. Systémový monitoring •

novˇe vznikající procesy – zachycuje poˇcet novˇe vznikajících proces˚u za sekundu. Pˇríliš vysoké hodnoty v tomto grafu mohou signalizovat vážné výkonnostní problémy serveru, jelikož vytváˇrení proces˚u pˇrímo zatˇežuje jádro systému. Pˇritom pˇríliš rychlé vytváˇrení velkého množství proces˚u m˚uže být primární pˇríˇcinou problému se zátˇeží serveru.

•

vytížení procesoru – barevnˇe odlišuje r˚uzné druhy zátˇeže procesoru. Nejmenší d˚uležitost mají neprioritní procesy, protože ty nikdy neblokují prostˇredky serveru, pokud je jich zapotˇrebí jinde. Naopak nejzávažnˇejší je zátˇež pocházející z cˇ ekání na probˇehnutí vstup/výstupních operací, zejména na disková zaˇrízení.

•

provoz na swapu – zachycuje množství dat za sekundu, která byla zapsána na odkládací prostor operaˇcní pamˇeti, nebo z nˇej byla naˇctena. V ideálním pˇrípadˇe je provoz na swapu minimální, protože tato pamˇet’ je podstatnˇe pomalejší než operaˇcní pamˇet’.

•

fronta cˇ ekajících proces˚u – zobrazuje pˇresné poˇcty proces˚u, které aktuálnˇe cˇ ekají na obsluhu procesorem. Tento údaj je jedním z tˇech, z nichž se vypoˇcítává pr˚umˇerná zátˇež systému (load).

•

pr˚umˇerná zátˇež systému – graf vizualizuje úhrnnou systémovou zátˇež v pˇetiminutových a cˇ tvrthodinových pr˚umˇerech. Koneˇcná hodnota se poˇcítá jako exponenciálnˇe vážený pohyblivý pr˚umˇer z periodicky mˇeˇrených hodnot. Každá tato hodnota je celé cˇ íslo a pˇredstavuje poˇcet proces˚u, které bˇeží, cˇ ekají na spuštˇení nebo cˇ ekají na odezvu vstup/výstupního subsystému.

Minimální a maximální hodnoty uvedené v legendˇe grafu se vždy vztahují k aktuálnˇe zobrazené cˇ ásti grafu. V lištˇe pod grafem m˚užete ve výbˇerovém menu pˇrepínat konkrétní cˇ asový interval. Tlaˇcítka s lupou slouží k pˇrepínání cˇ asových rozsah˚u z menu s tím, že pˇriblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obrácenˇe. Na cˇ asové ose se lze rovnˇež posunovat pomocí smˇerových šipek v téže lištˇe. V ˇrádku tˇesnˇe nad vykresleným grafem se v každém pˇrípadˇe zobrazuje aktuální cˇ asový interval.

78

Kapitola 11. Lokální síteˇ V této kapitole je popsáno, jak jednoduše vytváˇret a nastavovat lokální sítˇe na serveru a jak monitorovat a omezovat datový provoz v tˇechto sítích.

ˇ 11.1. Urcování lokálních sítí V tomto oknˇe m˚užete každé sít’ové kartˇe v serveru vytvoˇrit sít’ové rozhraní. Je obvyklé, že jedna sít’ová karta komunikuje s okolním svˇetem, tedy s Internetem, zatímco ostatní komunikují s firemními lokálními sítˇemi, tedy s intranetem. Po nakonfigurování serveru našimi techniky budete mít pˇrednastaveny dvˇe rozhraní v nejvyšší vrstvˇe lokálních sítí. Jsou jimi internet a intranet1 a jejich jména nelze mˇenit. Další lokální sítˇe v nejvyšší vrstvˇe mohou rovnˇež pˇridávat pouze naši technici v závislosti na tom, kolik sít’ových karet chcete mít ve svém serveru v provozu. Pokud chcete lokální síti pˇridat podsít’, nejprve tuto sít’ vyberte zaškrtávacím políˇckem vpravo a potom kliknˇete na tlaˇcítko Pˇridat a zadejte jméno podsítˇe. V tomto pˇrípadˇe již m˚užete použít libovolné jméno. Pokud chcete nˇejakou sít’ smazat, oznaˇcte ji zaškrtávacím políˇckem vpravo a potvrd’te volbu tlaˇcítkem Smazat. Mazat m˚užete jen (pod)sítˇe, které neobsahují žádné jiné podsítˇe, pˇrípadnˇe m˚užete oznaˇcit sít’, kterou chcete smazat, a souˇcasnˇe oznaˇcit všechny její podsítˇe. V tom pˇrípadˇe se smaže vše oznaˇcené. Kliknutím na jméno podsítˇe se dostanete do okna nastavení pro tuto sít’. Ve stromu lokálních sítí lze prostˇrednictvím vstupního pole Filtr vyhledávat zanoˇrené podsítˇe podle názvu. Pokud je ve výsledku deset a více podsítí, pak z˚ustanou pˇríslušné nadˇrazené sítˇe ve stromu zabaleny. Pˇri vstupu do pˇrehledu sítí jsou implicitnˇe zabaleny druhá a všechny hlubší úrovnˇe stromu. Tip: Kvuli ˚ vyšší pˇrehlednosti a také kvuli ˚ snížení nároku˚ na server pˇri rozˇrazování pˇríchozích paketu˚ je doporuˇceno pˇri definování podsítí dusledn ˚ eˇ využívat sít’ových masek (tedy spoleˇcných ˇ cˇ ástí IP adres) a používat "košatejší" hierarchii ve stromové struktuˇre sítí. To znamená, že poˇcty ˇ zhruba odpovídat. Pokud totiž napˇríklad zanoˇrených sítí a poˇcty podsítí v jedné síti by si mely ˇ nadefinujeme nekolik set podsítí všechny jako pˇrímé podsíteˇ jiné a navíc pomocí absolutních IP adres (tedy se všemi platnými bity, bez použití masky), muže ˚ v závislosti na použitém hardwaru a ˇ paketu˚ pˇretíží a zaˇcne je ztrácet. vytížení jednotlivých podsítí dojít k tomu, že se server pˇri tˇrídení

ˇ protože na Poznámka: Je obvyklé, že sít’ové rozhraní komunikující s Internetem nemá podsíte, ˇ techto podsítích by nebylo možné plneˇ využívat ˇrízení a omezování provozu.

79

Kapitola 11. Lokální sítˇe Obrázek 11-1. Pˇríklad rozdˇelení lokálních sítí.

11.2. Nastavení rozhraní Název sítˇe smíte mˇenit pouze na podsítích nˇejakého sít’ového rozhraní. Názvy sítí v nejvyšší vrstvˇe jsou pevnˇe dané v konfiguraci serveru a nelze je mˇenit bez konzultace s našimi techniky. Právˇe jedno sít’ové rozhraní v nejvyšší vrstvˇe musí být oznaˇceno jako implicitní. Implicitní sít’ové rozhraní je rozhraní, pˇres které teˇcou data do Internetu. Pokud server konfigurují naši technici, je jako implicitní rozhraní nastaveno sít’ové rozhraní internet. Políˇcko Záznam dat do graf˚u umožˇnuje zapnout vytváˇrení graf˚u pr˚umˇerných a maximálních rychlostí pˇrenos˚u v cˇ ase z a do zvoleného sít’ového rozhraní. Podrobnosti najdete v podkapitole o grafech. Pokud je tato funkce vypnuta, šetˇrí se tím procesorový výkon serveru. Políˇcko Záznam dat do DB sít’ového provozu umožnuje zapnout vytváˇrení databáze statistik provozu v síti. Tato volba je dostupná pouze pro sít’ová rozhraní, data z jednotlivých podsítí lze zobrazit v jejich vlastní záložce Sít’ový provoz. Podrobnosti najdete v pˇríslušné kapitole. Pokud potvrdíte tuto volbu, objeví se ve formuláˇri pole pro zadání maximální velikosti této databáze v megabytech. Implicitní hodnota je 1000 MB, maximální povolená je 10000 MB, ovšem lze ji na požádání upravit podle konkrétních požadavk˚u. Databáze provozu se každý den ukládá do zvláštního souboru. Pokud velikost všech takto uložených soubor˚u pˇrekroˇcí nastavené maximum, zaˇcnou se mazat ty nejstarší. Soubor za poslední den se nikdy nesmaže, i když je vˇetší než nastavené maximum. Tip: Pokud potˇrebujete ušetˇrit procesorový výkon serveru, mužete ˚ toho dosáhnout vypnutím záznamu dat o pˇripojeních a rychlostech. Výpoˇcet kˇrivkových a koláˇcových grafu˚ se provádí na základeˇ zaznamenaných dat z ruzných ˚ zdroju. ˚ Výpoˇcet kˇrivkových grafu˚ je méneˇ nároˇcný než zápis dat do databáze sít’ového provozu, ale teprve vypnutí jak grafu, ˚ tak sít’ového provozu na celém rozhraní muže ˚ mít za následek zrychlení odezvy ostatních serverových služeb; pˇri silném provozu až v ˇrádu desítek procent. Napˇríklad pokud má vlastník serveru nainstalován pouze ˇ r bezpˇredmetné ˇ firewall (poskytovatel internetového pˇripojení), pak je témeˇ zaznamenávat provoz ˇ rující do Internetu. Pˇríchozí provoz je zanedbatelný a nezajímavý, protože na na rozhraní smeˇ ˇ žádná jiná služba. Naopak odchozí provoz pochází témeˇ ˇ r výhradneˇ z lokální síte, ˇ serveru nebeží což s sebou nese dva faktory. Jednak muže ˚ být provoz serveru s lokální sítí zaznamenáván na intranetovém rozhraní zvlášt’ a jednak provoz pˇres rozhraní do Internetu už prošel IP maškarádou, takže takto zaznamenaná data nemají velkou vypovídací hodnotu.

80

Kapitola 11. Lokální sítˇe

Aby bylo možné s rozhraním provádˇet jakékoliv operace, je nutné, aby mˇelo nastavenu nejménˇe jednu (fyzickou) IP adresu. Sít’ové rozhraní (sít’ová karta) ovšem m˚uže mít na serveru pˇriˇrazeno více IP adres. Server se ke k nim chová stejnˇe, jako kdyby mˇel pro každou takovou IP adresu vlastní sít’ovou kartu. Adresy rozhraní zadávejte ve tvaru IP adresa/maska sítˇe (napˇr. 192.168.1.1/24 nebo 192.168.1.1/255.255.255.0), kde IP adresa je adresa pˇridˇelená serveru, zatímco maska sítˇe udává, která cˇ ást IP adresy je vyhrazena pro cˇ íslování konkrétních poˇcítaˇcu˚ v síti. U sít’ových rozhraní je nutné, aby všechny IP adresy byly zadány v úplném tvaru, a to i v pˇrípadˇe, že maska na této adrese je kratší než 32 bit˚u. Obrázek 11-2. Pˇríklad implicitního internetové rozhraní.

I v pˇrípadˇe podsítˇe m˚užete nastavovat, zda je implicitní. Pˇri ˇrízení a omezování provozu v podsítích je implicitní sít’ ta, která obsahuje všechny poˇcítaˇce z nadˇrazené sítˇe, které nejsou zadány v jiné sousední podsíti. To znamená, že pokud je daná podsít’ implicitní, není nutné jí pˇriˇrazovat žádný rozsah IP adres, jelikož ten už je dán rozdílem rozsah˚u nadˇrazené sítˇe a rozsah˚u definovaných v sousedních podsítích. V každé podsíti m˚uže být právˇe jedna implicitní. Rozsahy IP adres pro jednotlivé poˇcítaˇce v síti se opˇet zadávají ve tvaru IP adresa sítˇ e/maska sítˇ e. V tomto pˇrípadˇe jsou významné pouze ty bity adresy, které jsou pokryty maskou. Pˇríklad 11-1. Masky IP adres Napˇr. v adrese 192.168.1.1/255.255.255.255 (resp. 192.168.1.1/32) jsou významné všechny bity adresy a tento rozsah tedy obsahuje právˇe jeden poˇcítaˇc s IP adresou 192.168.1.1. Ovšem v pˇrípadˇe adresy 192.168.1.1/255.255.255.0 (resp. 192.168.1.1/24) jsou významné první tˇri cˇ ísla adresy a tento rozsah tedy popisuje poˇcítaˇce s IP adresami 192.168.1.1 až 192.168.1.255.

81

Kapitola 11. Lokální sítˇe Obrázek 11-3. Pˇríklad neimplicitní intranetové sítˇe.

11.3. Kontroly sít’ového toku Kontrolou sít’ového toku se rozumí souhrn funkcí systému, které umožˇnují nastavovat a regulovat množství dat protékající skrze sít’ové karty serveru mezi poˇcítaˇci v intranetu a serverem nebo z Internetu a do Internetu. Poznámka: Anglicky se tyto funkce souhrneˇ nazývají Quality of Service neboli kvalita služeb a ˇ eˇ se pro neˇ užívá zkratka QoS. bežn

Každé sít’ové rozhraní musí mít nastavenu rychlost. Tato rychlost by mˇela odpovídat maximální rychlosti sít’ové karty, na které je sít’ové rozhraní nastaveno a která je ve vˇetšinˇe pˇrípad˚u rovna hodnotˇe 100Mbit. Tato hodnota bývá rovnˇež pˇrednastavena a obvykle ji není potˇreba mˇenit. U každé sítˇe, kterou máte definovánu, m˚užete kontrolovat toky dat tˇrí typ˚u: •

tok smˇeˇrující z rozhraní – zahrnuje provoz, který smˇeˇruje ze serveru, ale nesmˇeˇruje z Internetu. Typicky se jedná o stahování pošty protokolem IMAP, pˇrenosy dat z lokálního souborového serveru nebo využívání jiných služeb, které bˇeží na serveru.

•

tok smˇeˇrující z Internetu – zahrnuje provoz, který pˇrichází skrze implicitní rozhraní z vnˇejšího svˇeta.

•

tok smˇeˇrující do Internetu – zahrnuje provoz, který smˇeˇruje skrze implicitní rozhraní do vnˇejšího svˇeta.

Pokud chcete u nˇekteré sítˇe kontrolovat tok dat, musíte tento tok nejprve oznaˇcit zatrhávacím políˇckem. D˚uležitým údajem je zaruˇcený tok, který urˇcuje nejnižší zaruˇcenou rychlost provozu pro danou sít’. Nejvyšší možnou rychlost provozu naopak udává hodnota maximální tok. Pokud nˇekterý poˇcítaˇc nevyužívá plnˇe kapacitu svého maximálního toku, rozdˇelí se tato pˇrebyteˇcná kapacita mezi jiné sítˇe nebo rozhraní, a to v pomˇeru jejich zaruˇcených tok˚u. 82

Kapitola 11. Lokální sítˇe Obrázek 11-4. Pˇríklad nastavení kontroly rˇ ízení provozu na sít’ovém rozhraní.

Pˇríklad 11-2. Pˇrerozdˇelení kapacity toku nad rámec zaruˇceného toku Mˇejme sít’ové rozhraní s maximálním tokem 128 kbit a na nˇem dvˇe podsítˇe s maximálními toky rovnˇež 128 kbit a se zaruˇcenými toky 16 a 32 kbit. Souˇcet zaruˇcených tok˚u je tedy 48 kbit a zbývající ˇ kapacita je 80 kbit. Pomˇer zaruˇcených tok˚u je 1:2. Reknˇ eme, že jedna podsít’ bude komunikovat rychlostí svého maximálního toku, zatímco druhá nebude komunikovat v˚ubec. Pokud ona neaktivní sít’ zaˇcne komunikovat a bude schopna pˇrijímat data rychlostí svého maximálního toku, pak už souˇcet rychlostí pˇrijímaných dat bude vyšší než je maximální tok nadˇrazené sítˇe a proto se rychlosti tok˚u pro podsítˇe musí pˇrerozdˇelit. Každá podsít’ dostane sv˚uj zaruˇcený tok a k nˇemu cˇ ást ze zbývajících 80 kbit kapacity podle uvedeného pomˇeru zaruˇcených tok˚u. Pomalejší linka tedy bude komunikovat rychlostí 16+26.66 kbit a ta druhá rychlostí 32+53.33 kbit. To dává dohromady 128 kbit, což je maximální tok nadˇrazené sítˇe.

Priorita toku udává, jak rychlá bude odezva sít’ové služby napˇr. pˇri kliknutí myši na internetový odkaz. Toky s vyšší prioritou budou dostávat pˇrednost pˇred jinými toky, takže práce s nimi bude plynulejší. Toto ovšem typicky platí jen pro malé pˇrenosy dat nebo pokud sít’ není vytížena nad úroveˇn svého zaruˇceného toku, protože zaruˇcený tok jednoho už nedovolí ostatním tok˚um pˇredbíhat, at’ už mají jakkoliv vysokou prioritu. Obecná pravidla pro nastavování zaruˇcených a maximálních tok˚u jsou následující. Maximální toky na implicitních sít’ových rozhraních by mˇely být o nˇeco nižší oproti rychlosti od poskytovatele internetového pˇripojení, aby bylo možno efektivnˇe omezovat a ˇrídit pr˚uchod dat sítí s ohledem na vyrovnávací pamˇeti, mezifronty apod. Totéž platí pro intranetová sít’ová rozhraní s ohledem na provoz na serveru. Maximální tok

83

Kapitola 11. Lokální sítˇe podsítˇe nesmí být vyšší než je maximální tok její nadˇrazené sítˇe. Souˇcty rychlostí zaruˇcených tok˚u podsítí pro jednotlivé typy tok˚u nesmí pˇrekroˇcit zaruˇcený tok pro tentýž typ toku u nadˇrazené sítˇe.

Provoz na sít’ových rozhraních lze tˇrídit na datové toky komunikující s Internetem a datové toky komunikující se samotným rozhraním. Za tok jdoucí z Internetu se považuje datový provoz pocházející z neznámé IP adresy a odchozí datový provoz ze serveru procházející pˇres port, který není uveden, respektive je zakázán v seznamu porty na rozhraní. Porty se do seznamu zadávají po jedné položce, která m˚uže mít tvar jednoho cˇ ísla (25), cˇ íselného rozsahu (1024-65535), negace cˇ ísla pro zakázání portu (!3128) nebo masky oznaˇcující všechny porty (*). Aby bylo možné efektivnˇe omezovat a ˇrídit provoz smˇerem z Internetu, je potˇreba na sít’ových rozhraních definovat seznam port˚u, pˇres které se s Internetem nekomunikuje. To se nejˇcastˇeji provede tak, že se povolí všechny porty maskou * a souˇcasnˇe se zakáží standardnˇe konfigurované porty pro komunikaci s Internetem. Ty zahrnují porty 3128 a 8080 pro proxy cache a port 80 pro transparentní proxy cache. Proto doporuˇcujeme, aby seznam port˚u pro sít’ová rozhraní obsahoval tyto položky: *, !80, !3128, !8080. Podsítím staˇcí pˇridat do seznamu položku *, což znamená pˇrevzetí všech port˚u (vˇcetnˇe zakázaných) nastavených v nadˇrazené síti.

11.4. Aktuální sít’ový provoz V rámci jednotlivých sít’ových rozhraní lze podrobnˇe sledovat množství pˇrenesených dat nebo poˇcty r˚uzných spojení ve specifikovaných cˇ asech. Sledování aktuálního sít’ového provozu poskytuje úplný a strukturovaný záznam sít’ové komunikace. Data se ukládají do databáze MySQL a to každý den do nové. Pˇríklad 11-3. Praktické použití výpisu sít’ového provozu Pokud vás napˇríklad zajímá, který poˇcítaˇc bˇehem dopoledne nejvíce vytˇežoval váš server a ke kterým službám se pˇripojoval, zjistíte to následujícím zp˚usobem. Nejprve ve výbˇerovém menu Filtr zvolíte pˇrednastavenou hodnotu komunikace tohoto serveru s jinými poˇcítaˇci. Dále ve výbˇerovém menu v prostoru pod grafem zvolíte položku zadaný rozsah a vyplníte napˇríklad 9 až 12 hodin. Potom v tabulce kliknete na rozbalovací menu u prvního sloupce a zvolíte IP – Ostatní. Uvidíte seznam stroj˚u, které komunikovali se serverem, uspoˇrádaný podle množství pˇrenesených dat. Pak kliknete na jméno nebo IP adresu prvního poˇcítaˇce v seznamu a v rozbalovacím menu zvolíte Porty – Server. Následnˇe v seznamu uvidíte cˇ ísla nejvytíženˇejších port˚u, které jsou v pˇrípadˇe významných serverových služeb pojmenované.

Zobrazovaní samotných dat o pˇrenosech se ˇrídí nˇekolika úrovnˇemi omezujících podmínek. Jedná se o filtry, cˇ asy a spojení. Ještˇe pˇred jejich popisem je potˇreba se zmínit o nˇekterých obecných funkcích dostupných z rozbalovacího menu: •

položka menu Pˇrekládat IP na jména – tato funkce, pokud je povolena, automaticky pˇrekládá cˇ íselné adresy v tabulce na doménová jména podle jednotlivých DNS. Pokud pˇreklad trvá déle než 10 84

Kapitola 11. Lokální sítˇe sekund, proces se pˇreruší a adresy, na jejichž pˇreklad se ještˇe nedostalo, se v seznamu zobrazí v hranatých závorkách. •

položka menu Zobrazovat množství za sekundu – pokud je tato funkce povolena, tak se v tabulce výsledk˚u budou namísto celkových množství pˇrenesených dat zobrazovat pr˚umˇerné pˇrenosové rychlosti za sekundu pro stejný cˇ asový interval.

•

položka menu Exportovat do CSV – tato funkce uloží obsah aktuálnˇe zvolené tabulky do textového výmˇenného formátu CSV. Aˇckoliv do tabulky samotné se z databáze vypisuje nejvýše 60 ˇrádk˚u, export do souboru jich obsahuje nejvýše 1000.

•

tlaˇcítko Obnovit – tato funkce aktualizuje právˇe zobrazovaná data v tabulce. Ta se mohou mˇenit zejména v závislosti na zvoleném cˇ asovém intervalu. Pokud je povolena funkce Pˇrekládat IP na jména a pˇreklad byl kv˚uli pomalé odezvˇe pˇrerušen, tato funkce se rovnˇež pokusí dopˇrekládat IP adresy zobrazené v hranatých závorkách.

11.4.1. Filtry Filtr je primární prostˇredek pro omezení výpisu dat z databáze sít’ového provozu. Jeho nejd˚uležitˇejší funkcí je vymezit komunikující strany, aby bylo možno vhodnˇe interpretovat výsledná data. Nˇekolik pˇrednastavených filtr˚u je k dispozici ve stejnojmenném výbˇerovém menu, jak je vidˇet na obrázku níže. V menu nalevo jsou položky na vytváˇrení, editování a mazání filtr˚u. Pˇrednastavené filtry nelze editovat ani mazat. Pˇri vytváˇrení nového uživatelského filtru se do jeho nastavení zkopírují údaje z aktuálnˇe zvoleného filtru. Podrobný popis nastavení uživatelských filtr˚u najdete v kapitole níže. Obrázek 11-5. Filtry sít’ového provozu.

11.4.1.1. Pˇrednastavené filtry •

komunikace lokální sítˇe s Internetem – na lokální stranˇe filtru jsou všechny IP adresy uvnitˇr sítˇe s 85

Kapitola 11. Lokální sítˇe vylouˇcením adres sít’ových rozhraní, na protˇejší stranˇe je jakákoliv IP adresa, která nenáleží do žádné sítˇe na lokálním serveru. Souˇcty nejsou nijak omezeny. •

komunikace tohoto serveru s jinými poˇcítaˇci – na lokální stranˇe jsou všechny IP adresy lokálního serveru, na protˇejší stranˇe je jakákoliv jiná IP adresa. Souˇcty nejsou nijak omezeny.

•

všechna komunikace – tento filtr neobsahuje žádná omezení – vlastnˇe nic nefiltruje, ale poskytuje pohled na všechna zaznamenaná data. Proto je seznam IP adres nebo port˚u ve výsledné tabulce za obˇe strany stejný (strany nejsou specifikovány). Proto jsou také množství odeslaných a pˇrijatých dat pˇri zobrazení provozu pˇres protokoly nebo v minutovém rozvrhu totožné – jsou zapoˇcítány zdrojové i cílové adresy a sloupec Celkem pak tedy de facto zobrazuje dvojnásobné množství pˇrenesených dat.

ˇ 11.4.2. Casy V lištˇe pod grafem m˚užete ve výbˇerovém menu pˇrepínat konkrétní cˇ asový interval. Tlaˇcítka s lupou slouží k pˇrepínání cˇ asových rozsah˚u z menu s tím, že pˇriblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obrácenˇe. Na cˇ asové ose se lze rovnˇež posunovat pomocí smˇerových šipek v téže lištˇe. V ˇrádku tˇesnˇe nad vykresleným grafem se v každém pˇrípadˇe zobrazuje aktuální cˇ asový interval. ˇ Obrázek 11-6. Casové filtry sít’ového provozu.

11.4.3. Spojení Tabulka pod grafem zobrazuje data, která odpovídají zadanému filtru v daném cˇ asovém intervalu. První sloupec zobrazuje procentuální podíl jednotlivých spojení na celkovém objemu pˇrenesených dat. 86

Kapitola 11. Lokální sítˇe Záznamy, které pokrývají ménˇe než jedno procento úhrnného sít’ového provozu, se zobrazují dohromady pod jednou barvou. Druhý sloupec obsahuje zvolenou podmínku pro zobrazovaná data spojenou s výbˇerovým menu pro její zmˇenu. U IP adres a port˚u je za pomlˇckou vyznaˇceno jméno komunikující strany, které je souˇcástí zvoleného filtru a je bud’ pˇrednastaveno nebo nastaveno uživatelem. Více v podkapitole o filtrech: •

IP – podle názvu, který následuje za pomlˇckou se jedná bud’ o lokální IP adresy nebo o protˇejší IP adresy tak, jak jsou nadefinovány ve zvoleném filtru. Výsledný seznam obsahuje IP adresy, které se na pˇríslušné stranˇe podíleli na datovém pˇrenosu na sít’ovém rozhraní.

•

Porty – port je cˇ íslo, které protokoly TCP a UDP používají k identifikaci služeb nebo aplikací, které komunikují pˇres sít’. Podle názvu, který následuje za pomlˇckou, se jedná bud’ o lokální porty nebo o ˇ port˚u se automaticky pˇrekládají, protˇejší porty tak, jak jsou nadefinovány ve zvoleném filtru. Císla pokud jsou tyto porty pojmenovány. Položky beze jména a bez cˇ ísla oznaˇcená pomlˇckou nejsou ve skuteˇcnosti porty, ale pˇrenosy vztahující se k protokol˚um, které porty nepoužívají, napˇr. ICMP.

•

Protokoly – protokol se soubor pravidel, podle kterých probíhá provoz skrze poˇcítaˇcovou sít’. Pˇri zobrazení provozu podle protokol˚u se nerozlišují komunikující strany na lokální a protˇejší.

•

Minuty – nejjemnˇejší cˇ asový interval pro zobrazení je pˇet minut, ale touto volbou m˚užete zobrazit datové pˇrenosy pro každou minutu ve zvoleném intervalu. Pˇri tomto zobrazení se nerozlišují komunikující strany na lokální a protˇejší. Obrázek 11-7. Spojení sít’ového provozu.

Ke každé položce v tabulce lze zobrazit kliknutím další podrobnosti výbˇerem jiné omezující podmínky z menu. V takovém pˇrípadˇe se všechna dosavadní omezení zobrazují postupnˇe za sebe do stavového ˇrádku tˇesnˇe pod graf. Tento stavový ˇrádek obsahuje první až pˇredposlední omezující podmínku, poslední podmínka je potom zobrazena v názvu druhého sloupce tabulky. Podmínky ve stavovém ˇrádku mají rovnˇež své menu, které se otevˇre pˇri kliknutí. Položka Jdi zpˇet na zruší všechny pozdˇeji zadané podmínky, položka Odstranit podmínku vyjme jen onu zvolenou z posloupnosti podmínek a 87

Kapitola 11. Lokální sítˇe položka Upravit podmínku umožní zmˇenit konkrétní hodnotu pro danou podmínku. Kliknutím na ˇ zrušíte poslední podmínku v posloupnosti. tlaˇcítko Zpet Obrázek 11-8. Pˇríklad posloupnosti omezujících podmínek pˇri zobrazení sít’ového provozu.

Následuje struˇcný popis zbývajících sloupc˚u tabulky: •

odesláno – název tohoto sloupce obsahuje pro porty a IP adresy také jméno komunikující strany použité ve filtru, aby nemohlo dojít k nedorozumˇení pˇri interpretaci množství pˇrenesených dat.

•

pˇrijato – množství pˇrijatých dat se vždy vztahuje k opaˇcné komunikující stranˇe, než která je specifikována u sloupce odesláno.

•

celkem – souˇcet sloupc˚u odesláno a pˇrijato. Pokud máte aktivní filtr, ve kterém nejsou specifikovány komunikující strany (napˇr. implicitní filtr všechna komunikace), pak pˇri zobrazení podmínek, které komunikující strany nerozlišují (napˇr. zobrazení provozu podle protokol˚u), zapoˇcítávají pˇríchozí i odchozí data dvakrát. Proto jsou v tomto pˇrípadˇe relevantnˇejší hodnoty ze sloupce odesláno nebo pˇrijato. Ty zahrnují všechny komunikující strany a proto jsou totožné.

•

paket˚u – celkový poˇcet pˇrenesených paket˚u v daném cˇ asovém rozsahu.

•

spoj. – poˇcet spojení, která byla pro danou položku v seznamu navázána v dobˇe vymezené nastaveným cˇ asovým intervalem. Pokud je tato hodnota nulová, zatímco pˇrenesených dat je více, znamená to, že bud’ byla tato data pˇrenesena protokoly, které spojení nenavazují (napˇr. UDP nebo ICMP) nebo byla všechna spojení navázána ještˇe pˇred okamžikem zaˇcátku zvoleného cˇ asového rozsahu.

•

v cˇ ase – obsahuje pˇrepoˇcítání aktuálnˇe zvoleného cˇ asového intervalu do konkrétních hodnot.

11.4.4. Konfigurace vlastního filtru Pˇri vytváˇrení nebo editaci filtru se otevˇre nové dialogové okno. Název filtru by mˇel popisovat, jaká data filtr z databáze vyhledává. Výbˇerové menu Uložit do se týká pˇrístupových práv, tedy dostupnosti 88

Kapitola 11. Lokální sítˇe tohoto filtru jiným uživatel˚um. Filtr m˚uže být pˇrístupný bud’ pouze samotnému uživateli nebo všem uživatel˚um, kteˇrí mají nastaveno oprávnˇení cˇ íst graf v dané lokální síti, resp. na celém serveru. Obrázek 11-9. Nový filtr.

Aby bylo možné se lépe orientovat ve vypoˇcítaných údajích, je možné pˇridˇelit jednotlivým komunikujícím stranám vlastní názvy (nejvýše 10 znak˚u). IP adresy a porty jedné strany (obvykle lokální) jsou oznaˇceny promˇennými ip a port, IP adresy a porty protˇejší strany pak promˇennými second_ip a second_port. Názvy jednotlivých stran jsou potom vyznaˇceny u zvolené podmínky a u sloupce s množstvím odeslaných dat ve výsledné tabulce. Následují dvˇe pole, do kterých se zadávají další omezující podmínky filtru. Pole Vyhledávání upˇresˇnuje parametry komunikujících stran, pole Souˇcty se týká omezení souhrnných množství pˇrenesených dat v r˚uzných formátech (poˇcet byt˚u, paket˚u nebo spojení). Obˇe tato pole pˇrijímají pˇredpis v podobˇe asociativního pole (nazývaného také hash) v syntaxi jednoduchého jazyka JSON (http://www.json.org). Prvky hashe jsou dvojice ve tvaru (klíˇ c: hodnota), pˇrípadnˇe pole, jehož prvky jsou hashe. Vyhodnocování výsledného pˇredpisu takového zápisu se ˇrídí následujícími pravidly: •

Pokud omezující podmínka obsahuje více hash˚u spojených do výsledného pole, aplikuje se na nˇe logický souˇcet. To znamená, že údaje z databáze odpovídající kterémukoliv dotazu zapsanému v hashi, se objeví ve výsledné tabulce sít’ového provozu.

•

Pokud jeden hash obsahuje více prvk˚u, aplikuje se na nˇe logický souˇcin. To znamená, že aby byla splnˇena podmínka celého hashe, musí být splnˇeny všechny podmínky v nˇem.

Pro samotné psaní omezujících podmínek je potˇrebná znalost klíˇcu˚ , hodnot a promˇenných, které lze v hashích využívat. Pro pole jako hodnotu klíˇce existují tˇri speciální ˇretˇezce, které ovlivní vyhodnocování jeho obsahu, pokud jsou umístˇeny jako první prvek pole: •

or – pˇri vyhodnocování výrazu se prvky pole spojí operací logického souˇctu.

•

and – pˇri vyhodnocování výrazu se prvky pole spojí operací logického souˇcinu.

•

not – pˇri vyhodnocování výrazu se použije negace obsahu pole. 89

Kapitola 11. Lokální sítˇe Pokud není zadán žádný z tˇechto ˇrídících ˇretˇezc˚u, vyhodnocuje se obsah pole tak, jako by byl zadán ˇretˇezec or. Pole m˚uže obsahovat jako prvek další pole. Následuje popis jednotlivých klíˇcu˚ s pˇríklady. ˇ a pˇrehlednejší ˇ syntaxi jazyka Tip: V zápisu vlastních filtru˚ lze používat dokonce ješteˇ odlehˇcenejší JSON (http://www.json.org): • kolem jmen klíˇcu ˚ není potˇreba psát uvozovky,

ˇ • ˇrády tisícu ˚ lze v zápisu cˇ ísla oddelovat podtržítkem (napˇr. 1_000_000), ˇ • prvky polí a hashu ˚ není potˇreba oddelovat cˇ árkou.

Poznámka: Zápis vyhledávacího nebo souˇctového filtru muže ˚ obsahovat komentáˇre. Ty mohou být oznaˇceny bud’ takto: /* všechno tohle je komentᡠr */ , nebo mohou být uvozeny ˇ dvema lomítky: // vše až do konce ˇ rádku je komentᡠr.

11.4.4.1. Vyhledávání K dispozici jsou tyto klíˇce do hash˚u: •

ip – specifikuje IP adresu, která se bude hledat v databázi. Tento klíˇc samostatnˇe neurˇcuje komunikující stranu. Hodnotu lze zapisovat bud’ klasicky jako cˇ tveˇrici cˇ íslic (1.1.1.1), jako celé cˇ íslo (v našem pˇríkladu 16843009) nebo jako zápis s maskou ve tvaru 1.1.1.1/16 nebo 1.1.1.1/255.255.0.0. Je možné také zadávat jméno poˇcítaˇce (hostname – napˇr. aurora.priklad.cz).

•

second_ip – specifikuje IP adresu na protˇejší stranˇe spojení, pokud je již specifikován klíˇc ip. Jinak se chová stejnˇe jako klíˇc ip.

•

port – specifikuje cˇ íslo portu. Tento klíˇc samostatnˇe nespecifikuje komunikující stranu, ale vztahuje se ke klíˇci ip, resp. k opaˇcné stranˇe specifikované v klíˇci second_ip, pokud je nˇekterý z tˇechto klíˇcu˚ uveden. Hodnotou je bud’ ˇretˇezec s názvem portu (napˇr. ssh) nebo celé cˇ íslo (v našem pˇríkladu 22).

•

second_port – specifikuje port vztahující se ke komunikující stranˇe specifikované klíˇcem second_ip, resp. k opaˇcné stranˇe, než která je specifikována klíˇcem ip nebo port, pokud je nˇekterý z tˇechto klíˇcu˚ uveden.

•

time – specifikuje hodinu a minutu, kdy byl záznam zapsán do databáze. Hodnotou je bud’ ˇretˇezec (napˇr. 11:11) nebo celé cˇ íslo oznaˇcující cˇ íslo minuty v daném dnu (v našem pˇríkladu tedy 671).

•

protocol – specifikuje komunikaˇcní protokol spojení. Hodnotou je bud’ ˇretˇezec (napˇr. tcp) nebo cˇ íslo protokolu (v našem pˇríkladu tedy 6).

Hodnoty k tˇemto klíˇcu˚ m mohou být seskupeny do polí a mohou obsahovat následující promˇenné: •

all_networks – oznaˇcuje všechny IP adresy, které nastaveny na všech lokálních sítích. Do tohoto výˇctu spadají i adresy definované maskou sítˇe. 90

Kapitola 11. Lokální sítˇe •

interface_ips – oznaˇcuje všechny IP adresy náležící sít’ovému rozhraní, do kterého filtr náleží. Do tohoto výˇctu se nepoˇcítají adresy definované maskou sítˇe.

•

all_ips – oznaˇcuje IP adresy všech sít’ových rozhraní na serveru. Do tohoto výˇctu se nepoˇcítají adresy definované maskou sítˇe.

•

network – oznaˇcuje všechny IP adresy náležící sít’ovému rozhraní, do kterého filtr náleží. Do tohoto výˇctu spadají i adresy definované maskou sítˇe.

Pˇríklad 11-4. Pˇríklad vyhledávacího filtru. { second_ip: [ "not", "${all_networks}" ], ip: [ "and", "${network}", [ "not", "${interface_ips}" ] ] } Tento filtr zobrazí komunikaci adres v síti, s výjimkou adres sít’ového rozhraní, s adresami, které nepatˇrí do žádné definované lokální sítˇe. Je to tedy komunikace aktuální lokální sítˇe s Internetem.

ˇ 11.4.4.2. Soucty K dispozici jsou tyto klíˇce do hash˚u: •

bytes1_2_sum, bytes2_1_sum – specifikuje množství pˇrenesených byt˚u, které se zobrazují v tabulce ve sloupcích odesláno a pˇrijato. Strana 1 je urˇcena hodnotou klíˇce ip, strana 2 hodnotou klíˇce second_ip. Hodnoty jsou pˇrirozená cˇ ísla.

•

bytes_sum – specifikuje celkové množství pˇrenesených byt˚u, které odpovídá sloupci celkem ve výsledné tabulce. Jedná se o souˇcet hodnot klíˇcu˚ bytes1_2_sum a bytes2_1_sum. Hodnotou je pˇrirozené cˇ íslo.

•

packets_sum – specifikuje celkové množství pˇrenesených paket˚u. Hodnotou je pˇrirozené cˇ íslo.

•

conns_sum – specifikuje celkové množství navázaných spojení. Hodnotou je pˇrirozené cˇ íslo.

•

time_min, time_max – specifikuje nejstarší respektive nejnovˇejší cˇ as, kdy byl zaznamenán pˇrenos paketu, který spadá do vyhledávacího filtru. Formát zápisu je stejný jako u klíˇce time popsaného výše.

Pokud jde o hodnoty k tˇemto klíˇcu˚ m, lze je zadávat bud’ jako celá cˇ ísla nebo jako intervaly. Krajní hodnota intervalu do nˇej vždy náleží. Zápis 1..100 znamená hodnoty od 1 vˇcetnˇe do 100 vˇcetnˇe. Zápisy 66.., respektive ..66 znamená hodnoty vˇetší nebo rovno, respektive menší nebo rovno hodnotˇe 66. 91

Kapitola 11. Lokální sítˇe Pˇríklad 11-5. Pˇríklad souˇctového filtru. { bytes_sum: "1_000_000..", conns_sum: "..10" } Tento filtr zobrazí pouze záznamy tˇech tok˚u, ve kterých byl v souˇctu pˇrenesen více než 1 MB dat, ale souˇcasnˇe bylo v zadanou dobu navázáno nejvýše 10 spojení.

11.5. Archiv sít’ového provozu Archiv sít’ového provozu je databáze, do které se dlouhodobˇe ukládají informace o pˇrenosech dat na lokální síti. M˚užete sledovat grafy pˇrenosových rychlostí zvolené sítˇe pˇri komunikaci s Internetem, rozšíˇrené o výpoˇcet skuteˇcného množství pˇrenesených dat. Záznam graf˚u slouží zejména ke sledování dlouhodobých statistik, ale lze je používat i ve spojení s nastavením kontroly sít’ového toku. Pokud je nastaven maximální tok, zobrazí se v grafu jako modrá cˇ ára. Pokud v tabulce Sledované sítˇe zvolíte sít’, která má podsítˇe, zobrazí se ve výsledné tabulce všechny setˇrídˇeny podle množství pˇrenesených dat. Barevnˇe je ovšem odlišeno a zobrazeno v grafu pouze prvních šest (pod)sítí, jinak by graf mohl být zcela nepˇrehledný. Pokud potˇrebujete zobrazit jiné nebo konkrétní sítˇe, oznaˇcte je zaškrtávacími políˇcky a kliknˇete na tlaˇcítko Zobrazit jen vybrané. Následnˇe se také pˇrekreslí barevná legenda pro graf. Pokud tlaˇcítko použijete v okamžiku, kdy není oznaˇcena žádná sít’, zobrazí se opˇet všechny sítˇe, resp. prvních šest. Rozbalovací menu nad grafem umožˇnuje tyto funkce: •

automaticky obnovovat – pokud je tato funkce zapnuta, tak se každých pˇet minut naˇcte nový graf s aktuálními údaji,

•

zobrazovat maximální rychlosti – implicitnˇe se do graf˚u vypoˇcítávají pr˚umˇerné rychlosti, zapnutím této funkce zobrazíte pˇrehled nejvyšších dosažených rychlostí; rozdíl v grafu je typicky patrný až pˇri delších cˇ asových intervalech,

•

zobrazovat b/s – implicitnˇe se vypoˇcítávají rychlosti v bytech za sekundu (B/s), zapnutím této funkce zobrazíte hodnoty v bitech za sekundu,

•

exportovat do CSV – tato funkce uloží údaje ze všech sítí a podsítí ve výsledné tabulce do textového souboru pro další strojové zpracování, v tomto pˇrípadˇe jsou to hodnoty oddˇelené stˇredníkem.

V lištˇe pod grafem m˚užete ve výbˇerovém menu pˇrepínat konkrétní cˇ asový interval pro vodorovnou osu grafu. Škála pro svislou osu se poˇcítá automaticky podle namˇeˇrených hodnot. Tlaˇcítka s lupou slouží k pˇrepínání cˇ asových rozsah˚u z menu s tím, že pˇriblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obrácenˇe. Na cˇ asové ose se lze rovnˇež posunovat pomocí smˇerových šipek v téže lištˇe. V ˇrádku tˇesnˇe nad vykresleným grafem se v každém pˇrípadˇe zobrazuje aktuální cˇ asový interval. 92

Kapitola 11. Lokální sítˇe ˇ Poznámka: Databáze aktuálních údaju˚ se pro každé cˇ asové období doplnuje kontinuálneˇ a v ˇ obmeˇ nuje ˇ závislosti na konfiguraci serveru se rovnež pˇrepisováním starých dat. To prakticky ˇ ˇ ˇ znamená, že po nekolika dnech až mesících jsou pˇrepsána grafová data z nejjemnejšího ˇ cˇ asového cˇ lenení. V takovém pˇrípadeˇ se graf zobrazí jako zmenšenina nejbližšího grafu, který ješteˇ obsahuje pˇresná data. Pokud tedy zastarají informace o minutách, použije se graf pro hodiny apod. Obvykle potom graf vypadá jako rovná cˇ ára nebo schod.

Obrázek 11-10. Pˇríklad denního grafu na sít’ovém rozhraní.

11.6. Dynamické akce Dynamické akce na lokální síti jsou implementací politiky pˇrimˇeˇreného využívání provozu sítˇe (Fair Use Policy, FUP). V zásadˇe se jedná o pˇrenastavování hodnot kontroly sít’ového toku v závislosti na cˇ ase, tedy aktuální zmˇeny nastavení sítˇe.

93

Kapitola 11. Lokální sítˇe Obrázek 11-11. Kalendáˇr dynamických akcí

Dynamické akce lze definovat pro každou sít’ nebo podsít’, která k tomu má vytvoˇrený speciální kalendáˇr. Akce se pˇridávají standardním zp˚usobem tlaˇcítkem Pˇridat událost.. nebo kliknutím na cˇ íslo hodiny. D˚uležité je u takové události správnˇe nastavit její opakování. Obrázek 11-12. Opakování dynamické akce

94

Kapitola 11. Lokální sítˇe To, co ve skuteˇcnosti odliší bˇežnou událost od dynamické zmˇeny nastavení sítˇe, je definování akce, kterou lze pˇridat ve výbˇerovém menu bˇežnˇe používaném pro pˇripomínky, jak je vidˇet na obrázku níže. Do pole Provést akci se pak vepíše seznam instrukcí, jak se má nastavení sítˇe modifikovat. Je také potˇreba definovat nejen akci tˇesnˇe po zaˇcátku nastaveného intervalu, která nastavení zmˇení, ale také akci po skonˇcení intervalu, která vrátí zmˇenˇené hodnoty do p˚uvodního stavu. Na obrázku je pˇríklad takového nastavení. Následuje popis jednotlivých pˇríkazu, které lze používat pro pˇredpis dynamické akce. Obrázek 11-13. Opakování dynamické akce

11.6.1. Instrukce pro pˇríkazy dynamických akcí Dynamické zmˇeny nastavení parametr˚u pro ˇrízení provozu na síti se zapisují formou pˇríkaz˚u. Konkrétní parametry k pˇríkaz˚um se oddˇelují dvojteˇckou. Následuje jejich popis: •

modify network – tato hodnota se pˇredvyplní hned po vytvoˇrení akce vˇcetnˇe jejího parametru, což je název sítˇe. Uvozuje zmˇenu konfigurace sítˇe.

•

flow_enabled – odpovídá zatrhávacímu poli Kontrolovat tok smˇeˇrující z rozhraní. Možné hodnoty jsou true a false.

•

flow_min – odpovídá zaruˇcenému toku z rozhraní. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s.

•

flow_max – odpovídá maximálnímu toku z rozhraní. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s. 95

Kapitola 11. Lokální sítˇe •

flow_priority – odpovídá prioritˇe toku z rozhraní. Hodnotou je cˇ íslo z intervalu 0 až 7, kde nula oznaˇcuje nejvyšší prioritu.

•

flow_enabled_in – odpovídá zatrhávacímu poli Kontrolovat tok smˇeˇrující z Internetu. Možné hodnoty jsou true a false.

•

flow_min_in – odpovídá zaruˇcenému toku z Internetu. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s.

•

flow_max_in – odpovídá maximálnímu toku z Internetu. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s.

•

flow_priority_in – odpovídá prioritˇe toku z Internetu. Hodnotou je cˇ íslo z intervalu 0 až 7, kde nula oznaˇcuje nejvyšší prioritu.

•

flow_enabled_out – odpovídá zatrhávacímu poli Kontrolovat tok smˇeˇrující do Internetu. Možné hodnoty jsou true a false.

•

flow_min_out – odpovídá zaruˇcenému toku do Internetu. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s.

•

flow_max_out – odpovídá maximálnímu toku do Internetu. Hodnotou je cˇ íslo. Tato hodnota je v kbit/s.

•

flow_priority_out – odpovídá prioritˇe toku do Internetu. Hodnotou je cˇ íslo z intervalu 0 až 7, kde nula oznaˇcuje nejvyšší prioritu.

•

default – oznaˇcuje, zda je dané rozhraní implicitní. Možné hodnoty jsou true a false.

•

ips – oznaˇcuje IP adresy (vˇcetnˇe masky), které popisují nˇejakou existující sít’. V zásadˇe odpovídá seznamu Adresy rozhraní v nastavení sítˇe. Jelikož m˚uže seznam obsahovat více položek, je nutné je zapisovat v následujícím formátu: ips: – 10.20.30.40/24 – 50.60.70.80/32

•

interface_ports – obsahuje položky seznamu Porty na rozhraní. Jelikož m˚uže obsahuje více položek, je nutné je zapisovat v následujícím formátu: interface_ports: –* – !8080 – 1024-2048

Pomocí dynamické akce lze ˇrídit i provoz na síti, pokud jde o množství pˇrenesených dat za jednotku cˇ asu, tedy podle smluvních podmínek pro konkrétního zákazníka (kvalita služeb, QoS). Taková akce se uvozuje pˇríkazem modify qosfup:, za kterým následuje jméno sítˇe nebo podsítˇe, na kterou se akce vztahuje. Povinnými parametry pro tento typ akce jsou: •

window – oznaˇcuje cˇ asové období, pro které se do minulosti kontroluje množství pˇrenesených dat. Bud’ obsahuje celé cˇ íslo nebo nˇekterou z hodnot day, week nebo month, která postupnˇe oznaˇcuje 96

Kapitola 11. Lokální sítˇe den, týden nebo mˇesíc. Zatímco cˇ íslo vždy pˇresnˇe urˇcuje, kolik dn˚u zpátky se bude brát v úvahu, slovní hodnota kontroluje období od zaˇcátku dané cˇ asové jednotky po aktuální datum. •

limit – maximální množství dat v megabytech, které v souˇctu mohou projít z a do dané sítˇe.

V okamžik, na který je nastaveno spuštˇení akce modify qosfup, se zkontroluje, zda je množství pˇrenesených dat za dané období vyšší nebo nižší, než je nastavený limit. Pak se provádí stejné pˇríkazy jako u akce typu modify network. Pˇríkazy pro pˇrípad pˇrekroˇcení limitu mají pˇríponu over_ a pro pˇrípad nepˇrekroˇcení mají pˇríponu under_. Obrázek 11-14. Pˇríklad dynamické akce typu qosfup

11.7. Konfigurace VPN v systému Windows VPN (virtual private network) je prostˇredek pro propojení poˇcítaˇcu˚ na r˚uzných místech Internetu do jedné virtuální poˇcítaˇcové sítˇe. I když poˇcítaˇce mohou být ve fyzicky nezávislých sítích na r˚uzných místech svˇeta, prostˇrednictvím virtuální privátní sítˇe spolu mohou komunikovat, jako by byly v jediném sít’ovém segmentu. Prostˇrednictvím VPN lze zajistit napˇríklad pˇripojení notebook˚u kdekoliv na internetu do vnitˇrní firemní sítˇe (intranetu). K propojení slouží VPN server, který má pˇrístup do Internetu i intranetu a m˚uže sloužit bud’ jen pro jednoho klienta nebo jako rozboˇcovaˇc pˇrijímající spojení od více klient˚u. Na druhé stranˇe spojení je VPN klient, který se pˇres Internet pˇripojí k serveru a prostˇrednictvím nˇej pak do intranetu. VPN server pak plní v podstatˇe funkci sít’ové brány. VPN funguje na principu sít’ového tunelování, kdy se prostˇrednictvím standardního sít’ového spojení vytvoˇrí virtuální linka mezi dvˇema poˇcítaˇci, v rámci které pak lze navazovat další sít’ová spojení. V systému Windows jako vhodný software ke zprovoznˇení takových virtuálních spojení doporuˇcujeme OpenVPN, který je jako instalaˇcní balíˇcek k dispozici zdarma na serveru openvpn.se 97

Kapitola 11. Lokální sítˇe (http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe). Souˇcástí tohoto balíˇcku je také pomocná aplikace s uživatelským rozhraním OpenVPN GUI, která usnadˇnuje a zpˇrehledˇnuje práci, ale k samotnému navazování VPN spojení není nezbytná. Pˇri instalaci se spustí standardní pr˚uvodce. Jednotlivé souˇcásti balíku jsou nastaveny tak, že je není nutné pˇri instalaci nic mˇenit (snad s výjimkou volby Autostart OpenVPN GUI, pokud nechcete, aby se aplikace automaticky spouštˇela). Potom se do systému pˇridá virtuální ethernetové sít’ové rozhraní (TAP-Win32 Adapter V8), na což systém Windows reaguje hlášením, že neexistuje ovˇeˇrení hardwaru od Microsoftu. Zadejte, že chcete v instalaci pokraˇcovat. Virtuální adaptér pro komunikaci využívá skuteˇcnou sít’ovou kartu a není potˇreba jej konfigurovat. Všechny potˇrebné parametry nastavení obdrží od VPN serveru, ke kterému se pˇripojí pomocí certifikátu, viz níže. Samotné spojení se realizuje bud’ programem openvpn.exe nebo prostˇrednictvím ikony OpenVPN GUI v nástrojové lištˇe Windows, která zobrazí menu po kliknutí na pravé tlaˇcítko myši. Tato ikona pˇredstavuje program openvpn-gui.exe. Oba jsou typicky umístˇeny v adresáˇri C:\Program Files\OpenVPN\bin . VPN spojení m˚užete v jednu chvíli otevˇreno více, pro každé však musí existovat vlastní virtuální adaptér. To lze pˇridat pˇrímo z programové nabídky OpenVPN v hlavním menu systému položkou Add a new TAP-Win32 virtual ethernet adapter. Stav spojení m˚užete kontrolovat ve výpisu konzole se systémovým hlášením prostˇrednictvím položky Show Status aplikace OpenVPN GUI. Obrázek 11-15. Volby pˇri instalaci OpenVPN; vpravo menu pro OpenVPN GUI

VPN spojení lze zprovoznit dvˇema zp˚usoby. V obou pˇrípadech je potˇreba kontaktovat linku technické podpory vašeho integrátora WebISu a vyžádat si certifikát spolu s klíˇci pro pˇripojení na server. ˇ Heslo k tomuto Poznámka: Certifikáty a klíˇce zasíláme v komprimovaném souboru a šifrovane. souboru získáte ve zvláštní zpráveˇ šifrované pomocí PGP nebo jiným nezávislým, bezpeˇcným kanálem.

•

VPN spojení m˚uže bˇežet jako služba na pozadí, která se spustí pˇri startu systému ještˇe pˇred pˇrihlášením, ovšem, aˇc s minimální režií, zatˇežuje sít’ovou linku. Pokud je pro vás takové ˇrešení 98

Kapitola 11. Lokální sítˇe vyhovující, obdržíte spolu s certifikátem také instalaˇcní balíˇcek, který nainstaluje všechny potˇrebné souˇcásti pro provoz OpenVPN a nakonfiguruje spouštˇení zmínˇené služby na pozadí. Tuto službu smí bˇežnˇe používat jen administrátor – jiným uživatel˚um to lze povolit programem subinacl.exe (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cfed6985e3927b). Tento program sm9 rovnˇež spouštˇet jen administrátor nebo jiný uživatel s pˇríslušným oprávnˇením. Pokud máme napˇríklad uživatele test, pˇríkazem subinacl /SERVICE "OpenVPNService" /GRANT=test=TO mu udˇelíme oprávnˇení spouštˇet OpenVPN jako službu. K tomu je ale ještˇe potˇrebné nebo užiteˇcné modifikovat nˇekteré klíˇce v registru systému pomocí pˇríkazu regedit. Jedná se o klíˇce v cestˇe HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\: •

allow_service – pˇri hodnotˇe 1 bude možné spouštˇet OpenVPN jako službu,

•

service_only – pˇri hodnotˇe 1 zapne režim pro OpenVPN GUI, aby bˇeželo pouze v režimu služby (vypne nastavení proxy a zakáže odpojování spojení, místo toho nabízí pozastavení bˇehu služby),

•

allow_edit – pˇri hodnotˇe 0 zakáže editovat konfiguraˇcní soubor VPN spojení,

•

allow_password – pˇri hodnotˇe 0 zakáže editovat heslo k soukromému klíˇci pro spojení. Poznámka: Nevýhodou tohoto pˇrístupu je, že u této metody není možné službeˇ OpenVPN pˇredat heslo, kterým šifrujete svuj ˚ soukromý klíˇc. Proto je nutné používat nešifrovaný soukromý klíˇc, volneˇ ložený na disku. Tento problém lze obejít tím, že svuj ˚ klíˇc vložíte do úložišteˇ certifikátu˚ prostˇrednictvím konzole MMC s parametrem --cryptoapicert pro jeho nahrání.

•

Pokud budete spouštˇet VPN spojení manuálnˇe a máte již nainstalován OpenVPN, obdržíte pouze certifikát a klíˇce, které je potˇreba nakopírovat typicky do adresáˇre C:\Program Files\OpenVPN\config . Teprve potom umožní aplikace OpenVPN GUI navázat spojení. Pokud je povolena volba registru allow_password (viz výše), m˚užete nastavit heslo pro soukromý klíˇc spojení, které se pˇri každém manuálním spojení bude kontrolovat. Heslo musí mít alespoˇn osm znak˚u. Obrázek 11-16. Nastavení registru pro OpenVPN GUI

99

Kapitola 11. Lokální sítˇe

11.8. Podsíteˇ Tato sekce poskytuje pˇrehled o podsítích sítˇe, jejíž název je v nadpisu stránky. Zde m˚užete rovnˇež pˇridávat další podsítˇe. Po zadaní jména a kliknutí na tlaˇcítko Pˇridat se podsít’ vytvoˇrí a systém vás pˇresmˇeruje do sekce Nastavení pro tuto podsít’. Pokud nˇejakou podsít’ oznaˇcíte zaškrtávacím políˇckem, m˚užete ji z nadˇrazené sítˇe zrušit tlaˇcítkem Smazat. Kliknutím na název podsítˇe zobrazíte její vlastní podsítˇe. Pokud si pˇrejete zobrazit podsítˇe nadˇrazené sítˇe, kliknˇete na tlaˇcítko Nahoru, které je v levém horním rohu stránky. Toto tlaˇcítko m˚užete pˇri navigaci mezi sítˇemi použít z kterékoliv podsekce sekce Lokální sítˇe. Obrázek 11-17. Výpis podsíti rozhraní intranet1.

11.9. Pˇrístupová práva Pˇrístupová práva pro sítˇe a podsítˇe se ˇrídí stejnými pravidly, která jsou popsána v kapitole Pˇrístupová práva. Pouze oprávnˇení zobrazit graf je nové. Pokud má uživatel nebo skupina toto oprávnˇení nastaveno, uvidí graf pro tuto sít’ ve WebISu v sekci Úˇctování.

100

Kapitola 11. Lokální sítˇe Obrázek 11-18. Pˇríklad nastavení pˇrístupových práv na rozhraní.

101

Kapitola 12. Archiv hlášení Jednotlivé systémy serveru ukládají informaˇcní a chybová hlášení do soubor˚u. V závislosti na nastavení periody pro ukládání tˇechto záznam˚u se jednotlivá hlášení komprimují do archiv˚u a jsou v této sekci k dispozici ke stažení. Hlášení, které ještˇe nebylo zkomprimováno po tzv. rotaci log˚u, má v seznamu aktivní odkaz a lze jej pˇrímo v Administraci prohlížet. Jinak lze každé hlášení stáhnout na disk. Kritérium pro rotaci záznamu m˚uže být pro každou službu jiné (napˇr. velikost souboru), ale obvykle k ní dochází pravidelnˇe jednou dennˇe. Aby uživatel mohl prohlížet systémová hlášení, musí mít oprávnˇení vypsat a cˇ íst v globálních pˇrístupových právech, v kategorii k tomuto serveru. Archiv hlášení obsahuje: •

hlášení systému,

•

hlášení poštovního serveru,

•

dotazy na WWW cache,

•

ladící hlášení WWW cache,

•

hlášení jádra systému,

•

chybová hlášení WWW serveru.

Obrázek 12-1. Seznam archivu hlášení

Na obrázku níže vidíte výpis aktivního záznamu. Pomocí tlaˇcítka Obnovit znovu naˇctete obsah záznamu. Tato funkce má význam pouze u aktivních záznam˚u. Ve vyhledávacím poli m˚užete odesláním dotazu zvýraznit všechny ˇrádky, které obsahují zadaný vzorek. Hledání probíhá plnotextovˇe nad každou ˇrádkou záznamu bez ohledu na velikosti písmen, takže lze zadávat dotazy jako "] INF" nebo ":46". Nelze ovšem využívat žádných zástupných znak˚u. Tlaˇcítkem Hledat další odešlete dotaz na další stranu seznamu. Poˇcet zobrazených ˇrádk˚u na stránce lze mˇenit ve výbˇerovém menu, které je v horní lištˇe napravo. 102

Kapitola 12. Archiv hlášení Obrázek 12-2. Výpis aktivního hlášení

103

Kapitola 13. Nastavení služeb serveru V nejvyšší úrovni Administrace, v záložce Další nastavení je nabídka Nastavení služeb serveru. Ne všechny služby popsané níže jsou k dispozici na každém serveru, nˇekteré fungují jako moduly, které se instalují zvlášt’ podle toho, jaký typ serveru je u daného zákazníka v provozu nebo jaké speciální požadavky zákazník má.

13.1. DHCP DHCP (Dynamic Host Configuration Protocol) je aplikaˇcní protokol z rodiny TCP/IP. Používá se pro automatické pˇridˇelování IP adres koncovým stanicím a dalším sít’ovým zaˇrízením (obecnˇe klient˚um) v síti. Souˇcasnˇe s IP adresou posílá server stanicím i další nastavení pro používání sítˇe, napˇríklad adresu nejbližšího smˇerovaˇce (routeru), masku sítˇe nebo adresy DNS server˚u. DHCP protokol pˇrináší zejména tyto výhody: •

uživatelé nemusí na svých poˇcítaˇcích v souvislosti s pˇripojením k síti nic nastavovat,

•

protokol zaruˇcuje, že se v síti nevyskytnou dvˇe stejné IP adresy,

•

správce sítˇe m˚uže "pˇreˇcíslovat" celou sít’ nebo zmˇenit její nastavení s minimálním zásahem do práce uživatel˚u.

V Administraci je možné nakonfigurovat DHCP server. Ten pˇridˇeluje klient˚um IP adresy automaticky a na omezenou dobu. Klient pˇred pˇridˇelením adresy m˚uže požádat o dobu platnosti a v pr˚ubˇehu pˇripojení si sám žádá o prodloužení platnosti, pokud to potˇrebuje. V tabulce Globální nastavení lze nastavit implicitní a maximální dobu platnosti pro pˇridˇelenou IP adresu. •

implicitní doba v sekundách udává cˇ as, po který bude pˇridˇelená IP adresa platná, pokud klient explicitnˇe nepožádá o dobu platnosti.

•

maximální doba v sekundách udává cˇ as, po který bude pˇridˇelená IP adresa platná, pokud klient explicitnˇe zažádá o dobu platnosti, která pˇrekraˇcuje tuto maximální dobu.

Pˇridˇelování IP adres je vždy vázáno na urˇcitý rozsah, který definuje podsít’. Tuto podsít’ zadáváme ve tvaru IP adresa/maska sítˇ e (napˇr. 192.168.1.1/24 nebo 192.168.1.1/255.255.255.0), kde IP adresa je adresa pˇridˇelená serveru, zatímco maska sítˇ e udává, která cˇ ást IP adresy je vyhrazena pro cˇ íslování konkrétních poˇcítaˇcu˚ v síti. Kliknutím na zadanou podsít’ v seznamu ji m˚užete dále konfigurovat, viz níže. V tabulce Aktuální stav jsou informace o klientech, kteˇrí jsou právˇe pˇripojeni a mají serverem DHCP pˇridˇelenu doˇcasnou nebo fixovanou IP adresu.

104

Kapitola 13. Nastavení služeb serveru Obrázek 13-1. Základní nastavení DHCP

13.1.1. Nastavení DHCP pro podsít’ V rámci podsítˇe m˚uže být definována nˇejaká doména, která se bude pˇridávat k hostname jednotlivých klient˚u pˇri pˇrekladu IP adres pomocí DNS. Jako IP adresa pro jmenný server a router se implicitnˇe pˇrednastaví první adresa náležící do rozsahu podsítˇe, což je obvyklý zp˚usob. Adresa pro jmenný server nebo router ale nemusí být nutnˇe cˇ íselná, jak je vidˇet na obrázku níže. Adres pro jmenné servery i routery m˚uže být víc, pokud jsou oddˇeleny cˇ árkou. Implicitní a maximální doba pro pˇridˇelení IP adresy mohou být pro podsít’ jiné než pro celý server, pokud nejsou zadány, platí ty ze serveru. Obrázek 13-2. Nastavení DHCP pro podsít’

105

Kapitola 13. Nastavení služeb serveru

V dané podsíti nemusí být všechny IP adresy k dispozici klient˚um. K urˇcení tˇech skuteˇcnˇe volných slouží rozsahy pˇridˇelovaných adres. Rozsah se zadává ve tvaru [poˇ cáteˇ cní IP]-[koncové IP], jak je vidˇet na obrázku. Nelze zadávat rozsahy, kde nˇekterá s hraniˇcních IP adres nepatˇrí do podsítˇe a nelze zadávat samostatné IP adresy. Pokud je to nutné nebo vhodné, je možné v dané podsíti vybranou IP adresu fixovat, tzn. pˇriˇradit ji ke konkrétnímu klientovi tak, aby ji server DHCP nemohl pˇriˇradit jinému klientovi. Fixovaná IP adresa musí ležet v dané podsíti, ale souˇcasnˇe mimo definované rozsahy adres, které se pˇridˇelují automaticky. Fixovaná IP adresa je vázána na konkrétní sít’ové zaˇrízení, které už pˇri výrobˇe dostane jedineˇcný identifikátor (vlastnˇe výrobní cˇ íslo), kterému se ˇríká MAC adresa (Media Access Control). Tato adresa se skládá z 48 bit˚u a nejˇcastˇeji se zapisuje jako šestice dvojciferných hexadecimálních cˇ ísel oddˇelených dvojteˇckami (napˇríklad 01:23:45:67:89:ab). Jméno zaˇrízení je rovnˇež povinné a slouží jako jmenovka pro lepší orientaci správce.

13.2. Antispamový subsystém Jednou ze souˇcástí poštovního serveru je antispamový subsystém. V kombinaci s nastavením filtrovacích pravidel je možné pˇríchozí poštu podle antispamového hodnocení rozpoznat jako nevyžádanou a dále ji zpracovávat. Zejména se využívá možnosti nastavit její uložení do speciální složky. Obrázek 13-3. Seznam služeb serveru

ˇ 13.2.1. Identifikace a oznacení spamu Každá zpráva je pˇri pr˚uchodu antivirem zkontrolována antispamovým programem SpamAssassin, ˇ vyšší je který na základˇe nˇekolika stovek r˚uzných test˚u pˇridˇelí zprávˇe bodové ohodnocení (skóre). Cím 106

Kapitola 13. Nastavení služeb serveru toto skóre, tím vyšší je pravdˇepodobnost, že testovaná zpráva je skuteˇcnˇe spam. Ke každé zprávˇe, která má skóre 1 nebo více, pˇriˇradí SpamAssassin hlaviˇcku X-Spam-Level, která obsahuje jednu nebo více hvˇezdiˇcek. Poˇcet hvˇezdiˇcek v hlaviˇcce X-Spam-Level se rovná celoˇcíselné cˇ ásti dosaženého skóre. Je doporuˇceno považovat za spam zprávy, které mají v hlaviˇcce X-Spam-Level pˇet a více hvˇezdiˇcek.

13.2.2. Filtrování spamu Podle hlaviˇcky X-Spam-Level lze spam ukládat do speciální složky. To lze nastavit ve filtrovacích pravidlech pˇríchozí pošty (více o možnostech filtrování pˇríchozí pošty najdete v kapitole Filtrovací pravidla pˇríchozí pošty). Obrázek 13-4. Ukázka antispamového pravidla

ˇ 13.2.3. Ucení Jedna z funkcí programu SpamAssassin je automatické uˇcení bayesovské databáze, která rovnˇež pˇrispívá k pˇresnˇejší klasifikaci pˇríchozí pošty na vyžádanou a nevyžádanou. Uˇcení probíhá tak, že se sbírají e-mailové zprávy, které jsou považovány za klasifikované, analyzují se a výsledná data tvoˇrí základ pro testování dalších zpráv. Vyžádané a nevyžádané e-maily se sbírají a analyzují zvlášt’. Nevyžádaná pošta se každou hodinu pˇresouvá ze sdílené poštovní složky Nahlášené/Nevyžádaná pošta a pˇridává se do databáze. Sbírat zprávy do této sdílené složky lze dvˇema zp˚usoby. Bud’ nastavit nˇejaké filtrovací pravidlo na serveru, které automaticky bude sbírat zprávy. Antispamové hodnocení tˇechto zpráv by mˇelo být takové, aby se minimalizovala pravdˇepodobnost, že zpráva bude ve skuteˇcnosti vyžádaná. Za tuto hranici se obvykle považuje pˇet hvˇezdiˇcek v hlaviˇcce X-Spam-Level. Takové zprávy jsou pro SpamAssassin sice známy jako spam, ovšem mohly být rozpoznány úplnˇe jiným testem než je použití bayesovské databáze, proto pˇredstavují relevantní data pro uˇcení. Druhou možností je pˇresouvat zprávy do zmiˇnované složky manuálnˇe, ideálnˇe spam, který z˚ustal nerozpoznán.

107

Kapitola 13. Nastavení služeb serveru Je ovšem d˚uležité, aby se do složky Nahlášené/Nevyžádaná pošta nedostala žádná vyžádaná pošta, protože SpamAssassin by se z ní špatnˇe nauˇcil, což by v koneˇcném d˚usledku znehodnotilo celou databázi. Jedna z cest, jak m˚uže administrátor nˇecˇ emu takovému zabránit, je zakázat manuální zápis bˇežným uživatel˚um, kteˇrí budou sv˚uj nerozpoznaný spam pˇresouvat do své speciální složky. Z ní jej bude administrátor sám vybírat a pˇresouvat do sdílené složky Nahlášené/Nevyžádaná pošta k uˇcení. Pˇrístupová práva k této složce se nastavují v Administraci, v záložce Další nastavení, v menu Nastavení služeb serveru. Viz obrázek níže. ˇ cesta, jak vytvoˇrit kvalitní bayesovskou databázi, je pomocí Poznámka: Úplneˇ nejbezpeˇcnejší filtru˚ sbírat od uživatelu˚ rozpoznaný i nerozpoznaný spam do jiné speciální složky a do složky ˇ Nahlášené/Nevyžádaná pošta je pˇresouvat z ní, ruˇcne.

Uˇcení vyžádané pošty probíhá zcela automaticky. Každý den se na celém serveru vezmou všechny zprávy, na které byla odeslána odpovˇed’ a pˇridají se do databáze. Je proto d˚uležité pouˇcit uživatele, že nesmí nikdy odepisovat na spam. Je také d˚uležité vˇedˇet, že toto uˇcení m˚uže fungovat jen tehdy, pokud se na serveru e-mailové zprávy zpracovávají protokolem IMAP, nikoliv POP3. Protokol IMAP totiž umožˇnuje ukládání pˇríznak˚u zpráv (pˇreˇctená, zodpovˇezená apod.) na serveru, proto antispamový subsystém pozná, na které zprávy bylo odepsáno a m˚uže je zaˇradit do databáze k uˇcení.

13.3. Antivirový subsystém Souˇcástí poštovního serveru je kvalitní antivirový subsystém, který umožˇnuje kontrolovat nejen pˇríchozí a odchozí poštu, ale také periodicky provádˇet antivirovou kontrolu sdílených soubor˚u na souborového serveru. Obrázek 13-5. Seznam služeb serveru

Antivir umí kromˇe hledání vir˚u v pˇrílohách zpráv rovnˇež preventivnˇe blokovat pˇrijetí zpráv, které obsahují soubory nežádoucích typ˚u. Jsou to obvykle spustitelné soubory, které jsou souˇcástí nevyžádané pošty a cˇ asto obsahují viry. 108

Kapitola 13. Nastavení služeb serveru Ve formuláˇri m˚užete zadat seznam pˇrípon soubor˚u, které si nepˇrejete pˇrijímat. M˚užete je zadávat v jednom ˇrádku oddˇelené cˇ árkou nebo každou na nový ˇrádek. Mezi obvyklé blokované pˇrípony patˇrí napˇríklad exe, bat, cmd, com nebo dll. Pokud je doruˇcena zpráva, která obsahuje soubor blokovaného typu, odešle se odesílateli upozornˇení o tom, že zprávu nebylo možno doruˇcit. Ještˇe pˇred tím je ale pˇriložený soubor prohledán. Pokud je v nˇem nalezen virus, celá zpráva se zahodí a žádné upozornˇení se neposílá. Tento systém m˚uže spolupracovat s r˚uznými volnˇe šiˇritelnými nebo komerˇcními antivirovými systémy a jistotu zachycení viru navíc násobit tím, že se do automatické detekce vir˚u zapojí více antivir˚u. V souˇcasné dobˇe je možná souˇcinnost tˇechto antivir˚u: •

DrWeb

•

Clam Antivirus

•

CAI InoculateIT

•

KasperskyLab AVP

•

Panda Antivirus

•

F-Prot Antivirus

•

McAfee Virus Scan 3.x

•

NAI Virus Scan 4.x

•

Dr. Solomon antivirus

•

Sophos Sweep

Mezi základní vlastnosti antivirového subsystému patˇrí: •

Kontrola veškeré pošty na pˇrítomnost vir˚u – u každého úˇctu i skupiny je možné nastavit, zda se bude antivirová kontrola provádˇet. V pˇrípadˇe nalezení viru se vrátí varovná zpráva zpˇet odesílateli a zároveˇn se zašle zpráva správci serveru. Zavirovaný e-mail se bezpeˇcnˇe zazálohuje na serveru.

•

Hledání vir˚u v pˇriložených a také v zabalených souborech – je podporována vˇetšina bˇežných kompresních algoritm˚u. Prohledávají se i archivy zabalené v jiných archivech.

•

Kontrola vybraných typ˚u soubor˚u stahovaných z Internetu pˇres WWW a FTP – WWW proxy server automaticky provede antivirovou kontrolu stahovaných soubor˚u zadaného typu. Je-li soubor zavirován, jeho stažení se zakáže. Pˇritom je možná i kontrola zabalených soubor˚u.

•

Automatická aktualizace virové databáze nˇekolikrát dennˇe.

•

Možnost blokování nebezpeˇcných nebo nevhodných pˇríloh e-mail˚u – jako velmi efektivní obrana proti všem (a hlavnˇe novým) vir˚um se ukázalo blokování všech spustitelných pˇríloh. V pˇrípadˇe, že je potˇreba odeslat nebo pˇrijmout soubor s takovou pˇríponou, je možné ho zabalit napˇríklad do ZIP archivu, který standardnˇe není blokován, ale pouze prohledáván antivirem.

•

Periodicky se provádí antivirová kontrola sdílených soubor˚u – v pˇrípadˇe nalezení zavirovaného souboru je poslán e-mail správci serveru s podrobnou zprávou.

109

Kapitola 13. Nastavení služeb serveru

13.4. Poštovní server Poštovní server je server, který odesílá a pˇrijímá poštu. Doménové jméno (napˇr. mail.domena.cz) je jméno, pod kterým tento stroj komunikuje s ostatními poštovními servery na Internetu. Pro toto jméno by mˇel existovat DNS pˇreklad na jeho veˇrejnou IP adresu, jinak okolní servery mohou poštu pˇricházející z tohoto serveru odmítnout. Pokud velikost pˇríchozí nebo odchozí zprávy pˇrekroˇcí hodnotu nastavenou v poli Max. velikost e-mailu (MB), zpráva se nedoruˇcí, resp. neodešle, v pˇrípadˇe pˇríchozí zprávy se vrátí odesílateli spolu s chybovým hlášením. Obrázek 13-6. Seznam služeb serveru

13.5. Souborový server Souborovému serveru je vˇenována samostatná kapitola. Obrázek 13-7. Seznam služeb serveru

110

Kapitola 13. Nastavení služeb serveru

13.6. Odkazy na WebIS Zde m˚užete zadat internetovou adresu, ze které je možný pˇrístup do WebISu na Vašem serveru. Zejména ji využijí ti uživatelé, kteˇrí sice používají WebIS k r˚uzným cˇ innostem, ale poštu cˇ tou v nˇekterém poštovním klientovi, jako je Mozilla Thunderbird nebo Microsoft Outlook. ˇ Poznámka: Korektní URL adresa pro pˇrihlašování do WebISu muže ˚ vypadat napˇr. následovne: http://mail.domena.cz .

Do pole URL adresa WebIS se vyplˇnuje adresa, pˇres kterou je univerzálnˇe možné se z Internetu pˇripojit k WebISu na vašem serveru. Používá se v odkazech na nové žádosti a události pˇri automatickém oznamování uvnitˇr systému elektronickou poštou. Obrázek 13-8. Seznam služeb serveru

13.7. Pˇrihlašovací doména Na serveru je možné pˇrednastavit pˇrihlašovací doménu, která se zobrazí za vstupním polem pro e-mailovou adresu v pˇrihlašovacím oknˇe a automaticky se doplní k zadaným adresám, která nemají doménu uvedenu. Staˇcí pak pˇri pˇrihlašování zadat pouze lokální cˇ ást e-mailové adresy.

111

Kapitola 13. Nastavení služeb serveru Obrázek 13-9. implicitní pˇrihlašovací doména

13.7.1. Nastavení implicitní pˇrihlašovací domény Obrázek 13-10. Nastavení implicitní pˇrihlašovací domény

Pokud se chcete pˇrihlásit k jiné než pˇrednastavené doménˇe, je nutné jako pˇrihlašovací jméno zadat celou e-mailovou adresu, ne pouze její lokální cˇ ást.

13.7.2. Nastavení mapování domén Implicitní pˇrihlašovací doménu lze dynamicky mˇenit podle URL, které uživatel zadá do prohlížeˇce a pˇres které pˇristupuje k pˇrihlašovacímu oknu. K tomuto úˇcelu slouží mapování domén. Na obrázku výše jsou vidˇet tˇri mapované domény. Pokud chcete pˇridat novou, do prvního vstupního pole webové doména napíšete, co chcete mapovat, a do druhého pole pˇrihlašovací doména napíšete, jak to chcete mapovat. Pokud pole pˇrihlašovací doména z˚ustane prázdné, znamená to, že pro danou webovou doménu se žádná pˇrihlašovací doména nepˇrednastavuje. 112

Kapitola 13. Nastavení služeb serveru V pˇrípadˇe více definovaných domén, probíhá mapování v uvedeném poˇradí shora dol˚u, v pˇrípadˇe, že není nalezena žádná shoda, použije se implicitní pˇrihlašovací doména. Poˇradí mapovacích pravidel lze mˇenit kliknutím na smˇerové šipky vpravo. Výrazy v mapovacích pravidlech mohou být regulární výrazy v syntaxi jazyka Perl. Pˇríklad 13-1. Nastavení mapování domén Jako webovou doménu máme zadán výraz ^mail.\(.*)$ a jako pˇrihlašovací doménu výraz \1. Zadá-li uživatel jako URL do webového prohlížeˇce http://mail.manual.cz, srovná se toto URL s webovou doménou a jako pˇrihlašovací doména se namapuje manual.cz. Jako webovou doménu máme zadán výraz mail.nemapovat.cz, hodnota ve sloupci pˇrihlašovací doména je prázdná. Zadá-li uživatel jako URL do webového prohlížeˇce adresu http://mail.nemapovat.cz, objeví se pˇrihlašovací okno bez pˇrednastavené pˇrihlašovací domény.

13.8. Ostatní možné služby Nˇekteré další služby serveru je možné aktivovat, ale vˇetšina instalovaných server˚u je nemá, jelikož nejsou zapotˇrebí. Modemy – zde je možné nastavit dobu trvání silného a slabého provozu a minutovou sazbu pro každý z nich, pokud nˇekteˇrí uživatele pˇristupují k WebISu prostˇrednictvím modemu. Server RADIUS následnˇe nabízí statistiky pˇripojení a výpoˇcet ceny v záložce Využití modemu v nastavení domén a úˇct˚u.

113

Kapitola 14. Pˇrílohy 14.1. Diagram pruchodu ˚ pošty Obrázek 14-1. Diagram pruchodu ˚ pošty serverem

14.2. IMAP versus POP3 IMAP (Internet Message Access Protocol) a POP3 (Post Office Protocol version 3) jsou dva neproprietární a také nejrozšíˇrenˇejší protokoly pro pˇrijímání a práci s elektronickou poštou. IMAP je novˇejší a všechna data ukládá, spravuje a poskytuje klient˚um ze serveru. POP3 je historicky starší a jeho princip spoˇcívá v tom, že poštovní klient se pˇripojí na poštovní server, stáhne z nˇej všechny nové 114

Kapitola 14. Pˇrílohy zprávy, smaže je ze serveru a co nejdˇríve se odpojí. To s sebou nese ˇradu obtíží, díky nimž je protokol POP3 v mnoha ohledech zastaralý a neflexibilní. Tyto obtíže je nejlépe vidˇet ve srovnání s novˇejším protokolem IMAP, který se, lapidárnˇe ˇreˇceno, pouˇcil z chyb svého pˇredch˚udce. Následující popis se týká vlastností, kterými disponuje protokol IMAP, nikoliv však protokol POP3. •

IMAP podporuje jak spojovaný, tak nespojovaný režim práce s poštou. To umožˇnuje stahovat obsah zpráv na požádání, ponˇevadž poštovní klient z˚ustává k serveru pˇripojen celou dobu. Tento režim podstatnˇe urychlí dobu odezvy uživatel˚um, kteˇrí mají ve schránce mnoho zpráv nebo velké zprávy.

•

IMAP podporuje násobné pˇripojení k jedné schránce a má prostˇredky, jak jednotlivé klienty interaktivnˇe informovat o zmˇenách ve schránce, které provedl jiný klient. Tato vlastnost pˇredevším umožˇnuje plynulý provoz nad sdílenými poštovními schránkami s množstvím souˇcasnˇe pˇripojených uživatel˚u.

•

IMAP plnˇe podporuje formát MIME pro elektronickou poštu. Internˇe si vytvoˇrí stromovou struktury hlaviˇcek zprávy, takže rozpoznává obsah strukturovaných hlaviˇcek. To umožˇnuje mimo jiné stahovat ze serveru samostatnˇe nˇekteré cˇ ásti zprávy, tedy napˇríklad nechávat na nˇem objemné pˇrílohy, pokud je klient pˇripojen na pomalé lince, ale pˇritom cˇ íst textový obsah.

•

IMAP umožˇnuje udržování pˇríznak˚u zpráv (nepˇreˇctená, zodpovˇezená apod.) na serveru. Díky tomu m˚uže každý z více klient˚u pˇripojených ke stejné schránce vidˇet aktuální stav jejího obsahu. V pˇrípadˇe WebISu je díky této vlastnosti možné automatické uˇcení antispamového subsystému.

•

Pˇres IMAP lze pˇristupovat a pracovat s více schránkami najednou a pˇresouvat zprávy mezi nimi. Díky tomu lze na serveru provozovat napˇríklad skupinové nebo veˇrejné schránky.

•

IMAP poskytuje softwarovým klient˚um možnost vyhledávat na serveru zprávy podle mnoha kritérií. Tím pádem není potˇreba stahovat veškerou poštu, aby v ní bylo možno hledat.

14.3. Kontakty 14.3.1. Pˇrístup ke kontaktum ˚ z Mozilla Thunderbirdu Poštovní klient Mozilla Thunderbird umožˇnuje práci s kontakty, které máte uloženy ve WebISu. Existuje k nˇemu podrobná uživatelská pˇríruˇcka (http://www.chovancik.cz/mozilla-thunderbird-20-uzivatelska-prirucka-manual/), která se také struˇcnˇe vˇenuje obecným témat˚um pˇri práci s elektronickou poštou. Po spuštˇení Thunderbirdu vyberte v horním menu položky Úpravy -> Nastavení úˇctu.... V novém oknˇe zvolte úˇcet a pro nˇej položku Vytváˇrení zpráv & Adresování. Napravo poté v cˇ ásti Adresování zapnˇete volbu Použít jiný LDAP server a kliknˇete na tlaˇcítko Upravit adresáˇre....

115

Kapitola 14. Pˇrílohy Obrázek 14-2. Nastavení Thunderbirdu

Otevˇre se okno se seznamem definovaných LDAP server˚u, ze kterých m˚užete nˇekterý upravit nebo vytvoˇrit nový. Vlastnosti adresáˇrového serveru nastavíte takto: •

Název: libovolnˇe, pouze odlišuje tento server od jiných definovaných.

•

Server: adresa serveru, na kterém WebIS bˇeží (napˇr. mail.vardomain.cz).

•

základní rozlišovací jméno: název databáze, pˇrípadnˇe další bližší specifikace adresáˇre, kde zaˇcne LDAP server vyhledávat kontakty (napˇr. o=databaze).

•

pˇresné rozlišovací jméno: specifikuje adresáˇr v hierarchii LDAP serveru, který obsahuje data konkrétního uživatele. Toto jméno slouží jako pˇrihlašovací k LDAP serveru a m˚uže vypadat napˇr. takto: [email protected],ou=People,dc=vardomain,dc=cz, o=databaze). Poznámka: Rozlišovací jména v LDAPu mají podobu cesty v adresáˇrové struktuˇre s tím, že zaˇcátek té cesty je úplneˇ vpravo. Tato cesta zaˇcíná názvem databáze za klíˇcem o (Organization). Dále zprava je odzadu rozepsána doména, ve které se hledaný objekt nachází – každá cˇ ást domény se zadává zvlášt’ za klíˇcem dc (Domain Component). Následuje jméno adresáˇre s ˇ už lze hledat pˇrímo pojmenovaný hledanými objekty za klíˇcem ou (Organizational Unit). V nem objekt, v našem pˇrípadeˇ napˇríklad pˇrihlašovací jméno za klíˇcem uid (User Identification).

Pˇríklad 14-1. Pˇríklady nastavení rozlišovacích jmen pro LDAP server

•

[email protected],ou=People,dc=priklad,dc=cz,o=databaze – takto m˚uže vypadat úplná 116

Kapitola 14. Pˇrílohy identifikace uživatele v LDAP serveru. V tomto tvaru se také zadává jako pˇresné rozlišovací jméno a lze jej zadávat i jako základní rozlišovací jméno, pokud chcete zobrazit ze serveru pouze svoje osobní knihy kontakt˚u. Stejným zp˚usobem m˚užete zpˇrístupnit i kontakty jiného uživatele, pokud k nim pˇrístupová práva. •

ou=People,dc=priklad,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat mezi všemi kontatky uživatel˚u v doménˇe, nikoliv však mezi doménovými kontakty.

•

ou=Abooks,dc=priklad,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat pouze v doménových kontaktech.

•

dc=vardomain,dc=cz,o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat ve všech kontaktech v subdoménˇe.

•

o=databaze – podle tohoto rozlišovacího jména se bude vyhledávat ve všech kontaktech na serveru. Toto nastavení m˚uže pˇri vyhledávání výraznˇe zpomalit odezvu aplikace.

Tip: Název vaší LDAP databáze získáte dotazem na lince technické podpory.

Obrázek 14-3. Nastavení LDAP serveru

Kliknutím na ikonu Adresáˇr zobrazíte všechny kontakty. Pokud zvolíte vzdálené kontakty z WebISu (v našem pˇrípadˇe pod názvem vardomain) budete dotázáni na své heslo. Jelikož se jedná o spojovanou službu, v seznamu se nic nezobrazí, dokud nezadáte nˇejaký dotaz do vyhledávacího pole. Prakticky všechny kontakty zobrazíte zadáním znaku @. Výsledný seznam ovšem nebude obsahovat kontakty bez e-mailové adresy.

117

Kapitola 14. Pˇrílohy Obrázek 14-4. Zobrazení vzdálených kontaktu˚

14.3.2. Pˇrístup ke kontaktum ˚ z MS Outlook Express Klient MS Outlook Express umožˇnuje omezenou práci se vzdálenými kontakty, napˇríklad s tˇemi, které máte uloženy ve WebISu. Pˇredtím je ovšem potˇreba aplikaci nastavit. Nejprve v menu Nástroje zvolte položku Úˇcty.... Objeví se seznam existujících profil˚u. Tlaˇcítkem Pˇridat a volbou Adresáˇrová služba... založíte profil pro pˇrístup ke vzdáleným kontakt˚um. Do pole Adresáˇrový server Internetu (LDAP) zadejte IP adresu nebo doménové jméno serveru, na kterém bˇeží WebIS, napˇr. mail.priklad.cz. V dalším kroku oznaˇcte volbu Ano pro kontrolu e-mailových adres. Tím bude základní profil vytvoˇren, jeho podrobnˇejší nastavení zobrazíte tlaˇcítkem Vlastnosti. Obrázek 14-5. Seznam adresáˇrových serveru˚

Záložka Obecné – názvem serveru se rozumí IP adresa nebo doménové jméno serveru, ke kterému se pˇripojujete do WebISu. Abyste mˇeli k dispozici své osobní kontakty, je nutné se k LDAP serveru pˇrihlašovat. Pole Název úˇctu obsahuje pˇresné rozlišovací jméno, které m˚uže vypadat napˇríklad takto: 118

Kapitola 14. Pˇrílohy [email protected],ou=People,dc=vardomain,dc=cz,o=vardomain. Heslem je vaše pˇrihlašovací heslo do WebISu. Záložka Upˇresnit – maximální poˇcet vrácených položek urˇcuje limit pro množství pˇrenesených kontakt˚u jako odpovˇed’ na jeden vyhledávací dotaz. Pole Výchozí bod hledání obsahuje základní rozlišovací jméno pro databázi, ve které se bude hledat. Poznámka: Základní a pˇresné rozlišovací jméno pro váš úˇcet získáte dotazem na lince technické podpory.

Obrázek 14-6. Podrobné nastavení adresáˇrové služby

Kontakty se v Outlooku jmenují Adresáˇr. Ten je pˇrístupný bud’ pod ikonou v hlavním menu nebo pod klávesovou zkratkou Ctrl+Shift+B. Se vzdálenými kontakty nelze pracovat pˇrímo, ale lze v nich vyhledávat. Vyhledávání v kontaktech zpˇrístupníte bud’ tlaˇcítkem Hledat osoby v Adresáˇri nebo klávesovou zkratkou Ctrl+E v Outlooku. V novém oknˇe je nejprve nutné vybrat adresáˇrový server ve výbˇerovém menu Oblast hledání. Pro hledání v kontaktech ve WebISu zvolte název, který jste použili pro sv˚uj profil LDAP serveru. Vyhledávání je vhodnˇejší provádˇet v záložce Upˇresnit, i když je to stále ponˇekud nešikovné. V oddíle Definice kritérií nastavíte filtr pro konkrétní položky kontaktu. V prvním výbˇerovém menu je z nˇejakého d˚uvodu dvakrát uvedena hodnota Jméno. Ta první pˇritom znamená název kontaktu a ta druhá kˇrestní jméno. Ve vyhledávacím poli nelze využívat zástupné znaky. Hotové kritérium pˇresunete do seznamu aktivních tlaˇcítkem Pˇridat. Lze kombinovat více kritérií najednou. Tlaˇcítkem Najít spustíte hledání. V podoknˇe se zobrazí seznam vzdálených kontakt˚u odpovídajících nastaveným filtr˚um. V nˇem lze tlaˇcítkem Pˇridat do adresáˇre zkopírovat oznaˇcené kontakty do lokálního adresáˇre. Tip: Pokud chcete omezit zdlouhavou práci se vzdálenými kontakty, mužete ˚ využít kritérium ˇ zpravidla najít všechny kontakty ve WebISu (i když lze mít E-mail obsahuje @, které by melo samozˇrejmeˇ uloženy kontakty bez e-mailových adres). Pokud následneˇ oznaˇcíte všechny

119

Kapitola 14. Pˇrílohy nalezené kontakty klávesovou zkratkou Ctrl+A a zkopírujete je do lokálního adresáˇre, budete je mít všechny k dispozici pro editaci, aniž by bylo potˇreba se stále pˇripojovat k LDAP serveru.

Obrázek 14-7. Vyhledávání v kontaktech

120

ˇ Slovnícek antispam Samostatný podsystém bˇežící na serveru, který analyzuje obsah pˇríchozích e-mailových zpráv a automaticky v nich rozpoznává nevyžádanou poštu (spam). Náš antispam umí také zpracovávat již rozpoznaný spam, pokud se pomocí filtrovacích pravidel shromažd’uje do speciální složky, a na základˇe bayesovské databáze zvyšuje svou úˇcinnost pˇri odhalovaní budoucího spamu.

antivir Samostatný podsystém bˇežící na serveru, který kontroluje pˇríchozí i odchozí poštu nebo i data na souborovém serveru na pˇrítomnost poˇcítaˇcových vir˚u. Náš antivir také mimochodem automaticky aktualizuje databázi vir˚u a umožˇnuje spolupráci více antivirových program˚u souˇcasnˇe.

archiv hlášení Archiv hlášení je rozhraní pro prohlížení a stahování záznam˚u, které pˇri svém provozu poˇrizují jednotlivé systémy na serveru, napˇr. poštovní server, jádro systému nebo WWW cache. Aktuální záznam každého systému lze pˇrímo prohlížet a prohledávat, zbývající lze stahovat ve zkomprimované podobˇe. Více informací.

bayesovská databáze Jedná se o databázi, do které se pr˚ubˇežnˇe ukládá textový obsah pˇríchozí e-mailové komunikace, který se podle hodnocení antispamu tˇrídí na nevyžádaný obsah a na ten zbývající. Na základˇe výpoˇctu pravdˇepodobností pro každé slovo, že se vyskytuje ve spamu, je možné úˇcinnˇe filtrovat další pˇríchozí poštu. Pokud se navíc databáze stále rozšiˇruje, úroveˇn pˇresnosti rozpoznávání spamu se dále zvyšuje.

BDC BDC (Backup Domain Controller) je typ souborového serveru nazývaný též jako záložní ovladaˇc domény. Obsahuje záložní kopie databáze uživatelských úˇct˚u z nadˇrazeného PDC, ke kterým má pouze právo cˇ tení. Synchronizace databáze se provádí pravidelnˇe, což mimo jiné znamená, že i BDC m˚uže ovˇeˇrovat pˇrihlašovací informace uživatel˚u.

buffer Buffer je doˇcasná vyrovnávací pamˇet’ urˇcená zejména na skládání nebo rozkládání dat pˇri komunikaci operaˇcní pamˇeti s vnˇejšími zaˇrízeními, která z principu nemohou vždy reagovat dostateˇcnˇe rychle nebo okamžitˇe – napˇríklad tiskárny. 121

Slovníˇcek

cache Cache je druh vyrovnávací pamˇeti uchovávající data, u kterých se oˇcekává, že je r˚uzná zaˇrízení nebo programy budou potˇreba naˇcítat cˇ asto a opakovanˇe. Jde o r˚uzná pˇredgenerovaná data nebo mezivýsledky a tím, že jsou uložena v cache, se k nim výraznˇe urychlí pˇrístup.

cestovní profil Jedná se o uživatelské nastavení prostˇredí na pracovní stanici v doménˇe, jako je rozmístˇení ikon na ploše, tapeta, nastavení barev a rozložení kláves, doˇcasné soubory a podobnˇe. Pˇri správné konfiguraci domény se toto nastavení centrálnˇe ukládá a pˇri pˇrihlášení opˇet nahrává, takže z pohledu uživatele je jedno, ke které stanici v doménˇe se pˇrihlásí – jeho pracovní prostˇredí bude vypadat vždy stejnˇe.

CSV Zkratka za Comma Separated Values oznaˇcuje formát souboru obsahující údaje z databáze jako hodnoty oddˇelené cˇ árkou (nebo stˇredníkem, zejména u aplikací Microsoftu). Jedná se o výmˇenný formát mezi r˚uznými vzájemnˇe nekompatibilními aplikacemi. WebIS umí exportovat do CSV kontakty, události i úkoly.

DNS DNS (Domain Name System) je hierarchický systém doménových jmen, který je realizován serverem a protokolem stejného jména. Jeho hlavním úkolem a pˇríˇcinou vzniku jsou vzájemné pˇrevody doménových jmen a IP adres uzl˚u sítˇe. Pozdˇeji ale pˇribral další funkce (napˇr. pro elektronickou poštu cˇ i IP telefonii) a slouží dnes de facto jako distribuovaná databáze sít’ových informací.

doména V kontextu organizace podnikové poˇcítaˇcové sítˇe a systému Windows se tímto názvem oznaˇcuje soubor poˇcítaˇcu˚ , služeb a prostˇredk˚u urˇcených správcem sítˇe, které sdílejí spoleˇcnou databázi adresáˇru˚ . Doména má jedineˇcný název a poskytuje pˇrístup k uživatelským a skupinovým úˇct˚um. Každá doména má vlastní nastavení pˇrístupových práv. Tento pojem je v našem ˇrešení d˚uležitý pˇri konfiguraci souborového serveru.

doménový koš Doménový koš je jedna nebo více poštovních schránek, do kterých se ukládají e-mailové zprávy, které jsou adresovány do domény, ale cílový úˇcet v ní neexistuje. Jako doménový koš m˚užete použít libovolný existující úˇcet v doménˇe. 122

Slovníˇcek

dynamická akce Dynamické akce na lokální síti jsou implementací politiky pˇrimˇeˇreného využívání provozu sítˇe (Fair Use Policy, FUP). V zásadˇe se jedná o pˇrenastavování hodnot kontroly sít’ového toku v závislosti na cˇ ase, tedy aktuální zmˇeny nastavení sítˇe. Více informací.

filtrovací pravidlo Filtrovací pravidlo je strukturovaný pˇredpis, jak zpracovat pˇríchozí e-mailovou zprávu, ještˇe než se uloží do schránky. Uživatel m˚uže specifikovat složku pro uložení, automatické odmítnutí, pˇreposlání nebo smazání na základˇe jednoho nebo více test˚u. Podrobnosti k tomu tématu najdete v pˇríslušné kapitole.

FTP FTP (File Transfer Protocol) je protokol aplikaˇcní vrstvy z rodiny TCP/IP. Je urˇcen pro pˇrenos soubor˚u mezi poˇcítaˇci, na kterých mohou bˇežet rozdílné operaˇcní systémy.

FUP FUP (Fair Use Policy) je oznaˇcení pro soubor pravidel, která nastavují parametry pro pˇrimˇeˇrené využívání sítˇe. To se v zásadˇe týká omezení rychlostí pˇrenosu v urˇcitých cˇ asových intervalech. Tato pravidla lze prakticky uvést v platnost pomocí dynamických akcí.

ˇ hlavicka Hlaviˇcka e-mailové zprávy je souˇcást jejího záhlaví, které pˇredchází samotnému textu zprávy. M˚uže obsahovat r˚uzné informace o zprávˇe samotné, o odesílateli, pˇríjemcích nebo o cestˇe, po které zpráva putovala po síti. Ve WebISu lze s hlaviˇckami zpráv pracovat pˇri nastavování poštovních identit nebo filtrovacích pravidel. Podrobnˇejší informace o tomto tématu najdete v této publikaci (http://www.cpress.cz/knihy/tcp-ip-bezp/CD-dalsi/CD-mime/mime.htm).

identita Identita je soubor pˇrednastavených údaj˚u, které se týkají odesílání pošty. Uživatel si m˚uže pˇrednastavit r˚uzné hlaviˇcky e-mailové zprávy, složku pro ukládání zpráv odeslaných pod danou identitou a automatický podpis.

123

Slovníˇcek IMAP IMAP (Internet Message Access Protocol) je jeden z nejrozšíˇrenˇejších protokol˚u pro pˇrijímání a práci s elektronickou poštou. Všechna data ukládá, spravuje a poskytuje klient˚um ze serveru. Více informací.

IP adresa IP adresa je jednoznaˇcná identifikace konkrétního zaˇrízení (typicky poˇcítaˇce) v prostˇredí Internetu. Veškerá data (ve formˇe datagram˚u), která jsou z nebo na dané zaˇrízení pˇres poˇcítaˇcovou sít’ posílána, obsahují IP adresu odesílatele i pˇríjemce.

kontejner Oznaˇcení pro objekt, v nˇemž jsou další objekty se skuteˇcnými údaji. Poštovní složky, knihy kontakt˚u, kalendáˇre nebo knihy úkol˚u jsou tedy kontejnery.

LDAP LDAP (Lightweight Directory Access Protocol) je protokol urˇcený pro správu a udržování hierarchických distribuovaných databází, ke kterým se pˇristupuje skrze poˇcítaˇcovou sít’. Samotné uložení dat má obvykle podobu stromu, kde každý uzel obsahuje sadu pojmenovaných atribut˚u a hodnot. Pˇri pojmenovávání nejvyšších pater této adresáˇrové hierarchie se cˇ asto používá systém DNS. Hloubˇeji ve stromu se potom objevují záznamy reprezentující uživatele, skupiny, dokumenty, tiskárny a podobnˇe. LDAP se používá na správu úˇct˚u ve WebISu a je potˇreba jej konfigurovat pˇri zpˇrístupˇnování kontakt˚u do externího poštovního klienta, jakým je napˇríklad Mozilla Thunderbird (http://www.czilla.cz/produkty/thunderbird/).

ˇ obycejný objekt Oznaˇcení pro záznam v databázi se skuteˇcnými údaji. E-mailová zpráva, kontakt, událost, úkol nebo šablona jsou tedy obyˇcejné objekty.

PDC PDC (Primary Domain Controller) je typ souborového serveru nazývaný též jako primární ovladaˇc domény. Je to hlavní poˇcítaˇc, který ˇrídí doménu v systému Windows. Obsahuje databázi všech uživatelských úˇct˚u a cˇ len˚u domény, ke které má právo cˇ tení i zápisu. Ovˇeˇruje pˇrihlášení uživatel˚u na pracovní stanice a nastavuje oprávnˇení pro sdílené složky.

124

Slovníˇcek PGP PGP (Pretty Good Privacy) je poˇcítaˇcový program, který umožˇnuje šifrování dat a elektronický podpis. Je založen na asymetrické kryptografii a nejˇcastˇeji se používá pˇri práci s elektronickou poštou. Do poštovních klient˚u se vˇetšinou instaluje jako zásuvný modul nebo rozšíˇrení.

POP3 POP3 (Post Office Protocol version 3) je zastaralý, ale stále rozšíˇrený protokol pro pˇrijímání a práci s elektronickou poštou. Jeho princip spoˇcívá v tom, že poštovní klient se pˇripojí na poštovní server, stáhne z nˇej všechny nové zprávy, smaže je ze serveru a co nejdˇríve se odpojí. Více informací.

proxy cache Poˇcítaˇc nebo program, na který se webové prohlížeˇce obracejí podobným zp˚usobem, jako se obracejí na servery v Internetu. Všechny dotazy, které by za normálních okolností šly pˇrímo do Internetu a tˇreba pˇres p˚ul svˇeta, jsou smˇerovány na proxy cache, která je obvykle pˇrímo ve vaší síti. Pokud proxy cache již požadovanou stránku nˇekdy vidˇela, nepokládá v˚ubec dotaz na pˇríslušný HTTP server, ale rovnou vrátí prohlížeˇci stránku nebo obrázek ze své pamˇeti.

pˇrezdívka Varianta jména pro uživatelský nebo skupinový úˇcet. Toto jméno lze používat pˇri doruˇcování pošty a pro pˇrihlašování do WebISu a Administrace. Pˇrezdívka má vždy stejnou doménu jako p˚uvodní jméno úˇctu.

pˇrihlašovací skript Pˇrihlašovací skript je krátký program, který se spouští po pˇrihlašení uživatele do domény. Jeho nejbˇežnˇejší využití spoˇcívá v pˇripojení domovské složky uživatele a vybraných sdílených složek na serveru. Lze je ale využívat k celé ˇradˇe úkon˚u jako jsou napˇríklad spouštˇení monitorovacích program˚u, instalace sít’ových periferií (napˇr. tiskáren), synchronizace cˇ asu klienta a serveru nebo zobrazování d˚uležitých oznámení správc˚u systému. Více informací.

pˇrístupová práva Pˇrístupová práva jsou vlastností kontejneru nebo obyˇcejného objektu a urˇcují, jak je tento objekt viditelný a pˇrístupný jednotlivým uživatel˚um, respektive skupinám.

125

Slovníˇcek QoS QoS (Quality of Service) je soubor pravidel a opatˇrení, která zabezpeˇcují takový provoz sítˇe, jak je nastaven ve smluvních podmínkách klienta. V zásadˇe se jedná o rozdˇelení celkové šíˇrky pásma sít’ové linky mezi všechny, kteˇrí ji využívají, a redistribuci volné šíˇrky pásma v pˇrípadˇe, že nˇejaká pˇrebývá. Ústˇredními jsou pˇri implementaci tˇechto pravidel pojmy zaruˇcený tok a maximální tok, které urˇcují krajní hodnoty rychlostí pro každého klienta. Více informací.

sít’ové rozhraní Sít’ové rozhraní oznaˇcuje vstupní body do vašeho serveru. Poˇcet rozhraní odpovídá poˇctu sít’ových karet, které jsou v serveru nainstalovány. Obvykle má server dvˇe sít’ová rozhraní, jedno smˇeˇrující do Internetu a druhé smˇeˇrující do lokální sítˇe. Server ovšem m˚uže spravovat více lokálních sítí, od cˇ ehož se potom odvíjí i poˇcet rozhraní. Více informací.

implicitní pˇrihlašovací doména Implicitní pˇrihlašovací doména je pˇrednastavená cˇ ást pˇrihlašovací adresy, která se zobrazuje za vstupním polem pro uživatelské jméno. Umožˇnuje pˇrihlášení pouze pod lokální cˇ ástí pˇrihlašovacího jména. Nastavuje ji správce v administraˇcní cˇ ásti WebISu.

šablona Šablona je sada pˇrednastavených údaj˚u, které se automaticky vkládají do nového objektu pˇri jeho vytvoˇrení. WebIS podporuje šablony pro kontakty, události a úkoly a umožˇnuje v nich práci s promˇennými.

URL URL (Uniform Resource Locator) je ˇretˇezec znak˚u s definovanou strukturou a slouží k pˇresné specifikaci umístˇení zdroj˚u informací (ve smyslu dokument nebo služba) na Internetu. URL definuje doménovou adresu serveru, umístˇení zdroje na serveru a protokol, kterým je možné zdroj zpˇrístupnit.

ˇ úrovenˇ oprávnení ˇ Císlo úrovnˇe oprávnˇení pˇredstavuje autoritu uživatele nebo skupiny a týká se viditelnosti ˇ je cˇ íslo úrovnˇe nižší, tím je autorita vyšší. Uživatel s nastavení pˇrístupových práv objektu. Cím vyšší úrovní nevidí nastavení práv uživatele s nižší úrovní a nem˚uže je tedy mˇenit, i když ve svém nastavení práv má povoleno vše.

126

Slovníˇcek VPN VPN (Virtual Private Network) je prostˇredek pro propojení nˇekolika poˇcítaˇcu˚ na r˚uzných místech Internetu do jediné virtuální poˇcítaˇcové sítˇe. I když poˇcítaˇce mohou být v naprosto fyzicky nezávislých sítích na r˚uzných místech svˇeta, prostˇrednictvím virtuální privátní sítˇe mezi sebou mohou komunikovat, jako by byli na jediném sít’ovém segmentu. Prostˇrednictvím VPN lze zajistit napˇríklad pˇripojení firemních notebook˚u kdekoliv na Internetu do firemního intranetu.

WAPMail WAPmail je wapová aplikace umožˇnující prohlížení e-mail˚u pomocí mobilního telefonu. Aplikace je zamˇeˇrena pˇredevším na jednoduchou a rychlou obsluhu – prakticky se jedná o prohlížeˇc poštovní schránky.

WINS WINS (Windows Internet Naming Service) je služba, která funguje jako server pro pˇreklad jmen poˇcítaˇcu˚ v sít’ovém prostˇredí NetBIOS systému Windows.

127