Самба — это не только танец

Можно любить или ненавидеть Microsoft, но факт остается фактом — на уровне настольных компьютеров ничто пока не в состоянии конкурировать с Windows 9x и Windows NT Workstation. Иное дело — серверы.

Константин Пьянзин

ПО Samba на платформе UNIX способно потеснить Windows NT как сервер файлов и печати.

UNIX — это самая никудышная система, если не считать всех остальных.

Берри Керчевал

Можно любить или ненавидеть Microsoft, но факт остается фактом — на уровне настольных компьютеров ничто пока не в состоянии конкурировать с Windows 9x и Windows NT Workstation.

Иное дело — серверы. Здесь успехи Microsoft гораздо более скромные. Ей всегда приходилось воевать на два фронта: на рынке файловых серверов с Novell, а на рынке серверов приложений с производителями мощных UNIX. Однако в последнее время появились новые игроки — свободно распространяемые UNIX, среди которых особо выделяется Linux. ОС Linux и огромное число приложений для нее предполагаются в исходных кодах (лицензия GNU): они не имеют лицензионных или иных ограничений, стоят недорого или даже вовсе ничего, работают на множестве аппаратных платформ, начиная от древних Intel 386 и заканчивая самыми современными RISC-серверами.

Однако при использовании UNIX сетевые администраторы сталкиваются с задачей их интеграции в сети, где доминируют клиентские системы Windows. Прежде всего, это относится к сервису файлов и печати. Проблема сервиса файлов и печати в гетерогенной среде UNIX/Windows может быть решена двумя способами: путем инсталляции на клиентские места сервиса NFS или посредством установки на серверах UNIX сервиса SMB.

Использование сетевой файловой системы NFS уже рассматривалось в январском номере LAN за 2000 год, и поэтому я не буду повторяться.

Поскольку Microsoft сделала ставку на использование протокола SMB (Server Message Block), то в гетерогенной среде на серверах UNIX разумнее было бы задействовать сервис SMB. Реализовать такой сервис позволяет немало программных продуктов, среди которых все большей и большей популярностью пользуется ПО Samba, распространяемое в соответствии с лицензией GNU. Прежде чем говорить об основных возможностях и характеристиках Samba, ее месте среди конкурирующих продуктов, хотелось бы кратко напомнить принципы работы протоколов NetBIOS и SMB, а также устройство и состав сетей Windows.

РАБОЧИЕ ГРУППЫ, ДОМЕНЫ И АУТЕНТИФИКАЦИЯ

Windows for Workgroups, Windows 95/98, Windows NT (Workstation и Server), а также Windows 2000 могут выступать как клиенты и как серверы файловых систем и службы печати. В данном обзоре ОС Windows 2000 рассматриваться не будет, поскольку она появилась совсем недавно и ни один из продуктов SMB для UNIX с ней не совместим.

Microsoft в сетях Windows предлагает два подхода к организации сетей: рабочие группы и домены NT. Рабочая группа (workgroup) Windows — это группа SMB логически связанных компьютеров в сети с собственным символьным именем. Все компьютеры рабочей группы независимы друг от друга; на каждом компьютере имеется автономная система аутентификации и реализована собственная политика безопасности. Рабочие группы могут быть сформированы на базе Windows for Workgroups (WfWg), Windows 95/98 и Windows NT.

Домены Windows NT (не путать с доменами DNS или NIS/NIS+) по большому счету являются обычными рабочими группами, но с централизованной системой аутентификации. База учетных записей пользователей, так же как и учетных записей компьютеров домена, хранится на контроллерах домена, реализованных на базе Windows NT Server. Контроллеры домена бывают двух видов — главный (Primary Domain Controller, PDC) и резервный (Backup Domain Controller, BDC). Главный контроллер в домене должен быть один, на нем хранится база учетных записей в режиме «чтение-запись». Число резервных контроллеров в домене не ограничено; они периодически считывают базу учетных записей с главного контроллера, но работают с базой только в режиме чтения.

Следует отметить, что членами доменов, т. е. имеющими доверительные учетные записи (trust account), могут быть только компьютеры с Windows NT и Windows NT Server. Хотя клиенты Windows 9x не входят в число членов домена, они тем не менее могут обращаться к ресурсам членов домена.

Фактически, домен NT — это рабочая группа с контроллерами доменов (это важно помнить для понимания принципов работы Samba).

Если в сети имеется несколько доменов NT, то между ними могут быть установлены доверительные отношения (trust relation).

В сетях Windows определены два основных режима контроля доступа: доступ на уровне ресурса (share level) и доступ на уровне пользователя (user level). Вообще говоря, доступ на уровне пользователя имеет некоторые вариации, о которых мы поговорим ниже.

При контроле доступа на уровне ресурса, что характерно для серверов Windows 9x и Windows for Workgroups, каждому сетевому ресурсу назначается один или несколько паролей, причем каждый пароль может регламентировать определенный вид доступа. Чтобы получить доступ к ресурсу, пользователь должен явным образом указать пароль, причем имя пользователя нигде не учитывается и может вообще не передаваться на сервер. Защита при доступе на уровне ресурса довольно слабая, поэтому в Windows NT такой доступ не предусмотрен в принципе.

Доступ на уровне пользователя подразумевает, что при работе с сетевым ресурсом пользователь сообщает свое имя и свой пароль, причем учетная запись пользователя должна заранее быть зарегистрирована на сервере (или на каком-то узле, которому сервер доверяет). После аутентификации пользователь автоматически получает доступ ко всем ресурсам сервера в соответствии со своими правами доступа. Данный режим по умолчанию поддерживается в Windows NT.

Режим доступа на уровне пользователя имеет три основных варианта аутентификации. Первый вариант является в чистом виде контролем доступа на уровне пользователя, т. е. учетная запись пользователя хранится непосредственно на сервере. Второй вариант, доступ на уровне сервера (server level), подразумевает, что на самом сервере, к ресурсам которого обращается пользователь, нет учетной записи пользователя. Вместо этого учетная запись хранится на некоем сервере паролей, куда и обращается за проверкой полномочий пользователя сервер ресурсов. Третий вариант, доступ на уровне домена (domain level), подразумевает, что, прежде чем обратиться к ресурсам сервера-члена домена NT, пользователь должен пройти аутентификацию в домене (фактически, на одном из контроллеров домена). Прошедший аутентификацию в домене, пользователь автоматически получает доступ ко всем ресурсам домена (а не только конкретного сервера) в соответствии со своими правами доступа.

При аутентификации пароли могут передаваться как в зашифрованном, так и в незашифрованном виде. Передача пароля в незашифрованном виде (plain text) по умолчанию осуществляется в следующих операционных системах: Windows for Workgroups, Windows 95 (до OSR2), Windows NT 3.x, Windows NT 4 (до Service Pack 3). Очевидно, что обмен паролями в открытом виде представляет серьезную угрозу для безопасности сети, поскольку перехватить его не составляет труда.

Хотя в компьютерной литературе по сетям Windows часто можно встретить фразу «передача пароля в зашифрованном виде», она в корне неверна, поскольку пароль вообще не передается по сети. Процедуру правильнее было бы назвать аутентификацией с применением шифрования. В ответ на запрос клиента сервер формирует случайное число («вызов»), которое клиент должен зашифровать по алгоритму DES с использованием в качестве ключей хэшированных паролей пользователя (на сервере NT пароль хэшируется по двум разным алгоритмам: LAN Manager и NT) и передать полученное значение на сервер. Сервер проделывает аналогичную процедуру (для этого он использует учетную запись пользователя на сервере) и подтверждает (или не подтверждает) полномочия пользователя. Аутентификация с использованием шифрования применяется по умолчанию в среде Windows 95 OSR2 и выше, Windows 98 и Windows NT с установленным пакетом Service Pack 3. Однако шифрование можно отключить с помощью не очень сложных манипуляций в реестре, это бывает необходимо для поддержки работы Samba.

NETBIOS В СЕТЯХ MICROSOFT

Рисунок 1. Сетевая модель SMB в сетях NetBEUI и TCP/IP.

Протокол SMB соответствует прикладному и презентационному уровню сетевой модели OSI (см. Рисунок 1). Он функционирует в сетях NetBEUI, TCP/IP, IPX/SPX и других. До Windows 2000 сервис SMB в качестве сеансового протокола мог использовать исключительно NetBIOS. Однако даже в Windows 2000 ради совместимости со старыми версиями поддержка NetBIOS полностью сохранена.

Если обратиться к истории, то NetBIOS как прикладной программный интерфейс (API) был разработан компанией IBM в 1984 г. NetBIOS API представляет собой расширение системного BIOS для взаимодействия с сетевыми ресурсами, однако в нем не предусматривается протокол низкого уровня для передачи данных по сети. В 1985 г. IBM представила такой протокол; объединение этого протокола и NetBIOS API получило название NetBEUI (NetBIOS Extended User Interface). NetBEUI рассчитан на небольшие не маршрутизируемые локальные сети (количество узлов не более 255).

Очевидно, что из-за отсутствия поддержки маршрутизации в NetBEUI очень скоро стала проблема переноса NetBIOS на сети TCP/IP, IPX/SPX, DECnet. Мы остановимся только на сетях TCP/IP, поскольку даже Microsoft считает их приоритетными в современной сетевой архитектуре. Реализация NetBIOS в сетях TCP/IP, известная как NBT (NetBIOS over TCP/IP), регламентируется документами RFC 1001 и 1002. Однако многие компании, и в особенности Microsoft, ввели свои собственные расширения к стандартам. Протокол NBT в зависимости от обстоятельств может использовать как дейтаграммы UDP, так и соединения TCP.

В сетях NetBIOS каждому узлу присваивается имя (количество символов в имени ограничено 15), причем имена узлов образуют плоское пространство имен. Шестнадцатый байт имени характеризует тип сервиса, предоставляемый хостом. Рабочие группы/домены тоже имеют соответствующие имена NetBIOS, где также указываются типы сервисов.

На сеансовом уровне компьютеры общаются между собой, используя имена NetBIOS, однако на сетевом уровне общение происходит с использованием IP-адресов. Поэтому в сетях NBT возникает задача, как связать имена NetBIOS с IP-адресами компьютеров. Здесь возможны четыре подхода: использование файла LMHOSTS, задействование доменной системы DNS (и/или файла HOSTS), рассылка широковещательных запросов и использование сервера имен NetBIOS (NBNS). Для обозначения NBNS в своих ОС Microsoft применяет термин WINS (Windows Internet Name Service). Мы остановимся только на двух последних подходах.

17.03.2000г