Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Интеграция Unix и Windows NT средствами NFS

Кристофер Сидоур

Решив установить у себя в сети серверы Windows NT, мы провели испытания средств, которые позволяют интегрировать их с нашими многочисленными хост-машинами Unix. Мы протестировали четыре пакета программ серверов сетевой файловой системы NFS (Network File Systems) для ОС Windows NT и обнаружили при этом несколько важных моментов, которые необходимо учитывать при оценке средств NFS.

Защита информации

Средства Security Options, использующие вызовы удаленных процедур (Remote Procedure Calls - RPC) составляют основу системы безопасности сети NFS. Система NFS базируется на методах межпрограммной связи Open Network Computing (ONC) RPC. Эти RPC обеспечивают обычную для ОС Unix аутентификацию по идентификаторам пользователя и группы, а также по списку групп. Возможна и улучшенная аутентификация с применением средств Secure RPC (DES или Kerberos).

Многих пользователей не устраивает, что система защиты NFS базируется на средствах аутентификации Unix, которые сами по себе не очень совершенны. Большинство реализаций NFS поддерживает средства защиты ONC RPC DES, обеспечивая более высокий уровень безопасности по сравнению с традиционной аутентификацией в среде Unix. Однако те продукты, которые мы тестировали, использовали только стандартные средства защиты Unix.

Если в сети NFS задействовать ПК с операционной системой DOS, это еще больше усложнит проблему защиты данных. Работая с клиентской станцией, функционирующей под управлением Unix, сервер NFS может доверить ей проверку личности пользователя, отправившего запрос. Но у DOS нет своих средств контроля доступа, так что любой пользователь может спокойно выдать себя за другого.

Эта проблема решается с помощью Unix-демона pcnfsd, который дает возможность серверу NFS самому проводить аутентификацию пользователей по имени и паролю.

При использовании NFS блокировка файлов осуществляется по собственному протоколу блокировки NFS. На серверах Unix для поддержки запросов на блокировку файлов должен функционировать демон lockd. Из всех протестированных нами продуктов только пакет Disk Share фирмы Intergraph поддерживает NFS-блокировку.

Защита данных при взаимодействии серверов и клиентов Unix по протоколу NFS осуществляется на двух уровнях. На первом уровне за безопасность отвечает демон mountd, который принимает запросы на монтирование файловых систем, экспортируемых (предоставляемых клиентам - Прим. ред.) сервером Unix. Этот демон обеспечивает безопасность двумя способами. Во-первых, он определяет, может ли удаленная хост-машина монтировать данную файловую систему, а во-вторых, каковы ее привилегии в отношении экспортируемых систем. Необходимая демону mountd информация хранится в файле /etc/exports на хост-машине Unix. Этот файл может содержать следующие строки:

/export -root=machine1,-access=machine2

/public -ro

В первой строке дано разрешение узлу machine1 монтировать файловую систему /export с правами администратора системы (пользователя root). Это означает, что пользователь root на компьютере machine1 может работать с файловой системой /export, обладая правами администратора. Клиентской станции machine2 также разрешается монтировать данную файловую систему, но администратор этой станции будет работать с удаленной файловой системой как анонимный пользователь (обычно, ему дается имя nobody). Согласно второй строке файловая система /public доступна всем узлам сети, но в отношении нее действует только право чтения.

На втором уровне защиты данных происходит проверка прав пользователя при выполнении NFS-операций. Вместе с каждым запросом NFS передаются идентификатор пользователя, основной идентификатор группы и восемь дополнительных. Сервер проверяет, есть ли у пославшего запрос пользователя право делать такие запросы, и возвращает сообщение об ошибке, если такого права у него нет.

У клиентских станций Unix имеются собственные средства защиты, позволяющие блокировать выполнение некоторых операций, определяемых управляющими разрядами (flag bits) обычных или специальных файлов. Как правило эти средства применяются для блокировки файлов устройств, а также для запрета выполнения программ и системного вызова setuid. Клиентские станции, работающие под управлением DOS, обычно, такие возможности не поддерживают.

Многопоточная обработка

Многопоточность - применяемый сервером NFS способ одновременного выполнения запросов. Потоки забирают NFS-запросы из входной очереди, выполняют требуемые действия, посылают ответ и переходят к обработке следующих запросов. В системе Windows NT есть и другие методы осуществления операций подобного рода, но все они сложнее многопоточности. Отсутствие поддержки параллельной обработки запросов (что мы и обнаружили при испытаниях пакета ChameleonNFS 32 фирмы Manage), не позволяет добиться высокой производительности сети NFS.

Сервер NFS - служба Windows NT

Реализация сервера NFS в качестве службы Windows NT дает возможность приложениям использовать средства управления службами этой ОС. Службы Windows NT эквивалентны демонам в среде Unix: они выполняют сетевые запросы и другие действия. Работа этих служб может быть остановлена и возобновлена, они имеют задаваемые при запуске параметры, значения которых могут модифицироваться локально или удаленно.

Несмотря на то, что протестированные для данного обзора продукты поддерживают архитектуру служб Windows NT, ни один из них не позволяет просматривать статистику своей работы с помощью средства Performance Monitor (монитор производительности) системы Windows NT. Для изучения статистических данных о вызовах RPC и NFS придется воспользоваться другими управляющими приложениями.

Инсталляция и деинсталляция

При выборе продукта стоит учитывать не только простоту инсталляции, но также наличие и возможности утилиты деинсталляции, функционирующей в среде NFS. И хотя база данных registry (реестр) - шаг вперед по сравнению с INI-файлами, по-прежнему нежелательно, чтобы она (как и вся ваша файловая система) захламлялась ненужными файлами, которые практически всегда остаются, когда приложения удаляются вручную.

Бюджеты пользователей и права доступа

Обеспечение взаимодействия Windows NT и Unix затрудняется тем, что системы поддерживают различные пространства имен бюджетов (account) пользователей и групп, а также структуры прав доступа к файлам и каталогам. Впрочем, права доступа в Unix и Windows NT довольно похожи: в обеих системах действуют права Read (чтение), Write (запись) и Execute (выполнение). Отличием является предусмотренное в Windows NT (и VMS) право удаления.

Интеграция пространств имен бюджетов двух систем требует отображения идентификаторов пользователей Unix на имена пользователей Windows NT. Все протестированные нами продукты содержали простые приложения для построения таблиц отображения. Пакеты DiskShare фирмы Integraph и NFSware фирмы Software считывают файлы паролей Unix, позволяя привести в соответствие информацию о пользователях в системах Windows NT и Unix. В обоих продуктах этот процесс производится вручную, т. е. вам не удастся просто импортировать файл паролей Unix для отображения идентификаторов пользователей Unix на их имена в Windows NT.

Права доступа к данным на диске хорошо описаны в сопровождающей продукты документации, где ясно показано, как информация об этих правах транслируется с сервера Windows NT на клиентскую станцию Unix. Система безопасности Windows NT может потребовать изменить данные о владельце файла и способ предоставления прав доступа.

Здесь возникает проблема, вызванная ограничениями файловой системы NTFS на смену владельца файла. Суть ее в том, что команда chown (системы Unix) может выполняться по-разному для локальной и удаленной (на сервере Windows NT) файловых систем. Утилита chown ведет себя неодинаково и при работе с разными протестированными продуктами. Пакет NFSware позволяет владельцу "отказаться" от своего файла.

При работе с пакетом DiskShare фирмы Intergraph команда chown функционирует, но всякий раз на клиентской станции Unix выдаются сообщения об ошибке, а программа ChameleonNFS 32 компании NetManage не поддерживает chown совсем. В протестированной нами бета-версии пакета Connect NFS фирмы Beame & Whiteside команда chown не поддерживается, но фирма планирует включить соответствующие средства поддержки в окончательный вариант продукта (release).

Производительность

К самым серьезным недостаткам NFS относится необходимость осуществления синхронной записи. Синхронная запись означает, что сервер, завершая обработку запросов на запись, прежде чем отослать ответ на запрос, действительно записывает данные в энергонезависимое ЗУ. Это существенно снижает скорость записи, поскольку серверу становится трудно аккумулировать запросы к накопителю и выполнять их наиболее эффективным образом. Для обработки одного запроса NFS может потребоваться несколько обращений к диску.

В сетях Unix ускорение записи достигается применением на NFS-серверах кэш-памяти с резервным батарейным питанием. Пакет NetWare NFS фирмы Novell, поддерживает асинхронную запись. Ни один из протестированных нами продуктов не обладает такой возможностью, а ведь это могло бы на порядок увеличить производительность сети NFS, правда, за счет снижения надежности ее работы.

Снижение надежности происходит из-за того, что NFS является независимым от предыстории протоколом. Сервер может быть перезапущен, а клиентская станция не будет "знать" об этом. При перезапуске данные, подлежащие записи на диск и находящиеся в кэш-памяти сервера, могут быть утрачены, но клиентская станция, модифицирующая файл на сервере, будет продолжать передавать данные, "полагая", что все прежние изменения внесены в файл.


распечатать статью




  
1 '1996
СОДЕРЖАНИЕ

колонка редактора

• Говорит и показывает Интервидение

открытые системы

• Мир TCP/IP. Internet Protocol

• Пятая волна компьютеризации: открытые сети общего пользования

• DCE. Скорее жива, чем мертва?

• Ява - остров восходящего солнца

• Проблемы маршрутизации трафика в Internet

• Удаленный доступ по PPP

• Будущее мультимедиа в Internet

• Интеграция Unix и Windows NT средствами NFS

• Internet: каково же будущее?

корпоративные сети

• Переход к коммутируемым сетям

• Загадка маршрутизатора

• Мост над бурным потоком

• Технология управления распределенными сетями

локальные сети

• Дисковые массивы RAID типа SCSI-to-SCSI

• Ленточные системы с автоматической сменой кассет

• Сетевые адаптеры Ethernet для шины PCI

услуги сетей связи

• Системы низкоорбитальных спутников

• Кодирование речи в цифровой телефонии

• Архитектура и функциональные модули сетей SDH

приложения клиент-сервер

• Однопользовательские СУРБД

• SQL Server 6.0: взаимодействие клиента с сервером

• Комплексная автоматизация производства на основе систем SCADA

защита данных

• А в вашей сети живут драконы?

• Испытание антивирусных программ для NetWare

новые продукты

• RAID без компромиссов, Эмулятор SunPC для DOS и Windows, Коммутатор LinkSwitch 1000 фирмы 3Com, Маршрутизаторы 7500 фирмы Cisco, MultiNet for Windows фирмы TGV



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх