Redes instalacao de servicos linux by almirrogerioms

Redes – Instalação de Serviços no Linux

Resumo O trabalho escrito de Redes II visa elaborar o planejamento de uma rede de comunicação de dados e demonstrar o processo passo-a-passo de instalação do Sistema Operacional Conectiva Linux 7.0 Server. Será necessário a configuração dos serviços de servidores HTTP, FTP, Telnet, DNS, Correio Eletrônico, NAT e NIS/NFS. Para se atingir o objetivo desta pesquisa, ela será estruturada da seguinte forma: I.

Introdução

II.

Infra-Estrura Lógica

III.

Política Administrativa

IV.

Infra-Estrutura Física

Formatação do equipamento recebido

VI.

Instalação do Linux

VII.

Instalação do Serviços: FTP, HTTP, Telnet, DNS, Correio Eletrônico, NAT e NIS/NFS.

VI.

Conclusão

Redes – Instalação de Serviços no Linux

iii

Abreviaturas Bps

- Bytes por segundo

CGI

- Common Gateway Interface

DHCP

- Dynamic Host Configuration (Protocolo de Configuração de Hospedeiro Dinâmico).

DNS

- Domain Name System

FTP

- File Transfer Protocol

HTML

- Hypertext Markup Language

HTTP

- Hyper Text Transfer Protocol

HTTPS

- HyperText Transfer Protocol Security

ICMP

- Internet Control Message Protocol

- Internet Protocol

ISDN

- Integrated Services Digital Network

JPEG/JPG

- Joint Photographic Experts Group

LCC

- Logical Link Controle

Mpbs

- Megabits por segundo

NIS/NFS

- Network Information Service / Network File System

NNTP

- Network News Transfer Protocol

NVT

- Network Virtual Terminal

PDC

- Primary Domain Controller

PDU

- Protocol Data Units

SCSI

- Small Computer System Interface

SDU

- Service Data Units

SMTP

- Simple Mail Transfer Protocol

SNMP

- Simple Network Management Protocol

SSH

- Secure Shell

SSL

- Secure Socket Layer

TCP

- Transmission Control Protocol

TCP/IP

- Transmission Control Protocol / Internet Protocol

TFTP

- Trivial File Transfer Protocol

Redes – Instalação de Serviços no Linux UDP

- User Datagrama Protocol

UDPA

- Unidades de Dados do Protocolo de Apresentação

UDPT

- Unidades de Dados do Protocolo de Transporte

URL

- Uniform Resource Locator

WWW

- World Wide Web

Redes – Instalação de Serviços no Linux

Acrônimos ASCII

- American Standard Code for Information Interchange

ARP

- Address Resolution Protocol

BIOS

- Basic Input Output System

Bit

- Binary Digit

Byte

- Binary Term

- Eletronic MAIL

Internet

- Interconnection Networks

IAB

- Internet Activities Board

ISO

- International Standards for Organization

LAN

- Local Area Network

LDAP

- Lightweight Directory Access Protocol

MAC

- Medium Access Control

MAN

- Metropolitan Area Network

MIME

- Multipurpose Internet Mail Extensions

Modem

- Modulator/Demodulator

NAT

- Network Address Translation

OSI

- Open Systems Interconnect

OSS

- Open Source Software

PAN

- Personal Área Network

POP

- Post Office Protocol

POST

- Power On Self Test

RARP

- Reverse Address Resolution Protocol

SAN

- Storage Array Network

SAP

- Service Access Point

WAIS

- Wide Area Information Server

Redes – Instalação de Serviços no Linux

Lista de Figuras Figura 1– Funcionamento do MIME ................................................................................ 6 Figura 2 – Processo de Controle ....................................................................................... 8 Figura 3 - Gerência de Conexões ................................................................................... 10 Figura 4 – Servidor DHCP ............................................................................................. 12 Figura 5 – Propriedades do Scope .................................................................................. 13 Figura 6 – Controle DHCP ............................................................................................. 14 Figura 7 - Obtendo um número IP do DHCP ................................................................. 15 Figura 8 - Liberando um número IP do DHCP .............................................................. 15 Figura 9 - Usando DHCP e IP fixo. ................................................................................ 15 Figura 10 - Usando DHCP Server distintos ................................................................... 16 Figura 11 - Usando Router DHCP Server; ..................................................................... 16 Figura 12 - Usando Relay Agent .................................................................................... 16 Figura 13 -Usando Router como Relay Agent ............................................................... 17 Figura 14– Fragmento do pacote .................................................................................... 25 Figura 15– Fragmentação do pacote em uma rede MTU ............................................... 26 Figura 16 - Firewall com iptables ................................................................................... 29 Figura 17– Rede cliente/servidor.................................................................................... 34 Figura 18 – Topologia em Barramento .......................................................................... 34 Figura 19 – Grupos de Rede ........................................................................................... 37 Figura 20- Solução para falha de segurança apresentada pela arquitetura DMZ tradicional ....................................................................................................................... 38 Figura 21– Funcionamento do Anti-Vírus ..................................................................... 44 Figura 22 - Servidor 2600............................................................................................... 54 Figura 23 - Desktop GX260 SMT .................................................................................. 55 Figura 24 - Impressora a Laser Colorida Empresarial de Alta Velocidade .................... 56 Figura 25 – Fax a Laser .................................................................................................. 57 Figura 26 – Cabo Par Trançado sem Blindagem - UTP ................................................. 59 Figura 27– Conector RJ-45 macho ................................................................................. 59 Figura 28- Modelo de distribuição do cabeamento secundário ...................................... 62

Redes – Instalação de Serviços no Linux

vii

Figura 29 – Topologia estrela. ........................................................................................ 80 Figura 30 – Hub .............................................................................................................. 81 Figura 31 - Switch .......................................................................................................... 82 Figura 32 – Gateway ...................................................................................................... 82 Figura 33 – Firewall ....................................................................................................... 83 Figura 34 - No break senoidal ........................................................................................ 84 Figura 35 -Seleção de Instalação do Conectiva Linux 7.0 ............................................. 90 Figura 36 - Seleção do Idioma ........................................................................................ 91 Figura 37 - Seleção do Mouse ........................................................................................ 91 Figura 38- Seleção e Teste de Teclado ........................................................................... 92 Figura 39 - Instalar ou Atualizar? ................................................................................... 93 Figura 40 - Seleção de Perfil .......................................................................................... 93 Figura 41 - Particionamento do Disco - Editando/dev/hda 1 ......................................... 94 Figura 42 -Particionamento do Disco ............................................................................. 95 Figura 43 -Seleção do Kernel ......................................................................................... 96 Figura 44 - Seleção de Componentes ............................................................................. 96 Figura 45 -Seleção dos Pacotes ...................................................................................... 97 Figura 46 -Seleção de Componentes .............................................................................. 98 Figura 47 -Seleção de Placa de Vídeo ............................................................................ 99 Figura 48 -Seleção de Monitor ....................................................................................... 99 Figura 49 - Configuração da Área de Trabalho ............................................................ 100 Figura 50 - Configuração do Usuário ........................................................................... 101 Figura 51 -Componentes do Loader ............................................................................. 102 Figura 52 -Gravação do Disco de Boot ........................................................................ 103 Figura 53 -Mensagem de Finalização da Instalação do Linux ..................................... 103 Figura 54 - Configuração FTP ...................................................................................... 106 Figura 55 -Configuração do Servidor FTP - Controle.................................................. 107 Figura 56 -Configuração Inicial do Apache ................................................................. 120 Figura 57 - Teste de Configuração do Apache ............................................................. 122 Figura 58 - Teste Bem-Sucedido de PHP ..................................................................... 123 Figura 59 - Página em PHP Visualizada Incorretamente ............................................. 124 Figura 60 - Configuração inicial do DNS..................................................................... 130

Redes – Instalação de Serviços no Linux

viii

Figura 61 - Selecionando o domínio ............................................................................ 132 Figura 62 - Inclusão de máquinas ................................................................................. 133 Figura 63 - Especificando o nome de uma máquina .................................................... 134 Figura 64 -Adição/Edição de máquinas ....................................................................... 134 Figura 65 -Máquinas cadastradas no domínio .............................................................. 135 Figura 66 -Adição Rápida de Máquinas ....................................................................... 136 Figura 67 -Autorizando a transferência de dados para o DNS secundário ................... 138 Figura 68 -Configurando uma zona de repetidores ...................................................... 139 Figura 69 -Edição de padrões do DHCP ...................................................................... 141 Figura 70 -Tela normal do módulo DHCP ................................................................... 142 Figura 71 -Adicionando uma sub-rede ......................................................................... 143 Figura 72 -Tela inicial com sub-redes .......................................................................... 143 Figura 73 - ConFigurando o Postfix ............................................................................. 145 Figura 74 -Configuração da Localização das Tabelas .................................................. 148 Figura 75 -Adicionando um novo apelido de e-mail .................................................... 149 Figura 76 -ConFigurando Domínios Virtuais............................................................... 151 Figura 77 -Adicionando um Domínio Virtual .............................................................. 152 Figura 78 -Adicionando Usuários a um Domínio Virtual ............................................ 152 Figura 79 -Configuração de Relay................................................................................ 154 Figura 80 -Informações do Diretório ............................................................................ 167 Figura 81 -Informações do Diretório Através do Navegador ....................................... 168 Figura 82 -Buscas com o Cliente de LDAP GQ........................................................... 171 Figura 83 -Configuração de um Cliente NIS pelo Linuxconf ...................................... 174 Figura 84 -Configuração do Servidor SSH .................................................................. 179 Figura 85 - Pilha de Protocolos OSI ............................................................................. 203 Figura 86 – Processo de encapsulamento de dados da camada de aplicação ao ser enviado para camadas inferiores................................................................................... 205 Figura 87 – Comparação da Arquitetura TCP/IP e OSI ............................................... 206 Figura 88 – Arquitetura TCP/IP com principais protocolos por camada ..................... 206 Figura 89 – Esta figura faz analogia à figura de Arquitetura TCP/IP com os principais protocolos por camada. ................................................................................................. 207 Figura 90 – Tabela do ARP .......................................................................................... 211

Redes – Instalação de Serviços no Linux

Figura 91 – Classificação das faixas de endereço IP. ................................................... 213 Figura 92 – Esquema conceitual de socket................................................................... 215 Figura 93 – Endereços e Portas .................................................................................... 217 Figura 94 - Pacote de nível de rede .............................................................................. 220 Figura 95- Estrutura do diretório. ................................................................................. 223 Figura 96– Cabo Par Trançado com Blindagem – STP ............................................... 224 Figura 97– Interligação de dispositivos por Hub. ........................................................ 225 Figura 98 – Utilização de switches em um ambiente corporativo. ............................... 226 Figura 99 – Comunicação simultânea entre pares de segmentos ligados a um switch. 226 Figura 100 – Conexões cruzadas e interconexões ........................................................ 235 Figura 101 - Componentes da área de trabalho ............................................................ 238

Redes – Instalação de Serviços no Linux

Lista de Tabelas Tabela 1- Número das Portas Lógicas .......................................................................... 216 Tabela 2 – Categorias dos Cabos UTP ......................................................................... 225 Tabela 3 – Especificação de Distância ......................................................................... 233

Redes – Instalação de Serviços no Linux

Índice

Resumo ............................................................................................................................. ii Abreviaturas .................................................................................................................... iii Acrônimos ......................................................................................................................... v Lista de Figuras ...............................................................................................................vi Lista de Tabelas ............................................................................................................... x I.

Introdução ................................................................................................................ 1

II. Infra-Estrutura Lógica ............................................................................................ 2 1.

Endereçamento IP .............................................................................................. 2

Definição dos Serviços deste Projeto................................................................. 3

2.1 HTTP ................................................................................................................... 3 2.1.1 Método ............................................................................................................. 4 2.1.2

Cabeçalhos....................................................................................................... 6

2.1.3

MIME .............................................................................................................. 6

2.2 FTP....................................................................................................................... 7 2.3 Telnet .................................................................................................................... 8 2.4 DNS .................................................................................................................... 10 2.5 DHCP ................................................................................................................. 11 2.5.1

Política (Policies) ........................................................................................... 13

2.6 SSH..................................................................................................................... 17 2.7 SSL ..................................................................................................................... 18 2.8 Proxy .................................................................................................................. 18 2.9 NAT ................................................................................................................... 19 2.10

NIS/NFS ........................................................................................................ 20

Redes – Instalação de Serviços no Linux

xii

2.10.1 NIS (Network Information Service)............................................................. 20 2.10.2 NFS (Network File System) .......................................................................... 21 2.10.3 NFS e NIS ....................................................................................................... 22 2.11 Correio Eletrônico ............................................................................................ 22 2.11.1 Arquiteturas MTA......................................................................................... 24 2.11.2 Arquiteturas MTU......................................................................................... 25 2.12 Firewall ............................................................................................................. 26 2.12.1 IP Tables ......................................................................................................... 27 2.13 3

LDAP ............................................................................................................. 29 Tipos dos Servidores com seus Respectivos Serviços .................................... 30

3.1 Servidor de Arquivos ....................................................................................... 30 3.2 Servidor de Impressão ..................................................................................... 30 3.3 Servidor de Aplicações ..................................................................................... 31 3.4 Servidor de Fax ................................................................................................. 31 3.5 Servidor de HTTP ............................................................................................ 31 3.6 Servidor de FTP ................................................................................................ 31 37

Servidor de Telnet ............................................................................................ 31

3.8 Servidor de DNS ............................................................................................... 31 3.9 Servidor de DHCP ............................................................................................ 31 3.10

Servidor de SSH ........................................................................................... 31

3.11 Servidor de SSL ................................................................................................ 32 3.12 Servidor de Comunicação (Proxy de HTTP (20 G) e Proxy de FTP (120G)): .................................................................................................................................... 32 3.13 Servidor de NAT ............................................................................................... 32 3.14 Servidor de NIS................................................................................................. 32

Redes – Instalação de Serviços no Linux

xiii

3.15 Servidor de NFS ................................................................................................ 32 3.16 Servidor de Correio Eletrônico ....................................................................... 32 3.17 Servidor de Firewall ......................................................................................... 32 3.18 Servidor de LDAP ............................................................................................ 33 3.19 Servidor de Domínio......................................................................................... 33 4.

Topologia ........................................................................................................... 33

Tecnologia Ethernet .......................................................................................... 34

III. Política Administrativa .......................................................................................... 36 1

Os Grupos.......................................................................................................... 37

1.1 Serviços oferecidos pela Rede para os Grupos: ............................................. 39 2.

Os Grupos da Rede e suas Políticas Administrativas.................................... 40

2.1 DMZ ................................................................................................................... 41 2.1.1

HTTP ............................................................................................................. 41

2.1.2

DNS ................................................................................................................ 41

2.1.3

NAT ................................................................................................................ 41

2.1.4

Correio Eletrônico ........................................................................................ 41

2.1.5

FTP................................................................................................................. 44

2.1.6

Firewall .......................................................................................................... 45

2.2 Funcionários ...................................................................................................... 46 2.2.1

HTTP: ............................................................................................................ 46

Intranet....................................................................................................................... 46 2.2.2

DNS: ............................................................................................................... 46

2.2.3

Telnet .............................................................................................................. 46

2.2.4

NIS/NFS ......................................................................................................... 47

2.2.5

LDAP ............................................................................................................. 47

Redes – Instalação de Serviços no Linux

xiv

2.2.6

Proxy .............................................................................................................. 47

2.2.7

Firewall .......................................................................................................... 48

2.2.8

SSL/SSH ........................................................................................................ 48

2.2.9

DHCP ............................................................................................................. 49

Laboratório ....................................................................................................... 49

3.1 DNS .................................................................................................................... 49 3.2 NIS/NFS ............................................................................................................. 49 3.3 LDAP ................................................................................................................. 50 3.4 Proxy .................................................................................................................. 50 3.5 Firewall .............................................................................................................. 50 3.6 SSL/SSH ............................................................................................................ 51 3.7 DHCP ................................................................................................................. 51 IV. Projeto da Infra-Estrutura Física ......................................................................... 52 1.

Tipo de Rede ..................................................................................................... 52

1.1 Cliente/Servidor ................................................................................................ 52 2.

Tipos de Servidores .......................................................................................... 52

Componentes da Rede ...................................................................................... 53

Especificações dos Equipamentos ................................................................... 54

4.1 Servidor ............................................................................................................. 54 4.2 Cliente ................................................................................................................ 55 4.3 Impressora......................................................................................................... 56 4.4 Fax a Laser em Papel Comum ........................................................................ 57 5.

Transmissão De Dados ..................................................................................... 58

5.1 Modos de comunicação .................................................................................... 58 6.

Cabeamento Estruturado ................................................................................ 58

Redes – Instalação de Serviços no Linux

6.1 Cabeamento de Rede ........................................................................................ 58 6.2 Cabo Par Trançado .......................................................................................... 58 7

Projeto Básico de Rede Predial ....................................................................... 59

7.1 Estrutura do Cabeamento Existente ............................................................... 59 7.2 Cabeamento Secundário .................................................................................. 59 7.3 Projeto Básico de Cabeamento ........................................................................ 60 7.4 Exemplificação de Condicionante - Densidade de Pontos Físicos ................ 60 7.5 Exemplificação de outras Condicionantes...................................................... 60 7.6 Subsistemas de Cabeamento ............................................................................ 61 7.7 Subsistema da Área de Trabalho .................................................................... 61 7.8 Dimensionamento do Subsistema Estação de Trabalho ............................... 62 7.9 Subsistema Cabeamento Secundário .............................................................. 62 7.10

Subsistema Armário de Telecomunicações ................................................ 63

7.11

Subsistema Sala de Equipamentos .............................................................. 63

7.12

Subsistema Sala de Entrada de Telecomunicações ................................... 63

7.13

Código de Identificação ................................................................................ 63

7.14

Plano de Implantação da Rede .................................................................... 64

7.15

Atividades de Implantação .......................................................................... 64

7.16

Critérios de Implantação ............................................................................. 66

7.17

Cronograma de Implantação....................................................................... 66

7.18

Normatização para Projetos de Rede ......................................................... 67

7.19

Sistema de Cabeamento Estruturado ......................................................... 67

7.19.1 Seqüência para Projeto Executivo de Cabeamento Estruturado.............. 67 7.20

Projeto Executivo do Cabeamento Horizontal .......................................... 68

7.21

Projeto Executivo do Backbone ................................................................... 70

Redes – Instalação de Serviços no Linux

xvi

7.22

Definição dos Materiais do Cabeamento .................................................... 70

7.23

Dispositivos de Conexão ............................................................................... 71

7.24

Sistema de Distribuição ................................................................................ 72

7.24.1 Definição ......................................................................................................... 72 7.24.2 Painel de Consolidação.................................................................................. 73 7.25

Patch Panel .................................................................................................... 73

7.26

Tomadas ........................................................................................................ 74

7.27

Racks .............................................................................................................. 75

7.27.1 Cabeamento Horizontal ................................................................................ 75 7.27.2 Cabeamento Vertical ..................................................................................... 76 7.28

Patch Cord (Cabos de Ativação). ................................................................. 76

7.29

Patch Cable (Cabo não terminado). ............................................................ 77

7.30

UTP Line Cords (cabos de ativação dos pontos das estações de trabalho). . ........................................................................................................................ 77

7.30.1 Encaminhamentos ......................................................................................... 78 7.30.2 Encaminhamentos (Par Trançado) .............................................................. 79 7.30.3 Caixas de Passagens ...................................................................................... 79 7.30.4 Tomadas Lógicas ........................................................................................... 79 7.30.5 Considerações Finais ................................................................................... 79 8.

Topologia Estrela .............................................................................................. 80

Dispositivos de Rede ......................................................................................... 81

9.1 Especificações dos Dispositivos de Rede ......................................................... 81 9.1.1

Hub................................................................................................................. 81

9.1.2

Switch............................................................................................................. 82

9.1.3

Gateway (Roteador) ..................................................................................... 82

Redes – Instalação de Serviços no Linux

xvii

9.1.4

Firewall .......................................................................................................... 83

9.1.5

No-Breaks ...................................................................................................... 84

V – Linux ....................................................................................................................... 86 1.

Introdução ......................................................................................................... 86

Formatação do Equipamento Recebido ......................................................... 87

Formatar ........................................................................................................... 88

3.1 BIOS e configuração......................................................................................... 88 3.2 Formatação ....................................................................................................... 88 4.

Instalação do Linux .......................................................................................... 89

4.1 Criando discos de instalação............................................................................ 89 4.2 Opção de perfil de instalação........................................................................... 90 4.3 Seleção do Idioma ............................................................................................. 90 4.4 Seleção do Mouse .............................................................................................. 91 4.5 Seleção do teclado ............................................................................................. 92 4.6 Instalar ou Atualizar ........................................................................................ 92 4.7 Perfil de Instalação ........................................................................................... 93 4.9 Particionamento ................................................................................................ 94 4.10

Estrutura do particionamento ..................................................................... 95

4.11

Escolha do kernel .......................................................................................... 95

4.12

Seleção do agrupamento de pacotes ............................................................ 96

4.13

Seleção dos Pacotes ....................................................................................... 97

4.14

Instalação dos Pacotes .................................................................................. 98

4.15

Seleção de placa de vídeo ............................................................................. 98

4.16

Seleção do Monitor ....................................................................................... 99

4.17

Configurar Área de Trabalho ................................................................... 100

Redes – Instalação de Serviços no Linux

xviii

4.18

Criação de Usuários ................................................................................... 101

4.19

Configuração do Bootloader ...................................................................... 101

4.20

Criação de disco de boot ............................................................................ 102

4.21

Finalização................................................................................................... 103

IV. Instalação dos Serviços Solicitados no Linux .................................................... 104 1.

FTP................................................................................................................... 104

1.1 Habilitando o acesso FTP .............................................................................. 104 1.2 Implementação ................................................................................................ 105 1.2.1

Pré-requisitos .............................................................................................. 105

1.3 Instalação......................................................................................................... 105 1.4 Configuração ................................................................................................... 105 1.5 Configurações Básicas do Servidor FTP ...................................................... 105 1.6 Configurações de Controle de Acessos FTP ................................................. 106 1.7 Testes de Configuração .................................................................................. 110 2.

Configuração do Apache pelo Linuxconf ..................................................... 110

2.1 Implementação ................................................................................................ 119 2.1.1

Pré-requisitos .............................................................................................. 119

2.2 Instalação......................................................................................................... 119 2.3 Configuração ................................................................................................... 120 2.3 Testes de Configuração .................................................................................. 122 3.

Telnet ............................................................................................................... 124

3.1 Habilitar o acesso Telnet e FTP .................................................................... 124 3.2 Definir uma Cota para Cada Usuário .......................................................... 125 4.

DNS .................................................................................................................. 129

4.1 Implementação ................................................................................................ 129

Redes – Instalação de Serviços no Linux

xix

4.1.2 Pré-Requisitos ............................................................................................. 129 4.1.3

Instalação..................................................................................................... 130

4.1.4

Configuração ............................................................................................... 130

4.1.5

Testes de Configuração .............................................................................. 136

4.2 Servidor Secundário ....................................................................................... 136 4.2.1

Apresentação ............................................................................................... 136

4.2.2

Instalação..................................................................................................... 137

4.2.3

Configuração ............................................................................................... 137

4.3 Zonas de Repetidores ..................................................................................... 138 4.3.1

Apresentação ............................................................................................... 138

4.3.2

Instalação..................................................................................................... 138

4.3.3

Configuração ............................................................................................... 139

4.4 Cache ............................................................................................................... 139 5

DHCP ............................................................................................................... 140

5.1 Implementação ................................................................................................ 140 5.1.1 Pré-Requisitos ............................................................................................. 140 5.2 Instalação......................................................................................................... 140 5.3 Configuração ................................................................................................... 140 5.4 Testes de Configuração .................................................................................. 143 6.

Correio Eletrônico .......................................................................................... 144

6.1 Implementação do Postfix .............................................................................. 144 6.1.1

Pré-requisitos .............................................................................................. 144

6.2 Instalação......................................................................................................... 144 6.3 Configuração ................................................................................................... 144 6.4 Testando a Configuração ............................................................................... 147

Redes – Instalação de Serviços no Linux

6.5 Apelidos de E-mail .......................................................................................... 148 6.6 Criando Apelidos de E-mail .......................................................................... 148 6.7 Usando Domínios Virtuais com o Postfix ..................................................... 149 6.8 Implementando Domínios Virtuais com o Postfix ....................................... 150 6.8.1

Pré-requisitos .............................................................................................. 150

6.9 Configuração ................................................................................................... 150 6.10

Adicionando Usuários a Domínios Virtuais ............................................. 152

6.11

Filtros de E-Mail ......................................................................................... 153

6.12

Configuração de relay ................................................................................ 153

6.13

Filtragem de mensagens baseada no conteúdo ........................................ 154

NIS/NFS ........................................................................................................... 155

7.1 Implementação ................................................................................................ 155 7.1.1

Pré-requisitos ............................................................................................. 155

7.2 Instalação......................................................................................................... 155 7.3 Configuração do Servidor .............................................................................. 156 7.4 Configurando o uso de SSL ........................................................................... 157 7.5 Habilitando LDAPS: ...................................................................................... 158 7.6 Configurando Alguns Clientes ...................................................................... 159 7.7 Criando o Diretório LDAP ............................................................................ 160 7.8 Executando o Script migrate_all_offline.sh .................................................. 160 7.9 Inicializando o Servidor LDAP ..................................................................... 162 7.10

Testando a configuração ............................................................................ 162

7.11 Configurando o Netscape Communicator .................................................... 166 7.12

Acessando o Servidor LDAP por URLs ................................................... 167

7.13

NSS com o LDAP ........................................................................................ 168

Redes – Instalação de Serviços no Linux

xxi

7.14

Ferramentas Gráficas para o LDAP......................................................... 170

7.15

O Cliente de LDAP GQ .............................................................................. 170

8 Implementação do serviço de NIS ..................................................................... 171 8.1 Pré-requisitos .................................................................................................. 171 8.2 Instalação......................................................................................................... 171 8.3 Configuração ................................................................................................... 172 8.4 Testes de Configuração .................................................................................. 177 9.

NAT .................................................................................................................. 177

9.1 Implementação ................................................................................................ 177 9.2 Pré-requisitos .................................................................................................. 177 9.3 Instalação......................................................................................................... 178 9.4 Configuração do servidor SSH ...................................................................... 178 9.5 Utilizando o Cliente SSH................................................................................ 182 9.6 Utilizando o scp ............................................................................................... 182 9.7 Testando a configuração ................................................................................ 183 9.8 Conexões Discadas .......................................................................................... 183 VII.

Conclusão......................................................................................................... 185

Referências Bibliográficas .......................................................................................... 186 Glossário ...................................................................................................................... 188 Anexo 1 - Conceitos Básicos da Rede ......................................................................... 199 Anexo 2 – Infra-Estrutura Lógica .............................................................................. 201 1.

Modelos de Redes (TCP/IP e OSI) ................................................................ 201

Camadas de Protocolos .................................................................................. 203

2.1 Conceito de Protocolo..................................................................................... 203 2.2 Modelo de Referência OSI ............................................................................. 203

Redes – Instalação de Serviços no Linux

xxii

2.3 Arquitetura TCP/IP ....................................................................................... 206 2.4 Camada de Aplicação: ................................................................................... 207 2.5 Camada de Transporte .................................................................................. 208 2.6 Camada de Inter-rede .................................................................................... 209 2.7 Camada de Interface de Rede ....................................................................... 212 2.7.1

Endereços IP ............................................................................................... 212

2.7.2

Portas ........................................................................................................... 214

2.7.3 Socktes ............................................................................................................. 215 Serviços ................................................................................................................ 216 2.8 Estabelecimento da Comunicação................................................................. 216 2.9 Implementação dos Serviços de Segurança nos Diversos Níveis ................ 218 2.9.1

Nível Físico ................................................................................................. 218

2.9.2

Nível de Enlace ........................................................................................... 218

2.9.3 Nível de Rede.................................................................................................. 219 2.9.4

Nível de Transporte ................................................................................... 221

2.9.5

Nível de Sessão ........................................................................................... 221

2.9.6 Nível de Apresentação ................................................................................... 222 2.9.7 Nível de Aplicação ......................................................................................... 222 Anexo 3 – Infra-Estrutura Física ............................................................................... 224 1.

Comunicação entre Máquinas ....................................................................... 224 Velociade .............................................................................................................. 225

3.1 HUB ................................................................................................................. 225 3.2 Comutadores (Switches) ................................................................................ 225 3.3 Roteadores ....................................................................................................... 227 Anexo 4 – Informações atuais sobre a Rede da Euroamericana .............................. 229

Redes – Instalação de Serviços no Linux

xxiii

Anexo 5 – Especificações de Sistemas de Cabeamento Estruturado......................... 231 1.

Facilidade de entrada (Entrance facility) ...................................................... 231

Conexão cruzada principal (Main cross-connect) ........................................ 231

Distribuição do backbone (Backbone distribution)..................................... 231

Diretrizes gerais de projeto (General design guidelines) ............................. 232

Topologia (Topology) ...................................................................................... 232

Critério de seleção de mídia (Media selection criteria) ................................ 233

Distâncias intra-edifício e inter-edifícios do cabeamento do backbone (In-

building and inter-building backbone cabling distances) ...................................... 233 7.

Conexão cruzada horizontal (Horizontal cross-connect) ............................. 234

7.1 Funções do armário de telecomunicações (Telecommunications closet functions) ................................................................................................................. 234 8.

Distribuição horizontal (Horizontal distribution) ......................................... 235

8.1 Diretrizes gerais de projeto (General design guidelines) ............................. 235 8.2 Topologia (Topology) ...................................................................................... 236 8.3 Distâncias (Distances) ..................................................................................... 236 8.4 Mídia reconhecida de distribuição horizontal (Recognized horizontal distribution Media) ................................................................................................. 236 8.5 Critério de seleção de mídia (Media selection criteria) ................................ 237 9.

Área de trabalho (Work Area) ....................................................................... 237

9.1 Componentes da área de trabalho (Work area components) ...................... 237 9.2 Outlets de telecomunicações (Telecommunications outlet/connector) ...... 238 9.3 Cords da área de trabalho (Work area cords) ............................................. 238 9.4 Adaptações especiais (Special adaptions) ..................................................... 238

Redes – Instalação de Serviços no Linux

I. Introdução Um microcomputador é composto por um conjunto harmônico de hardware e software. Dentre os softwares existe um Sistema Operacional que é o que faz a máquina ativar sua funcionalidade. Existem vários tipos de Sistemas Operacionais entre eles o Linux. Este trabalho visa apresentar a elaboração da configuração necessária de uma rede e um roteiro dos procedimentos para instalação do Sistema Operacional Linux e serviços necessários para o bom funcionamento da rede. Para geração desse roteiro foi utilizado o microcomputador de número onze do Laboratório de Redes da Faculdade Euroamericana, com a configuração descrita no início do trabalho. A metodologia empregada foi a de capturar passo-a-passo as telas apresentadas durante a instalação ou descrevê-las quando a captura não foi possível. Foi acrescentado também partes descritivas de procedimentos alternativos da instalação. Neste trabalho serão utilizadas as redes de computadores LAN e WAN, pois será feito um projeto para uma rede local com saída para Internet.

Redes – Instalação de Serviços no Linux

II.

Infra-Estrutura Lógica Na Infra-Estrutura Lógica são abordados o endereçamento IP, a divisão dos

grupos e seus respectivos intervalos de estações, a definição dos serviços que são utilizados no projeto, a tecnologia Ethernet e a topologia lógica. No anexo 2 é abordado com profundidade a arquitetura utilizada, ou seja, a TCP/IP. Porém são feitas referências ao modelo OSI para uma explicação aperfeiçoada do funcionamento lógico. Com relação aos protocolos estão sendo mencionados somente os que são utilizados no projeto de acordo com as camadas em que estão posicionados. Entretanto, a prática do endereçamento IP, da camada de Interface de Rede, não está em anexo para melhor entendimento do projeto, estando somente o conceito. Ainda com relação ao anexo são falados também, sobre portas lógicas, socktes e a implementação dos serviços de segurança nos diversos níveis.

Endereçamento IP É utilizado neste projeto IPs pertencentes a classe C. O IP privado desta rede é

200.252.36.19/24. A rede está dividida em três sub-redes que terão a máscara 255.255.255.192. São elas: a)

Funcionários End. Rede

200.252.36.0

Menor IP

200.252.36.1

Maior IP

200.252.36.62

Broadcast

200.252.36.63

End. Rede

200.252.36.64

Menor IP

200.252.36.65

Maior IP

200.252.36.126

Broadcast

200.252.36.127

Laboratório

Redes – Instalação de Serviços no Linux c)

DMZ End. Rede

200.252.36.128

Menor IP

200.252.36.129

Maior IP

200.252.36.254

Broadcast

200.252.36.255

Definição dos Serviços deste Projeto Todos esses serviços ficam na camada de Aplicação do OSI e do TCP/IP.

2.1

HTTP Este é o protocolo empregado no Web para haver a comunicação entre clientes e

servidores, baseadas numa premissa de requisição/resposta. Ele opera sob uma conexão TCP que o cliente efetua para o servidor e que posteriormente será finalizada quando a requisição for satisfeita. O HTTP (HyperText Transfer Protocol) versão 1.0 é um protocolo sem conexão, ou seja, o cliente conecta, efetua a requisição, obtém uma resposta e desconecta-se. Cada conexão cliente/servidor é limitada a uma única requisição de informação (objetos Web, tais como imagens, textos etc.). Uma vez que os documentos Web são compostos por textos, imagens e possivelmente applets Java ou ActiveX, o cliente deve necessariamente requisitar mais de uma vez ao servidor HTTP para recuperar o documento completo: uma requisição para o texto, outras para cada imagem contida no documento e outras para carregar localmente os applets Java ou ActiveX. Atualmente a versão 1.1 do protocolo HTTP possuem extensões que permitam uma única conexão ficar aberta para diversas transferências HTTP (o servidor HTTP pode enviar todo o documento em uma única sessão TCP). A versão 1.1 é utilizada neste projeto. Este protocolo é do nível de aplicação, usado para transferência de informações no WWW (World-Wide Web), que possui objetividade e rapidez necessárias para suportar sistemas de informação distribuídos, cooperativos e de hipermídia. Tem como características: •

Propiciar busca de informação e atualização (up-date);

Redes – Instalação de Serviços no Linux •

As mensagens são enviadas em um formato similar aos utilizados pelo correio eletrônico da Internet e pelo MIME (Multiporpose Internet Mail Extensions);

•

Comunicação entre os agentes usuários e Gateways, permitindo acesso a hipermídia a diversos protocolos do mundo Internet, SMTP, NNTP, FTP, Gopher, WAIS;

•

Pode ser implementado em cima de qualquer protocolo Internet;

•

Obedece ao paradigma de request/response: um cliente estabelece uma conexão com um servidor e envia um pedido ao servidor, o qual o analisa e responde;

•

A conexão deve ser estabelecida antes de cada pedido de cliente e encerrada após a resposta (a conexão é mantida enquanto dura a transferência).

Os dados podem ser transferidos pelo HTTP da seguinte forma: Texto não estruturado, Hipertextos ou qualquer outro tipo de dado. Pode ser usado para fazer acesso a documentos em um conjunto não limitado e de vários formatos, utiliza o TCP para cada transferência de objeto, tem como características a negociação e o tipo da representação de dados. Baseado no princípio request/response, as mensagens seguem o formato da RFC822 e se apresentam na forma de: Pedidos enviados pelo cliente ao servidor. O formato da mensagem é: Pedido = Pedido Simples | Pedido Completo Pedido Simples = Método SP Pedido URI CRLF Pedido Completo = Linha de pedido * ( Cabeçalho geral | Cabeçalho do pedido | Cabeçalho da entidade ) CRLF [ Corpo da entidade ] Linha do Pedido = Método SP Pedido URI SP Versão do protocolo CRLF

2.1.1 Método Indica a forma a ser utilizada na requisição de um recurso da rede (star.euroamericana.br/facet/trabalho.doc). Os métodos aceitos por um determinado recurso podem mudar dinamicamente. O cliente é notificado com o código 501 quando

Redes – Instalação de Serviços no Linux

o método é desconhecido ou não implementado. Os métodos são sensitivos ao caso. Os principais métodos são: a)

GET

Recupera todas as informações identificadas no recurso da rede. Se o recurso for um processo executável, ele retornará a resposta do processo e não o seu texto. Existe o GET condicional que traz o recurso apenas se o mesmo foi alterado depois da data da última transferência. b)

HEAD

Semelhante ao método GET, só que neste caso não há a transferência da entidade para o cliente. Este método é utilizado para testar a validade e acessibilidade dos links de hypertexto. c)

POST

Utilizado para solicitar que o servidor destino aceite a entidade constante no pedido como um novo subordinado ao recurso constante no URI (Uniform Resource Identifiers) - identifica o recurso da rede. d)

PUT

Coloca a entidade abaixo do recurso especificado no pedido. Se esta entidade não existe é criada. Se existe, apenas é atualizada. e)

DELETE

Solicita que o servidor origem apague o recurso identificado no URI. f)

LINK

Estabelece uma ou mais relações de links entre o recurso identificado pelo URI e outros recursos existentes, não permitindo que o corpo da entidade enviada seja subordinada ao recurso. g)

UNLINK

Remove uma ou mais relações de links existentes entre o recurso identificado no URI.

Redes – Instalação de Serviços no Linux

2.1.2 Cabeçalhos a)

Cabeçalho Geral

São dados complementares não relacionados com as partes que estão se comunicando nem com o conteúdo sendo transferido. Exemplo: data, versão do MIME (Multipurpose Internet Mail Extensions). b)

Cabeçalho da Resposta

Informações adicionais sobre a resposta e o servidor, como por exemplo, local do recurso, software utilizado no servidor. c)

Cabeçalho da Entidade

Informações adicionais sobre a entidade, tais como: título da entidade, tamanho, linguagem utilizada, respostas enviadas pelo servidor para o cliente.

2.1.3 MIME Os programas mais recentes de administração de correspondência eletrônica incluem em si artifícios capazes de tornar o envio de arquivos binários muito mais fácil, utilizando o protocolo MIME. Ele é um conjunto de regras definidas para permitirem o envio de correio eletrônico (texto) com outros documentos (gráficos, sons, etc.) anexos (Figura 1). Este protocolo, permite a utilização de acentos portugueses, quando ambas as partes o utilizam. PROTOCOLO DE APLICAÇÂO PADRONIZADO (HTTP)

MIME

80 80

Programa servidor HTTP

Servidor

Programa cliente WWW (navegador) Programa cliente WWW (navegador)

Cliente

Internet ou Intranet (REDE TCP/IP)

Figura 1– Funcionamento do MIME

PERMANENTEMENTE ATIVO.

Dados armazenad

HTML HTML HTML HTML

OUTROS OBJETOS HTML HTML HTML

Redes – Instalação de Serviços no Linux

2.2

FTP É um protocolo padronizado pela RFC 959. Fornece o serviço de transferência de

arquivos de forma confiável, isto é, copia arquivos de uma máquina para a outra. A transferência de dados entre cliente e servidor é realizada em ambas direções. O cliente pode tanto enviar quanto receber arquivos do servidor. O FTP utiliza o protocolo TCP como protocolo de transporte, garantindo uma conexão fim a fim confiável. São estabelecidas duas conexões TCP: •

Uma de controle, usada no login em uma máquina remoto;

•

Uma para gerência de transferência de dados;

•

Possibilita o acesso interativo com máquinas remotas.

Somente dois tipos de arquivos podem ser transferidos por meio do FTP: texto (ASCII ou EBCDIC) ou do tipo binário (arquivo é enviado como uma seqüência de bytes sem qualquer conversão). Mantém um controle de autenticação, exigindo a senha do usuário para a transferência de arquivos. TFTP (Trivial File Transfer Protocol) - é uma forma mais simples de transferir arquivos, no qual é executado sobre o UDP (não exige senha do usuário para a transferência de arquivos). Permite o acesso simultâneo de vários clientes (utilizam o TCP para se conectar ao servidor). A cada concessão, cria-se um processo escravo para tratar a conexão. O processo escravo (Figura 2) (processo de controle - porta 21) é responsável pela gerência (aceitar e tratar a conexão) de conexão do cliente. São utilizados outros processos (processo de transferência de dados - porta 20) para a transferência de dados.

Redes – Instalação de Serviços no Linux

Figura 2 – Processo de Controle

A conexão de controle transporta comandos que informam ao servidor qual arquivo será transferido. A conexão de transferência de dados (usa o TCP) é responsável pela transferência dos dados. Os processos de controle e a conexão de controle permanecem ativos enquanto o usuário mantiver a sessão FTP ativa. Porém, para cada transferência de arquivo uma nova conexão de transferência de dados é estabelecida.

2.3

Telnet Especificado nas RFCs 854 e 855. Telnet é um protocolo que provê uma interface

padronizada, por meio do qual um programa em uma máquina (cliente Telnet) pode acessar os recursos de outra máquina (servidor Telnet) como se o cliente fosse um terminal local conectado ao servidor. O Telnet possibilita que um usuário num determinado site estabeleça uma conexão TCP com um servidor situado em outro site.

Redes – Instalação de Serviços no Linux

Estabelecida a conexão, os toques do usuário no teclado são diretamente transferidos ao computador remoto, como se estivessem sendo digitados no teclado conectado à máquina remota. O terminal remoto retorna uma saída até a tela do usuário. Este serviço citado possui o nome de Transparente, em função do teclado e monitor pareçam estar conectados diretamente à máquina remota. Para o estabelecimento da conexão, o software do cliente permite que o usuário informe qual é a máquina remota que será utilizada para o envio do seu nome lógico ou do endereço IP. O endereço IP possibilita a utilização do Telnet com hosts. A principal idéia do protocolo Telnet baseia-se no NVT (Network Virtual Terminal). O NVT é um dispositivo imaginário tendo como base uma estrutura comum a uma grande quantidade de terminais reais. Isto é, os clientes utilizam uma interface padrão, tornando transparente a heterogeneidade dos diversos sistemas. Logo, parte-se da premissa que cada máquina mapeia as características do seu terminal próprio com as do NVT, e assume que todas as outras máquinas farão a mesmo visão simétrica de terminais e processos, se um é cliente o outro seria servidor, negociação das opções do terminal. Consiste num mecanismo que possibilita o cliente e o servidor negociar diversas opções que serão utilizadas no Telnet. Isto ocorre porque alguns hosts desejam prover serviços adicionais (conjunto de serviços padrão, ou seja, se os dados passados pela conexão usam caracter padrão ASCII de sete bits ou o conjunto de oito bits) além dos disponíveis pelo NVT. Quando um usuário chama o Telnet, o programa residente na máquina torna-se cliente. O cliente estabelece uma conexão TCP com o servidor. Esta conexão possibilitará a comunicação entre o cliente e o servidor, com a conexão estabelecida, o cliente aceita os toques do teclado do usuário, enviando-os ao servidor, e este retorna a tela do usuário os toques. O servidor gerencia várias conexões, onde para cada conexão é estabelecido um escravo (Figura 2).

Redes – Instalação de Serviços no Linux

cliente lê dados do terminal

ter minal

cliente apresenta dados do terminal

Cliente TELNET

dados f or mato TELNET

Ser vidor TELNET servidor envia dados

ser vidor r ecebe dados cliente

TC P

Figura 3 - Gerência de Conexões

•

Telnet define como as seqüências de dados e de comandos são enviados por meio da Internet, utilizando o NVT.

•

Cliente converte os toques de teclado e as seqüências de comandos do terminal do usuário para um formato NVT e os envia ao servidor.

•

Software do servidor converte os dados e comandos recebidos em formato NVT para o formato solicitado pelo sistema remoto.

No retorno de dados, o servidor remoto realiza a conversão do formato da máquina remota para o NVT, e o cliente local converte do formato NVT para o formato da máquina local.

2.4

DNS O serviço de nomes de domínio (Domain Names Service) permite uma associação

global de nomes a recursos. O serviço é implementado de forma distribuída em servidores de nomes que permitem uma gestão hierárquica segundo seqüências de domínios. Os domínios constituem de uma estrutura em árvore universal, cada domínio possui um nome, concatenando ao nome de um recurso os nomes dos domínios que é necessário percorrer desde esse ramo da árvore até à raiz obtém-se uma designação universal para o recurso.

Redes – Instalação de Serviços no Linux

Os nomes de recursos e domínios não devem exceder 63 caracteres e o nome de domínio vazio (zero caracteres) está reservado para a raiz da árvore. Como é do conhecimento geral, a concatenação de nomes de recursos e nomes de domínios efetuase por adição de um ponto. Exemplo:

www.euroamericana.com.br

As bases de dados contendo os registos de recursos (Resource Records) estão organizadas por zonas, regra geral faz-se corresponder a cada domínio uma zona, contudo é possível a subdivisão de um domínio em várias zonas. Os servidores de nomes (Name Servers) são programas servidores que detêm os registos de recursos de uma ou mais zonas, periodicamente atualizam as suas bases de dados recorrendo a diretórios em disco local ou a outros servidores de nomes. Esta informação é conhecida por authoritative. Os servidores de nomes também podem manter em cache informações sobre outras zonas das quais não são autoridade, este procedimento aumenta a eficiência do mecanismo. Esta informação é conhecida por non-authoritative, igualmente quando um servidor de nomes que é autoridade de uma zona não consegue refrescar as suas bases de dados passa a ser non-authoritative. Os clientes dos servidores de nomes implementam um programa de resolução de nomes (Resolver), este programa dirige pedidos das aplicações para os servidores de nomes locais. O resolver implementa habitualmente uma cache para evitar a emissão de pedidos repetidos. Por segurança, cada zona deve ser replicada em vários servidores de nomes. Um dos servidores de nomes de uma dada zona é primário (ou master), os restantes são secundários. Geralmente o servidor primário obtém a informação relativa à zona em diretórios locais, enquanto os servidores secundários recorrem obrigatoriamente ao servidor primário.

2.5

DHCP

Redes – Instalação de Serviços no Linux

Tem como objetivo permitir que computadores individuais de uma rede IP extraia as suas configurações a partir de um servidor DHCP (Figura 4), ou vários servidores. Reduz o trabalho para administrar uma grande rede IP.

DHCP Server

Figura 4 – Servidor DHCP

O protocolo DHCP é um protocolo padrão para distribuição automática de endereços IP e informações de configuração para os computadores. Utiliza o modelo Cliente/Servidor para alocação dos endereços. Podem ser criados pelo administrador da rede um ou mais servidores DHCP. Porém, caso não exista um servidor DHCP os endereços devem ser distribuídos manualmente, conforme definido pelo (IETF) : RFC 1542, RFC 2131, and RFC 2132. Para que o protocolo possa ser utilizado, as estações deverão possuir um DHCP Cliente, os quais irão interagir com o servidor DHCP. DHCP Fornece: •

Endereço IP para cada adaptador de rede nos computadores;

•

Máscara de rede;

•

Default Gateway;

•

Configurações adicionais que opcionalmente podem ser atribuídas aos clientes DHCP.

Redes – Instalação de Serviços no Linux

Os administradores de rede devem definir: •

Scopes - É um grupo administrativo de endereços TCP/IP com informações associadas sobre estes endereços. No Scopo são definidos (Figura 5) as propriedades;

•

Range de números IP;

•

Máscara para o range informado;

•

Lease;

•

Nome do Scopo;

•

Opcionalmente pode-se informar uma sub-range para exclusão;

•

Opcionalmente pode-se definir as Policies;

Figura 5 – Propriedades do Scope

2.5.1 Política (Policies) São caminhos pelos quais pode-se definir o Lease (arrendamento de endereço) e outros parâmetros de configuração (Figura 6), chamados DHCP Options. •

Pode-se usar Policies específicas para cada Scopes;

•

Pode-se usar Policies Defaults.

•

Lease - período no qual o endereço IP está arrendado;

Redes – Instalação de Serviços no Linux

•

Options - Router, DNS Server, Domain Name, etc...

•

Reservas de número IP - é a possibilidade de reservar um número IP para um determinado computador com um número MAC especificado (Figura X).

Figura 6 – Controle DHCP

Tipos de mensagens do DHCP (Figura 7 a 13)

•

DHCPDISCOVER - difundido pelo cliente para localizar servidores;

•

DHCPOFFER

dos

Servidores

para

cliente

resposta

DHCPDISCOVER com a oferta dos parâmetros de configuração; •

DHCPREQUEST - Mensagem do cliente aos servidores tanto para: ¾ Requisitar os parâmetros OFERTADOS por um servidor e implicitamente rejeitar a oferta dos outros servidores. ¾ Estender o Lease.

•

DHCPACK - do Servidor ao cliente com os parâmetros de configuração, incluindo o IP;

•

DHCPNACK - do Servidor ao cliente informando que seu endereço está errado: ¾ 1) Cliente mudou-se para outra subrede. ¾ 2) Lease expirou. ¾ 3) O IP OFERTADO já foi confirmado para outro cliente.

•

DHCPRELEASE - do Cliente ao Servidor liberando o IP atual e cancelando o Lease atual;

•

DHCPDECLINE - do Cliente ao Servidor informando que aquele IP já esta em uso.

Redes – Instalação de Serviços no Linux

1 2

Se rve r

Clie nte 3

4 5

Meio Físico

Figura 7 - Obtendo um número IP do DHCP

Se rve r

Clie nte

DHCPRELEASE

Figura 8 - Liberando um número IP do DHCP 10.1.1.10

1 1 .1 .1 .1

1 0.1.1.1

Route r

IP f ixo 11.1.1.11

IP f ixo 11.1.1.12

Figura 9 - Usando DHCP e IP fixo.

DHCP CLIEN T 10.1.1.11

Redes – Instalação de Serviços no Linux

11.1.1.10

Se rve r DHCP

10.1.1.10

11.1.1.1

10.1.1.1

Route r

DHCP CLIEN T 10.1.1.11

IP f ixo 11.1.1.12

IP f ixo 11.1.1.11

Figura 10 - Usando DHCP Server distintos Se rve r DHCP

1 1.1.1.10

10.1.1.1

1 1. 1.1.1

Route r DHCP S ERVER

IP fixo 11.1.1.11

D HCP CLIEN T 10.1.1.11

IP f ixo 11.1.1.12

Figura 11 - Usando Router DHCP Server;

R e lay Age nt

Apo nta p/ IP D HCP SERV ER

Route r

Figura 12 - Usando Relay Agent

Se rve r D HCP

Redes – Instalação de Serviços no Linux

Se rve r DHC P

Aponta p/ IP DHCP SERVER

Figura 13 -Usando Router como Relay Agent

2.6

SSH Esta ferramenta foi originalmente desenvolvida pela empresa finlandesa de

mesmo nome, e surgiu como uma maneira de suprir as deficiências não só do telnet mas como também do rlogin (Remote Login) e do rsh (Remote Shell). Com o tempo acabou transformando-se na ferramenta padrão para a administração de sistemas no mundo UNIX, substituindo totalmente o telnet, tanto que o nome SSH (Secure Shell) é usado hoje não só para designar o programa e a empresa que o criou como também suas variantes e clones. A grande vantagem do SSH está em encriptar os dados que são transmitidos durante a sessão e provavelmente ninguém gosta da idéia de ter suas informações transitando pela rede totalmente abertas, principalmente senhas. Além disso, é possível com o SSH agregar outros serviços como, por exemplo, o SCP (Secure Copy) que substitui com tranqüilidade e até com mais praticidade o bom e velho FTP. SSH é um programa para se logar de um computador para outro em ambientes de rede, para execução de comandos entre computadores e transferências de arquivos de um computador para outro. O SSH tem um sistema seguro de autenticação de senhas, permitindo um canal seguro entre duas máquinas remotas. Ele substitui os comandos do UNIX como telnet, rlogin, rsh, rcp e rdist. Existem versões do SSH para quase todos os sistemas operacionais. No Linux ele já faz parte do sistema. Em Windows é necessário instalar.

Redes – Instalação de Serviços no Linux

A principal diferença entre o SSH e o Telnet é que no primeiro, a conexão é segura com senha criptografada enquanto que no segundo a conexão não é segura e sua senha circula pela rede da forma que ela é digitada. As suas principais características são:

2.7

•

Todas as conexões são criptografadas de forma transparente e automática;

•

Protege o DISPLAY das sessões (conexões X11);

•

Pode criptografar outros serviços, por exemplo, FTP, TFTP, etc.

SSL SSL (Secure Socket Layer) é um protocolo desenvolvido pela Netscape

Communications para transferir informações de modo seguro na Internet. O SSL providencia autenticação, confidencialidade e integridade dos dados , sendo planejado para autenticar o servidor e opcionalmente o cliente. Como esse padrão é aberto, vários desenvolvedores podem aprimorá-lo, inclusive implementar com novas características e funções. Utiliza como protocolo de transporte o TCP, que providencia uma transmissão a recepção confiável dos dados . Uma vez que o SSL reside no nível de socket, ele é independente das aplicações de mais alto nível sendo assim considerado um protocolo de segurança independente do protocolo aplicacional. Como tal , o SSL pode providenciar serviços seguros para protocolo de alto nível, como por exemplo TELNET, FTP e HTTP. O protocolo SSL possui duas camadas: SSL Record Protocol, que é responsável por encapsular outros protocolos de alto nível e a SSL Handshake Protocol, que recebe os dados a serem codificados /decodificados. Esta Segunda camada é responsável pela autenticação do cliente ou/e servidor, negociação do algoritmo criptográfico e suas chaves antes da aplicação receber ou enviar qualquer dado.

2.8

Proxy O Proxy é um recurso que visa tornar sua navegação pela Internet mais rápida

servindo para compartilhar uma conexão Internet (por exemplo) como a rede Internet. A diferença básica entre ele e um roteador é que enquanto o roteador traduz os

Redes – Instalação de Serviços no Linux

cabeçalhos dos pacotes para IPs validos/internos, ele funciona como uma espécie de procurador fazendo as requisições em nome do cliente . A principal vantagem dele é a possibilidade de se fazer cache de páginas para economizar banda. O cache guarda no disco rígido uma cópia das últimas páginas que foram acessadas, ao acessar uma dessas páginas novamente o cache verifica se existe uma cópia dela, existindo ela é mostrada imediatamente guardando após alguns dias suas páginas mais acessadas poupando um tempo enorme no processo de visitação delas. Quando o primeiro usuário (que estiver utilizando o Proxy ) pede uma página essa é armazenada no cache do provedor (o Proxy ) e entregue ao usuário. Se outro usuário solicita a mesma página, ela já esta gravada no Proxy e será rapidamente visualizada.

2.9

NAT O NAT (Network Address Translation ou Tradução de Endereço de Rede) não é

um protocolo nem um padrão. O NAT é apenas uma série de tarefas que um roteador (ou equipamento equivalente) deve realizar para converter endereços IPs entre redes distintas. Um equipamento que tenha o recurso de NAT deve ser capaz de analisar todos os pacotes de dados que passam por ele e trocar os endereços desses pacotes de maneira adequada. O roteador deve ter o recurso de NAT, como por exemplo a linha Office-Router ou Pipeline da Lucent. Esses roteadores tem uma porta Ethernet conectada ao Hub da rede local e uma porta serial conectada a um modem ou linha ISDN. Enquanto ninguém esta acessando a Internet a conexão com o provedor não está ativa e a linha telefônica está disponível. Quando alguma máquina da rede acessa a Internet ela manda o pacote de dados para o roteador (que é o Default Gateway da rede), que envia os comando de discagem para o modem, que se conecta com o modem do provedor; após a conexão dos modems o roteador passa um nome de usuário e uma senha para o servidor de comunicações do provedor e recebe um endereço IP. Se os computadores da rede tiverem endereços IPs válidos estará pronto e o roteador só passará o pacote de dados para o provedor. Se não são válidos, os endereços

Redes – Instalação de Serviços no Linux

IPs são escassos e por isso não podemos utilizar endereços IPs válidos na rede local. Assim, o roteador deve, antes de enviar o pacote de dados para o provedor, trocar o endereço de origem do pacote de dados para o endereço que ele recebeu do provedor e só depois jogar o pacote para o provedor; quando o pacote voltar o roteador deve trocar o endereço de destino do pacote novamente para o endereço não válido da máquina na rede local e só depois jogar o pacote para essa máquina. Esse processo de troca de endereços IPs é o chamado NAT. Esse processo funcionaria muito bem se apenas um computador acessasse a Internet a cada instante, e não com todas as máquinas podendo acessar a Internet ao mesmo tempo. Assim é possível que em um determinado instante pacotes de dados de duas máquinas distintas cheguem ao roteador, ele deve então trocar o endereço de origem dos pacotes e enviar para a Internet e, ao receber a resposta, trocar os endereços IP de destino dos pacotes adequadamente para os respectivos computadores. Para que o roteador possa encaminhar a resposta corretamente a cada um dos computadores de destino o roteador tem que saber para onde cada máquina enviou os pacotes, de forma que quando os pacotes de resposta chegarem ele possa identificá-los corretamente. Assim, o roteador deve armazenar em sua memória os pacotes que passaram por ele até que as respostas cheguem. Devido ao fato de que os pacotes de dados só entrem se houve um pacote correspondente que saiu a segurança da rede fica muito forte. Um pacote enviado por alguém na Internet tentando invadir a rede irá chegar até o roteador, porém como ele não vai encontrar em sua memória um endereço da rede local para enviar esse pacote o roteador irá simplesmente jogar o pacote fora.

2.10

NIS/NFS

2.10.1 NIS (Network Information Service) Um grande problema numa rede distribuída de computadores é manter cópias separadas de diretórios de configuração comuns tais como senhas, grupos e diretórios associados aos hosts. Idealmente a configuração da rede tem de ser tal que os utilizadores não se tenham que preocupar onde têm as suas contas e que, desta forma, qualquer alteração

Redes – Instalação de Serviços no Linux

em qualquer dos diretórios de configuração seja propagada para qualquer computador da rede. Consequentemente quanto maior for a rede em questão, mais é necessária uma ferramenta automática que realize as devidas alterações de configuração e que proporcione igualmente, em qualquer terminal, o acesso de utilizadores. Resolução deste pressuposto. Trata-se de uma base de dados de sistema distribuída que mantém, num servidor central, cópias desses diretórios e sempre que estes sejam atualizados/alterados, o servidor encarrega-se de propagá-los para todos os utilizadores proporcionando a estes uma aparência mais uniformizada do sistema. No que toca à gestão dos diretórios ( /etc/hosts , /etc/password , /etc/group , etc), estes em vez de serem geridos por cada utilizador, é mantida uma base de dados por cada diretório, relacionados com todos os utilizadores, num servidor central. Desta forma, todas as máquinas que utilizem o NIS conseguem, facilmente, de forma sistemática e sempre que necessitarem, obter informação da base de dados. Se se quiser adicionar um novo utilizador são alterados, apenas, diretórios no servidor e de seguida propagados pela rede, em vez de se alterarem aqueles para cada computador da rede. O NIS envolve um modelo servidor-cliente. O servidor contém diretórios chamados mapas de NIS e estão divididos em Master e slaves. O primeiro é o que contém os mapas (os verdadeiros) e os segundos respondem a pedidos dos clientes mas não modificam por si só os mapas de NIS. Os clientes são computadores/terminais que obtém informação desses mapas.

2.10.2 NFS (Network File System) O NFS é a forma, em UNIX, de compartilhar diretórios, aplicações e discos remotos na rede. Comparando com o NIS, que permite centralizar a administração da

Redes – Instalação de Serviços no Linux

informação dos utilizadores e terminais, o NFS permite centralizar a administração dos discos. Para um computador que corre NFS, os diretórios remotos a que consegue aceder não se vão tornar distintos dos locais, ou seja, para o utilizador significa que não teve que fazer nenhuma espécie de logon para ter acesso a eles. NFS utiliza um protocolo RPC para a relação cliente-servidor nas máquinas que utilizam o sistema.

2.10.3 NFS e NIS São freqüentemente utilizados num mesmo sistema, em que o NIS assegura que as configurações e informações são propagadas a todos os terminais de acesso à rede de domínio, e o NFS assegura que os diretórios que os utilizadores necessitam estão acessíveis desses mesmos terminais. Uma ferramenta que simplifica a utilização de NFS é o automounter que monta diretórios de sistema NFS quando são necessários e realiza a operação contrária quando não são mais precisos. Assim, é aplicada a gestão NIS à configuração NFS, ou seja, pode-se editar um mapa de NIS, tendo estas repercussões na informação dos diretórios montados pelo cliente. Esta informação que inclui o nome do servidor, o caminho dos diretórios de sistema neste último, a diretoria local associada ao mount e opções associadas, está contida nos mapas de automounter, que são, muitas das vezes e particularmente neste trabalho, geridos por mapas de NIS.

2.11 Correio Eletrônico O correio eletrônico surgiu nos idos dos anos 70 e sua função era parecida com a de um telex na comunicação externa. Nos anos 90 ele cresceu de tal forma que passou a interligar milhões de usuários em várias aplicações tanto nas redes de longa distância como na das redes locais, sendo utilizado no envio de documentos, arquivos de imagem e de som, permitindo maior interatividade de usuários e de aplicativos. O sistema do e-mail, além de enviar e receber mensagens, promove reuniões, fórum de debate, controla agendas de grupos e possui recursos cada vez mais

Redes – Instalação de Serviços no Linux

sofisticados, eliminando assim falhas ocorridas na comunicação, dinamizando as operações do negócio. Todo software que gerencia os e-mails necessitam de pelo menos quatro configurações básicas, quais sejam: •

Servidor SMTP - trabalha com três entidades básicas: o usuário, o emissor e o receptor. A comunicação entre estas entidades é feita com comandos formados por seqüências de caracteres no padrão ASCII. Este tipo de protocolo serve para indicar para qual servidor a mensagem será

enviada, que por sua vez se encarregará de transmitir ao destinatário. A transmissão pode ser efetuada passando a mensagem de computador em computador até o destino final. Isto representa uma falha de segurança, pois um computador no caminho, por mal funcionamento ou má intenção de seu operador, pode fazer cópias dos e-mails que passem por ele, ou simplesmente ficar com todas as mensagens. Outro risco deste protocolo é de não ser necessário senha de identificação, portanto, qualquer um pode se identificar com um endereço qualquer e enviar mensagem sob este nome. Quando o programa de recebimento/envio de e-mail é configurado, é necessário apontar o smtp para o seu servidor de acesso à Internet. Por exemplo: smtp.nomedoprovedor.com.br, isto faz, para que o usuário possa enviar. •

Servidor POP (Post Office Protocol) - indica qual servidor armazena temporariamente as mensagens que recebemos. É necessário que tenhamos uma conta neste servidor. Normalmente é o servidor provedor de acesso. Este protocolo cria espaços de armazenamento em servidores para posterior

entrega ao usuário. O endereçamento é efetuado do mesmo modo que no protocolo SMTP. Porém a conta do destinatário reside num servidor e não diretamente no computador que o usuário utiliza para receber os e-mails. O acesso se dá quando o usuário conecta ao seu provedor (é ele que armazena suas mensagens), com uma senha e solicita seus e-mails.

Redes – Instalação de Serviços no Linux

Assim, as mensagens são transferidas para o computador do usuário, podendo ser apagadas do servidor a partir de solicitação do usuário. O único risco neste protocolo é alguém descobrir sua senha, podendo então, ter acesso às suas mensagens. •

Conta (User Account) - é o nome da conta que o usuário possui no provedor de acesso. Este nome é sua identificação e normalmente é o mesmo nome do seu endereço de e-mail. Por exemplo: fulano@nomedoprovedor.com ou .br. Para que se possa acessar a conta é necessário utilizar a senha de identificação.

•

E-mail - é a identificação eletrônica, o endereço virtual. É com esse endereço que o usuário será identificado na Web.

2.11.1 Arquiteturas MTA MTAs (Mail Transport Agents) são programas que se encarregam de entregar mensagens a vários usuários e redirecionar mensagens entre computadores como por exemplo o programa sendmail. Cada processador MTA tem até 128 processadores virtuais do tipo RISC . Cada processador virtual é um stream de hardware com o seu próprio contador de programa, conjunto de registradores, palavra de estado e registradores target e trap. Um diferente stream de hardware é ativado a cada período de clock. Isso permite tolerância a atrasos de acesso a memória. Aproximadamente 25 streams ativas por processador MTA são precisas para evitar todo atraso de memória. A arquitetura do MTA implementa multiprocessadores com memória fisicamente compartilhada e unidades de memória entrelaçadas interconectadas por uma rede de conexão “packet-switched”. A rede assemelha-se a um pipeline da perspectiva do processador e a sua largura de banda é suficiente para permitir colocação de dados arbitrários relativos aos processadores disponíveis. A rede disponibiliza uma largura de banda de bisseção, a qual permite uma requisição e resposta para cada processador cruzar o plano da bisseção a cada ciclo de clock. Interconexões de rede de largura de banda extremamente grandes permite a cada processador acessar locais arbitrários na memória compartilhada em taxas de até 2,5 gigabytes por segundo.

Redes – Instalação de Serviços no Linux

2.11.2 Arquiteturas MTU Um pacote IP pode ter um tamanho de até 64 Kbytes. Entretanto o nível de rede geralmente tem um tamanho máximo menor que 64K. Por exemplo, uma rede Ethernet pode transmitir uma mensagem de até 1500 bytes. Este valor é chamado de MTU (Maximum Transmission Unit) para este tipo de rede. A camada IP deve então ser capaz de dividir um pacote IP maior que 1500 bytes em diversos fragmentos de até 1500 bytes cada um. A fragmentação do pacote IP pode ocorrer na máquina origem ou em algum roteador que possua uma rede com MTU menor que o tamanho do pacote IP sendo roteado. Note que durante o percurso até o destino, um fragmento pode ser novamente fragmentado se o MTU da rede seguinte for ainda menor que o tamanho do fragmento. A remontagem do pacote só é realizada pela máquina destino, baseado nas informações de Fragment Offset e bit MF. A perda de um fragmento inutiliza o datagrama inteiro. O campo Fragment Offset identifica a posição em bytes do fragmento face ao pacote IP completo (Figura 14).

Figura 14– Fragmento do pacote

Redes – Instalação de Serviços no Linux

Um exemplo da fragmentação de um pacote quando este passa para uma rede com MTU menor que o tamanho do pacote IP (Figura 15).

Figura 15– Fragmentação do pacote em uma rede MTU

2.12 Firewall Um Firewall proporciona um meio para que a faculdade crie uma camada entre as redes de tal forma que elas fiquem completamente isoladas de redes externas, tal como a Internet, e estejam completamente conectadas a outras. Usualmente colocados entre a rede interna e a rede externa de uma organização, o Firewall provê um meio simples para controlar o tamanho e os tipos de tráfego que irão passar entre as duas redes. É um componente ou um conjunto de componentes que restringem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e à Internet como um todo. A função fundamental de um Firewall é restringir o fluxo de informação entre duas redes. O sistema de Firewall é responsável por: filtrar pacotes por regras; proibir o tráfego de fora, permitindo algum tráfego de dentro para fora da rede protegida; estabelecer Gateways de aplicações; registrar atividades - tudo o passa através do Firewall, que na verdade representa todo o tráfego de e para a Internet, pode ser registrado pelo Firewall; e limitar a exposição de problemas - devido ao fato de um Firewall permitir a separação de ambientes, pode-se impedir que problemas afetos a um ambiente se propaguem para o ambiente vizinho. Para configurá-lo, é necessário que sejam definidos quais os tipos de dados que poderão circular pela sua rede e quais deles não poderão. Essa definição constitui a chamada Política para o Firewall.

Redes – Instalação de Serviços no Linux

Uma vez definida a política para o Firewall, devem ser especificados os Mecanismos que irão implementá-la. Há duas Políticas básicas para um Firewall: a)

Default Permit :

Nesse caso, é definido o conjunto de condições que irão resultar no bloqueio de dados. Qualquer host ou protocolo não coberto pela sua política será permitido por Default. b)

Default Deny:

Com essa estratégia, os protocolos que poderão passar pelo Firewall e os hosts específicos que podem passar dados são especificados. O que não foi especificado pela sua política tem o acesso negado à subrede.

2.12.1 IP Tables O Firewall é um programa que tem como objetivo proteger a máquina contra acessos indesejados, tráfego indesejado, proteger serviços que estejam rodando na máquina e bloquear a passagem de coisas que não se deseja receber (como conexões vindas da Internet para a segura rede local, evitando acesso aos dados corporativos de uma empresa ou a aos dados pessoais). No kernel do Linux 2.4, foi introduzido o firewall iptables (também chamado de netfilter) que substitui o ipchains dos kernels da série 2.2. Este novo firewall tem como vantagem ser muito estável (assim como o ipchains e ipfwadm), confiável, permitir muita flexibilidade na programação de regras pelo administrador do sistema, mais opções disponíveis ao administrador para controle de tráfego, controle independente do tráfego da rede local/entre redes/interfaces devido a nova organização das etapas de roteamento de pacotes. O iptables é um firewall a nível de pacotes e funciona baseado no endereço/porta de origem/destino do pacote, prioridade, etc. Ele funciona através da comparação de regras para saber se um pacote tem ou não permissão para passar. Em firewalls mais restritivos, o pacote é bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que está acontecendo em seu sistema. Ele também pode ser usado para modificar e monitorar o tráfego da rede, fazer NAT (masquerading, source nat, destination nat), redirecionamento de pacotes,

Redes – Instalação de Serviços no Linux

marcação de pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema, contagem de bytes, dividir tráfego entre máquinas, criar proteções antispoofing, contra syn flood, DoS, etc. O tráfego vindo de máquinas desconhecidas da rede pode também ser bloqueado/registrado através do uso de simples regras. As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imaginação, pois ele garante uma grande flexibilidade na manipulação das regras de acesso ao sistema, precisando apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem acesso garantido, quais serviços devem estar acessíveis para cada rede, e iniciar a construção do firewall. O iptables ainda tem a vantagem de ser modularizável, funções podem ser adicionadas ao firewall ampliando as possibilidades oferecidas. Este é um firewall que tem possibilidades de gerenciar tanto a segurança em máquinas isoladas como roteamento em grandes organizações, onde a passagem de tráfego entre redes deve ser minuciosamente controlada. Um firewall não funciona de forma automática (instalando e esperar que ele faça as coisas por si só), é necessário pelo menos conhecimentos básicos de rede TCP/IP, roteamento e portas para criar as regras que farão a segurança do sistema. A segurança do sistema depende do controle das regras que serão criadas pelo Administrador da Rede, as falhas humanas são garantia de mais de 95% de sucesso nas invasões. Enfim o iptables é um firewall que agrada tanto a pessoas que desejam uma segurança básica no sistema, quando Administradores de grandes redes que querem ter um controle minucioso sobre o tráfego que passam entre suas interfaces de rede (controlando tudo o que pode passar de uma rede a outra), controlar o uso de tráfego, monitoração, etc. No firewall utilizando iptables são permitidas que as máquinas internas acessem diretamente a Internet. No servidor Web será uma máquina interna com um número IP inválido (Figura 16).

Redes – Instalação de Serviços no Linux

Figura 16 - Firewall com iptables Os recursos disponibilizados pelo netfilter são manipulados através do comando iptables. Como a criação de regras através do netfilter é dinâmica, assim como o ipchains, seu conteúdo é perdido quando a máquina é reinicializada. Quando for utilizado o Linuxconf para efetuar essas configurações, ele (o Linuxconf) salva essas regras num arquivo interno. Esse é um dos motivos pelos quais deve-se criar um script de inicialização para que, após termos configurado as regras de utilização que desejamos, elas sejam executadas a cada inicialização.

2.13 LDAP O LDAP (Lightweight Directory Access Protocol - Protocolo Leve de Acesso a Diretório) foi projetado para armazenar informações e responder consultas por TCP/IP. Com somente um pouco de informação sobre um usuário registrado (o sobrenome, por exemplo) um cliente pode recuperar o número do telefone, endereço de e-mail, etc. Por exemplo, uma pesquisa em Lister retorna dave.Lister@reddwarf.co.uk, um número de extensão telefônica, um endereço de correio, e assim por diante.

Redes – Instalação de Serviços no Linux

Está sendo usado para substituir serviços NIS no Linux completamente. O NIS (Network Information Service - Serviço de Informações de Rede) é o método atual para distribuir senhas e outras informações por uma rede. O NIS permite que tenha-se um servidor central para distribuir informações de usuários, incluindo aliases de e-mail e informação de automount. Entretanto, o NIS não é apropriado para administrar grandes objetos binários (BLOBs) como imagens JPEG ou outra coisa que não seja o velho texto plano ASCII. Possui suporte para listas de controle de acesso (ACLs) para permitir que usuários não-root acrescentem ou modifiquem dados; A informação do LDAP pode ser utilizada fora do domínio LDAP; O LDAP suporta (ou vai suportar) criptografia SSL dos clientes; O LDAP possui chamadas para a codificação das suas próprias aplicações em C ou Perl. Até agora, a maioria dos servidores LDAP era comercial, como o servidor de diretórios da Netscape. A única versão OSS (Open Source Software) até pouco tempo atrás era o servidor LDAP da Universidade de Michigan (U of M's).

Tipos dos Servidores com seus Respectivos Serviços

3.1

Servidor de Arquivos É um servidor responsável pelo armazenamento de arquivos de dados - como

arquivos de texto, planilhas e gráficos - que necessitem ser compartilhados com os usuários da rede. Portanto as execuções serão feitas no cliente.

3.2

Servidor de Impressão É um servidor responsável por processar os pedidos de impressão solicitados pelos

micros da rede e enviá-los para as impressoras disponíveis. Sendo que este servidor é responsável pelo envio dos dados para as impressoras corretas devido aos diversos pedidos de impressão gerados simultaneamente.

Redes – Instalação de Serviços no Linux

3.3

Servidor de Aplicações É um servidor responsável pela execução de aplicações (Banco de Dados)

cliente/servidor. Portanto as consultas serão executadas no servidor.

3.4

Servidor de Fax É um servidor dotado de uma placa de fax, permitindo ao usuário passar e receber

fax facilmente. A mensagem de fax é repassada ai servidor de fax que disca para o número do fax desejado e envia o documento.

3.5

Servidor de HTTP É um servidor para Web.

3.6

Servidor de FTP É um servidor para transferência de arquivos pela rede.

Servidor de Telnet É um servidor para abrir seção de terminal em um servidor remoto.

3.8

Servidor de DNS É um servidor que permite dar nome a endereços IP.

3.9

Servidor de DHCP É um servidor para configurar automaticamente computadores na rede durante a

inicialização.

3.10

Servidor de SSH É um servidor que utiliza criptografia de alto nível.

Redes – Instalação de Serviços no Linux

3.11 Servidor de SSL É um servidor com encriptação de dados para utilização em transações via Web.

3.12 Servidor de Comunicação (Proxy de HTTP (20 G) e Proxy de FTP (120G)): São servidores usados nas comunicações entre esta rede e outras redes, como a Internet.

3.13 Servidor de NAT É um servidor para a conversão de endereços IP de uma rede local para um endereço válido na Internet.

3.14 Servidor de NIS É um servidor de diretório que armazena de forma central os usuários, senhas, grupos e privilégios.

3.15 Servidor de NFS É um servidor de sistema de compartilhamento de arquivos baseados nos serviços NIS.

3.16 Servidor de Correio Eletrônico É um servidor de gerenciamento de mensagens eletrônicas.

3.17 Servidor de Firewall É um servidor utilizado para a segurança dos computadores para filtra e/ou analisar todo tráfego de rede que passa pela máquina na qual foi instalado.

Redes – Instalação de Serviços no Linux

3.18 Servidor de LDAP É um servidor que funciona como um repositório central para consolidação das informações de usuários, com a possibilidade de que os usuários e clientes gerenciem suas próprias informações. A administração torna-se ágil e descomplicada.

3.19 Servidor de Domínio É responsável pelo controle de contas e usuários. Nele configura-se as permissões de cada usuário, isto é, os recursos que cada usuário pode ter acesso na rede.

Topologia Em uma rede de computadores, as máquinas são ligadas segundo uma

determinada topologia. A topologia que será usada na Infra-Estrutura Lógica é a barramento. Nessa topologia é usada um canal de comunicação chamada Cliente/Servidor (Figura 17). O que se pode mencionar sobre este canal de comunicação na infra-estrutura lógica (pois este assunto é melhor abordado na infraestrutura física que será comentado mais adiante) é que se encontra na camada 4 (Aplicação da Arquitetura TCP/IP) e por esse motivo é que se trata de uma aplicação cliente e de uma aplicação servidor, ou seja, duas aplicações em um canal de comunicação. Em uma rede cliente/servidor, PCs requisitam arquivos e serviços de um único computador/servidor que centraliza todas as operações. O controle e o processamento centralizados dessas requisições resultam em compartilhamento aprimorado de arquivos e periféricos (fax, impressoras, etc.), aumentam a segurança de rede e facilitam o gerenciamento.

Redes – Instalação de Serviços no Linux

Figura 17– Rede cliente/servidor A topologia em barramento (Figura 18) usa um canal de comunicação multiponto interligando as máquinas da rede. Tal topologia é usada tipicamente em redes locais de pequeno porte, por apresentar custos baixos. A maior desvantagem desse tipo de rede é a dificuldade de expansão e de identificação de falhas na rede.

Figura 18 – Topologia em Barramento

Tecnologia Ethernet A tecnologia Ethernet (camada 1 e 2 da OSI) foi inicialmente desenvolvida pela

Xerox Corporation, nos anos 70 e padronizada posteriormente pelo IEEE. Os protocolos Ethernet apresentam basicamente as funções descritas para as camadas física e de enlace do modelo OSI.

Redes – Instalação de Serviços no Linux

A tecnologia Ethernet possibilita a transmissão de informações por meio de diferentes meios de transmissão e diferentes velocidades. A seguir, características de algumas versões que operam na velocidade de 10 Mbps: SIGLA

10BASE-2

10BASE-5

10BASE-T

10BASE-FL

VELOCIDADE

10 Mbps

SEGMENTO MÁXIMO

185 m

500 m

100 m

2000 m

CABO

Coaxial

Par Trançado Fibra óptica

Este projeto utilizará a Sigla 100BASE-T, que será mencionado adiante, pelos motivos de Velocidade, Segmento Máximo e Cabo. A tecnologia Ethernet que utiliza a 100Base-T, com a topologia física de uma estrela, onde todos os equipamentos se conectam a um concentrador central (Hub) por meio de cabos de par trançado. Entretanto, assim como nas demais formas da tecnologia Ethernet, a topologia lógica continua sendo a de barramento na tecnologia 100Base-T. Nesse caso, o concentrador apenas simula em seus circuitos o barramento no qual as estações se conectam. Como esta rede Ethernet opera a 100 Mbps e com segmento máximo de 100 m é adotado a tecnologia 100BASE-T. Nas redes 100BASE-T a tecnologia Ethernet utiliza como método de transmissão o CSMA/CD (Carrier Sense Multiple Access / Colision Detection). A técnica utilizada para a codificação dos bits em sinais elétricos é a codificação Manchester. O método de acesso CSMA/CD faz com que as estações escutem o barramento e aguardem o momento em que não existe nenhum quadro sendo transmitido para efetuar a transmissão. No caso de duas estações tentarem efetuar a transmissão simultaneamente, ocorre a chamada colisão. Nesse caso, a máquina deverá enviar um sinal (jam signal) notificando as demais sobre a colisão e, em seguida, aguardar um período de tempo aleatório (back off) antes de tentar efetuar a retransmissão. A tecnologia Ethernet transmite quadros que variam entre 46 bytes e 1500 bytes (Máximum Transmission Unit – MTU).

Redes – Instalação de Serviços no Linux

III.

Política Administrativa Política Administrativa é criar as instruções de uso dos serviços, dentre elas a

permissão e restrição de utilização destes serviços, bem como o perfil de cada usuário. Uma das grandes vantagens, em uma política administrativa, oferecidas por redes cliente/servidor, neste projeto, é o seu grau de segurança. A política de segurança começa pelo fato de que os grupos de usuários, antes de efetuarem qualquer tarefa na rede, precisam ser autenticados, isto é, ter um nome e uma senha verificados pelo controlador de domínio. No controlador de domínio ficam armazenadas as informações de usuários, permissões e recursos. Assim, é possível controlar “permissão” de cada grupo de usuário no seu acesso a rede, com níveis de sofisticação que incluem, entre outras coisas, faixa de horários e dias permitidos para a autenticação. Portanto a política de segurança é restrita a esta LAN, não sendo pública. Quanto à política de senha, será o administrador da rede e não o usuário quem cadastrará a senha, cadastrando uma senha temporária, para em seguida, fazer com que o servidor solicite ao usuário que cadastre uma nova senha ao se conectar à rede. Para uma boa política de segurança haverá trocas periódicas de senha, ou seja, a cada 3 meses todos os usuários serão obrigados a trocar suas senhas. Em relação aos serviços que a rede oferece, haverá uma única senha para todos os serviços. A política de segurança é confidencial aos usuários, pois tudo que é relativo a segurança está em documento confidencial de acesso somente ao Administrador da Rede. No documento confidencial existem regras sigilosas para os usuários, sendo elas: -

Os recursos que a rede oferece (software, capacidade, desempenho dos servidores; e quantidade de estações).

O banco de dados.

Em qual servidor está o e-mail.

Instalação e configuração dos servidores.

Implementação do grupo (em que grupo o usuário se encontra).

Tabelas de controle de acesso dos usuários da rede.

Redes – Instalação de Serviços no Linux

Os Grupos A rede deste projeto estará divida em três grupos distintos (Figura 19).

FIREWALL

INTERNET

DMZ

FIREWALL

LABORATÓRIO

FUNCIONÁRIOS

Figura 19 – Grupos de Rede São eles: a)

Funcionários

Englobam todos os funcionários da faculdade, ou seja, todos os setores de uma forma geral, não especificando uma determinada seção existente. b)

Laboratório:

Que englobam os alunos e professores da faculdade.

Redes – Instalação de Serviços no Linux c)

DMZ (Zona Desmilitarizada)

Este grupo será menos protegido que os outros dois, pois se trata de uma subrede para usuários que acessam externa e internamente a rede da faculdade. No grupo DMZ serão utilizados dois Firewalls para implantação, onde serão abrigados o servidor WEB e o servidor de banco de dados (Figura 20).

Figura 20- Solução para falha de segurança apresentada pela arquitetura DMZ tradicional Os Firewalls serão distinguidos entre externo e interno e em sua configuração é importante a análise da segurança. O Firewall externo, WEB passa a residir sozinho na DMZ. O Firewall interno permitirá apenas o acesso necessário ao Banco de Dados, o que evita muitas alterações no acesso total a máquina. Para a melhor segurança o ideal é proteger essa arquitetura com dois Firewalls acrescentando uma terceira placa ao Firewall interno e nele colocar o servidor de Banco de Dados, o que permite que as regras sejam melhor detalhadas, tratando a DMZ como uma rede insegura na teoria, pois na prática o efeito é o mesmo da solução com dois Firewalls.

Redes – Instalação de Serviços no Linux

1.1

Serviços oferecidos pela Rede para os Grupos: a)

DNS: É o serviço para resolução de endereços para ambientes Internet e Intranet. A solução padroniza o endereçamento, facilitando a utilização pelo usuário e as modificações e atualizações na estrutura da rede. Com recurso de cache, agiliza o atendimento de novas requisições de tradução de endereços. Tem características que permitem níveis de segurança adequados ao ambiente de Internet. Sua administração pode ser realizada remotamente, através de interface amigável. É a tradução de nome para IP e vice-versa.

FTP: Transferência de arquivos pela rede.

HTTP: Serviço de Web.

Telnet: Abre seção de terminal em um servidor remoto.

Correio Eletrônico: Serviço de gerenciamento de mensagens eletrônicas.

NAT: Conversão de endereço de IP de uma rede local para um endereço válido na Internet.

NIS: Serviço de “diretório” que armazena de forma central os usuários, as senhas, os grupos e os privilégios.

NFS: Sistema de compartilhamento de arquivos baseados nos serviços NIS.

LDAP: Permite recuperar informações do Diretório, utilizando os clientes e utilitários fornecidos.

Proxy: Armazenamento nos servidores de proxy das páginas e arquivos mais recentemente acessados na Internet. Isso faz com que os próximos acessos a estas páginas sejam muito mais rápidos quando comparados ao acesso direto a Internet. O tráfico na rede será bastante reduzido, com um aumento "virtual" na velocidade da conexão.

Firewall: É um software (ou conjunto Hardware/Software) utilizado por empresas, provedores e pessoas preocupadas com segurança em seu computador, para filtrar e/ou analisar todo tráfego de rede que passa pela máquina na qual foi instalado. Geralmente, quando nos referimos a Firewall, estamos falando do software. Sem um Firewall, você percebe que as vezes a conexão fica lenta apesar do indicador do modem estar com todas as luzes acesas; indicando que ele esta funcionando com força total. Depois de instalar o Firewall você percebe uma infinidade de tentativas de conexão

Redes – Instalação de Serviços no Linux

a sua máquina. Estas tentativas de conexão são geralmente de todo tipo: ping, scan do Back Orifice, ou outro trojan, tentativas de telnet, FTP, etc. Geralmente é sem efeito se você não tem nenhum trojan instalado, mas tomam tempo de sua conexão, e podem até derrubar a conexão (tipo winNuke). l)

SSL: Desenvolvido pela Netscape Communications com o objetivo de gerar segurança e privacidade entre duas aplicações (Cliente e Servidor). Com o SSL é possível que as aplicações se comuniquem de forma segura, transmitindo as informações codificadas (criptografadas). O protocolo SSL possui duas camadas: "SSL Record Protocol", que é responsável por encapsular outros protocolos de alto nível e a "SSL Handshake Protocol", que recebe os dados a serem codificados/decodificados. Esta segunda camada é responsável pela autenticação do cliente e/ou servidor, negociação do algoritmo criptográfico e suas chaves antes da aplicação receber ou enviar qualquer dado. Graças ao SSL é possível a aplicação cliente ter certeza que o servidor ao qual ele está se conectando é quem ele diz ser. Codificando, assim, as informações com a chave pública fornecida pelo servidor e sendo decodificado apenas quando a informação chega ao servidor através de sua chave privada.

SSH: Funciona de forma semelhante ao telnet, criando uma conexão interativa entre duas estações. O acesso a qualquer estação demanda o uso deste software. Também dispõe do comando “scp” que atua de forma idêntica ao “rcp”. Este comando realiza cópia de arquivos entre máquinas, também usando criptografia.

Os Grupos da Rede e suas Políticas Administrativas •

Cada grupo da rede terá dois serviços de DNS, sendo um na rede LAN e outro na WAN.

•

Quanto aos demais serviços dependerá dos grupos.

Redes – Instalação de Serviços no Linux

2.1

DMZ •

Só há limite de acesso simultâneo dos usuários no Serviço de HTTP, ou seja, para os demais Serviços não há limite.

2.1.1 HTTP Página WEB da faculdade para Internet.

Acesso leitura: Todos (anonymous)

Acesso alteração: Administrador do Sistema e Webmaster

Acesso simultâneo: 500 usuários

2.1.2 DNS Permite dar nome a endereços IP, facilitando a localização de máquinas pelos usuários.

2.1.3 NAT Alocação de endereço válido para e-mail, servidor web, FTP e DNS. Cada serviço em uma máquina separada e cada uma com uma regra definida de tradução (NAT). Os usuários usarão o NAT e o DNS. No NAT estarão as restrições a sites específicos para todos, e na subrede bloqueará acessos pelos IP dos equipamentos.

2.1.4 Correio Eletrônico Haverá correio pessoal (onde o grupo não poderá abrir o e-mail, somente um único usuário) e funcional (onde o grupo poderá abrir o e-mail da Instituição). •

Os anexos dos e-mails só poderão ser deletados de acordo com o e-mail, se for o pessoal (o usuário terá permissão para deletar) e se for o funcional (o grupo não terá permissão para deletar, será preciso autorização do Administrador da Rede).

•

Ao receber acesso ao correio funcional é fornecido documentação que comunica ao funcionário que existe verificação de vírus.

Redes – Instalação de Serviços no Linux •

Para pessoal é necessário fazer uma solicitação, e esta só será disponibilizada quando da assinatura do termo de autorização para verificação por anti-vírus. Manual Ao acessar a primeira vez seu correio eletrônico é enviada mensagem informando

ao usuário que a senha utilizada é somente para o primeiro acesso, e que para continuar este acesso é necessário a troca da mesma com no mínimo 8 e no máximo 12 caracteres e que será necessário a troca a cada 3 meses, caso contrário o correio eletrônico será bloqueado, só sendo liberado através de contato por escrito justificando a não alteração da senha para o administrador da rede. Correio Eletrônico para: a)

Aluno - limite de caixa: 10 MB - limite de envio: 1MB - limite de recepção: 1MB

Restrições •

Quando a caixa chegar em 10 MB haverá um aviso informando que a caixa está cheia.

•

Quando a caixa chegar em 11MB será proibido o envio até que a limpeza da caixa seja feita.

•

Quando a caixa chegar em 12 MB será proibido o envio e recebimento. Regras

•

Endereço: primeironome.últimonome@domínio

•

Anexos com vírus: deletados automaticamente.

•

Anexos não permitidos: bloqueados no servidor:

.exe

.mpg

.avi

.jpg

.pps

Redes – Instalação de Serviços no Linux b)

.ppt Professores

limite de caixa: 14 MB

limite de envio: 2MB

limite de recepção: 2MB

Restrições •

Quando a caixa chegar em 14 MB haverá um aviso informando que a caixa está cheia.

•

Quando a caixa chegar em 15MB será proibido o envio até que a limpeza da caixa seja feita.

•

Quando a caixa chegar em 16 MB será proibido o envio e recebimento. Regras

•

Endereço: primeironome.últimonome@domínio

•

Anexos com vírus: deletados automaticamente.

•

Anexos não permitidos: bloqueados no servidor:

.avi

.ppt

Funcionários

limite de caixa: 12 MB

limite de envio: 2MB

limite de recepção: 2MB

Restrições •

Quando a caixa chegar em 12 MB haverá um aviso informando que a caixa está cheia.

•

Quando a caixa chegar em 13MB será proibido o envio até que a limpeza da caixa seja feita.

•

Quando a caixa chegar em 14 MB será proibido o envio e recebimento.

Redes – Instalação de Serviços no Linux

Regras •

Endereço: primeironome.últimonome@domínio

•

Anexos com vírus: deletados automaticamente.

•

Anexos não permitidos: bloqueados no servidor: .exe .avi .jpg .ppt Com relação aos vírus que poderão chegar pelos e-mails (Figura 21), no Correio

Eletrônico pessoal não poderá haver verificação, a não ser que todos os usuários assinem uma autorização, e no funcional poderá verificar.

SERVIDOR

ANTI-VÍRUS

Figura 21– Funcionamento do Anti-Vírus Na política de aviso a quem enviar e-mails com vírus, será avisado a quem recebe o e-mail que chegou um e-mail com vírus do remetente x, mas que por segurança este email foi excluído. Isso será feito tanto para o Correio Eletrônico Pessoal como para o Funcional com as regras mencionadas.

2.1.5 FTP Servidor de armazenamento de arquivos. A Política de Arquivos disponibilizados para o FTP serão para que o Funcional tenha que ter documento assinado pelo usuário tomando consciência de que só poderá utilizar determinados documentos e que é responsável pelos seus conteúdos. Será vedado aos alunos e professores conteúdos políticos.

Redes – Instalação de Serviços no Linux a)

Aluno

Escreve na pasta pessoal.

Não pode acessar pasta de outros.

Limite de 50 MB.

•

Essas regras são para cada usuário.

•

Haverá o FTP corporativo e FTP funcional, onde o funcional é quem executará o FTP.

•

A disponibilização do FTP é feita através da senha de acesso.

•

As regras para os anexos não permitidos estão mencionados abaixo.

•

Funcional disponibiliza e atualiza os arquivos para que os alunos e professores utilizem.

•

Será assinado uma documentação sobre responsabilidade do documento. E para alunos só permitir download de material encaminhado por “funcional”.

Arquivos com vírus postos em quarentena.

Extensões não permitidas:

.exe

.mpg

.avi Ler pastas compartilhadas.

Professores

Escreve na pasta pessoal e nas pastas compartilhadas.

Administrador

Lê e escreve em qualquer lugar.

2.1.6 Firewall •

Define-se como Firewall-A aquele que protege os grupos Laboratório e Funcionários e como Firewall-B aquele que protege todo tráfego oriundo da Internet.

Redes – Instalação de Serviços no Linux •

O Firewall-B deve ser configurado para que apenas os serviços FTP, DNS, HTTP ou E-mail possam ser acessados da Internet para a DMZ.

•

O Firewall-B deve negar qualquer conexão feita para os grupos Laboratório ou Funcionários.

•

O Firewall-B deve negar qualquer conexão feita da DMZ para a rede externa que não seja extritamente necessária.

•

O Firewall-B deve negar qualquer conexão feita diretamente para o próprio Firewall ou oriunda do próprio Firewall.

•

O Firewall-B tem 2 placas de rede, uma ligada na DMZ e a outra ligada na Internet com um IP válido.

2.2

Funcionários •

Só há limite de acesso simultâneo dos usuários no Serviço de HTTP, ou seja, para os demais Serviços não há limite.

2.2.1 HTTP: Intranet •

Acesso de leitura e execução dos funcionários.

•

Alteração do Administrador do Sistema e do Webmaster.

•

Acesso simultâneo: 50 usuários.

2.2.2 DNS: Resolve nome para rede local e máquinas da internet.

2.2.3 Telnet •

Acessar aplicações baseadas em terminal.

Aplicações com privilégios apenas para os usuários dela.

Somente o grupo funcionários poderá fazer o Telnet.

Redes – Instalação de Serviços no Linux

2.2.4 NIS/NFS •

Nome de usuário: igual e-mail.

•

Senha expira em 6 meses.

•

Não aceitar 3 últimas senhas.

•

Senhas com no mínimo 8 caracteres.

•

E com máximo de 12 caracteres.

•

Senhas com caracteres especiais ( ! @ # $ % & * ).

•

Replicação para outro site a cada 2 horas. Servidor Back-up em outro prédio ou prédio apropriado. Limpar arquivo Back-up Correio Eletrônico pessoal a cada 30 dias e Funcional a cada 365 dias ou até que seja retirado pelo mesmo autor.

•

Todas as permissões aplicadas para grupo.

•

Todo usuário pertence a algum grupo.

2.2.5 LDAP •

Os dados referentes aos funcionários devem ser mantidos atualizados sobre responsabilidade do próprio funcionário.

•

Cada funcionário só pode alterar apenas os dados referentes a ele mesmo.

•

Dados como e-mail, telefone, setor e cargo devem ser obrigatoriamente preenchidos pelo próprio funcionário assim que qualquer um deste dado for alterado.

2.2.6 Proxy •

O Proxy deve fazer um cache do conteúdo estático das páginas mais acessadas diariamente.

•

O TTL do cache deve ser configurado para expirar diariamente para garantir a originalidade do site.

•

O cache não pode ocupar mais de 80 % do espaço físico do disco.

•

O cache deve ser colocado em disco isolado.

Redes – Instalação de Serviços no Linux •

Os logs de acesso a páginas devem ser monitorados diariamente. Sites de conteúdo impróprio ou que não são necessários para o desenvolvimento do trabalho dos funcionários devem ser negados.

2.2.7 Firewall •

Define-se como Firewall-A aquele que protege os grupos Laboratório e Funcionários e como Firewall-B aquele que protege todo tráfego oriundo da Internet.

•

O Firewall-A é configurado de forma que os computadores do grupo Funcionários possa acessar qualquer página (porta 80 ou 443) da Internet ou DMZ.

•

O Firewall-A é configurado de forma que os computadores dos grupo Funcionários possa acessar apenas os servidores FTP, DNS e E-mail localizados na DMZ.

•

O Firewall-A deve negar qualquer conexão oriundos da Internet ou DMZ para o grupo Funcionários.

•

O Firewall-A deve negar qualquer conexão efetuada diretamente para o próprio Firewall ou oriunda do próprio Firewall.

•

O Firewall-A deve negar qualquer conexão feita da rede Funcionários diretamente para a rede Laboratório e vice-versa.

•

O Firewall-A tem 3 placas de rede, uma ligando a rede Laboratório, outra ligando a rede Funcionários e outra ligando a rede DMZ.

2.2.8 SSL/SSH •

Toda transação que inclui dados sigilosos como usuário e senha via ambiente WEB deve ser executada em cima de um protocolo SSL/SSH, usando uma chave de 128 bits.

•

As chaves deverão ser reconhecidas por unidade certificadora externa e instalada em cada uma das estações que utilize-as.

Redes – Instalação de Serviços no Linux •

Se por algum motivo, a estação não reconhecer a chave utilizada, o funcionário que receber a mensagem deve urgentemente procurar o Administrador da Rede para verificar o que está acontecendo.

2.2.9 DHCP •

Cada escopo nos servidores DHCP devem ter apenas o número de endereços IP suficientes para suprir a necessidade do grupo Funcionários.

•

Esse grupo deverá ter o seu servidor DHCP.

•

A configuração de gateway do grupo Funcionário estará apontada para a respectiva placa do Firewall pertencente à mesma rede em questão.

•

As configurações de DNS deverão ser passadas via DHCP.

Laboratório

3.1

DNS Resolve nomes para rede local e máquinas da Internet.

3.2

NIS/NFS •

Nome de usuário: igual e-mail.

•

Senha expira em 3 meses.

•

Será dado aviso para trocar a senha a partir de 10 dias de antecedência, caso não seja alterada no prazo correto, haverá uma mensagem pedindo para contactar o Administrador da Rede para atualizar a senha.

•

Não aceitar 3 últimas senhas.

•

Senhas com no mínimo 8 caracteres.

•

E máximo de 12 caracteres.

•

Senhas com caracteres especiais ( ! @ # $ % & * ).

•

Replicação para outro site a cada 2 horas. Servidor Back-up em outro prédio ou prédio apropriado. Limpar arquivo Back-up Correio Eletrônico pessoal a

Redes – Instalação de Serviços no Linux

cada 30 dias e Funcional a cada 365 dias ou até que seja retirado pelo mesmo autor. •

Todas as permissões aplicadas para grupo.

•

Todo usuário pertence a algum grupo.

3.3

LDAP •

Os dados referentes aos alunos são preenchidos no ato da matrícula em uma ficha e atualizados no sistema por um digitador.

3.4

Proxy •

O Proxy deve fazer um cache do conteúdo estático das páginas mais acessadas diariamente.

•

O TTL do cache deve ser configurado para expirar diariamente para garantir a originalidade do site.

•

O cache não pode ocupar mais de 80 % do espaço físico do disco.

•

O cache deve ser colocado em disco isolado.

•

Os logs de acesso a páginas devem ser monitorados diariamente.

•

Sites de conteúdo impróprio ou que não são necessários para o desenvolvimento do trabalho dos alunos e professores devem ser negados.

3.5

Firewall •

Define-se como Firewall-A aquele que protege os grupos Laboratório e Funcionários e como Firewall-B aquele que protege todo tráfego oriundo da Internet.

•

O Firewall-A é configurado de forma que os computadores do grupo Laboratório possa acessar qualquer página (porta 80 ou 443) da Internet ou DMZ.

•

O Firewall-A é configurado de forma que os computadores do grupo Laboratório possa acessar apenas os servidores FTP, DNS e E-mail localizados na DMZ.

Redes – Instalação de Serviços no Linux •

O Firewall-A deve negar qualquer conexão oriundos da Internet ou DMZ para o grupo Laboratório.

•

O Firewall-A deve negar qualquer conexão efetuada diretamente para o próprio Firewall ou oriunda do próprio Firewall.

•

O Firewall-A deve negar qualquer conexão feita da rede Funcionários diretamente para a rede Laboratório e vice-versa.

•

O Firewall-A tem 3 placas de rede, uma ligando a rede Laboratório, outra ligando a rede Funcionários e outra ligando a rede DMZ.

3.6

SSL/SSH •

Toda transação que inclui dados sigilosos como usuário e senha via ambiente WEB deve ser executada em cima de um protocolo SSL/SSH, usando uma chave de 128 bits.

•

As chaves deverão ser reconhecidas por unidade certificadora externa e instalada em cada uma das estações que utilize-as.

•

Se por algum motivo, a estação não reconhecer a chave utilizada, os alunos e professores que receberem a mensagem deve urgentemente procurar o Administrador da Rede para verificar o que está acontecendo.

3.7

DHCP •

Cada escopo nos servidores DHCP devem ter apenas o número de endereços IP suficientes para suprir a necessidade do grupo Laboratório.

•

Este grupo deverá ter o seu servidor DHCP.

•

A configuração de gateway do grupo Laboratório estará apontada para a respectiva placa do Firewall pertencente à mesma rede em questão.

•

As configurações de DNS deverão ser passadas via DHCP.

Redes – Instalação de Serviços no Linux

IV.

Projeto da Infra-Estrutura Física Na Infra-Estrutura Física são abordados o Tipo de Rede, os Tipos de Servidores,

os Componentes da Rede, as Especificações dos Equipamentos utilizados na rede, a Transmissão de Dados, o Cabeamento Estruturado, a Topologia, os Dispositivos da Rede, as Especificações dos Dispositivos desta rede e o Projeto Físico da Rede. Entretanto os conceitos destas abordagens estão no anexo 3.

Tipo de Rede

1.1

Cliente/Servidor Esta rede é um projeto onde a segurança é uma questão importante, e por esse

motivo foi escolhido a rede do tipo cliente/servidor. Nesse tipo de rede existe a figura do servidor, onde um computador gera recursos para os demais micros (clientes) da rede. O servidor é um computador especializado em um só tipo de tarefa, não sendo usado para outra finalidade como ocorre em redes ponto-a-ponto. Os servidores serão não-dedicados e dedicados, ou seja, alguns servidores não se dedicarão a uma só tarefa, e outros se dedicarão a apenas uma tarefa, respectivamente. O dedicado conseguirá responder rapidamente aos pedidos vindos dos demais micros da rede, não comprometendo o desempenho, ou seja, um servidor dedicado oferecerá um melhor desempenho para executar uma determinada tarefa porque ele, além de ser especializado na tarefa em questão, normalmente não executará outras tarefas ao mesmo tempo. Entretanto, nessa rede cliente/servidor pequena, onde o desempenho não chegará a ser um problema, terão servidores não-dedicados, isto é, computadores servidores sendo usados como servidores de mais de uma tarefa.

Tipos de Servidores São os diversos tipos de servidores que fazem parte da rede. São eles: •

Servidor de Arquivo;

Redes – Instalação de Serviços no Linux

•

Servidor de Impressão;

•

Servidor de Aplicações;

•

Servidor de Fax;

•

Servidor de HTTP;

•

Servidor de FTP;

•

Servidor de Telnet;

•

Servidor de DNS;

•

Servidor de DHCP;

•

Servidor de SSH;

•

Servidor de SSL;

•

Servidor de Comunicação (Proxy);

•

Servidor de NAT;

•

Servidor de NIS;

•

Servidor de NFS;

•

Servidor de Correio Eletrônico;

•

Servidor de Firewall;

•

Servidor de LDAP;

•

Servidor de Domínio.

Componentes da Rede a)

Servidores São computadores ou dispositivos capazes de oferecer recursos para a

rede. b)

Clientes São micros ou dispositivos que acessam os recursos oferecidos pela rede.

Recurso São serviços que são oferecidos e usados pelos clientes da rede, como

impressoras, arquivos, unidades de disco, acesso à Internet, etc.

Redes – Instalação de Serviços no Linux d)

Cabeamento São os cabos da rede que transmitem os dados que serão trocados entre os

diversos dispositivos que compõem uma rede. O cabeamento será visto mais adiante. e)

Placa de Rede É chamada também de NIC (Network Interface Card), que permite que

PCs consigam ser conectados em rede, já que internamente os PCs usam um sistema de comunicação totalmente diferente do utilizado em redes. f)

Hardware de Rede São periféricos para efetuar a comunicação da rede. Os que são utilizados

neste projeto são os switch, Hub e roteador. Esses periféricos serão vistos com profundidade no tópico de Dispositivos de Rede.

Especificações dos Equipamentos

4.1

Servidor

Figura 22 - Servidor 2600 • Servidor biprocessado com 1 processador de 2 GHz com 512 K l2 cache; • 256 MB memória DDR 266 MHz (expansível para 6 GB); • HD 36 GB 10.000 RPM Ultra 320 SCSI hot-swap (expansível para 1,16 TB); • Controladora de discos integrada com 2 canais U320 SCSI (320 MB/s); • Placa de rede Gigabit integrada; • Fonte de alimentação universal de 730 W (fonte redundante e hot-swap opcional); • CD-ROM de 24X máx./20X mín; • Mouse e teclado inclusos;

Redes – Instalação de Serviços no Linux

• Monitor 18” e sistema operacional (Linux) inclusos; • Com aplicativo; • Gabinete torre (opção para rack – 5U).

4.2

Cliente

Figura 23 - Desktop GX260 SMT •

Processador Pentium 4 de 2,40 GHz, 533 MHz FSB e 512 K de memória cache (expansível para 3,06 GHz e 533 MHz);

•

Chipset 845G;

•

256 MB DDR-SDRAM PC2100 compartilhada (expansível para 2GB);

•

HD 40 GB Ultra ATA-100;

•

Unidade de disquete de 3,5”;

•

Placa de vídeo integrada até 64 MB Direct AGP DVMT 2D/3D Graphics

•

Monitor 15” (13.78” área visível);

•

Placa de áudio AC97 integrada;

•

Placa de rede PRO/1000MT Gigabit integrada com suporte ao padrão ASF de alertas de pré-boot;

•

Linux;

•

6 portas USB 2.0 (2 frontais e 4 traseiras);

•

Com aplicativo.

Redes – Instalação de Serviços no Linux

4.3

Impressora

Figura 24 - Impressora a Laser Colorida Empresarial de Alta Velocidade •

Tecnologia de Impressão: Eletrofotografia a laser;

•

Velocidade: até 16 páginas por minuto – colorida até 16 páginas por minuto – mono;

•

Resolução: 600 x 600 dpi 1200 x 1200 dpi;

•

Processador: 350 MHz QED RM5216A;

•

Memória Padrão: 64MB;

•

Memória Máxima: Pode ser expandida até 320MB utilizando-se DIMM de 144 pinos;

•

Fontes

Residentes:

PCL

Mode:

fontes

redimensionáveis

PostScript:136 fontes redimensionáveis; •

Interfaces: Comutação de Interface Automática entre: 10/100 BaseT Ethernet, 1284 IEEE Paralela (ECP), USB;

•

Opções de Armazenamento: Drive de Disco Rígido Opcional. Manuseio do Papel • Entrada;

Capacidade total de 600 folhas.

Bandeja para 500 folhas de papel.

Bandeja multiuso para 100 folhas de papel.

•

Saída de Papel: 250 folhas com a face voltada para baixo;

•

Dimensões das folhas: Folhas soltas: Carta, Ofício, Executive, A4, A5, B5;

•

Envelopes: COM10, DL, Monarch, C5;

•

Meios de Impressão Especiais: Transparências, etiquetas, papel espesso;

Redes – Instalação de Serviços no Linux

•

Duplex: Padrão de fábrica;

•

Peso da folha: Bandeja Padrão: 16-28 lbs;

•

Bandeja multiuso: 16-57 libras;

•

Opções de Expansão: bandeja de baixo com capacidade para 1000 folhas de papel (LT-40CL). Instalação em Rede (opcional) • Interface: 10/100 BaseT Ethernet; • Suporte Multiprotocolar:

4.4

TCP/IP, NetBEUI, números de porta definidos pelo usuário.

IPX/SPX – Netware, Bindery/NDS.

Appletalk (Ethertalk) que aceita a impressão no modo Bindary e ASCII.

NetBEUI.

Gerenciamento em Rede: Pelo navegador da web, BRAdmin Professional.

Fax a Laser em Papel Comum

Figura 25 – Fax a Laser • Aprovação: FCC e UL; • Dimensões da Unidade: 396 x 358 x 244 mm; • Peso da Unidade: 7.5 kg; • Código UPC: 0 12502 56577 2; • Compatibilidade: ITU-TS Grupo 3; • Método de Codificação: MH/MR/MMR; • Modulação: 14400/9600/7200/4800/2400 bps; • Tempo de Transmissão: 6 segundos por página (216 x 279 mm);

Redes – Instalação de Serviços no Linux

• Dimensões do Papel de Gravação: 216 x 279, 216 x 356 mm; • Largura do Escaneamento/Cópia: até (208mm); • Largura de Entrada do Documento: 147 a 216 mm); • Resoluções - Standard: 203 x 98 linhas/polegada; • Fina/Foto: 203 x 196 linhas/polegada; • Superfina/Foto: 203 x 392 linhas/polegada; • Display: Cristal Líquido, 16 caracteres; • Sistema de Discagem: Tons/Pulsos; • Tipo de alto-falante: Monitor; • Fonte de Comunicações: Rede Telefônica Pública Comutada; • Requisitos de Conexão: Conector Modular USOC RJ11C (ou equivalente).

Transmissão De Dados

5.1

Modos de comunicação Este projeto utiliza o modo Full-duplex, pois esta transmissão de dados pode ser

utilizada por diferentes topologias, portanto se futuramente esta rede se expandir para uma outra topologia, não será necessário modificar o modo de comunicação.

Cabeamento Estruturado

6.1

Cabeamento de Rede Para este projeto são utilizados os cabos de Par Trançado. Neste item é definido o

cabo e futuramente será falado sua descrição.

6.2

Cabo Par Trançado O cabo UTP (Figura 26) é o mais popular e é o que será utilizado nesta rede de

computador.

Redes – Instalação de Serviços no Linux

Figura 26 – Cabo Par Trançado sem Blindagem - UTP A categoria utilizada nesta rede de computadores é a de número 5, por estar se tratando da Sigla 100Base-T (Ethernet). Os conectores mais comumente encontrados em estruturas de cabeamento baseadas em cabos de par trançado são os conectores RJ-45 (Figura 27). Sobre este conector será descrito no próximo item.

Figura 27– Conector RJ-45 macho

Projeto Básico de Rede Predial

7.1

Estrutura do Cabeamento Existente Existe no projeto uma infra-estrutura adequada para comportar toda a demanda

das instalações.

7.2

Cabeamento Secundário O cabeamento secundário em topologia estrela irá atender todas as estações de

trabalho do pavimento, centralizado no armário de te1ecomunicações do andar. Há

Redes – Instalação de Serviços no Linux

também alguns andares adjacentes atendidos por um único armário de telecomunicações o qual deverá ser acrescido para atender futuras expansões.

7.3

Projeto Básico de Cabeamento Como o termo Cabeamento Estruturado deve ser entendido no contexto deste

Projeto O termo Cabeamento Estruturado é por demais conhecido da comunidade técnica para merecer aqui detalhamento conceitual. Até porque todas as normas pertinentes trazem no seu prólogo a definição e terminologia com grande detalhamento e precisão. A intenção é alertar que, quando se refere a Cabeamento Estruturado é necessário mencionar que as seguintes questões do Projeto seguirão integralmente as normas: a) Aspectos topológicos da rede; b) A tecnologia de dispositivos; c) Os critérios de engenharia; d) Os testes para aceitação e certificação; e) Os aspectos funcionais, sempre que as premissas e delimitações. A situação da rede primária e secundária permitirá o correto gerenciamento das rotas e dos cabos instalados. Em todos os trechos existe infra-estrutura adequada, o que não comprometerá na performance do sistema para incorporação de novas tecnologias em equipamentos ativos.

7.4

Exemplificação de Condicionante - Densidade de Pontos Físicos Dentre as várias características técnicas que serão solicitadas pela faculdade para

atender as necessidades atuais e futuras está a de densidade de pontos físicos de acesso à rede (voz, dados e elétrico).

7.5

Exemplificação de outras Condicionantes Conforme a recomendação da norma ABNT NBRl4565, ABNT NBR5410, ANSI

EIA/TIA 568B ANSI EIA/TIA 569A, ANSI EIA/TIA 607, haverá a necessidade de

Redes – Instalação de Serviços no Linux

disponibilizar pontos de vinculação ao aterramento principal do prédio distribuído na sala dos equipamentos e nos armários de telecomunicações, bem como a revisão de todo o circuito elétrico que irão compor a rede de alimentação das estações de trabalho (dimensionamento).

7.6

Subsistemas de Cabeamento O projeto está dividido em sub-sistemas para melhor detalhamento funcional, a

saber: 1. Área de Trabalho: 2. Cabeamento Secundário; 3. Cabeamento Primário; 4. Armário de Telecomunicações; 5. Sala de Equipamentos; 6. Sala de Entrada de Telecomunicações. O Dimensionamento será baseado nas necessidades da faculdade bem como da inspeção simples realizadas no local quanto à flexibilidade e disponibilidade da infraestrutura que o cabeamento irá suportar. A estrutura de rede física contemplará um total de 256 estações de trabalho distribuídos em três pavimentos, e 256 pontos elétricos. Toda solução deverá contemplar os requisitos mínimos estabelecidos pelas normas ABNT e ANSI-EIA/TIA nas suas últimas atualizações.

7.7

Subsistema da Área de Trabalho Neste subsistema comportarão as estações de trabalho dos usuários cujo acesso a

pontos de serviços serão servidas por meio de caixas com 2 tomadas modulares M8v e 2 tomadas elétricas tipo 2P+T. Entende-se que cada estação de trabalho será atendida por 2 pontos de acessos a serviços (rede de voz e de dados) e 2 pontos de acessos à energia elétrica. O quantitativo dimensionado será conforme a tabela a seguir:

Redes – Instalação de Serviços no Linux

7.8

Dimensionamento do Subsistema Estação de Trabalho

Pavimento

TERREO 1º ANDAR 2º ANDAR Total

Nº de Conjuntos Tomadas de Serviços 85 85 86 256

Nºde Conjuntos Tomadas Elétricas 85 85 86 256

Nº de Pontos Físicos 170 210 310 512

O posicionamento das tomadas será determinada pelo executor da obra e validada pela Faculdade, quando da e1aboração do Projeto Executivo.

7.9

Subsistema Cabeamento Secundário Este subsistema (Figura 28) representa o seguimento que tem origem nas

tomadas das áreas de trabalho e destino aos armários de telecomunicações localizadas em cada pavimento. Visando uma maior flexibilidade para o cabeamento a ser implantado, face a futuras manobras de pontos e/ou estações de trabalho, na distribuição em leitos instalados nos corredores de acesso e desta derivando para cada ambiente.

Figura 28- Modelo de distribuição do cabeamento secundário As tomadas para acessos a serviços serão do tipo M8v dupla, instaladas nas divisórias, usando-se suportes apropriados.

Redes – Instalação de Serviços no Linux

7.10 Subsistema Armário de Telecomunicações Neste armário, estarão concentrados todas as redes de cabeamento secundário originário do mesmo pavimento, onde também estarão acondicionados os equipamentos ativos da rede local. A interligação entre estes armários de telecomunicações até a sala de equipamento (CPD) é atendido conforme o projeto em shaft apropriado, salvo exceção técnica a ser verificado de comum acordo.

7.11 Subsistema Sala de Equipamentos Nesta área estarão concentrados todas as redes de cabeamento primário que interligam todos os armários de telecomunicações de todos os pavimentos, onde estarão localizados todos os equipamentos principais da rede local. Para instalação de novos equipamentos concentradores principais, haverá a necessidade de fornecimento de gabinete para a instalação dos mesmos, visto que na instalação, os gabinetes não terão mais espaço suficiente.

7.12 Subsistema Sala de Entrada de Telecomunicações Neste subsistema será instalado toda a conexão de acesso a rede externa, e a sua interligação até a sala de equipamento.

7.13 Código de Identificação Visando uma melhor administração e gerência do cabeamento estruturado a ser implantado, serão utilizados códigos de identificação dos cabos da rede de dados das estações de trabalho. Esta identificação permitirá, dentre outros aspectos: • Manutenção do cabeamento; • Identificação rápida e segura de problemas físicos nos cabos; • Configuração da rede local; • Manipulação dos Patch Cords entre o equipamento ativo e o patch panel; • Expansões, remanejamentos e trocas de estações de trabalho da rede local.

Redes – Instalação de Serviços no Linux

As identificações dos cabos UTP deverão ser feitas por meio de anilhas plásticas afixadas nas extremidades dos cabos, permitindo assim a fácil identificação dos pontos de origem e destino dos mesmos.

7.14 Plano de Implantação da Rede O Plano de Implantação de uma rede de comunicação (voz e dados) implica em realizar determinadas tarefas de forma concomitante com o processo de aquisição e instalação dos recursos que compõem a rede. Tais tarefas definem cada passo da implantação da rede, sem contudo se preocupar com a visão global do processo, que deverá ser analisado posteriormente na forma de cronograma de implantação.

7.15 Atividades de Implantação A implantação de uma rede, segue uma seqüência típica de atividades que vai desde a preparação da infra-estrutura física até o treinamento de usuários. Essas atividades são desenvolvidas pelo próprio fornecedor dos recursos da rede e/ou por equipe de implantação própria previamente capacitada para esta função. Os prazos de execução das atividades deverão variar em conformidade com as dificuldades inerentes de cada edificação em questão, ou seja, quanto ao número de pontos, passagem de cabos e sua importância. A seguir são discriminadas as atividades a serem desenvolvidas na implantação da rede lógica e física. Foi considerado, para cada atividade, a duração, em dias úteis e a descrição da mesma: A 1. Verificação e Aprovação do Local Duração: 1 dia Descrição: Esta atividade se refere a vistoria dos locais apropriados para a instalação das salas de controle geral do cabeamento estruturado e de equipamentos por andar.

Redes – Instalação de Serviços no Linux

A 2. Execução da Infra-Estrutura Duração: 30 dias Descrição: Esta atividade se refere a execução da infra-estrutura necessária para a instalação da dutagem e do cabeamento, conforme especificado abaixo: • Obra Civil. • Montagem das eletrocalhas, dutos, conduites, tubulações etc. • Colocação das caixas de passagem. • Colocação de divisórias em salas de equipamentos onde ainda não possuir. A 3. Lançamento dos Cabos Duração: 15dias Descrição: Esta atividade se refere ao lançamento dos meios de comunicação (cabeamento) necessários para a formação do cabeamento primário e secundário, conforme o caso. A 4. Montagem dos Blocos, Painéis Distribuidores e Patch panel Duração: - 5 dias Descrição: Esta atividade se refere a montagem dos racks, dos patch panel e dos equipamentos ativos nas salas de controle geral e de equipamentos em cada andar. A 5. Conectorização Duração: - 5 dias Descrição: Esta atividade se refere a conectorização do cabeamento de cobre nos Patch panel. A 6. Montagem das Tomadas Duração: - 5 dias Descrição: Esta atividade visa instalar todos os pontos de dados de cada andar das edificações. Tal atividade poderá ser executada em etapas, atendendo andar por andar ou concomitantemente entre diversos andares.

Redes – Instalação de Serviços no Linux

A 7. Testes Funcionais e Sistêmicos Duração: - 4 dias Descrição: Esta atividade se refere a realização dos testes necessários para certificação do cabeamento. A 8. Testes de Aceitação Duração: - 3 dias Descrição: Esta atividade se refere a realização dos testes finais, juntamente com o provedor do serviço de cabeamento e do usuário para aceitação da instalação do cabeamento estruturado. A 9. Treinamento Duração: 1 dia Descrição: Esta atividade visa a realização de treinamento para o pessoal técnico que irá operar o cabeamento estruturado. O treinamento deverá ser fornecido pelo provedor do cabeamento.

7.16 Critérios de Implantação As diretrizes que norteará a elaboração do planejamento da implantação da Rede de Comunicação serão obtidas nas discussões entre a equipe de projeto e a equipe responsável da Faculdade. Essas diretrizes definirão os limites do Plano de implantação em termos globais, tanto no que se refere a datas e locais de instalação, quanto a prioridades de atendimento.

7.17 Cronograma de Implantação Este item mostra o cronograma físico de implantação da Rede de dados, segundo as etapas de implantação citadas acima, contendo a ordem de prioridade de atendimento. A data de início dos trabalhos, no cronograma abaixo, serve apenas como referencial, uma vez que sua definição dependerá da decisão da Faculdade. As demais datas serão calculadas pela agregação do tempo previsto para execução de cada uma das atividades, conforme apresentado nos itens anteriores.

Redes – Instalação de Serviços no Linux

7.18 Normatização para Projetos de Rede Esta Norma tem como objetivo, orientar o Projeto Executivo da Faculdade, estabelecendo os critérios mínimos para elaboração de cabeamento de rede estruturada e rede elétrica. O Projeto Executivo da rede da Faculdade deverá conter as plantas com cortes e respectivos detalhamentos, de cada andar das edificações com eletrocalhas, eletrodutos, canaletas, caixas de passagens, cabos e a localização das tomadas e racks. Uma rede estruturada deverá ser projetada no sentido de prover infra-estrutura para a construção ou adaptação em edifícios, que permita evolução tecnológica e flexibilidade para serviços de imagens e dados com taxas de transmissão de até 622 Mbps. Considerando-se a quantidade e a complexidade destes serviços, é imprescindível a implementação de uma estrutura que satisfaça às necessidades iniciais e futuras, em telecomunicações, e que garanta a possibilidade de reconfigurações ou mudanças imediatas sem necessidade de obras civis adicionais, após sua implantação.

7.19 Sistema de Cabeamento Estruturado 7.19.1 Seqüência para Projeto Executivo de Cabeamento Estruturado Projeto Executivo de cabeamento estruturado deverá ser elaborado mediante a seqüência: •

Projeto de Cabeamento Interno Secundário;

•

Projeto do Cabeamento Interno Primário;

•

Definição dos materiais de cabeamento. O Projeto Executivo de cabeamento estruturado deve conter:

•

Os esquemas de cabeamento em planta baixa e em corte vertical;

•

Distribuições e comprimento dos cabos;

•

Os tipos de dispositivos de conexão;

•

Detalhamento das caixas intermediárias para visita.

•

Os detalhes das tomadas de dados para ligação das estações de trabalho;

Redes – Instalação de Serviços no Linux

•

Os detalhes dos painéis de distribuição (patch panel);

•

A tabela de especificação dos materiais complementares empregados no Projeto. Outros elementos retirados do projeto de telecomunicações, tais como o esquema

básico, dimensões, características e demais detalhes necessários. Para elaboração do projeto de cabeamento estruturado, deve-se dispor do projeto de telecomunicações de onde se obtém: A quantidade e área de ocupação dos racks; As dimensões e localização das caixas intermediárias, caixas de saída, painéis de distribuição e da sala dos equipamentos; Dimensionamento das sessões transversais, comprimento e tipo dos caminhos e espaços. Todos os cabeamentos tratados no projeto de implantação deverão ser destinados única e exclusivamente para serviços de transmissão de dados e imagem.

7.20 Projeto Executivo do Cabeamento Horizontal O primeiro passo na elaboração do Projeto de Cabeamento Horizontal de um edifício é determinar as tomadas e/ou caixas de passagem, para atender o ambiente de trabalho. O número de tomadas a serem adicionadas, dependerá da destinação ou dos equipamentos a residirem no ambiente de trabalho. Todas as tomadas devem ser padronizadas (RJ-45). Terá que fazer o dimensionamento das cargas no painel de distribuição que alimenta um determinado número de estações de trabalho. As cargas no painel de distribuição devem ser o produto da quantidade das estações de trabalho pelo número de cada tipo de tomada de dados. Devem ser levantadas as cargas de todos os painéis de distribuição do prédio. Todas as tomadas nas saídas de dados devem ser terminadas em um painel de distribuição. As distâncias entre o ponto inicial até os painéis de distribuição, quando do lançamento do cabeamento, não podem exceder a 90 metros e nem conter emendas. Adicionalmente, as medidas estipuladas no TSB 75 devem ser rigorosamente observadas.

Redes – Instalação de Serviços no Linux

Levantadas as cargas do Cabeamento Horizontal nos painéis de distribuição, deve ser iniciado o dimensionamento dos cabos e a definição do layout dos dispositivos de conexão, considerando: • Os dispositivos de conexão do Cabeamento Horizontal devem proporcionar os meios ordenados, para interligar os cabos terminados por meio de cordões de conexão, aos dispositivos de conexão do Cabeamento Vertical e aos equipamentos existentes no painel de distribuição; • Os dispositivos de conexão devem ser agrupados em painéis de distribuição fixados em racks de 19 polegadas, posicionados, no mínimo, a 40 cm do piso; • Os blocos ou painéis de conexão podem ter uma alta densidade de dispositivos visando o aproveitamento de espaço, mas devem ser dispostos de tal maneira que facilite o manuseio dos cordões de conexão; • Todo dispositivo de conexão deve ser identificado ao seu correspondente na caixa de saída na estação de trabalho, contendo codificação (como por exemplo, nome do edifício, número da estação de trabalho, painel de distribuição, número do dispositivo de conexão, número do bloco ou painel que está localizado e o que mais se fizer necessário para uma perfeita identificação). O critério de identificação deverá ser previamente aprovado pela Faculdade; • Devem ser mantida uma codificação de cores uniforme na terminação dos cabos com os dispositivos de conexão; • Devem ser mantidos meios de acesso adequados para monitoração e testes no cabeamento e nos equipamentos; • Os blocos de conexão dos painéis de distribuição devem ser providos de meios de proteção dos terminais, tais como tampa plástica para evitar contatos ou choques mecânicos acidentais, que possam causar distúrbios elétricos; • Os blocos de conexão dos painéis de distribuição devem ser dispostos um acima do outro no mesmo rack; • A disposição dos blocos ou painéis de conexão, cabos e equipamentos devem ser de tal forma que sejam respeitados os raios de curvatura mínimos dos cabos, conforme especificação dos fabricantes; • O destrançamento do cabo até o ponto de terminação no conector, deve ser no máximo de 13 mm para cabo UTP categoria 5;

Redes – Instalação de Serviços no Linux

• Os cabos devem ser dispostos de modo organizado, não ocorrendo em nenhuma hipótese, o cruzamento entre eles.

7.21 Projeto Executivo do Backbone A função do Backbone é interligar todos os painéis de distribuição do prédio. Ele consiste de cabos, conexões intermediárias e principais, terminações e cordões de conexão. O Backbone terá hierarquia convencional da topologia estrela, onde cada conexão secundária no painel de distribuição é interligada à conexão principal nos concentradores. Não serão permitidas emendas ou derivações em paralelo no Backbone. Para o dimensionamento do Backbone devem ser consideradas as cargas de dados levantadas no Projeto de Cabeamento Horizontal, conforme a seguir: É recomendado que o dimensionamento do cabeamento de dados (tomadas físicas) seja previsto para no mínimo 10 anos. Deve ser considerada a ocupação máxima para o período determinado, a fim de se evitar a instalação de cabos adicionais; Deve ser considerada a flexibilidade do sistema, o quantitativo e o tipo de equipamentos a serem atendidos no período.

7.22 Definição dos Materiais do Cabeamento O cabo para instalação do cabeamento desta rede é o: Cabo UTP (Unshielded Twisted Pair), par trançado não blindado, 24 AWG, de 4 pares com as seguintes características; Com condutores de cobre rígidos com isolação em polietileno de alta densidade; Características elétricas e mecânicas mínimas compatíveis com os padrões para categoria 5; Relação entre diafonia e atenuação mínimo de 20 (vinte) dB medidos em lances de 100 metros; Suportar taxas de transmissão de até 622 Mbps;

Redes – Instalação de Serviços no Linux

Com capa em PVC, com marcação de comprimento indeletável em espaços inferiores a 1 metro, viabilizando uma contagem exata da metragem utilizada na instalação; Resistência à tração de pelo menos 400 N; Apresentação de certificado de conformidade Data Transmission Performance Category Marking Program emitido pelo UL, atestando que o cabo é classificado como categoria 5; Aderente aos requisitos elétricos e físicos da normatização TIA/EIA 568 A.

7.23 Dispositivos de Conexão Os conectores das tomadas de dados devem ser do mesmo tipo e categoria dos cabos. Os dispositivos de conexão do cabeamento horizontal estarão localizados em dois pontos, a saber: Caixas de saída UTP. Com um conector de saída para dados com 8 pinos, IDC, tipo RJ-45 para cabo UTP, 4 pares, categoria 5. Painel de distribuição (patch panel). Os dispositivos de conexão no painel de distribuição devem ser agrupados em blocos ou painéis de conexão, em número compatível com a carga de dados. Os blocos ou painéis de conexão podem ter uma alta densidade de dispositivos visando o aproveitamento de espaço, mas devem ser dispostos de tal maneira que facilite o manuseio dos cordões de conexão. Todo dispositivo de conexão dos painéis de distribuição deverá ser identificado ao seu correspondente na caixa de saída das estações de trabalho, contendo a mesma codificação utilizada nos cabeamentos internos primário e secundário. Todo dispositivo de conexão do Cabeamento Vertical deverá ser perfeitamente identificado com o seu correspondente na outra ponta do cabo. Devem ser mantidos meios de acesso adequados para monitoração e testes no cabeamento vertical e nos equipamentos.

Redes – Instalação de Serviços no Linux

Os blocos de conexão dos painéis de distribuição devem ser providos de meios de proteção dos terminais, tais como tampa plástica para evitar contatos ou choques mecânicos acidentais que possam causar distúrbios elétricos. A disposição dos blocos ou painéis de conexão, cabos e equipamentos devem ser de tal forma que sejam respeitados os raios de curvatura mínimos dos cabos, conforme especificação dos fabricantes. O destrançamento do cabo até o ponto de terminação no conector, deverá ser no máximo de 13 mm para cabo UTP categoria 5. Os cabos primários devem ser dispostos de modo organizado, não ocorrendo em nenhuma hipótese, o cruzamento entre eles. Os cordões de conexão, UTP Patch Cord, utilizados para as interligações do painel de distribuição ao Switch deve ser da mesma categoria e performance de transmissão ou maior que a utilizada nos cabeamento e conectores. Os cordões de conexão, UTP Patch cables, utilizados para as interligações do painel de consolidação às tomadas devem ser da mesma categoria e performance de transmissão ou maior que a utilizada nos cabeamento e conectores. Os cordões de conexão, UTP line cords, utilizados para as interligações das tomadas de conexão às estações de trabalho, não podem ter mais de 3 metros e devem ser da mesma categoria e performance de transmissão ou maior que a utilizada nos cabeamentos e conectores. Utilizar nos conectores RJ-45, conectorização padrão T-568 A. Os conectores RJ-45 deverão possuir o revestimento dos contatos em conformidade com a norma TIA/EIA-568-A.

7.24 Sistema de Distribuição 7.24.1 Definição É composto por módulos denominados patch panel, responsáveis pela estruturação da malha horizontal da rede.

Redes – Instalação de Serviços no Linux

7.24.2 Painel de Consolidação Painel de Consolidação aderente às normas TSB-75, para garantir flexibilidade em áreas de escritório com mobiliário móvel. Serão utilizados patch panel modulares, com mínimo de 12 e 24 portas RJ-45, 8 vias, categoria 5, montáveis em eletrocalhas de 50 mm X 50 mm. Conectores IDC com características elétricas e mecânicas mínimas compatíveis com os padrões para categoria 5, devendo apresentar pelo menos um trançamento interno de maneira a melhorar a performance das conexões. Os contatos devem apresentar um banho de ouro de pelo menos 50 micropolegadas nos contatos e a resistência de contato máxima deve ser de 23 m ohms. Deve suportar no mínimo 700 inserções de pluges RJ-45 e 200 reinserções nos conectores IDC. Deverá suportar taxas de transmissão de até 622 Mbps. Os conjuntos basculantes de conectores IDC devem ser basculantes, visando possibilitar a conectorização e manutenção pela pane frontal do rack. Deverá possuir guias para acomodação de cabos no próprio corpo do patch panel e anéis guias para organização de Patch Cords, ligados ao próprio corpo do patch panel. Devem ser fornecidas em conjunto com o patch panel braçadeiras do tipo velcro em quantidade suficiente para organizar cordões e cabos. Apresentação de certificado de conformidade Certificate of Compliance emitido pelo UL, atestando que o patch panel é classificado como categoria 5 e atende aos requerimentos de segurança UL 1863.

7.25 Patch Panel Serão utilizados patch panel modulares, com 24 portas RJ-45, 8 vias, categoria 5, montável em rack padrão EIA de 19 polegadas. Conectores IDC com características elétricas e mecânicas mínimas compatíveis com os padrões para categoria 5, devendo apresentar pelo menos um trançamento interno de maneira a melhorar a performance das conexões. Os contatos devem apresentar um banho de ouro de pelo menos 50 micropolegadas nos contatos e a resistência de contato máxima deve ser de 23 m ohms.

Redes – Instalação de Serviços no Linux

Deve suportar no mínimo 700 inserções de pluges RJ-45 e 200 reinserções nos conectores IDC. Deve suportar taxas de transmissão de até 622 Mbps. Os conjuntos basculantes de conectores IDC devem ser basculantes, visando possibilitar a conectorização e manutenção pela parte frontal do rack. Deve possuir guias para acomodação de cabos no próprio corpo do patch panel e antis guias para organização de Patch Cords, ligados ao próprio corpo do patch panel. Devem ser fornecidas em conjunto com o patch panel braçadeiras do tipo velcro em quantidade suficiente para organizar cordões e cabos. Apresentação de certificado de conformidade Certificate of Compliance emitido pelo UL, atestando que o patch panel é classificado como categoria 5 e atende aos requerimentos de segurança UL 1863.

7.26 Tomadas As tomadas de parede com uma entrada fêmea do tipo RJ-45, em 8 vias, categoria 5, padrão TIA/EIA 568-A, obedecendo aos seguintes requisitos técnicos mínimos: Conectores IDC com características elétricas e mecânicas mínimas compatíveis com os padrões para categoria 5, devendo apresentar pelo menos um trançamento interno de maneira a melhorar a performance das conexões. Os contatos devem apresentar um banho de ouro de pelo menos 50 micropolegadas nos contatos e a resistência de contato máxima deve ser de 23 m ohms. Deve suportar no mínimo 700 inserções de conectores RJ-45 machos. Deve suportar taxas de transmissão de até 622 Mbps. Cada tomada deverá ser do tipo RJ-45, 8 pinos, padrão de pinagem T568A, categoria 5. Possuir campo para identificação do ponto sobre a porta RJ-45. Cada cabo de par trançado de 4 pares, categoria 5 (patch cable), proveniente dos Painéis de Consolidação e com destino a uma determinada tomada, RJ-45, será ligado a conexões de engate rápido do tipo IDC. As tomadas de dados deverão estar afastadas, no mínimo, 15 cm das tomadas elétricas.

Redes – Instalação de Serviços no Linux

As tomadas de parede deverão dispor, no mínimo, de 30 cm do piso. As tomadas deverão ser compostas de caixas de montagem em superfície, incluindo-se aí os serviços de fixação (se necessário), conectorização dos cabos aos conectores e identificação dos pontos de dados. A identificação de cada tomada de acesso deverá ser feita com material autoadesivo e plastificado.

7.27 Racks Serão instalados racks nos locais demarcados nas Plantas de distribuição de pontos. Os patch panel serão acondicionados nos racks, de acordo com a normatização apresentada. Todos os locais onde forem instalados racks, deverão ser ajustados em sua profundidade e adequados com piso elevado. A exceção são os locais que, segundo o projeto, conterão racks de parede. Os racks deverão obedecer aos seguintes requisitos técnicos mínimos: Padrão EIA de 19” (dezenove polegadas); Altura útil interna de 34 unidades de altura (UA's); Características físicas em acordo com a norma TIA/EIA-569A; Metálico; Porta frontal em vidro temperado ou acrílico; Acompanhado de parafusos em quantidades suficientes para fixação dos equipamentos em função de sua altura; Régua com no mínimo 8 tomadas elétricas.

7.27.1 Cabeamento Horizontal Consiste do sistema de cabeamento que interliga os painéis de distribuição, localizados em racks, aos painéis de consolidação. Os cabos deverão ser identificados, no transcorrer do Projeto executivo. Os cabos utilizados deverão ser do tipo UTP (Unshielded Twisted Pairs), aderentes às normas TIA/EIA 568-A, categoria 5.

Redes – Instalação de Serviços no Linux

7.27.2 Cabeamento Vertical Consiste do sistema de cabeamento vertical, que interliga os andares dos edifícios. O cabo par trançado será utilizado respeitando as distâncias e fazendo com que o Hub ou Switch tenham portas Cross, para não fazer o empilhamento. Este cabo será UTP (Unshielded Twisted Pair), par trançado não blindado, 24 AWG, de 4 pares com as seguintes características: Com condutores de cobre rígidos com isolação em polietileno de alta densidade. Características elétricas e mecânicas mínimas compatíveis com os padrões para categoria 5. Relação entre diafonia e atenuação mínimo de 20 (vinte) dB medidos em lances de 100 metros. Suportar taxas de transmissão de até 622 Mbps. Com capa em PVC, com marcação de comprimento indeletável em espaços inferiores a 1 metro, viabilizando uma contagem exata da metragem utilizada na instalação. Resistência à tração de pelo menos 400 N. Apresentação de certificado de conformidade Data Transmission Performance Category Marking Program emitido pelo UL, atestando que o cabo é classificado como categoria 5. Aderente aos requisitos elétricos e físicos da normatização TIA/EIA 568-A.

7.28 Patch Cord (Cabos de Ativação). Serão utilizados Patch Cord para interligar os patch panels ao switch principal e secundário, possibilitando assim, a ativação lógica dos pontos físicos da rede, com metragem de 4 metros. Serão fornecidos cabos UTP, 4 pares, Categoria 5, com conectores RJ-45 macho em ambas as extremidades, com condutores de cobre multifilares, ultraflexível, 24 AWG, revestido com capa de PVC, aderente às normas TIA/EIA 568-A, com conectores RJ-45 de 8 posições, padrão de pinagem T568A, Categoria 5. Os contatos deste conectores devem ter um banho de 50 mpolegadas de ouro sobre 100 mpolegadas de níquel.

Redes – Instalação de Serviços no Linux

Todos os Patch Cord a serem utilizados deverão ser produzidos, testados e certificados em fábrica, não sendo permitida sua confecção em campo. Deverão constar na proteção externa, gravação da certificação categoria 5, demonstrando conformidade do fornecedor com a normatização TIA/ElA 568-A. Deve suportar taxas de transmissão de até 622 Mbps. Capa em PVC, com marcação de comprimento indeletável.

7.29 Patch Cable (Cabo não terminado). Serão utilizados Patch cable para interligar os painéis de consolidação às tomadas. Possui conector RJ-45 macho para ser conectado ao painel de consolidação e não terminado para ser conectorizado com metragem mínima de 15 metros. Serão fornecidos cabos UTP, 4 pares, Categoria 5, com conectores RJ-45 macho em uma das extremidades, com condutores de cobre multifilares, ultraflexível, 24 AWG revestido com capa de PVC, aderente às normas TIA/EIA 568-A, com conectores RJ-45 de 8 posições, padrão de pinagem T568A, Categoria 5. Os contatos deste conectores devem ter um banho de 50 mpolegadas de ouro sobre 100 mpolegadas de níquel. Todos os Patch cables a serem utilizados deverão ser produzidos, testados e certificados em fábrica, não sendo permitida sua confecção em campo. Deverão constar na proteção externa, gravação da certificação categoria 5, demonstrando conformidade do fornecedor com a normatização TIA/EIA 568-A. Deve suportar taxas de transmissão de até 622 Mbps. Capa em PVC, com marcação de comprimento indeletável. Deverá necessariamente ser conectorizado, testado e certificado em fábrica. Não serão aceitos Patch cables montados em campo.

7.30 UTP Line Cords (cabos de ativação dos pontos das estações de trabalho). Serão utilizados para conectar as estações de trabalho e os servidores da rede às tomadas de dados, com metragem de 3 metros.

Redes – Instalação de Serviços no Linux

Serão fornecidos cabos UTP, 4 pares, Categoria 5, com conectores RJ-45 macho em ambas as extremidades, com condutores de cobre multifilares, ultraflexível, 24 AWG, revestido com capa de PVC, aderente às normas TIA/EIA 568-A, com conectores RJ-45 de 8 posições, padrão de pinagem T568A, Categoria 5. Todos os Line cords a serem utilizados deverão ser produzidos, testados e certificados em fábrica, não sendo permitida sua confecção em campo. Deverão constar na proteção externa, gravação da certificação categoria 5, demonstrando conformidade do fornecedor com a normatização TIA/EIA 568-A. Deve suportar taxas de transmissão de até 622 Mbps. Capa em PVC, com marcação de comprimento indeletável. Deverá necessariamente ser conectorizado, testado e certificado em fábrica. Não serão aceitos Patch cables montados em campo.

7.30.1 Encaminhamentos O projeto diferenciará nas plantas do projeto executivo, os encaminhamentos existentes daqueles a executar; O sistema de cabeamento deverá utilizar sistema de condução (eletrocalhas, eletrodutos rígidos e/ou flexíveis) independente do sistema elétrico, ou de qualquer outro sistema que possa causar interferências eletromagnéticas no cabeamento de dados. Os racks deverão ser ligados ao sistema de cabeamento de dados utilizando-se eletrocalhas, conforme definido em plantas; É importante salientar que os eletrodutos e eletrocalhas para a rede de dados estão dimensionados para atender o especificado para este projeto; Os eletrodutos metálicos, assim como as eletrocalhas, deverão ser aterradas em um sistema único para a rede de dados; O sistema de dutagem para dados não poderá, em nenhuma hipótese, ser compartilhado pelo sistema de encaminhamento elétrico; O fornecimento de eletrocalhas e eletrodutos deverá contemplar todos acessórios necessários para suas instalações.

Redes – Instalação de Serviços no Linux

7.30.2 Encaminhamentos (Par Trançado) Será adotado um sistema de eletrocalhas principais lisa em aço galvanizado, bitola mínima de 16 MSG, de 150 X 50 mm e eletrocalhas secundárias lisa em aço galvanizado de 50 X 50 mm, para permitir o acondicioNamento dos cabos de par trançado da malha horizontal; Serão utilizados eletrodutos flexíveis revestidos metálicos (tipo copex) de ¾”, para derivação do cabeamento de par trançado das eletrocalhas até o sistema de canaletas das salas em paredes ou divisórias, conforme constante no projeto; Os eletrodutos flexíveis revestidos metálicos terminarão em uma caixa de passagem. Da caixa de passagem o cabeamento seguirá pelo interior das divisórias ou em canaletas de PVC de 20 X 10 mm afixadas nas divisórias. Todas as derivações de eletrodutos serão feitas com conexões e adaptadores apropriados. Os eletrodutos flexíveis revestidos metálicos (tipo copex) interligarão os painéis de consolidação, fixados nas eletrocalhas secundárias, adotando o encaixe apropriado, até as caixas de passagens para conexão das canaletas nas salas de trabalho.

7.30.3 Caixas de Passagens Para a distribuição entre os eletrodutos flexíveis revestidos metálicos (tipo copex) e as ramificações (saídas para tomadas) serão utilizadas caixas de passagem apropriadas de 4x4”.

7.30.4 Tomadas Lógicas Nos pontos de parede, as tomadas ficarão a 30 cm do piso, embutidas ou aparentes, conforme padrão adotado pelo projeto. Em sendo externas deverão ser utilizadas canaletas de cor previamente aprovada pela Faculdade.

7.30.5 Considerações Finais Deverá constar na proposta do executante marca, modelo e part number dos produtos de cabling.

Redes – Instalação de Serviços no Linux

Todos os componentes passivos da rede (cabos, conectores, tomadas, patch panels, chicotes, painéis de consolidação, etc.), com exceção dos Racks e elementos de infra-estrutura, deverão ter certificação emitido pelo laboratório UL.

Topologia Estrela A topologia desta rede é a estrela (Figura 29) , onde cada computador ou estação

de trabalho é conectado a um componente central chamado de Hub ou concentrador. Um computador enviará os dados sempre para o Hub que os direciona para os computadores na rede. A topologia de estrela difere da topologia de barramento, em que existe o backbone, onde os computadores todos ficam conectados em linha, pois na topologia estrela, existe o Hub que permite a conexão entre os diversos computadores a partir de um ponto central. A função do Hub será a de agir como um repetidor. Um computador da rede enviará os dados com um endereço associado. O Hub receberá esse dado e o enviará para os demais computadores. O computador endereçado receberá os dados. O Hub é responsável por realizar um broadcasting dos sinais recebidos.

Figura 29 – Topologia estrela.

Redes – Instalação de Serviços no Linux

Dispositivos de Rede

9.1

Especificações dos Dispositivos de Rede

9.1.1 Hub

Figura 30 – Hub • Profundidade: 31 cm (12.2 pol.) • Largura: 4.4 cm (1.7 pol.) • Tipo do Hub: parte de FCC 15 Classe A, EN55022 Classe A, nível B EN500821 (ICE-003 Classe A) • Planejamento: Supervisor de Rede • Mídia interface: vinte e quatro 10/100BASE-TX, conectores RJ-45 • Opcionais de backup do sistema: Sistema de Poder Redundante Avançado com 100 W Type 2A módulo de poder • Módulos opcionais: Unidade Hot-swap, administração avançada, distância extendida, interface de transceptor • Interfaces de transceptor opcional: BNC coaxial, par trançado, fibra ST • LEDs: Link Status, Partição • Porta por hub: vinte e quatro 10/100 Mbps Ethernet, um transceptor • Requerimentos para o sistema: voltagem de entrada 80-264 VAC, freqüência: 40/63 Hz, Consumo: 49 W • Segmento de LEDs: Colisão/Atividade 3498503 • LEDs do sistema: estados do sistema, Planejamento/Atenção • Total de unidades no pacote: total de unidades no pacote: até 8 misturado com dupla velocidade de 500 ou unidades por pacotes • Altura: 44 cm (17.3 pol.)

Redes – Instalação de Serviços no Linux

9.1.2 Switch

Figura 31 - Switch • Profundidade: 27.4 cm (10.8 pol.) • Ethernet que troca características: Full-/half-duplex de autonegociação e controle de fluxo; 802.1Q VLAN de apoio; 802.1p ordenação de tráfego, DiffServ, Classificação de Pacote de Multi-camada; DiffServ Marcador de pacote, Classificação de Pacote de Multi-camada; 802.3ad Protocolo de Controle de Ligação de Agregação ; 802.1x Login de Rede de Rádios • Altura: 4.4 cm (1.7 pol.) • Planejamento: planejamento da interface da web, planejamento da linha de comando da interface • Mídia interfaces: RJ-45 • Total de portas: 48 autonegociação 10BASE-T/100BASE-TX com configuração das portas automática, MDIX; 2

slots do módulo acomodam a mídia dos

módulos ou módulos empacotados • Largura: 44 cm (17.3 pol.)

9.1.3 Gateway (Roteador)

Figura 32 – Gateway •

Portas de rede: 4 autosensing 10BASE-T/100BASE-TX com auto MDI/MDIX

•

Portas WAN: 1 autosensing 10BASE-T/100BASE-TX com auto MDI/MDIX

Redes – Instalação de Serviços no Linux •

Segurança: Firewall com inspeção de estado de pacotes, iniciação/terminação VPN, detecção de padrões de ataques de hackers, recursos de servidor virtual, DMZ virtual

•

Suporte a VPN : Túneis simultâneos PPTP, IPSec e L2TP/IPSec; múltiplas subredes por túnel

•

Protocolos suportados: PPPoE, PPTP, IP Routing, NAT, PAT, PAP, CHAP, MS CHAP, UDP, TCP, IPCP, DHCP Server, SNTP, IPSec, L2TP/IPSec

•

Gerenciamento: Interface de administração baseada na web permite o gerenciamento remoto

•

Dimensões: Altura 3.6 cm (1.4 pol.), Largura 2.2 cm (8.7 pol.), Profundidade 13.5 cm (5.3 pol.)

•

Peso: 5.37 kg

9.1.4 Firewall

Figura 33 – Firewall •

Bus: 32-bit CardBus

•

Conector: RJ-45

•

Firewall com filtro:

somente protocolo IP, non protocolo IP (IPX, NetBEUI,

PPPoE) pode ser bloqueado ou pode ser atravessado sem filtrar •

Administração: SNMP-manejável, DMI 2.0, Gerente de Conexão Móvel, Servidor de Política de Firewall embutido

•

Mídia: 10BASE-T/100BASE-TX

•

Protocolos de Rede: TCP/IP, IPSec

Redes – Instalação de Serviços no Linux •

Processo offloads: 168-bit 3DES, 56-bit DES, SHA-1, MD5, RFC 2402, política de firewall, TCP para grande envio, TCP/IP checksum

•

Processador: 100 MHz RISC processador de segurança

•

Software drivers: Windows XP, 2000, NT 4.0, Me, 98 SE, DOS (só para instalação)

•

Complacência de padrões: PCI 2.1/2.2, PC 99/2001, WfM, ACPI, DMI, WMI, PXE, BIS, RIS, RWU

9.1.5 No-Breaks

Figura 34 - No break senoidal • Entrada trifásica / bifásico 7,5 a 20 kVa • Duplo conversor (true on line) Chave estática • Transformador isolador (opcional) • Monitoração microprocessada (opcional) • Software de monitoração para ambiente Windows, incluindo agente SNMP (opcional)

Trabalho de Redes II – Instalação de Serviços no Linux HTTP, FTP, Telnet, DNS

200.252.36.1/26

SSL/SSH, LDAP, NIS/NFS

200.252.36.2/26

Correio Eletrônico

200.252.36.3/26

85 Impressão

200.252.36.4/26

Fax

Proxy HTTP

200.252.36.5/26

Proxy FTP

Domínio

200.252.36.6/26 200.252.36.7/26

200.252.36.8/26

200.252.36.9/26

M Hub

200.252.36.62/26

Firewall

200.252.36.65/26

Hub

10/100 Mbps

256Kbps

Eth Internet SW

200.252.36.126/26 Firewall

IP Privado 200.252.36.19/

IP Válido 200.100.1.0/29

200.252.36.129/26

2 placas de rede: 1 para Wan e 1 para Lan Hub 200.252.36.254/26

Redes – Instalação de Serviços no Linux

V – Linux 1.

Introdução O Linux é um sistema derivado do Unix feito para rodar em computadores pessoais.

Criado por Linus Torvalds, o nome Linux vem da união do nome dele com a palavra Unix e é um Freeware, possui código livre e aberto. O Linux suporta multitarefa real, memória virtual, bibliotecas dinâmicas, redes TCP/IP, nomes de arquivos com até 255 caracteres e proteção entre processos (crash protection), além de muitas outras funcionalidades que deixariam esta lista extensa demais. Um grande atrativo que o Linux oferece é o fato de poder trabalhar tanto como servidor de aplicações quanto como estação de trabalho, sem que haja necessidade de grandes modificações no seu sistema. O Linux é um produto amplamente testado, impondo-se dentro do mercado de servidores, do meio acadêmico e científico, no bojo da discussão de plataformas estáveis de desenvolvimento, e não há dúvidas quanto ao seu inequívoco talento para ser um sistema hegemônico. O código aberto fornece-lhe um combustível infinito e a adesão em massa por parte dos desenvolvedores, e principalmente empresas de calibre, o levaram a ser considerado uma proposição com fôlego e destino promissores. O sistema operacional Linux é o fenômeno mais marcante do mercado de informática nos últimos anos e nos mais diversos países. E vários indicadores confirmam essa afirmação: •

A rapidez com que muitos usuários já aderiram a ele e continuam aderindo em ritmo acelerado. Atualmente, existem cerca de 30 milhões de usuários de Linux em todo o mundo;

•

Crescente contingente de pessoas interessadas em conseguir informações a seu respeito, principalmente porque Linux, um produto que pode ser obtido até gratuitamente através da Internet e representa uma ruptura no modelo tradicional de indústria de software;

•

A disseminação do conceito de software livre e de código aberto e do estilo de desenvolvimento de software em comunidade, através da Internet;

Redes – Instalação de Serviços no Linux •

A certeza de que Linux é muito bom, inclusive porque inúmeros testes divulgados sistematicamente pela mídia internacional e nacional comprovam que, em muitas aplicações, Linux é mais estável, mais rápido e seguro;

•

Grande número de desenvolvedores e empresas que passam a lançar produtos baseados em Linux e em software livre de código aberto. Estima-se que já existam mais de 4.000 aplicativos para Linux;

•

A forte atração que Linux começa a exercer sobre os fabricantes de hardware, que vêem nele uma alternativa de reduzir o preço do produto acabado sem comprometer a qualidade do produto final;

•

Rápido crescimento do número de usuários corporativos de Linux. Essa utilização, que até há algum tempo concentrava-se mais na adoção do Linux como servidor de arquivos ou em aplicações especializadas, agora começa a se ampliar, havendo já um número expressivo de empresas que apoiam todo processamento sobre Linux; e

•

A constatação de que Linux é o produto de Internet por excelência, e que vai se consolidar com ela. Hoje, 31% dos sites de Internet são Linux. Os Fabricantes de programas estão cada vez mais interessados em colocar seus

softwares para a plataforma Linux. Um exemplo atual é a Corel, que lançou a versão do WordPerfect para Linux. "Está entrando cada vez mais investimentos...", dizem os usuários de Linux. Cada vez mais usuários caseiros estão migrando para o Linux. .

Formatação do Equipamento Recebido Foi cedido ao nosso grupo o equipamento de número 3 do Laboratório 5, com a

configuração: • Pentium III 850 Mhz -128 Mb ram (memória principal); • 20 Gb (disco rígido), Unidades de Disquete 3 ½, CD-ROM 52x; • Teclado, Mouse, Monitor Samsung; e • Placa de Rede Realtec 8139. "

Redes – Instalação de Serviços no Linux

Como este equipamento já havia sido utilizado por grupo do semestre anterior, já continha o Linux instalado, o que tornou necessário a formatação do mesmo.

Formatar

3.1

BIOS e configuração Opções de Boot “inicialização” da máquina (1º Disquete, 2º CD-ROM, 3º HD).

Configurar uma senha de BIOS e de boot para ser utilizado por nosso grupo.

3.2

Formatação Para formatar um equipamento é necessário ter em mãos um Diskette de Boot do

Windows (que contenha também o programa Fdisk) e um Diskette contendo o programa Delpart. a)

Colocar o Diskette de Boot no drive correspondente e ligar o equipamento. Com isso estará dando um “boot” no sistema pelo modo de “prompt” . Assim que visualizar na tela A:\> digitar o comando “fdisk /mbr”. Este comando (fdisk) tem como objetivo formatar o HD e a complementação dele

(/mbr) excluir o registro do Grub que havia no equipamento, ou seja, ele “zera” a trilha zero (responsável por guardar a informação do endereço onde constam os programas de boot de sistema). b)

Substituir o diskette de boot pelo diskette que contém o programa Delpart O programa Delpart é utilizado para excluir todas as partições existentes no disco rígido. No prompt digitar Delpart e será mostrada uma tela inicial do programa que mostrará as partições. Só é necessário selecionar a partição e tecle <DEL> será solicitado a confirmação da exclusão. Ao terminar a exclusão de todas as partições deverá salvar as alterações feitas e tecle <F3> para sair do programa.

Redes – Instalação de Serviços no Linux

Instalação do Linux Inicializando a instalação do Linux é necessário colocar seu CD no drive

correspondente (após ter removido o diskette) e reinicializar o equipamento, o instalador se encarregará automaticamente da instalação. Obs.: Em algumas BIOS antigas não é possível inicializar a máquina pelo CD. O procedimento nestes casos a seguir seria acessar o seu drive de CD pelo prompt digitando a letra correspondente ao drive seguida de : (dois pontos) e o comando cd dosutils e depois autoboot. Exemplo: A:> D: (no caso do exemplo “D” porque é a letra convencionada para drive de CD) D:\ cd dosutils D:\DOSUTILS> autoboot

4.1

Criando discos de instalação Pode-se criar diskettes para iniciar a instalação. Criando este disco de instalação a partir do MS-DOS deve-se acessar o diretório, no

CD de instalação do Conectiva Linux, que contém o programa rawrite, que será responsável por confeccionar o disco de boot a partir do MS DOS: D:\> cd dosutils Execute o programa, informando o caminho da imagem: D:\DOSUTILS> rawrite d:\conectiva\images\boot.img Criando o disco de instalação a partir do Linux, caso você já tenha o sistema instalado, proceda da seguinte forma: Acesse o sistema como superusuário: [aluno@callisto aluno]$ su – Monte o CD-ROM e acesse o diretório conectiva/images, o qual contém as imagens dos discos de instalação: [root@callisto /root]$ mount /mnt/cdrom [root@callisto /root]$ cd /mnt/cdrom/conectiva/images/ Crie o disco de boot:

Redes – Instalação de Serviços no Linux

[root@callisto images]$ cp boot.img /dev/fd0 No caso do nosso grupo foi decidido que este disco não seria necessário.

4.2

Opção de perfil de instalação Ao iniciar a instalação do Linux surgirá uma tela com as opções para instalação do

Conectiva Linux (Figura 35). Caso não selecione outra opção o programa de instalação assumira a padrão que é Conetiva Linux 7.0 Desktop Edition. Esta opção é sugerida pela Conectiva para usuários que queiram utilizar seu equipamento como desktop, sem a instalação de servidores, mas possuindo acesso à Internet, suites de aplicações e programas de uso doméstico.

Figura 35 -Seleção de Instalação do Conectiva Linux 7.0

4.3

Seleção do Idioma Ao aparecer a tela Idioma/Language (Figura 36) utilize o mouse ou mova o cursor

com a tecla “TAB” entre as opções para selecionar a opção desejada e a barra de espaço ou a tecla “ENTER” para ativar a sua escolha. Escolha o idioma que será utilizado pelo sistema e clique em próximo para prosseguir com a instalação.

Redes – Instalação de Serviços no Linux

Figura 36 - Seleção do Idioma

4.4

Seleção do Mouse Teste o mouse, movimentando-o, e escolha entre as opções disponíveis a

especificação correta ou, na falta desta, a que mais se enquadra com seu modelo de acordo com a figura abaixo (Figura 37):

Figura 37 - Seleção do Mouse

Redes – Instalação de Serviços no Linux

4.5

Seleção do teclado Só é necessário seguir as instruções e escolhendo o teclado dentro das especificações

do seu. Utilize a área de teste, localizada na base da tela para testar a Configuração escolhida (Figura 38).

Figura 38- Seleção e Teste de Teclado

4.6

Instalar ou Atualizar Neste momento será necessário especificar se você está instalando o Linux ou apenas

atualizando uma versão já existente no equipamento (Figura 39)

Redes – Instalação de Serviços no Linux

Figura 39 - Instalar ou Atualizar?

4.7

Perfil de Instalação A Conectiva oferece algumas opções preestabelecidas de instalação. Estas opções são

padronizadas, mas nada impede que você as adapte aos seus interesses (Figura 40).

Figura 40 - Seleção de Perfil

Redes – Instalação de Serviços no Linux

4.9

Particionamento Pode-se ajustar o disco rígido de acordo com o tipo de instalação que você pretende

usar. Observe que o campo de dispositivo está vazio. Clique no botão Adicionar para criar a primeira partição, que deve ser designada com /. Se você marcar a opção Maximizar a partição irá ocupar todo o espaço livre disponível no disco rígido. Se esta é uma partição nova, recomenda-se marcar a opção Formatar. Marcando esta opção, a partição será preparada para uso, organizando seu espaço de armazenamento em um conjunto de "compartimentos" de modo que os dados possam ser classificados e recuperados pelo sistema operacional. Se a opção Inicializar for marcada a partição será inicializável, isto é, ela poderá ser utilizada para iniciar o sistema. Escolha o tamanho que deseja para a partição principal, é aconselhável fazer uma partição com pelo menos 1GB. Não esqueça de selecionar a opção / no campo Ponto de Montagem. Crie também uma partição para a área de troca, conhecida como swap, com, aproximadamente, 64MB de espaço. (Figura 41).

Figura 41 - Particionamento do Disco - Editando/dev/hda 1 Observe que esta primeira partição, chamada de Linux Native, deve ter espaço suficiente para comportar o sistema, mas é recomendado que, mesmo com a opção de

Redes – Instalação de Serviços no Linux

instalar apenas o Linux, deve-se evitar ocupar todo o disco, pois é necessário criar uma área de troca.

4.10 Estrutura do particionamento No exemplo (Figura 42), o disco rígido ficou com duas partições, sendo que a principal tem 2.9GB e a swap com 129.9MB. Observe que, neste caso, apenas o Linux será utilizado como sistema operacional da máquina.

Figura 42 -Particionamento do Disco

4.11 Escolha do kernel O kernel é o núcleo do sistema operacional; é a parte que controla diretamente o hardware da máquina. Atualmente, a versão mais atual do kernel Linux é a 2.4 e, embora ela ofereça mais recursos que a versão 2.2, ainda não foi testada em tantos sistemas e por tantas pessoas quanto a versão mais antiga. Por este motivo, o Conectiva Linux 7.0 permite que você escolha qual versão pretende instalar. Em caso de dúvida, opte pela versão 2.2. (Figura 43) Após escolher o kernel a ser instalado, clique em OK para prosseguir.

Redes – Instalação de Serviços no Linux

Figura 43 -Seleção do Kernel

4.12 Seleção do agrupamento de pacotes Deve-se escolher o agrupamento de pacotes que mais se aproxima do seu interesse de uso da máquina. Caso não tenha certeza do que deseja, continue a instalação com as opções do padrão Conectiva, que é a mais indicada para máquinas desktop. Se você optar por instalar pacotes individuais apenas siga as instruções seguintes (Figura 44).

Figura 44 - Seleção de Componentes

Redes – Instalação de Serviços no Linux

Caso opte por instalar pacotes individuais certifique-se de marcar a opção satisfazer dependências, para evitar que algum programa não funcione por falta de um pacote necessário.

4.13 Seleção dos Pacotes Os pacotes estão organizados por grupos, um clique na seta ao lado do nome de cada grupo exibe os pacotes correspondentes ao mesmo. Um pacote selecionado para instalação está destacado com uma barra azul. Quando um pacote é selecionado, informações sobre o mesmo são exibidas na parte inferior da tela. Se você deseja desmarcar um pacote que será instalado, clique sobre ele. Mas, se você quer incluir algum pacote não selecionado na instalação, clique sobre ele para marcá-lo. Depois de realizadas as alterações desejadas, clique em Próximo para continuar.(Figura 45)

Figura 45 -Seleção dos Pacotes

Redes – Instalação de Serviços no Linux

4.14 Instalação dos Pacotes Para instalar todos os pacotes do Conectiva Linux apenas marque a opção correspondente na tela de seleção de componentes ou selecione apenas os componentes desejados. (Figura 46)

Figura 46 -Seleção de Componentes

4.15 Seleção de placa de vídeo O processo de instalação detecta automaticamente a maioria das placas de vídeo existentes no mercado. Caso a placa detectada não corresponda às características da sua, especifique-a seguindo as informações do manual do fabricante. (Figura 47).

Redes – Instalação de Serviços no Linux

Figura 47 -Seleção de Placa de Vídeo

4.16 Seleção do Monitor Selecione, da lista apresentada, a descrição de monitor correspondente ao seu. Caso ele não esteja presente na lista será necessário selecionar um monitor Genérico. Neste caso, siga as especificações fornecidas pelo fabricante de seu monitor. (Figura 48)

Figura 48 -Seleção de Monitor

Redes – Instalação de Serviços no Linux

100

Obs.: É necessário seguir à risca as informações técnicas descritas no manual para evitar dano no monitor caso as freqüências informadas sejam incompatíveis com as suportadas pelo hardware do mesmo.

4.17 Configurar Área de Trabalho Selecione a resolução e a profundidade de cores desejada para sua área de trabalho. A Configuração selecionada poderá ser testada antes de continuar com a instalação, para executar o teste clique em Tentar configuração, será exibida uma tela com a Configuração escolhida. Se algo estiver errado aguarde o instalador retornar em alguns segundos e outra opção poderá ser escolhida. Após ter obtido sucesso no teste, clique em Próximo para continuar. (Figura 49).

Figura 49 - Configuração da Área de Trabalho Obs.: Alguns hardwares não suportam dois servidores XFree86 abertos ao mesmo tempo. Caso a tela de teste não retorne ao instalador em alguns segundos será necessário reiniciar a instalação.

Redes – Instalação de Serviços no Linux

101

4.18 Criação de Usuários Deverá ser definido uma senha para o root. Visto que este deve ser utilizado apenas na administração do sistema, é recomendado que, neste momento, seja criado um usuário para operação do sistema. (Figura 50)

Figura 50 - Configuração do Usuário

4.19 Configuração do Bootloader O bootloader - Gerenciador de boot - Vai disponibilizar as opções de carregar os sistemas operacionais instalados na máquina. Pode optar por uma das duas opções de Bootloader do Linux, que são o Grub, que faz a seleção com um painel gráfico, e o Lilo, que apresenta um prompt em modo texto. (Figura 51). No caso de utilizar qualquer uma das opções de gerenciador de boot para os sistemas operacionais na máquina recomenda-se a instalação do bootloader no MBR (master boot record) da máquina, por medidas de segurança, para mantê-lo mesmo na formatação das partições.

Redes – Instalação de Serviços no Linux

102

Figura 51 -Componentes do Loader Obs.: Não necessitando de parâmetro adicional nesta Configuração basta deixe o campo "parâmetros do kernel" em branco.

4.20 Criação de disco de boot O disco de boot é uma ferramenta importante para corrigir erros que possam surgir (Figura 52). Use um disquete vazio.

Redes – Instalação de Serviços no Linux

103

Figura 52 -Gravação do Disco de Boot

4.21 Finalização Após a mensagem de finalização (Figura 53), clique em finalizar, retire o CD e/ou disquete de boot do drive após o reboot e aguarde a inicialização do sistema. O Conectiva Linux está instalado e pronto para ser utilizado no seu dia-a-dia.

Figura 53 -Mensagem de Finalização da Instalação do Linux

Redes – Instalação de Serviços no Linux

104

IV.

Instalação dos Serviços Solicitados no Linux

FTP

1.1

Habilitando o acesso FTP Primeiramente verifique se os seguintes pacotes estão instalados: [root@localhost]# rpm -q wu-FTPd ou [root@localhost]# rpm -q proFTPd Caso não estejam instalados, para instalá-los: Coloque o CD 1 do Conectiva Linux no drive de CDROM Monte-o: [root@localhost]# mount /dev/cdrom /mnt/cdrom Vá até o diretório das RPMs [root@localhost]# cd /mnt/cdrom/conectiva/RPMS Execute o comando de instalação: [root@localhost]# rpm -ivh wu-FTPd* ou [root@localhost]# rpm -ivh proFTPd* Depois verifique no arquivo /etc/inetd.conf, se existem as seguintes linhas: FTP stream tcp nowait root /usr/sbin/tcpd in.FTPd -l -a Caso esteja utilizando o proFTPd a linha deve ser essa: FTP stream tcp nowait root

/usr/sbin/tcpd in.proFTPd

Caso elas estejam comentadas apenas remova o "#". Agora para ativar as mudanças: [root@localhost]# cds [root@localhost]# ./inet stopd [root@lcoalhost]# ./inet start E verifique se no ntstys o inet está selecionado. [root@localhost]# ntsysv

Redes – Instalação de Serviços no Linux

1.2

105

Implementação

1.2.1 Pré-requisitos Para implementar esta solução você não precisará de nenhum pré-requerimento uisito especial, basta que sua máquina possua uma placa de rede, como em praticamente todas as soluções contidas neste guia.

1.3

Instalação Para instalação do servidor FTP execute o seguinte procedimento: • Execute o Synaptic para a instalação dos pacotes. Após ter aberto o aplicativo, clique no botão Update para a atualização dos repositórios. • Selecione os pacotes wu-FTPd, anonFTP e linuxconf-wuFTPd para a instalação. • Após a seleção, clique em Install e em seguida em Proceed para finalizar a instalação.

1.4

Configuração Após as alterações, execute o Linuxconf e reinicialize o serviço inetd (Controle Æ

Painel de Controle Æ Controle de atividades e serviços ). Agora é possível iniciar a Configuração do Wu-FTP, e para isso, vá até o menu Configuração Æ Rede Æ Tarefas de servidor Æ Wu-FTP - servidor de FTP. As principais configurações para o servidor são feitas na opção Configuração básica.

1.5

Configurações Básicas do Servidor FTP Na aba Diversos devem ser configuradas as seguintes opções: a)

Email do administrador:

Endereço de correio eletrônico do administrador do sistema. b)

Grupo de convidados:

Você pode informar o grupo do Linux ao qual o usuário anonymous pertencerá. Se este campo não for preenchido, o grupo nobody será utilizado.

Redes – Instalação de Serviços no Linux c)

106

Arquivo de Banner:

O conteúdo do arquivo de banner, que será mostrado aos usuários no momento em que estes acessarem com sucesso o seu servidor. O conteúdo do arquivo será mostrado ao usuário antes da conexão em si. Ele é útil para uma breve mensagem de boas-vindas ao servidor. Pode-se fazer uma breve explicação sobre o servidor e os direitos de acesso a ele. d)

Mensagem de Encerramento:

Se o arquivo informado existir, sempre que um usuário tentar acessar o servidor seu conteúdo será mostrado e o servidor irá fechar a conexão. O arquivo será bastante útil sempre que você quiser interromper o serviço de FTP temporariamente. e)

Permitir Acesso Anônimo:

Pode permitir ou proibir os acessos anônimos. Pressione Controle nesta mesma tela para acessar as opções de controle de acesso do servidor FTP (Figura 54).

Figura 54 - Configuração FTP

1.6

Configurações de Controle de Acessos FTP Existem, na realidade, três telas de Configuração de controle de acesso: • Usuários reais: controle de acesso dos usuários reais do seu sistema. Esses são os usuários que têm contas em sua rede.

Redes – Instalação de Serviços no Linux

107

• Usuários convidados: controle de acesso a usuários convidados. • Anônimos: controle de acesso de usuários que se conectam anonimamente. As três telas são absolutamente idênticas (Figura 55).

Figura 55 -Configuração do Servidor FTP - Controle As opções disponíveis são: a)

Requisitar Arquivos Comprimidos:

Define se o usuário pode requerimento uisitar que seus arquivos sejam compactados. O WU-FTPD permite a compactação de arquivos durante a transmissão. b)

Requisitar Arquivos Tar:

Especifica se o usuário tem permissão de solicitar o arquivamento de arquivos transmitidos com o tar. c)

Usar chmod para arquivos:

Especifica se o usuário pode modificar as permissões de arquivos localizados no servidor FTP. d)

Excluir arquivos:

Define se o usuário tem permissão de apagar arquivos localizados no servidor FTP. e)

Atualizar arquivos:

Define se o usuário pode sobrescrever arquivos no servidor.

Redes – Instalação de Serviços no Linux f)

108

Renomear arquivos:

Especifica se o usuário pode modificar o nome dos arquivos localizados no servidor. g)

Registrar Transferências Recebidas:

Especifica se o servidor deve manter um registro de arquivos recebidos. h)

Registrar Transferências Expedidas:

Especifica se o servidor deve manter um registro de arquivos enviados. A última aba (Tempos de espera) configura a quantidade de tempo que é necessária para que o usuário complete uma tarefa, ou que o servidor deve esperar por determinada tarefa. A maioria das opções já estão com os valores predefinidos, mas se desejar você pode modificá-los. A Configuração básica está concluída. A próxima Configuração que pode ser feita é em relação à permissão de arquivos. Normalmente, você não precisará (e provavelmente nem desejará) que os usuários possam gravar arquivos em seu servidor FTP. Porém, em alguns casos, pode haver interesse em disponibilizar-se uma área para que os usuários possam guardar arquivos. Recomendamos, portanto, que você não permita o acesso de escrita em seu servidor. Caso não tenha escolha, você deve ter alguém responsável por monitorar os arquivos guardados em seu servidor para evitar arquivos que possam trazer problemas no futuro. Assim, tornou-se um costume fazer com que os usuários tenham um local específico nos servidores de FTP para gravarem arquivos. Esse local é o diretório /incoming. Para criar o /incoming, acesse o diretório raiz do FTP: # cd /home/FTP e crie o diretório: # mkdir incoming

Agora você deve fazer com que o diretório criado seja de propriedade de um usuário e grupo diferente de root e de FTP. Você pode criar um usuário e grupo específicos para isto se desejar, mas utilizaremos nobody.nobody em nosso exemplo. # chown nobody incoming # chgrp nobody incoming # chmod 3773 incoming

Redes – Instalação de Serviços no Linux

109

Agora você deve editar o arquivo /etc/FTPaccess para permitir a escrita ao diretório /incoming. Note que, se você houver criado um usuário e grupo para ser dono do diretório, você deverá informar isso na linha abaixo no lugar de nobody. upload /home/FTP /incoming yes nobody nobody 0400 dirs O formato desta linha é: upload HOME DIR GRAVA USUARIO GRUPO PERMS DIRS Onde: • HOME: diretório home do usuário. Em nosso exemplo, informamos o diretório /home/FTP. Isso quer dizer que esta linha se aplica a qualquer usuário cujo diretório home seja /home/FTP. • DIR: diretório ao qual se refere a linha. Esse diretório é relativo à raiz do diretório do FTP. Em nosso exemplo, informamos que esta linha se aplica ao diretório /incoming. • GRAVA: aqui você informa se é ou não é permitida a gravação no diretório ao qual a linha se refere. Os valores permitidos são YES ou NO. Em nosso exemplo, estamos permitindo a escrita. • USUARIO: é o nome do usuário a quem todos os arquivos gravados no diretório pertencerão. Em nosso exemplo esse usuário é nobody. • GRUPO: é o grupo a quem todos os arquivos gravados no diretório pertencerão. Em nosso exemplo esse grupo é nobody. • PERMS: após gravados, os arquivos terão as permissões trocadas para as estas permissões. Em nosso exemplo definimos que os arquivos gravados neste diretório passariam a ter permissão 0400, ou seja, apenas para leitura do dono (no caso, o usuário nobody.nobody). Recomendamos estas permissões, já que elas não permitem que usuários utilizem o seu servidor para troca de arquivos ilegais. Isso assegura que alguém terá de verificar o arquivo e trocar suas permissões antes que alguém possa acessá-lo via FTP. • DIRS: especifica se o usuário anônimo pode criar diretórios dentro do diretório /incoming. Em nosso exemplo o usuário pode criar. Os valores possíveis são dirs e nodirs.

Redes – Instalação de Serviços no Linux

1.7

110

Testes de Configuração Para testar o acesso ao servidor FTP anonimamente, forneça o usuário anonymous e

um endereço de correio eletrônico válido com uma senha: $ FTP localhost Conectado na máquina localhost. 220 einstein.minhaorganizacao FTP server (Version wu-2.6.1 Fri Jun 12 11:05:03 BRST 2001) ready. Usuário (localhost:albert): anonymous 331 Guest login ok, send your complete e-mail address as password. Senha: 230 Guest login ok, access restrictions apply. O tipo do sistema remoto é UNIX. Usando modo binary para transmitir/receber arquivos. FTP> A senha não é mostrada, mas deve-se digitar o endereço de e-mail para poder ter acesso ao servidor. O usuário anonymous não precisa (nem deve) ser cadastrado em seu Conectiva Linux, já que ele é um usuário especial para o servidor FTP. Quando é feita uma tentativa de acesso com o usuário anonymous, o servidor automaticamente trata o acesso como anônimo, aceitando o endereço de correio eletrônico como senha. Se algo não der certo, verifique se o pacote para acesso anônimo está instalado e reveja as configurações Você pode utilizar um arquivo .message para dar breves explicações sobre os propósitos dos diretórios que estão sendo acessados. Além disso, você poderia ajudar o usuário a encontrar o que ele está procurando. Para testar, crie um arquivo .message como um arquivo texto, com mensagens úteis sobre o acesso ao servidor FTP e acesse o servidor novamente.

Configuração do Apache pelo Linuxconf A primeira coisa a se fazer é verificar se o módulo referente ao apache no linuxconf

está ativado. Uma vez dentro do linuxconf entre em : Arquivos de controle e sistemas Æ

Redes – Instalação de Serviços no Linux

111

Configurar os módulos do Configurador Linux Æ Marque o módulo do apache Aceitar Sair Sair Ativar as Mudanças Após, entre novamente no linuxconf e vá em: Ambiente de rede Æ Apache - servidor www Æ Padrões Æ Os campos mais importantes serão explicados abaixo: Endereço e-mail do administrador: Para onde o mail será enviado automaticamente se houver irregularidades. Domain IP address: endereço IP do dominio (do servidor principal) Nome do servidor: um nome válido em DNS do servidor principal Diretório raiz dos documentos: onde serão lidos os htmls do servidor principal Registros de transferências, Registros de agentes, Registros de referência: logs do sistema, cujo caminho opcionalmente pode ser especificado aqui. Escutando na porta: porta onde o servidor principal vai responder (padrão é 80) Tempo máximo imo de espera da conexão: mesmo que "Timeout" mencionado durante as configurações do httpd.conf Funcionalidades: neste encontram-se algumas opções que estão explicadas e poderão ser marcadas de acordo com a necessidade. Depois de sair desta seção aceitando as configurações ou cancelando, voltamos a tela de menu que contem os campos. Entre em: Domínios Virtuais Æ Adicionar Æ Em: Nome da máquina virtual: definimos o nome do máquina virtual em que o servidor virtual irá rodar.

Redes – Instalação de Serviços no Linux

112

Endereço email do administrador: para onde o mail avisando funcionamento anômalo será mandado. Domain IP address: O IP do Servidor Virtual. Diretório raiz dos documentos: pasta onde os documentos html estarão (no caso, foi anteriormente configurado no httpd.conf que seria em /vh). Nomes alternativos de servidor: seria um apelido para este servidor virtual Funcionalidades: opções relativas a este servidor virtual. Depois de aceitar ou cancelar esta opções, voltamos ao menu do apache. Entre desta vez em : Especificações de subdiretórios Æ Encontramos onde os documentos do servidor principal ficarão (inclui ícones, htmls e cgis). Depois de Sair ou Aceitar estas opções, entre em: Modules Æ Neste campo você poderá adicionar ou retirar módulos relativos ao apache (aumentando as suas funções ou restringindo-as). Voltando ao menu principal do apache, vá agora em: Performance Æ Em: Inicia servidores: número de servidores que iniciam logo no boot do httpd (um exemplo e uma explicação sobre isso foi passada anteriormente quando foi configurado o httpd.conf) Número máximo de clientes por servidores, Número máximo de requerimento . por processo filho, Número mínimo de serviços aguardando conexão, Número máximo de serviços aguardando conexão: pode-se regular o numero de servidores, clientes e processos filhos (que foram originados de um processo maior, no caso o servidor principal). Keeps Alive: nesta seção pode-se ligar ou desligar o suporte a este recurso, o maximo de pedidos e quanto após quanto tempo o mesmo expira. Tempo máximo imo de espera da conexão: Seria o "timeout" explicado anteriormente nas configurações do httpd.conf.

Redes – Instalação de Serviços no Linux

113

Depois de todos estes campos configurados, saia do linuxconf ativando as mudanças. Os teste para saber se o mesmo está funcionando são os mesmos mencionados anteriormente quando terminamos de editar o arquivo httpd.conf. A primeira coisa a se fazer é verificar se o módulo referente ao Apache no linuxconf está instalado. Em um terminal como usuário root, digite: [root@localhost /root]# rpm -q linuxconf-apache linuxconf-apache-1.21r87cl Caso não esteja instalado, é preciso instalar o módulo de configuração. Para tanto, deve-se primeiro "montar" o CD 1 do Conectiva Linux 6.0 para poder acessá-lo. Para montar, e posteriormente poder acessá-lo, digite o comando: [root@localhost]# mount /mnt/cdrom Caso não funcione, seja mais específico: [root@localhost]# mount -t iso9660 /dev/hdX /mnt/cdrom Para acessar: [root@localhost]# cd /mnt/cdrom/conectiva/RPMS Para instalar o pacote: [root@localhost /root]# rpm -ivh linuxconf-apache* Para desmontar e poder ejetá-lo, deve-se mudar do diretório do CD, para poder desmontá-lo. Digite, antes de desmontar, o comando: [root@localhost /RPMS]# cd e digite então o comando: [root@localhost /root]# umount /mnt/cdrom Agora, é preciso verificar se o módulo está ativo no linuxconf (aqui, considera-se a Configuração em modo gráfico): Entre em um terminal (xterm) e digite: [root@localhost /root]# linuxconf Uma vez dentro do linuxconf entre em: Configurando um domínio Entre no linuxconf e vá em: Configuração Æ Ambiente de rede Æ Tarefas de servidor

Redes – Instalação de Serviços no Linux

114

Apache - servidor Web Æ Padrões Æ Os campos mais importantes serão explicados abaixo: Aba "Básico" - Endereço email do administrador: Para onde o mail será mandado automaticamente se houver irregularidades no funcionamento do Apache. O endereço padrão é root@localhost. Endereço IP de domínio: endereço IP do domínio, no caso, do servidor principal. Ex.: 123.456.789.0 Nome do servidor: um nome válido, em DNS, do servidor principal Ex. servidor.dominio.com.Br Diretório raiz dos documentos: onde serão lidos os arquivos .html do servidor principal. O valor padrão é "/home/httpd/html". Aba "Registros" - Registros de erro: log de erros do sistema, cujo caminho opcionalmente pode ser especificado aqui. O valor padrão é logs/error_log. Registros de transferências, Registros de agentes, Registros de referência: logs do sistema, cujo caminho opcionalmente pode ser especificado aqui. Aba "Ajustes" - Escutando na porta: porta na qual o servidor principal vai responder (padrão é 80) Arquivo de identificação de processo: O servidor web armazena os PID de seus processos principais neste arquivo. O arquivo padrão é /var/run/httpd.pid Tempo de espera: Quantos segundos o servidor web espera por um pedido a ser enviado após a conexão de um cliente ao servidor. Caso um cliente se conecte mas não envie nenhum pedido, este será desconectado decorrido o tempo aqui definido, liberando os recursos que são ocupados por este usuário. O valor padrão é 300 Aba "Funcionalidades" - Nesta seção, encontram-se algumas opções que estão explicadas e poderão ser marcadas de acordo com a necessidade. [ ]Inclusões relativas ao servidor: Se habilitado, os arquivos com a extensão .shtml são processados para expandir tags de inclusões relativas ao servidor antes dos resultados serem retornados ao cliente. [ ] IncludesNOEXEC: Também habilita inclusões relativas ao servidor, mas a tag SSI #exec e #include:ing CGI-scripts são desabilitadas.

Redes – Instalação de Serviços no Linux

115

[ ] Pode executar programas CGI: Permite execução de scripts CGI. Normalmente habilitada apenas no sub-diretório spec para o diretório CGI. [ ] Índices: Quando acessada uma URL terminando em um diretório, o arquivo index.html neste diretório é retornado. Se este arquivo não existir e esta opção estiver habilitada uma lista de diretórios é retornada. Caso esta opção esteja desabilitada uma mensagem "404 Not Found" é então retornada. [ ] Pode seguir links simbólicos: Caso um diretório ou arquivo acessado seja um link simbólico, o acesso será apenas permitido se esta característica estiver habilitada. [ ] Seguir links simb. de mesmo dono: Como na descrição acima, porém o dono do link simbólico e seu arquivo alvo devem ser os mesmos. Isto permite que usuários possuam links simbólicos para seus próprios arquivos, mas não para os arquivos mais sensíveis do sistema, por exemplo /etc/passwd. [ ] Visões múltiplas: Permitem que o navegador do cliente e o servidor web negociem em qual formato e qual linguagem os dados devem ser retornados. Uma maneira de fazer o servidor web capaz de fazer isto é armazenar várias imagens e formatos de dados em arquivos com certas extensões e então habilitar multivisões. Com esta Configuração já é possível disponibilizar páginas em seu servidor Apache principal. Já existe por padrão um arquivo index.html no diretório /home/httpd/html e para testar se sua Configuração está correta, saia do linuxconf ativando as mudanças. Caso tenha sido alterado o diretório raiz dos documentos, coloque algum documento html neste diretório (lembrando que este deve ter a permissão de acesso 755, ou seja, toda a árvore deve possuir tal permissão). Por exemplo, considerando que o diretório raiz é /dominio/webpage/html, basta definir as permissões de todos os diretórios desta árvore. Para tanto, em um terminal como usuário root, digite: [root@localhost /root]# chmod 755 -R /domínio Agora inicie o serviço httpd: [root@localhost /root]# cds [root@localhost /init.d]# ./httpd start Para saber se o mesmo está funcionando, digite em um browser (por exemplo): http://servidor.dominio.com.br

Redes – Instalação de Serviços no Linux

116

Configuração de um domínio virtual Novamente no linuxconf, vá em: Configuração Æ Ambiente de rede Æ Tarefas de servidor Apache - servidor Web Æ Dominios Virtuais Æ Adicionar Æ Em: Nome da máquina virtual: definimos o nome da máquina virtual em que o servidor virtual irá rodar. Ex.: host_virtual.com.Br Na aba: Básico informe: Endereço email do administrador: para onde o mail avisando funcionamento anômalo será enviado. Ex.: Admin@dominio.com.br Domain IP address: O IP do Servidor Virtual. Ex.: 192.168.0.0 Diretório raiz dos documentos: pasta onde os documentos .html estarão. Ex.: /virtual/html Registros informe: Registros de erro: log de erros do sistema, cujo caminho opcionalmente pode ser especificado aqui. Ex.: logs/error_log.virtual Registros de transferências, Registros de agentes, Registros de referência: logs do sistema, cujo caminho opcionalmente pode ser especificado aqui. Depois de aceitar ou cancelar estas opções, voltamos ao menu do Apache. Entre desta vez em: Especificações de subdiretórios Æ

Redes – Instalação de Serviços no Linux

117

Aqui encontramos onde os documentos do servidor principal ficarão (inclui ícones, htmls e CGI's). Depois de Sair ou Aceitar estas opções, entre em: Módulos Æ Neste campo é possível adicionar ou retirar módulos relativos ao Apache (aumentando as suas funções ou restringindo-as). Voltando ao menu de Configuração do Apache, vá agora em: Performance Æ Em: Servidores iniciais: número de servidores que iniciam logo na inicialização do Apache (httpd). Valor padrão é 2. Núm. máximo . de clientes por servidores: O número máximo imo de processos filho. Cada conexão de um cliente utiliza um processo filho, então este valor controla indiretamente quantos clientes podem simultaneamente conectar ao servidor web. Caso este valor seja baixo, os clientes podem ser deixados de fora, portanto seja liberal. Isto é feito com o objetivo de se manter um servidor web rodando que não derrube todo o sistema com isto caso alguém deva ser mandado para fora do servidor. O valor padrão é 150. Núm. máximo . de requerimento . por processo filho: Um processo filho sairá após fornecer este número de acessos. Isto é feito como uma proteção à falha contra possíveis vazamentos de memória. O valor padrão é 500. Número mínimo de serviços aguardando conexão: O Apache certifica-se de que sempre há poucos processos filho ociosos para que seja possível a manipulação de picos de carga. Caso menos do que este número de processos estejam ociosos, mais serão inicializados. O valor padrão é 2. Número máximo de serviços aguardando conexão: O Apache também se certifica nunca há mais do que este número de processos filho ociosos. Caso haja mais, alguns destes devem ser finalizados. O valor padrão é 4. Keeps Alive: Para reduzir a largura da banda utilizada para tráfego na Internet HTTP foi estendido para tornar possível se fazer mais de um pedido dentro de uma única conexão. Isto é chamado de persistent connection, ou ainda de kept alive. O padrão é desabilitado.

Redes – Instalação de Serviços no Linux

118

Tempo de espera do keep alive: O número de segundos a se esperar pelo próximo pedido em uma persistent connection. Caso este tempo seja excedido a conexão é fechada. O valor padrão é 10. Agora, é necessário informar ao sistema que o mesmo precisa responder num outro endereço IP (192.168.0.0, por exemplo), além do IP verdadeiro, pois um virtual host não é nada mais, nada menos do que fazer um computador responder em outro IP (e outro nome, se assim especificado no DNS), direcionando o pedido http para este IP "falso" e associando a pasta de HTMLs referida ao mesmo. Mas observe que o endereço definido aqui deve ser o mesmo que fora definido no servidor Apache virtual. Vamos utilizar então o linuxconf para adicionar este IP "falso" (técnica chamada de IP ALIAS, anteriormente mencionada). Entre como root no linuxconf: [root@localhost]# linuxconf Vá em: Configuração Æ Ambiente de Rede Æ Tarefas de servidor Æ Apelidos de IP para máquinas virtuais Æ eth0 Æ Configure o IP virtual (em nosso caso, seria 192.168.0.0) e sua máscara. Depois: Aceitar Fechar Fechar Sair Ativar as mudanças Confirme se o novo IP está realmente online usando o comando ping: [root@localhost]# ping 192.168.0.0 Coloque algum documento html no diretório /virtual/html (que de acordo com a Configuração feita, é a pasta do server virtual, podendo ter subpastas dentro desta) todos com as devidas permissões 755 previamente mencionadas.

Redes – Instalação de Serviços no Linux

119

Depois de todos estes campos configurados, saia do linuxconf ativando as mudanças. Para saber se o mesmo está funcionando, digite em um browser (por exemplo): http://host_virtual.com.br (nome do virtual host) Estes são os tópicos básicos do servidor http Apache pois o mesmo possui ainda outros recursos como SSL (conexão segura) entre outros, mas as configurações detalhadas neste documento já são suficientes para executá-lo. Habilitando uma página hospedada no home de usuários Para habilitar acesso a páginas pessoais de usuários, o Apache disponibiliza uma opção por padrão. Para tanto, eles precisarão criar um diretório public_html em seus home e colocar algum arquivo .html alí, podendo ser acessado por um browser: http://nome.da.maquina/~nome-do-usuário. Obs.: Este e todos os diretório anteriores precisam ter permissões 755 a fim de garantir acesso. Caso se queira alterar o nome do diretório, é preciso editar o arquivo /etc/httpd/conf/httpd.conf e informar o novo nome de diretório, no qual o usuário irá armazenar os arquivos .html Estes são os tópicos básicos do servidor http apache pois o mesmo possui ainda outros recursos como SSL (conexão segura) entre outros, mas as configurações detalhadas neste documento já são suficientes para executá-lo.

2.1

Implementação

2.1.1 Pré-requisitos Para implantar esta solução é necessário que: Ö sua rede esteja corretamente configurada e funcionando; Ö que seu serviço de DNS esteja corretamente instalado e configurado.

2.2

Instalação Para instalação do servidor web Apache com a inclusão do módulo PHP4, execute o

seguinte procedimento:

Redes – Instalação de Serviços no Linux

120

Execute o Synaptic para a instalação dos pacotes. Após ter aberto o aplicativo, clique no botão Update para a atualização dos repositórios. Selecione os pacotes apache, linuxconf-apache e mod_php4 para a instalação. Após a seleção, clique em Install e em seguida em Proceed para finalizar a instalação.

2.3

Configuração Execute o aplicativo Linuxconf e dirija-se ao menu Configuração Æ Rede Æ Tarefas

de servidor -> Apache - servidor web . Clique primeiramente no menu Padrões . Através dele são feitas as configurações básicas para tornar o servidor web funcional.(Figura 56).

Figura 56 -Configuração Inicial do Apache a)

Endereço IP de Domínio:

Se desejar que vários domínios virtuais compartilhem o mesmo endereço de IP, digite o endereço neste campo. b)

Nome do servidor:

Nome do servidor HTTP. Se o serviço de resolução de nomes funcionar corretamente, ou seja, se ele for capaz de determinar o nome da máquina através do

Redes – Instalação de Serviços no Linux

121

endereço de IP, então você não precisa (nem deve) preencher este campo. Apenas utilize esta opção se o serviço de nomes for incapaz de resolver o nome do servidor. c)

Diretório Raiz dos Documentos:

É o diretório em que os arquivos das páginas serão armazenados. O valor padrão é o /home/httpd/html e recomendamos que você não o modifique. d)

Nomes Alternativos de Script:

Configura o diretório de programas CGI. Deve estar em dois caminhos separados por espaços em branco, sendo que o primeiro é utilizado na URL que dispara a execução de um programa CGI, e o segundo indica onde o script está realmente localizado. Recomendamos que a Configuração padrão seja mantida. e)

SetUID de Usuário para CGI:

Usuário que deve rodar como servidor web. f)

SetUID de grupo para CGI:

Grupo cujo o servidor web deve ser executado. As abas Registros e Ajustes configuram respectivamente o caminho para os arquivos de registro e ajustes referentes às portas e ao processo. Você não precisa modificar nada. A aba Funcionalidades habilita certas características do Apache. Para mais detalhes sobre essas opções verifique o menu de ajuda do Linuxconf (botão Ajuda). Para habilitar o módulo PHP, edite o arquivo /etc/httpd/conf/httpd.conf e descomente as seguintes linhas (retire o símbolo "#"): LoadModule php4_module Modules/libphp4.so AddModule mod_php4.c AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps DirectoryIndex index.php index.html index.wml Após as configurações, execute o serviço httpd no menu Controle Æ Painel de Controle ÆControle de Atividades e serviços , deixando-o, de preferência, no modo automático.

Redes – Instalação de Serviços no Linux

2.3

122

Testes de Configuração Primeiramente, para testar a Configuração do Apache execute um browser e acesse o

endereço da máquina local. Se a Configuração estiver correta, você verá uma tela para testar a configuração do Apache (Figura 57).

Figura 57 - Teste de Configuração do Apache Se esta página não for mostrada, verifique o arquivo /etc/httpd/logs/error_log que exibe os erros do Apache e tente configurá-lo novamente. Para testar a Configuração do PHP, primeiramente acesse o diretório de arquivos Apache em /home/httpd/html. Em seguida, utilizando o seu editor de textos, crie um arquivo chamado data.php, colocando o seguinte conteúdo: <html> <? setlocale ("LC_TIME", "pt_BR"); ?> <body> Hoje é <b><? print(strftime ("%A, %d de %B de %Y")); ?><b>

Redes – Instalação de Serviços no Linux

123

</body> </html> Use o Netscape® para visualizar a página. Se o mod_php estiver funcionando, você verá a página de Teste bem Sucedido (Figura 58).

Figura 58 - Teste Bem-Sucedido de PHP Se a Configuração estiver incorreta, você provavelmente irá ver a Figura 59:

Redes – Instalação de Serviços no Linux

124

Figura 59 - Página em PHP Visualizada Incorretamente

Telnet

3.1

Habilitar o acesso Telnet e FTP Primeiramente verifique se os seguintes pacotes estão instalados: [root@localhost]# rpm -q telnet-server [root@localhost]# rpm -q wu-FTPd ou [root@localhost]# rpm -q proFTPd Caso não estejam instalados, para instalá-los: Coloque o CD 1 do Conectiva Linux no drive de CDROM Monte-o: [root@localhost]# mount /dev/cdrom /mnt/cdrom Vá até o diretório das RPMs [root@localhost]# cd /mnt/cdrom/conectiva/RPMS Execute o comando de instalação: [root@localhost]# rpm -ivh telnet-server* [root@localhost]# rpm -ivh wu-FTPd* ou [root@localhost]# rpm -ivh proFTPd* Depois verifique no arquivo /etc/inetd.conf, se existem as seguintes linhas: FTP stream tcp nowait root /usr/sbin/tcpd in.FTPd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Caso esteja utilizando o proFTPd a linha deve ser essa: FTP stream tcp nowait root

/usr/sbin/tcpd in.proFTPd

Caso elas estejam comentadas apenas remova o "#". Agora para ativar as mudanças: [root@localhost]# cds

Redes – Instalação de Serviços no Linux

125

[root@localhost]# ./inet stop [root@lcoalhost]# ./inet start E verifique se no ntstys o inet está selecionado. [root@localhost]# ntsysv

3.2

Definir uma Cota para Cada Usuário Para limitar a utilização de espaço em disco, usa-se o quota, onde pode ser colocada

definições de limites de uso, tanto para usuário como para grupos. A partição que irá ter suporte a quota dever ser uma partição separada, por exemplo, para colocar quota no diretório /var/spool/mail deverá ser definido o diretório /var numa partição separada, por exemplo, /dev/hda2. Quota funciona para limitar o uso de disco em partições. Para habilitar o uso de cota para usuários, verifique os passos abaixo: O primeiro passo, é editar o arquivo fstab, e acrescentar no arquivo a referência de uso de quota nas partições. Os valores são: usrquota - Para quota por usuário grpquota - Para quota por grupo Por exemplo, se usarmos quota por usuário, então proceda da seguinte forma: Agora edite o arquivo fstab, para isso proceda: [root@localhost]# mcedit /etc/fstab e adicione a opção desejada: /dev/hda7 /var

ext2 defaults,usrquota 1 1

Caso você deseje realizar quota por grupos também pode ser usada a palavra grpquota ou ambas caso deseje-se realizar quota por usuário e por grupos. Salve o arquivo e saia. Agora desmonte e monte novamente a partição que utilizará quota. [root@localhost]# umount /var/ [root@localhost]# mount /var/

Redes – Instalação de Serviços no Linux

126

Crie o arquivo de controle de quota chamado quota.user no ponto de montagem da partição utilizada, nesse caso para o /var , desta forma crie o arquivo e especifique as permições corretas: [root@localhost]# touch /var/quota.user [root@localhost]# chmod 600 /var/quota.user Agora, edite as cotas de seus usuários na partição, para isso use o comando: [root@localhost]# edquota -u nome_do_usuário Ao executar este comando será aberto o editor vi com os parâmetros de cada diretório, modifique pressionado a letra 'i ' e digite suas alterações conforme sua necessidade e pressione esc e em seguida 'x' e pressione enter para salvar e sair do arquivo. O arquivo do usuário apresenta-se da seguinte forma: Quotas for user lala: /dev/hda3: blocks in use: 100004, limits (soft = 100000, hard = 120000) inodes in use: 22, limits (soft = 0, hard = 0) Pode-se marcar a quota por blocos ou por inodes, nesse caso, o var do usuário lala está limitado a 100000 blocos, aproximadamente 100 MB Existe o limite soft, que ao ultrapassar o usuário poderá apagar o excesso para voltar seu var ao normal, mas não pode passar o limite marcado em hard, pois desta forma, somente o adminstrador poderá desbloquear o excesso do usuário. Após editar as quotas de seus usuários, inicie o uso de quotas com o comando: [root@localhost]#

quotaon

–av

para

parar

serviço

[root@localhost]# quotaoff -av Para obter maiores informações consulte as man pages referentes a quota: [root@localhost]# man quota [root@localhost]# man edquota [root@localhost]# man quotaon [root@localhost]# man fstab Como configurar o wuFTP pelo linuxconf A primeira coisa a fazer é verificar se os pacotes necessários estão instalados: [root@localhost]# rpm -qa | grep FTP anonFTP-3.0-4cl

usa-se:

Redes – Instalação de Serviços no Linux

127

wu-FTPd-2.6.1-1cl linuxconf-wuFTPd-1.21r8-7cl Deverá aparecer pelo menos estes três pacotes. Se algum deles não aparecer, então será necessários instalar o pacote (ou pacotes) que está faltando. É preciso montar o CD 1 do Conectiva Linux: [root@localhost]# mount /mnt/cdrom [root@localhost]# cd /mnt/cdrom/conectiva/RPMS Agora é só instalar os pacotes que estão faltando: [root@localhost]# rpm -ivh anonFTP* [root@localhost]# rpm -ivh wu-FTPd* [root@localhost]# rpm -ivh linuxconf-wuFTPd* Execute o comando rpm como acima para cada pacote a ser instalado. Após instalar, verifique se existe a linha: FTP 21/tcp no arquivo /etc/services, pois é onde está sendo definida a porta de FTP. Verifique se a mesma não está comentada (tire o # da frente da linha, se este caracter existir).E também, verificar se a linha abaixo, do arquivo /etc/inetd.conf está descomentada/habilitada. FTP stream tcp nowait root /usr/sbin/tcpd in.FTPd -l –a. Caso não esteja, basta descomentar e reinicializar o serviço inet: [root@localhost]# cds [root@localhost]# ./inet stop root@localhost]# ./inet start Pronto, seu servidor de FTP está em funcionamento, com as configurações básicas (padrões). Agora é preciso executar o linuxconf para configurar/personalizar o servidor de FTP: [root@localhost]# linuxconf Vá em: Ambiente de rede Wu-FTP - servidor de FTP Configuração básica

Redes – Instalação de Serviços no Linux

128

Na aba "Diversos" existe as seguintes opções: "Email do administrador": endereço de correio eletrônico do administrador do sistema. "Grupo de convidados": aqui você pode informar o grupo do Linux ao qual o usuário anonymous pertencerá. Se este campo não for preenchido, o grupo nobody será utilizado. "Arquivo de banner": o conteúdo do arquivo de banner será mostrado aos usuários no momento em que os mesmos acessarem com sucesso o seu servidor. "Mensagem de encerramento": se o arquivo informado existir, sempre que um usuário tentar acessar o servidor, seu conteúdo será mostrado e o servidor irá fechar a conexão. "Permitir acesso anônimo": aqui você pode permitir ou proibir os acessos anônimos (por isso o pacote anonFTP-3.0-4cl deve estar instalado). Agora, na aba "Controles de acesso" existe três classes de usuários: "Usuários reais": controle de acesso dos usuários reais do seu sistema. Esses são os usuários que têm contas em sua rede. "Usuários convidados": controle de acesso a usuários convidados. "Anônimos": controle de acesso de usuários que se conectam anonimamente. As opções disponíveis para cada grupo são idênticas. As opções disponíveis são: "Pode requisitar arquivos comprimidos": define se o usuário pode requisitar que seus arquivos sejam compactados. O WU-FTPD permite a compactação de arquivos durante a transmissão. "Pode requisitar arquivos": especifica se o usuário tem permissão de solicitar o arquivamento de arquivos transmitidos com o tar. "Pode usar chmod para arquivos": especifica se o usuário pode modificar as permissões de arquivos localizados no servidor FTP. "Pode excluir arquivos": define se o usuário tem permissão de apagar arquivos localizados no servidor FTP. "Pode atualizar arquivos": define se o usuário pode sobrescrever arquivos no servidor. "Pode renomear arquivos": especifica se o usuário pode modificar o nome dos arquivos localizados no servidor. "Registrar transferências recebidas": especifica se o servidor deve manter um registro de arquivos recebidos.

Redes – Instalação de Serviços no Linux

129

"Registrar transferências expedidas": especifica se o servidor deve manter um registro de arquivos enviados. Na aba "Vários tempos de espera" pode-se deixar os tempos padrões ou alterar conforme o necessário. Clique em "Aceitar" e saia do linuxconf. Servidores Virtuais Para a criação de domínios virtuais (Virtual hosts) é necessário que o seu servidor deve estar com seu nome cadastrado como válido no servidor de nomes (DNS). [root@localhost]# linuxconf Vá em: Ambiente de rede Wu-FTP - servidor de FTP Configuração básica Clique em adicionar. Nos campos: "Máquina virtual": digite o nome da máquina (virtual machine). "Caminho do arquivamento": diretório para acesso do servidor de FTP. "Arquivo da mensagem de banner": nome do arquivo de banner. "Arquivo de registro": nome do arquivo de registro. Clique em "Aceitar" e saia do linuxconf. Se o seu DNS estiver funcionando corretamente o novo nome para o FTP virtual funcionará sem problemas.

DNS

4.1

Implementação

4.1.2 Pré-Requisitos Para configurar um domínio, você precisará de: Um servidor com uma placa de rede devidamente configurada; é importante que você certifique-se de que o nome da máquina e o domínio pertençam ao domínio que está sendo configurado;

Redes – Instalação de Serviços no Linux

130

Um domínio registrado (opcional); quando o servidor DNS for usado somente para uma rede interna, não há necessidade de que o domínio (.com.br) seja registrado.

4.1.3 Instalação Para configurar um domínio, você precisará usar o Synaptic para instalar os seguintes pacotes: bind linuxconf-dnsconf ou, através da linha de comando, poderá utilizar o apt-get: # apt-get install bind linuxconf-dnsconf

4.1.4 Configuração Para configurar o servidor DNS, abra o Linuxconf e pressione a seqüência de botões Configuração Æ Rede Æ Tarefas do Servidor Æ DNS - servidor de nomes de domínio. A partir do menu principal, você pode configurar todo o servidor de nomes de sua empresa. Pressione a opção Configurar domínios para configurar as opções básicas do DNS. (Figura 60).

Figura 60 - Configuração inicial do DNS

Redes – Instalação de Serviços no Linux

131

Nesta tela você deve informar os dados referentes ao seu domínio. a)

Domínio Este é o nome do domínio; no caso, o domínio que está sendo criado neste exemplo é

chamado de minhaorganizacao. b)

Servidor principal Este é o nome da máquina onde o servidor de nomes estará sendo executado. No

exemplo,

domínio

minhaorganizacao

será

controlado

pela

máquina

kepler.minhaorganizacao. Note que o ponto no final do nome é necessário. c)

Email do administrador Este é o endereço de correio eletrônico do administrador de sistema. Em caso de

problemas, este administrador poderá ser avisado. Note que se usa um ponto (".") no lugar de arroba ("@") neste campo. Há, ainda, algumas outras configurações que podem ser feitas nesta tela, mas que não serão descritas neste livro. São elas: d)

Servidores de nome (NS) Em uma Configuração simples, basta o nome do servidor principal. Além disso, você

deverá informar aqui quais serão os servidores secundários de seu domínio. e)

Servidores de correio (MX) Aqui você pode definir o servidor que encaminha as mensagens de correio eletrônico

do seu domínio para a Internet. f)

IPs padrão Aqui você pode definir um ou mais endereços de IP de máquinas que serão acessadas

através do domínio. É normal pesquisas em servidores de nome se referirem apenas ao domínio, mas os domínios não possuem IPs, apenas máquinas os têm, assim, definindo IPs padrão, uma pesquisa ao domínio minhaorganizacao irá resultar naquele IP padrão. g)

Funcionalidades Aqui podem ser definidas algumas funcionalidades do domínio. Por exemplo, pode-

se definir de quanto em quanto tempo os servidores secundários serão atualizados. h)

Controle de Acesso Você pode definir algumas opções de segurança para seu servidor de nomes.

Redes – Instalação de Serviços no Linux i)

132

Outras Informações Define-se aqui informações opcionais, como por exemplo um comentário ou

informação sobre o administrador do DNS. Nota: A rede que terá acesso ao servidor DNS deverá ser cadastrada. Este cadastro deverá ser feito na opção Segurança Æ Configurar Controle de Acesso, para que as estações possam utilizar serviços como POP e SMTP.

Mapas Reversos A Configuração do mapeamento reverso permite a conversão de endereços IP para

nomes, facilitando as buscas para o servidor DNS. Para configurar o mapeamento reverso, dirija-se à opção Configurar-> Configurar mapas de IPs reversos. As opções são basicamente as mesmas para as telas da Configuração de domínios (Figura 60), exceto pelas opções Número da Rede e Intervalo da sub-rede x-y. É através destes campos que o DNS saberá fazer a conversão. k)

Cadastramento de Estações Para cadastrar uma máquina no banco de dados do DNS a partir do menu inicial da

Configuração do servidor DNS, vá para Adicionar/Editar Æ Adicionar/Editar Informações e surgirá uma tela como na Figura 61.

Figura 61 - Selecionando o domínio

Redes – Instalação de Serviços no Linux

133

Simplesmente selecione o domínio desejado para iniciar a adição/edição de máquinas (Figura 62):

Figura 62 - Inclusão de máquinas Na Figura 62 pode-se ver que a lista de máquinas ainda está vazia. Clique em Adicionar para digitar o nome da máquina a ser adicionada. Na tela que aparece (Figura 63) já vem informado o nome do domínio; você deve digitar somente o nome da máquina antes do ponto.

Redes – Instalação de Serviços no Linux

134

Figura 63 - Especificando o nome de uma máquina Digite o nome da máquina antes do ponto e pressione Aceitar para preencher as informações da máquina (Figura 64).

Figura 64 -Adição/Edição de máquinas Basicamente, a única informação que você tem de informar é o endereço IP da máquina incluída. O resto é opcional. Depois de preencher corretamente o endereço IP da máquina, clique em Aceitar. Isso irá adicionar a máquina ao banco de dados do DNS. Note que você retornará sempre à tela de adição de máquinas para possibilitar a adição de máquinas adicionais. Clique em Cancelar quando não desejar mais cadastrar nenhuma máquina. Após terminar de cadastrar máquinas você poderá ver as máquinas que estão cadastradas no domínio (Figura 65).

Redes – Instalação de Serviços no Linux

135

Figura 65 -Máquinas cadastradas no domínio Além do modo apresentado de adição de máquinas (Figura 66) ao DNS, você pode utilizar a opção edição rápida.

Redes – Instalação de Serviços no Linux

136

Figura 66 -Adição Rápida de Máquinas Você deverá digitar o nome completo da máquina a ser adicionada, ou seja, o nome e o domínio. Clique em Aceitar para adicionar a máquina. A tela seguinte permite digitar as informações da máquina. Note que é a mesma tela utilizada na opção anterior. Após as configurações, deve iniciar o serviço named (menu Controle Æ Painel de Controle Æ Controle de Atividades e Serviços).

4.1.5 Testes de Configuração Para verificar se a Configuração está correta tente acessar outras máquinas da rede a partir de um cliente DNS (o comando ping pode auxiliar nesta tarefa). Se não for possível conectar-se ao servidor DNS, verifique se o serviço named está sendo executado no servidor. Você pode fazer isso através do Linuxconf. Outro teste que pode ser realizado é a execução dos seguintes comandos: # host -t NS minhaorganizacao Este comando irá buscar o name server (NS), ou seja, o nome do servidor (ou servidores) de DNS. Se não retornar, verifique o erro e revise sua configuração. Outro parâmetro pode ser usado: o MX (para servidores de e-mail).

4.2

Servidor Secundário

4.2.1 Apresentação Um servidor secundário é uma espécie de cópia de segurança do servidor primário. Quando não é possível encontrar um domínio através do servidor primário o sistema tenta resolver o nome através do servidor secundário.

Redes – Instalação de Serviços no Linux

137

4.2.2 Instalação A instalação é idêntica à instalação do servidor primário, basta usar o Synaptic para instalar os seguintes pacotes: bind linuxconf-dnsconf ou utilizar o apt-get: # apt-get install bind linuxconf-dnsconf

4.2.3 Configuração Para configurar o DNS secundário acesse Configuração Æ Rede Æ Tarefas do servidor Æ DNS - servidor de nomes de domínios Æ Configurar secundários no Linuxconf, clique em Adicionar, preencha o domínio para o qual se deseja configurar o DNS secundário e o número IP do servidor de nomes primário deste domínio. Isto é tudo o que você precisa fazer no DNS secundário. Não é necessário adicionar máquinas ou criar o mapa de IP reverso pois isso é feito automaticamente, uma vez que o DNS secundário busca estas informações no servidor de nomes primário para o domínio. No entanto, é necessário configurar o DNS primário para que ele divulgue o secundário e permita que ele leia a sua base de dados. Para fazer isso acrescente o nome do servidor secundário na lista de servidores de nomes do primário (Figura 67) e o autorize em Controle de acesso.

Redes – Instalação de Serviços no Linux

138

Figura 67 -Autorizando a transferência de dados para o DNS secundário

4.3

Zonas de Repetidores

4.3.1 Apresentação Existem casos em que não é interessante que o servidor de nomes envie uma grande quantidade de pacotes para fora da rede local. Isto pode ocorrer por diversos motivos, como, por exemplo, no caso de empresas que se conectam com a matriz através de antenas. Seria ineficiente que o servidor ficasse tentando localizar algo através do servidor da matriz. Para isso, pode-se criar servidores de nomes que servem para criar um grande cache. Estes servidores são chamados de repetidores. A Configuração de zona de repetidores é um caso específico de repetidor. Os repetidores são utilizados para resolver nomes externos no lugar do servidor primário e a zona de repetidores é utilizada para resolver apenas os nomes de um domínio específico que o seu servidor primário não consegue resolver. Por exemplo, se o seu departamento na empresa tem um servidor 200.20.57.1 e os departamentos vizinhos ao seu possuem os servidores 200.20.57.12 e 200.20.57.13, então você poderá configurar as zonas de repetição. Isso irá evitar a consulta ao servidor da matriz sempre que for necessário resolver um nome que está dentro da própria empresa.

4.3.2 Instalação Para configurar uma zona de repetidores, você precisará usar o Synaptic para instalar os seguintes pacotes: bind

Redes – Instalação de Serviços no Linux

139

linuxconf-dnsconf ou utilize o apt-get: # apt-get install bind linuxconf-dnsconf

4.3.3 Configuração Para configurar um servidor de nomes como repetidor não é necessária qualquer Configuração especial. Você só precisa configurar os outros servidores de nomes para encaminharem suas requisições para o repetidor. Desta forma, os servidores tentam resolver nomes através do repetidor, que, por sua vez, já pode ter a resposta em seu cache, evitando assim que a requisição tenha de sair da rede local (Figura 68).

Figura 68 -Configurando uma zona de repetidores

4.4

Cache Uma das características que aceleram o processo de procura de uma máquina é

chamada de caching. Um servidor de nomes procurando uma máquina pode ter de enviar um número considerável de pesquisas até encontrá-la. Enquanto faz isso, ele recebe uma grande quantidade de informações sobre os outros servidores.

Redes – Instalação de Serviços no Linux

140

O servidor de nomes guarda esta informação para acelerar futuras pesquisas. Na próxima vez em que o servidor de nomes tiver de pesquisar algo sobre isso, o processo será acelerado. Mesmo que ele não tenha a resposta em cache, ele pode ter informações sobre o servidor de nomes responsável por sua zona.

DHCP

5.1

Implementação

5.1.1 Pré-Requisitos Você irá necessitar do endereço IP de sua(s) placa(s) de rede. Opcionalmente, você deverá informar os endereços de seus servidores DNS e NIS.

5.2

Instalação Para instalar um servidor DHCP, você deve usar o Synaptic para instalar os seguintes

pacotes: dhcp linuxconf-dhcpd ou utilizar o comando apt-get: # apt-get install dhcp linuxconf-dhcpd

5.3

Configuração Para criar um servidor DHCP, abra o Linuxconf e vá para Configuração Æ Rede Æ

Serviços de Inicialização -> Servidor DHCP/BOOTP. Na primeira vez em que você entrar neste módulo do Linuxconf, ele irá diretamente para a tela de edição de padrões (Figura 69).

Redes – Instalação de Serviços no Linux

141

Figura 69 -Edição de padrões do DHCP A única informação obrigatória é o identificador do servidor. Informe o nome da máquina servidor neste campo. Na parte inferior da tela encontram-se pastas para configurações opcionais do servidor DNS, NIS, configurações Netbios, roteadores, servidores de impressão, etc. Normalmente usa-se pelo menos a Configuração do servidor DNS; digite o nome do

Redes – Instalação de Serviços no Linux

142

domínio e o endereço do servidor DNS nos campos apropriados. Para mais informações consulte a Ajuda on-line do Linuxconf. Após informar os padrões de sua rede, clique em Aceitar para continuar a Configuração do DHCP. A partir deste momento, o Linuxconf sempre voltará diretamente a esta tela (Figura 70), permitindo que você possa seguir diretamente às tarefas mais comuns.

Figura 70 -Tela normal do módulo DHCP Sempre que você quiser alterar os padrões novamente, você pode usar o botão Padrões. O próximo passo para a Configuração é a criação de uma nova sub-rede. Clique em Adicionar para adicionar uma nova sub-rede. O Linuxconf apresentará a tela mostrada na Figura 71.

Redes – Instalação de Serviços no Linux

143

Figura 71 -Adicionando uma sub-rede Informe o número da rede e sua máscara. Agora você pode começar a criar faixas de IP para serem usadas pelos clientes DHCP. Para criar uma faixa, preencha os campos da aba Faixas na parte inferior da tela. Você deve informar o IP inicial e o IP final. Cada sub-rede pode ter uma Configuração específica de DNS, NIS, servidores de impressão, etc. Para informar, por exemplo, o servidor DNS a ser utilizado pelas máquinas cliente, clique na pasta DNS e preencha os valores da mesma forma como foi feito na especificação dos padrões do servidor DHCP. Quando você tiver terminado de criar faixas de IP, clique em Aceitar para retornar à tela inicial da Configuração do DHCP. Note que as novas sub-redes aparecem nesta tela (Figura 72).

Figura 72 -Tela inicial com sub-redes

5.4

Testes de Configuração

Redes – Instalação de Serviços no Linux

144

Para verificar se a Configuração está correta, basta inicializar uma máquina cliente e verificar se ela recebe as configurações desejadas. Se o cliente não conseguir conectar-se ao servidor, ou não receber as configurações corretas, verifique se o serviço dhcpd está sendo executado no servidor. Você pode fazer isto através do Linuxconf. Verifique a documentação do Linuxconf para saber como proceder.

Correio Eletrônico

6.1

Implementação do Postfix

6.1.1 Pré-requisitos Para uma implementação bem-sucedida do Postfix é necessário:

6.2

•

uma interface de rede instalada e configurada;

•

um servidor DNS instalado e configurado.

Instalação Para instalar o Postfix selecione os seguintes pacotes com o Synaptic: postfix linuxconf-postfixconf É possível também instalar o Postfix utilizando o apt-get, digitando o seguinte

comando em um terminal: # apt-get install postfix linuxconf-postfixconf

6.3

Configuração Os valores padrões da Configuração do Postfix exigem pouca modificação para se ter

um servidor de e-mail funcional. A seguir serão vistas as principais opções de Configuração

Redes – Instalação de Serviços no Linux

145

do Postfix. Inicie o Linuxconf e acesse a opção Configuração Æ Rede Æ Tarefas de servidor Æ Postfixconf, e a seguinte tela (Figura 73) será mostrada:

Figura 73 - ConFigurando o Postfix Iniciar a Configuração clicando em informação básica. Uma descrição da função de cada aba segue logo abaixo: a)

Informação de caminho local

Aqui se encontram os caminhos para a área de armazenamento temporária (spool), e o caminho para os binários dos programas e serviços que compõem o Postfix. Não há necessidade de alterar nada nesta aba. b)

Proprietário da fila e processo

O Postfix roda como um usuário comum do sistema e com permissões de usuários comuns, tornando-o assim mais seguro. Nesta aba são configurados o usuário "dono" dos

Redes – Instalação de Serviços no Linux

146

arquivos de armazenamento temporário de mensagens e as permissões do programa. Mais uma vez não é necessário alterar os valores padrões. c)

Nome da domínio e da máquina

Nesta aba é configurado o nome da máquina (nome + domínio) e o domínio. Normalmente esses valores são obtidos automaticamente, no entanto pode ser necessário configurá-los manualmente, principalmente se a máquina em questão possui um nome e um apelido. Este nome e o domínio serão utilizados como padrão ao se enviar mensagens a partir dessa máquina.

Enviando mail

Nesta aba é configurado o nome padrão a ser utilizado ao serem enviadas mensagens a partir dessa máquina. A Configuração padrão é utilizar o nome da máquina+domínio, assim,

usuário

enviar

uma

mensagem

seria

identificado

como

usuario@maquina.minhaorganizacao, por exemplo. É possível utilizar apenas o domínio ou ainda uma outro nome qualquer. Note que isso só afeta o nome padrão adotado por programas clientes de e-mail desta máquina e que os usuários podem configurar os seus programas de e-mail para enviar mensagens utilizando outro nome de domínio. e)

Recebendo mail

Configure aqui as regras básicas para recebimento de mensagens. Nesta aba você poderá configurar os endereços de interface de rede pelos quais o sistema receberá mensagens. Por padrão o Postfix aceita mensagens por todos os endereços. No campo Destino insira os endereços ou informe um arquivo contendo estes endereços para os quais essa máquina é o destino final. Por exemplo, se o seu domínio é minhaorganizacao e esta é a máquina encarregada de receber as mensagens deste domínio, insira "minhaorganizacao" neste campo, mas atenção, não insira aqui os domínios virtuais hospedados nessa máquina pois essa Configuração é feita em outro local. A Configuração inadequada deste campo causará a mensagem de erro "Mail for xx.xx.xx loops back to myself" (mensagem para xx.xx.xx retorna para mim), pois o Postfix não está configurado para ser o destino final desse endereço. f)

Rejeitando usuários locais desconhecidos

Redes – Instalação de Serviços no Linux

147

Aqui o administrador poderá indicar um arquivo que contém os usuários que pertencem ao domínio e que podem receber mensagens. Não é preciso preencher nada nessa opção para uma Configuração básica. g)

Controle de depuração

Nesta aba são feitas as configurações relativas às mensagens de registro utilizadas pelo Postfix para a resolução de problemas. Para uma Configuração simples utilize os valores padrões. Após a instalação, o sistema ainda não inicializa o Postfix sozinho; logo, é necessário que o administrador configure o sistema para iniciar automaticamente este serviço através da opção Controle -> Painel de Controle -> Controle de atividades dos serviços do Linuxconf.

6.4

Testando a Configuração Para testar a Configuração é necessário certificar-se de que as mensagens estão

chegando corretamente ao seu servidor e que as mensagens com destino fora do seu servidor estão sendo enviadas corretamente. O administrador poderá iniciar os seus testes, experimentando enviar uma mensagem a partir do próprio servidor para um outro usuário também localizado no servidor. Isso pode ser feito através de um terminal, digitando-se na linha de comando: # echo teste | mail usuario@minhaorganizacao Verifique se o usuário recebeu a mensagem e se o campo "From:" é preenchido corretamente. Verifique também o arquivo de logs, em /var/log/maillog. Se a mensagem não foi recebida, certifique-se de que o serviço está rodando. Se o arquivo de registro acusar "mail from xx.xx loops back to myself" verifique se o domínio local está presente na Configuração Recebendo mail. Pode-se então testar enviar uma mensagem para um usuário localizado em outro servidor. Novamente, confira o arquivo de registro para verificar se houve algum problema no envio.

Redes – Instalação de Serviços no Linux

6.5

148

Apelidos de E-mail Um apelido de e-mail é um endereço de e-mail alternativo para um usuário real. Por

exemplo, o endereço <webmaster@minhaorganizacao> não corresponde a nenhum usuário do sistema, sendo apenas um endereço alternativo mapeado para o endereço da pessoa responsável pela manutenção do site em questão. Uma empresa poderia criar endereços como <suporte@minhaempresa.com.br> para evitar que os seus clientes tenham que saber o e-mail do responsável pelo suporte. Além do mais, se outro funcionário assumir essa função basta mudar o endereço para o qual são redirecionadas as mensagens. A utilização deste recurso pode contribuir para a melhoria da utilização deste tipo de comunicação. Através da utilização de apelidos é possível mapear vários endereços para uma única pessoa, ou mapear um único endereço para várias pessoas. Será visto a seguir como fazer isso.

6.6

Criando Apelidos de E-mail Antes de criar os apelidos é necessário configurar em que local o Postfix deverá

procurar a lista de apelidos. Para fazer isso inicie o Linuxconf e acesse a opção Configuração Æ Rede Æ Tarefas do servidor Æ Postfix Æ Localização das tabelas. É recomendada a utilização dos valores mostrados na Figura 74.

Figura 74 -Configuração da Localização das Tabelas Para adicionar um apelido acesse a opção Configuração Æ Rede Æ Tarefas do servidor Æ Postfix Æ Tabelas de apelidos e clique sobre a tabela na qual será inserido um

Redes – Instalação de Serviços no Linux

149

novo apelido (se a Configuração foi feita como a demonstrada até aqui, deverá haver uma única tabela). Ao fazer isso o Linuxconf apresentará a lista dos apelidos já existentes. Para criar um novo apelido clique no botão Adicionar e uma tela semelhante à da Figura 75 será apresentada:

Figura 75 -Adicionando um novo apelido de e-mail No campo nome do apelido insira o nome do apelido, como, por exemplo, webmaster. É possível passar as mensagens por um programa que filtre ou execute uma ação qualquer antes de redirecionar as mensagens, para tanto, basta inserí-lo no campo Filtrar programa. Insira um nome de arquivo contendo endereços de e-mail no campo Listar arquivo, caso você deseje redirecionar esse apelido para um grande número de pessoas, caso contrário simplesmente adicione o endereço em um dos campos sem rótulo (você poderá inserir um endereço em cada campo, ou apenas um endereço). Dica: É uma boa idéia criar um apelido para o usuário root. Assim não será necessário que o administrador fique se "logando" como o usuário root só para ler e-mails.

6.7

Usando Domínios Virtuais com o Postfix

Redes – Instalação de Serviços no Linux

150

Assim como um servidor web pode hospedar diferentes domínios ao mesmo tempo, o servidor de e-mail também é capaz de transmitir ou receber mensagens de vários domínios virtuais hospedados no servidor. Será visto a seguir como adicionar domínios virtuais ao servidor e em seguida como adicionar usuários a estes domínios.

6.8

Implementando Domínios Virtuais com o Postfix

6.8.1 Pré-requisitos Para uma implementação bem-sucedida de domínios virtuais é necessário: Um servidor DNS configurado adequadamente (principalmente as entradas MX); o Postfix instalado e configurado.

6.9

Configuração Assim como na Configuração dos apelidos de e-mail, o primeiro passo é configurar

qual o arquivo contém as tabelas com os domínios virtuais. Verifique se o valor hash:/etc/postfix/virtual está configurado no campo mapas virtuais ao se acessar a opção Configuração Æ Rede Æ Tarefas do servidor Æ Postfix Æ Localização das tabelas do Linuxconf. Atenção É possível utilizar um outro arquivo contendo as tabelas, no entanto será necessário que o administrador crie esse arquivo sem o auxílio do Linuxconf para que ele possa ser utilizado. Você poderá fazer isso digitando em um terminal o comando touch /etc/postfix/meusdominios, onde meusdominios é o nome que você deseja dar ao arquivo. Para adicionar um novo domínio virtual acesse a opção Configuração Æ Rede Æ Tarefas do servidor Æ Postfix Æ Tabelas virtuais; em seguida clique na tabela onde será adicionado o novo domínio. Você deverá ver uma tela como a mostrada na Figura 76.

Redes – Instalação de Serviços no Linux

151

Figura 76 -ConFigurando Domínios Virtuais Clique no botão Nomes de domínios e em seguida no botão Adicionar na nova aba. Uma tela como a da Figura 77 será mostrada:

Redes – Instalação de Serviços no Linux

152

Figura 77 -Adicionando um Domínio Virtual Insira o nome do domínio virtual no campo Domínio e um comentário no campo Comentário (o preenchimento desse último campo é necessário, não o deixe em branco). Clique em Aceitar para confirmar a criação do domínio. Veja a seguir como adicionar usuários a este domínio.

6.10 Adicionando Usuários a Domínios Virtuais Para adicionar um usuário a um domínio virtual clique no botão Redirecionamentos (Figura 85) e em seguida no botão Adicionar na nova aba. Uma tela como a da figura 44 será mostrada:

Figura 78 -Adicionando Usuários a um Domínio Virtual Insira o nome do e-mail que se deseja criar no campo Nome de usuário; escolha o domínio ao qual esse usuário pertencerá clicando no botão da caixa drop-down do campo Domínio e nos campos logo abaixo deste, insira um ou mais endereços para os quais uma mensagem endereçada a este usuário virtual deverá ser redirecionada. Dica: Usuários de domínios virtuais funcionam como um tipo especial de apelido de e-mail.

Redes – Instalação de Serviços no Linux

153

6.11 Filtros de E-Mail Apesar de o e-mail ser uma ferramenta que pode contribuir para o aumento da produtividade dos usuários de um sistema, o seu mau uso pode ser bastante prejudicial. O envio de mensagens comerciais não solicitadas e demais "correntes" de mensagens, conhecidas também por SPAM pode se tornar um problema para o administrador. A seguir será visto como evitar que outras pessoas utilizem o seu servidor de e-mail indevidamente e como filtrar mensagens indesejadas. O servidor de e-mails, como já foi visto, recebe mensagens dos clientes de e-mail dos usuários e se encarrega de entregar essas mensagens aos seus destinatários finais. Esse processo recebe o nome de relay. Um servidor de e-mail mal configurado pode permitir que máquinas fora do seu domínio utilizem-no para enviar mensagens. Será apresentado como limitar quem está autorizado a usar o seu servidor de e-mail para enviar mensagens. A segunda medida a ser tomada para otimizar a utilização do seu servidor de e-mail é filtrar mensagens de remetentes indesejáveis para destinatários do seu domínio. Esse filtro pode ser baseado no endereço da máquina que envia as mensagens ou ainda no conteúdo do campo "DE:" do remetente.

6.12 Configuração de relay O Postfix, por padrão, permite que todas as máquinas de sua rede o utilizem para enviar mensagens. O administrador poderá autorizar que outras redes ou sub-redes o utilizem para enviar mensagens ou poderá restringir ainda mais a Configuração padrão, autorizando apenas uma parte da sua rede, ou autorizando o envio de mensagens apenas a partir do servidor. A Configuração dos clientes autorizados a utilizar o seu servidor para fazer o relay de mensagens poderá ser feita acessando-se a opção Configuração Æ Rede Æ Tarefas de Servidor Æ Postfixconf Æ Controle de Spam Æ Controle de correio descartado do Linuxconf. Uma janela como a da Figura 79 será mostrada.

Redes – Instalação de Serviços no Linux

154

Figura 79 -Configuração de Relay Insira no campo Redes as redes para as quais o Postfix irá fazer o relay. Especifique as redes utilizando o formato rede/máscara, por exemplo, para uma rede classe B poderá ser especificado 10.0.0.0/8. Separe as entradas com espaços. Adicionalmente os campos Verificação de cabeçalho e Verificação de corpo poderão ser utilizados para filtrar mensagens, como será visto mais adiante.

6.13 Filtragem de mensagens baseada no conteúdo O Postfix possui controles avançados que o permitem filtrar mensagens endereçadas ao seu servidor, baseando-se em uma série de parâmetros. Em razão da complexidade do assunto, serão vistas aqui apenas algumas configurações básicas que permitirão ao administrador configurar o seu servidor de e-mail de modo a garantir alguma proteção contra mensagens indesejadas. Os campos Verificação de Cabeçalho e Verificação de corpo aceitam como argumento um arquivo contendo um conjunto de regras, ou padrões, que serão utilizados para filtrar mensagens baseando-se no conteúdo dos cabeçalhos ou do corpo da mensagem. Essa função consome recursos do sistema, portanto utilize-a com certa cautela. Os arquivos contendo as regras podem ser de dois tipos: expressões regulares ou expressões regulares compatíveis

com

PERL.

Preencha

campos

seguinte

forma:

regexp:/etc/postfix/arquivo para o primeiro tipo e pcre:/etc/postfix/arquivo para o segundo. Dentro dos arquivos você deverá utilizar expressões regulares que ao serem comparadas e encontradas no conteúdo da mensagem executarão uma ação (normalmente REJECT). Um exemplo de conteúdo de um arquivo, do tipo regexp, contendo regras:

Redes – Instalação de Serviços no Linux

155

/^from:*sales@seila\.com$/REJECT 550 spammers fora! /^from:spammer@hotmail\.com$/REJECT 550 spammers fora! /^to:seila@minhaorganizacao$/REJECT 550 humm \ Esse usuário não existe.

NIS/NFS

7.1

Implementação

7.1.1 Pré-requisitos Para executar a Configuração sugerida por este guia para a implementação de um servidor LDAP, é necessário verificar os seguintes requisitos: É importante, mas não obrigatório, que o Netscape Communicator® esteja instalado, para a execução de testes. Levantamento dos dados que serão armazenados no servidor: verificação da necessidade de replicação de dados, definição da hierarquia de servidores, entre outros necessários antes de instalar o servidor.

7.2

Instalação Para instalação do servidor LDAP, será utilizado o OpenLDAP. Execute o Synaptic e

selecione os seguintes pacotes para a instalação: openldap openldap-server openldap-client nss_ldap pam_ldap migrationtools-common migrationtools-offline

Redes – Instalação de Serviços no Linux ou utilize o comando apt-get: # apt-get install openldap openldap-server openldap-client # apt-get install migrationtools-offline # apt-get install nss_ldap pam_ldap

7.3

Configuração do Servidor Edite o arquivo /etc/openldap/slapd.conf e modifique as seguintes opções: suffix "o=minhaorganizacao, c=br" rootdn "cn=manager, o=minhaorganizacao, c=br" rootpw minha-senha ... # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to access to dn=".*,ou=Roaming,o=minhaorganizacao,c=br" by dnattr=owner write # The userPassword by default can be changed by the # entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below access to attr=userPassword by dn="cn=manager,o=minhaorganizacao,c=br" write by anonymous auth by self write by * none # Full rights to the admin access to * by dn="cn=manager,o=minhaorganizacao,c=br" write by * read suffix: a raiz, a base do seu Diretório. rootdn: o login do administrador.

156

Redes – Instalação de Serviços no Linux

157

rootpw: a senha do administrador; pode ser colocada criptografada. Consulte a página de manual do slapd.conf (man slapd.conf) para mais informações. Os três últimos blocos definem Controles de Acesso a características e permissões para o servidor LDAP. As outras opções já estão configuradas com os valores padrão.

7.4

Configurando o uso de SSL O pacote openldap-server do Conectiva Linux já possibilita o uso de SSL

automaticamente quando o serviço é iniciado pela primeira vez. Mas mesmo assim serão mostrados aqui os passos necessários para configurar um servidor openldap-2.0.x e alguns aplicativos cliente para utilizarem sessão criptografada. Os passos a seguir são efetuados automaticamente pelo pacote openldap-server. Eles estão descritos aqui apenas para que o administrador possa ver e entender o que está sendo feito. Não é necessário executar o que está descrito a seguir para se ter uma sessão segura (via START-TLS) funcionando. O primeiro passo é gerar ou obter um certificado. O certificado que é gerado pelo pacote utiliza nomes fictícios para diversos campos, como e-mail de contato, setor, etc. Para gerar um certificado auto-assinado com os seus próprios dados, execute: # openssl req -new -x509 -nodes -keyout /etc/openldap/ssl/server.key \ -out /etc/openldap/ssl/server.crt Este comando deve ser colocado todo em uma mesma linha (o caractere \ foi colocado somente por questões estéticas). Esta linha de comando vai chamar o programa que irá gerar o certificado. Este certificado será padrão X509 (-x509) e a chave privada correspondente não será criptografada (-nodes) para permitir que o serviço ldap seja iniciado sem que uma passphrase (ou frase-senha) seja pedida. Diversas perguntas serão apresentadas; responda-as com os seus dados. Apenas atente para a pergunta Common Name: ela deve ser o nome completo (FQDN) da sua máquina, caso contrário alguns clientes poderão reclamar que o certificado foi gerado para outra máquina.

Redes – Instalação de Serviços no Linux

158

Após ter respondido todas as perguntas surgirão no diretório especificado os arquivos server.key e server.crt, que são, respectivamente, a chave privada do certificado e o próprio certificado. O servidor LDAP precisa de mínimo acesso de leitura nestes arquivos: # chown root.ldap /etc/openldap/ssl/server.* # chmod 0440 /etc/openldap/ssl/server.* Lembre-se: se um usuário conseguisse ler o arquivo da chave privada ele poderia monitorar toda a sessão criptografada. Agora é preciso avisar o servidor LDAP de que ele deve ler estes arquivos. Isso é feito no arquivo global de Configuração /etc/openldap/slapd.conf: TLSCertificateFile

/etc/openldap/ssl/server.crt

TLSCertificateKeyFile /etc/openldap/ssl/server.key Se você estiver usando um certificado assinado por uma AC, inclua o arquivo contendo a cadeia de confiança até essa AC: TLSCACertificateFile /etc/openldap/ssl/ca.crt Assim, ao iniciar o servidor LDAP agora, pelo menos a opção START-TLS estará disponível para os clientes que a suportarem.

7.5

Habilitando LDAPS: Para habilitar LDAPS:// (LDAP sobre SSL na porta 636 para clientes que não

suportam START-TLS), basta acrescentar a opção -h "ldaps:///" na chamada ao servidor LDAP. Para fazer isso, deve-se editar o arquivo localizado em /etc/sysconfig/ldap. Abaixo este arquivo está reproduzido: # configuration file for the ldap startup script # change to "yes" if you want the ldap server (slapd) to # also listen on the ldaps (636) port. Otherwise, encryption # will only be possible via START-TLS LDAPS=no # You may define an user and group here if you want to. The ldap # server will then be started using the user and group specified # here. Be aware that you will also have to change permissions # on the database if you use this! And some authentication methods,

Redes – Instalação de Serviços no Linux

159

# specially those using SASL, may fail if they can't access # /etc/shadow or something like that. You may want to check # the use of SASL's pwcheck method in that case. USER=ldap GROUP=ldap Se o parâmetro LDAPS for trocado para yes, o servidor LDAP, após ser reiniciado, irá também escutar na porta 636 (a porta reservada para ldaps). Trocando para no, o servidor irá atender apenas na porta 389 (e sessões criptografadas apenas estarão disponíveis para clientes que suportarem START-TLS). Neste arquivo de Configuração também é possível trocar o usuário sob o qual o servidor é executado. Por padrão, o servidor roda como usuário ldap e grupo ldap e o pacote está ajustado para rodar como estes usuários. Se, no entanto, o administrador tiver outro usuário para esta função, ou desejar rodar o serviço como root, basta trocar estas linhas. Para rodar o serviço como superusuário, basta comentar ambas as linhas (USER e GROUP).

7.6

Configurando Alguns Clientes Agora deve-se configurar alguns clientes para usarem SSL ao se conectarem ao

servidor LDAP. Pacotes como nss_ldap e pam_ldap já virão configurados para usarem START-TLS, mas, a exemplo do que foi feito na Configuração do servidor, porém será mostrado aqui como isso foi feito. Os programas cliente do pacote openldap-client utilizam um arquivo de Configuração global chamado ldap.conf localizado em /etc/openldap/. Nota: Não confunda o arquivo ldap.conf, do servidor LDAP, mencionado no parágrafo anterior com o arquivo de Configuração do módulo pam, que é /etc/ldap.conf. Há basicamente duas opções que precisam ser configuradas: uso ou não de SASL e uso ou não de SSL. Será usado como exemplo o programa ldapsearch, utilizado para fazer pesquisas em um servidor LDAP. Os dois parâmetros utilizados serão:

Redes – Instalação de Serviços no Linux

160

-x: utilizar autenticação simples, ou seja, não utilizar SASL. Esta é a Configuração padrão dos pacotes LDAP da Conectiva. Isso requer que criptografia seja usada, pois a senha é transmitida em texto claro. Para isso serve o próximo parâmetro; -Z[Z]: utilizar START-TLS. Com apenas um Z (-Z), o cliente tentará usar STARTTLS se esta opção estiver disponível no servidor; caso contrário, usará uma conexão não criptografada comum. Com um segundo Z (-ZZ), o uso de START-TLS é obrigatório e a conexão será encerrada se esta opção não estiver disponível no servidor. É fortemente recomendado que sempre se use -ZZ, portanto. Ainda é possível usar LDAPS:// em vez de START-TLS, usando -H ldaps:///. nss_ldap e pam_ldap Mais adiante neste manual, o leitor verá como usar LDAP para autenticar seus usuários, e então nss_ldap e pam_ldap serão mencionados. Por padrão, o uso de STARTTLS já é habilitado nestes pacotes. A Configuração necessária para isso é apenas uma linha em /etc/ldap.conf: ssl start_tls Alternativamente, LDAPS também pode ser usado. Para isso, coloque: ssl on Note que as duas opções não podem ser usadas ao mesmo tempo: é uma ou outra.

7.7

Criando o Diretório LDAP Edite o arquivo /usr/share/openldap/migration/migrate_common.ph: $DEFAULT_MAIL_DOMAIN = "minhaorganizacao.com.br"; $DEFAULT_BASE = "o=minhaorganizacao,c=br"; $EXTENDED_SCHEMA = 0; O valor padrão para o campo $EXTENDED_SCHEMA é zero. Se for modificado

para 1, irá ativar o suporte a outras classes de objetos, como person, por exemplo. Mas isto não é necessário.

7.8

Executando o Script migrate_all_offline.sh

Redes – Instalação de Serviços no Linux

161

Este script irá pesquisar vários arquivos do diretório /etc e criar as entradas no seu Diretório. Note que o último comando é utilizado para deixar os arquivos do diretório com usuário e grupo ldap. # cd /usr/share/openldap/migration/ # ./migrate_all_offline.sh Creating naming context entries... Migrating aliases... Migrating groups... Migrating hosts... Migrating networks... Migrating users... Migrating protocols... Migrating rpcs... Migrating netgroups... Importing into LDAP... Migrating netgroups (by user)... Migrating netgroups (by host)... Preparing LDAP database... # chown ldap.ldap /var/lib/openldap-ldbm/* Nota: Esta ação irá migrar todos os usuários, inclusive o do sistema (root, named, etc.). Se isto não for o desejado (normalmente não é), então os scripts devem ser rodados individualmente e a saída do comando migrate-password.pl deve ser editada antes de ser submetida ao LDAP. Editando o Arquivo /etc/openldap/ldap.conf BASE o=minhaorganizacao,c=br HOST localhost Atenção Se o servidor LDAP estiver utilizando SSL, é imprescindível que a opção HOST descrita acima seja substituída pelo nome da máquina onde esteja o servidor. Isto porque o

Redes – Instalação de Serviços no Linux

162

LDAP irá utilizar o comando hostname para identificar o servidor, e se esta opção estiver preenchida com localhost, não será possível completar a autenticação.

7.9

Inicializando o Servidor LDAP Na primeira vez que for iniciado, o servidor LDAP criará o certificado auto-assinado: # service ldap start Creating self-signed digital certificate, please wait... Using configuration from /etc/openldap/ssl/openldapcertificate.Q1OVzk Generating a 1024 bit RSA private key .........................++++++ ...++++++ writing new private key to '/etc/openldap/ssl/dummy.key' ----Certificates generated successfully, proceeding to normal startup... Iniciando ldap:

[ OK ]

Nota: O OpenLDAP é ligado com a biblioteca TCP/Wrappers. Por este motivo o controle de acesso pode ser feito através dos arquivos /etc/hosts.allow e /etc/hosts.deny, além do recurso de ACLs do próprio OpenLDAP. Utilize estes arquivos para controlar as máquinas que irão acessar o servidor LDAP. Para acessar através do próprio servidor, caso o arquivo /etc/hosts.deny esteja com o parâmetro ALL:ALL, insira no /etc/hosts.allow a linha ALL: localhost

7.10 Testando a configuração Abra um terminal e utilize os seguintes comandos: Para verificar tudo que existe no Diretório: $ ldapsearch "objectclass=*" -x -ZZ

Redes – Instalação de Serviços no Linux version: 2 # # filter: objectclass=* # requesting: ALL # # minhaorganizacao, br dn: o=minhaorganizacao,c=br dc: minhaorganizacao objectClass: top objectClass: domain # People, minhaorganizacao, br dn: ou=People,o=minhaorganizacao,c=br ou: People objectClass: top objectClass: organizationalUnit ... para verificar se os usuários foram inseridos: $ ldapsearch uid=usuario -x -ZZ version: 2 # # filter: uid=usuario # requesting: ALL # usuario, People, minhaorganizacao, br dn: uid=usuario,ou=People,o=minhaorganizacao,c=br uid: usuario cn: usuario objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount shadowLastChange: 11725

163

Redes – Instalação de Serviços no Linux

164

shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 501 gidNumber: 501 homeDirectory: /home/usuario # numResponses: 2 # numEntries: 1 Note que o atributo userpassword não apareceu nesta busca. Para verificar se as senhas foram inseridas usando a senha do administrador do Diretório: $ ldapsearch -D cn=manager,o=minhaorganizacao,c=BR \ -W uid=usuario -x -ZZ Enter LDAP Password: version: 2 # # filter: uid=usuario # requesting: ALL # # usuario, People, minhaorganizacao, br uid=usuario,ou=People,o=minhaorganizacao,c=br uid=usuario cn=usuario sn=usuario mail=usuario@minhaorganizacao.com.br objectclass=person objectclass=organizationalPerson objectclass=inetOrgPerson objectclass=account objectclass=posixAccount

Redes – Instalação de Serviços no Linux

165

objectclass=top objectclass=kerberosSecurityObject userpassword={crypt}VazDY6ytbW/YI krbname=usuario@MINHAORGANIZACAO.COM.BR loginshell=/bin/bash uidnumber=500 gidnumber=500 homedirectory=/home/usuario # numResponses: 2 # numEntries: 1 De acordo com as ACLs, o administrador sempre tem acesso a todos os atributos. Para verificar a senha do seu usuário usando sua própria senha: $ ldapsearch -D uid=usuario,ou=people,o=minhaorganizacao,c=br \ -W uid=usuario -x -ZZ Enter LDAP Password: version: 2 # # filter: uid=usuario # requesting: ALL # # usuario, People, minhaorganizacao, br uid=usuario,ou=People,o=minhaorganizacao,c=br uid=usuario cn=usuario sn=usuario mail=usuario@minhaorganizacao.com.br objectclass=person objectclass=organizationalPerson objectclass=inetOrgPerson objectclass=account

Redes – Instalação de Serviços no Linux

166

objectclass=posixAccount objectclass=top objectclass=kerberosSecurityObject userpassword={crypt}VazDY6ytbW/YI krbname=usuario@MINHAORGANIZACAO.COM.BR loginshell=/bin/bash uidnumber=500 gidnumber=500 homedirectory=/home/usuario # numResponses: 2 # numEntries: 1 Note que as ACLSs deverão estar elaboradas de tal forma, que o atributo userpassword possa ser lido somente pelo próprio usuário e pelo usuário root.

7.11 Configurando o Netscape Communicator Quando se trabalha com servidores LDAP, é comum existir uma limitação para a quantidade máxima de respostas retornadas pelo servidor. Esta limitação existe sempre no servidor, mas pode existir também no cliente, como no caso do Netscape. Entre no ambiente gráfico com o seu login de usuário, execute o Netscape Communicator e faça as seguintes configurações: No Livro de Endereços (Alt - Shift - 2) clique em Arquivo Æ Diretório Novo...; surgirá a janela Informação do Diretório (Figura 80). Basta preencher esta janela da seguinte maneira:

Redes – Instalação de Serviços no Linux

167

Figura 80 -Informações do Diretório No campo Diretórios, selecione o Diretório que você adicionou, efetue uma pesquisa de todos os usuários que existem no Diretório digitando no campo digite o nome que está procurando um * seguido de um Enter. Você deverá visualizar todos os usuários encontrados no diretório. Será possível ver aqui também os usuários administrativos, como bin, daemon, etc. Eles podem ser removidos do Diretório. Configure o correio do Netscape para utilizar o endereçamento de mensagens através do servidor de Diretório. Em Editar Æ Preferências, clique na seta para expandir a categoria Correio e Notícias e selecione a subcategoria Endereçamento. Habilite a opção Servidor de Diretório: e selecione o servidor que você adicionou (no exemplo: minhaorganização.com.br). Sempre que for enviar uma mensagem bastará colocar um dado qualquer, ou apenas parte dele, de um usuário existente no Diretório. O Netscape se encarregará de preencher o restante. Caso exista mais de uma entrada, ele mostrará a lista de usuários encontrados, para você selecionar o usuário desejado. É importante frisar que a opção Seguro, pode ser usada se ldaps estiver habilitada no servidor (ver /etc/sysconfig/ldap) e o certificado já tiver sido importado pelo Netscape®. Se isto ainda não ocorreu, basta acessar o endereço https://localhost:636 e ir respondendo as perguntas.

7.12 Acessando o Servidor LDAP por URLs Também é possível usar o Netscape Communicator para se comunicar com um servidor LDAP através do navegador. A sintaxe é a seguinte:

Redes – Instalação de Serviços no Linux

168

ldap[s]://<maq><:porta>/<base>?<atrib>?<escopo>?<Filtro> O [s] é usado quando se tem uma conexão segura (SSL). Veja exemplos de algumas utilizações de URLs do Netscape® para o LDAP: ldap://localhost/o=minhaorganizacao,c=br??sub? Isto retornará do servidor cada registro do banco de dados (Figura 81).

Figura 81 -Informações do Diretório Através do Navegador ldap://localhost/o=minhaorganizacao,c=br?cn,mail?sub? Isto irá retornar apenas os objetos (pessoas), nome e endereço de correio eletrônico para cada pessoa do banco de dados. ldap://localhost/o=minhaorganizacao,c=br??sub?(cn=maria) Retornará apenas o registro maria. ldap://localhost/o=minhaorganizacao,c=br??sub?(cn=maria*) Trará para você qualquer registro em que o nome inicie com maria. ldap://localhost/o=minhaorganizacao,c=br??sub?(sn=silva) Isto lhe dará todos os registros que tenham o sobrenome silva.

7.13 NSS com o LDAP

Redes – Instalação de Serviços no Linux

169

Seu servidor LDAP pode autenticar usuários, usando um mecanismo chamado PAM[5] (Módulos de Autenticação Plugáveis). Desde o princípio do Linux, a autenticação de um usuário foi feita através da entrada de uma senha pelo usuário, e o sistema verificando se a senha digitada corresponde à senha oficial criptografada, que fica armazenada no arquivo /etc/passwd. Isto foi apenas no início. Desde então, um número de novos caminhos para a autenticação de usuários vem se tornando popular, incluindo substituições mais complicadas, como por exemplo para o arquivo /etc/passwd e dispositivos de hardware chamados de Smart Cards. O problema é que a cada vez que um novo esquema de autenticação é desenvolvido, requer que todos os programas necessários (login, ftpd, etc.) sejam reescritos para suportar este novo esquema. O PAM fornece um caminho para desenvolver programas que são independentes do esquema de autenticação. Estes programas precisam de módulos de autenticação, anexados a eles em tempo de execução, para que possam funcionar. A seguir será visto como configurar o seu sistema para fazer a autenticação via LDAP. No diretório /usr/share/doc/pam_ldap-XX, onde XX é a versão do módulo instalado, você encontrará o diretório pam.d.conectiva que é a recomendação da Conectiva para o conteúdo do diretório /etc/pam.d. Faça um backup do seu diretório /etc/pam.d original e copie o novo diretório recomendado para o mesmo local: # mv /etc/pam.d /etc/pam.d.org # cp -R /usr/share/doc/pam_ldapXX/pam.d.conectiva /etc/pam.d Edite o arquivo /etc/ldap.conf e altere as linhas HOST e BASE como já foi feito para o arquivo /etc/openldap/ldap.conf. Altere também o arquivo /etc/nsswitch.conf para o seguinte conteúdo: passwd:

files ldap nis nisplus

shadow:

files ldap nis nisplus

group:

files ldap nis nisplus

Utilizar SSL é indispensável. Veja na seção Configurando o uso de SSL como configurar o cliente e o servidor para usarem SSL. Para testar a autenticação e o NSS, faça uma cópia do seu /etc/passwd: # cp /etc/passwd /etc/passwd.org

Redes – Instalação de Serviços no Linux

170

Remova deste arquivo um usuário com o comando userdel nome-do-usuário, para ter certeza de que ele não será encontrado no /etc/passwd. Em seguida, experimente: $ id usuario_removido Será possível visualizar o nome do usuário. Experimente também acessar o Conectiva Linux com o usuário que havia no arquivo /etc/passwd. Nota: Se não for utilizar LDAP para autenticação, não esqueça de recuperar o seu /etc/passwd original para continuar com o uso do sistema: # mv /etc/passwd.org /etc/passwd

7.14 Ferramentas Gráficas para o LDAP Além do Netscape existem outras ferramentas LDAP que podem ser usadas no ambiente gráfico. Pesquisas, visualização e até mesmo manutenções na base de dados podem ser feitas através destes programas.

7.15 O Cliente de LDAP GQ O GQ é um cliente LDAP para o ambiente X, com uma interface simples escrito para o Gnome, sendo possível executá-lo em outros gerenciadores de janela também. Instale-o utilizando o Synaptic e selecionando o pacote gq para a instalação. Como usuário normal, inicialize o programa com o comando gq. Sua Configuração também é simples, bastando adicionar o servidor LDAP que você gostaria de usar, e a Base DN do diretório. Um recurso interessante deste aplicativo é o modo de navegação, sendo possível observar o diretório em árvore e ter uma visão completa de todos os dados do diretório. $ gq Para adicionar uma base, dirija-se ao menu File Æ Preferences e selecione a aba Servers, pressionando o botão New para adicionar as configurações sobre o servidor LDAP. Você já pode efetuar consultas. Vá para a aba Search, na janela principal, e proceda sua busca, selecionando o servidor. Em seguida, clique em Find, e o gq irá fazer a busca no servidor, mostrando os dados em caso de sucesso, ou mostrando uma mensagem No entries found caso os dados não estejam no servidor.

Redes – Instalação de Serviços no Linux

171

Veja na Figura 82 um exemplo de conexão:

Figura 82 -Buscas com o Cliente de LDAP GQ Em seguida, serão mostradas as informações sobre o usuário teste.

8 Implementação do serviço de NIS 8.1

Pré-requisitos Para a instalação de um servidor NIS são necessários os seguintes pré-requisitos:

•

Sua rede deve estar corretamente configurada e funcional;

•

serviço portmap deve estar sendo executados no servidor.

8.2

Instalação Para a instalação dos pacotes necessários para um servidor NIS, execute o Synaptic e

instale os seguintes pacotes:

Redes – Instalação de Serviços no Linux

172

ypserv ypbind yp-tools linuxconf-nisconf Para as máquinas cliente são suficientes os pacotes: ypbind yp-tools linuxconf-nisconf ou utilize o apt-get para a instalação: # apt-get install yp.* linuxconf-nisconf

8.3

Configuração Esta seção refere-se à Configuração de um servidor e das máquinas clientes. Se você

estiver interessado em montar um servidor mestre e outros servidores escravos, procure na documentação indicada na seção Referências. Após a instalação dos pacotes, deve-se primeiramente verificar se o nome do servidor NIS está correto. Para isso, basta executar o comando nisdomainname e verificar o resultado. É importante observar que o domínio NIS não está relacionado de nenhuma forma com o domínio DNS, mesmo que na maioria das vezes o nome de domínio seja o mesmo. # nisdomainname minhaorganizacao. É importante verificar o ponto após o domínio. Se algo estiver incorreto, basta executar nisdomainname [dominio_correto]. O próximo passo é incluir a máquina que deverá ser o servidor. Para isso, execute o seguinte comando: # /usr/lib/yp/ypinit -m At this point, we have to construct a list of the hosts which will run NIS servers. kepler in the list of NIS server hosts.

Redes – Instalação de Serviços no Linux

173

Please continue to add the names for the other hosts, one per line. When you are done with the list, type a <control D>. next host to add: kepler next host to add: The current line of NIS servers looks like this: kepler.minhaorganizacao Is this correct? [y/n: y] y We need some minutes to build the databases... Building /var/yp/servidor./ypservers... Running /var/yp/Makefile... gmake[1]: Entering directory `/var/yp/servidor.' Updating passwd.byname... Updating passwd.byuid... Updating group.byname... Updating group.bygid... Updating hosts.byname... ... kepler has been set up as a NIS master server. Este comando irá gerar a base de dados do NIS e incluir as informações para que as máquinas da rede possam acessar o servidor. Após estas configurações execute o Linuxconf e inicialize o serviço principal do servidor (ypserv) e o servidor de senhas (yppasswdd). Isto pode ser feito no menu Controle Æ Painel de Controle Æ Controle de atividade dos serviços. As máquinas cliente podem ser configuradas através do Linuxconf em Configuração Æ Rede Æ Tarefas de Cliente Æ Network Information System (NIS) (que atualiza o arquivo /etc/yp.conf). (Figura 83). Para levantá-los, você não vai precisar levantar um por um. Basta rodar o programa .

Redes – Instalação de Serviços no Linux

174

Figura 83 -Configuração de um Cliente NIS pelo Linuxconf Você deve preencher o primeiro campo com o domínio do servidor e o segundo campo com o nome do servidor (ou seu endereço IP). A terceira opção não precisa ser assinalada, já que uma máquina cliente não pode atualizar a base de dados do NIS. Para garantir controle de acesso, pode-se também configurar, no servidor, o arquivo /etc/ypserv.conf, que contém uma lista de regras e máquinas, úteis para a segurança do sistema. Uma linha do arquivo pode ser composta por uma opção, contendo o seguinte formato: opção: [sim|não] ou, uma linha pode ser uma regra de acesso: host: mapa: segurança: campo_seguro Os possíveis valores do campo campo_seguro podem ser yes ou no. Se o campo for habilitado, será testada a segurança do campo, ou seja, o campo será substituído por um "x" se a verificação da porta revelar que existe uma requisição que não possua os privilégios necessários.

Redes – Instalação de Serviços no Linux

175

Veja um exemplo simples deste arquivo: # Some options for ypserv. This things are all not # needed, if you have a Linux net. dns: no # The following, when uncommented, will give you shadow # like passwords. # Note that it will not work if you have slave NIS # servers in your network that do not run the same # server as you. # Host : Map

: Security : Passwd_mangle

# *

: passwd.byname

: passwd.byuid

: port : port

: yes : yes

... *

: shadow.byname

: port

: passwd.adjunct.byname : port

: yes : yes

As primeiras opções não são necessárias em uma rede Linux. Em seguida, são mostradas as regras de acesso, indicando as máquinas (hosts) que possuem acesso às regras e mapas (neste caso, todas as máquinas - "*"). Os mapas devem ser indicados (por exemplo, o primeiro mapa indica a busca de senhas pelo nome) seguidos pelo meio de segurança; existem as seguintes opções de segurança: none: sem restrições ao mapa indicado. port: permite acesso somente se a requisição vem de uma porta menor que 1024. deny: não permite acesso algum ao mapa indicado. des: necessita de uma autenticação DES (ainda não implementada). Por fim, o último campo indica qual campo será monitorado (neste caso, o campo de senha). Se for colocada a opção no, este campo não será monitorado.

Redes – Instalação de Serviços no Linux

176

Nota: As regras de acesso para determinados mapas não garantem um aumento real de segurança, mas dificultam o trabalho de um possível invasor. Veja as páginas de manual para mais detalhes (man ypserv.conf e man ypbind). Um outro modo de restringir o acesso aos usuários em seu servidor NIS é através do arquivo /etc/passwd. Primeiro, deve-se configurar o servidor como uma máquina cliente (veja logo a seguir) e adicionar as linhas iniciadas com o sinal "+" no meio do arquivo, antes de listar os usuários. Veja o exemplo: root:x:0:0:root:/root:/bin/bash daemon:*:1:1:daemon:/usr/sbin: bin:*:2:2:bin:/bin: sys:*:3:3:sys:/dev: sync:*:4:100:sync:/bin:/bin/sync man:*:6:100:man:/var/catman: lp:*:7:7:lp:/var/spool/lpd: mail:*:8:8:mail:/var/spool/mail: uucp:*:10:50:uucp:/var/spool/uucp: ... +ana:::::: +marcio:::::: +:*::::: [ Todos os usuários normais após esta linha! ] ana:x:500:500:ana:/home/ana:/bin/bash marcio:x:501:501:marcio:/home/marcio:/bin/bash O sistema irá ignorar todas as entradas marcadas, e irá buscá-las no servidor. Esse é um meio de se garantir integridade e segurança. Um meio mais rápido e eficiente de garantir a autenticação de usuários é através do arquivo /var/yp/securenets. Ele define acessos diretos de clientes NIS ao servidor. O arquivo contém pares de máscara_rede/end_IP. Se a máquina cliente estiver na mesma rede que o servidor, pode-se colocar a palavra host ou a máscara 255.255.255.255. Veja o exemplo:

Redes – Instalação de Serviços no Linux

177

# Always allow access for localhost 255.0.0.0

127.0.0.0

# This line gives access to everybody. PLEASE ADJUST! host 10.0.2.62 host 10.0.2.85

8.4

Testes de Configuração Após as configurações, você pode fazer os seguintes testes: Configure o servidor como uma máquina cliente, e execute o serviço ypbind. Se ele

achar o servidor, a Configuração estará correta. Configure uma máquina cliente qualquer e execute o serviço ypbind. Faça com que este serviço se torne automático, assinalando esta opção no Linuxconf. Reinicialize o cliente. Tente acessar a máquina com um outro usuário que esteja autenticado no servidor NIS, mas que anteriormente não tinha uma conta de acesso na máquina. Se o acesso foi permitido, a Configuração está correta.

NAT

9.1

Implementação A solução SSH apresentada aqui se baseia no pacote OpenSSH, que é uma

implementação livre do pacote SSH original que possui restrições à sua utilização comercial. O OpenSSH é compatível com a versão 1 do protocolo SSH (com suas duas variantes, a 1.3 e 1.5) e com a versão 2. Será visto a seguir como implementar e configurar o servidor SSH, e em seguida da implementação e Configuração do cliente SSH.

9.2

Pré-requisitos Para uma implementação bem-sucedida do servidor SSH é necessário que: •

sua rede esteja corretamente configurada.

Redes – Instalação de Serviços no Linux

9.3

178

Instalação Selecione para instalação com o Synaptic os pacotes: openssh-server linuxconf-opensshd openssh-clients ou abra um terminal e utilize os comandos abaixo: # apt-get install openssh-server linuxconf-opensshd # apt-get install openssh-clients Os procedimentos descritos acima instalarão o servidor e o cliente SSH. Para instalar

apenas o cliente basta selecionar somente o pacote openssh-clients para instalação.

9.4

Configuração do servidor SSH A Configuração do servidor SSH pode ser feita utilizando-se a opção Configuração

Æ Rede Æ Tarefas de servidor Æ Servidor SSH (openssh) do Linuxconf. Ao acessar essa opção uma tela como a da Figura 84 será mostrada:

Redes – Instalação de Serviços no Linux

179

Figura 84 -Configuração do Servidor SSH A Configuração padrão do servidor SSH é bastante completa e segura; apenas as opções mais importantes serão descritas. O campo Porta contém o número da porta que o servidor SSH utilizará, a alteração do valor padrão exigirá alterações também no cliente SSH, portanto sugere-se que seja mantido esse valor. O campo Escuta endereço define quais endereços de rede do servidor deverão ser utilizados para receber conexões SSH. O valor padrão (0.0.0.0) define que todos os endereços serão utilizados. A versão do protocolo a ser utilizada é definida no campo Protocolo; o valor padrão especifica que deverão ser utilizadas as versões 2 e 1 (nesta ordem de preferência). A seguir estão descritas as principais opções de cada aba, apresentadas na Figura 84. a)

Opções Chave da Máquina

Nesta aba são configuradas as opções relativas às chaves de autenticação do servidor. O pacote de instalação do OpenSSH, ao ser instalado, gera automaticamente essas chaves e as coloca nos locais corretos, logo não há necessidade de se alterar nada nesta aba. b)

Controle de Acesso

Aqui podem ser configuradas restrições ao acesso via SSH. Os campos Permite Grupos e Permite Usuários podem ser utilizados para restringir o acesso apenas aos usuários de determinados grupos ou mesmo apenas a determinados usuários. Insira os valores nos campos separando-os com espaços em branco. Valores em branco nesses campos significam que todos os usuários e grupos são permitidos, e ao se inserir um valor neles, apenas o usuário ou grupo listado será permitido. Caracteres coringas são permitidos nesses campos. Os campos Nega Grupos e Nega Usuários podem ser utilizados para restringir o acesso dos usuários ou grupos listados nestes campos. Por fim, o campo Permite Registro de Root especifica se o usuário root pode se logar ou não utilizando o SSH. Se for especificado que não, para se realizar alguma atividade administrativa em uma máquina remota será necessário se logar nela como um usuário comum e depois utilizar o comando su.

Redes – Instalação de Serviços no Linux c)

180

Opções de Segurança

Nesta aba são definidas as opções de autenticação que o servidor SSH usará. A opção Autenticação de Senha configura o servidor para utilizar a autenticação por senhas em texto plano através do tunelamento criptografado, ou seja, o usuário poderá utilizar a sua senha do sistema. Se você quiser forçar os seus usuários a utilizar apenas a autenticação com passphrases e chaves criptográficas assimétricas, configure esse campo com o valor "NO". Os campos Autenticação RSA e Autenticação DSA configuram se o servidor deve utilizar esse tipo de chave assimétrica para autenticar os usuários. O campo Registra Grace Time configura quanto tempo o servidor SSH deve esperar pela autenticação do usuário antes de se desconectar. d)

Opções Gerais

Aqui se encontram algumas opções relativas ao comportamento do servidor após o usuário estabelecer a conexão, como se o servidor deve ou não verificar se há mensagens novas para o usuário ou se deve ou não imprimir a mensagem do dia. e)

Opções do X11

Por padrão, o servidor SSH não permite o tunelamento de aplicações gráficas via conexão SSH, e para habilitá-las você deverá selecionar o valor yes no campo Envio do X11. Se você deseja utilizar aplicações gráficas remotamente através do SSH habilite essa opção. f)

Suporte do skey

Especifica se a autenticação skey é permitida. g)

Suporte a Kerberos

Nesta aba se encontram opções de Configuração relativas à autenticação via Kerberos. Utilize essas opções apenas se você possuir um servidor de autenticação com suporte a Kerberos. Finalize a Configuração do servidor SSH ativando a inicialização automática do serviço sshd acessando a opção Controle Æ Painel de controle Æ Controle de atividade dos serviços do Linuxconf. Configuração do cliente SSH O cliente SSH não necessita nenhuma Configuração para funcionar, no entanto, se você pretende utilizar autenticação com chaves assimétricas, como a chave RSA, será

Redes – Instalação de Serviços no Linux

181

necessário gerar essas chaves. Para gerar essas chaves cada usuário deverá utilizar o comando ssh-keygen. Veja como proceder: Abra um terminal e digite o comando: $ ssh-keygen O comando irá gerar a sua chave no diretório .ssh dentro de sua área home, e utilizará por padrão o arquivo identity. Ao aparecer a mensagem abaixo pressione ENTER para confirmar ou insira um outro nome de arquivo. Generating public/private rsa1 key pair. Enter file in which to save the key (/home/usuario/.ssh/identity): O comando solicitará então que você entre com uma passphrase (uma frase-senha). É possível utilizar uma frase-senha vazia pressionando-se apenas um ENTER, logo a autenticação será feita utilizando-se apenas as chaves. Insira a sua frase-senha ao aparacer a mensagem: Enter passphrase (empty for no passphrase): Insira-a novamente para confirmar ao aparecer a mensagem: Enter same passphrase again: O ssk-keygen criará então as chaves e mostrará uma mensagem como esta: Your identification has been saved in /home/usuario/.ssh/identity. Your public key has been saved in /home/usuario/.ssh/identity.pub. The key fingerprint is: 69:85:b7:a9:74:d9:92:ea:5c:e3:92:cb:47:b2:70:03 \ usuario@kepler.minhaorganizacao Para funcionar corretamente é necessário que o diretório .ssh/ possua as permissões corretas. Ele deve ter permissão de leitura, escrita e execução apenas para o dono. Você poderá ajustar as permissões deste diretório utilizando o seguinte comando: $ chmod 700 ~/.ssh Entre no diretório .ssh/ e adicione a sua chave pública ao arquivo de chaves autorizadas utilizando o seguinte comando: $ cat identity.pub >> authorized_keys Ajuste a permissão do arquivo contendo as chaves com o comando: $ chmod 600 authorized_keys

Redes – Instalação de Serviços no Linux

182

As configurações necessárias na máquina que será o alvo da conexão SSH estão prontas. É necessário apenas que você copie o arquivo identity para a máquina de onde você pretende se conectar, pois ele é a sua chave privada. Crie nessa máquina o diretório .ssh e coloque a chave privada lá, ou simplesmente especifique o arquivo que contém a chave privada na linha de comando ao se conectar.

9.5

Utilizando o Cliente SSH A utilização do cliente é bastante simples. Para se conectar a um servidor SSH basta

utilizar o comando ssh como no exemplo abaixo: $ ssh [-i arquivo-chave] [usuario@]servidor [-X] Os parâmetros entre colchetes são opcionais. A opção -i arquivo-chave especifica a sua chave privada, caso você esteja utilizando este tipo de autenticação e a sua chave não se encontre no local padrão (diretório .ssh/). Caso o seu login no servidor seja diferente do que você esteja utilizando na máquina cliente, você deverá especificar o seu login na forma usuario@. Substitua servidor pelo nome da máquina-alvo da conexão e, finalmente, utilize a opção -X para permitir o tunelamento do X11 através do canal criptografado.

9.6

Utilizando o scp O comando scp permite a cópia de arquivos entre duas máquinas utilizando-se os

recursos de criptografia do SSH e pode ser uma alternativa ao uso do FTP. Sua forma básica é: $ scp arquivo-origem arquivo-destino A origem e o destino podem se localizar na máquina cliente ou na máquina servidor, além do mais, pode ser necessário fornecer o login também. Por exemplo, para copiar um arquivo da máquina local para o servidor você poderá usar o scp assim: $ scp arquivo usuario@servidor:/home/usuario Note que é necessário indicar o caminho absoluto no servidor e não o caminho relativo apenas à sua área home. Para copiar um arquivo do servidor para sua máquina utilize: $ scp usuario@servidor:/caminho/arquivo .

Redes – Instalação de Serviços no Linux

9.7

183

Testando a configuração Para testar a Configuração do servidor SSH tente se conectar a ele utilizando o cliente

SSH. Você poderá fazer isso com o seguinte comando: $ ssh usuario@kepler.minhaorganizacao Se o servidor foi configurado para aceitar conexões com senhas apenas, ele solicitará a sua senha do sistema, ou pedirá sua frase-senha se tiver sido configurado para utilizar chaves RSA. Você poderá obter mais informações do que está acontecendo ao se conectar utilizando a opção -v no final do comando. Experimente também copiar um arquivo da máquina cliente para o servidor, utilizando o comando scp.

9.8

Conexões Discadas A utilização de linhas telefônicas comuns para conectar computadores em rede, além

de ter permitido a popularização da Internet, permitiu também que empresas e organizações conectassem suas redes locais de matrizes e filiais de uma maneira simples. Embora hoje existam alternativas mais eficientes (como linhas ADSL), as conexões discadas ainda são uma alternativa simples e relativamente barata. Além disso, conexões discadas permitem um alto grau de mobilidade, e podem ser utilizadas, por exemplo, por funcionários em viagem para acessar a rede de sua empresa.

Redes – Instalação de Serviços no Linux

184

Redes – Instalação de Serviços no Linux

185

VII. Conclusão Devido ao estudo feito sobre o sistema operacional Linux obteve-se a informação de que esse S.O. é cada vez mais utilizado no mundo, garantindo o conhecimento sobre instalação e configuração desse sistema preparando-os para o mercado atual e futuro. Juntamente obteve-se informações sobre a importância da estruturação lógica e física de uma rede, bem como a política administrativa da mesma, garantindo uma maior qualidade na prestação de serviço e um grande acréscimo teórico enriquecendo o conhecimento a ser desenvolvido e aplicado na área de pesquisa em redes.

Redes – Instalação de Serviços no Linux

186

Referências Bibliográficas [MSD, 1998] MSD Software, Curso de Windos NT 4.0, MSD Software Escola Aberta, Brasília, 1998. [MCFEDRIES, 1997] Guia Incrível do Windows NT. Paul McFedries; tradução Lars Gustav Erick Unonius; revisão técnica Mario Magyar Franco, São Paulo : Editora Makron Books, 1997. Título Original: The complete idiot’s guide to Windows NT. [ALBUQUERQUE, 2001] ALBUQUERQUE, Fernando. Tcp/ip Internet – protocolos & tecnologias. 3.ed. Axcel Books, 2001. [DANTAS, 2002] DANTAS, Mário. Tecnologias de redes de comunicação e computadores. Axcel Books, 2002. [SOARES, 1999] SOARES, Fernando Gomes, LEMOS, Guido, COLCHER, Sérgio. Redes de Computadores das LANs, MANs, e WANs às Redes ATM. 2ª Edição. Editora Campus. 1999. [TANENBAUM, 1998] TANENBAUM, Andrew S. Redes de Computadores, Tradução da Terceira Edição. Editora Campus. 1998. [TAROUCO, 1999] TAROUCO, Liane M. R. Redes de Computadores Locais e de Longa Distância. McGraw-Hill, São Paulo – SP. 1999. [BRISA, 1998] BRISA, Sociedade Brasileira para Interconexão de Sistemas Abertos. Arquiteturas de Redes de Computadores OSI e TCP/IP. 2ª Edição. Makron Books. 1998. [CERNET, 2000] TUTORIAIS CERNET. 1999. Web: http://redes.ucpel.tche.br/ensino/nat.html [BITS ONLINE, 1999] COMPUTER BITS ONLINE. 1999. Web: http://www.computerbits.com/archive/9708/lan9708.htm [RFC, 1999] NETWORKING WORK GROUP – RFC 1631. 1999. Web: http://www.safety.net/rfc1631.txt [HOWTO, 1999] Linux IP Masquerade HOWTO. 1999. Web: http://www.ibiblio.org/pub/Linux/docs/HOWTO/IP-Masquerade-HOWTO [PUCRIO, 1999] PUC RIO - “Internet e Arquitetura TCP/IP – Volume 1” 2ª. Edição. 1999. [FORESYSTEM, 1996] FORE SYSTEMS. Atm theory. Material oficial de treinamento, 1996.

Redes – Instalação de Serviços no Linux

187

[MARCON, 2000] MARCON CorporationI. Connection oriented routing and traffic management. Material oficial de treiNamento, 2000. [MARCONa, 2000] MARCON CorporationI. ATM Theory. Material oficial de treiNamento, 2000. [CONECTIVA, 2001] Administração de Redes Linux, Equipe Conectiva – Treinamento, Primeira Edição, 2001. [OPPENHEIMER, 1999] Oppenheimer, Priscilla – Prjetos de Redes top-down: tradução Vanderberg Dantas de Souza – Rio de Janeiro: Campus, 1999 – Nome original Top-down Network Design. [TORRES, 1999] TORRES, Gabriel – Redes de Computadores. Curso Completo, Axcel Books do Brasil Editora, Rio de Jaeiro – RJ. [CONECTIVAa] Web: www.conectiva.com.br [CONECTIVAb] Web: http://www.conectiva.com/doc/livros/online/8.0/servidor/dns001.html [UNICAMP] Web: www.dicas-l.unicamp.br [CAMPOY] Web: http://www.campoy.com.br/normas.htm

Redes – Instalação de Serviços no Linux

188

Glossário Alias

Significa segundo nome, apelido ou alcunha. Pode referenciar um endereço

eletrônico alternativo de uma pessoa ou grupo de pessoas, ou um segundo nome de uma máquina. É também um dos comandos básicos do Unix. Anonymous Nome normalmente utilizado para o login num servidor FTP, e indica tratarse de um usuário anônimo, ou seja, não cadastrado na máquina em questão. A password a fornecer em seguida deve ser o endereço eletrônico ou guest. O sistema permitirá apenas o acesso aos arquivos públicos. ASCII

(American Standard Code for Information Interchange) - Técnica muito

usada na qual números, letras maiúsculas e minúsculas, sinais de pontuação, símbolos e códigos de controle correspondem a números de 0 a 127. Com o ASCII, os documentos criados são facilmente transferidos por meio da Internet. APACHE

Servidor de HTTP ( Hyper Text Transfer Protocol ) distribuído

gratuitamente para diversas plataformas, o Apache e Linux na Internet formam casamento perfeito, dada a facilidade de ajuste que o código aberto de ambos oferece ao desenvolvedor. Bauds ou Bps Velocidade de comunicação das portas seriais ou portas paralelas. Binário

Sistema de numeração composto por dois dígitos (0 e 1) usado para

representação interna de informação nos computadores. Um software capaz de entender o método de codificação de formato binário é necessário para interpretar a informação em um arquivo binário. O formato binário normalmente é utilizado para armazenar mais informação em menos espaço. BIOS

Basic Input Output System. Sistema existente nos PC's que permite a

configuração e armazenamento das características de Hardware do computador. Bit

(binary digit) - O zero ou o um do sistema binário de numeração. No

processamento e armazenamento de dados, um bit é a menor unidade de informação tratada pelo computador, sendo representada fisicamente por um elemento específico: um pulso isolado enviado por meio de um circuito, ou um pequeno ponto num disco magnético, capaz de conter um zero ou um. Isoladamente um bit não fornece nenhuma informação que um ser humano possa considerar significativa. Em grupo de oito, os bits se tornam bytes,

Redes – Instalação de Serviços no Linux

189

que são a forma mais conhecida de representação de todos os tipos de informação no computador, inclusive as letras e números. Boot

Inicialização do computador.

Boot Record Registo de inicialização, parte do disco rígido que contém a inicialização do sistema operativo. Broadcast

Uma transmissão enviada a mais de um receptor.

Browser

Navegador. Programa de aplicação cliente que permite aceder, por meio de

uma interface gráfica (Windows), de maneira aleatória ou sistemática, a informações diversas, contendo textos, imagens e gráficos, sons, etc. O acesso ao servido remoto, que pode ou não estar ligado à Internet, pode ser feito via rede local ou modem. Byte

(Binary Term) - Uma unidade de dados de oito bits. Um byte representa um

único caractere, como uma letra, um dígito ou uma pontuação. Como um byte representa apenas uma pequena quantidade de informação, a capacidade de memória e de armazenamento é geralmente expressa em kilobytes (1.024 bytes), megabytes (1.048.576 bytes), gigabytes (1.073.741.824 bytes). Cache

Tipo de memória de alta velocidade que um processador pode acessar mais

rapidamente do que a memória principal. Os dados utilizados com freqüência são armazenados na memória cache, que se localiza próxima à UCP ( Unidade Central de Processamento ) e funciona em conjunto com a memória principal. CD-ROM

Discos compactos laser, que contêm informação (dados, sons, música) que

podem ser lidos, mas não alterados e nem re-gravados. CGI

Common Gateway Interface. Aplicação servidora utilizada geralmente para

processar solicitações do navegador (browser) utilizando-se de formulários HTML, enviando o resultado em páginas dinâmicas HTML. Pode ser utilizado para conexão (Gateway) com outras aplicações e bancos de dados do servidor. Exemplo de linguagens são: Perl, C e C++. Correio Eletrônico O e-mail é um meio de comunicação baseado no envio e recepção de textos, chamados de mensagens, por meio de uma rede de computadores. Cada usuário de e-mail possui um endereço Internet para corresponder-se. Default

Valor padrão fornecido automaticamente pelo sistema operacional, podendo

ser modificado pelo usuário.

Redes – Instalação de Serviços no Linux

190

Desktop

Área de trabalho do écran - espaço visual do écran.

DHCP

Dynamic Host Configuration, ou seja: Protocolo de Configuração de

Hospedeiro Dinâmico. DNS

(Domain Name System) - Na Internet, o sistema através do qual hosts têm

endereços de nome de domínio (como http://br.geocities.com/ezerormond), e endereços IP (200.241.242). O endereço de nome de domínio (que é mais fácil de ser memorizado) é utilizado pelos usuários e é automaticamente traduzido no endereço IP, que é utilizado pelo software de roteamento de pacotes. Diretório Raiz Fica no topo da árvore de diretórios dos sistemas Unix, representado por uma barra ( / ). Dispositivos No mundo Unix, são meios de armazenar as informações de dois tipos : bloco e caractere. Os dispositivos de bloco, como o disco rígido, armazenam blocos de dados de tamanho fixo e endereços próprio. Os de caractere, como o mouse, aceitam conjuntos de caracteres sem endereçamento. Ambos podem ser acessados pelo diretório / dev. DNS

Domain Name System. É um serviço e protocolo da família TCP/IP para o

armazenamento e consulta de informações sobre recursos da rede. A implementação é distribuída entre diferentes servidores e trata principalmente da conversão de nomes Internet em seus números correspondentes. E-mail

(Eletronic MAIL) - Correio eletrônico. É o endereço de um usuário na

Internet. O formato nome@provedor.com.br, indica nome do usuário cadastrado, nome do provedor, o tipo de empresa (comercial) e país de origem, respectivamente. Sistema para troca de mensagens entre usuários.O símbolo arroba é apenas um caracter gráfico utilizado na separação das informações. O mesmo que endereço eletrônico, endereço na Internet. Ethernet

Um padrão muito usado para a conexão física de redes locais, originalmente

desenvolvido pelo Palo Alto Research Center (PARC) da Xerox nos EUA. Descreve protocolo, cabeamento, topologia e mecanismos de transmissão. Os dados trafegam a velocidade nominal de 10 Mbps Gopher

Permite a procura de informação em bases de dados existentes em todo o

mundo, utilizando ou não algumas ferramentas próprias de pesquisa por palavras-chave.

Redes – Instalação de Serviços no Linux

191

Até o surgimento da Web, o Gopher era a principal ferramenta de busca de informação na rede. O sistema foi inventado na Universidade de Minnesota. Está saindo de uso. Firewall

Dispositivo cujo papel é filtrar o trânsito de informações entre redes

fechadas (Intranet) e a Internet. Associado ao Proxy Impede que usuários não autorizados entrem nesta rede interna, via Internet, ou que dados de um sistema caiam na Internet, sem prévia autorização. Usa sistemas de monitoração que olham tudo o que entra e sai do servidor e outros protocolos de segurança. Funcionam, também, como mediadores entre grupos de trabalho de uma empresa. Frame

(quadro/moldura) - Quadro de uma página HTML. Cada home page pode ter

vários frames, sendo cada um deles um documento distinto. FTP

(File Transfer Protocol) - Protocolo de Transferência de Arquivos.

Formalizado em 1973, é o processo pelo qual o usuário pode ter acesso a inúmeros depósitos de arquivos (texto, imagens, sons e programas) situados em computadores remotos de instituições públicas e privadas. Ao contrário do acesso via telnet, estes arquivos não são visualizados imediatamente no computador do usuário e sim carregados (download) para uma unidade de disco local. FTP Anônimo

Serviço que possibilita o acesso a repositórios públicos de arquivos

via FTP Gateway tecnologias

1. Sistema que possibilita o intercâmbio de serviços entre redes com completamente

distintas,

como

BITNET

INTERNET;

2. Sistema e convenções de interconexão entre duas redes de mesmo nível e idêntica tecnologia, mas sob administrações distintas. 3. Roteador (terminologia TCP?IP). Head

Mecanismo de leitura/gravação de uma unidade de disco ou de fita

magnética. O cabeçote converte as variações do campo magnético da superfície do disco ou fita em sinais elétricos variáveis e vice-versa. As unidades de disco contém, em geral, um cabeçote para cada superfície de leitura e gravação de dados. Hiperlink

Nome que se dá às imagens ou palavras que dão acesso a outros conteúdos

em um documento hipertexto. O hiperlink pode levar a outra parte do mesmo documento ou a outros documentos.

Redes – Instalação de Serviços no Linux Host

192

Computador principal num ambiente de processamento distribuído.

Computador central que controla uma rede. Na Internet é qualquer computador ligado à rede, não necessariamente um servidor HTML

Hypertext Markup Language. Linguagem padrão usada para escrever

páginas de documentos para Web ou WWW. É uma variante da SGML (Standard Generalized Markup Language), bem mais fácil de aprender e usar, possibilitando preparar documentos com gráficos e links para outros documentos para visualização em sistemas que utilizam Web. HTTP

HyperText Transfer Protocol. Este protocolo é o conjunto de regras que

permite a transferência de informações na Web e permite que os autores de páginas de hipertextos incluam comandos que possibilitem saltos para recursos e outros documentos disponíveis em sistemas remotos, de forma transparente para o usuário. HTTPS

HyperText Transfer Protocol. O HTTPS é a utilização do protocolo HTTP

(HyperText Transfer Protocol) em conjunto com o protocolo SSL (Secure Sockets Layer), que é um protocolo proposto por um grupo liderado pela Netscape Communications, pela Verisign e pela Sun desenvolvido e especificado para prover uma camada de segurança entre a camada de transporte (TCP) e os protocolos de aplicação tais como HTTP, TELNET, FTP, etc. O protocolo SSL provê segurança de conexão com duas propriedades básicas: -

A conexão é privada. O mecanismo de encriptação é utilizado depois de uma negociação inicial (handshake) com a finalidade de definir uma chave secreta. Durante esta fase é utilizado a criptografia simétrica para encriptação dos dados, tal como DES ou RC4.

A identidade do cliente e do servidor pode ser autenticada usando algoritmo de criptografia com chave assimétrica ou pública, tal como RSA ou DSS.

Internet

1. Com inicial maiúscula, significa a “rede das redes”. Originalmente criada

nos EUA, tornou-se uma associação mundial de redes interligadas, em mais de 70 países. Os computadores utilizam a arquitetura de protocolos de comunicação TCP/IP. Originalmente desenvolvida para o exército americano, hoje é utilizada em grande parte para fins acadêmicos, comerciais e lúdicos. fornece transferência de arquivos, login remoto, correio eletrônico, news e outros serviços; 2. Com inicial minúscula significa

Redes – Instalação de Serviços no Linux

193

genericamente uma coleção de redes locais e/ou de longa distância, interligadas por pontes, roteadores e/ou Gateways. IP

(Internet Protocol) - Protocolo responsável pelo roteamento de pacotes entre

dois sistemas que utilizam a família de protocolos TCP/IP. A transmissão de informação ocorre mediante pequenos pacotes de bits que contêm os dados que estão sendo enviados e o endereço a que se dirigem. Esses pacotes são reagrupados ao chegar ao seu destino. ISDN

(Integrated Services Digital Network) - Rede Digital de Serviços Integrados.

Sistema telefônico digital que, mediante o uso de equipamentos especiais, mas utilizando a rede telefônica comum, permite enviar e receber voz e dados simultaneamente, através de uma linha telefônica. ISO

(International Standards for Organization) - É a organização que cria

padrões internacionais para diversas áreas, incluindo computadores. Dentre os órgãos que a compõe estão o ANSI (americano), o BSI (inglês), o AFNOR (francês) e a ABNT (brasileira). JPEG/JPG

(Joint Photographic Experts Group) - Padrão de compressão de imagens,

normalmente utilizado para fotografias e aceito por todos os navegadores. Permite alta taxa de compressão e boa qualidade. KERNEL

Núcleo do sistema operacional. Gerencia e controla o acesso ao sistema de

arquivos, a memória, a tabela de processos e o acesso aos dispositivos e periféricos, entre outras atribuições. A maioria das máquinas com Linux utiliza atualmente o kernel 2.2, mas começa a migra para o kernel 2.4, lançado para suportar servidores de grande porte e novos periféricos. LAN

(Local Area Network) - Rede de computadores local limitada a curtas

distâncias. LILO

Carregador do kernel do Linux, acionado durante a inicialização do sistema

operacional. Link

Nos sistemas UNIX, o link é um atalho para um diretório ou um arquivo. Há

o link simbólico, que aponta para o caminho do arquivo, e o hardlink, que aponta para uma área no sistema de arquivos; Abreviação de hiperlink. É o ponto de ligação com outras páginas. Pode ser palavras, frases inteiras ou imagens. É uma busca de informações não linear.

Redes – Instalação de Serviços no Linux

194

Links ou HiperLinks Conexão, ou seja, elementos físicos e lógicos que interligam os computadores da rede. São ponteiros ou palavras chaves destacadas em um texto, que quando clicadas nos levam para o assunto desejado, mesmo que esteja em outro arquivo ou servidor. LINUX

Sistema operacional multitarefa, multiusuário e multiplataforma, que pode

ser utilizado tanto em servidores corporativos como em computadores domésticos. Log

(ou Trilha de auditoria). Histórico das transações dos sistemas que estão

disponíveis para a avaliação a fim a provar a correção de sua execução. Permite que as falhas e quebras na segurança sejam detectáveis. Login

O login é o nome que o usuário utiliza para acessar o servidor da rede. Para

entrar na rede, precisa-se digitar sua identificação (login), seguido de uma senha (password). MAN

(Metropolitan Area Network) - Rede que abrange longas distâncias.

NetBios

Um dos primeiros protocolos disponíveis para uso em redes compostas de

computadores pessoais. MIME

(Multipurpose Internet Mail Extensions) - É um aperfeiçoamento dos

padrões do sistema de correio da Internet, que possui a habilidade de transferir dados nãotextuais como gráficos, áudio, fax, e permite que se envie mensagens com a acentuação em português. Modem

Um dispositivo que adapta um computador a uma linha telefônica. Ele

converte os pulsos digitais do computador para freqüências de áudio (analógicas) do sistema telefônico, e converte as freqüências de volta para pulsos no lado receptor. O modem também disca a linha, responde à chamada e controla a velocidade de transmissão, em bps. Navegação

Ato de conectar-se a diferentes computadores da rede distribuídos pelo

mundo, usando as facilidades providas por ferramentas como browsers Web. O navegante da rede realiza uma viagem virtual explorando o ciberespaço, da mesma forma que o astronauta explora o espaço sideral. NNTP

(Network News Transfer Protocol) - Padrão usado para a troca de mensagens

dos usuários da Usenet.

Redes – Instalação de Serviços no Linux OSI

195

(Open Systems Interconnect) - Padrão internacional desenvolvido pela ISO

para a interconexão de computadores. Os chamados sistemas abertos são aqueles que atendem às normas OSI e podem, em função disso, se comunicar com outros computadores. Pacote

Dado encapsulado para transmissão na rede. Um conjunto de bits

compreendendo informação de controle, endereço fonte e destino dos nós envolvidos na transmissão Partição

Divisão lógica de um disco rígido, de forma que pareçam existir várias

unidades físicas distintas. PDC

Primary Domain controller - controlador primário de domínio. O banco de

dados SAM mantido por este computador é o que vale para todo o domínio. Os BDCs consultam periodicamente este computador para obter dele o SAM e/ou as últimas alterações. POP

(Post Office Protocol) - Protocolo de armazenamento de mensagens até que

o usuário se conecte na rede. Porta

Uma abstração usada pela Internet para distinguir entre conexões

simultâneas múltiplas para um único host destino. O termo também é usado para denominar um canal físico de entrada e saída de um dispositivo. POST

(Power On Self Test) - Testes de hardware que são executados

automaticamente quando o computador é ligado. Verifica se há algum problema básico de teclado, memória, placas controladoras , etc. Protocolo

Um conjunto de regras padronizado que especifica o formato, a

sincronização, o seqüenciamento e a verificação de erros em comunicação de dados. Uma descrição formal de formatos de mensagem e das regras que dois computadores devem obedecer ao trocar mensagens. O protocolo básico utilizado na Internet é o TCP/IP. RFC

(Request For Comments) - Procedimento para estabelecer ou para propor

novos padrões para a Internet. O RFC guia o desenvolvimento da Web. As discussões são normalmente de nível técnico. Proxy - Programa que reside no firewall e que têm acesso a dois lados da interface: Intranet e Internet. Os servidores que utilizam o dispositivo firewall/proxy possuem todas as ações dos usuários registradas em Log, isto é, uma trilha interna de auditoria referente às transações realizadas interna e externamente.

Redes – Instalação de Serviços no Linux ROOT

196

Conta utilizada para gerenciar os sistemas operacionais Unix. O root cria as

contas dos demais usuários e tem plenos poderes sobre todo o sistema. Roteador

Dispositivo responsável pelo encaminhamento de pacotes de comunicação

em uma rede ou entre redes. Uma instituição, ao se conectar à Internet, deverá adquirir um roteador para conectar sua Rede Local (LAN) ao Ponto-de-Presença mais próximo. Roteadores vivem se falando aos pares, como modens Send

Enviar.

Servidor

Numa rede, é um computador que administra e fornece programas e

informações para os outros computadores conectados. No modelo cliente-servidor, é o programa responsável pelo atendimento a determinado serviço solicitado por um cliente. Serviços como archie, Gopher, WAIS e WWW são providos por servidores; Referindo-se a equipamento, o Servidor é um sistema que prove recursos tais como armazenamento de dados, impressão e acesso dial-up para usuários de uma rede de computadores. SMTP

(Simple Mail Transfer Protocol) - Protocolo TCP/IP usado para troca de

mensagens de correio eletrônico. SNMP

(Simple Network Management Protocol) - Protocolo usado para monitorar e

controlar serviços e dispositivos de uma rede TCP/IP. Sockets

Conectores utilizados entre as aplicações e rede; combinação do endereço IP

com o número de porta. Software

Programa de computador. Instruções que o computador é capaz de entender

e executar. As duas categorias principais são os sistemas operacionais (softwares básicos), que controlam o funcionamento do computador, e os softwares aplicativos, como os processadores de texto, planilhas e bancos de dados que executam as tarefas solicitadas pelo usuário. Duas outras categorias, que não se encaixam entre os softwares básicos nem entre os softwares aplicativos, embora contenham elementos de ambos, são os softwares de rede, que permitem a comunicação dos computadores entre si, e as linguagens, que fornecem aos programadores as ferramentas de que necessitam para escrever os programas. SSL

Secure Socket Layer. É um padrão de comunicação, utilizado para permitir a

transferência segura de informações através da Internet. O protocolo SSL provê segurança de conexão com duas propriedades básicas:

Redes – Instalação de Serviços no Linux -

197

A identidade do cliente e do servidor pode ser autenticada usando algoritmo de criptografia com chave assimétrica ou pública, tal como RSA ou DSS.

SWAP

Partição especial do disco rígido que os sistemas operacionais Unix utilizam

em conjunto com a memória física para formar a memória virtual. Assim, os programas conseguem ter acesso a uma quantidade de memória maior. TCP/IP

Transmission Control Protocol/Internet Protocol. Família de protocolos que

torna possível a comunicação de computadores de redes diferentes. É um padrão de fato para inter-redes abertas e a linguagem universal da Internet. Como o TCP/IP foi desenvolvido a partir de fundos públicos, ele não pertence a uma empresa específica e pode ser utilizado por qualquer computador para o compartilhamento de informações com outro computador. Projetado para o sistema operacional Unix, tornou-se padrão para transmissão de dados por redes Telnet

Ferramenta utilizada para estabelecer comunicação com outras máquinas em

outros lugares. Quando é estabelecida a conexão via Telnet, você está no computador remoto, ou seja, é como se você estivesse usando o computador no lugar onde ele está instalado. Permite uma conexão pura e simples entre duas máquinas, permitindo somente a visualização de textos. Time-out

Sinal que um dispositivo emite quando chegou o tempo limite no qual estava

à espera de receber uma informação. URL

Uniform Resource Locator. Código para localização universal, que permite

identificar e acessar um serviço na rede WEB. Por exemplo, a URL abaixo aponta para o WWW da Telefônica : http://www.telefonica.com.br, http://www.acores.com/dic/ WAIS

(Wide Area Information Server) - Sistemas de recuperação de informações

usados para rastrear palavras ou expressões indexadas dentro dos arquivos e não apenas pelo seu nome. Enquanto Archie, Gopher e Veronica pesquisam menus, diretórios e arquivos, o WAIS procura informações dentro de documentos individuais.

Redes – Instalação de Serviços no Linux WAN

198

(Wide Area Network) - Qualquer rede que cubra uma área maior que um

único prédio. WAN é uma rede privada de computadores que utiliza linhas dedicadas para conectar computadores que não se encontram perto fisicamente. WWW

(World Wide Web) - Literalmente, teia de alcance mundial. Serviço que

oferece acesso, através de hiperlinks, a um espaço multimídia da Internet. Responsável pela popularização da Rede, que agora pode ser acessada através de interfaces gráficas de uso intuitivo, possibilitando uma navegação mais fácil pela Internet. A base da WWW é a hipermídia, isto é, uma maneira de conectar textos, sons, vídeos e imagens gráficas. Foi desenvolvida por Timothy Berners-Lee, em 1990, no CERN (European Laboratory for Particle Pshysics).

Redes – Instalação de Serviços no Linux

199

Anexo 1 - Conceitos Básicos da Rede Uma rede de computadores é um conjunto de meios físicos e lógicos por meio dos quais é possível trocar dados e compartilhar recursos. Os recursos mais conhecidos e compartilhados por redes de computadores, são: •

Dados de arquivos ou bancos de dados;

•

Hardware, tais como impressoras, aparelhos de fax e placas de comunicação;

•

Correio Eletrônico; e

•

Emulação de terminais; É comum classificar as redes de computadores pela distancia geográfica. São elas:

•

LAN (Local Area Network): São redes privadas, de tamanho restrito onde as distâncias envolvidas são relativamente curtas, as velocidades altas (em geral igual ou maior do que 10Mbps) e a confiabilidade boa. Exemplos de tecnologias de LAN: Ethernet, TokenRing.

•

MAN (Metropolitan Area Network): É uma versão ampliada da LAN. São redes de alta velocidade cujo alcance restringe-se em geral ao perímetro urbano. Capaz de transportar dados e voz. Geralmente tais redes são gerenciadas por empresas prestadoras de serviço telefônico, tais como Embratel, Intelig, AT&T e Telebrasília.

•

WAN (Wide Area Network): Redes onde existe a interconexão de duas ou mais redes, de computadores afastados até muitos quilômetros de distância. O exemplo mais típico de WAN é a Internet. Geralmente, as velocidades são mais baixas, normalmente entre 1200 bps e 2Mbps. Como exemplos de WAN no Brasil, podemos citar a RENPAC ou a rede Fastnet da Embratel. Recentemente, está sendo observado o surgimento de duas novas classificações de

redes de computadores: •

PAN (Personal Área Network): São redes cujo alcance geográfico está restrito a alguns poucos metros de distância e geralmente baseia-se em tecnologias de rede sem fio, tais como bluetooth.

Redes – Instalação de Serviços no Linux •

200

SAN (Storage Array Network): São redes de altíssima velocidade com a finalidade de permitir que o armazenamento das informações esteja distribuído entre os componentes da rede e não em um ponto centralizado.

Redes – Instalação de Serviços no Linux

201

Anexo 2 – Infra-Estrutura Lógica Na Infra-Estrutura Lógica são abordados os conceitos do Modelo de Referência OSI e a Arquitetura TCP/IP, Portas Lógicas, Socktes, o Funcionamento do TCP/IP, a Definição dos Serviços (HTTP, FTP, Telnet, DNS, DHCP, SSH/SSL, Proxy , NAT, NIS/NFS, Correio Eletrônico e Firewall) e os Serviços de Segurança nos Diversos Níveis.

Modelos de Redes (TCP/IP e OSI) São apresentados neste projeto características das duas arquiteturas para melhor

explicar o funcionamento da rede. As comissões da ISO elaboraram a Arquitetura OSI. Ela é resultado de um projeto planejado e executado segundo etapas predeterminadas. A Arquitetura TCP/IP foi elaborada no ambiente da Internet. Ela apresenta excelentes soluções como, por exemplo, os sofisticados mecanismos do protocolo de transporte TCP, a concepção de roteadores e protocolos de roteamento e o funcionamento conjunto dos protocolos TCP e IP. A Arquitetura OSI possui sete camadas funcionais e a Arquitetura TCP/IP somente quatro camadas. Como a Arquitetura TCP/IP possui um menor número de camadas do que a Arquitetura OSI faz com que ela sobrecarregue algumas camadas com funções que não lhes são específicas. A Arquitetura OSI apresenta, de modo explícito, o conjunto de serviços exigidos e oferecidos no relacionamento entre camadas, como também aborda os conceitos de “ponto de acesso de serviço” (SAP — Service Access Point). O formalismo da estrutura da mensagem trocada entre dois sistemas abertos, que se comunicam em termos de “unidades de dados de protocolo” (PDU — Protocol Data Units) e de “unidades de dados de serviço” (SDU — Service Data Units), contribui para uma boa compreensão da atuação de dois protocolos de comunicação de camadas adjacentes. A Arquitetura TCP/IP cresceu de acordo com a demanda do mercado, sempre responsável pela imediata implementação dos protocolos elaborados pela IAB (Internet Activities Board). Assim, na medida da exigência dos usuários, foram elaborados novos

Redes – Instalação de Serviços no Linux

202

protocolos: o protocolo de correio eletrônico SMTP (Simple Mail Transfer Protocol) e o protocolo de gerenciamento de rede SNMP (Simple Network Management Protocol), que são aplicações simples (possuem no próprio nome a palavra “simples”), eficientes e de fácil implementação em nível de produtos. A atividade de padronização da IAB possui a habilidade de detectar soluções bem aceitas no mercado, desenvolvidas em outros ambientes, e incluí-las na Arquitetura TCP/IP. Um dos grandes problemas da Arquitetura TCP/IP é o “espaço de endereçamento” limitado em relação ao crescimento da sua principal usuária, a Internet. Um dos princípios básicos do funcionamento da Internet é permitir a qualquer de seus usuários comunicar-se, endereçar e poder ser endereçado por qualquer outro usuário do sistema, o que significa disponibilidade de bits nos campos de endereço do protocolo IP, encarregado dessa tarefa. A quantidade de bits existente é insuficiente para atender à demanda. Isso deve ser resolvido com a nova versão de IP, denominada IPv6. Outro problema, também decorrente do crescimento da Internet, é a quantidade de informações necessárias para que um roteador execute sua tarefa de encaminhamento dos datagramas, entre fonte e destino, pela melhor rota disponível. Quanto à Arquitetura OSI, sofre as críticas de apresentar “modelos e soluções acadêmicas” e objetivar atendimento a requisitos de propósito geral em detrimento de soluções imediatas, compatíveis com as exigências atuais dos usuários. E, também, criticada por não apresentar caminhos de migração entre as arquiteturas atualmente em funcionamento e suas soluções. Portanto, conclui-se que há uma questão de oportunidade entre as arquiteturas OSI e TCP/IP; quando a arquitetura OSI foi consolidada, ou seja, quando a especificação do conjunto de protocolos e serviços que a compõem foi concluída, os protocolos e as implementações da Arquitetura TCP/IP já se encontravam em funcionamento, permitindo conectividade e interoperabilidade mediante a disponibilidade de produtos.

Redes – Instalação de Serviços no Linux

Camadas de Protocolos

2.1

Conceito de Protocolo

203

Um protocolo de comunicação é um conjunto de regras e convenções precisamente definidas que permitem a comunicação por meio de uma rede. Esse conjunto de regras estabelece como um computador conecta-se ao outro, como se identifica, quando pode enviar ou receber informações e quanto tempo pode esperar para que cada evento ocorra, bem como a forma de se desfazer a conexão. Os dados trocados por determinado protocolo são denominados PDU´s (Protocol Data Units). Por exemplo: Os PDU´s do protocolo IP são chamados de datagramas. Um protocolo deve também possuir regras para as situações anormais, especificando como normalizar tais situações e estabelecer comportamentos para as situações normais de funcionamento de uma rede. Dois ou mais computadores que desejarem trocar informações entre si, deverão seguir os mesmos protocolos. Tais protocolos devem ser compatíveis nos meios digitais de forma que as transferências de informações sejam corretas. No trabalho é sendo conceituado o Modelo de Referência OSI e a Arquitetura TCP/IP, porém será dado ênfase à Arquitetura TCP/IP para a implementação do projeto.

2.2

Modelo de Referência OSI O modelo OSI (Open Systems Interconnection) organiza os protocolos de uma rede

em sete camadas (Figura 85). APLICAÇÃO

APLICAÇÃO

APRESENTAÇÃO

SESSÃO

REDE

ENLACE

FÍSICA

REDE

Figura 85 - Pilha de Protocolos OSI

Redes – Instalação de Serviços no Linux Tal

modelo

foi

desenvolvido

204 pela

ISO

(International

Organization

for

Standardization) em 1983 e é composto pelas seguintes camadas: Física, Enlace, Rede, Transporte, Sessão, Apresentação e Aplicação. A seguir, é feito a descrição sobre cada uma dessas camadas. a)

Física

Primeira camada do modelo, seu objetivo é a definição elétrica e mecânica das interfaces de rede. Na camada física são estabelecidas as formas de representação em volts dos 0´s e 1´s, o tempo de duração dos bits e as possíveis direções de transmissão e outros aspectos referentes à interface de rede. b)

Enlace

Segunda camada do modelo, responsável pela fragmentação dos dados recebidos pela camada superior em quadros e pelo envio dos mesmos. O mecanismo inclui o controle de fluxo entre o remetente e o destinatário e o controle sobre os mecanismos de acesso ao meio. Os PDU´s referentes a esta camada recebem o nome de quadros. c)

Rede

A camada de rede tem como principal função o roteamento dos dados por meio da rede. Os PDU´s referentes à camada de rede recebem o nome de datagramas. d)

Transporte

A camada de transporte provê serviços orientados e não orientados à conexão. São exemplos de funções de tal camada: detecção e correção de erros, controle de fluxo do transporte, tratamento do sequenciamento dos dados, multiplexação e priorização de PDU´s. Os PDU´s referentes a tal camada recebem o nome de pacotes. e)

Sessão

A camada de sessão foi projetada para permitir a comunicação entre aplicações e organizar e estruturar os dados trocados. f)

Apresentação

A camada de apresentação é capaz de transformar o formato dos dados trocados entre aplicações. Por exemplo, a representação de números pode ocorrer de diferentes maneiras (bit mais significativo antes ou depois) dando a camada a capacidade de efetuar conversões necessárias para garantir interoperabilidade entre aplicações que necessitem de tal função.

Redes – Instalação de Serviços no Linux g)

205

Aplicação

A camada de aplicação contém os protocolos usados diretamente por aplicações, tais como: emulação de terminais, transferência de arquivos e correio eletrônico, dentre outros. Quando uma determinada aplicação gera um determinado PDU da camada de Aplicação, tal PDU conterá dados de tal camada mais o cabeçalho da mesma. Todo esse PDU será transmitido como a parte de dados da camada imediatamente inferior. Dessa forma, o cabeçalho de tal camada será incluído e tal PDU será transmitido para a camada inferior. A esse processo damos o nome de encapsulamento. Assim que os dados vindos das camadas superiores forem encapsulados na camada física, estes estarão prontos para serem transmitidos para o destinatário, que fará o processo inverso até atingir a camada de aplicação. A Figura 86 ilustra o mecanismo de encapsulamento referente às sete camadas do modelo OSI. DADOS

DADOS

APLICAÇÃO APRESENTAÇÃ O SESSÃO TRANSPORTE REDE ENLACE FÍSICA

OVERHEAD Figura 86 – Processo de encapsulamento de dados da camada de aplicação ao ser enviado para camadas inferiores.

Redes – Instalação de Serviços no Linux

2.3

206

Arquitetura TCP/IP A arquitetura Transmission Control Protocol / Internet Protocol (TCP/IP) esta

ilustrada juntamente a comparação dela com a arquitetura OSI, (Figura 87 e Figura 89). Arquitetura TCP/IP APLICAÇÃO X X TRANSPORTE INTERNET INTERFACE COM A REDE

Modelo de Referência OSI APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE ENLACE FÍSICA

Figura 87 – Comparação da Arquitetura TCP/IP e OSI A Figura 88 detalha a Arquitetura TCP/IP, mostrando alguns dos principais protocolos para cada camada. 7 – Aplicação

4 – Aplicação

6 – Apresentação

5 – Sessão

4 – Transporte

3 – Transporte

3 – Rede

2 – Internet

2 – Enlace (End. Físico) 1 – Interface 1 – Física

de rede

HTTP

FTP

TCP IP

UDP ICMP

FAST ETHERNET TOKENRing TOKEN BUS LAN

SNMP

Telnet

ARP/RARP

FRANE RELAY ATM FDDI WAN

Figura 88 – Arquitetura TCP/IP com principais protocolos por camada

DNS

Redes – Instalação de Serviços no Linux

207

APLICAÇÕES

CAMADA DE APLICAÇÃO (SMTP, HTTP, FTP, TELNET)

CAMADA DE INTERNET (IP, ICMP, ARP, RARP)

CAMADA DE INTERFACE COM A REDE (LLC [IEEE 802.2] MAC [IEEE 802.3] DRIVER DA PLACA DE REDE PLACA DE REDE)

CABO DA REDE Figura 89 – Esta figura faz analogia à figura de Arquitetura TCP/IP com os principais protocolos por camada.

2.4

Camada de Aplicação: A camada de aplicação é caracterizada por protocolos que solicitam à camada de

transporte serviços orientados ou não orientados à conexão. Uma breve explicação sobre alguns dos principais protocolos dessa camada: a)

HTTP - Hyper Text Transfer Protocol

É considerado como um dos motivos para a grande popularização da Internet. Tal protocolo permite a transferência de arquivos entre computadores em uma rede baseada em TCP/IP por meio de textos com uma formatação especial que permite a utilização de recursos gráficos avançados e navegação com uso de hyperlinks. b)

SNMP - Simple Network Management Protocol

É um protocolo de gerenciamento usado vastamente em redes TCP/IP. Permite o acesso as informações gerenciais de componentes descritos como nós gerenciados. Tais informações podem ser enviadas como traps ou lidas manualmente pelas estações de gerenciamento.

Redes – Instalação de Serviços no Linux c)

208

FTP - File Transfer Protocol

Protocolo de transferência de arquivos que pode operar tanto em modo texto quanto em modo binário. O protocolo de transferência utiliza-se do protocolo de transporte TCP tornando a conexão mais confiável e com mecanismos de recuperação de erros. d)

DNS - Domain Name Server

Tem por função principal promover a resolução de nomes de hosts (p.ex. www.euroamericana.com.br) para endereços IPs que serão utilizados, de fato, para o endereçamento das informações. e)

Telnet

Protocolo de aplicação mais popular utilizado para emulação de terminais por meio de redes TCP/IP.

2.5

Camada de Transporte A camada 3 na arquitetura TCP/IP é a camada de transporte. Os PDU´s referentes a

camada recebem o nome de “Pacotes”. O popular termo “pacotes de redes” só se aplica a PDU´s da camada de transporte. Os dois principais protocolos da camada são atualmente o TCP (Transmission Control Protocol) e o UDP (User Datagrama Protocol). a)

TCP

Caracterizado por oferecer um serviço confiável entre aplicações. Para tanto, antes que os dados sejam transferidos, é aberta uma conexão entre as parte comunicantes utilizando-se de um mecanismo conhecido como handshake. Ao término da transferência, ocorrerá a liberação da conexão (reLease). Além de o protocolo ser orientado a conexões, existem alguns outros mecanismos, tal como controle de erros nos cabeçalhos (checksum) e controle do sequenciamento dos pacotes. b)

UDP

Protocolo de transporte que oferece um serviço não-confiável para aplicações pois não existe orientação à conexão e nem mecanismos de correção de dados. O protocolo UDP é tipicamente utilizado por aplicações sensíveis ao tempo, tais como conexões de voz, ou pelas outras que não necessitam de entrega confiável de dados.

Redes – Instalação de Serviços no Linux

209

Uma das principais funções da camada de transporte é a multiplexação. Assim possui a capacidade de associar o mesmo endereço de rede (camada de inter-rede) a diversos processos de usuário que são executados sobre a camada de aplicação. O conceito é utilizado por meio de portas que identificam serviços específicos. Por exemplo: a porta 23 é utilizada pelo protocolo de aplicação Telnet. A porta 53 é utilizada pelo serviço de nomes DNS. Dessa forma, um mesmo host de determinada rede pode ser um servidor DNS e um servidor Telnet com o mesmo endereço de rede, dependendo-se das portas TCP ou UDP associadas às requisições. Mais adiante será falado sobre portas lógicas e sockets, onde é aprofundado esses assuntos neste projeto.

2.6

Camada de Inter-rede A camada de Inter-rede corresponde ao segundo nível da arquitetura TCP/IP. Os

principais protocolos alocados em tal camada são o ICMP (Internet Control Message Protocol), o ARP (Address Resolution Protocol), o RARP (Reverse Address Resolution Protocol) e o protocolo IP (Internet Protocol). a)

ICMP

O protocolo ICMP tem por objetivo promover mensagens de controle na comunicação entre nós num ambiente de rede TCP/IP. O protocolo permite que tais nós tomem conhecimento sobre o estado de outros nós. Tais mensagens podem informar, por exemplo, que determinada máquina não está ativa, ou que não existe rota para um nó de destino, bem como outras mensagens de controle. b)

O Protocolo IP é responsável pela comunicação entre máquinas em uma estrutura de rede TCP/IP. Tal comunicação é feita por um serviço sem conexão e não-confiável. Assim, qualquer tipo de serviço que deva ser orientado a conexão ou confiável deve ser fornecido pelos protocolos de níveis superiores. As funções mais importantes realizadas pelo protocolo IP é o endereçamento, que é independente do endereçamento físico das camadas inferiores e da própria topologia da rede utilizada, e o roteamento entre redes IP distintas.

Redes – Instalação de Serviços no Linux c)

210

Serviços de Nomes (ARP e RARP)

Uma das questões mais importantes deste projeto na estrutura de rede é a definição do funcionamento dos sistemas de nomes a serem utilizados. Não importando qual seja o tamanho de uma estrutura de rede, a questão do tratamento e tradução de nomes é crítica, podendo tornar a administração de tal rede mais fácil, mas podendo também degradar totalmente a sua performance, se tal esquema for mal projetado. A identificação das máquinas pelos seus endereços de rede não é popular entre os usuários, que preferem identifica-las por nomes fáceis de memorizar. De fato, existem vários tipos de nomes envolvidos na comunicação entre elementos da rede. São citados como exemplos desde os endereços físicos dos elementos ativos da rede (MAC, NSAP), passando pelos endereços de rede (IP, IPX, etc) até os nomes lógicos dos elementos de rede, tais como nomes de hosts (www.euroamericana.com.br) e endereços NETBIOS (\\PRINT_SERVER). À medida que os endereços se referenciam a um nível mais alto no modelo OSI vai se tornando mais fácil para os usuários compreendê-los. Para que tais nomes de fácil compreensão possam ser traduzidos nos endereços físicos dos dispositivos de rede, existem mecanismos conhecidos como serviços de nomes. c.1) ARP (Address Resolution Protocol) Existem vários tipos de resolução de nomes a serem consideradas. Inicialmente, a resolução de endereços IP para endereços MAC envolve o mecanismo conhecido como Address Resolution Protocol (ARP), definido pela RFC 826. Tal mecanismo envia mensagens para o endereço de broadcast caso o endereço MAC associado a determinado IP não for conhecido. Cada máquina que recebe essa requisição verifica se o endereço solicitado está em uma de suas placas. Caso positivo, tal endereço de Hardware é retornado como resultado da consulta. É observado que a máquina que originou a solicitação de ARP deve enviar o seu próprio endereço para retorno, de forma que a máquina de destino saiba para onde enviar os resultados da consulta. De forma a evitar que as consultas sejam muito freqüentes, normalmente os dispositivos de rede armazenam as respostas mais recentes obtidas em uma tabela em memória. Dessa forma, antes de enviar uma mensagem de broadcast, essa tabela de cache do ARP é consultada. A tabela do ARP é como na Figura 90 .

Redes – Instalação de Serviços no Linux

211

E:\arp –a Interface: 172.16.3.42 on Interface 0 x 2 Internet Address

Physical Address

Type

172.16.1.5

00-40-33-e 1-57-fd

Dynamic

172.16.3.1

00-00-f8-05-ce-b3

Dynamic

172.16.3.2

00-06-2b-33-14-35

Dynamic

172.16.3.3

00-02-55-6a-7f-e6

Dynamic

172.16.3.10

00-40-c7-81-af-da

dynamic

172.16.3.20

00-20-48-2e-47-fc

dynamic

172.16.3.26

00-20-48-2e-47-b9

dynamic

172.16.3.50

00-20-48-2e-3 -ad

dynamic

172.16.3.100

00-00-77-95-91-32

Dynamic

172.16.6.2

00-c0-26-e0-40-ec

Dynamic

Figura 90 – Tabela do ARP c.2) RARP(Reverse Address Resolution Protocol) O RARP atua de forma oposta ao ARP. Ou seja, tal protocolo é usado na resolução de endereços MAC em endereços IP. Tal serviço é útil, em particular, para a implementação do serviço conhecido como DHCP (Dynamic Host Configuration Protocol). Tal serviço tem a finalidade de associar ou de fornecer dinamicamente endereços IP disponíveis em uma faixa configurável para as máquinas que assim solicitarem. Tal solicitação é feita com o envio de uma requisição RARP, que encaminha o endereço físico do adaptador para o endereço de broadcast, solicitando o endereço IP para o mesmo. c.3) Arquivos de Tradução (ARP e RARP) Redes baseadas em TCP/IP de pequeno porte podem utilizar um pequeno espaço para serviços de nomes. Uma das formas de implementar tais serviços é a utilização de arquivos de tradução que armazena localmente em cada uma das máquinas o nome das mesmas e seu endereço de rede. No caso de sistemas UNIX, o principal arquivo de tradução é o /etc/hosts, organizado em linhas, conforme o exemplo abaixo: 102.54.94.97 rhino.acme.com # source Server 38.25.63.10 x.acme.com # x client host

Redes – Instalação de Serviços no Linux

212

127.0.0.1 localhost

2.7

Camada de Interface de Rede

2.7.1 Endereços IP Um endereço IP é um identificador único para certa interface de rede de uma máquina. Este endereço é formado por 32 bits (4 bytes) e possui uma porção de identificação da rede IP e outra para a identificação da máquina dentro dessa rede. Os octetos são separados por “.” . Para maior facilidade, é comum que os endereços IP sejam representados por algarismos decimais. Desta forma o endereço IP: 11001000.11111010.00100100.00010011 é representado por 200.252.36.19/24. Os endereços IP são organizados por meio de classes. Um endereçamento de classe A consiste em endereços que tem uma porção de identificação de rede de 1 byte e uma porção de identificação de hosts de 3 bytes. Um endereçamento de classe B utiliza 2 bytes para rede e 2 bytes para estações. Enquanto um endereço de classe C utiliza 3 bytes para rede e 1 byte para estações. Para permitir a distinção de uma classe de endereço para outra, utilizou-se os primeiros bits do primeiro byte para estabelecer a distinção (Figura 91). As classes originalmente utilizadas na Internet são A, B, C, D, E., conforme mostrado abaixo. A classe D é uma classe especial para identificar endereços de grupo (multicast) e a classe E é reservada.

Redes – Instalação de Serviços no Linux 0

213

Octeto 1

Octeto 2

Classe A

Classe B

Classe C

Classe D

Classe E

Octeto 3

netid

Octeto 4

hostid netid

hostid Endreço Multicast

Reservado para uso futuro

Figura 91 – Classificação das faixas de endereço IP.

Observa-se que: •

A Classe A possui endereços suficientes para endereçar 128 redes diferentes com até 16.777.216 hosts (estações) cada uma.

•

A Classe B possui endereços suficientes para endereçar 16.284 redes diferentes com até 65.536 hosts cada uma.

•

A Classe C possui endereços suficientes para endereçar 2.097.152 redes diferentes com até 256 hosts cada uma.

Esta divisão do endereçamento IP em classes é convencional. Na prática, não existem somente quatro possíveis configurações para a divisão dos 4 bytes do endereçamento IP em netid e hostid, ao se atribuir a um determinado host um endereço IP, deverá também ser atribuído a esse uma máscara de rede que determinará a porção do endereço que discriminará a rede IP e a parte que discriminará os hosts dessa rede. As máscaras de rede possuem 32 bits, assim como os endereços IP. Dessa forma, a quantidade de algarismos binários com valor 1 determinarão a porção do endereçamento que identificará a rede IP (netid), enquanto os bits restantes, com valor 0, determinarão a porção do endereçamento que identificará os hosts da rede. Por exemplo: A Máscara 255.255.255.0 (11111111.11111111.11111111.00000000) representa uma faixa de endereçamento classe C padrão, onde apenas o último byte será utilizado para a identificação dos hosts da rede IP.

Redes – Instalação de Serviços no Linux

214

A Máscara 255.255.255.192 (11111111.11111111.11111111.11000000) representa uma faixa de endereços onde apenas os seis bits menos significativos do primeiro byte identificarão os hosts. Nesse caso, cada rede IP possuirá, no máximo, 63 endereços de host. Alguns endereços são reservados para funções especiais: Endereço de Rede: Identifica a própria rede e não uma interface de rede específica, representado por todos os bits de hostid com o valor ZERO. Ex: 192.168.1.0 Máscara 255.255.255.0 Endereço de Broadcast: Identifica todas as máquinas na rede específica, representado por todos os bits de hostid com o valor UM. Ex: 172.16.255.255 Máscara 255.255.0.0 Desta forma, para cada rede A, B ou C, o primeiro endereço e o último são reservados e não podem ser usados por interfaces de rede. Endereço de Loopback: Identifica a própria máquina. Este endereço é 127.0.0.1 Permite a comunicação interprocessos (entre aplicações) situados na mesma máquina.

2.7.2 Portas Elas permitem aos protocolos de transporte (TCP e UDP) saberem para qual processo destinar os dados recebidos. Existem 65.535 (64 K) portas para cada protocolo de transporte. O sistema operacional local define como é feito o uso das portas pelo processos sockets. Portas têm acesso síncrono (os dados são armazenados até serem retirados pelo processo; tentativa de retirada de dados com porta “vazia”, bloqueia o processo). Uma autoridade central determina, para todas as aplicações, que porta usar. Como há uma infinidade de aplicações, a autoridade central especifica estaticamente um conjunto de portas usadas para serviços principais - são as portas bem conhecidas (ponto de acesso aos serviços bem conhecidos), para as demais aplicações atribui- se portas dinamicamente; Entre os serviços bem conhecidos, existe um para informar em que portas estão os serviços não bem conhecidos. As portas de número 0 (zero) a 1023 são bem conhecidas (as portas de número 256 a 1023 são usadas em serviços específicos do sistema operacional UNIX.

Redes – Instalação de Serviços no Linux

215

2.7.3 Socktes As aplicações interagem com a camada de transporte para enviar e receber dados (Figura 92), podendo usar o serviço orientado à conexão TCP (serviço de circuito virtual) ou o serviço não orientado à conexão UDP (User Datagrama Protocol);

Figura 92 – Esquema conceitual de socket Para que uma aplicação seja endereçada em uma rede, a Arquitetura Internet implementa o conceito de portas (Tabela 1), definidas pelas aplicações, e gerenciadas pelo TCP e UDP; As primitivas de acesso permitem a Arquitetura Internet, o desenvolvimento de aplicações distribuídas em uma rede, estabelecendo uma comunicação cliente/servidor. Para o estabelecimento de uma comunicação, cada aplicação (cliente ou servidor) executa a primitiva socket (cria no sistema local um ponto terminal de comunicação) e uma primitiva bind (registra o endereço da aplicação no sistema local - porta).

Redes – Instalação de Serviços no Linux Serviços

216 Portas

DNS

HTTP

FTP

20 (Transmissão de Dados)

FTP

21 (Transmissão de Informações de Controle)

TELNET

SNMP

161

Tabela 1- Número das Portas Lógicas

2.8

Estabelecimento da Comunicação a)

TCP

Aplicação servidora executa a primitiva listen - pronta para receber as conexões, definindo o número máximo de conexões simultâneas. Aplicação cliente executa a primitiva connect - solicita o estabelecimento de conexão com a aplicação servidora. Aplicação servidora executa a primitiva accept - recebe e estabelece a conexão. Estabelecida a conexão são executadas as primitivas send e receive. Não é necessário que a aplicação passe o endereço IP, pois foi estabelecido um caminho lógico entre as aplicações. b)

UDP

Executada as primitivas socket e bind, são executadas as primitivas sendto e recvfrom para a passagem de mensagens. Estas primitivas diferenciam das outras, pois requerem a especificação do endereço da aplicação parceira em cada transferência de dados. A porta é um número de 16 bits que identifica processos (também chamados serviços de rede). O número da porta origem e o número da porta de destino estão incluídos no cabeçalho de cada segmento TCP ou pacote UDP. Os números das portas estão todos em /etc/services, que é uma base de dados para o serviço inetd. Os números de portas de 0 a 1023 são chamados de portas conhecidas (ou

Redes – Instalação de Serviços no Linux

217

weelknow ports) e são reservadas para as aplicações mais comuns, como Telnet e FTP. De 1024 em diante, tem-se as portas genéricas. Quando um datagrama chega ao seu destino, baseado no endereço de destino, o IP checa o protocolo. Os dados enviados ao protocolo de transporte contém o número da porta de destino, e é com este número que o protocolo de transporte pode direcionar os dados para a aplicação que deles necessite. Um soquete (ou soquet) é uma combinação de um endereço IP com um número de porta (Figura 93), que identifica o processo como único na rede. Para que haja distinção entre requisições duplicadas tendo como destino o mesmo host, a informação referente ao socket fonte é incluída na requisição. Assim, cada requisição fica sendo única da rede. A estrutura da requisição é: (protocolo, endreço-origem, porta-origem, endereço-destino, porta-destino) ou seja, por exemplo (tcp, 128.66.12.2, 3044, 192.178.16.2, 23) e (tcp, 128.66.12.2, 30504, 192.178.16.2, 23). Apesar de virem do mesmo host e irem para o mesmo host, as portas de origem e destino são diferentes (3044 e 3050).

Figura 93 – Endereços e Portas

Redes – Instalação de Serviços no Linux

2.9

218

Implementação dos Serviços de Segurança nos Diversos Níveis Segundo a proposta da ISO/TC 97/SC 21/WG 1, a implementação dos diversos

mecanismos de segurança nos níveis do modelo OSI deve ser feita de modo a: •

Minimizar o número de modos alternativos de prover o serviço, isto é, o mecanismo deve ser colocado no nível mais apropriado e não deve ser duplicado em outros níveis;

•

Permitir a inc1usão de serviços de segurança em mais de um nível;

•

Não duplicar desnecessariamente as funções OSI já existentes;

•

Manter a independência dos níveis entre si;

•

Não inibir a implementação das funções de segurança definidas em módulo autocontidos. Em vista disto, pode-se alocar os serviços de segurança pelos diversos níveis,

conforme escrito a seguir:

2.9.1 Nível Físico O único serviço de segurança passível de oferecimento no nível físico consiste em prover confidencialidade num dado recurso de comunicação, no caso de transmissão síncrona, ponto a ponto, mediante criptografia de todo o fluxo de dados. Esta criptografia física envolve o uso de um par de equipamentos de criptografia em cada ponto da linha. A linha fica, então, protegida contra ataques passivos de todas as espécies. Contudo, antes de os dados entrarem numa rede pública de comutação de pacotes, devem ser decodificados.

2.9.2 Nível de Enlace Uma vez que os mecanismos do nível de enlace operam apenas em base ponto a ponto, em cada segmento da rede, não é possível se ter a implementação de qualquer mecanismo de segurança neste nível. Não se costuma criptografar o conteúdo dos frames ou quadros de nível 2 embora qualquer um pode eliminar algum frame no canal, mediante uma interferência eletrônica, e gerar um frame alterado, com o número de seqüência

Redes – Instalação de Serviços no Linux

219

apropriado e o FCS corretamente calculado, inserindo-o no canal. Destaca-se que, em redes locais, usando o serviço tipo 1 do LLC - Logical Link Control, nem mesmo o Controle de seqüência utilizado no nível de enlace, pois MAC - Medium Access Control - também não efetua este tipo de Controle.

2.9.3 Nível de Rede O nível de rede costuma ser subdividido em subnível e acesso A rede, em subnível de convergência e em subnível inter-rede. Os serviços providos no subnível de acesso a sub-rede são: confidencialidade para um único dado, para uma completa seqüência de dados, integridade de uma seqüência completa de dados em recuperação de erros, integridade de um dado numa conexão, integridade de um dado num contexto não conectado, controle de acesso no estabelecimento da conexão e em transferência não conectadas, autenticação de uma entidade par e autenticação de origem dos dados serviços de segurança providos no subnível inter-rede são os mesmos do subnível de sub-rede Nenhum serviço de segurança é provido no subnível de convergência. Os mecanismos usados para prover os respectivos serviços de segurança são: •

Confidencialidade de um único ou de uma seqüência de dados, mediante criptografia e/ou controle de direcionamento;

•

Integridade de uma sequência de dados sem recuperação de erros é provida mediante de mecanismos de detecção e verificação de seqüência ponta a ponta na conexão com o nó da rede;

•

Integridade de um dado numa conexão ou num contexto não conectado requer detecção e criptografia;

•

Controle de acesso no estabelecimento de uma conexão e para transferências conectadas requerem mecanismos de Controle de acesso e funcionalidade confiáveis;

•

Autenticação de uma entidade par é provida por intercâmbio de autenticação mais gerenciamento de chave ou por um serviço de assinatura com intercâmbio de autenticação;

•

Autenticação de origem de dados é provida por criptografia mais gerenciamento de chave ou por serviço de assinatura;

Redes – Instalação de Serviços no Linux

220

•

Controle de fluxo pode ser conseguido por geração de fluxo artificial;

•

Controle de acesso pode ser obtido por meio do uso de passwords, verificando a capacidade do receptor ou teste de credenciais. O controle de acesso pode ser efetivado pelo sistema receptor, para que este possa rejeitar chamadas indesejadas, mas também pode ser efetivado na sub-rede. Nesta última situação, o objetivo é usualmente permitir controle de uti1ização dos recursos da sub-rede para fins de tarifação; um usuário para ter seu acesso barrado à sub-rede porque não esta cadastrado ou porque não pagou sua conta. Praticamente todos os serviços de segurança podem ser providos no nível de rede.

Tanto o pacote de abertura de circuito virtual (Request Call) tanto quanto o de datagrama contém campos de facilidades (Figura 94). Nestes campos, pode-se indicar se a entidade emissora do pacote requer o acionamento de uma facilidade de grupo fechado, em que somente os Equipamentos de Transmissão de Dados integrantes de um dado grupo podem se intercomunicar. Isto inclui a comunicação com todos os demais ETDs, prove um controle de acesso efetuado pela sub-rede. A sub-rede verifica a identidade dos ETDs que pretende comunicação com ela a partir do campo que contém a identificação do ETD originador. Contudo, caso o dado chegue, uma rede telefônica comutada, qualquer ETD poderia indicar uma identificação não verdadeira.

Figura 94 - Pacote de nível de rede

Redes – Instalação de Serviços no Linux

221

Com um esquema de rechamada, haveria a possibilidade de verificar o número telefônico do qual a chamada foi oriunda, antes do prosseguimento do diálogo. Esta estratégia de rechamada tem sido usada em algumas redes no exterior. Senhas para acesso sub-rede ou ao ETD chamado podem ser incluídas no campo de dados do usuário. Contudo, se tais senhas não forem transmitidas de forma criptografada diminui-se seu potencial de segurança. Quando o acesso a uma rede pública de comutação de pacotes originado de um ETD assíncrono, modo caractere, a senha, quando enviada, fixa e não criptografada.

2.9.4 Nível de Transporte Os serviços de segurança providos no níve1 de transporte são: confidencialidade de um dado ou de uma seqüência de dados, integridade de uma seqüência de dados com recuperação de erro, integridade de um dado num contexto não conectado, controle de acesso no estabelecimento de urna conexão e para transferencia não conectada, autenticação de uma entidade par e da origem dos dados. Os campos das UDPTs (Unidades de Dados do Protocolo de Transporte) para abertura de uma conexão de transporte para o envio de dados, definidas no protocolo de transporte da ISO. O campo de Parâmetros de Segurança, na UDPT de pedido de estabelecimento de conexão de transporte, pode ser definido pelo usuário livremente, permitindo implementar vários mecanismos de controle de acesso e verificação de entidade par, além daquelas efetuadas pelo nível 3. Um campo de CHECKSUM, que pode ser usado opcionalmente na classe 4, prove segurança no que tange integridade, permitindo detectar alterações na UDPT de dados, fim a fim. O campo de NÚMERO da UDPT (não usado na classe zero) permite controlar a possível perda ou duplicação de alguma UDPT de dados.

2.9.5 Nível de Sessão Os serviços de segurança providos no nível de sessão são controle de acesso no estabelecimento da conexão e autenticação da entidade par.

Redes – Instalação de Serviços no Linux

222

Até 24 octetos podem ser usados para indicar a referência do usuário do serviço de sessão na UDPS (Unidade de Dados do Protocolo de Sessão). No serviço TELETEX, definido pelo CCITT, este campo deverá conter a identificação do terminal chamado. O campo de REFERÊNCIA comum também é definido pelo usuário o do serviço de sessão e, no serviço Teletex, deverá constar a data e hora, constituindo-se num campo obrigatório. A ressincronizado de relógios entre as entidades cooperantes pode, então, ser efetivada. Um campo com informação adicional de referência com até 2 octetos definido pelo usuário também consta no UDPS de pedido de conexão. O serviço Teletex do CCITT conterá um número de referência adicional para a sessão. O campo de dados do usuário permite passar transparentemente pela entidade de sessão uma quantidade limitada de caracteres.

2.9.6 Nível de Apresentação Os serviços de segurança providos no nível de apresentação são: confidencialidade de um dado e de uma seqüência de dados, confidencialidade de campos selecionados, integridade de uma seqüência inteira de dados sem recuperação de erros, integridade de um dado numa conexão ou num contexto não conectado e não rejeição de uma mensagem. A garantia contra a rejeição de uma mensagem provida por um serviço de assinatura e gerenciamento de chave. O nível de apresentação existe para assegurar que o conteúdo de informação das UDPAs (Unidades de Dados do Protocolo de Apresentação) seja preservado durante seu trânsito entre entidades de aplicação. Transformações de forma podem ser efetuadas pelo nível de apresentação, tais como compactação e criptografia. No estabelecimento de uma conexão de apresentação, selecionado ou negociado um contexto. O protocolo de apresentação proporciona facilidades para seleção e/ou definição deste contexto.

2.9.7 Nível de Aplicação Os serviços de segurança requeridos no nível de aplicação são, em geral, específicos a cada aplicação.

Redes – Instalação de Serviços no Linux

223

Existem algumas aplicações em planejamento, nas quais as preocupações com esquemas de segurança estão presentes desde o início. Um exemplo é o dos sistemas de diretórios. O serviço de diretórios é usado pelos processos cooperantes num contexto de rede, para obter dados completos que permitam endereçar algum recurso disponível da rede. Num ambiente OSI podem ocorrer muitas a1terações no que tange ao acesso a tais recursos: processos podem desaparecer ou aparecer, endereços, disponibilidades e localização dos processos de aplicação ou de outros recursos OSI podem ser alterados. Por isso, faz-se necessário um serviço de diretório capaz de prover a associados entre um nome de recurso e outras características do mesmo. O serviço de diretório é, em si, um processo de aplicação acessível num endereço bem conhecido. O serviço de diretório (Figura 95) tem, inerente ao seu funcionamento, um banco de dados contendo um conjunto de nomes e, para cada nome, um conjunto de propriedades que lhe é associado. Contudo, o acesso às informações contidas no diretório deve estar sujeito a alguma forma de controle, pois o conjunto destas informações pode ser passível de uma utilização. Um exemplo seria a busca de indivíduos com determinado perfil para fins de envio de propaganda ou outros fins não autorizados. Assim, é preciso assegurar que somente usuários autorizados possam ter acesso às informações no diretório, numa dada ordem ou forma de pesquisa. A autenticação de usuário é indispensável neste contexto.

Figura 95- Estrutura do diretório.

Redes – Instalação de Serviços no Linux

224

Anexo 3 – Infra-Estrutura Física Na Infra-Estrutura Física são abordados os conceitos das Comunicação entre Máquinas, Cabeamento da Rede e os Dispositivos da Rede.

Comunicação entre Máquinas A comunicação entre duas máquinas pode se dar de três formas: a)

Simplex

O enlace é utilizado apenas em um dos dois possíveis sentidos de transmissão. b)

Half-duplex

O enlace é utilizado nos dois possíveis sentidos de transmissão, porém a transmissão e a recepção de informações ocorrem separadamente. c)

Full-duplex

O enlace é utilizado nos dois possíveis sentidos de transmissão simultaneamente.

Cabeamento da Rede Os cabos de pares trançados são, de forma geral, classificados em dois tipos: Os

cabos de par trançado sem blindagem (UTP – UnShilded Twisted Pair) e os com blindagem (STP – Shilded Twisted Pair) (Figura 96). A blindagem que diferencia os dois tipos se refere à existência de uma camada extra de metal trançado que provê maior proteção contra indução eletromagnética.

Figura 96– Cabo Par Trançado com Blindagem – STP

Redes – Instalação de Serviços no Linux

225

Os cabos UTP podem ser subdivididos em categorias (Tabela 2). Categoria 1 2 3 4 5

Velociade Até 56 Kbps Até 1 Mbps Até 16 MHz Até 20 MHz Aé 100 MHz

Uso Sistemas de alarme e telefonia Sistema com baixa transferência de dados 10Base-T, TokenRing de 4 Mbs 10Base-T ou TokenRing e 16 Mbps 10Base-T, 100Base-T, FDDI, ATM (OC-3) e TokenRing

Tabela 2 – Categorias dos Cabos UTP

Dispositivos da Rede

3.1

HUB O HUB é um tipo bastante popular de repetidor. Tal tipo de dispositivo é bastante

utilizado em redes Ethernet 100BASE-T (Figura 97). As estruturas de redes que utilizam HUBs apresentam a topologia física de uma estrela, embora a topologia lógica continue sendo um barramento.

Figura 97– Interligação de dispositivos por Hub.

3.2

Comutadores (Switches) Os comutadores (mais comumente referenciados como switches) são considerados

uma evolução das bridges. Ou seja, assim como as pontes, os switches também tomam decisões a respeito de qual segmento receberá os dados transmitidos baseados em endereços MAC.

Redes – Instalação de Serviços no Linux

226

A vantagem dos switches é permitir a comunicação simultânea entre diferentes pares de segmentos. Além disso, normalmente os switches podem possuir portas com diferentes velocidades, utilizadas para se interligar o Backbone da empresa ou os servidores corporativos mais acessados. A Figura 98 ilustra uma típica aplicação desse tipo de equipamento em uma estrutura de rede local.

Figura 98 – Utilização de switches em um ambiente corporativo. A Figura 99 ilustra o funcionamento interno de um switch em uma situação em que ocorre a comunicação simultânea entre dois pares de segmentos.

Figura 99 – Comunicação simultânea entre pares de segmentos ligados a um switch.

Redes – Instalação de Serviços no Linux

227

Os switches se utilizam de algumas diferentes técnicas para sua operação, dentre as quais podemos destacar duas: O método Cut-trough começa a transmitir assim que o endereço de destino é lido do quadro. Já o método Store-and-Foward efetua o armazenamento do quadro inteiro e a verificação de erros antes de iniciar a transmissão.

3.3

Roteadores Os roteadores são dispositivos que operam na terceira camada do modelo OSI. Dessa forma, tais equipamentos possuem a capacidade de interligar redes com

diferentes protocolos MAC e diferentes protocolos de camada física. Dessa forma, poderíamos, por exemplo, interligar redes que adotam os padrões IEEE 802.3 e IEEE 802.5. Dessa forma, os roteadores são úteis na confecção de redes de grande abrangência, onde diferentes redes locais são interligadas por meio de diferentes tipos de canais de comunicação. Por atuarem em um nível mais alto do modelo OSI, os roteadores efetuam a segmentação não somente física, mas também lógica. Dessa forma, os segmentos isolados por roteadores poderão ser diferenciados, por exemplo, pelo endereço IP das máquinas ligadas aos mesmos. Assim, quando um datagrama for transferido para um roteador, se a máquina de destino estiver em um segmento distinto da origem, será feito o encaminhamento do mesmo para o segmento correspondente, a ser determinado por um algoritmo de roteamento. Para decidir o que fazer com um datagrama recebido, o roteador analisa o endereço de destino do mesmo. Caso tal endereço pertença a um dos segmentos conectados localmente ao roteador, é feito o encaminhamento do datagrama para tal segmento. Caso contrário, o roteador verifica em suas regras de roteamento se existe uma regra explicitando para qual interface enviar tal datagrama. Caso tal regra não exista, o roteador envia o datagrama para a rota Default (caso esteja definida). Um exemplo de tabela de roteamento seria como se segue: ip route

0.0.0.0 0.0.0.0

172.16.3.10

ip route

172.17.0.0 255.255.0.0

192.168.1.5

ip route

172.18.0.0 255.255.0.0

192.168.1.12

ip route

172.19.0.0 255.255.0.0

192.168.1.10

Redes – Instalação de Serviços no Linux

228

Ao contrário das bridges, os roteadores não são transparentes às máquinas nas redes por eles interligadas. Para que possa ocorrer o roteamento, as máquinas da rede locais têm que ser configuradas com informações de roteamento em suas tabelas locais. Existem diversas formas de se organizar as tabelas de roteamento de um roteador. Tais formas são determinadas pelos algoritmos de roteamento utilizados pelo roteador. Os métodos de roteamento podem ser estáticos, conforme ilustrados no exemplo acima, ou dinâmicos, conforme especificam alguns populares algoritmos de roteamento tais como o RIP (Routing Information Protocol), o OSPF (Open Shortest Path First) e o BGP (Border Gateway Protocol).

Redes – Instalação de Serviços no Linux

229

Anexo 4 – Informações atuais sobre a Rede da Euroamericana Laboratório, O servidor do laboratório tem o (domínio laboratório e o Host Name de srv_Laboratório – isso tudo é o DNS ), seu IP é 10.5.0.10 esta ligado ao Gateway ou roteador 10.5.0.1 , a mascará é 255.255.255.0 Os IPs são distribuídos pelo serviço de DHCP que vai de 20 até 250 Tipo: 10.5.0.20 até 10.5.0.250 Então é valido dizer que a Faculdade trabalha com a classe do tipo C. A estrutura do Cabeamento estruturado é formada da seguinte forma, é horizontal quando colocamos em andares, rede administrativa, jurídico e turismo no térreo e laboratório no 1º andar. a rede de cima e de baixo, neste caso é feita através a sala de apoio no 1º andar e o DTI. A área do DTI possui uma sala aonde se concentra os equipamentos como roteador e servidores bem como switches e Hubs. Possa ser que o Backbone não esteja totalmente ligado direto ao DTI, já que o Jurídico bem como o Turismo são alas novas implantadas após planejamento, estão ligadas diretamente ao switch residente na sala de apoio do laboratório. Podemos imaginar o que contém esse espaço físico de equipamentos, um servidor de Web ( página da Faculdade ), um Firewall Linux ( para impedir pornografia entre outros), um servidor de banco de dados ( relacionados as serviços de página aonde podemos notar o apoio ao aluno e apoio ao professor, bem como dados internos de interesse acadêmico ), roteador ligado a Embratel que dá acesso a Internet, um servidor de e-mail no qual a Faculdade oferece aos funcionários. Velocidade.. Na sala de apoio temos 1 - 3com superstack II 10/100 switch 12 portas, 2 - 3com superstack II 10/100 switch 24 portas e um Hub catalyst 1900 12 portas. Bem o 3com supertack II 10/100 com 12 portas esta ligando o DTI, Laboratório4 e Laboratório5 o MPJ

(jurídico – pode por aqui dar indução que o MPJ esteja na sub-rede

do laboratório), srv_laboratório e srv_vírus. Todos estes estão conectados a velocidade 100, além disso este mesmo 3com esta cascateado nele os outros dois 3com de 24 portas que

Redes – Instalação de Serviços no Linux

230

ligam o laboratório2 e o laboratório1, o laboratório1 ou uma parte dele esta conectado ao Hub catalyst 1900 que esta cascateado da mesma forma como os outros dois 3com. Os outros dois 3com são de velocidade 100 também, já o laboratório4 e o laboratório5 possui patch painel dentro dos laboratório, já o laboratório 2 e 1 o patch painel fica na sala de apoio, o laboratório3 tem acesso também, mas não esta conectado a rede, tem um patch painel dentro da sala e ele se for ligado estaria sendo conectado ao 3com de 12 portas. No jurídico as ligações dos computadores internos é cascateada lá dentro com Hubs de 10 mbps. No laboratório 5 é usado um Hub de 10 Mbps para uso interno e no laboratório3 também. Pacth painel é um quadro que facilita a visualização dos pontos do laboratório cada ponto do patch painel se refere a determinado ponto na canaleta dentro do laboratório, a função do patch painel é ligar este ponto ao switch com conectores RJ45, alem disso é bom falar que usamos este conector em todos os laboratórios. Por exemplo, na sala dos professores e na coordenação é possível verificar um quadro com patch painel nele. Todos estes quadros tem um Hub e e é este Hub cascateado para o switch da 3com. O link com a Embratel é de 512kb e é feita através de um roteador... a faculdade possui o seu DNS.

Redes – Instalação de Serviços no Linux

231

Anexo 5 – Especificações de Sistemas de Cabeamento Estruturado ANSI/TIA/EIA-568-A - Especificações de Sistemas de Cabeamento Estruturado (Commercial Building Telecommunications Standard)

Esta norma propõe o mínimo de especificações de cabeamento estruturado. A norma classifica como principais componentes da estrutura de instalação:

Facilidade de entrada (Entrance facility) A facilidade de entrada contém os cabos, hardware de conexão, dispositivos de

proteção e outros equipamentos exigidos para o edifício. Os equipamentos no interior desta sala podem ser usados para conexões de redes públicas ou privadas.

Conexão cruzada principal (Main cross-connect) A sala de equipamentos de telecomunicações pode ter a mesma localização da

conexão cruzada principal. As técnicas de cabeamento que se aplicam aos armários de telecomunicações (TC) também aplicam-se às salas de equipamentos.

Distribuição do backbone (Backbone distribution) O backbone faz a interconexão entre TCs, salas de equipamentos e facilidades de

entrada. Os componentes envolvidos na distribuição do backbone incluem: •

Cabos do backbone

•

Conexões cruzadas intermediárias e principais

•

Terminações mecânicas

•

Patch cords ou jumpers para conexões backbone – backbone

Redes – Instalação de Serviços no Linux

232

Diretrizes gerais de projeto (General design guidelines) A vida útil do cabo de backbone é de pelo menos 10 anos. O projeto deve prever a

quantidade máxima de cabos suportada pelo backbone no decorrer deste período. Cabos metálicos posicionados próximos ao backbone são considerados possíveis fontes de interferência eletromagnética.

Topologia (Topology) O sistema do backbone de distribuição segue a topologia estrela. Cada conexão

cruzada horizontal em um TC é cabeada a uma conexão cruzada principal ou intermediária e então a outra conexão cruzada principal. Não podem haver mais do que dois níveis hierárquicos de conexão cruzada. Em geral, uma conexão cruzada pode partir diretamente da conexão cruzada horizontal e chegar a conexão cruzada principal. Três ou menos conexões cruzadas podem partir de uma conexão cruzada horizontal para uma segunda conexão cruzada horizontal. Sistemas projetados para topologias não-estrela (lógica, anel ou barra) podem acomodar-se normalmente na topologia estrela. Se necessários requerimentos especiais para configurações em barra ou anel, é permitido o cabeamento direto entre armários de telecomunicações. Este tipo de cabeamento é um adicional à topologia estrela básica.

Mídia reconhecida do backbone de distribuição (Recognized

backbone distribution media) Mídia reconhecida pode ser usada individualmente ou em combinação. Estas mídias são: •

cabo UTP de 100MHz

•

cabo STP-A DE 150MHz

•

cabo de fibra óptica 62.5/125µm

•

cabo de fibra óptica monomodo

Redes – Instalação de Serviços no Linux •

233

cabo coaxial de 50W (é mídia reconhecida mas não recomendada para novas instalações)

Critério de seleção de mídia (Media selection criteria) A escolha da mídia de distribuição do backbone vai depender das características das

aplicações específicas. Fatores que influenciam nesta escolha:

•

flexibilidade, considerando-se os serviços suportados

•

requisitos de vida útil do cabo de backbone

•

tamanho do local e população de usuários

Distâncias intra-edifício e inter-edifícios do cabeamento do

backbone (In-building and inter-building backbone cabling distances) A recomendação da distância máxima do backbone depende da aplicação. As distâncias especificadas a seguir (Tabela 3) não asseguram total funcionamento do backbone: Distâncias máximas do backbone de distribuição Tipo de mídia

Conexão

cruzada Conexão

horizontal

conexão horizontal

cruzada principal

cruzada Conexão a

conexão principal

cruzada intermediária

cruzada a

conexão

cruzada intermediária

Utp

800m

500m

300m

Fibra Óptica 62.5/125mm

2000m

500m

1500m

Fibra Óptica Monomodo

3000m

500m

2500m

Tabela 3 – Especificação de Distância Para aplicações de dados em alta velocidade o uso das categorias de cabo UTP 100MHz ou STP-A 150MHz categorias 3, 4, ou 5 será limitado a uma distância total de 90m, isto considerando 5m a cada fim de conexão a equipamento. A capacidade que a fibra monomodo suporta é de 60 km. No entanto, isto está fora dos padrões.

Redes – Instalação de Serviços no Linux

234

Conexão cruzada horizontal (Horizontal cross-connect) A terminação do cabo horizontal é a função primária da conexão cruzada horizontal

que está localizada em um armário de telecomunicações. Cabos de todos as mídias terminam em hardware de conexão compatível. O cabo de backbone também termina em hardware compatível.

7.1

Funções do armário de telecomunicações (Telecommunications

closet functions) A função primária é conter terminações de cabos horizontais de todos os tipos reconhecíveis. Tipos de cabos de backbone reconhecíveis também terminam aqui. Conexões cruzadas de terminações horizontais e terminações de backbone usando Patch cords permitem flexibilidade ao estender serviços às saídas e conectores de telecomunicações. A conexão cruzada intermediária ou principal para partes do sistema de cabeamento do backbone também pode ser encontrada no armário de telecomunicações separadamente da conexão cruzada horizontal.

7.2

Conexões

cruzadas

interconexões

(Cross-connections

and

interconnections) Deslocamentos, adições ou mudanças são completamente realizadas por conexões ou interconexões (Figura 100). Conexões cruzadas são conexões entre cabeamento horizontal e backbone ou equipamento conectando circuitos integrados (hardware). Conexões diretas entre equipamento e cabeamento horizontal são chamadas interconexões.

Redes – Instalação de Serviços no Linux

235

Figura 100 – Conexões cruzadas e interconexões

Distribuição horizontal (Horizontal distribution) A distribuição horizontal é uma parte do sistema de cabeamento de telecomunicações

ligando a área de trabalho à conexão cruzada horizontal no armário de telecomunicações. O cabeamento horizontal inclue: •

cabos de distribuição horizontais

•

saídas de telecomunicações na área de trabalho

•

terminação mecânica do cabo de mídia

•

Patch cords e jumpers no armário de telecomunicações

8.1

Diretrizes gerais de projeto (General design guidelines) O sistema de distribuição horizontal precisa satisfazer aos requerimentos atuais e

facilitar a manutenção e recolocação. Também deve-se considerar instalações futuras de equipamentos e modificação de serviços. Após a instalação, o cabeamento horizontal normalmente é menos acessível que outros tipos de cabeamento. O cabeamento horizontal está sujeito a maior parte da atividade do edifício, aproximadamente 90%. Considerar a diversidade de possíveis serviços e aplicações a serem usadas.

Redes – Instalação de Serviços no Linux

8.2

236

Topologia (Topology) O sistema de distribuição horizontal deve seguir a topologia estrela. A saída de

telecomunicações na área de trabalho deve ser conectada a uma conexão cruzada horizontal no armário de telecomunicações localizado no mesmo piso da área de trabalho. Derivações em ponte e emendas não são permitidas.

8.3

Distâncias (Distances) Qualquer que seja o tipo de mídia usada para distribuição horizontal, a distância

média é de 90m(295'), que corresponde ao comprimento total do cabo que liga a saída área de trabalho à conexão cruzada no armário de telecomunicações. Para cada canal horizontal é permitido no máximo 10m(33') de cords da área de trabalho, patch cords, cabos de jumpeamento (jumper wires) e cords de equipamentos (equipment cords). Na conexão cruzada horizontal o comprimento máximo dos Patch cords e jumpers usados para conectar o cabo horizontal ao equipamento ou cabo do backbone não pode exceder 3m (10').

8.4

Mídia

reconhecida

distribuição

horizontal

(Recognized

horizontal distribution Media) São três as mídias recomendadas para uso: •

cabo UTP de 4 pares 100MHz

•

cabo STP-A de 2 pares 150MHz

•

cabo de fibra óptica 62,5/125µm (duas fibras)

•

cabo coaxial ainda é uma mídia reconhecida mas não recomendada para novas instalações. Cabos híbridos (múltiplos tipos de mídia envoltos no mesmo cabo) podem ser usados

no sistema de distribuição horizontal se cada tipo de mídia reconhecida concordar com as exigências de transmissão e especificações de cores para este cabo.

Redes – Instalação de Serviços no Linux •

237

não é recomendado que cabos UTP de várias categorias sejam envoltos em um mesmo cabo

•

especificações crosstalk entre cabos e um cabo híbrido devem ser obedecidas

•

é preciso que cabos UTP híbridos sejam facilmente distinguidos de cabos UTP multipares de backbone

•

8.5

cabo híbrido de fibra óptica pode ser chamado de cabo composto

Critério de seleção de mídia (Media selection criteria) Cada área de trabalho precisa ser equipada com pelo menos duas outlets de

telecomunicações. Uma outlet pode ser associada com voz e a outra com dados. A primeira outlet será um cabo UTP 4 pares 100W, categoria 3 ou maior. A segunda outlet pode ser suportada por uma das seguintes mídias: •

cabo UTP 4 pares 100MHz, categoria 5 recomendada

•

cabo STP-A 2 pares 150MHz

•

cobo óptico 2 fibras, 62,5/125µm

Área de trabalho (Work Area) Os componentes da área de trabalho são todos aqueles compreendidos entre outlet e o

equipamento de telecomunicações. No máximo 3m(10') de comprimento de cords são usados na área de trabalho. Cabos UTP 4 pares são recomendados.

9.1

Componentes da área de trabalho (Work area components) Os componentes da área de trabalho (Figura 101) estão fora do alcance da norma. A

área de trabalho é composta por uma grande variedade de equipamentos como telefones, máquinas de fax, terminais de dados e computadores. São genericamente consideradas nãopermanentes e passíveis de mudança, características que precisam ser levadas em consideração no projeto.

Redes – Instalação de Serviços no Linux

238

Figura 101 - Componentes da área de trabalho

9.2

Outlets de telecomunicações (Telecommunications outlet/connector) A designação pino/par para cabo UTP 100MHz é recomendada pela norma T568A.

Para acomodar certos sistemas de cabeamento, a norma T568A é aceita. A publicação FIPS PUB 174 do governos dos Estados Unidos reconhece somente a norma T568A.

9.3

Cords da área de trabalho (Work area cords) O sistema de distribuição horizontal assume o comprimento máximo de 3m(10') de

cord. Cabos e conectores podem estar de acordo ou exceder os requerimentos para patch cord.

9.4

Adaptações especiais (Special adaptions) Se aplicações específicas de adaptações como casadores de impedância são

necessárias, elas precisam ser externas às outlets. Alguns adaptadores comumente usados: •

um cabo especial ou adaptador quando o equipamento conector é diferente da outlet.

•

adaptadores “Y” permitem que das aplicações utilizem um único cabo

•

adaptadores passivos são usados quando um tipo de cabo horizontal é diferente do tipo requerido pelo equipamento

•

adaptadores ativos quando conectam dispositivos usando diferentes esquemas de sinalização

•

adaptadores permitindo transposição par para propósitos compatíveis

Redes – Instalação de Serviços no Linux •

239

resistores de terminação É preciso considerar a compatibilidade entre adaptadores e equipamentos. Podem

causar efeitos prejudiciais na performance de transição do sistema de cabeamento de telecomunicações.