Книги, научные публикации
Pages: | 1 | ... | 7 | 8 | 9 | 10 | 11 | ... | 13 | Internetworking Guide Microsoft Windows 2000 Server R Microsoft Press Межсетевое взаимодействие Microsof Windows 2000 Server ...
-- [ Страница 9 ] --ГР Удаленный АРРС LU Одноранговый узел PU 2. (SNA-хост) Одноранговый узел SNA Server Клиенты Рис. 10-13. Взаимодействие по механизму АРРС с применением SNA Server Когда ТР в клиент-серверной сети запрашивает сеанс связи с ТР на AS/400 (уда лепной системе), SNA Server (локальная система) действует в интересах клиента и договаривается с AS/400 о создании сеанса LU 6.2 - LU 6.2*. Данные, переда пае Взаимодействие с другими системами 426 ЧАСТЬ мые или принимаемые от AS/400 ТР, обрабатываются сервером и пересылаются клиентской ТР но выбранному клиент-серверному протоколу. Взаимодействие но механизму АРРС с применением SNA Server показано на рис. 10-13.
Примечание SNA Server считает, что локальный АРРС LU соответствует SNA Server, а удаленный Ч AS/400. Но с точки зрения AS/400, все наоборот: локаль ным АРРС LU является AS/400, удаленным Ч SNA Server.
CPI-C CPI-C (Common Programming Interface for Communications) Ч это API, использу ющий коммуникационную архитектуру LU 6.2. Многие организации реализуют CPI-C, потому что этот API доступен на нескольких платформах, поддерживающих АРРС, Ч в том числе на AS/400, мэйнфреймовых системах, Windows 2000 и неко торых операционных системах UNIX. CPI-C состоит из набора процедур, написан ных на языке программирования С и позволяющих приложениям на разных ком пьютерах взаимодействовать друг с другом при выполнении какой-либо задачи, например при копировании файлов или доступе к удаленной базе данных.
CPI-C предоставляет механизм, который дает возможность сопоставлять набор па раметров с определенным символьным именем адресата. Программа на основе CPI С использует символьное имя адресата для инициализации сеанса взаимодействия через АРРС LU, которые сопоставлены с этим именем, SNA Server поддерживает CPI-C API и предусматривает средства для настройки параметров CPI-C. О программировании с помощью CPI-C API см. документацию на SNA Server версии 4.0.
АРРС-приложения АРРС поддерживает широкий спектр приложений, обеспечивая:
Х доступ через терминалы 5250;
Х доступ через терминалы TN5250;
Х передачу файлов, в том числе доступ к общим папкам (Shared Folders).
Доступ через терминалы Сеансы дисплея AS/400 предоставляются через АРРС с применением эмуляции терминала 5250. Компьютеры SNA Server обеспечивают АРРС-доступ к AS/400, используя клиенты эмуляции 5250.
Для поддержки сервисов 5250 локальный АРРС LU действует как идентификатор локальных клиентов SNA Server;
удаленный АРРС LU идентифицирует систему AS/400. Локальный и удаленный LU, применяемые в такой конфигурации, показа ны на рис. 10-14.
Доступ через терминалы TN TN5250 Ч это сервис Telnet, обеспечивающий доступ к AS/400 по TCP/IP-сети с использованием соответствующего эмулятора клиентского терминала TN5250. Сер вис TN5250, предоставляемый SNA Server, позволяет любому клиенту TN5250 со единяться с AS/400 средствами SNA Server, не устанавливая и не настраивая TCP/ IP на AS/400 (рис. 10-15).
Взаимодействие с хост-системами IBM ГЛАВА 10 SNA Sewer AS/ Эмулятор sSHftSeraefeaeitl Обмен данными 5250 Ч| Клиентская ТР TP на хосте fb OS/ r^fJfjnWlfrrHmriTATlT.lilLti Удаленный Локальный шрт Сеанс тчиыинхл-хшппаям* АРРС LU ~Щ Серверный LU 6.2 LU6.2HaxocTej4-APPC LU._...
^^Соединение :л г"-"-'--- "^7~~'Д'' Одноранговый Ч\ Серверный PU 2.1 Ру 21 на хосте ] | Одноранговый г узел.'.;
= узе;
Физическая сеть Рис. 10-14. Компоненты, используемые при 5250-доступе через SNA Server Приложение на хосте Удаленный APPCLU AS/ Локальный АРРС LU Сервис TN Клиенты TN525Q TN TN Рис. 10-15. TN5250-AOCTyn через SNA Server Передача файлов через АРРС Хотя обмениваться файлами между клиентом и хост-системой можно чгрез SINDF1LE или другие механизмы, ЛРРС предлагает более падежный и скорост ной вариант передачи файлов по сравнению с решениями, построенными па осно ве эмуляции терминалов.
SNA Server поддерживает три механизма передачи файлов па основе АРРС:
Х AFTP (АРРС File Transfer Protocol);
Х FTP-AFTP Gateway;
Х общие папки.
Выбор метода передачи файлов зависит от типа хост-системы на Вашем предприя тии (мэйнфрейм или AS/400) и от того, какой спектр возможностей в передаче файлов Вы хотите предоставить своим пользователям.
Взаимодействие с другими системами 428 ЧАСТЬ AFTP AFTP Ч это клиент-серверное приложение, обеспечивающее передачу файлов с применением АРРС и LU 6.2 (FTP используется в ТСР/1Р-сетях аналогичным об разом). AFTP поддерживает функции, похожие на те, которые поддерживает стан дартный FTP, в том чиеле передачу, прием и переименование файлов, а также опе рации с каталогами на удаленных системах.
Сервис AFTP устанавливается и настраивается на компьютере SNA Server (или на клиенте SNA Server), чтобы клиентское программное обеспечение AFTP, поставля емое со SNA Server, могло обращаться к специфическим каталогам на сервере.
Подробнее о настройке и использовании AFTP см. документацию на SNA Server версии 4.0.
Сервис FTP-AFTP Gateway Этот сервис дает возможность пользователям TCP/IP получать доступ к файлам па мэйнфрейме или AS/400 через обычный клиент FTP без установки TCP/IP на хосте (рис. 10-16). FTP-AFTP Gateway автоматически преобразует входящие зап росы от клиента FTP в AFTP-команды и управляет коммуникационной связью и передачей данных между сервисами FTP и AFTP.
Файлы AS/ [Локальней АРРС Ш | Cepewc AFTP Шлюз FTP-AFTP SNA FTP-сервер Server TCP/IP KnnesrfTP Клиент AFTP TCP/IP TCP/IP Рис. 10-16. АРРС-сервисы FTP и FTP-AFTP Gateway Взаимодействие с хост-системами IBM ГЛАВА 10 Чтобы запустить сервис FTP-AFTP Gateway, Вы должны сначала установить 1Сли ентское программное обеспечение FTP или AFTP, а также сервис AFTP на компь ютере SNA Server.
Общие папки Рабочие станции, на которых не установлено программное обеспечение SNA Server Client, могут обмениваться файлами с хостом AS/400 с помощью сервиса Shiired Folders Gateway, предоставляемого SNA Server. Благодаря этому сервису пользова тели сети обмениваются файлами с системой AS/-100 так, будто она представ.;
яет собой дисковый том на компьютере SNA Server (рис. 10-17).
АРРС LU АРРС LU Диск А в Windows 200U......
-сз Файш 1,2 и з Диск Х в Windows SNA-хост Рис. 10-17. Сервис Shared Folders Gateway Стратегии развертывания АРРС Реализуя АРРС-соединеиия со SNA Server, следует продумать, как Вы будете ис пользовать следующие типы LIJ:
Х независимые LU;
Х зависимые LU;
Х LU-пулы.
Использование независимых АРРС LU Независимый LU (independent LU) может напрямую взаимодействовать с одноран говой системой и не нуждается в поддержке со стороны хост-компьютера. Незави симые АРРС LU Ч в том виде, в каком они применяются в АРРК-сстях AS/400, Ч позволяют открывать множество параллельных сеансов между локальным и уда ленным LU.
Конфигурируя независимые АРРС LU, учтите следующее. Когда для взаимодей ствия с ТР на мэйнфрейме через независимый АРРС LU используется SNA Server, ЧАСТЬ 3 Взаимодействие с другими системами на хосте должен работать VTAM не ниже V3R2. Версия ACF/NCP (Advanced Communication Function/Network Control Function), необходимая на мэйнфрейме, зависит от типа применяемого FEP. Для систем 3725 требуется ACF/NCP не ниже V4R3, а для систем 3745 - ACF/NCP не ниже V5R2.
О настройке независимых АРРС LU см. документацию на SNA Server версии 4,0.
Использование зависимых АРРС LU Зависимый локальный АРРС Ш требует поддержки мэйнфрейма для взаимодей ствия с удаленной ТР. Зависимые АРРС LU не годятся для коммуникационной связи с AS/400. В отличие от независимых АРРС LU зависимые поддерживают только один сеанс на каждый LU.
Зависимые АРРС LU полезны при настройке SNA Server на взаимодействие с мэйнфреймом, использующим VTAM версии ниже V3R2, так как независимые LU не поддерживаются VTAM этих версий. Хотя SNA Server предоставляет поддерж ку для зависимых АРРС LU, по возможности используйте независимые LU.
При настройке зависимых LU нужно обязательно указать имена сети и LU. Эти имена требуются программному обеспечению SNA Server. О настройке зависимых АРРС LU см. документацию на SNA Server версии 4.0.
Использование пулов АРРС LU Хотя Вы можете создавать отдельные LU и назначать их пользователям и группам, LU-пулы более эффективны при управлении большим числом LU. Эти пулы так же позволяют экономнее распределять ограниченный объем ресурсов хоста среди групп непостоянных пользователей. Закрепление LU за пользователями, которые обращаются к хосту лишь эпизодически, привело бы к пустой трате его ресурсов.
С помощью пула Вы можете закрепить за группой таких пользователей гораздо меньшее число LU.
Подробнее о настройке LU см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Обеспечение отказоустойчивости SNA Server в среде AS/400 использует комбинацию имен LU и их псевдонимов на одном или нескольких серверах для поддержки отказоустойчивых соединений с хостом AS/400 (рис. 10-18).
Единственный компьютер SNA Server может использовать несколько соединений для обеспечения отказоустойчивости. С этой целью два и более АРРС-соедине ний с одной AS/400 конфигурируются как горячий резерв друг для друга. Если одно из соединений выходит из строя, клиенты перенастраиваются на другое со единение.
SNA Server также позволяет создавать конфигурацию с несколькими серверами, страхующими друг друга. Если один из серверов выходит из строя, клиенты ава рийного сервера переключаются на работающий.
Подробнее о горячем резервировании АРРС-соединений см. документацию на SNA Server версии 4.0.
Взаимодействие с хост-системами IBM ГЛАВА 10 "Горячее" резервирование соединений "Горячее" резервирование серверов AS/ Рабочая станция Рис. 10-18. Горячее резервирование соединений и серверов Параметры IP для TN Параметры IP, связываемые с определениями TN5250, позволяют клиентам TN.ri подключаться к AS/400. По умолчанию определение TN5250 не сопоставляется с IP-адресом или маской подсети, Это дает возможность соединяться с AS/400 лю бому клиенту TN5250.
Вы можете ограничить доступ к сервису TN5250, указав для клиентской рабочей станции IP-адрес или маску подсети. Если эти параметры заданы, доступ к AS/ через сервис TN5250 разрешается только тем клиентам, чьи IP-адреса или миска подсети совпадают с заданными в конфигурации TN5250. Вместо IP-адреса можно использовать имя рабочей станции, а для его разрешения в IP-адрес Ч любую служ бу разрешения имен, в том числе WINS.
SNA Remote Access Service SNA Remote Access Service (этот сервис также называется SNA-сервером удален ного доступа) интегрирует транспорт LU 6.2 сервера SNA Server со службой марш рутизации и удаленного доступа Windows 2000, позволяя администраторам созда вать виртуальные LAN-соединения между системами Windows 2000 через существу ющую SNA-есть. Рис. 10-19 иллюстрирует, как с помощью SNA-сервера удаленно го доступа SNA-сеть превращается в опорную сетевую магистраль.
Функциональность SNA-сервера удаленного доступа аналогична функциональнос ти, предоставляемой сервером удаленного доступа по ISDN или Х.25, с тем исклю чением, что функция обратного вызова не поддерживается.
О настройке SNA-сервера удаленного доступа см. документацию на SNA Server isep сии 4.0.
Взаимодействие с другими системами 432 ЧАСТЬ Windows Windows Server Server SNA Server Исходящие соединения Удаленный tu Локальный LU Клиент Рис. 10-19. SNA Remote Access Service, также называемый SNA-сервером удаленного доступа Гетерогенные клиенты SNA Server поддерживает типы LU (и эквивалентные приложения Telnet), а также API-интерфейсы, поддерживающие наиболее распространенные операционные си стемы, включая:
Х Windows NT;
Х Windows 95;
Х Windows З.дг;
Х MS-DOS;
Х IBM OS/2;
Х Macintosh;
Х операционные системы UNIX.
Интеграция гетерогенных клиентов с мэйнфреймами Сервисы SNA Server, обеспечивающие интеграцию клиентов с мэйнфреймами, пе речислены и таблице 10-6 (применительно к каждой клиентской платформе).
Таблица 10-6. Интеграция гетерогенных клиентов с мэйнфреймами Клиентская платформа Типы LU/сервисы Telnet API-интерфейсы SNA MS-DOS APPC, CPI-C, Common Service LUO. LU1, LU2. LU и LU6.2;
TN3270, Verb (CSV) и LUA Request User Interface (RUI) TN3287 и TN3270E Windows 3..r. Windows APPC, CPI-C, CSV, LUI RUI, LUO, LU1, Ш2, LU for Workgroups и LU6.2;
TN3270, LUA Session Level Interface (SLI) TN3287 и TN3270E и ODBC/DRDA OS/2 LUO, LU1, LU2, LU3 APPC, CPI-C, CSV. LUA RUI и LU6.2;
TN3270, и LUA SLI TN3287 и TN3270E Взаимодействие с хост-системами IBM ГЛАВА 10 Таблица 10-6. (продолжение) Клиентская платформа Типы LU/сервисы Telnet API-интерфейсы SNA Macintosh ТШ270, TN3287 Используются Telnet-сервисы и TN3270E UNIX 1 LUO и LU6.2;
TN3270, АРРС CPI-C, CSV и HJA RUI TN3287 и TN3270E Windows 95 и Windows 98 АРРС, CPI-C, CSV. LUA RUI.
LUO, I.U1, LL'2, LU LUA SLI. ODBC/DRDA и AFTP и LU6.2;
TN3270, TN3287 и TN3270E Windows NT Workstation 4.0 АРРС. CPI-C, CSV, LUA RUI, LUO, LU1.LU2. LU и LU6.2;
TN3270, и Windows 2000 Professional LUA SLI, ODBC/DRDA и AFTP TN3287 и TN3270E При использовании UNIX-клиента для SNA Server, разработанного Parker Software в сотруд ничестве с Microsoft, клиентская платформа UNIX позволяет работать не только с сервисами Telnet. Подробнее о UNIX-клиенте для SNA Server см. Типы сеансов связи с мэйнфреймами SNA Server поддерживает стандартные сеансы терминала и принтера с LU тштов 0-3. LU 0 Ч это аппаратно-независимый LU, используемый главным образом в финансовых учреждениях для поддержки банковских терминалов и автоматичес ких кассовых аппаратов. LU типов 1 и 3 предназначены для поддержки программ эмуляции принтеров на клиентских и серверных компьютерах, в том числе сервиса Host Print Service в SNA Server. LU типа 2 предоставляет поддержку для широкого спектра программ эмуляции терминала 3270.
LU 6.2 поддерживает АРРС, СР1-С и CSV (Common Service Verb). Эти API позво ляют транзакпионным программам на клиентах и серверах, а также другим процес сам взаимодействовать с хост-системами, работающими под управлением ПШ CICS (Customer Information Control System) и IMS (Information Management System).
Дополнительные утилиты для взаимодействия с мэйнфреймами Как показано в таблице 10-6, SKA Server предлагает целый ряд утилит, дополняю щих встроенную поддержку сеансов эмуляции стандартных терминалов и принте ров. Одна из таких утилит Ч AFTP. AFTP является частью набора приложений, поддерживаемого АРРС-приложениями IBM, которые выполняются в OS/390, MVS, VM или OS/400.
Как серверное решение AFTP Ч в сочетании со шлюзом FTP-to-AFTP в SNA Server позволяет клиентам обмениваться файлами с хост-системами. SNA Server преобра зует FTP-команды в AFTP-команды и использует АРРС на коммуникационном пути между компьютером SNA Server и хост-системой. Это позволяет клиенту ра ботать с TCP/IP, а хосту Ч с родными протоколами SNA.
API для взаимодействия с мэйнфреймами SNA Server включает SDK (Software Development Kit) с документацией в элект ронном виде и образцами исходного кода. Этот SDK позволяет создавать закончен ные решения на основе AFTP, АРРС, CPI-C, CSV и LUA, а также программные продукты, дополняющие базовую функциональность SNA Server. LUA является !53ак. Взаимодействие с другими системами 434 ЧАСТЬ адаптируемым API. который дает возможность программировать на низком уровне (на уровне стека протоколов SNA с применением Request User Interface), либо на более высоком уровне (с применением Session Level Interface). Все перечисленные API часто используются крупными финансовыми организациями, имеющими дело с унаследованными приложениями для банковского дела или страхования.
Кроме того, существуют API, прямо не поддерживаемые SNA Server SDK, Ч HLLAPI (High Level Language API), EHLLAPI (Extended HLLAPI) и WinHLLAPI (Windows HLLAPI).
API-интерфейсы SNA Server соответствуют концепции WOSA (Windows Open Service Architecture). Это означает, что во всех операционных системах Windows API-интерфейсы SNA Server устанавливаются в виде WOSA-версий: WinAPPC, WinCPI-C и WinCSV.
Большинство основных поставщиков программного обеспечения для Windows SNA напрямую поддерживают WOSA API в своих продуктах;
к таким поставщикам, в частности, относятся Andrew, Attachmate, Eicon, NetManage, NetSoft, Wall Data и WRQ. API-интерфейсы SNA Server отвечают стандартам, опубликованным и для других операционных систем. Например, в MS-DOS и OS/2 API-интерфейсы SNA Server совместимы с IBM Communications Manager/2 на уровне двоичного кода.
Интеграция гетерогенных клиентов с системами AS/ Сервисы SNA Server, обеспечивающие интеграцию клиентов с системами AS/400, перечислены в таблице 10-7 (применительно к каждой клиентской платформе).
Таблица 10-7. Интеграция гетерогенных клиентов с системами AS/ Клиентская платформа Типы LU/сервисы Telnet API-интерфейсы SNA MS-DOS LU 6.2 (эмуляция АРРС и СР1-С терминалов и принтеров) и TN Windows 3.x, LU 6.2 и TN5250 АРРС, CPI-C, CSV, EHNAPPC и ODBC/DRDA Windows for Workgroups АРРС, CPI-C и CSV LU 6.2 и TN OS/ Macintosh TN5250 Используются Telnet-сервисы UNIX1 TN5250 АРРС, CPI-C и CSV Windows 95 и Windows 98 LU 6.2 и TN5250 ЛРРС, CPI-C, CSV. EHNAPPC, ODBC/DRDA и AFTP Windows NT Workstation 4.0 LU 6.2 и TN5250 АРРС, CPI-C, CSV, EHNAPPC.
и Windows 2000 Professional ODBC/DRDA и AFTP При использовании UNIX-клиента для SNA Server, разработанного Parker Software в сотруд ничестве с Microsoft, клиентская платформа UNIX позволяет работать не только с сервисами Telnet. Подробнее о UNIX-клиенте- для SNA Server см. Типы сеансов связи с системами AS/ SNA Server поддерживает все тины сеансов AS/400 в наиболее популярных персо нальных операционных системах через LU типа 6.2. Некоторые более старые эму ляторы используют LU типа 4 (для эмуляции принтера) и LU типа 7 (для эмуля ции терминала). Однако SNA Server и большинство современных эмуляторов под Взаимодействие с хост-системами IBM ГЛАВА 10 держивают эмуляцию стандартного терминала 5250 и принтера через LU типа 6. и АРРС.
SNA Server поддерживает клиенты Macintosh и UNIX с помощью сервиса TN5250, который обеспечивает эмуляцию лишь базового терминала. Но в сочетании с Host Print Service, Shared Folders Service и FTP-to-AFTP Gateway SNA Server отвечает всем требованиям клиентов Macintosh и UNIX.
Дополнительные утилиты для взаимодействия с AS/ Утилиты, выполняемые иа компьютере SNA Server, упрощают администратишшс управление соединениями клиентов с AS/400. Так, SNA Server предлагает допол нительный сервис общих папок (Shared Folders Service), позволяющий любому кли енту на основе Windows 2000 Server обращаться к файлам AS/400 без установки специального программного обеспечения или протоколов SNA. Другой пример Host Print Service, заменяющая средства эмуляции принтера на компьютере SNA Server.
API для взаимодействия с AS/ Поддержка соединений AS/400 через SNA Server полностью совместима с EHNAI'PC и предоставляет полный спектр функций Client Access/400, включая общие панки, виртуальную печать, передачу файлов. EHNAPPC Ч стандартный Windows API, поддерживаемый продуктами IBM PC Support и Client Access/400 (CA/4I.IO).
EHNAPPC дает возможность писать Windows-приложения, способные интегриро ваться с AS/400.
SNA Server Client для 32-разрядных операционных систем Windows также поддер живает 16-разрядные Windows-приложения на основе АРРС и CPI-C. Это позво ляет запускать многие 16-разрядные Windows-приложения, работающие со SNA Server, в 32-разрядных Windows-средах.
О настройке и управлении SNA Server Client см. документацию на SNA Server вер сии 4,0.
Host Print Service SNA Server поддерживает три метода печати информации с хоста на локальном или сетевом принтере.
Распечатка экрана. Любой эмулятор 3270 или 5250 способен печатать содержи мое экрана, используя функции печати экрана, предоставляемые клиентской опе рационной системой. Вывод может быть направлен на локальный или сетевой принтер.
Перенаправленная печать на клиенте. Поток данных принтера SNA-хоста (напри мер, 3287) доставляется соответствующей программе эмуляции, выполняемой на клиенте SNA Server. Клиентское программное обеспечение преобразует поток дан ных в информацию, которую можно вывести на локальный или сетевой принте;
).
Перенаправленная печать на сервере. Поток данных принтера SNA-хоста преоб разуется каким-либо серверным процессом в данные, которые могут быть перенап равлены на локальный или сетевой принтер, определенный с помощью диспетчера принтеров Windows 2000 Server.
ЧАСТЬ 3 Взаимодействие с другими системами Первые два метода реализуются на основе стороннего программного обеспечения, а третий метод поддерживается Host Print Service и сторонними программными продуктами.
Host Print Service обеспечивает эмуляцию принтеров 3270 и 5250 на базе SNA Server, позволяя приложениям хоста печатать на LAN-принтере, который поддер живается Windows 2000 Server или Novell NetWare. Бы можете администрировать все функции Host Print Service через SNA Server Manager и контролировать раз личные параметры печати. Вывод на принтер можно перенаправлять в файлы.
Каждое определение принтера на хосте также позволяет сопоставлять сеансы печа ти с фильтрами печати. Фильтры предоставляются сторонними приложениями.
Печать с мэйнфрейма Для мэйнфреймовых систем (рис. 10-20) Host Print Service поддерживает потоки печатаемых данных LU 1 и 3, в том числе задания на печать, отправленные препро цессорами хоста.
Мэйнфрейм PU <ф Принтерный LU | SNA Server Принтер Рис. 10-20. Печать с мэйнфрейма Для обработки заданий на печать 3270 выполните в SNA Server Manager следую щие операции:
Х определите имя сеанса (оно позволит идентифицировать различные принтеры в сети);
создайте LU принтера 3270;
Х Х назначьте этот LU сеансу печати.
Подробнее о настройке сеансов печати с мэйнфрейма ем. документацию на SNA Server версии 4.0.
Взаимодействие с хост-системами IBM ГЛАВА 10 Печать с AS/ Для систем AS/400 (рис. 10-21) Host Print Service поддерживает стандартную пос ледовательную печать SCS и эмуляцию печати графики 3812 с использованием функции IBM Host Print Transform.
AS/ SNA Приложение Server Принтер АРРСШ SNA Server APPCLU | '"~""'""~~I.. Х ~..' Сервис печати Диспетчер печати Принтер Рис. 10-21. Печать с AS/ О настройке сеансов печати с AS/400 см. документацию на SNA Server.
Защита сетевых сред, включающих хост-системы Когда Вы интегрируете свою сеть с Интернетом и другими внешними сетями, рез ко возрастает угроза несанкционированного доступа к Вашим сетевым ресурсам.
Поэтому при планировании сетевой среды Вы должны найти верный баланс мсж ду степенью защиты ресурсов и удобством доступа к ним со стороны авторизован ных пользователей. Планируя защиту сетевой среды со SNA Server, продумайте, какие методы Вы будете применять для:
Х аутентификации пользователей, которым нужен доступ к ресурсам хоста;
Х управления доступом к ресурсам хоста;
Х управления конфиденциальными данными, передаваемыми между рабочими станциями и приложениями хоста;
Х обеспечения безопасности при подключении своей сети к Интернету;
Х упрощения доступа к ресурсам хоста со стороны аутентифицированных пользо вателей без ослабления защиты своей сетевой среды.
Все эти методы поясняются в следующих разделах;
там же описывается, как реали зовать средства защиты SNA Server и Windows 2000 для создания безопасной се: е вой среды, включающей хост.
ЧАСТЬ 3 Взаимодействие с другими системами Подробнее о защите Windows 2000 см. книгу Распределенные системы из серии Ресурсы Microsoft Windows 2000 Server.
Аутентификация SNA Server, получив запрос, на доступ к ресурсу хоста, например к LU для сеанса термина/т, должен каким-то образом проверить этот запрос. В зависимости от типа запрошенного сервиса проверка пользователя осуществляется путем аутентифика ции в домене или на рабочей станции.
Аутентификация в домене Домен Active Directory в Windows 2000 - это группа компьютеров с общей базой данных пользовательских учетных записей и с общей политикой безопасности.
Домен Active Directory включает контроллеры домена, которые хранят информа цию, необходимую для зашиты, и реплицируют ее на другие контроллеры домена.
В домене Windows 2000 компьютеры SNA Server логически группируются в поддо мены (рис. 10-22). Каждый поддомеи SNA Server может содержать до 15 компью теров SNA Server, а домен Windows 2000 - неограниченное количество таких под доменов.
Поддоман Педдймен SNA SNA Server A Server В Северо домен американский домен 20QB Wifttfews Рис. 10-22. Поддомены SNA Server в доменах Windows В аутентификации пользователей, запрашивающих доступ к ресурсам хоста, SNA Server полагается на службы домена Windows 2000 (рис. 10-23). Аутентификация в домене позволяет проверить подлинность пользователей, которые запрашивают доступ к ресурсам, предоставляемым следующими сервисами:
Х 3270 или 5250 с рабочих станций под управлением SNA Server Client;
Х AS/400 Shared Folders Gateway Service;
Х Host Print Service;
Х APPC, CPI-C или LUA, использующими API-интерфейсы SNA Server.
У каждого пользователя, которому Е1ужен доступ к ресурсам SNA Server, должна быть учетная запись в домене Windows 2000. Как только такой пользователь регис трируется доменом Windows 2000, его учетная запись добавляется в лоддомен SNA Server. После этого он может получить доступ к определенным SNA-ресурсам.
Взаимодействие с хост-системами IBM ГЛАВА 10 Мэйнфрейм SNA Server Контроллер домена SNA Server Client Рис. 10-23. Процесс аутентификации в домене для доступа через терминалы Примечание У каждого компьютера SNA Server в домене Windows 2000 должна быть своя учетная запись, под которой выполняются сервисы SNA Server, Эта учет ная запись нужна SNA Server для входа в домен с целью выполнения таких функ ций, как печать с хоста и шифрование данных с применением Distributed Link Services.
Выделение ресурсов В большинстве случаев нужно контролировать, кто именно обращается к ресурсам SNA Server. Способ защиты этих ресурсов зависит от конкретной среды, включаю щей хост, и от типа сервисов, предоставляемых пользователям.
Доступ через терминалы Пользователи или группы, которым требуется доступ к сеансам 3270 с рабочих станций под управлением SNA Server Client, должны быть членами гюддомена SNA Server. При этом они являются и членами домена Windows 2000, в который входит данный поддомен SNA Server. Вы можете закрепить определенные ресурсы (LU типа 2) за соответствующими учетными записями, и тогда пользователи будут получать доступ только к указанным Вами ресурсам.
Рекомендуется аутентифицировать пользователей через домен и разрешать им до ступ лишь к определенным ресурсам.
Доступ через терминалы 5250 и АРРС Включать сотрудников, использующих доступ через АРРС, в поддомен SNA Server не требуется, но они должны быть членами домена Windows 2000. При доступе че рез терминалы 5250 с применением SNA Server Client необходимая защита обеспе чивается средствами AS/400.
Сервисы TN3270 и TN Для защиты этих сервисов Вы указываете IP-адреса клиентских рабочих станций и сопоставляете с адресами разрешения на доступ к тем или иным ресурсам. В слу чае клиентов TN3270E вместо IP-адреса можно задать имя рабочей станции.
Взаимодействие с другими системами 440 ЧАСТЬ Сервисы общих папок Доступ пользователей домена Windows 2000 к общим папкам AS/400 контролиру ется через Shared Folders Gateway Service. Разрешения устанавливаются средства ми Windows 2000.
В некоторых случаях Вам может понадобиться открытый доступ к определенным LU, предоставляемым SNA Server. Для этого предназначена пользовательская учет ная запись Guest (Гость) или групповая учетная запись Everyone (Все). Чтобы обес печить доступ с помощью учетной записи Guest, активизируйте эту запись в доме не Windows 2000, как описано в справочной системе Windows 2000 Server. Добавь те учетную запись Guest в поддомен SNA Server и назначьте ей нужные UJ. А что бы предоставить доступ через учетную запись Everyone, просто добавьте ее о под домен SNA Server и назначьте ей нужные LU.
Для неограниченного доступа к сервисам TN3270 или TN5250 можно создать LU, не указывая для иего IP-адреса или имени рабочей станции.
Шифрование данных SNA Server позволяет шифровать данные на пути их передачи между клиентом и сервером и между серверами (рис, 10-24).
Хост-система Distributed Link Services SNA Server Client SNA Server Рис. 10-24. Шифрование данных между клиентом и сервером и между серверами Шифрование между клиентом и сервером предотвращает передачу данных откры тым текстом от компьютеров с программным обеспечением SNA Server Client ком пьютерам SNA Server и наоборот. Шифрование данных повышает безопасность кли ент-серверной коммуникационной связи всех приложений, использующих средства SNA Server Client, в том числе эмуляторов 3270/5250. Шифрование включается с помощью SNA Server Manager для каждого пользователя индивидуально.
Шифрование данных между серверами позволяет создавать безопасные коммуни кационные пути через Вашу сеть, Интернет или любую WAN.
Поддержка брандмауэров Брандмауэр (firewall) Ч это устройство сетевой защиты, которое ограничивает дос туп к сетевым ресурсам, пропуская только трафик, направляемый в порты с опре деленными номерами.
Если адрес SNA Server известен, па клиентской рабочей станции настраиваются соответствующие порт и IP-адрес компьютера SNA Server (например, па рис. 10- это 1477 и 128.124.1.2 соответственно). В качестве альтернативы номера портов ГЛАВА 10 Взаимодействие с хост-системами IBM какого-либо сервиса на компьютере SNA Server можно менять на номера, запраши ваемые клиентом.
Концевая IP-адрес TCP-порт Данные Заголовок часть 128,124.1. Проверка - TCP-порт 1 4 7 7 номера IP-адрес 128.124.1. TCP-порта (в данном Хост-система случае -1477) Брандмауэр Клиент Рис. 10-25. SNA Server с брандмауэром Если же адрес SNA Server не известен, IP-транспорт SNA Server заменяет реаль ный IP-адрес назначения адресом брандмауэра. Тогда брандмауэр сам сопоставля ет запрос на соединение с адресом компьютера SNA Server. Это происходит, когда транспорт открывает соединение с компьютером SNA Server для сеансов приложе ний или для спонсорского подключения (sponsor connection).
SNA Server поддерживает брандмауэры главным образом в TCP/IP-сетях. Кроме того, возможна реализация брандмауэров в сетях IPX/SPX или Banyan VINES.
Host Security Integration В вычислительной среде масштаба предприятия сотрудники, выполняя свои еже дневные обязанности, часто обращаются к различным сетевым системам. Пользо ватель может начать свой рабочий лень с включения компьютера Windows Professional и входа в сеть Windows 2000, а позднее обратиться к базе данных на AS/400 через какую-нибудь программу эмуляции терминала.
Каждая система, с которой имеет дело пользователь, устанавливает свои требова ния к безопасности и процедуры регистрации. Например, учетная запись в домене Windows 2000 может требовать имени пользователя из шести букв и пароле из восьми букв разного регистра, а в мэйнфреймовой системе Ч имени пользователя из семи букв и пароля из семи алфавитно-цифровых знаков.
Нередко пользователям приходится запоминать несколько комбинаций имен и па ролей для доступа к различным ресурсам в сети. Несмотря на все требования по литики безопасности, многие из таких пользователей просто записывают свои па роли на листке бумаги и хранят его рядом с компьютером, ослабляя защиту сечи.
Одна из наиболее важных особенностей SNA Server состоит в том, что он позволя ет интегрировать системы защиты домена Windows 2000 и хоста. Host Security Взаимодействие с другими системами 442 ЧАСТЬ Integration Ч это комбинация средств и сервисов, автоматизирующих процесс син хронизации паролей и регистрации в различных системах. Применяя эти средства, Вы поможете своим пользователям соблюдать корпоративные стандарты безопас ности и упростите управление учетными записями в сети и на хост-системе.
Компоненты Host Security Integration Host Security Integration обеспечивает управление пользовательскими учетными записями в сети и на хост-системе на основе концепции домена защиты хоста (host security domain). Домен защиты хоста определяет различные домены защиты с об щей базой данных пользовательских учетных записей. Простейший домен защиты может состоять из домена хоста, домена Windows 2000 и поддомена SNA Server, как показано на рис. 10-26.
Host Account AS/400 Synchronization Service SNA.Server Поддомен SNA Server Windows Account Домен Windows Synchronization Service Host Account Cache Рис. 10-26. Элементы в типичном домене защиты хоста Host Security Integration включает три компонента (которые можно устанавливать по отдельности):
Х Host Account Cache;
Х Host Account Synchronization Service;
Х Windows 2000 Account Synchronization Service, Компонент Host Account Cache Host Account Cache поддерживает шифрованную базу данных, которая увязывает учетные записи на хосте с учетными записями в домене Windows 2000. Этот ком понент представляет собой службу Windows 2000, устанавливаемую на одном из контроллеров домена Windows 2000. В сетях меньшего размера па контроллере до Взаимодействие с хост-системами IBM ГЛАВА 10 мена Windows 2000 можно установить сам SNA Server, который и будет хранить информацию Host Account Cache.
Для большей надежности на любом другом контроллере домена можно установить резервный Host Account Cache. Этот резервный кэш поддерживает локальную ко пию базы данных пользовательских учетных записей.
Компонент Host Account Synchronization Service Этот сервис можно установить на основном, резервном или рядотюм компьютере SNA Server в поддомене SNA Server. Подробнее о ролях в SNA Server см. раздел Определение ролей в SNA Server ранее в этой главе.
Вы можете устанавливать данный сервис и на компьютерах без SNA Server. Host Account Synchronization Service поддерживает сторонние интерфейсы к различным базам данных учетных записей на хостах, позволяющие координировать изменения в паролях между системами защиты домена Windows 2000 и хоста.
Host Account Synchronization Service не обязательна, если Вы используете функ цию унифицированного входа с обновлением паролей вручную;
в этом случае ад министраторы или пользователи сохраняют учетные данные с хоста в Host Account Cache через приложение Host Account Manager (UDConfig). О том, как пользовать ся UDConfig, см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit, Компонент Windows 2000 Account Synchronization Service Этот компонент автоматически синхронизирует пароли в учетных записях па хос те и в домене Windows 2000. Он должен быть установлен даже в том случае, если автоматическая синхронизация паролей не применяется, так как координирует внутреннее функционирование других сервисов.
Account Synchronization Service устанавливается на контроллере домена Win dows 2000. Основным может быть только один экземпляр этой службы;
остальные должны быть резервными.
В SNA Server встроена поддержка синхронизации паролей между доменом Win dows 2000 и доменом защиты AS/400. Сервисы синхронизации с другими хост-сис темами предоставляют сторонние программные продукты.
Режимы синхронизации паролей При определении домена защиты хоста автоматически создается групповая учет ная запись Windows 2000 с тем же именем. Затем в эту группу добавляются пользо вательские учетные записи, которые таким образом становятся членами домена за щиты хоста. Как только Вы определите домен защиты хоста, Вам станут доступны два режима синхронизации паролей:
Х Replicated Ч в каждом домене защиты, определенном в домене защиты хол:та, используется одно и то же имя или пароль;
Х Mapped Ч в каждом домене защиты используются разные имена и пароли. Со поставления между учетными записями и паролями хранятся в базе данных, контролируемой Host Account Cache Service.
Вы можете установить любой из этих режимов для имен пользователей и/или па ролей Ч например, выбрать сопоставление имен пользователей и репликацию па Взаимодействие с другими системами 444 ЧАСТЬ ролей между доменами защиты. Это позволит входить в различные системы (в до мене защиты хоста) по одному паролю, но под разными именами, Сразу после определения хост-соединения закрепляются за доменом, однако каж дому из доменов защиты может быть присвоено только одно хост-соединение еди новременно. Как только за доменом зашиты закреплены соединения, Вы можете включать в него пользователей, добавляя их учетные записи в ранее созданную группу Windows 2000. В каждой из таких учетных записей можно активизировать нужный режим синхронизации паролей и разрешить применение средств автома тической регистрации, Тогда пользователи, уже вошедшие в домен Windows 2000, смогут автоматически входить в хост-систему.
Автоматизация синхронизации паролей В рамках сети SNA Server автоматическая односторонняя (LAN-K-AS/400) синхро низация паролей поддерживается без всяких дополнительных средств или про граммных продуктов. В средах с мэйнфреймами или в том случае, если Вам нужна автоматическая двухсторонняя синхронизация паролей, требуется применение специальных программных продуктов от сторонних поставщиков.
Автоматизация регистрации SNA Server также позволяет автоматизировать процесс регистрации на хост^систе ме. Эта функция, обычно называемая поддержкой унифицированного входа, обес печивает автоматическую регистрацию пользователя во всех системах безопаснос ти домена защиты хоста, если этот пользователь уже проверен любой из систем внутри поддомепа.
SNA Server изначально поддерживает унифицированный вход в хост-системы AS/400. При использовании сторонних программных продуктов эквивалентная функциональность становится доступной для приложений АРРС и CPI-C как на мэйнфреймах, так и на AS/400. Список поставщиков таких продуктов см. на Web узле SNA Server по адресу Подробнее о средствах защиты SNA Server и о поддержке интеграции систем бе зопасности см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Доступ к данным на хост-системах Одна из основных целей интеграции сетей Windows 2000 с хост-системами IBM обеспечить пользователям доступ к данным на хостах. Многие крупные компании уже давно применяют хост-системы для хранения огромных баз данных и обработ ки больших объемов информации, необходимой пользователям в сети предприя тия. Ввиду своей производительности и надежности хост-системы по-прежнему играют заметную роль в хранении и анализе колоссальных массивов данных.
Приобретая все больше персональных компьютеров, объединяемых локальными сетями, многие организации ищут способы интеграции систем управления базами данных на хостах с персональными компьютерами. С помощью SNA Server Вы мо жете обращаться к источникам данных на хостах, используя одно из следующих средств:
Взаимодействие с хост-системами IBM ГЛАВА 10 Х Open Database Connectivity (ODBC) Driver for DB2 Ч для доступа к СУ6Д с архитектурой DRDA (Distributed Relational Database Architecture) через ODBC интерфейсы;
Х OLE DB Provider for AS/400 и VSAM Ч для доступа к данным на уровне запи сей через интерфейсы OLE DB.
Доступ к данным на хосте через ODBC SNA Server позволяет приложениям, рассчитанным на использование интерфейса ODBC и команд SQL. обращаться к базам данных на хостах. Применяя ODBC Driver for DB2, ODBC-приложения могут манипулировать базами данных на хост системе, которая управляет распределенными данными по протоколу DRDA (Dis tributed Relational Database Architecture), не требуя шлюза к базе данных. Соо" вет ствующис драйверы предусмотрены для Windows NT, Windows 2000, Windows 95, Windows 98 и Windows 3.x.
Рис. 10-27 иллюстрирует доступ к данным на хосте с помощью ODBC Driver for DB2.
DB2 или 082/ Сисгемы управления базами данных IBM База с поддержкой DRDA DRDA данных SNA Server, управляющий взаимодействием между клиентами и хостом IBM Драйвер ODBC/DRDA, транслирующий ODBC-команды в DRDA-команды ODBC | ODBC.| ODBC Персональные Microsoft ;
Microsoft Microsoft приложения Word Excel Access с поддержкой ODBC Рис. 10-27. Доступ к данным на хосте с помощью ODBC Driver for DB Взаимодействие с другими системами 446 ЧАСТЬ ODBC-драйвер транслирует команды между SQL- и DRDA-системами, как пока зано на рис. 10-27. Каждый драйвер принимает SQL-запросы от клиентского при ложения через ODBC, транслирует их в DRDA-команды и передает хосту. После дний обрабатывает DRDA-команды и возвращает результаты через SNA Server драйверу на клиентском компьютере. Затем драйвер преобразует DRDA-информа цию в SQL-данные и передает их клиентскому приложению, используя ODBC-ин терфейс.
ODBC-драйвер поддерживает:
Х фиксацию и откат транзакций;
Х асинхронную обработку;
Х отмену запросов:
Х основные и внешние (foreign) ключи;
Х четыре уровня изоляции транзакций.
Этот же драйвер позволяет напрямую передавать SQL-строки базе данных на хос те с трансляцией. К числу поддерживаемых баз данных относятся:
Х DB2 for MVS;
Х SQ/DS for VM and VSE;
Х DB2/400 for OS/400.
Подробнее о специфических функциях и типах данных ODBC, поддерживаемых ODBC-драйвером, см. документацию на SNA Server версии 4.0.
Доступ к данным на хосте через OLE DB SNA Server обеспечивает доступ на уровне записей к базам данных на мэйнфрей мах и AS/400 через OLE DB Provider for AS/400 и функцию VSAM.
Используя преимущества OLE DB как универсального интерфейса к разнородным источникам данных (рис. 10-28), OLE DB Provider for AS/400 и VSAM позволяют:
Х адаптировать программные решения для чтения и записи файловых систем AS/400 и мэйнфреймов без предварительного переноса информации на клиент серверную платформу;
Х интегрировать неструктурированные данные с клиентскими и серверными ба зами данных, работающими на персональных компьютерах;
Х разрабатывать приложения с использованием высокоуровневых интерфейсов типа Microsoft ADO (ActiveXо Data Objects), которые поддерживаются языка ми программирования Microsoft Visual Basicо (VB), Microsoft Visual C++о (VC++), Microsoft Visual J++"1 (VJ++). Microsoft Visual Basicо for Applications (VBA) и Microsoft Scripting.
OLE DB Provider использует протокол ввода-вывода на уровне записей (record level input/output, RL1O) в архитектуре IBM DDM (Distributed Data Management) уровня 2 или выше. Эта функция реализуется как DDM-средство запросов источ ника (source DDM requester) и взаимодействует с целевыми серверными DDM-pe ализациями в большинстве популярных операционных систем хостов, включая MVS/ESA, OS/390 и OS/400.
ГЛАВА 10 Взаимодействие с хост-системами IBM Мэйнфрейм II или AS/ Рис. 10-28. Доступ к данным на хосте через OLE DB Provider for AS/400 и VSAM Клиентские приложения взаимодействуют с базой данных на хосте но АРРС-со единению (LU 6.2), установленному между SNA Server Client и SNA Server, OLE DB Provider поддерживает:
Х блокировку файлов и записей;
Х сохранение исходных атрибутов файлов и записей;
Х индексированный и последовательный доступ к записям;
Х логические записи фиксированной и переменной длины.
OLE DB Provider поддерживает самые разнообразные типы файловых данных, ис пользуемые мэйнфреймами и AS/400. Для мэйнфрсймовых систем OLE DB Provi der поддерживает наборы данных SAM (включая BSAM и QSAM), VSAM (в том числе ESDS, KSDS, RRDS, VRRDS), альтернативный индекс для наборов данных ESDS и KSDS, а также элементы PDS/PDSE. Для AS/400 OLE DB Provide] под держивает физические и логические файлы (как с ключами, так и без ключей).
Полное описание OLE DB Provider for VSAM and AS/400 см. в SNA Server Software Development Kit, поставляемом со SNA Server.
Выбор метода доступа к хост-данным Выбор этого метода зависит от того, как именно Вы хотите предоставлять доступ к системам управления базами данных (СУБД).
Предприятия, предпочитающие ODBC-приложения и SQL-команды для доступа к таблицам баз данных на хосте и манипуляций с ними, могут использовать драйвер ODBC/DRDA. Поднофункциопальная поддержка ODBC во многих персональных приложениях вроде Microsoft Excel и Microsoft Access упрощает создание соответ ствующих решений.
Во многих средах OLE DB Provider for AS/400 и VSAM можно настроить H.I под держку той же функциональности, что и драйвер ODBC/DRDA. Однако на пред приятиях, где слишком мало специалистов по SQL (или их вообще нет), лучше 448 ЧДРТ1.
Взаимодействие с другими системами 450 ЧАСТЬ Клиентские компоненты могут вызывать любой Automation-объект, зарегистри рованный на компьютере с Windows 2000 Server, в том числе объект COMTI Automation.
Полное описание COMTI и примеры соответствующих приложений см. в докумен тации на SNA Server версии 4.0 и в его справочной системе COM Transaction Integrator Help.
Интеграция с системой обработки транзакций на хостах Во многих организациях хост-системы используются для выполнения приложений, обрабатывающих транзакции в режиме реального времени, например приложений IBM CICS. Эти приложения доступны в интерактивных сеансах вроде 3270 или 5250, поддерживаемых каким-либо эмулятором терминала, Мы уже поясняли, как с помощью функциональности COMTI, поддерживаемой SNA Server, обращаться к простым приложениям мэйнфреймов на программном уровне. Эта функциональность становится еще более мощным инструментом, ког да она применяется для расширения приложений, использующих Component Ser vices в Windows 2000 Server. Такие Windows-приложения могут координировать транзакции с CICS-приложениями.
LU6. (Sync Level 2) Рис. 10-30. Интеграция с системой обработки транзакций на хосте Взаимодействие с хост-системами IBM ГЛАВА 10 COMTI в сочетании с Component Services применим для решения самых разнооб разных задач.
Х Разработчики для Windows могут описывать, запускать и управлять специаль ными объектами Component Services, которые обращаются к транзакцией ным программам CICS или IMS.
Х Разработчики для мэйнфреймов могут делать ТР доступными для Windows- три ложений, работающих в Интернете и интрасетях.
Х Проектировщики компонентов Component Services могут включать приложения мэйнфреймов в область действия двухфазных транзакций Component Servires с фиксацией.
Рис. 10-30 иллюстрирует, каким образом клиентское Windows-приложение способ но неявно использовать DTC (Distributed Transaction Coordinator) для координа ции распределенной транзакции, в которой участвуют SQL Server и одна из тран закционных программ CICS. DTC является частью Component Services и коорди нирует двухфазные транзакции с фиксацией (two-phase commit transactions).
Полное описание COMTI и примеры соответствующих приложений см. в докумен тации на SNA Server версии 4.0 и в его справочной системе COM Transaction Integrator Help.
Интеграция хост-систем с Web Развитие Интернета и сопутствующих технологий открывает перед отделами ин формационных технологий новые возможности в распространении клиепт-серлер ных приложений как на внутренних, так и на внешних пользователей. Информа ция и ресурсы во внутренних системах стали доступны более широкому кругу пользователей, что позволяет корпорациям эффективнее использовать существую щие инфраструктуры.
Кроме того, постоянно растут объемы корпоративных баз данных с критически важ ной информацией. Продолжая использовать мэйнфреймы и хост-системы AS/ для поддержки баз данных, обработки транзакций и выполнения других приложе ний, многие организации стремятся к интеграции хостов с Web.
SNA Server и технология Web Microsoft-модель интеграции хостов с Web использует SKA Server для поддержки соединений между хостами IBM и Web-сервером типа IIS. В ней (рис. 10-31) Web браузеры и серверы взаимодействуют друг с другом по сети с применением HTTP и TCP/IP. В свою очередь Web-сервер обращается к SNA Server через определен ный серверный интерфейс, например ISAPI (Internet Server Application Progr.tm ming Interface), а компьютеры SNA Server взаимодействуют с хост-системой по про токолу SNA, используя определенное соединение.
Компоненты, показанные на рис. 10-31, можно развернуть на одном или несколь ких компьютерах, размещенных на Вашем предприятии. Например, на малом пред приятии Web-сервер и SNA Server можно установить на одном компьютере с Windows 2000 Server. С ростом числа серверов и увеличением интенсивности зап росов на соединение рекомендуется устанавливать Web-сервер и SNA Server на от дельные компьютеры с Windows 2000 Server.
Взаимодействие с другими системами 452 ЧАСТЬ Хост система SNA Рабочая станция Server Рис. 10-31. Взаимодействие между Web и хост-системой Для систем е Windows 2000 Server u качестве Web-сервера желательно использо вать службы IIS, поскольку они тесно интегрируются с функциями управления и администрирования данной операционной системы. А интеграция с Windows Server упрощает связывание 1IS с другими приложениями BackOffice вроде SQL Server или Microsoft Exchange Server, Способы доступа к хосту из Web-браузеров SNA Server дает возможность пользователям Web-браузеров подключаться к хос там несколькими способами. Чаше всего предприятия выбирают один из следую щих вариантов:
Х доступ через терминал с использованием Web-браузера Ч потоки данных для терминалов 3270 или 5250 отображаются в окне Web-браузера;
Х доступ к данным на хосте через Web-браузер Ч пользователи могут обращаться к реляционным и нереляционным базам данных на хосте через Web-браузер;
Х доступ к приложениям хоста через Web-браузер Ч пользователи могут обра щаться к системам обработки транзакций через Web-браузер.
Эти варианты рассматриваются в следующих разделах;
там же даются рекоменда ции по выбору оптимального способа доступа в конкретных условиях.
Доступ через терминал с использованием Web-браузера Доступ к приложениям хоста через традиционный интерфейс терминала 3270 или 5250 с применением Web-браузера прост и эффективен. Это решение идеально, если Ваши пользователи уже знакомы с интерфейсом текстового терминала и привык ли работать с существующими приложениями хоста.
SNA Server позволяет реализовать такое решение за счет установки SNA Server Web Client (рис. 10-32). SNA Server Web Client предоставляет средства эмуляции тер миналов через ActiveX-элемент, который является частью пакета, загружаемого в браузер с Web-сервера типа IIS. После загрузки и запуска этот ActiveX-элемент устанавливает соединение со спонсорским компьютером SNA Server, обеспечиваю щим соединение с хост-системой.
При использовании этого способа никакой настройки клиентской рабочей станции не требуется, поскольку вся информация о соединении указывается администрато ром до загрузки SNA Server Web Client в браузер. Все необходимые данные содер жатся в загружаемом пакете, что позволяет SNA Server Web Client автоматически устанавливать соединение с хост-системой.
Взаимодействие с хост-системами IBM ГЛАВА 10 ActiveX-элемент SNA Automation Рис. 10-32. Доступ к хост-системам через терминалы с применением SNA Server Web Client Загрузка SNA Server Web Client осуществляется однократно, если только браузер не обнаруживает на Web-сервере более новой версии этого программного обеспе чения;
это ускоряет запуск клиента и сводит к минимуму нагрузку на Ваш сервер.
Поскольку SNA Server Web Client распространяется централизованно, данные о каких-либо изменениях в конфигурациях хостов автоматически передаются клиен там при следующем запуске SNA Server Web Client.
В настоящее время SNA Server Web Client доступен для операционных систем Windows NT, Windows 2000, Windows 95 и Windows 98 с Internet Explorer версий 3.02 и выше. Поддерживается эмуляция терминалов 3270 и 5250.
Детальное описание настройки и установки SNA Server Web Client включено в до кументацию на SNA Server версии 4.0.
Доступ к данным на хосте через Web-браузер Как уже говорилось, хост-система Ч идеальная платформа для предприятий, име ющих дело с большими базами данных. SNA Server и технология Web позволяет предоставить доступ к этим данным более широкому кругу пользователей.
Стандартный способ интеграции технологии Web с базой данных на хосте Ч созда ние на основе HTML наглядных и дружелюбных к пользователю интерфейсов для систем управления базами данных на хостах, предоставляющих только текстовые интерфейсы.
Взаимодействие с другими системами 454 ЧАСТЬ Например, Web-браузер собирает информацию для запроса к базе данных на HTML-форме. Далее запрос передается на Web-сервер, а от него (с помощью ISAPI или другого шлюзового интерфейса) Ч службе, взаимодействующей с системой управления базами данных на хосте. Результат запроса преобразуется в формат HTML и отображается в окне браузера.
SNA Server Ч идеальный инструмент для реализации программных решений в об ласти доступа к хост-данным на основе технологии Web, поскольку он не требует написания дополнительного кода для хоста или модификации СУБД. Кроме того, используя такие средства, как OLE DB Provider, Вы можете расширить спектр ус луг, предоставляемых пользователям Web. Рис. 10-33 иллюстрирует, как компонен ты доступа к данным интегрируются со SNA Server и другими сервисами для под держки операций с файлами данных на хосте из Web-браузера.
Мэйнфрейм или AS/ Файловая система Windows Server DDM Server APPC/MVS APPG Рис. 10-33. Web-доступ к файловой системе хоста В браузере пользователь загружает и вводит данные на ASP-страницу (Active Server Page), размещенную на Web-сервере (IIS). После этого ASP передает данные через ADO-интерфейс в OLE DB Provider, поддерживаемый SNA Server.
В этом сценарии OLE DB Provider взаимодействует с базой данных на хосте по АРРС-протоколу RLIO (Record-Level Input/Output) в архитектуре IBM DDM (Distributed Data Management) (уровня 2 и выше).
Доступ к приложениям хоста через Web-браузер Web-браузер также позволяет обращаться к ТР, выполняемым на мэйнфрейме, на пример к CICS- или IMS-приложениям. Используя COMTI в SNA Server, Вы мо жете разрабатывать клиент-серверные приложения, использующие Web-браузеры для взаимодействия с системами обработки транзакций на мэйнфреймах. Посколь ГЛАВА 10 Взаимодействие с хост-системами IBM ку программы CICS могут обращаться к балам данных DB2, COMTI предоставля ет программный доступ и к DB2 на мэйнфрейме.
Вы можете обращаться к СОМ-объектам из браузера любым способом, так как COMTI создает стандартный серверный компонент COM Automation, действую щий как прокси для транзакционных программ CICS или IMS. Рис. 10-34 иллюст рирует компоненты, которые Web-приложение может использовать для динамичес кого создания объектов и вызова методов с помощью кода сценария на сервере.
Мэйнфрейм Windows Server Источник данных SNA у рЩ,;
y Щ_^_^ NA ^~-~Щ.] SNA Server GIGS/IMS Рабочая станция COMTI ЧЧ-Х-ХХХ''!-^^|m "И 1!
-.Ч "Х "ХХХ' I "S j :
ASP Рис. 10-34. Web-доступ к системе обработки транзакций на хосте Также возможно создание приложений на основе других технологий, например RDS (Remote Data Services), и клиентских сценариев. В таком случае создание объектов и вызов методов осуществляется из клиентского сценария, выполняемого на сервере, а RDS-элемент возвращает записи клиенту по HTTP.
Интеграция управления сетями Интеграцию локальных сетей и хоста нельзя считать полной, если Вы не можете управлять интегрированной сетевой средой. SNA Server предоставляет соответству ющие сервисы, которые позволяют Вам (или администраторам Вашей хост-систе мы IBM) управлять SNA Server:
Х с компьютеров Windows 2000 Professional;
Х с удаленных компьютеров, использующих SNA Server Remote Access Service;
Х из приложений IBM NctView, выполняемых на хост-системе IBM.
Сервисы управления SNA Server Вы можете конфигурировать SNA Server и управлять им через SNA Server Manager (с графическим интерфейсом) или интерфейс командной строки.
SNA Server Manager Ч это оснастка ММС, которая обеспечивает мониторинг, ди агностику и управление ресурсами и сервисами SNA Server, в том числе:
Х иоддоменами SNA Server;
Х компьютерами;
Взаимодействие с другими системами 456 ЧДСТЬ Х конфигурациями;
Х сервисами каналов;
Х соединениями;
. Ш;
Х сеансами;
Х сервисами;
Х пользователями.
SNA Server Manager интегрирует уиранление всеми сервисами SNA Server, вклю чая сервисы TN3270 и TN5250, HosL P r i n t Service, Shared Folders Gateway Service и Host Security Integration.
SNA Server Manager позволяет наблюдать за всеми компьютерами SNA Server в поддомене SNA Server и управлять сразу несколькими поддоменами. Вы можете удаленно настраивать и администрировать компьютеры SNA Server по любым стан дартным протоколам, в том числе:
Х TCP/IP;
Х IPX/SPX;
Х Banyan VINES IP;
Х Named Pipes;
Х с использованием службы маршрутизации и удаленного доступа Windows 2000.
SNA Server Manager запускается па любом компьютере с Windows 2000 Professional, настроенном как клиент SNA Server. Кроме того. SNA Server Manager позволяет просматривать и управлять одним и тем же поддоменом сразу нескольким админи страторам.
Примечание SNA Server также предоставляет интерфейс командной строки, даю щий возможность записывать команды, связанные с настройкой, в командные фай лы. Подробнее па эту тему см. документацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Интеграция со службами управления Windows Поскольку SNA Server является приложением BackOffice, SNA Server Manager тес но интегрирован с другими оснастками ММС в Windows 2000, включая:
Х User Manager (Диспетчер пользователей);
Х System Monitor (Системный монитор);
Х Event Viewer (Просмотр событий).
Интеграция с User Manager предоставляет пользователям Windows 2000, компью терам со SNA Server Client и пользователям других приложений BackOffice общую базу данных учетных записей и стандартную систему защиты. Интеграция с System Monitor позволяет указывать счетчики производительности для мониторинга ин тенсивности SNA-трафика компьютеров SNA Server. Наконец, с помощью Event Viewer можно быстро выяснить, какие события вызвали ту или иную проблему в нодломене SNA Server.
Взаимодействие с хост-системами IBM ГЛАВА 10 Подробнее об управлении ресурсами и сервисами SNA Server из ММС см. доку ментацию на SNA Server версии 4.0 и Microsoft BackOffice Resource Kit.
Интеграция с сервисами управления IBM NetView SNA Server также обеспечивает интеграцию с системами управления сетями FBM NetView, выполняемыми на мэйнфреймах ШМ (рис. 10-35).
Система генерации отчетов XctVicw передает уведомления и прочую информацию между хост-системой и компьютерами, подключенными к ней. Функциональность NetView можно расширить за счет ее связывания с функциональностью Win clows 2000 и SNA Server через следующие сервисы:
Х NVAlert;
Х NVRunCmd;
Х Response Time Monitor;
Х Link Alerts for SDLC and Token Ring.
NetView Х!&1--яв еобыт?
Сервис -sjg**Щ Подсистема <^l *Х NVAlert журнала событий 'I ^ NVAIert.irD Интерфейс 'rХ Сервис IA 4h- Х"ХХХХХ- НР= командной строки. NVRunCrnd rver Windows Рис. 10-35. Взаимодействие SNA Server с IBM NetView Сервис NVAlert Как показано на рис. 10-35, сервис NVAlert передает информацию о событиях из журнала Windows 2000 системе IBM NetView на хост-компьютере. Эта информа ция посылается и виде стандартных уведомлений NetView. NVAlert может сообщать о событиях двух категорий: генерируемых операционной системой Windows 2000 и вызываемых приложениями Windows 2000.
Информацию о событиях можно пересылать па консоль NetView или в файл жур нала на хост-системе. NVAlert определяет, какое событие было передано консоли NetView, считывая файл NVAlert.ini.
Сервис NVRunCmd Этот сервис позволяет передавать команды, выдаваемые с консоли NetView, на ком пьютер с Windows 2000 и SNA Server. Сервис NVRunCmd также возвращает резуль таты выполнения команд на консоль NetView в стандартных текстовых и число вых форматах.
Взаимодействие с другими системами 458 ЧАСТЬ Response Time Monitor Response Time Monitor (RTM) Ч это функция хоста IBM, которая в сочетании с Net View позволяет измерять время ответа хоста в ходе сеанса 3270. Инструмент Response Time Monitoring, предоставляемый SNA Server, дает возможность указы вать, когда RTM должен посылать данные, а также определять триггеры, заставля ющие RTM регистрировать момент ответа от хоста.
Link Alerts for SDLC and Token Ring Если соединение SDLC (Synchronous Data Link Control) или Token Ring накапчи вается неудачей, SNA Server записывает соответствующую диагностическую инфор мацию, называемую уведомлениями каналов (link alerts). Уведомления регистри руются в файле журнала, который можно просматривать с помощью Event Viewer из Windows 2000.
Подробнее о сервисах управления SNA Server, в том числе об их интеграции со службами управления Windows 2000 и хостами IBM, см. документацию на SNA Server версии 4.0.
Дополнительные материалы Более подробную информацию об обновленных версиях SNA Server и сопутствую щих спецификациях см. по ссылке:
Х SNA Server на странице Web Resources ( dows2000/reskit/webresources).
ГЛАВА И Services for UNIX Взаимодействие с другими операционными системами очень важно R современных вычислительных средах, которые становятся все более гетерогенными. Microsoft Services for UNIX обеспечивает интеграцию Windows-систем в существующую UNIX-среду и позволяет переносить уже написанные UNIX-сценарии в Windows среду, упрощая задачи администрирования.
Здесь предполагается, что Вы знаете материалы, изложенные в приложении Б Концепции взаимодействия с UNIX в этой книге.
Внимание На момент подготовки книги к изданию текущей версией Services for UNIX была версия 1.0, рассчитанная на Windows NT 4.0. Информацию о новых нер сиях Services for UNIX и их функциональности см. на Web-узле Microsoft ( www.microsoft.com).
В этой главе Обзор Доступ к файлам через NFS Клиент и сервер Telnet в Services for UNIX Синхронизация паролей Утилиты UNIX и оболочка Когп См. также Х Подробнее о правах доступа к файлам в Windows, о NTFS и FAT Ч книгу Со провождение сервера из серии Ресурсы Microsoft Windows 2000 Server.
Х Подробнее о TCP/IP Ч главу 1 Введение в TCP/IP в книге Сети TCP/IP из серии Ресурсы Microsoft Windows 2000 Server.
Х Об аутентификации Ч книгу Распределенные системы* из серии Ресурсы Microsoft Windows 2000 Server.
Х О планировании защиты Ч книгу Deployment Planning Guide из Microsoft Windows 2000 Server Resource Kit.
Х О печати файлов в сети Ч книгу Сопровождение сервера из серии Ресурсы Microsoft Windows 2000 Server.
460 ЧАСТЬ 3 Взаимодействие с другими системами Обзор Компонент Services for Unix поддерживает UNIX-платформы:
Х Digital" UNIX;
Х Hewlett-Packard HP-UXо 10.1+;
Х Sun Solansо SPARC 2.5.1+.
Services for UNIX предоставляет следующие средства.
Network File System (NFS). Клиентское и серверное программное обеспечение NFS позволяет обращаться с компьютеров под управлением Windows NT к файлам на компьютерах под управлением UNIX и наоборот.
Примечание Services for UNIX не предусматривает сервисы печати. В Windows встроены собственные сервисы печати UNIX: LPR (Line Printer Remote) и LPD (Line Primer Daemon). Подробнее на эту тему ем. книгу Сопровождение сервера из серии Ресурсы Microsoft Windows 2000 Server.
Telnet Client and Server. Это программное обеспечение позволяет входить в сис темы под управлением Windows NT или UNIX из сети и выполнять на них команды.
Синхронизация паролей. Services for UNIX обеспечивает синхронизацию паролей для пользователей компьютеров с Windows NT и UNIX. Изменения в паролях Windows автоматически распространяются на компьютеры с UNIX.
Утилиты и средства поддержки сценариев UNIX. Services for Unix поддержива ет UNIX-команды и оболочку Korn, с помощью которых можно автоматизировать рутинные процессы и выполнение административных задач на платформах Win dows и UXIX.
Доступ к файлам через NFS NFS (RFC 1094 и 1813) является набором протоколов для доступа к сетевым фай лам, обеспечивающим взаимодействие между различными файловыми системами в гетерогенных сетях. Клиенты используют NFS, например, при обращении к фай лам па удаленных серверах. NFS построена по модели клиент-сервер* и опирает ся на протоколы RPC (Remote Procedure Call) (метод обмена сообщениями между клиентом и сервером, определенный в RFC 1831, 1050 и 1057) и XDR (External Data Representation) (метод трансляции данных между гетерогенными системами, определенный в RFC 1832 и 1014). Удаленные файловые системы на сервере мон тируются па клиенте, поэтому они кажутся ему локальными, и он может обращать ся к ним так же, как и к обычным файловым системам.
Поддерживаемые версии NFS Существует две версии NFS: версия 2 (RFC 1094) и версия 3 (RFC 1813).
Особенности и ограничения версии 2:
Х 32-разрядный индикатор размеров файлов (file size indicator);
Х используется сетевой транспорт на основе UDP или TCP;
Х максимальный размер NFS-пакетов Ч 8 Кб.
Services for UNIX ГЛАВА Х пакет для записи в файл должен быть передан дисковой подсистеме до того, как сервер отправит подтверждение.
Особенности и ограничения версии 3:
Х 64-разрядныЙ индикатор размеров файлов;
Х используется сетевой транспорт на основе UDP или TCP;
Х максимальный размер NFS-пакетов Ч 64 Кб при использовании TJDP;
Х количество и частота обмена пакетами между клиентом и сервером зависит от размера пакетов (то же относится и к подтверждениям о приеме);
Х сервер может котировать клиентские запросы на запись, если только клиент не требует непосредственной записи на диск.
NFS версии 3 выбирает TCP в качестве сетевого транспорта, если TCP поддержи вается и клиентом, и сервером. TCP надежнее UDP. но в определенных ситуациях работает медленнее.
Server for NFS Microsoft Server for NFS (Services for UNIX версии 1.0) Ч 32-разрядная мнопшо точная Windows-программа режима ядра, интегрированная в Windows NT. Этот компонент позволяет обращаться к файлам в смешанной среде, состоящей из раз ных аппаратных платформ, операционных систем и сетей. Server for NFS превра щает компьютер под управлением Microsoft Windows в сервер NFS. Доступ к фай лам и административные задачи выполняются через интерфейс Windows NT. Ад министрирование NFS осуществляется с помощью специальной утилиты.
Server for NFS использует протокол NFS, основанный па ONC-RPC (Open Network Computing Remote Procedure Call). Протокол ONC-XDR (Open Network Compming External Data Representation) обеспечивает передачу данных между клиентами и сервером NFS.
NFS и связанные с ним протоколы разработаны компанией Sun Microsystems. Его архитектура показана на рис. 11-1.
Прикладная программа Локальный Диспетчер NFS N!S+ Автоматическое дисковый блокировки монтирование кэш RPC/XDR Транспортный уровень Сетевые протоколы (например, TCP/IP) Рис. 11-1. Архитектура NFS ЧАСТЬ 3 Взаимодействие с другими системами Server for NFS поддерживает следующие возможности.
Удаленный доступ к файлам. После установки Services for UNIX сервер Win dows NT может сделать каталоги и файлы Windows доступными клиентах: NFS.
Средства управления доступом позволяют назначать клиентам разрешения толь ко для чтения, для чтения и записи, доступ к корню и доступ запрещен.
Права на доступ к индивидуальным файлам контролируются разрешениями, задан ными в файловой системе Windows NT.
Глобальные разрешения. Клиенты NFS могут быть сгруппированы. NFS-досту пом можно управлять либо по именам клиентов, либо по именам групп.
Разрешения безопасности. Server for NFS можно настроить на использование разрешений NTFS.
Сопоставление пользовательских и групповых учетных записей. Для защиты файлов в Windows NT, к которым обращаются из UNIX, Server for NFS требует от системного администратора сопоставить учетные записи пользователей или групп в UNIX с эквивалентными учетными записями в Windows NT. Тогда пользователи получают в UNIX те же права доступа, что и в Windows NT. На сайтах с менее же сткими требованиями к безопасности можно пропустить эту процедуру сопостав ления и считать всех UNIX-клиентов анонимными пользователями.
Размер буфера для считываемых и записываемых данных. Размер этого буфера можно изменять для оптимизации производительности.
NFS-потоки. Вы можете указать количество потоков для параллельной обработ ки запросов на сервисы NFS. Максимальное число потоков Ч 512.
Кэширование inode и информации о каталогах. Кэширование на NFS-сервере inode (данных об атрибутах файлов) и информации о каталогах (списка каталогов, к которым были обращения за самый последний период) позволяет сократить чис ло системных вызовов этого сервера и тем самым повысить его производительность.
Размеры соответствующих кэшей устанавливаются с помощью Server for NFS.
Символьные ссылки. Server for NFS можно настроить на поддержку символьных ссылок (symbolic links).
Блокировка файлов. Такую блокировку можно включить либо только для кли ентов NFS (необязательная блокировка) (advisory locking), либо для клиентов NFS и пользователей Windows NT (обязательная блокировка) (mandatory locking).
Разрешение конфликтов из-за регистра букв в именах файлов. Server for NFS можно настроить на разрешение конфликтов, которые возникают между именами файлов NFS и NTFS/FAT/CDFS из-за чувствительности к регистру букв. Допус кается преобразование имен файлов в буквы только верхнего регистра или только нижнего регистра;
кроме того, можно просто игнорировать регистр букв в именах файлов. Символы, допустимые в UNIX, но не поддерживаемые в Windows NT, мож но преобразовать в другую последовательность символов с помощью файла транс ляции (translation file). Например, Windows 2000 запрещает использование в име нах файлов знака двоеточия, и с помощью файла трансляции Вы можете выбрать подходящую последовательность символов для замены всех двоеточий в имени файла, полученного с компьютера под управлением UNIX.
NFS версий 2 и 3, Server for NFS можно настроить на поддержку одной из этих версий NFS.
Services for UNIX ГЛАВА 11 Транспорт данных с помощью TCP или UDP. По умолчанию Services for LI MIX использует для транспорта данных протокол UDP. Вы можете настроить Server for NFS на TCP, который более надежен, но в некоторых ситуациях менее производи телен.
Диагностические утилиты. Services for UNIX поддерживает команды showmount и rpcinfo, позволяющие находить причины проблем с NFS.
Client for NFS Microsoft Client for NFS (Services for UNIX версии 1.0) позволяет компьютеру под управлением Windows NT действовать в качестве клиента NFS и обращаться к ка талогам и файлам, находящимся на сервере NFS. Клиент NFS монтирует каталог на сервере NFS.
Client for NFS обеспечивает следующие возможности.
Доступ к удаленным файлам. Каталоги и файлы, экспортированные с сервера NFS, могут быть смонтированы клиентом NFS локально. Права пользователя на доступ к этим каталогам или файлам определяются параметрами экспорта файло вой системы и применимыми разрешениями.
Настройка параметров монтирования. В UNIX пользователь или системный ад министратор подключается к удаленной файловой системе командой mount. Эта команда поддерживает набор параметров, специфичный для конкретной реализации UNIX. Services for UNIX поддерживает параметры монтирования, определяющие:
Х размер буфера, от которого зависит, сколько пакетов посылается в одном запро се на чтение или запись;
Х тип монтирования (жесткий или нежесткий). При жестком монтировании сис темные вызовы сервера, переставшего отвечать, повторяются бесконечно, а при нежестком монтировании этого не происходит. Файловые системы, экспортиру емые с разрешением на доступ для чтения и записи, требуют жесткого монтиро вания, чтобы гарантировать целостность данных;
Х время ожидания ответа от сервера при RPC-вызове;
Х количество повторных RPC-вызовов в отсутствие ответа от сервера NFS (толь ко при нежестком монтировании);
Х возможность использования блокировки файлов, позволяющей получать моно польный доступ к какому-либо файлу. Блокировка файлов в NFS работает эф фективнее, если ее применение разрешено на всех клиентах NFS;
Х возможность кэширования считываемых данных на клиенте NFS (такое кэши рование уменьшает число обращений к серверу NFS);
Х возможность кэширования записываемых данных па сервере NFS (такое кэши рование уменьшает издержки при записи небольших порций данных).
Выбор методов аутентификации. Поддерживается три метода аутентификации.
Х Анонимный UID. Способ идентификации пользователей без логина (имени) и пароля на сервере NFS.
Х Стандартная аутентификация в UNIX с использованием сервера NIS. Способ аутентификации пользователей, логины и пароли которых хранятся на сервере N1S.
Взаимодействие с другими системами 464 ЧАСТЬ Х Аутентификация PCNFSD. Способ аутентификации, при котором проверка ло гина и пароля для клиентских компьютеров NFS осуществляется с помощью демона pcnfsd.
Разрешение символьных ссылок. Services for UNIX разрешает переименование и удаление символьных ссылок. Чтобы Client for NFS мог найти целевой файл, на который указывает символьная ссылка в файловой системе, отличной от смонти рованной на данный момент, в специальном конфигурационном файле должна быть соответствующая запись. (Такой файл сопоставляет удаленную файловую систему с именем сервера этой файловой системы или именем общего сетевого ресурса.) В отсутствие подобной записи Client for NFS считает, что целевой файл находится па клиентском компьютере.
Подключение каталогов NFS как локальных дисков. Смонтированные каталоги NFS можно подключать как локальные диски в Windows-системе, что позволяет просматривать подключенный катало! с помощью Windows Explorer (Проводник), Изменение нрав на доступ к файлу. Client for NFS позволяет изменять UNIX разрешения для удаленных файлов.
Разрешение конфликтов из-за регистра букв в именах файлов. Поскольку UNIX чувствительна к регистру букв в именах файлов, a Windows Ч нет (она лишь со храняет исходные регистры букв), то Services for UNIX предусматривает настрой ки для разрешения конфликтов, связанных с регистром букв в именах файлов, Диагностические утилиты. Services for UNIX поддерживает команды showmount и rpcinfo, позволяющие находить причины проблем с NFS.
Протоколы NFS NFS состоит из протоколов семи уровней, соответствующих уровням модели OSI (Open System Interconnection).
Таблица 11-1. Уровни OSI и протоколы NFS Уровни OSI Уровни NFS NFS и NTS Прикладной XDR Презентационный Сеансовый RFC TCP, U DP Транспортный Сетевой IP Канальный Ethernet Физический Ethernet Описание уровней модели OSI см. в приложении А Модель OSI в книге Сети TCP/IP* из серии Ресурсы Microsoft Windows 2000 Server.
Протокол RPC Протокол RPC (Remote Procedure Call) позволяет вызывать процедуры, выполня емые па другом компьютере в сети. RPC базируется на модели клиент-сервера.
Клиент вызывает процедуру, которая кажется ему локальной, но на самом деле на ходится на удаленном компьютере. При вызове аргументы процедуры упаковыва ются в специальный формат и передаются по сети на сервер, где они распаковыва Services for UNIX ГЛАВА ются. Результат преобразуется в тот же формат и возвращается клиенту;
после рас паковки клиент получает значение, возвращенное удаленной процедурой.
RPC использует IJDP или TCP;
поскольку RPC-вызовы компактны, предпочтение отдается UDP. Из-за этого RPC-вызов должен содержать всю необходимую инфор мацию в одном пакете, так как UDP не гарантирует доставки пакетов в правиль ной последовательности. Кроме того, клиент может задать максимальное время ожидания, но истечении которого вызов повторяется или передается другому серверу.
RPC предоставляет набор процедур, называемых программами. Каждая программа (RPC-сервис) идентифицируется по номеру. Например, NFS Ч это программа под номером 100003.
Когда RPC-сервис запускается в UNIX, он регистрируется у демона portmapper. Тот фиксирует номер и версию RPC-сервиса и выделяет TCP- или UDP-порт, по кото рому этот сервис будет принимать входящие запросы. Демон porlmapper тоже яв ляется RPC-сервисом, который прослушивает TCP- и UDP-порты 111.
Получить список RPC-программ, зарегистрированных на данном компьютере, мож но с помощью команды rpcinfo (таблица 11-2).
Таблица 11-2. Параметры командной строки для rpcinfo Параметр Описание Перечисляет все RPC-программы, зарегистрированные -р [хост] па указанном хосте Посылает команду null целевому хосту и RPC-программе -ц <хост программа> с использованием UDP и сообщает, получен ли ответ [версия] <принят> Посылает команду null целевому хосту и RPC-программе -t
RPC-вызовы, доступные клиенту NFS, перечислены в таблицах 11-3 и 11-4.
Таблица 11-3. RPC-вызовы NFS версии Имя RPC-вызова Описание create Создать файл getattr Получить атрибуты файла link Создать связь с файлом lookup Найти файл с определенным именем mkdir Создать каталог read Читать из файла rcaddir Читать и,ч каталога rcadlink Читать по символьной ссылке remove Удалить файл rename Переименовать файл rmdir Удалить каталог 1взл.зз43 (см. след, стр ) 466 ЧАСТЬ 3 Взаимодействие с другими системами Таблица 11-3. (продолжение) Описание Имя RPC-вызова Установить атрибуты файла sctattr Получить атрибуты файловой системы slatfe symlink Создать символьную ссылку Записать в файл write Таблица 11-4. RPC-вызовы NFS версии Имя RPC-вызова Описание access Проверить права пользователя на доступ create Создать файл commit Записать кэшированные данные Получить атрибуты файловой системы t'sstat Получить информацию о файловой системе fsinfo getattr Получить атрибуты файла Создать связь с файлом link Найти файл с определенным именем lookup mkdir Создать каталог mknod Создать специальный узел устройств pathconf Извлечь информацию POSIX read Читать из файла Читать из каталога readclir readdirplus Расширенное чтение из каталога read] ink Читать по символьной ссылке remove Удалить файл rename Переименовать файл Удалить каталог rmdir setat.tr Установить атрибуты файла symlink Создать символьную ссылку write Записать в файл NFS-потоки Когда выдается запрос на какой-либо сервис NFS, сервер NFS под управлением Services for UNIX создает поток для обработки этого запроса. Каждый поток мо жет обрабатывать один запрос. Больший пул потоков позволяет серверу параллель но обрабатывать большее число NFS-запросов. Однако нужно учитывать, что слиш ком большое количество потоков может отрицательно повлиять на общую произ водительность сервера.
Для определения оптимального числа потоков используйте такую формулу:
16 + (4 X Л*) где N Ч число дополнительных процессоров на сервере NFS. В соответствии с этой формулой на двухпроцессорном сервере (iV= 1) не должно быть более 20 потоков.
Максимально возможное число потоков равно 512.
ГЛДВА 11 Services for UNIX Аутентификация PCNFSD NFS может использовать для проверки подлинности демон аутентификации PC/ NFS (PC/NFS daemon, PCNFSD). После аутентификации через PCNFSD выдается идентификатор пользователя (user ID, UID) и идентификатор группы (group ID, GID). Если UID- и GID-идентификаторы одинаковы на всех UNIX-серверах NFS, то на роль сервера PCNFSD нужно назначить только один из серверов. PCNFSD сравнивает имя и пароль пользователя с содержимым файла /etc/passwd. Обнару жив совпадение, сервер PCNFSD возвращает соответствующие UID и GID. Цели аутентификация не реализована (т.е. Вы не применяете ни PCNFSD, ни MS), Client for NFS назначает пользователю анонимные UID (-2) и GID (-1). Если сер вер NFS сконфигурирован на анонимный доступ, пользователь может обращаться к файлам в режиме доступа только для чтения*.
Команда show/mount Команда showmount запрашивает у демона mountd на указанном удаленном хосте информацию о том, какие клиенты монтируют каталоги с этого хоста. Демон mountd принимает запрос на монтирование от клиента NFS, проверяет список экс портируемых файловых систем в /etc/exports и, если запрос можно удовлетворить, создает описатель запрошенного каталога, а затем добавляет соответствующую за пись в /etc/rmtab на компьютере с UNIX.
Некоторые параметры команды showmount перечислены в таблице 11-5, Таблица 11-5, Параметры showmount Параметр Описание Перечисляет хост-имена клиентов и смонтированные ими каталоги в виде -а [хост] (хост: каталог) -d [;
rocm] Перечисляет каталоги, смонтированные клиентом -е [хост] Показывает список экспорта сервера NFS Поскольку команда showmount получает свою информацию через демон mountd, список смонтированных каталогов может оказаться неполным. Кроме того, show mount сортирует выводимую информацию и удаляет в ней повторяющиеся данные, поэтому каталог, смонтированный несколько раз, перечисляется только единожды.
Подробнее о showmount см. справочную систему Services for UNIX.
Особенности архитектуры NFS Понимание некоторых особенностей NFS, рассматриваемых в этом разделе, помо жет Вам оптимизировать работу NFS.
Inode Для записи информации о файле UNIX использует inode, которому присваивается уникальный номер. Inode назначается каждому файлу и каждому каталогу. У фай ла может быть несколько имен (в зависимости от числа связей), но только один inode. В inode содержатся следующие элементы;
Х номер inode;
Х имя файла;
ЧАСТЬ 3 Взаимодействие с другими системами Х размер и тип файла;
Х дата и время создания файла, его модификации и последнего обращения к нему;
Х дата и время изменения mode;
Х информация, связанная с защитой файла (владелец, группа, разрешения);
Х количество связей (ссылок);
Х карта с указателями на блоки данных, из которых состоит файл.
Именование файлов Сервер NFS применяет следующие правила именования файлов:
Х имя файла не должно быть длиннее 255 символов;
Х символы < > : " / \ j не должны встречаться в именах файлов;
Х сервер воспринимает знак точки как текущий рабочий каталог, а знаки л.. как родительский каталог текущего рабочего каталога.
Разрешения на типы доступа к файлам С каждым файлом сопоставлен набор разрешений, определяющих, кто имеет права на доступ к этому файлу и что он может делать с ним. (Изменять разрешения мо жет суперпользователь или тот, у кого есть права на доступ к корню.) Windows NT и UNIX используют разные механизмы сопоставления разрешений с файлами. В Windows NT для этого применяется список управления избирательным доступом (discretionary access-control list, DACL), а в UNIX Ч концепция режима доступа. Режим доступа можно изменять командой chmod, поддерживаемой Ser vices for UNIX.
В UNIX возможны следующие типы доступа к файлам: чтение, запись или выпол нение;
предоставляемые типы доступа зависят от того, кто обращается к файлу пользователь (user), группа (group) или прочие (other). Разрешения пользователя выдаются владельцу файла, разрешения группы Ч членам группы, к которой отно сится пользователь, создавший файл, разрешения прочих Ч пользователям, отлич ным от только что упомянутых категорий.
Таблица 11-6. Разрешения на типы доступа к файлам Тип доступа к файлу Описание Чтение Позволяет считывать файл или просматривать каталог Запись Позволяет создавать, изменять или удалять файл либо каталог Выполнение Позволяет запускать исполняемый файл или просматривать каталог UNIX идентифицирует пользователей и группы по UID и GID. У пользователя имеется единственный UID и один или несколько GID, которые хранятся в файле /etc/passwd.
Windows NT связывает разрешения с файлом, добавляя в DACL запись управле ния доступом (access control entry, ЛСЕ). АСЕ определяет какое-либо право, выдан ное конкретному пользователю или группе. Services for UNIX преобразует DACL в режим доступа UNIX, исходя из того, кто является владельцем файла и какие АСЕ сопоставлены с ним. Эта операция возможна только после корректного сопостав ления учетных записей пользователей и групп UNIX с соответствующими учетны ми записями Windows NT с помощью User Manager из Server for NFS.
Services for UNIX ГЛАВА Допустим, на компьютере с Windows NT создана пользовательская учетная запись johndo и добавлена в группу Users. На компьютере с UNIX тоже создана пользова тельская учетная запись johndo, но добавлена в группу Staff. В Server for NFS учет ная запись johndo из Windows NT сопоставляется с одноименной учетной записью из UNIX, а группа Users Ч с UNIX-группой Staff. Пользователь johndo становится владельцем файла letter.doc в экспортированной файловой системе NFS на компь ютере под управлением Services for UNIX, получает для себя и своей группы Users разрешения Full Control и выдаст разрешения List группе Everyone (т. е. мсем пользователям). Когда пользователь johndo обращается к файловой системе I4FS на компьютере под управлением Services for UNIX с UNIX-клиента NFS и вводит команду Is -1 применительно к файлу letter.doc, он видит следующее:
rwxrwxr-x 1 johndo staff 2116 Jul 1 14:54 letter.doc Первые девять символов (группами по три) указывают разрешения на чтение (read), запись (write) и выполнение (execute) для владельца (rwx), группы (rw;
) и прочих пользователей (г-х);
дефис обозначает отсутствие данного разрешения. За разрешениями сообщается число жестких связей (1), имя пользователя (johndo), имя группы (staff), размер файла (2116), дата и время последней модификации файла (Jul 1 14:54) и имя файла.
Примечание Когда владельцем файла является член Windows NT-группы Administ rators, возникает особая ситуация. В этом случае Server for NFS автоматически-лри сваивает ему UID 0 (корень) на компьютере с UNIX.
Если бы владелец файла не получил явные разрешения через АСЕ, то в предыду щем примере у владельца не было бы прав на доступ к этому файлу (режим досту па 0). Администратор Server for NFS может смешаться в эту схему, установив фла жок Implicit Permissions на вкладке Security Permissions диалогового окна Server for NFS Configuration. Если флажок Implicit Permissions установлен, Server for NFS комбинирует разрешения, выданные любым группам, в которые входит владе лец файла и которые предоставляют какие-либо права на доступ к этому файлу, с разрешениями для группы Everyone. На основе этой комбинации разрешений вла делец получает соответствующие права на доступ к своему файлу.
Файл, создаваемый в Windows NT, наследует разрешения своего родительского ка талога. Если клиент NFS выдает команду chgrp или chmod, выполняемую на сер вере с Services for UNIX, тогда по умолчанию Server for NFS удаляет любые суще ствующие элементы в DACL и создает свои записи для трех сущностей NFS (вла дельца, группы и прочих). В итоге файл теряет унаследованные разрешения. Ад министратор Server for NFS может вмешаться в эту схему, выбрав Augment DACL на вкладке Security Permissions. Тогда Server for NFS записывает и разрешения, унаследованные от родительского каталога.
Символьные ссылки Символьная ссылка (symbolic link) Ч это файл, указывающий на другой файл и.ти каталог (т. е. он содержит путь к другому файлу или каталогу). Символьная ссыл ка может указывать на файл или каталог в любой файловой системе UNIX, дос тупной по сети. Система находит целевой файл, считывая содержимое символьной ссылки. Такие ссылки очень удобны, если, например, файл должен быть доступен из нескольких каталогов.
Взаимодействие с другими системами 470 ЧАСТЬ Символьные ссылки могут содержать абсолютный или относительный путь. По скольку ссылка разрешается в файловой системе на клиенте, может получиться так, что она указывает на файл или каталог, которого нет на клиентской системе, либо па файлы, находящиеся в неподключенном каталоге. Такие файлы недоступны.
RFC-вызов сервера для определения адресата символьной ссылки возвращает путь, который интерпретируется на клиенте, но который может указывать на файловую систему, не смонтированную клиентом. Если клиент монтирует каталог с символь ной ссылкой, он должен смонтировать и каталог с целевым файлом, иначе этот файл останется недоступным.
Кроме того, Client for NFS может проверять содержимое локального конфигураци онного файла (заполняемого вручную) и находить корректные адреса (если они там есть) целевых файлов, на которые указывают символьные ссылки.
Например, системный администратор UNIX-сервера NFS, server 1, создает символь ную ссылку с именем public, указывающую на фиктивный каталог /server2. В этом случае команда Is -1 сообщает:
Irwxrwxrwx 2 root other 8 Jul 1 16:25 public->/server Далее на компьютере Client for NFS или в сетевой файловой системе, доступной с этого компьютера, системный администратор создает текстовый файл со списком предполагаемых символьных ссылок. Его записи выглядят примерно так:
server2 \serveг2\ння_общвго_ресурса Когда компьютер Client for NFS подключается к экспортируемой файловой систе ме на server 1, он разрешает символьную ссылку public и инициирует NFS-соедине ние с \server2:\шия_о(5н$его_ресг/рсй. Это позволяет клиенту просматривать файлы, хранящиеся на удаленном сервере server2.
Блокировка файлов Эта функция позволяет процессу получить монопольный доступ к файлу или его части. Блокировка файлов реализуется на сервере и клиенте. Сервер, перезагружен ный после краха, пытается восстановить предыдущее состояние всех блокировок, Если крах происходит на клиенте, сервер освобождает блокировку, установленную этим клиентом. Однако после перезапуска клиент может быстро возобновить бло кировку (если успеет сделать это в течение очень короткого времени). Когда файл блокирован, буферный кэш для него не используется. Каждый запрос на запись немедленно посылается серверу.
Блокировка файлов в BSD UNIX реализуется иначе, чем в System V UNIX (это две версии UNIX, от которых произошло большинство современных операционных систем UNIX). BSD поддерживает блокировку только локальных файлов;
блоки ровки в System V обрабатываются отдельно от NFS с помощью демонов lockd и statd. Первый выполняется как на клиенте, так и на сервере для обработки запро сов на блокировку и для освобождения блокировок. Удаленные демоны lockd взаи модействуют друг с другом по протоколу NLM (Network Lock Manager).
Кэширование файлов Кэширование файлов заключается в сохранении часто используемых данных в опе ративной памяти. Буферный кэш UNIX Ч это часть системной памяти, выделяе мая под блоки файлов, на которые недавно были ссылки. В NFS кэширование фай Services for UNIX ГЛАВА 11 лов применяется па клиенте (чтобы не передавать лишние RPC-запросы по сети) и на сервере (для повышения его пропускной способности). NFS обеспечивает цело стность данных, несмотря на существование клиентского и серверного кэшей.
Редиректор NFS, открывая какой-либо файл только для чтения или для чтения/ записи, использует системный кэш Windows NT. Когда данные записываются в файл, они на самом леле записываются в КУШ и перелаются редиректору позднее.
Если в сети произойдет какой-нибудь серьезный сбой в момент пересылки данных удаленному серверу, запрос на запись может закончиться неудачей.
Диспетчер кэша Windows NT также выполняет опережающее чтение, заранее заг ружая в кэш следующий блок данных из файла. В результате однозначно сопоста вить запрос приложения на чтение/запись и NFS-вызов нельзя.
Редиректор NFS поддерживает блокировку файлов с использованием протокола NLM. Кэширование данных разрешается, если блокировка файлов запрещена.
Server for NFS не предусматривает кэширования файлов.
Клиент и сервер Telnet в Services for UNIX Примечание Windows 2000 Server предоставляет сервер Telnet (поддерживающий не более двух клиентских соединений одновременно) и клиент Telnet, Telnetc.exe.
Подробнее на эту тему см. справочную систему Windows 2000 Server.
Клиентское программное обеспечение Telnet позволяет соединяться с удалеплым компьютером, а серверное программное обеспечение Telnet дает возможность кли ентам Telnet подключаться к серверу, регистрироваться на нем и запускать его при ложения.
Клиентское и серверное программное обеспечение Telnet, поставляемое с Services for UNIX версии 1.0, принимает соединения от UNIX- и Windows-клиентов Telnet и позволяет им подключаться друг к другу и к любым серверам Telnet. Пользовате ли UNIX могут обращаться к Windows-серверам и запускать па них программы с текстовым интерфейсом;
кроме того, па сервере Telnet под управлением Services for UNIX можно запустить какую-нибудь оболочку UNIX, например Кот. Программ ное обеспечение Telnet в Services for UNIX также позволяет системному админист ратору удаленно управлять Windows- и UNIX-серверами.
Программное обеспечение Telnet в Services for UNIX поддерживает:
Х удаленное администрирование UNIX из Windows, Windows из UNIX и Windows из Windows;
Х средство управления сервером Telnet с текстовым интерфейсом;
Х интерфейс эмуляции командной строки Telnet;
Х терминал типа VTNT для соединений между Telnet-клиентом Services for UNIX и Telnet-сервером Services for UNIX;
Х эмуляцию терминалов VT100, VT52, VTNT и ANSI;
Х NTLM-аутентификацию для сеансов Telnet между Windows-компьютерами с использованием Microsoft-клиента и сервера Telnet;
Х общеизвестные параметры и команды Telnet.
Взаимодействие с другими системами 472 ЧАСТЬ Протокол Telnet Для подключения клиента к удаленному компьютеру, выполняющему серверное программное обеспечение Telnet, используется протокол Telnet, определенный в RFC 854. Он предоставляет механизм двухстороннего коммуникационного взаимо действия, позволяющий терминальным устройствам и процессам, ориентирован ным на терминалы, обращаться друг к другу. Telnet передает данные и управляю щую информацию по TCP. По умолчанию Telnet использует TCP-порт 23.
Network Virtual Terminal Network Virtual Terminal (NVT) Ч это определение базового терминала и стандарт, которого должны придерживаться обе стороны Telnet-соединения. Он определяет, как данные и команды передаются по сети, и обеспечивает взаимодействие между Telnet и самыми разнообразными аппаратными платформами и операционными системами. NVT состоит из виртуальной клавиатуры, генерирующей указанные пользователем символы, и принтера, выводящего определенные символы. Клиен ты и серверы Telnet могут сопоставлять свои локальные устройства с NVT и исхо дить ш того, что остальные клиенты и серверы делают то же самое.
Сеанс Telnet Если в команде telnet не указывается имя какого-либо компьютера. Telnet перехо дит в интерактивный режим командной строки и выводит соответствующее при глашение пользователю. Активизация Telnet приводит к тому, что он создает TCP соединение с сервером и демоном Telnet, tlntsvr. Установив соединение, Telnet пе реходит в режим ввода. В зависимости от настроек удаленного компьютера введен ный текст передается посимвольно или построчно.
Пользователи могут в любой момент активизировать командный режим Telnet с помощью escape-последовательности. В Services for UNIX такая последовательность представляет собой комбинацию клавиш Clrl-t-Л.
Функциональность Telnet Кроме стандартной функциональности (определяемой NVT), клиенты и серверы могут согласовывать дополнительную. Механизм определения функций Telnet опи сан в RFC 855. Каждой функции Telnet назначается свои номер.
Функциональность обычно согласуется в начале сеанса Telnet, но может быть зап рошена и позже. При согласовании стороны обмениваются последовательностями номеров функций. Любая из сторон может запросить какую-либо функцию, а дру гая Ч согласиться с запросом или отклонить его. Синтаксис протокола согласова ния включает четыре команды: WILL/DO (запрос или предложение) и WON'T/ DON'T (прямо противоположное). Потенциально согласование функциональнос ти может привести к бесконечному обмену подтверждениями.
Services for UNIX поддерживает следующую функциональность Telnet:
Х NTLM-аутентификацию, использующую алгоритм рандомизации и шифрован ные пароли;
Х эмуляцию терминалов, при которой компьютер действует как терминал выбран ного типа (VTNT, VT100, VT52 или ANSI).
Services for UNIX ГЛАВА 11 Безопасность Telnet Services for UNIX предоставляет два варианта защиты:
Х UNIX-аутентификацию, при которой используется логин и пароль UNIX Па роль передается открытым текстом;
Х NTLM-аутентификацию между клиентом и сервером Telnet из Services for UNIX.
Это сквозная аутентификация, при которой удостоверения защиты (имя доме на, имя пользователя и хэшированный пароль) передаются через контроллеры доменов по соединениям между доверяемыми доменами. При этом пользовате лю не предлагается ввести логин и пароль. Этот вариант обеспечивает интегра цию с системой защиты Windows.
При использовании NTLM можно обращаться к ресурсам только данного уда ленного компьютера Ч доступ к другим сетевым ресурсам требует новой аутен тификации.
Синхронизация паролей Services for UNIX версии 1.0 содержит компонент Password Synchronization, кото рый обеспечивает синхронизацию паролей между компьютерами с Windows и UNIX, повышая степень взаимодействия двух систем. Этот компонент поддержи вает общий пароль как на компьютере с Windows, так и на компьютере с UNIX.
Password Synchronization в Services for UNIX позволяет системному администрато ру так конфигурировать сеть с Windows- и UNIX-системами, что изменение iiiipo ля в Windows автоматически распространяется и на эквивалентное имя пользова теля в файлах паролей группы компьютеров с UNIX. Services for UNIX можно на строить на передачу измененных паролей из Windows NT в UNIX либо открытым текстом, либо в зашифрованной форме. Все пароли пользователей должны соответ ствовать правилам как Windows, так и UNIX.
Компонент Password Synchronization поддерживает:
Х одностороннюю синхронизацию паролей (от Windows к UNIX);
Х небезопасную синхронизацию паролей, передаваемых открытым текстом (для этого используется команда rlogin);
Х безопасную синхронизацию паролей с применением метода шифрования Triple DES, специального демона из состава Services for UNIX, шифровального ключа для изменения пароля в файле /etc/passwd и NIS (Network Information Service) или NIS+;
Х административные утилиты для управления всеми процессами синхронизации паролей.
Использование синхронизации паролей Реализуя синхронизацию паролей с помощью Services for UNIX, примите во вни мание следующие соображения.
Имя и пароль пользователя. Имя и пароль пользователя должны быть одинако вы па Windows- и UNIX-компьютерах, настроенных на синхронизацию паролей.
Имена и пароли чувствительны к регистру букв, Взаимодействие с другими системами 474 ЧАСТЬ Контроллеры домена. Если Вы установили Services for UNIX версии 1.0 для Windows NT 4.0, на всех контроллерах домена Windows NT нужно установить Services for UNIX с компонентом Password Synchronization. Если Services for UNIX установлена только на первичном контроллере домена (РОС) и он выходит из строя, на роль РОС выбирается резервный контроллер домена (BDC). Если на нем не установлен Services for UNIX с компонентом Password Synchronization, база дан ных паролей окажется в рассинхронизированном состоянии.
Изменение паролей. Реализовав синхронизацию паролей, не меняйте пароли в UNIX Ч они будут перезаписаны при очередной смене паролей в Windows.
Способ синхронизации. Все компьютеры в UNIX-секции должны использовать одинаковый способ синхронизации паролей Ч безопасный или небезопасный.
UNIX-секция (UNIX pod) Ч это группа UNIX-систем, в которой один из компью теров успешно принимает пароль, обновленный в Windows NT.
NIS/NIS+ и синхронизация паролей. Services for UNIX не поддерживает обнов ление паролей для NIS или NIS+ с помощью команды rlogin, поэтому, если UNIX компьютеры управляют системно-независимой информацией (например, логинами и паролями) через NIS или NIS+. Вы должны использовать безопасный способ син хронизации паролей.
NIS и распространение изменений в паролях. Если в синхронизации паролей участвует домен NIS, Services for UNIX обновляет главный домен NIS/NIS+, а тот распространяет изменения на подчиненные серверы NIS/NIS+.
Установка демона ssod. При использовании безопасной синхронизации паролей на каждом компьютере UNIX-секции должен быть установлен демон ssod. постав ляемый с Services for UNIX.
Небезопасная синхронизация паролей. При использовании небезопасной синх ронизации паролей нужно корректно настроить файлы /etc/hosts и.rhosts на всех компьютерах в UNIX-секции, чтобы rlogin могла использовать команду passwd для входа в корень. Кроме того, нужно модифицировать файл /etc/default/login на ра бочих станциях Sun Sparcstatkm и отключить вход в корень только через консоль.
Защита Компонент Password Synchronization в Services for UNIX посылает обновления па ролей по сети открытым текстом или в зашифрованном виде. Первый способ (не безопасный) допустим, только если Вас не волнуют проблемы защиты. При вто ром способе используется алгоритм шифрования Triple OES (3DES), кратко опи сываемый в разделе Triple DES далее в этой главе.
Если выбран небезопасный способ, смена пароля на UNIX-компьютере осуществ ляется командой rlogin. Компонент Password Synchronization использует логин с привилегиями корня для доступа к passwd и обновления пароля пользователя в UNIX. Файл.rhosts должен содержать имена нужных компьютеров, полные хост имена (не псевдонимы) компьютеров Windows NT и имя корня. В файле /etc/hosts должны быть требуемые сопоставления имен хостов с IP-адресами. Если Вы ис пользуете Sun Sparcstation, модифицируйте файл /etc/default/login и отключите вход в корень только через консоль Примечание NIS и NIS+ не поддерживаются rlogin. Если в Вашей сети использует ся NTS или NIS+, выбирайте безопасный способ синхронизации паролей.
Services for UNIX ГЛАВА Если выбран безопасный способ синхронизации паролей, системный администра тор UNIX должен скопировать на UNIX-компьютер программу ssod, поставляемую на компакт-диске Services for UNIX. Ее нужно установить как демон и настроить на запуск при загрузке компьютера. Этот демон открывает соответствующий порт и ждет уведомления о пароле от компьютера с Windows NT. Системный админист ратор должен выбрать шифровальный ключ и добавить его в файл ssod.config на UNIX-компьютере, а также на компьютер с Windows NT, используя Windows NT to-UNIX Password Synchronization Service Administrator.
Services for UNIX включает версии двоичных файлов ssod для Solaris, Digital UNIX и HP-UX.
Каждый хост в UNIX-секции должен использовать один и тот же шифровальный ключ. К этому ключу предъявляются следующие требования.
Х Его длина должна быть минимум 12 символов.
Х Он должен содержать символы хотя бы из следующих трех групп:
Х прописные английские буквы;
Х строчные английские буквы;
Х арабские цифры;
Х специальные символы ( ' ' ! @ # $ % л & * _ - + = \ { } [ ] : ;
Примеры файлов В этом разделе приведено несколько примеров UNIX-файлов, используемых ком понентом Password Synchronization.
Файл /etc/passwd содержит информацию о пользователях. Каждая запись состоит из семи полей, разделяемых двоеточиями:
login-id: password: DID :GID: use [".information: home-directory: shell Б поле login-id хранится имя, которое данный пользователь вводит при регистра ции. Поле password содержит либо зашифрованный пароль, либо специальный мар кер, если пароль находится в файле /etc/shadow (доступном только корневым пользователям). Поле UID Ч это числовой идентификатор пользователя, а поле GID Ч числовой идентификатор группы, к которой относится данный пользователь.
В поле user_information записывается дополнительная информация о пользователе (если она нужна). Поле home-directory сообщает абсолютный путь к основному ка талогу пользователя, а поле shell указывает программу, запускаемую при входе пользователя в систему. При необходимости в этом поле можно определить специ фическую оболочку (например, /usr/bin/ksh запускает оболочку Korn, /usr/bin/sh Ч оболочку Bourne).
Файл /etc/shadow хранит информацию о пароле пользователя и доступен только суперпользователю. Его записи состоят из девяти полей, разделяемых двоеточиями:
login-id:password:lastchg:min:max:warn;
inactive:expire:flag Поле login-id содержит имя, которое данный пользователь вводит при регистрации, поле password Ч зашифрованный пароль- иоле lastchg Ч число дней, прошедших с января 1970 года до даты последней смены пароля, поле min Ч минимальный ин тервал (в сутках), через который нужно менять пароль, поле max Ч максимальный срок действия пароля (в сутках), поле warn Ч интервал (в сутках), в течение кото рого пользователь получает предупреждения об истечении срока действия пароля, Взаимодействие с другими системами 476 ЧАСТЬ поле inactive Ч срок (в сутках), в течение которого пользователь может не входить в систему. Наконец, поле expire указывает последний день, в который можно вос пользоваться данным логином, а поле flag в настоящее время не применяется.
Файл /etc/group хранит информацию о группах. Каждая запись состоит из четы рех полей, разделяемых двоеточиями:
group-name;
password:group-ID:list-of-names Поле group-name сообщает имя группы. Поле password может содержать необяза тельный зашифрованный пароль. Поле group-ID содержит числовой идентифика тор группы, а поле list-of-nam.es Ч имена всех членов группы (через запятую).
Файл /etc/hosts перечисляет все хосты в сети, включая локальный. Он увязывает имена хостов с IP-адресами. Каждая строка файла, описывающая один хост, состо ит из трех полей, разделяемых пробелами:
IP-адрес имя_хоста псевдоним Файл /etc/hosts.equiv перечисляет хосты и пользователей, которые могут удален но выполнять команды на данном хосте без пароля (доверительные отношения).
Файл.rhosts определяет удаленных пользователей, имеющих право использовать локальную учетную запись без пароля. Этот файл является скрытым;
он находится в основном каталоге пользователя и должен принадлежать этому пользователю, Файлы /etc/hosts.equiv и.rhosts имеют одинаковый формат:
имя^хоста имя_пользователя Оба файла позволяют указывать знак плюс (+Х) в качестве символа подстановки.
Знак плюс после имени хоста или пользователя означает установление довери тельных отношений со всеми пользователями конкретного хоста или всех хостов, на которых имеется учетная запись данного пользователя. Если знак плюс поме щается в самое начало файла, доверительные отношения устанавливаются со все ми пользователями на всех хостах в сети. С этой возможностью следует быть край не осторожным. Хосты или пользователи, чьи имена не указаны в файле, не входят в число доверяемых.
Triple DES Triple DES, используемый компонентом Password Synchronization, представляет собой разновидность DES (Data Encryption Standard). DES Ч метод шифрования, при котором отправитель и получатель шифруют и расшифровывают данные, при меняя общий секретный ключ. DES работает с 56-битными ключами. Triple DES шифрует данные по алгоритму DES три раза подряд.
Утилиты UNIX и оболочка Когп С помощью утилит UNIX и оболочки Когп можно автоматизировать процессы на платформах Windows NT и UNIX.
Оболочки UNIX Services for UNIX версии 1.0 включает оболочку Когп. Она представляет собой ин терпретатор команд, действующий как интерфейс операционной системы UNIX.
Оболочка принимает команды, вызывает соответствующие программы и возвраща ет результаты на стандартное устройство вывода. Многие оболочки также предос ГЛАВА 11 Services for UNIX гавляют высокоуровневый язык программирования, позволяющий решать сложные задачи за счет использования базовых утилит и функций операционной системы.
Оболочка Когп, разработанная Дэвидом Корном (David Korn) из компании AT&T, сочетает в себе лучшие качества оболочек С и Bourne. Оболочка Bourne, разрабо танная Стивеном Борном (Steven Bourne) из компании AT&T, была первой оболоч кой UNIX. Эта оболочка предоставляет мощный язык программирования, а оболоч ка С Ч целый ряд возможностей, недоступных через оболочку Bourne, например присвоение командам псевдонимов, механизм хронологии введенных команд и уп равление заданиями. Функциональность различных оболочек перечислена в табли це 11-7.
Таблица 11-7. Функциональность различных оболочек Bourne С Когп Псевдонимы команд X X \ \ Хронология команд ч Редактирование командной строки \ Управление заданиями X \ Поддержка ныполнения сценариев X X Для операционной системы UNIX созданы и другие оболочки. Б частности, Bash (оболочка Bourne Again) является расширением оболочки Bourne, которое сочета ет в себе функциональность оболочек Когп и С и обычно используется для Linux.
Или, например, Tcsh Ч расширенная версия оболочки С, которая поддерживаем ав томатическую подстановку команд по первым буквам их имен, редактор команд ной строки и более совершенные средства работы с хронологией команд.
Использование оболочки Когп Реализация оболочки Когп, поставляемая с Services for UNIX, отличается от стан дартной UNIX-оболочки Когп:
Х записи в переменной PATH отделяются не двоеточиями, а точками с запятой;
Х текущий каталог в PATH обозначается как ;
;
или ;
.;
вместо точки (.);
Х стартовый файл называется profile.ksh, а не.profile;
Х стартовым файлом для общесистемных переменных окружения является /etc/ profile.ksh, а не /etc/profile;
Х файл хронологии команд, вводившихся пользователем, называется sh_histo, л не sh_hi story;
Х задания можно выполнять в фоновом режиме, для чего в командной строке ука зывается знак &.
Если системный администратор указывает оболочку Когп как стандартную для Нас на сервере Telnet, то при обращении к серверу Services for UNIX через Telnet Вы будете регистрироваться именно в этой оболочке. Если Вы хотите работать с обо лочкой Когп без регистрации в пей, используйте команду sh (в стандартной обо лочке Korn Ч ksh).
Переменные окружения Переменная состоит из имени и присвоенного ей значения. Вы можете определять переменные и использовать их в сценариях оболочки. Прочие переменные, назына Взаимодействие с другими системами 478 ЧАСТЬ емые переменными оболочки, устанавливаются самой оболочкой. Имя переменной может состоять из букв, цифр (цифра не должна быть первым символом) и знака подчеркивания, Значение присваивается знаком равенства без пробелов. Опреде лив переменную, Вы должны исполкюватъ команду export, чтобы значение этой переменной стало доступным другим процессам.
После входа в оболочку Когп запускается файл profile.ksb. Он устанавливает пользовательские переменные окружения и режимы терминала. (Системный адми нистратор может с помощью файла /etc/profile.ksh устанавливать общесистемные переменные для всех учетных записей пользователей в системе.) В таблице 11-8 перечислены многие переменные оболочки Когп из Services for UNIX. Полный список переменных этой оболочки см. в справочной системе Ser vices for UNIX в разделе, описывающем команду sh.
Таблица 11-8. Переменные окружения, используемые оболочкой Когп Имя переменной Описание Разворачивается в аргумент предыдущей выполненной команды Путь поиска, используемый командой cd CDPATH COLUMNS Определяет ширину области нывода для программ, считывающих значе ние этой переменной, например для vi EDITOR Определяет редактор, вызываемый системой по умолчанию, в отсутствие других указаний ENV Если ENV установлена, то при загрузке оболочки сначала запускается указанный файл ERRNO Значение, которое устанавливается последней подпрограммой, закончив шейся неудачей FIGNORE Содержит шаблон, определяющий, какие файлы следует игнорировать при подстановке файлов (file expansion) FCEDIT Редактор для команды fc HISTFILE Абсолютный путь к файлу (по умолчанию Ч к sh_histo), содержащему хронологию команд HISTSIZE Количество команд в файле хронологии НОМЕ Абсолютный путь к Вашему основному каталогу, который становится текущим после Вашей регистрации (входа в систему) IFS Символы, используемые как разделители внутренних полей LTNENO Номер строки из стандартного ввода, обрабатываемой в данный момент сценарием оболочки (shell script) Количество строк вывода, используемых оператором select при распечат LINES ке своего меню MAIL Абсолютный путь к файлу, в котором хранится Ваша почта MAILCHECK Интервал (в секундах), через который оболочка проверяет поступление новой почты MAILPATH Файлы почтового ящика, в который посылается уведомление о появле нии новой почты OLDPWD Путь к предыдущему рабочему каталогу PATH Абсолютные пути к каталогам, в которых оболочка ищет исполняемые файлы РРШ Идентификатор процесса, создавшего процесс оболочки PS1 Приглашение, выводимое оболочкой;
в оболочке Когп приглашение но умолчанию обозначается знаком $ Services for UNIX ГЛАВА Таблица 11-8. (продолжение) Имя переменной Описание PS2 Приглашение вторичной оболочки PWD Путь к текущему рабочему каталогу RANDOM Генерирует случайное число REPLY Содержит пользовательский ввод, полученный от оператора select SHELL Абсолютный путь к текущей оболочке;
используется командами для обра щения к оболочке TMOUT Период простоя (в секундах), по истечении которого оболочка завершается VISUAL Указывает редактор по умолчанию, переопределяя переменную EDITOR Метасимволы Оболочка Когп интерпретирует некоторые символы особым образом. Когда в выраже нии присутствует метасимвол, он воспринимается так, как показано в таблице 11-9.
Таблица 11-9. Метасимволы оболочки Когп Символ Описание \ Escape-символ. Превращает следующий за ним символ в обычный (если он имеет особый смысл) Символ подстановки произвольного числа символов V Символ подстановки одного символа [] Шаблон подстановки (знаки указываются в квадратных скобках) < Перенаправляет стандартный ввод па заданный файл > Перенаправляет стандартный вывод в заданный файл Записывает стандартный вывод в конец указанного файла | Символ конвейеризации;
переключает стандартный вывод одной ком шды на стандартный ввод другой & Этот знак, добавленный в командную строку, заставляет соответствую> щий процесс работать в фоновом режиме Представляет путь к основному каталогу пользователя Текущий каталог Родительский каталог текущего каталога S1-S9 Представляет первые девять аргументов какой-либо команды / Корневой каталог Задает строку;
допускается указание переменной Задает строку;
допускается указание переменной Если командная строка заключена в эти символы, оболочка выполняет команду и вместо строки использует вывод () Позволяет группировать команды ;
Разделяет команды в командной строке newline (Enter) Начинает выполнение команды Команды оболочки Когда Вы вводите команду в строке приглашения, оболочка анализирует эту ко манду, подставляет нужные значения переменных и псевдонимов, а затем выпол няет ее.
"Х^'лpaaiZ;
^Згалог "-"""ли echo "''' ^шолненм J~ff\ environ ^H=H=^:=:::,= evaJ exec exit Взаимодействие с другими системами 480 ЧАСТЬ Базовый синтаксис команд выглядит так:
имя_команды аргумент! аргумент?. >имя_файла Команда может принимать параметры, модифицирующие ее действие. Например, Is перечисляет содержимое каталога, но не включает скрытые файлы (имена кото рых начинаются с точки). Увидеть и скрытые файлы позволяет команда Is -a.
Оболочка обрабатывает команду после нажатия клавиши Enter. Команды можно вводить в одну строку, разделяя их точками с занятой;
они тоже обрабатываются только после нажатия клавиши Enter.
Выполняя команду, оболочка запускает процесс. Каждому процессу присваивается свой идентификатор (process ID, PID), используемый для доступа к процессу. Про цессы можно выполнять как фоновые или активные, а также приостанавливать или отменять. Родительские процессы порождают дочерние, которым также присваи ваются собственные PID.
Команда принимает стандартный ввод с терминала и посылает стандартный вывод и стандартную ошибку на терминал.
Стандартный ввод можно перенаправить на файл:
имя_комаиды < имя _файла Стандартный вывод также можно перенаправить на файл:
имя_команды > имя_файла Для записи вывода в конец существующего файла:
имя_команды имя_файла Кроме того, в файл можно перенаправить и вывод стандартной ошибки:
гшя_команды 1> имя_файла1 2>имя_файла Стандартный вывод направляется в первый файл, а стандартная ошибка Ч во второй.
Стандартный вывод одной команды можно подключить к стандартному вводу дру гой с помощью символа конвейеризации:
имя_коман()ы \ имя_команды >имя_файла Оболочка Когп из Services for UNIX является программируемой и поддерживает команды, обеспечивающие структуризацию (таблица 11-10). Полный список таких команд см. в справочной системе Services for UNIX (раздел, описывающий коман ду sh).
Таблица 11-10. Команды оболочки Когп для программирования Команда Описание case Выполняет команды в зависимости от значения переменной for Выполняет список команд if Задает условие в сценарии select Записывает указанные слова в стандартную ошибку until Выполняет список команд до тс.ч пор, пока не будет возвращено нулевое значение while Выполняет список команд, пока определенное условие истинно В оболочке Когп из Services for UNIX также имеются встроенные команды (табли ца 11-11). выполняемые собственным процессом оболочки. Более подробное опи сание этих команд см. в справочной системе Services for UNIX.
,,,\ нгевд"*-*" Х o9 4ftG' Ч Десте с параме^^созда ма дони псев псе* предопределен^ Что6ы Services for UNIX ГЛАВА 11 Таблица 11-12. Знаки арифметических и логических операций Знак операции Описание + Плюс Минус Умножение / Целочисленное деление Остаток % л Побитовый сдвиг влево Побитовый сдвиг вправо Побитовая операция and & && Логическая операция and Побитовая операция or !, Логическая операция ог Побитовая операция хог Логическая операция not '.
Побитовая операция not < Меньше > Больше = 1= Не равно Равно Сценарии оболочки Сценарий оболочки (shell script) Ч это файл, который содержит серию команд для выполнения определенной задачи. Вы можете запускать сценарий из командной строки, если оболочка Когп загружена и если у Вас есть право на запуск этого сце нария. Если оболочка Когп не загружена, сценарий можно запустить командой:
sh имя_файла Windows NT не поддерживает запуск сценария из командной строки только по име ни его файла, но в UNIX это возможно Ч при условии, что путь к исполняемому файлу оболочки и имя этого файла указаны в первой строке самого сценария, на пример:
#[/bin/sh Расширения имен файлов должны быть сопоставлены с какими-либо программа ми, В частности,.sh или.ksh можно связать с оболочкой Когп.
Управление заданиями Поддержка управления заданиями позволяет выполнять какую-либо команду в фоновом или активном режиме, а также временно приостанавливать ее работу. Кро ме того, Вы можете просматривать список команд, выполняемых в данный момент.
Когда Вы вводите команду (не встроенную в оболочку), оболочка порождает но вый процесс, в котором эта команда и выполняется. Ядро включает этот процесс в число планируемых и присваивает ему идентификатор PID. Оболочка отслежива ет данный процесс и назначает ему номер задания.
ЧАСТЬ 3 Взаи v од(!й(л Х не с другими системам Интерактивные или Smpo выполняемые i ронеа-\-л могут работать как активные (foreground). Остадьнь'..;
' пргдсссы обычно sn.iчсишлются как фоновые Ч особенно те команды, обработка к:по|>ьтх занимает л/ и т г п j j i o e время, например сортировка большого числа элешчп".>:. Т>ы можете перс :одгл. процесс в активный или фоно вый режим, а также г-ремнп-.о приостанавлн L;
;
iTfc или принудительно завершать его.
Команды, предназначен к ы е ;
;
я управлении гаданиями и поддерживаемые Services for UNIX, перечислен].! в таблице 11-13.
Таблица 11-13. Компг;
,[;
ы для управления.;
ацалш[лн Команда П е р с - I I ел лет текущие :1ада Х i-is. К;
Е дому заданию присваивается свой jobs - I I D V K. Параметр -1 заставляет ;
а ч п у ю команду показывать PID.
В п.пши:" команду в фоно:он режиме, Например, команда & scirt гмп'_ фаша новый_(pai>.r, &-.
[ I p K - i v. n i i c j i h i u ) завершает. : л,;
1 H I L, указанное но номеру. Номер зада kill номер_задания н ш по (а:п.шастся, когда оно 1\л гусиаотся с указанием метасимвола & i n n |;
с>мы1доп jobs.
Утилиты UNIX В таблице 11-14 пр.'дс.мч.пеньт утилиты 1. M I X, доступные как часть Services for UNIX. Более подроо-\ 1: информацию об.г^их утилитах см. в справочной системе Services for UNIX.
Таблица 11-14. Утилиг ;
1 UNIX Описание UNIX-команда ii"i' о()олочку Korn sh Удал я:" г и т.: оставляя тольк.:.[\\'л ф.:йла;
удаляет любые префиксы, за basename к а н ч н з ш г. п и ;
ся символом л/, м OT(KI >ажает результат на стандартном устр nic i i !. ;
ш.шода Вып ;
JH;
I "Х ьонкатенацкю и nr:лn iin;
. ;
т файл cat chmod Иам?1гг:' и.ш назначает pa;
ipci ICHIIH на доступ к файлу chown Поавол;
н г с!.'енить владельцу файла Коп \\>\".1 :р;
. тлы ср dirname Возт^аидет ьссь путь, кроме ш.ч Х! :,'.:з1'го уровня (имени файла) Реку - ж п п ш просматривает И!фа;
>ш-: катало]-ов в поисках файлов, подхо find дящ. л :и.цампому булеву в ы р а ж е н и и ) grep Ип ],(ХХ: ii ^iiiii.ie пли в файлах.ш'р^ньш шаблон и выводит всю строку, со деркЕшун:.мот шаблон head Коп ipycr первые п строк ука;
шш )го текстового файла на стандартное y C T f o k i T i -. i D пывода In Создг.е- гсггкую связь с ф а Я / о м ;
ш н ы й файл сопоставляется с целевым Перечне. iii
ыо^а Is Соз Uu?" 1 уимюванный катало: с f)a: :.]iiH спиямн на чтение, запись и вы mkdir по;
[ ic:. с д.1л пользователей п г е ч т ^ л о в тоге Фильтг! позволяющий носледо1,а"е;
и:НО (по одной экранной странице) выв:ди", содержимое текстовою фаЕ.ла на термина.'!
г mv Перел(:Ч|.:е [ файл в укаланн.Х - -.вта/, >i rm Удапл(!1 фаИл из каталога Services for UNIX ГЛАВА 11 Таблица 11-14. ('продолжение) UNIX-команда Описание rmdir Удаляет каталог sed Потоковый редактор (колирует указанный файл на стандартное устрой ство вывода и редактирует его и соответствии с командами сценария) sort Сортирует файлы и отображает результат на стандартном устройстве вы вода tail Копирует файл на стандартное устройство вывода, начиная с указанного места tee Переписывает стандартный ввод в стандартный вывод и делает копии в указанном файле touch Обновляет время последнего обращения к файлу или время его после дней модификации uniq Сообщает о повторяющихся строках в файле we Сообщает количество строк, слов или символов в файле Редактор, основанный на ех vi perl Интерпретируемый язык, используемый для сканирования текстовых файлов, выборки информации из них и се вывода на экран Использование vi Программа vi Ч это интерактивный текстовый редактор для создания и изменения файлов в кодировке ASCII. Этот редактор может работать в командном режиме или в режиме ввода. В первом режиме Вы вводите команды для выполнения таких дей ствий, как удаление текста или перемещение курсора в другую позицию. В режиме ввода Вы можете набирать текст и редактировать его. Для перехода в этот режим нужно ввести соответствующую команду редактора vi, а для выхода Ч нажать кла вишу Esc.
В данном разделе даются базовые сведения по использованию редактора vi. Как только Вы поймете принципы его работы, Вы сможете самостоятельно изучить всю его функциональность. Более подробную информацию см. в различных онлайно вых источниках, а также в справочной системе Services for UNIX (в разделе, спи сывающем команду vi).
Чтобы отредактировать файл с помощью vi, введите в системной командной строке:
vi имя_файла и нажмите клавишу Enter.
Если файл уже существует, его содержимое появится на экране. Если такого файла нет, vi создаст его.
Примечание Редактор vi поддерживает восстановление файлов. Если система запи сывает в буфер копию последней сохраненной версии Вашего файла, Вы можете воспользоваться этой копией, набрав команду vi -r имя_файла и нажав клавишу Enter.
После загрузки файла в редактор Вы видите на экране текст из этого файла (если он есть) и мигающий курсор в левом верхнем углу. Напротив пустых строк (е--ли таковые есть) в столбце рядом с левым полем текста показываются тильды. В гюс ЧАСТЬ 3 Взаимодействие с другими системами ледней строке экрана сообщается имя данного файла. (В нижней части экрана так же отображаются все вводимые Вами команды, начинающиеся с символов л/V, л?, л! и л:.) Чтобы начать ввод текста, нажмите клавишу i (режим вставки текста). Набирае мый текст появляется, начиная с позиции курсора. Закончив ввод текста, нажмите клавишу Esc.
Для сохранения файла и выхода из vi введите:
:wq и нажмите Enter.
Для выхода в командную оболочку редактора используйте двоеточие Ч это позво лит вводить команды в нижней части экрана. Для записи файла на диск нажмите клавишу w. Чтобы выйти из редактора vi, нажмите клавишу q. Команды для запус ка редактора и выхода из него перечислены в таблице 11-15.
Таблица 11-15. Запуск и закрытие vi Команда Описание vi имя_файла Позволяет редактировать указанный файл (или создать его. если такого файла еще нет) vi -г имя_файла Позволяет восстановить файл после краха системы и отредактировать его :q Позволяет выйти из vi, если в файл не внесено никаких изменений :ql Позволяет выйти из vi без сохранения изменений :wq Позволяет записать (сохранить изменения) и выйти из vi Создав файл с помощью vi, Вы можете перемещаться по нему в пределах его дли ны. Команды для позиционирования курсора в файле показаны в таблице 11-16.
Таблица 11-16. Перемещение курсора в командном режиме Команда Описание Пробел Вперед на один символ Backspace Назад на один символ На один символ вправо h На один символ влево j На одну строку вниз k На одну строку вверх Ctrl+d Прокрутка половины экрана вниз Ctrl-ьи Прокрутка половины экрана вверх Ctrl+f Прокрутка экрана вниз Ctrl+b Прокрутка экрана вверх Перемещение курсора на строку п nG G Перемещение курсора в конец файла Для вставки и редактирования текста предусмотрено множество команд (таблицы 11-17 и 11-18).
ГЛАВА 11 Services for UNIX Таблица li-17. Режим ввода Команда Описание а Вставка текста за курсором А Вставка текста в конец текущей строки i Вставка текста перед курсором Вставка текста перед текущей строкой о Создание строки в тексте под строкой, в которой находится курсор О Создание строки в тексте над строкой, в которой находится курсор Table 11-18. Редактирование текста Команда Описание г Замена текущего символа новым и возврат в командный режим R Замена текста, начиная с текущего символа ее Редактирование всей строки cw Редактирование текущего слова, начиная с позиции курсора > Замена символа в позиции курсора новым текстом (который Вы должны набрать) S Замена всей текущей строки новым текстом (который Вы должны набрать) Способы удаления текста в vi показаны в таблице 11-19, Таблица 11-19. Удаление текста Команда Описание D Удаление текста от текущей позиции курсора до конца строки х Удаление текущего символа dd Удаление текущей строки Вы можете копировать (в терминологии UNIX Ч yank) и вставлять (в терминоло гии UNIX Ч put) текст внутри файла и между файлами. Команды первого иида позволяют копировать указанный текст и помещать его в буфер, а команды второ го вида Ч копировать текст из буфера в указанное место файла (таблица 11-20).
При этом можно пользоваться буферами с именами и с номерами, но их рассмот рение выходит за рамки данной книги.
Таблица 11-20. Команды копирования и вставки Команда Описание уу или Y Копирует текущую строку 5уу Копирует 5 строк р Вставляет текст из буфера в строку, которая находится за текущей Р Вставляет текст из буфера в строку, которая находится перед текущей Пытаясь найти какую-либо строку символов в файле, помните, что средства поис ка чувствительны к регистру букв. Если искомая строка не найдена, vi выводит в нижней части экрана соответствующее сообщение. Команды поиска перечислены в таблице 11-21.
Pages: | 1 | ... | 7 | 8 | 9 | 10 | 11 | ... | 13 | Книги, научные публикации