Výber hardvéru pre školský server

To aké "železo budeme potrebovať" závisí predovšetkým od toho, koľko serverových služieb budeme chcieť na serveri prevádzkovať. Ak ste malá škola s desiatimi počítačmi pravdepodobne nebude chcieť používať služieb veľa. V takomto prípade neplatí, že server musí byť najvýkonnejším počítačom. A v prípade Linuxu to, v porovnaní s Windows, neplatí vôbec. Ale, ako som spomínal, všetko závisí od toho, aké úlohy má server v sieti plniť.

Na gymnáziu v Kremnici sme ako server použili pentium2 600 MHz, len sme do neho dokúpili disk s veľkosťou 250GB. Pri starších počítačoch si musíte dať pozor aby Bios počítača umožňoval taký veľký disk vôbec pripojiť.

Ak ste veľká škola pravdepodobne ste už server mali a pravdepodobne uvažujete nad zakúpením nového servera. Väčšinou nie je problém presvedčiť vedenie školy nad nutnosťou zakúpenia nového PC. Tu odporúčam na hardvéri nešetriť. Server by mal obsahovať dva disky zapojené ako RAID typu 1 - ak sa jeden disk pokazí na druhom je to isté. Ďalej by mal obsahovať dve sieťové karty pre preklad adries NAT - jedna z nich sa zapojí do smerovača a druhá do sieťového prepínača - server potom bude fungovať ako stanica v Čiernej nad Tisou, všetky vagóny prichádzajúce a odchádzajúce sa budú prekladať do iného vlaku a podozrivé vagóny neprejdú.

Výber vhodnej distribúcie pre školský server

Distribúcií linuxu je ako húb po daždi - Slackware, Fedora, OpenSuse, Mandriva, Debian, Ubuntu, Knoppix. Len podotýkam, že tento zoznam ani z ďaleka nie je kompletný a poradie distribúcií je čisto náhodné. Ak dávate prednosť komerčnej podpore, môžete využiť služby spomínaného Mandrake alebo Red Hat Enterprise Linux.

My sme si vybrali Ubuntu server z nasledujúcich dôvodov:

• je to od roku 2005 najobľúbenejšia distribúcia (podľa stránky distrowatch.com),
• je založená na Debiane. Niektoré školy dostali od projektu Infovek predkonfigurovaný server s Debianom, takže v prípade problémov sa dá obrátiť na správcov na ostatných školách cez konferenciu Spravca v projekte Infovek,
• má veľmi dobrú podporu: na českej domovskej stránke, či na jej Wikipédii, ale hlavne na jej fóre
  a existujú dokonca i chaty, či už česko-slovenský Jabber chat, alebo konferenčná miestnosť IRC, navštíviť môžete aj neoficiálnu príručku s vychytávkami a niečo sa nájde aj v slovenčine na domovskej stránke Ubuntu, alebo pre jednotlivé verzie 6.10 a 6.06
• Ďalšie výhody, ktoré sľubuje Ubuntu:
  • Ubuntu chce byť vždy zadarmo a nikdy nebude žiadna "enterprise verzia" za špeciálny poplatok: "Chceme, aby mali všetci to najlepšie za rovnakých a slobodných podmienok."
  • Ubuntu tím sľubuje pravidelné vydávanie nových verzií (každých 6 mesiacov). Môžete používať súčasnú stabilnú verziu, no nič vám nebráni pomáhať vylepšovať vývojársku verziu. Každá verzia je naďalej podporovaná aspoň 18 mesiacov. Je ale tiež možné vybrať si verziu s dlhodobou podpodou tzv. LTS.

Keďže sme mali k dispozícii dvojjadrový 64 bitový procesor, rozhodli sme sa použiť 64-bitovú distribúciu.

Okrem týchto faktov dávame do pozornosti aj to, že na našej stránke sa nachádza aj kompletne preložená príručka k tomuto systému - Príručka Ubuntu servera. V našom návode sa na ňu budeme niekoľkokrát odvolávať.

Inštalácia základného systému školského servera

I napriek tomu že je táto strana návodu pomerne dlhá, je inštalácia Ubuntu servera veľmi jednoduchá a nezaberie ani veľa času. Návod je doplnený obrázkami, ktoré sa dajú zväčšiť tak, že na ne kliknete.

Pozor!!! Táto kniha je ešte v skorom štádiu, všetky doterajšie časti boli otestované a mali by fungovať, ak však chcete nainštalovať Ubuntu server na server, ktorý práve používate v škole, vytvorte si pre každý prípad zálohu vášho súčasného systému, aby ste mali možnosť vrátiť sa k pôvodnému systému (je tiež možné nainštalovať ubuntu server ako tzv. dual boot). Návod píšeme tak, že každý týždeň pribudne jedna strana, preto vás zatiaľ prosíme o trpezlivosť.

1. Najskôr je potrebné stiahnuť CD zo stránky Ubuntu: http://www.ubuntu.com/getubuntu/download
2. Obraz tohto CD napálime na CD.
3. Nájdeme údaje o našej sieti - Protokol o odovzdaní asymetrického prístupu k službe EDU.SK#NET
4. Ak máme počítač s dvoma sieťovými kartami, kábel z karty, ktorá je na doske, strčíme do routra Cisco (alebo iného zariadenia, cez ktoré sa pripájate na internet) a druhý kábel do switchu. Ak máte len jednu sieťovú kartu, tak kábel strčte do switchu.
5. odriekame fungujúcu modlitbu, zapneme PC a vložíme napálené CD do mechaniky
6. ak po chvíli nabehne táto obrazovka:

   

   tak je všetko v poriadku a môžeme pokračovať, ak nenabehne, pravdepodobne nie je nastavené bootovanie z CD rom. V takomto prípade je potrebné toto bootovanie nastaviť v BIOSe.

Výber jazyka

1. nastavte si jazyk stlačením klávesy F2

   

2. zvoľte Kontrola CD média na chyby - zabijete tak síce trochu času, no v prípade, že je CD zle napálené alebo bol zle stiahnutý obraz CD, vyhnete sa zbytočným nepríjemnostiam.
3. zvoľte inštaláciu na pevný disk

   

Nastavenie siete

1. Spustí sa inštalácia a prebehne niekoľko obrazoviek (rozpoznávanie zariadení, načítavanie súčastí a rozpoznávanie sieťových zariadení). Potom sa inštalačný program spýta na základné sieťové rozhranie (iba ak máte dve sieťové karty). Ak ste zapojili sieťovú kartu na doske do routra Cisco, zvoľte eth0.

   

2. Ak nemáme v sieti iný server, mala by sa sieťovej karte prideliť IP adresa prostredníctvom DHCP (dynamické prideľovanie IP adries), ktoré zabezpečuje CISCO router. Ak však chceme na náš server umiestniť Web stránku, musíme nastaviť sieť ručne. Preto na obrazovke, kde sa inštalačný program pýta na názov počítača, zvolíme Naspäť:

   

3. Zvolíme manuálne nastavenie siete

   

4. Každá škola by mala mať pridelenú adresu v rámci siete EDU v tvare 10.X.Y.0. Pričom adresa 10.X.Y.1 je adresa Gateway (brána LAN) a 10.X.Y.10 je tlačiareň IBM 1312. Konkrétne X a Y si musíte nájsť v dokumente spomínanom v bode 3. Pre server je možné zvoliť ľubovoľnú adresu zo statického rozsahu tj 10.X.Y.1-99. Odporúčame použiť adresu 10.X.Y.2 (pravdaže, ak ste ju už v minulosti nepriradili inému počítaču).

   

5. Masku siete môžeme ponechať takú ako nám inštalačný program ponúkne

   

6. Ako bránu opäť ponecháme ponúknutú IP adresu v tvare 10.X.Y.1, kde X a Y zodpovedajú číslam vašej adresy

   

7. Adresy DNS nastavte podľa údajov EDU.SK#NET alebo nastavte tie, ktoré vidíte na nasledujúcom obrázku:

   

8. Ako meno počítača zadajte ľubovoľné meno napríklad Server1

   

Rozdelenie disku

1. Ak máte v počítači len jeden disk, zvoľte si Sprievodca - použiť celý disk (predpoklad je, že inštalujete na čistý disk, resp. že chcete to, čo bolo povodne na disku, vymazať). Ak však máte dva disky ako my, pokračujte podkapitolou Vytvorenie softvérového diskového poľa Raid 1 školského servera

   

Nastavenie hodín

1. Ak počítač inštalujte na čistý systém (čo predpokladá tento návod) a nemáte dual boot, tak zvoľte áno

   

Nastavenie používateľa

1. Ubuntu nemá správcovský účet, aj preto je potrebné vytvoriť jeden účet, cez ktorý sa bude dať k systému pristúpiť. Je možné vytvoriť ľubovoľný účet a neskôr cez neho vytvoriť účet správcu systému. My sme sa však rozhodli použiť na správu systému bežný účet, preto sme prvého užívateľa pomenovali správca. Takýto účet sa oproti bežnému účtu líši v tom, že pred každým zásahom do systému je potrebné zadať znova heslo. Pozor nie však každý používateľ má takéto oprávnenia! Používatelia, ktorých neskôr vytvoríme nebudú mať oprávnenie prepnúť sa do režimu správcu, ak nebudú zaradený v skupine admin.

   

2. Tu zadajte prihlasovacie meno, pomocou ktorého sa budete k serveru prihlasovať.

   

3. Zvoľte heslo, čím dlhšie, tým lepšie, vhodné je používať kombináciu veľkých a malých písmen, čísla a netradičné znaky, nie však znaky s diakritikou. Heslo je veľmi dôležité si zapamätať.

   

4. Zadajte heslo znova pre potvrdenie

   

Výber súčastí systému

1. Tu si popíšeme na čo slúžia jednotlivé ponúkané súčasti
   DNS Server slúži na prevod doménových mien na IP adresy a naopak. Nainštalovaním tohto servera urýchlite zisťovanie IP adries, čiže sa o niečo málo zrýchli prístup k webovým stránkam. Okrem toho však môžete nastaviť DNS záznamy, to znamená, že môžete povedať, ktorý počítač bude mať meno napríklad mail.gymkremnica.edu.sk. Viac o DNS sa dozviete tu.
   LAMP Server, ktorý obsahuje Apache2 - webový server umožňujúci publikovanie na webe, MySQL databázu a PHP. Viac sa dozviete na formax.sk.
   Poštový Server je server umožňujúci prijímanie a odosielanie elektronickej pošty. Viac o jednotlivých službách mailového servera sa dozviete vo Vixovej príručke.
   SSH Server OpenSSH je server umožňujúci pripojiť sa na náš server pomocou šifrovaného spojenia, ktoré sa používa na vzdialenú správu servera. Viac o SSH sa dozviete vo Vixovej príručke.
   Databázový Server PostgreSQL je alternatívnou databázou k MySQL
   Print Server je server na zdieľanie tlačiarní v sieti a správu dokumentov určených na tlač.
   Súborový server Samba je server, ktorý dokáže zdieľať súbory s operačným systémom MS Windows. Dokáže tiež riadiť sieťovú doménu M$ Windows.
   
   My sme zvolili všetky súčasti okrem alternatívnej databázy PostgreSQL. Nevravím však, že je to nutnosť. Napríklad nebude potrebné inštalovať tlačový server, ak na škole máte iba jednu tlačiareň dodanú Infovekom (IBM 1312), ktorá je sama tlačovým serverom. Naopak OpenSSh odporúčame určite nainštalovať, pretože vzdialená správa je výborná vec. Ostatné služby odporúčame nainštalovať tiež.

   

Nastavenie súčastí systému

1. Zadáme heslo pre používateľa "root" k databáze MySQL

   

2. Zvolíme typ poštového servera, ak neviete ktorý, ponechajte predvolené Internet site

   

3. Zadajte systémové poštové meno v tvare vasadomena.sk v našom prípade gymkremnica.edu.sk

   

4. Teraz je hotová inštalácia základného systému, spolu s niektorými servermi. Vyberte CD z mechaniky a dajte pokračovať.

   

Doinštalovanie programov pre správu školského servera

Po reštarte počítača sa na obrazovke objaví niečo takéto:

Kto by čakal dajaký grafický systém podobný MS Windows bohužiaľ alebo skôr vďaka bohu sa nedočká. Keďže my sme boli tiež odporcovia textového režimu, nainštalovali sme si grafické prostredie, no vzápätí sme to oľutovali pretože veľmi vzrástla spotreba pamäte. Potom sme hľadali iné riešenie - neinštalovať celé desktop prostredie ale iba manažéra okien alebo súborového manažéra. Podarilo sa nám sprevádzkovať prostredie Fluxbox, na ktoré sa vďaka x11vnc dá pripojiť pomocou VNC klienta - čo je program na prenos obrazu, takže je možné sa na server pripojiť i v grafike zo vzdialeného počítača.

Teraz z odstupom času (asi 2 mesiace) sa nám zdá i toto riešenie ako zbytočné, pretože ho nepoužívame. Ak vás ešte stále odpudzuje textový režim nebojte sa, o chvíľu vám porozprávame o výborných programoch na správu PC, ktoré sú v grafike. Tieto programy sa však nespúšťajú priamo na serveri ale fungujú ako webové rozhrania. Vlastne ani nebudete potrebovať mať k serveru pripojený monitor.

Prihlásenie sa ku školskému serveru

Aby sme však mohli niečo robiť musíme sa prihlásiť:

1. Stlačte Enter - Malo by sa zjaviť "Server1 login:" (ak ste ako meno počítača zadali Server1)
2. zadajte "spravca" (alebo svoj login, ktorý ste pri inštalácii vytvorili)
3. zadajte svoje heslo

    

   

Midnight commander

Ľudia, ktorý v minulosti ešte pracovali v operačnom systéme MS DOS, určite poznajú program Norton Commander alebo Volcov Commander. Niektorí, tiež používajú v operačnom systéme MS Windows Total Commander alebo iný klon Norton Commandera. Všetkých týchto ľudí určite poteší Midnight Commander, ktorý nainštalujeme takto:

sudo apt-get install mc

Teraz je znova potrebné znova zadať heslo. Počítač vypíše, ktoré balíčky sa budú okrem mc inštalovať a spýta sa, či to naozaj chcete. Zadajte teda "Y" (ako áno) Midnight commander teraz môžeme spustiť príkazom

mc

teraz by ste mali vidieť spustený Midnight Commander:

Inštalácia programov

Program Midnight Commander sme nainštalovali pomocou príkazov, ktoré su možno pre vás cudzie preto ich teraz trochu vysvetlíme. Začneme príkazom sudo. Tento príkaz budeme potrebovať veľmi často. Slúži na to aby ste získali oprávnenie správcu. Ak by sme tento príkaz nezadali, operačný systém by tvrdil, že na vykonanie zadaného príkazu nemáme dostatočné oprávnenie. Vždy po zadaní príkazu sudo sa systém spýta na vaše heslo, preto to od teraz budeme brať za samozrejmé a nebudeme uvádzať do postupov aby ste zadali svoje heslo.

Ďalším príkazom je príkaz apt-get. Tento príkaz je určený na prácu s balíčkami. Balíčky sú súbory s príponou .deb - ide o veľmi vzdialené ekvivalenty súborov install.exe či setup.exe známych z MS Windows. Tieto balíčky sú sústredené tzv. repozitároch. To sú akési úložištia balíčkov. Takže všetky balíčky sú uložené "pod jednou strechou" (resp pod niekoľkymi) a nie je ich potrebné hľadať na internete. Je však tiež možné nájsť balíčky, ktoré v týchto repozitároch nie sú, stiahnuť a nainštalovať ručne alebo nájsť ďalšie repozitáre, ktoré a dopísať ich do systému. Na inštalovanie nového programu použijeme príkaz

sudo apt-get install meno_balíčka  

Ak chceme program odinštalovať napíšeme

sudo apt-get remove meno_balíčka

V prípade, že chceme program odinštalovať a chceme i zmazať jeho inštalačný balíček, napíšeme

sudo apt-get purge meno_balíčka

Pomocník (help) k príkazom

Ku každému príkazu v Linuxe môžeme získať pomoc (väčšinou v angličtine) viacerými spôsobmi:

väčšina príkazov na integrovanú stručnú pomocou, ktorú nám program vypíše po zadaní prepínača --help alebo jeho skrátenej verzie -h, napríklad:

apt-get -h

alebo

apt-get --help  

podrobnejšiu pomoc poskytujú manuálové stránky. Ich rozsiahlosť a aktuálnosť je rôzna, ale jedno majú spoločné, pre zobrazenie používajú príkaz man a názov príkazu napríklad:

man apt-get  

Manuálovú stránku zatvoríme stlačením klávesy "q"!!! Najaktuálnejšiu dokumentáciu získate príkazom info, ktorého použitie (a často aj výsledok) je rovnaké ako pri príkaze man, napríklad:

info apt-get

Odstránenie inštalačného CD z repozitárov

V prípade, že máte neobmedzené pripojenie na internet (všetky školy by mali mať), je výhodné systém nastaviť tak, aby nehľadal balíčky na inštalačnom CD, ale iba na internete. Ukončite Midnight Comander (ďalej len MC) sltačením klávesy "F10". Potom ho znova spustite s právami roota (správcu):

sudo mc   

Od tohto okamihu je MC spustený s právami správcu systému. Dávajte si dobrý pozor čo robíte!!!

Teraz pomocou MC vyjdite až do hlavného priečinka. nastavíte kurzor (tyrkysový pásik) na "/.." tak ako je to na nasledujúcom obrázku a stlačíte enter:

Teraz sa nachádzate v priečinku "/home" (môžete ho vidieť v hornej časti obrazovky), to je priečinok v ktorom sú uložené profily používateľov. Ak ste postupovali podľa nášho návodu a vytvorili ste pri inštalácii používateľa s názvom "spravca" tak teraz máte kurzor na priečinku s takýmto názvom.

Teraz znova posuňte kurzor na "/.." a stlačte enter. Ste v koreňovom priečinku systému. Toto je niečo ako c: v operačnom systéme MS Windows.

Teraz presuňte kurzor na adresár "/etc" a stlačte enter. V tomto priečinku sa nachádzajú všetky konfiguračné súbory - veľmi vzdialené ekvivalenty súborov s príponou ini, ktoré používa MS Windows. Toto bude priečinok, ktorý budeme veľmi často otvárať.

Teraz vojdite do adresár "/apt" v hornej časti by mala byť zobrazená cesta "/etc/apt".

Teraz sa prepneme do druhého okna pomocou klávesy "TAB" na klávesnici a rovnakým postupom nastavíme tú istú cestu aj do druhého panelu.

Teraz si vytvoríme zálohu súboru ktorý chceme upravovať. Vytváranie záloh konfiguračných súborov je veľmi dôležité!!! V prípade že niečo pokašleme, môžeme to vrátiť.

Nastavme kurzor na súbor s názvom "sources.list" a stlačte na klávesnici "F5" (kopírovať) a za zobrazovanu cestu "/etc/apt" dopíšte "/sources.list.bak1" a stlačte enter, čím vytvoríte kópiu súboru s takýmto názvom.

Teraz, keď máme zálohu, môžeme editovať súbor. nastavíme kurzor na súbor "sources.list" a stlačíme klávesu "F4" (editovať). Uvidíme pred sebou rôznofarebný text, pričom sa nejedná len o grafický efekt, ale farebne je zvýraznená syntax tohoto súboru. To čo je potrebné urobiť, je vložiť pred riadok začínajúci

deb cdrom... 

znak "#" ten sa na slovenskej klávesnici píše pomocou kombinácie kláves AltGR+x (AltGR je pravý alt). Po doplnení znaku "#" by súbor mal vyzerať takto:

Zmeny v súbore uložíme stlačením klávesy "F2" (Uložiť) a potvrdíme uloženie.

Teraz môžeme opustiť editor klávesou "Esc".

Aktualizácia systému

Teraz môžeme vykonať aktualizáciu systému. Tento krok je veľmi dôležitý, pretože aktualizácie neprinášajú iba nové funkcie ale i odstraňujú chyby. V programe MC je možné skryť panely kombináciou kláves Ctrl+o. Ak tento povel vykonáte uvidíte iba príkazový riadok. Keďže máte MC spustený príkazom sudo, už ho nemusíte pred príkazy písať. Zadajte teda príkaz:

apt-get update  

Tento príkaz načíta z úložiska distribúcie zoznam najnovších balíčkov. Tento príkaz je vhodné zadať pred každou inštaláciou, ktoréhokoľvek balíčka z úložiska. Samotnú aktualizáciu vykonáte príkazom

apt-get upgrade

Systém zobrazí zoznam programov ktoré bude aktualizovať. Opäť je potrebné potvrdiť aktulaizáciu zadaním "Y". Po aktualizácii môžete zapnúť panely MC (Ctrl+o).

Inštalácia programu Webmin

Program je veľmi užitočné grafické web rozhranie, slúžiace na správu serverov. Jeho inštalácia je veľmi jednoduchá:

1. Otvorte súbor /etc/apt/sources.list (vyššie opísaným spôsobom), ktorý obsahuje zoznam zdrojov softvéru
2. Na koniec pridajte nový zdroj dopísaním riadka deb http://download.webmin.com/download/repository sarge contrib
3. Uložte súbor(F2) a opustite editor(ESC)
4. Vypnite panely v MC (CTRL+o)
5. Stiahnite a nainštalujte Kľúč k zdroju softvéru zadaním príkazov (znak ~ napíšete pomocou Alt Gr + a):
   

   cd ~
   wget http://www.webmin.com/jcameron-key.asc
   sudo apt-key add jcameron-key.asc 
   

6. Zaktualizujte zoznam balíčkov zadaním apt-get update
7. Nainštalujte Webmin príkazom apt-get install webmin
8. Zapnite zobrazenie panelov

Ak máte v počítači iba jednu sieťovú kartu, môžete sa k programu Webmin pripojiť z iného počítača tak, že zadáte do internetového prehliadača IP adresu počítača, ktorú ste priradili sieťovej karte na začiatku inštalácie a zadaním portu 10000. Teda http://10.x.y.2:10000 kde x a y sú čísla IP adresy vašej školy v sieti EDU#Net.

AK máte dve sieťové karty budete si musieť najskôr nastaviť druhú kartu, podľa postupu v ďalšej kapitole.

Nastavenie druhej sieťovej karty v školskom serveri

Ak máme v počítači dve sieťové karty, musíme nastaviť i druhú sieťovú kartu. Môžeme náš server použiť ako firewall. Túto možnosť odporúčame najmä vtedy ak chcete aby bol server dostupný verejne z internetu. Podstatne tak zvýšite bezpečnosť vašej siete.

Ak má byť vaša sieť bezpečná tak jednu sieťovú kartu zapojíte do Cisco routera, cez ktorý sa pripájate na internet a druhú do switchu do ktorého sú pripojené ostatné počítače siete.

Od Cisco routeru musí byť switch rozvádzajúci sieť odpojený. Server bude fungovať nasledovne:
Internet --> vonkajšia sieťova karta servera --> firewall s prekladom adries --> vnútorná sieťová karta servera -->switch --> ostatné počítače

Najprv pomocou postupu opísaného v predchádzajúcej kapitole, otvoríme súbor /etc/network/interfaces. Po jeho otvorení by ste mali vidieť takýto súbor:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.x.y.2
netmask 255.255.255.0
network 10.x.y.0
broadcast 10.x.y.255
gateway 10.x.y.1
#dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 195.146.128.60 195.146.132.59
dns-search vasadomena.edu.sk

kde miesto x a y sú čísla z vašej IP adresy v sieti EDU#Net.

Druhej sieťovej adrese môžeme priradiť adresu, ktorá bude patriť iba v lokálnej školskej sieti. Pre túto sieť je možné vyhradiť adresy napríklad 192.168.1.x.

Prejdeme teda na koniec súboru a nastavíme druhú sieťovú kartu nasledovne:

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255    

teraz vypnite panlely MC a zadajte príkaz, ktorým sa reštartuje nastavenie siete starým osvedčeným spôsobom:

 invoke-rc.d networking restart

Teraz sa i vy môžete pripojiť na server z hociktorej stanice v sieti, je však potrebné zmeniť jej sieťové nastavenia.

# The loopback network interface
auto lo
iface lo inet loopback

# Primárne sieťové rozhranie
auto eth0
iface eth0 inet static
    hwaddress ether a1:b2:c3:d4:e5:f6
    address 192.168.0.1
    netmask 255.255.255.0
    network 192.168.0.0
    broadcast 192.168.0.255
    gateway 192.168.0.253
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 192.168.0.254
    dns-search domov.skk

# druhé sieťové rozhranie
auto eth1
iface eth1 inet dhcp

iface lo inet loopback

iface eth1 inet dhcp

iface eth0 inet static

invoke-rc.d networking restart

ifconfig
eth1          Zapouzdření:Ethernet  HWadr 00:0C:29:95:03:FF
              inet adr:192.168.0.10  Všesměr:192.168.0.255 Maska:255.255.255.0
              inet6-adr: fe80::20c:29ff:fe95:3ff/64 Rozsah:Linka
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:98 errors:0 dropped:0 overruns:0 frame:0
              TX packets:129 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:1000
              RX bytes:10403 (10.1 KiB)  TX bytes:10254 (10.0 KiB)
              Vstupně/Výstupní port:0x2040 Paměť:e8920000-e8940000

lo            Zapouzdření:Místní smyčka
              inet adr:127.0.0.1 Maska:255.0.0.0
              inet6-adr: ::1/128 Rozsah:Počítač
              AKTIVOVÁNO SMYČKA BĚŽÍ  MTU:16436  Metrika:1
              RX packets:27 errors:0 dropped:0 overruns:0 frame:0
              TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0
              RX bytes:1332 (1.3 KiB)  TX bytes:1332 (1.3 KiB)

ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up

ifconfig eth1 down

ip help

ip addr help

ip address show
1: lo: <LOOPBACK,UP,10000> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
    valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0c:29:95:03:ff brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.10/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::20c:29ff:fe95:3ff/64 scope link
    valid_lft forever preferred_lft forever

ip -s link show eth1
2: eth1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0c:29:95:03:ff brd ff:ff:ff:ff:ff:ff
    RX: bytes  packets  errors  dropped overrun mcast
    11857      108      0       0       0       0
    TX: bytes  packets  errors  dropped carrier collsns
    10490      133      0       0       0       0

ip address add 192.168.0.1/24 brd + dev eth1

ip address del 192.168.0.1 dev eth1

ifup eth1

ifdown eth1

search skk
nameserver 192.168.0.253

ip route add 192.168.55.0/24 via 192.168.0.253 dev eth1

route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253 dev eth1

ip route show

auto eth1
iface eth1 inet static
    ...
    up route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253
    down route del -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253

Ako sa prvýkrát pripojiť ku školskému serveru z lokálneho počítača

Na to aby sme sa mohli pripojiť k novonainštalovanému serveru, je potrebné vykonať niekoľko zmien v sieťovom nastavení.

Nastavenie ak je v serveri jedna sieťová karta

Na lokálnej stanici nastavte

IP Adresa : 10.x.y.3 (kde x a y sú čísla ip adresy v siete EDU#Net)
Maska : 255.255.255.0
Brána : 10.x.y.2 (IP adresa novo nainštalovaného servera)
DNS : 10.x.y.2 (IP adresa novo nainštalovaného servera) 

Nastavenie ak sú v serveri dve sieťové karty

Na lokálnej stanici nastavte

IP Adresa : 192.168.1.2
Maska : 255.255.255.0
Brána : 192.168.1.1 (IP adresa novo nainštalovaného servera)
DNS : 192.168.1.1 (IP adresa novo nainštalovaného servera) 

Nastavenie v MS Windows XP

Otvoríme ponuku štart a zvolíme ovládací panel.

Kliknite na sieťové a internetové nastavenia.

Vyberte sieťové pripojenia.

Kliknite na lokálne pripojenie a vyberte Zmeniť nastavenie pripojenia.

Vyberte Internet protocol a tuknite na tlačítko Vlastnosti.

Nastavte parametre siete podla tabuľky vyššie.

Ako sa pripojiť do rozhrania Webmin na školskom serveri

Sadnime si k stanici, ktorú sme už nastavili (Ako sa prvýkrát pripojiť ku školskému serveru z lokálneho počítača) a otvorme webový prehliadač. Ako adresu zadajte (v prípade že ste postupovali podľa predchádzajúcich častí návodu) v prípade, že máte jednu sieťovú kartu (x a y sú čísla z vašej IP adresy v sieti EDU#Net):

https://10.x.y.2:10000 

v prípade, že máte dve sieťové karty

https://192.168.1.1:10000  

v prehliadači by ste mali uvidieť takúto stránku

Pomocou tohto formulára sa môžete prihlásiť k serveru pomocou vášho loginu (ak ste postupovali podľa nášho návodu tak je username "spravca") a hesla. Po zadaní údajov stačí stlačiť tlačidlo Login. Po prihlásení uvidíme takúto obrazovku:

Zmena jazyka rozhrania Webmin na slovenský

Ako prvý krok môžeme rozhranie prepnúť do slovenského jazyka. Po vykonaní tohto kroku bude rozhranie čiastočne preložené do slovenčiny (aspoň v čase písania článku bolo len čiastočne). Rozbaľte teda položku Webmin ťuknite na odkaz Change Language and Theme. Prepnite prepínač do polohy Perosnal choice, v rozbalovacej ponuke vyberte slovenský jazyk a potvrďte tlačidlom Make changes (viď obrázok).

Po vykonaní tohto kroku, už len obnovíme stránku pomocou klávesy F5 na klávesnici.

Ako sa pripojiť ku školskému serveru cez ssh

SSH je skratkou od Secure Shell - zabezpečený príkazový riadok. Je to sieťový protokol, ktorý umožňuje bezpečnú komunikáciu medzi dvoma počítačmi. Tento protokol bol navrhnutý na to, aby odstránil nedostatky nezabezpečených protokolov rlogin, telnet, rsh či ftp. Umožňuje vzdialené pripojenie sa na server a vykonávanie príkazov cez príkazový riadok ale tiež prenos súborov pomocou Secure FTP (ftp cez ssh).

Pripojenie z Linuxového klienta

Ak sa pripájate na server z linuxu, tak pravdepodobne už máte v systéme nainštalovaný klientsky program na pripojenie k SSH.

Ak máte na serveri len jednu sieťovú kartu, stačí otvoriť príkazový riadok a napísať

ssh spravca@10.x.y.2

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

ssh spravca@192.168.1.1

V prípade, že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu) záznam môžete použiť

ssh spravca@www.domena_skoly.edu.sk

Ak sa pripájate prvý krát, budete vyzvaní, aby ste potvrdili bezpečnostný certifikát servera. Po jeho potvrdení už zadáte len svoje heslo a pripojenie k serveru sa nadviaže.

Pripojenie z prostredia Windows

Na pripojenie k SSH je možné použiť viacero programov, no my si ukážeme pripojenie pomocou najznámejšieho z nich, ktorý sa nazýva PuTTY. Stiahnuť si ho môžete zo stránky http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html a to buď ako samostatný program alebo ako inštalátor.

Po jeho stiahnutí (v prípade inštalátora i nainštalovaní) stačí vyplniť údaj Host name(or IP address).

Ak máte na serveri len jednu sieťovú, kartu zadáte

spravca@10.x.y.2

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

spravca@192.168.1.1

V prípade, že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu) záznam, môžete použiť

spravca@www.domena_skoly.edu.sk

Nastavenie môžeme uložiť zadaním názvu spojenia do poľa Saved Sessions a stlačením tlačidla Save.

Potom otvoríme spojenie tlačidlom Open.

Ak sa pripájate prvý krát, bude potrebné potvrdiť bezpečnostný kľúč servera.

A potom už len zadáte svoje heslo a pripojenie sa nadviaže.

Klient pre SFTP na prenos úborov

Programov na prenos súborov cez protokol SFTP je niekoľko. Najznámejšími z nich sú WinSCP a FileZilla. Nastavenie je podobné ako pri programe PuTTY a práca s nimi je podobná ako s Windows Explorerom.

WinSCP si môžete stiahnuť zo stránky http://winscp.net/eng/download.php a FlieZilla zase zo stránky http://filezilla-project.org/download.php?type=client.

Ukážka programov:

SSH klient priamo vo vašom internetovom prehliadači

Ak ste postupovali podľa nášho návodu, tak máte na serveri i webserver. Môžete teda integrovať Java aplikáciu ako applet do webovej stránky a potom stránku otvoriť priamo cez internetový prehliadač na lokálnom počítači.

Jedným z Java programov je MindTerm, ktorý si môžete stiahnuť zo stránky http://www.appgate.com/index/products/mindterm. Tento program je zadarmo pre osobné použitie a pre komerčné použite je limitovaný 25 pripojeniami.

Na tejto stránke sa zaregistrujte kliknutím na odkaz contact form a po zaregistrovaní vám príde email s odkazom na stiahnutie.

Po stiahnutí programu môžete zip súbor rozbaliť a nakopírovať na server napríklad pomocou WinSCP alebo FileZilla do priečinka /var/www.

Potom vytvoríte súbor ssh.html s nasledujúcim obsahom, pričom prispôsobte hrubo vytlačené údaje svojím potrebám

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="sk" lang="sk" dir="ltr">

  <head>
    <title>ssh</title>   
  </head>

<body>
 <p>
  <applet code="com.mindbright.application.MindTerm.class" archive="/mindterm-X.Y/mindterm.jar" height="600" width="620">
  <param name="cabinets" value="mindterm.cab" />
  <param name="sepframe" value="false" />
  <param name="server" value="www.vasa_domena.edu.sk" />
  <param name="username" value="spravca" />
  <param name="debug" value="true" /> 
 </applet>
</p>
</body>

</html>

a uložte ju do priečinka /var/www na serveri. Po jej uložení môžete do prehliadača na klientskom počítači zadať adresu:

Ak máte na serveri len jednu sieťovú kartu, stačí otvoriť príkazový riadok a napísať

http://10.x.y.2/ssh.html

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

http://192.168.1.1/ssh.html

V prípade že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu), záznam môžete použiť

http://www.domena_skoly.edu.sk/ssh.html

Ako vytvoriť firewall na školskom serveri

Firewall je sieťové zariadenie a/alebo softvér, ktorý kontroluje tok dát, ktoré cez neho prechádzajú. Táto kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port či rozhranie, a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia napríklad povolenie alebo zamietnutie komunikácie (ale sú aj iné akcie).

Existujú tri základné typy firewallov:

• paketový filter - filtruje dáta v tzv packetoch na základe ich vlastností (IP, rozhranie, port...)
• stavový - filtruje pakety na základe ich stavu (vytvárajúce spojenie, odpovede na požiadavky, ...)
• aplikačný - filtruje pakety na základe zdrojovej/cieľovej aplikácie, obsahu stránok a podobne

Linuxový firewall aplikuje len prvé dva typy.

Brána firewall je integrovaná do jadra linuxu, preto ju netreba inštalovať. Na jej nastavenie slúži nástroj iptables, pomocou ktorého sa definujú pravidlá. Prechádzajúce dáta sú zaraďované do troch zabudovaných tzv. reťazí:

• INPUT - pravidlá pre packety prichádzajúce do počítača
• OUTPUT - pravidlá pre packety odchádzajúce z počítača počítača
• FORWARD - pravidlá pre packety prechádzajúce z jednej sieťovej karty na druhú

Ak je v počítači iba jedna sieťová karta firewall filtruje iba prichádzajúce a odchádzajúce dáta. V prípade dvoch sieťových kariet sa z počítača stáva smerovač, ktorý môže filtrovať komunikáciu medzi dvoma sieťovými kartami, a teda medzi dvoma sieťami. Najčastejšie sa takýto spôsob filtrovania používa na riadenie komunikácie medzi vnútornou sieťou, ktorej dôverujeme, a vonkajšou sieťou napr. Internetom.

Nastavenie brány firewal však už nemusíme vykonávať priamo na serveri, ale môžeme využiť nainštalované rozhranie Webmin.

Vytvorenie firewallu pomocou rozhrania Webmin

Otvoríme ponuku Sieť v nej ťukneme na Linux Firewall pomocou prepínača na stavíme Block all except SSH, IDENT, ping and high ports - týmto prepínačom sa zablokuje všetko okrem spomínaných služieb, zafajkneme políčko Enable firewall at boot time a stlačíme tlačidlo Setup Firewall (viď obrázok).

Po vykonaní tohto kroku sa na webstránke zjaví tabuľka s pravidlami:

Teraz môžeme do firewallu doplniť porty služieb, ktoré by mal server dovoľovať. Odporúčame doplniť ešte nasledujúce službywww, https, pop3, smtp, imap, imaps, pop3s, a ak chceme mať prístup k správe servera prostredníctvom rozhrania Webmin doplňme i port 10000 (ak máme v počítači dve sieťové karty a chceme aby sa dalo server spravovať iba z vnätornej siete tak port 10000 nezadáme). Urobíme to tak, že pri pravidle If protocol is TCP and destination port is SSH klikneme na Accept (viď obrázok vyššie). Porty je potrebné napísať bez medzier.

 www,https,pop3,smtp,imap,imaps,pop3s,10000

Na stránke, ktorá sa následne otvorí doplníme všetky spomínané porty a oddelíme čiarkou. Potom už len stlačíme tlačidlo Uložiť.

Vytvorenie NAT pomocou rozhrania Webmin

Ak máme v počítači dve sieťové karty, musíme nastaviť i druhú sieťovú kartu. Môžeme náš server použiť ako firewall s prekladom adries. Ak má byť vaša sieť bezpečná tak jednu sieťovú kartu zapojíte do Cisco routera, cez ktorý sa pripájate na internet a druhú do switchu, do ktorého sú pripojené ostatné počítače siete.

Od Cisco routeru musí byť switch rozvádzajúci sieť odpojený. Server bude fungovať nasledovne:
Internet --> vonkajšia sieťova karta servera --> firewall s prekladom adries --> vnútorná sieťová karta servera -->switch --> ostatné počítače

Firewall je sieťové zariadenie a/alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Internet a Intranet) a kontrolovať tok dát medzi týmito sieťami.

AK máte v počítači len jednu sieťovú kartu, kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia napríklad povolenie alebo zamietnutie komunikácie (ale suú aj iné akcie).

Ak máte v počítači dve sieťové karty je možné obe siete navzájom oddeliť. Server v takomto prípade bude fungovať tak, že bude rozhodovať o tom, ktoré požiadavky z vonkajšej siete pustí do vnútornej a naopak.

Ak máte v počítači dve sieťové karty, je potrebné pridať ešte jedno pravidlo, ktoré bude vykonávať preklad adries. V hornej časti nastavíme do rozbaľovacieho poľa Network address translation (nat) a stlačíme tlačidlo Showing IPtable. Po jeho stlačení sa zmení obsah stránky, na ktorej klikneme na tlačidlo Add Rule v časti Packet after routing (viď obrázok).

Na stránke s definíciou pravidla nastavíme prepínač do polohy Source NAT, nastavenie IPs and ports for SNAT prepnite do polohy IP range a v riadku, zapíšeme IP adresu vonkajšej siete 10.x.y.2 a nastavíme, že výstupné zariadenie má byť eth0 vybraním hodnoty Equals v riadku Outgoing interface. Potom stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Teraz vytvoríme tri pravidlá v časti v časti Packet before routing.

Na otvorenej stránke prepneme prepínač do polohy Accept a a nastavíme, že výstupné zariadenie má byť eth1 vybraním hodnoty Equals v riadku Incoming interface. Potom stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Rovnaké pravidlo vytvoríme i pre zariadenie lo.

Pri vytváraní posledného pravidla prepneme prepínač do polohy Accept a a nastavíme, že výstupné zariadenie má byť eth0 vybraním hodnoty Equals v riadku Incoming interface. Teraz vyberieme v časti Conection states z ponuky Equals a vyberieme hodnoty Existing Conections a Related to conected (pri označovaní týchto hodnôt myšou, držte na klávesnici kláves CTRL). Nakoniec stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Teraz už stačí len novú zmenu aplikovať stlačením tlačidla Apply Configuration.

Po aplikovaní zmeny sa konfigurácia uluží do súboru iptables.up.rules. Tento súbor je potrebné ešte načítať pri štarte systému.

Vytvorenie spúšťacieho skriptu na zavedenie firewallu

Otvoríme položku Systém a klikneme na Štart a vypnutie. Na stránke ktorá sa otvorí klikneme na odkaz Create a new bootup and shutdown action.

Otvorí sa stránka na vytváranie skriptov, do ktorej zadáme názov nového skriptu webmin-ipt a do poľa Bootup commands napíšeme:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward 
/sbin/iptables-restore /etc/iptables.up.rules  

a klikneme na tlačítko Vytvor.

Aby sme nemuseli teraz reštartovať server načítame pravidlá ručne. Zo zoznamu skriptov vyberieme Webmin-ipt a spustíme ho pomocou tlačidla Start selected.

Nastavenú konfiguráciu môžeme overiť tak že sa pokúsime na stanici na ktorej práve teraz sme otvoriť ľubovolnú stránku z internetu (napr. www.google.sk). Mala by sa otvoriť.

Ako nastaviť ukladanie doménových mien na školskom serveri

Domenové mená sú mená počítačov, ktoré sú priradené k číselným adresám počítačov. Doménové mená boli počítačom pridelené kvôli ľuďom, pretože IP adresy sú iste ťažšie zapamätateľné, ako adresa napr. www.google.sk. Pre činnosť Internetu sú však potrebné číselné IP adresy (či už verzie 4 alebo 6), preto musí byť každé meno počítača prevedené na jeho číselnú podobu a na to slúžia menné servery (DNS servery).

Ak do prehliadača zadáme sk.openacademy.eu musí služba DNS nájsť číselnú adresu počítača s takouto mennou adresou poslaním požiadavky na iný menný server. Toto hľadanie trvá určitý čas, no dá sa urýchliť tak, pomocou takzvaného kešovania adries. DNS server si do svojej vyrovnávacej pamäti ukladá jednotlivé doménové mená a k nim prislúchajúce číselné adresy a pri nasledujúcej požiadavke na preklad mena sa už nepýta ostatných DNS serverov, ale poskytne odpoveď zo svojej pamäte.

Toto správanie v konečnom dôsledku zrýchli načítavanie stránok, pretože Váš počítač dostane IP adresu cieľa rýchlejšie a teda skôr začne načítať stránku.

Príklad

Pri zisťovaní záznamu pre adresu "www.wikipedia.org" je postup takýto:

1. používateľ zadá meno www.wikipedia.org, počítač sa obráti na lokálny menný server s požiadavkou o IP adresu www.wikipedia.org,
2. lokálny menný server túto informáciu nemá, pozná však adresy koreňových serverov. Na jeden z nich sa obráti (napr. na 193.0.14.129) a požiadavku mu prepošle,
3. ani koreňový server nepozná odpoveď, vie však, že existuje doména najvyššej úrovne org a poskytne žiadateľovi adresy jej autoritatívnych serverov,
4. lokálny server jeden z nich vyberie (napr. tld1.ultradns.net s IP adresou 204.74.112.1) a pošle mu požiadavok na IP adresu mena www.wikipedia.org,
5. ani tento server informáciu nepozná, ale poskytne IP adresy autoritativních serverov domény wikipedia.org,
6. lokálny server si opäť jeden vyberie a pošle mu požiadavok na IP adresu mena www.wikipedia.org
7. keďže toto meno už je v doméne wikipedia.org, dostane od jej servera autoritatívnu odpoveď, že hľadaná IP adresa je 145.97.39.155
8. lokálny menný server túto odpoveď odovzdá žiadajúcemu počítaču.

Toto je kompletný postup riešenia daného požiadavku. Môže se však stať, že niektorý z menných serverev (napríklad aj Váš) má hľadanú informáciu vo svojej vyrovnávacej pamäti, pretože príslušnú požiadavku nedávno riešil. V takom prípade poskytne neautoritatívnu odpoveď z vyrovnávacej pamäte a ďalšie požiadavky odpadávajú.

Zmena v nastaveniach siete

Najprv otvorte vetvu Sieť a ťuknite na odkaz Network Configuration. Na stránk, ktorá sa zobrazí ťuknite na Hosname and DNS Client.

Do polí DNS server pridajte adresu 127.0.0.1 na prvé miesto a potom stlačte tlačidlo Uložiť. Týmto nastavením zabezpečíte aby server pozrel najskor svoje záznamy až potom hľadal u nadradených počítačov.

Potom aplikujte nastavenia pomocou tlačidla Apply Configuration.

V ďalšom kroku otvorte vetvu Servery a ťuknite na odkaz BIND DNS Server. Na stránke, ktorá sa otvorí vyberte Forwarding and Transfer.

Nastavenie DNS servera

Do polí Servers to forward queries to zadajte IP adresy nadradených DNS serverov a stlačte tlačidlo Uložiť.

Nakoniec aplikujte nastavenia pomocou tlačidla Apply Changes.

Ako nastaviť ukladanie webových stránok na školský server

Jednou s ďalších služieb, ktoré je možné nainštalovať na školský server je Proxy server. Proxy server je niečo ako prostredník v komunikácii medzi klientmi a servermi. Pre klientov sa tvári ako server a pre server ako klient.

Situácia bez použitia proxy servera:

+-------------+   požiadavka                           +--------+
| klient      |--------------------------------------> | server |
| (lok. sieť) |<-------------------------------------- |        |
+-------------+                             odpoveď    +--------+

Situácia s použitím proxy servera:

+-------------+ požiadavka  +--------+ požiadavka      +--------+
| klient      |-----------> | proxy  |---------------> | server |
| (lok. sieť) |<----------- | server |<--------------- |        |
+-------------+   odpoveď   +--------+      odpoveď    +--------+

Výhodou takéhoto prístupu je niekoľko:

1. Oddelenie sietí - bezpečnosť
2. Ukladanie obsahu (WWW) - zrýchlenie komunikácie
3. Filtrovanie požiadaviek

O konfigurácii proxy servera Squid priamo v konfiguračnom súbore sa dozviete vo Vixovej príručke Systémového administrátora, tu sa zameriam na popis nastavenia pomocou webového rozhrania Webmin.

Inštalácia proxy servera Squid

Najskôr musíme Proxy server nainštalovať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes squid 

a stlačte tlačidlo Vykonaj príkaz. Potom ešte treba chvíľu počkať kým sa proxy server Squid nainštaluje. Potom ako bude inštalácia hotová, zjaví sa priebeh inštalácie.

Nastavenie proxy servera Squid

Po nainštalovaní treba prispôsobiť nastavenieproxy servera Squid podmienkam našej siete:

Načúvací port

Najprv je potrebnénastaviť číslo portu, na ktorom bude Squid očakávať pripojenia od klientov. Štandardné nastavenie je port číslo 3128 a nie je potrebné to meniť - iba ak by ste port 3128 chceli využiť na niečo iné. V rozhraní Webmin otvoríme vetvu Servery a kliknúť na odkaz Squid Proxy Server. Na stránke ktorá sa zobrazí potom klikneme na Ports and Networking. Na stránke ktorá sa otvorí uvidíte prepínač v polohe Default (usually 3128).

Po nastavení príslušného čísla portu, je samozrejme potrebné nastaviť firewall tak, aby požiadavky klientov prepúšťal nášmu proxy serveru - toto už nemusíte nastavovať ak ste sa riadili podľa predchádzajúcich častí návodu.

Nastavenie vyrovnávacej pamäte

Predvolená inštalácia Squid má nastavenú cestu aj veľkosť vyrovnávacej pamäte, ale to nemusí vyhovovať všetkým, preto pomocou webmin zmeňte nastavenia podľa svojich potrieb. Pri nastavovaní veľkosti dajte pozor na to, že čím väčšia vyrovnávacia pamäť, tým viac súborov je v nej uchovaných, čo môže urýchliť zobrazovanie stránok, ale zároveň to zvyšuje počet prístupov na disk, čo zase zobrazovanie stránok môže spomaliť.

Ak chcete zmeniť tieto nastavenia klknite na odkaz Cache Options

V nastaveniach môžete nastaviť umiestnienie vyrovnávacej pamäte jej veľkosť, a ďalšie nastavenia. Nezabudnite prepnúť prepínač do polohy Listed.. a nakoniec nastavenia uložiť kliknutím na tlačítko Save.

Nastavenie parametrov vlastnej siete

Squid používa prepracovaný systém riadenia prístupu, ktorý umožňuje precízne nastavenie, ktroré stanice môžu jeho služby využívať, a ktorým bude prístup do vonkajšej siete zamietnutý. V predvolenej konfigurácii po inštalácii však umožňuje prístup všetkým klientom lokálnej siete, jemu však potrebné nastaviť parametre lokálnej siete, a to IP adresu a masku siete. Aj toto nastavenie je potrebné urobiť cez Riadenie prístupu (Access control), takže ťukneme teda na Access Control.

Pod zoznamom pravidiel prístupu v rozbaľovacom poli vyberieme Client Address a ťukneme na tlačidlo Create new ACL.

Na stránke, ktorá sa zobrazí, zadajte do poľa ACL Name názov pravidla (napr. vnutorna_siet) a zadefinujte rozsah IP adries, ktoré budú mocť k proxy serveru pristupovať. Ako som už spomínal, nastavujeme povolenie pre všeky stanice v našej sieti, takže do poľa From IP zadáme IP adresu našej siete (napríklad 192.168.1.0) a do poľa Netmask zadáme hodnotu 24 (čo zodpovdá sieťovej maske 255.255.255.0).

Teraz sa hore prepneme na záložku Proxy restriction a pod zoznamom pravidiel ťukneme na odkaz Add proxy restrictions

V ľavom stĺpci vyberieme pravidlo vnutorna_siet, ktoré sme si pred chvílou vytvorili, prepínač prepneme do polohy Allow a uložíme stlačením tlačidla Save.

Teraz pomocou šipky naše pravidlo posunieme nad pravidlo Denny All.

Na koniec ešte reštartujeme Squid.

Nastavenie klientov

Na začiatku sme si nastavili číslo portu, na ktorom proxy server očakáva požiadavky na webové stránky, a to port číslo 3128. Webový klienti však používajú pre komunikáciu iné (štandardné) porty:

• http komunikácia - 80
• https komunikácia - 443
• ftp komunikácia - 21

Všetky tieto služby dokáže Squid obslúžiť, ale je potrebné aby boli posielané na port číslo 3128, to je nutné nastaviť individuálne na každom klientovi. Klientov však ešte nenastavujte, ak chcete používať filtrovanie obsahu stránok, ktorému sa venuje ďalšia kapitola (museli by ste ich potom nastaviť znova).

Napríklad:

Nastavenie v prehliadači Internet Explorer

V hornej ponuke vyberte Nástroje > Možnosti siete internet

Prepnite sa na kartu Pirpojenia a stlačte tlačítko Nastavenie siete LAN.

V časti Server proxy zaškrtnite pole a vyplnte príslušné údaje. 

Nastavenie v prehliadači Firefox

V hornej ponuke vyberte Nástroje > Možnosti (MS Windows) alebo Upraviť > Možnosti (Linux)

Prepnite sa na kartu Sieť a ťuknite na tlačítko Nastavenia.

Prepínač prepnite do polohy Ručné nastavenie parametrov a do okienok vyplnte príslušné údaje:

Nastavenie v prehliadači Opera

V hornej ponuke vyberte Nástroje > Nastavenia. Prepnite sa na kartu Pokročilé voľby, v ľavej časti ťuknite na Pripojenie a potom ťuknite na tlačítko Proxy servery.

V okne, ktoré sa otvorí nastavte príslušné hodnoty:

Nastavenie transparentného proxy servera

Nastavenie, ktoré sme si zatiaľ vytvorili funguje a je pripravené na ďalšie vylepšenia, ako riadenie prístupu, či filtrovanie prevádzky. Ale určite sa zhodneme, že je veľmi pracné nastavoavť všetky klienty samostatne. Riešenie (hoci len čiastočné) tohoto problému je využitie tzv. transparentného proxy servera.

Transparentný proxy server nie je priehľadný, ako by to mohlo navádzať slovo transparent, ale taký proxy server, o ktorom klienti ani nevedia. Naďalej posielajú svoje požiadavky na štandardný port číslo 80 a o zvyšok sa postará server. Pozornejší si určite všimli malú drobnosť, a to že protokoly HTTPS a FTP nemožno týmto spôsobom obslúžiť, preto pre nichplatia naďalej nastavenia predchádzajúcich odsekov.

Pre funkčné nastavenie tohoto riešenia proxy servera je potrebné zmeniť nastavenia na dvoch miestach:

1. nastaviť samotný proxy server
2. nastaviť preklad portov vo firewalle

Začneme natavením proxy - vo Webmin otvoríme vetvu Servery a kliknúť na odkaz Squid Proxy Server. Na stránke ktorá sa zobrazí potom klikneme na Ports and Networking.

Na stránke ktorá sa otvorí prepneme prepínač Proxy addresses and ports do polohy Listed below.., do poľa Port zadáme 3128 a do poľa Options for port napíšeme transparent. Nakoniec nastavenia uložte ťuknutím na tlačidlo Save.

Pokračovať budeme nastavením firewallu - v ľavej časti otvoríme vetvu Sieť a ťukneme na odkaz Linux Firewall. V rozbaľovacom poli vyberieme Network address translation (nat) a ťukneme na tlačidlo Show IPtable. Na stránke, ktorá sa zobrazí v časti PREROUTING ťuknite na modrú šipku v stĺpci Add aby sa nové pravidlo pridalo pred prvé pravidlo.

Teraz zadefinujeme pravidlo, ktoré požiadavky presmeruje:

1. prepneme prepinač Action to take do polohy Redirect,
2. do poľa Source address or network nastavíme Equals 192.168.1.0/24,
3. Incoming interface nastavíme na Equals eth1,
4. Network protocol na Equals TCP a
5. Destination TCP or UDP na Equals Port(s) 80.
6. do poľa Additional parameters zadáme --to-port 3128

a nakoniec nastavenie uložíme ťuknutím na tlačidlo Uložiť.

Teraz je ešte potrebné na stánke firewallu Aplikovať nastavenia

a spustiť script webmin-ipt, aby sa nové pravidlo pre firewall načítalo. Otvoríme položku Systém a klikneme na Štart a vypnutie. Zaškrtneme políčko webmin-ipt a ťukneme na tlačítko Start Selected.

Riadenie prístupu klientov a filtrovanie prevádzky

O tejto možnosti sa dozviete viac v podkapitole

Ako blokovať určité webové stránky v jednotlivých učebniach počas vyučovania

ACL name : ucebna_studenti
From IP : 192.168.1.11
To IP : 192.168.1.20
Netmask :24

ACL name : vyucovanie
Days of weak : pomocou klávesy CTRL+ kliknutie myšou označíme všetky položky od monday po friday (pondelok až piatok)
Hours of the Day : zadáme začiatok a koniec vyučovania napr.: 7:00 to 15:00

ACL Name : problemove_stranky
Domains : .youtube.com

Ako nastaviť školský server, aby dynamicky nastavoval sieťové karty ostatných počítačov

Nastavenie sieťových nastavení na lokálnych počítačoch v sieti je možné pomocu DHCP servera. Tento sa stará o to, aby klient na základe vyslanej požiadavky do siete a následného overenia obdržal IP adresu potrebnú pre fungovanie. Klient v sieti obdrží odpoveď od servera a sám nakonfiguruje sieťové zariadenie, sieťovú kartu. Server prenajme klientovi IP adresu na určitý čas. Ten je závislý od nastavenia. Niekedy však potrebujeme, aby server pridelil klientom vždy tú istú IP adresu. No aj to sa dá ukážeme si to v podkapitole Ako nastaviť školský server, aby prideloval IP adresy na základe MAC adries.

Na nastavenie DHCP nám opäť bude stačiť rozhranie Webmin. Konfigurácia DHCP servera nájdeme pod položku Servery a v nej klikneme na odkaz DHCP. Ak tak urobíme, zistíme, že server DHCP nie je ešte nainštalovaný. V texte sa dozviete, že sa DHCP server nainštalovať aj z tejto stránky. NEROBTE TO!!! Je tu zrejme malá chyba, ktorá spôsobuje, že webmin počas inštalácie so serverom prestane komunikovať. Našťastie sa dá server nainštalovať i iným spôsobom.

Inštalácia DHCP servera pomocou rozhrania Webmin

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes dhcp3-server

(prepínače -f -y a --force-yes zabezpečia , že sa inštalácia vykoná automaticky bez nutnosti odpovedať na otázky)

a stlačte tlačidlo Vykonaj príkaz

Vytvorenie podsiete pre DHCP

Tento krok nie je až taký potrebný ale ukážeme ho, pre prípad že by ste chceli vytvoriť dve podsiete napríklad pre každú školskú budovu jednu. Po nainštalovaní DHCP servera môžete otvoriť Servery a klinúť na odkaz DHCP Server. V novootvorenom okne pridáme novú podsieť kliknutím na odkaz Pridať novú subnet.

Teraz je potrebné zadefinovať rozsah adries, ktoré bude server automaticky prideľovať ostatným počítačom v sieti. Nastavenie sa opäť líši podľa toho, či máte v počítači jednu alebo dve sieťové karty.

Nastavenie, ktoré sme urobili, hovorí, že má server pridelovať počítačom IP adresy s koncovými číslami 100-254. Je samozrejme možné nastaviť celý rozsah napríklad 1-254, no my sme chceli mať možnosť na niektorých počítačoch IP adresu nastaviť ručne. Na ručné nastavenie nám zostal rozsah adries 2-100 resp 3-100 (v prípade jednej sieťovej karty je 1 router a 2 server).

Po zadaní všetkých parametrov stlačíme tlačidlo Vytvor.

Nastavenie údajov pre klientov DHCP servera

Na hlavnej stránke DHCP servera sa v spodnej časti nachádza tlačidlo Edit Client Options. V prípade že ste definovali podsieť, nemusíte klientské nastavenia definovať globálne ale iba pre konkrétnu podsieť (alebo môžete časť zadefinovať globálne a časť pre podsieť).

Na stránke DHCP Servera pribudne nová podsieť. Kliknutím na obrázok znova otvorte jej nastavenia.

V spodnej časti pribudli ďalšie tlačítka. Stlačte tlačítko Edit Client Options.

Do okienok nastavte nasledujúce údaje v závislosti od počtu sieťových kariet na serveri:

NEZABUDNITE PREPNÚŤ PREPÍNAČE DO POLOHY VEDĽA ZADANÝCH ÚDAJOV!!! Nakoniec stlačte tlačidlo Uložiť a na ďalšej strane zovu stlačte tlačidlo Uložiť.

Spustenie DHCP servera

Teraz stačí spustiť DHCP server kliknutím na tlačidlo Spustiť server.

Po spustení môžeme funkčnosť otestovať tak, že na klientskej stanici nastavíme v sieťových nastaveniach "Získať IP adresu automaticky" a "Získať adresu DNS automaticky" (Platí pre Windows XP, v ostatných systémoch sú tieto nastavenia podobné). Po reštarte počítača by si počítač mal sám zistiť sieťové nastavenia od DHCP servera. To znamená, že po reštarte by mal fungovať i internet - stačí teda otvoriť internetový prehliadač a ten by mal načítať internetovú stránku (ak v ňom nemáte nastavený iný počítač ako proxy server).

Problém môže nastať v prípade, že máte iba jednu sieťovú kartu. V tom prípade je v sieti ešte jeden DHCP server - Router CISCO. Občas sa teda môže stať, že klienstská stanica získa nastavenia od Routra CISCO miesto od Nášho servera. Preto je potrebné požiadať o vypnutie DHCP servera na Routri Cisco. POZRI ako-zabezpecit-aby-bol-skolsky-server-viditelny-z-internetu

V prípade dvoch sieťových kariet by malo byť všetko v poriadku ak je jedna sieťová karta pripojená do routra a druhá do switchu, pričom router a switch nesmú byť navzájom prepojené.

ipconfig /all

Konfigurace IP systému Windows 2000

        Název hostitele . . . . . . . . . : nazovpc
        Primární přípona DNS. . . . . . . :
        Typ uzlu. . . . . . . . . . . . . : Vysílání
        Používá směrování IP. . . . . . . : Ne
        Používá server proxy WINS . . . . : Ne
        Seznam vyhledávání přípon DNS . . : vasadomena.edu.sk

        Názov hostiteľa. . . . . . . . . . . . . : nazovpc
        Primárna prípona názvu DNS . . . . . . . :
        Typ uzla . . . . . . . . . . . . . . . . : Neznámy
        Smerovanie protokolu IP povolené . . . . : Nie
        WINS Proxy Enabled . . . . . . . . . . . : No

Adaptér siete Ethernet Local Area Connection:

        Prípona DNS špecifická pre pripojenie  . :
        Popis. . . . . . . . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
        Fyzická adresa . . . . . . . . . . . . . : 08-00-27-49-EB-DC
        DHCP zapnuté . . . . . . . . . . . . . . : Áno
        Automatická konfigurácia zapnutá . . . . : Áno
        Adresa IP. . . . . . . . . . . . . . . . : 192.168.1.151
        Maska podsiete . . . . . . . . . . . . . : 255.255.255.0
        Predvolená brána . . . . . . . . . . . . : 192.168.1.1
        Server DHCP. . . . . . . . . . . . . . . : 192.168.1.1
        DNS Servers. . . . . . . . . . . . . . . : 192.168.1.1
        Prenájom získaný . . . . . . . . . . . . : 1. februára 2009 10:38:56
        Prenájom uplynie . . . . . . . . . . . . : 2. februára 2009 10:38:56

ifconfig -a

eth0      Link encap:Ethernet  HWaddr 00:0e:2e:9e:58:7e  
          inet addr:192.168.1.151  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe9e:587e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7653 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8581 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:4679283 (4.6 MB)  TX bytes:1459824 (1.4 MB)
          Interrupt:18 Base address:0xf400 

Ako nastaviť na školskom serveri filtrovanie webových stránok podľa obsahu

Ak ste sa rozhodli, že chcete obmedziť žiakom prístup na stánky, na ktorých je nevhodný obsah, môžete využiť tzv. Content filter - filter obsahu. Jedným z takýchto filtrov je DansGuardian. Na rozdiel od bežných webových filtrov, ktoré udržiavajú obrovské zoznamy zakázaných URL adries, tento filter funguje ako skutočný filter obsahu t.j. vážením výrazov určí či je stránka vhodná alebo nevhodná, dokonca dokáže filtrovať aj obrázky a tiež dokáže filtrovať i URL adresy ako bežné filtre.

Inštalácia

Najskôr musíme DansGuardian nainštalovať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes dansguardian

a stlačte tlačidlo Vykonaj príkaz. Potom ešte treba chvíľu počkať kým sa proxy server Squid nainštaluje. Potom ako bude inštalácia hotová, zjaví sa priebeh inštalácie.

Úprava konfiguračného súboru

Aby bol konfiguračný súbor funkčný je potrebné odstrániť riadok 'UNCONFIGURED' (nekonfigurované)

Tento krok je potrebné vykonať priamo na serveri alebo cez SSH prístup (ako sa pripojiť ku školskému serveru cez ssh).

• Spustíme Midnight commander príkazom

sudo mc 

• Prejdeme k súboru

/etc/dansguardian.conf

• Stlačíme F4
• Pred slovo UNCONFIGURED (tretí riadok) dopíšeme # (pravý alt+x)
• Uložíme F2
• Ukončíme editáciu ESC
• Ukončíme Midnight Commander F10

Pridanie modulu do rozhrania Webmin

Aby sa dali zmeniť niektoré nastavenia DansGuardianu, je potrebné do rozhrania Webmin doinštalovať nový modul. Do rozhrania webmin ho vložíme tak, že najskôr ťukneme na vetvu Webmin, potom na odkaz Konfigurácia Webminu a na stránke ktorá sa otvorí, ťukneme na Moduly Webminu.

Na stránke, ktorá sa zobrazí, prepneme prepínač do polohy Moduly tretích strán z a ťukneme na tlačítko Vyber.

V ponuke, ktorá sa otvorí vyberte Dansguardian.

Do okienka sa načítala adresa s miestom, kde je modul uložený, takže už stačí ťuknúť iba na Inštaluj modul.

Nakoniec ešte obnovíme stránku pomocu tlačidla v prehliadači aby sa nám zobrazil odkaz na práve nainštalovaný modul.

Nastavenie predávania dát s proxy serverom Squid

Aby DansGuardian správne fungoval, je potrebné zmeniť načúvací port pre Squid a nastaviť Dansguardian aby svoje požiadavky posielal Squidu. To môžeme urobiť keď ťukneme na vetvu Servery, v nej ťukneme na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťukneme na View/Edit Config.

V tomto nastavení sa dozviete, že DansGuardian načúva na porte 8080 a svoje požiadavky posiela na port 3128, na ktorom načúva proxy server Squid.

Presmerovanie požiadaviek klientov na port dansguardianu

Toto nastavenie vykonáme pomocou nastavení firewallu. V ľavej časti otvoríme vetvu Sieť a ťukneme na odkaz Linux Firewall. V rozbaľovacom poli vyberieme Network address translation (nat) a ťukneme na tlačidlo Show IPtable. Na stránke, ktorá sa zobrazí v časti PREROUTING ťuknite na pravidlo Redirect, ktoré sme vytvorili v minulej časti.

Do poľa Additional parameters zadáme miesto --to-port 3128 novú hodnotu --to-port 8080

a nakoniec nastavenie uložíme ťuknutím na tlačidlo Uložiť.

Teraz je ešte potrebné na stánke firewallu Aplikovať nastavenia

a spustiť script webmin-ipt, aby sa nové pravidlo pre firewall načítalo. Otvoríme položku Systém a klikneme na Štart a vypnutie. Zaškrtneme políčko webmin-ipt a ťukneme na tlačítko Start Selected.

Nastavenie filtrov DansGuardianu

Filtre DansGuardianu sú veľmi agresívn, takže sa vám spočiatku bude stávať, že dansguardian občas zablokuje i to, čo by nemal. Je v ňom tiež prednastavené, blokovanie sťahovania súborov s určitými príponami. Z tohto dôvodu by na staniciach s operačným systémom nefungovali aktualizácie.

Zlé nastavenie tohto nástroja môže mať za následok, že sa stránky nebudú korektne načítavať!!! Ak zistíte, že vám niečo nefunguje pravdepodobne bude príčina práve v zlom nastavení tohto servera!!!

Ťuknime teda na vetvu Servery, v nej ťukneme na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťuknime na View/Edit Groups.

Otvorí sa nám zoznam pravideil skupiny. Pravidlá sú rozdelené podľa významu takto:

• bannedphraselist - zoznam zakázaných fráz
• exceptionphraselist - zoznam povolených fráz
• weightedphraselist - zoznam vážených fráz
• bannedsitelist - zoznam zakázaných stránok
• greysitelist - zoznam stránok, ktorým nemá byť kontrolovaná adresa ale iba obsah
• exceptionsitelist - zoznam stránok, ktoré vôbec nemajú byť kontrolované
• bannedurllist - zoznam zakázaných adries URL
• greyurllist - zoznam URL adries, ktorým nemá byť kontrolovaná adresa ale iba obsah
• exceptionurllist - zoznam URL adries, ktoré vôbec nemajú byť kontrolované
• bannedregexpurllist - zoznam zakázaných výrazov v adresách URL
• bannedextensionlist - zoznam zakázaných prípon súborov
• bannedmimetypelist - zoznam zakázaných MIME typov
• pics - pravidlá načítavania obrázkov
• contentregexplist - zoznam cenzurovaných výrazov

Zakázané prípony

Spomedzi pravidiel najskôr vyberieme do zoznamu zakázaných prípon bannedextensionlist.

Prípony v súbore sú rozdelené na štyri časti:

1. Súbory so spustiteľným kódom (exe, com, bat, dll...) - to sú súbory v ktorých sa môže nachádzať škodlivý kód ako napr. vírusy
2. Súbory ktoré síce nie sú spustiteľné, ale môžu obsahovať tzv. makrá, ktoré škodlivý kód obsahovať môžu (doc, xls).
3. Ostatné súbory, ktoré môžu obsahovať spustiteľný kód (zip, rar)
4. Súbory, ktoré zahlcujú šírku prenosového pásma (videá, mp3, ...).

Spočiatku sú zakázané takmer všetky prípony. Odporúčame teda veľmi starostlivo zvážiť, ktoré prípony zakážete, a ktoré necháte povolené. minimálne odporúčame povoliť súbory cab, dll a msi, bez ktorých nefunguje automatická aktualizácia MS Windows (samozrejme môžete aktualizáciu na klientoch vykonávať i ručne ak v prehliadač dočasne zmeníte nastavenie proxy servera na port 3128). Povolíte ich tak, že pred príponu dopíšete znak # (na slovenskej klávesnici AltGR + x).

Zakázané MIME typy

Súbor bannedmimetypelist obsahuje MIME typy, ktoré určujú aký typ obsahu sa môže prehrať v prehliadači priamo zo stránky. Povolené sú všetky typy ale ak chcete kvôli zrýchleniu komunikácie žiakom zakázať prehrávanie niektorého typu (napr. videa), stačí vymazať znak # pred daným typom.

Zakázané výrazy v adresách URL

V súbore bannedregexpurllist sa nachádzajú pravidlá, ktoré zablokujú URL adresy, ktoré obsahujú určitý výraz. Pri nastavení pravidiel buďte opatrní, pretože ak napríklad vložíte výraz "sex" nezablokujete len sex.com ale tiež middleesex.com.

Zakázané adresy URL

V súbore bannedurllist sa nachádza zoznam zakázaných URL adries. Uožňuje zakázať adresy ako napríklad http://www.domena.com/porno

Zakázané stránky

V súbore bannedsitelist sa nachádza zoznam zakázaných URL adries. Uožňuje zakázať adresy ako napríklad porno.com

Zakázané frázy

V súbore bannedphraselist môžeme zadefinovať slová alebo výrazy, ktoré spôsobia zablokovanie stránky.

V súbore sa už nachádzajú tri zoznamy

.Include</etc/dansguardian/phraselists/pornography/banned> - pornografia
.Include</etc/dansguardian/phraselists/illegaldrugs/banned> - nelegálne drogy
.Include</etc/dansguardian/phraselists/gambling/banned> - hazard, stávkovanie

Tu odporúčame posledný zoznam zrušiť, pretože je málo pravdepodobné, že žiaci budú vyhľadávať stávkovanie v cudzom jazyku.

Ak chcete zadefinovať nové pravidlá tak sa to robí takto:

• Každý výraz či slovo je potrebné vložiť do zátvoriek < >
• < test> bude platiť pre každé slovo začínajúce "test"
• <test > bude platiť pre každé slovo končiace "test"
• <test> bude platiť pre každé slovo obsahujúce "test"
• < test > bude platiť iba pre slovo "test"
• <presná fráza> bude platiť iba pre presnú frázu
• <test>,<druhytest> bude platiť iba ak sa na stránke nájdu obe slová
• samozrejme je možné pravidlá kombinovať napr.:< test>,<druhytest>

Napríklad môžete zadefinovať takéto pravidlá:

<Videa>,<Bradavky>
<Fotky>,<Prsia>

Zoznamy s výnimkami

Veľmi užitočné je definovať výnimky spomedzi stránok URL adries a fráz, ktoré Dansguardian nemá blokovať.

Napríklad v súbore so stránkami exceptionsitelist môžete zadefinovať takéto výnimky:

dansguardian.org
windowsupdate.microsoft.com
windowsupdate.com
post.sk
pobox.sk
forum.ubuntu.cz
edu.sk

Šedé zoznamy

Zoznamy greyurllist a greysitelist umožňujú pre určité stránky vypnúť hľadanie zakázaných výrazov v adrese URL ale ponechávajú zapnuté filtrovanie obsahu.

Zoznam vážených výrazov

V súbore weightedphraselist je možné definovať zlé a dobré výrazy tak, že každemu výrazu sa priradí hodnota. Napríklad výrazom sex a tvrdý priradíme kladnú - zlú hodnotu <sex><20> <tvrdý><10> a výrazu výchova priradíme zápornú - dobrú hodnotu <výchova><-100>. Výsledok bude ten, že ak sa na stránke bude nachádzať "tvrdý sex" tak sa stránka zablokuje ale ak tam bude "sexuálna výchova" spolu s "tvrdý penis" stránka sa povolí. Jediný háčik je diakritika - je potrebné použiť iba slová alebo časti slov bez diakritiky.

Aby sa stránky tak často neblokovali je potrebné práve do tohto súboru definovať niektoré slovenské výrazy a naopak cudzojazyčné zoznamy slov odstránte.

Príklad niekoľkých dobrých slov.

<enstvo><-10>
<kolstvo><-10>
<vzdel><-10>
<chova><-10>
<veda><-10>
<politika><-10>
<zdravie><-10>

Zoznam cenzurovaných slov

V súbore contentregexplist môžeme zadefinovať slová, ktoré sa majú nahradiť napríklad slovom "cenzurované". S touto funkciou však narábajte veľmi opatrne, pretože môže spôsobiť že sa nahradia aj HTML značky a ich parametre, čo bude mať za následok nefunkčnosť niektorých stránok.

Tu je príklad ako súbor môže vyzerať (ospravedlňujeme sa za vulgarizmy, ktore sme použili ako ukážku):

" kokot | kokoty | kokot "->" **cenzurované** " 

Vypnutie filtra pre určité počítače a používateľov

Samozrejme je možné zadefinovať používateľou ale IP adresy počítačov, ktorým sa stránky nebudú filtrovať. Ale je tiež možné zadefinovať zoznam používateľov a IP adresy počítačov, ktorým sa má uplne zablokovať prístup na internet.

Stačí ťuknúť na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťuknime na View/Edit Files.

Aplikovanie nových nastavení

Po tom ako zmeníte pravidlá filtrovania je potrebné reštartovať DansGuardian.

Ochrana Dansguardianu pred neoprávneným prístupom z vonkanšej siete

Dansguardian bohužiaľ nemá možnosť ochrany proti prístupu z vonkajšej siete. Toto je možné zabezpečiť dvoma sôsobmi. Jeden je autentifikácia prebraná od proxyservera Squid a druhým je ochrana pomocou firewallu. Prvý spôsob by vyžadoval aby sa pri každom pokuse pripojiť na internet používateľ zadal svoje heslo, čo je dosť obmedzujúce, preto sme zvolily druhý spôsob.

Otvorte vetvu Sieť a ťuknite na odkaz Linux Firewall. Na stránke ktorá sa otvorí vytvoríme nové pravidlo nad prvé pravidlo Drop (predpokladáme že už máte vytvorené pravidlá firewallu), ťuknutím na modrú šípku smerujúcu nahor.

Nastavíme takéto vlastnosti:

Prepínač Action to take prepneme do polohy Drop
Network Protocol nastavíme na Equals TCP
Destination TCP or UDP port nastavíme na Equals port 8080

Ťukneme na tlačidlo Uložiť.

Na stránke s pravidlami ťukneme na tlačidlo Apply Configuration

Nakoniec ešte musíme znova načítať pravidlá firewallu.

Otvoríme vetvu Systém a ťukneme na odkaz Štart a vypnutie. Zaškrtneme pravidlo webmin-ipt a ťukneme na tlačítko Start.

Ako vytvoriť nových používateľov školského servera

Novým používateľom, ktorých vytvoríme na serveri sa automaticky vytvorí ich domovský priečinok, v ktorom budú mať mimo iného i priečinok kam sa bude ukladať pošta.

Otvoríme vetvu Systém a klikneme na Users and Groups. Na otvorenej stránke ťukneme na odkaz Create a new user.

Teraz zadáme pre používateľa prihlasovacie meno do políčka Username, jeho skutočné meno do poľa Real name, do poľa Normal password zadáme pre neho rovnaké heslo ako je jeho prihlasovacie meno. Ak sa jedná o žiaka zaradíme ho do novej skupiny, ktorú nazveme podľa jeho triedy. Nakonies stlačíme tlačidlo Vytvor

Pri vytváraní ďalšieho používateľa z rovnakej skupiny už skupinu stačí do poľa Existing group uviesť už existujúcu skupinu alebo vybrať zo zoznamu pomocou tlačidla za týmto poľom.

Ako preberať poštu z doménového koša na vzdialenom serveri na školský server

Teraz, keď už máte vytvorených používateľov, môžeme nastaviť odosielanie a prijímanie pošty. Všetky školy zapojené do projektu Infovek mali zriadený doménový kôš na ST Online. Do doménového koša prichádza všetka pošta určená pre školu. Z tohto koša ho potom školský server môže preberať a triediť svojím používateľom. Školy mali tiež možnosť požiadať miesto doménového koša o tri emailové adresy. Ak je to váš prípad, je možné opätovne požiadať o obnovu doménového koša, no lepšou možnosťou je požiadať o zmenu DNS záznamu aby sa pošta doručovala priamo na váš server. Túto možnosť si ukážeme v nasledujúcej kapitole

Preberanie pošty z doménového koša

Najskôr musíme nainštalovať program, ktorý bude poštu preberať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes fetchmail

Otvorte vetvu Servery a ťuknite na odkaz Fetchmail Mail Retrieval. Do poľa zadajte meno používateľa, u ktorého sa bude pošta triediť a nakoniec stlačnte tlačidlo Add Fetchmail server for user.

Na stránke ktorá sa otvorí nastavte nasledujúce parametre:

• Server name: mail.stonline.sk
• Protocol: Pop3
• Authentication method: PASSWORD
• Remote user: - login k doménovému košu na ST Online
• Remote password: - heslo k doménovému košu na ST Online
  
• Local user(s): *
• Leave messages on server? Nie
• Always fetch all messages? Ano

Nakoniec údaje uložte kliknutím na tlačidlo Vytvor.

Teraz si môžete overiť funkčnosť kliknutím na odkaz Check All Servers. Mala by sa prevziať pošta aroztriediť medzi používateľov.

Nastavenie triedenia pošty používateľom

Bohužiaľ cez rozhranie Webmin sa nedá urobiť všetko (aspoň zatiaľ nie). Niektoré veci bude potrebné urobiť ručne. Prihlásime sa teda na server pomocou SSH prístupu (Ako sa pripojiť ku školskému serveru cez ssh) a spustíme Midnight commander (zadaním sudo mc). V domovskom priečinku sa nachádza súbor .fetchmailrc, ktorý otvoríme (F4) a doplníme hrubovyznačené riadky.

poll mail.stonline.sk with

proto POP3

auth password
localdomains <domena.edu.sk>
envelope 'Original-recipient:' qvirtual 'rfc822;'
user <login>
pass <heslo> 
is *
nokeep
fetchall

Samozrejme výrazy v zátvorkách <> je potrebné nahradiť vašimi hodnotami.

Okrem týchto dvoch riadkov odporúčame na začiato dopísať tieto tri nastavenia:

Nastaviť komu majú byť doručované nedoručiteľné správy.

set postmaster <spravca@domena.edu.sk> 

Zakázanie posielania chabových správ

set no bouncemail

a nastavit aby sa neupravovali hlavičky emailov.

set invisible 

Nakoniec súbor uložíme (F2).

Nastavenie pravidelnej kontroly novej pošty v doménovom koši

Ako nastaviť doménové mená školskému serveru.

O doménovom serveri sme už hovorili v časti o ukladaní doménových mien. V tejto časti si povieme ako priradiť doménové mená nášmu serveru.

Ak správne nastavíme DNS, potom môžeme k serveru pristupovať miesto IP adresy iba pomocou jeho mena. Rovnako môžeme serveru nastaviť i viacero mien napríklad mail.nasadomena.edu.sk.

Domenové mená sa definujú do zón. Jeden zónový súbor by mal obsahovať údaje o jednej doméne, adresách v rámci tejto domény a umožňuje preklad doménového mena servera na jeho IP adresu. Na opačný preklad slúžia reverzné zónové súbory, ktoré definujú záznamy v špeciálnej doméne "in.addr-arpa". Reverzné DNS záznamy nie sú vo všeobecnosti povinné, mnoho služieb ich však vyžaduje (napr. niektoré konfigurácie mailových serverov neprijímajú maily od serverov bez reverzného záznamu) a preto by ste ich mali používať minimálne pre vaše servery, ktoré komunikujú s Internetom.

Viac informácií nájdete na http://deja-vix.sk/sysadmin/dns.html

Vytvorenie hlavnej zóny

Otvorte vetvu Servery a ťuknite na odkaz BIND DNS Server. Na stránke, ktorá sa otvorí, ťuknite na odkaz Create master zone.

• Do poľa Domain name / Network zadajte vasadomena.edu.sk
• do poľa Master server zadajte ns.vasadomena.edu.sk
• do poľa Email address zadajte email spravca@vasadomena.edu.sk

Miesto vasadomena zadajte vašu doménu vašej školy (my sme zadali gymkremnica).

Vytvorenie hlavnej reverznej zóny

Vrátime sa späť nastránku BIND DNS Server a znova ťukneme na odkaz Create master zone.

Tento raz však prepínač Zone type prepneme do polohy Reverse (Addresses to Names). Ostatné parametre nastavíme takto

• Do poľa Domain name / Network zadajte začiatok vašej IP adresy v sieti EDU#Net v tvare 10.x.y (bez koncovej bodky)
• do poľa Master server zadajte ns.vasadomena.edu.sk
• do poľa Email address zadajte email spravca@vasadomena.edu.sk

Definovanie adries

Po vytvorení zón, na stránke zóny vasadomena.edu.sk ťuknite na Adress.

Teraz zadefinujeme všetky mená, ktoré chceme priradiť serveru. Meno definujem vždy aj s doménou a na jeho konci vždy dáme bodku. Mená sa automaticky vytvoria i v reverznej zóne.

Zadefinujme teda nasledujúce mená:

Name: Server1.vasadomena.edu.sk.
Address: 10.x.y.2

Name: vasadomena.edu.sk.
Address: 10.x.y.2

Name: mail.vasadomena.edu.sk.
Address: 10.x.y.2

Name: ns.vasadomena.edu.sk.
Address: 10.x.y.2 

Kde Server1 je meno servera a x a y sú čísla z IP adresy vašej školy v rámci siete EDU#Net.

Zadefinovanie menného aliasu pre službu WWW

Menný alias pre www službu zadefinujeme kliknutím na Name Alias.

Zadajte nasledujúce údaje:

Name: www.vasadomena.edu.sk.
Real Name: Server1

Nezabudnite na konci bodku.

Zadefinovanie mena poštového servara

Na stránke Zéony ťuknite na odkaz Mail Server.

Zadajte nasledujúce údaje:

Name: vasadomena.edu.sk.
Mail Name: mail.vasadomena.edu.sk.
Priority: 10 

Nezabudnite na bodku na konci záznamov.

Vytvorenie reverznej zóny

Nakoniec ešte aplikujte nastavenia kliknutím na tlačidlo Apply Changes.

Týmto sme vytvorili všetky potrebné záznamy pre server. Neskôr však ale ešte pridáme záznamy o ďalších počítačoch v našej sieti. 

Ako vytvoriť Maildir pre IMAP/POP server "Courier IMAP"

    * dokumentácia k adduser 

man adduser

    * pohľadajte zmienku o súbore adduser.local
    * nájdete, že mal by sa mal nacházať v 

/usr/local/sbin/adduser.local

    * ak tam nie je, tak ho vytvorte, argumenty do tohto súboru: username uid gid home-directory
    * to je vlastne nejaký post-adduser skript. Keď vytvoríte usera, adduser na konci zavolá adduser.local (musí byť spusiteľný) a v ňom možete vykonať ďalšie operácie 

V podstate, potrebujete tam dať niečo ako:

maildirmake ${4}/Maildir
chown -R ${2}:${3} ${4}/Maildir

ak

${2} je uid
${3} je gid
${4} je homedir

    * skúste pridať tie dva riadky uvedené vyššie, do adduser.local, potom 

chmod 700 adduser.local

a pridajte nejakého usera. Malo by to vytvoriť aj Maildir v jeho domácom adresári.

ls -la ~peter/Maildir ? 

drwx------  7 peter peter 4096 Dec 22 11:17 .
drwxr-xr-x  3 peter peter 4096 Dec 22 10:48 ..
drwx------  6 peter peter 4096 Dec 22 11:17 .Trash
drwx------  2 peter peter 4096 Dec 22 10:48 courierimapkeywords
-rw-r--r--  1 peter peter   12 Dec 22 11:17 courierimapsubscribed
-rw-r--r--  1 peter peter   15 Dec 22 10:49 courierimapuiddb
drwx------  2 peter peter 4096 Dec 22 10:48 cur
drwx------  2 peter peter 4096 Dec 22 10:48 new
drwx------  2 peter peter 4096 Dec 22 11:19 tmp

TEX v Moodle

Dobry den,

Nainstaloval Moodle na
skolsky server UBUNTU. Funguje az na jednu malickost: neviem pisat
matematicke vzorce. V Moodle som v nastaveniach povolil v Moduloch
Filter TEX, ktory to umoznuje. Ked som to spravil cvicne doma na
pocitaci kde mam XAMPP, vsetko bolo OK. Nahral som to na skolsky
server a tam sa vzorec nepodarilo zobrazit. Ine obrazky, vlozene sa
daju zobrazit. Myslim si, ze chyba bude niekde v nastaveniach servera.
V prilohe pripajam obr.

Dakujem za radu.

Navoy.

Ako nastaviť poštový server na školskom serveri

V predchádzajúcej časti sme hovorili ako prevziať poštu z doménového koša. Doménový kôš však nie je najšťastnejšie riešenie, najmä kvôli tomu, že do nej môže prísť aj mail pre neexistujúceho používateľa. Napríklad ak niekto pošle mail abrakadabra@vasadomena.edu.sk tak príde do doménového koša. Navyše niektoré školy si už požiadali o nahradenie doménového koša tromi mailovými adresami. Rozhodne je teda lepšie, požiadať o zmenu DNS záznamov aby sa pošta doručovala priamo na váš server.

Poštový server však potrebujete i v prípade, že používate doménový kôš. Odosiela sa cez neho pošta.

Hlavné nastavenia poštového servera Postfix

Otvorte vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz General Options.

Nasledujúce parametre nastavte takto:

• What domain to use in outbound mail: Use domainname
Otvorte vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz
• What domains to receive mail for: edunet-static-c.87-a-b.telecom.sk, domenaskoly.edu.sk, Server1.domenaskoly.edu.sk, localhost.domenaskoly.edu.sk, Server1.localdomain localhost.localdomain, localhost
• Internet hostname of this mail system: domenaskoly.edu.sk
• Local networks: 127.0.0.0/8, 192.168.1.0/24, 87.a.b.c

Kde domenaskoly je názov vašej domény v rámci siete EDU#net a a,b,c sú čísla IP adres, ktorú vám pridelí T-com. Server1 je názov vášho servera, ktorý ste mu dali pri inštalácii.

Nastavenie SMTP servera

Tu do poľa Restrictions on recipient nastavte obmedzenia permit_mynetworks reject_unauth_destination.

Toto nastavenie je veľmi dôležité, ak ho neurobíte, bude môcť ktokoľvek prostredníctvom vašeho servera odoslať poštu, takže sa stanete rozosielateľmi nevyžiadanej pošty - spamu, čo bude viesť k zápisu vašej adresy do tzv. Blacklistov a ostatné serveri prestanú prijímať od vás poštu.

Nakoniec stlačte tlačidlo Save and Apply.

Vytvorenie Open SSL certifikátu

Prihláste sa pomocou SSH k serveru (Ako sa pripojiť ku školskému serveru cez ssh). Zadajte príkaz, ktorý vygeneruje certifikáty.

openssl req -new -outform PEM -out ssl-cert-snakeoil.pem -newkey rsa:2048 -nodes -keyout ssl-cert-snakeoil.key -keyform PEM -days 3650 -x509 

V tomto riadku je pre vás užitočné vedieť, že hodnota 3650 je dĺžka platnosti certifikátu. Takže takto nastavenou hodnotou vygenerujeme certifikát, ktorý bude platný približne 10 rokov. Samozrejme ak sa vám zdá, že je to z hľadiska bezpečnosti príliž dlhá doba, tak môžete zvoliť menšiu hodnotu.

Na otázky odpovedajte takto:

Country name: SK
State or Provicne Name: Slovak Republic
Locality Name: Vaše mesto (v našom prípade Kremnica)
Organization Name: Názov vašej školy (v našom prípade Gymnázium)
Organization Unit Name: nechať nevyplnené (iba stlačiť enter)
Comon Nam: mail.vasadomena.edu.sk (v našom prípade mail.gymkremnica.edu.sk)
Email Address: spravca@vasadomena.edu.sk

Súbory s certifikátmi presuňte do správnych priečinkov.

sudo mv ssl-cert-snakeoil.key /etc/ssl/private/
sudo mv ssl-cert-snakeoil.pem /etc/ssl/certs/

Teraz sa znova vrátime do rozhrania Webmin otvoríme vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz SMTP Authentication And Encryption.

Na nej skontrolujeme správnu cestu k certifikátom.

Nakoniec je ešte potrebné zastaviť a znova spustiť Postfix.

Rovnako skontrolujeme nastavenia certifikátov v nastaveniach Dovecot IMAP/POP3 Servera.

Nastavenie poštového klienta

Pravdepodobne najvhodnejším klientom pre poštu je Mozilla Thunderbird. Funguje rovnako dobre v operačných systémoch MS Windows i Linux.

Po inštalácii na klientskom počítači zvolíme vytvorenie nového poštového účtu.

Zadáme celé meno používateľa a jeho emailovú adresu (predpokladáme, že ste používateľské kontá na serveri už vytvorili).

Zvolíme Imap prístup a server pre príjem i odosielanie pošty nastavte ako mail.vasadomena.edu.sk (v našom prípade mail.gymkremnica.edu.sk).

Ako používateľksé meno pre príjem pošty zadajte login používateľa.

Nazov účtu môžeme nechať nezmenený.

Na ďalšej obrazovke môžeme skontrolovať správnosť údajov.

Teraz je potrebné nastaviť šifrované spojenie so serverom. Zvolte Nástroje > Nastavenie účtov (MS Windows) alebo Úpravy < Nastavenie účtov.

V ľavej časti ťukneme na Nastavenie servera a prepínač prepneme do polohy TLS, ak je k dispozícii.

Teraz v ľavej časti ťukneme na Server pre odosielanie pošty a ťukneme na tlačidlo Upraviť.

V dialógovom okne opäť prepínač nastavte do polohy TLS, ak je k dispozícii a stlačte tlačidlo OK.

Nakoniec ešte môžeme nastaviť aby Thunderbird dôveroval označenie spamu SpamAssassinom.

Po potvrdení tlačidlom OK Vás Thunderbird upozorní na certifikát a spýta sa či ho chcete akceptovať. Zvolte trvalé akceptovanie.

Pred pripojením na server sa vás Thunderbird spýta na heslo používateľa. Ak sa pripája používateľ z domáceho počítača, môžu zvoliť uloženie hesla. AK sa však pripájajú na verejnom mieste tak je potrebné používateľov poučiť aby túto možnosť nepoužili.

Ako presunuť webovú stránku z webhostingu na školský server

Každá škola má od T-comu pridelený webový priestor s veľkosťou 30MB. Niektorým školám takýto priestor nestačil, a preto si niektoré požiadali o rozšírenie webového priestoru na 100 MB. Tiež je možnosť u T-comu požiadať o dynamicky web s podporou PHP a MySQL, ich server však beží na Windows, preto o každú zmenu nastavení treba žiadať, čo je dosť nepraktické. V prípade, že ste sa rozhodli nainštalovať školský server podľa nášho návodu je celkom dobré premiestniť naň aj webovú stránku.

Pred tým, ako požiadate o zmenu DNS záznamu v T-come aby vasmu serveru pridelil verejnu IP adresu a nastavil preklad adries, je potrebné aby ste celý obsah webu presunuli z webhostingu v T-come na váš server. Je to možné urobiť tak že sa prihlásite na server (pomocou prgramu Putty alebo priamo) a spustíte Midnight Commander (dalej MC).

sudo mc 

V ľavom okne sa nastavte do priečinka /var/www.  Potom sa stlačením F9 sa dostanete do hornej ponuky, v ktorom sa nastavte na vpRavo a stlačte  kláves Enter. Zjaví sa ponuka, v ktorej vyberte FTP pripojenie.

Do okna zadajte:

login:heslo@www.vasadomena.edu.sk 

Po pripojeni oznacte vsetky priečinky a súbory vo vašom webpriestore pomocou klávesy Ins (prefarbia sa na žlto) a zvolte kopírovať stlačením F5.

Po prekopírovaní je ešte potrebné zmeniť oprávnenia na súbory aby ich mohli všetci pozerať z internetu. Vypnite panely stlačením Ctrl+o a zadajte príkaz:

chown -R www-data.www-data /var/www 

Teraz môžete otestovať či sa stránka zobrazí, ak na ľubovoľnom klientskom počítači do prehliadača zapíšete ako adresu IP adresu servera 192.168.1.1 (dve sieťové karty) alebo 10.x.y.2 (jedna sieťova karta). 

Ako zabezpečiť aby bol školský server viditeľný z internetu?

Aby bol server viditeľný z internetu, je potrebné požiadať o zmenu DNS záznamov.

Môžete tak urobiť pomocou kontaktného formuláru na stránke

http://skoly.infovek.sk

1. Na tejto stránke sa prihláste pomocou čísla školy prideleným projektom Infovek a príslušným heslom.
2. Kliknite na Formulár
3. Vyberte Žiadosť o zmenu DNS záznamu domény pod EDU.SK
4. Napíšte žiadosť takéhoto znenia:

IC: vase cislo infoveku
DOMENA: vasa doména
DNS: Presmerovanie záznamov na náš server

Pred požiadaním sa uistite, že ste vykonali všetky potrebné kroky:

• skopírovali ste svoju web stránku z webhostingu na svoj server
• definovali ste pravidlá firewallu
• vytvorili ste používateľov pre príjem pošty
• nastavili ste dns server
   
• nastavili ste poštový server

prosíme o

• pridelenie verejnej IP adresy z rozsahu 87.a.b.c
• preklad adresy z adresy 87.a.b.c na 10.x.y.2 tak aby sa web otváral priamo z nášho servera - kde x a y sú čísla vašej IP adresy v sieti internet a posledné číslo je číslo počítača vo vašej sieti (ak ste postupovali podľa nášho návodu je to 2)
• vytvorenie resp. zmenu zaznamu, tak aby www.vasadomena.edu.sk smerovala na vas server.
• vytvorenie nového záznamu mail.vasadomena.edu.sk, ktorý bude ukazovať na adresu nášho servera t.j. s 87.a.b.c pre vonkajší svet a 10.x.y.2 pre vnútornú sieť medzi školami v sieti EDUNET
• zmenu MX záznamu pre našu doménu tak, aby ukazoval na DNS meno mail.vasadomena.edu.sk (miesto vasadomena zadáte vašu doménu napr. pre nás by bola adresa mail.gymkremnica.edu.sk)
• Vypnutie DHCP na routeri CISCO
• Povolenie portov pre sužby www, https, pop3, smtp, imap, imaps, pop3s, a port 10000 (nemusíte žiadať všetky, len tie ktoré budete používať. môžete tiež žiadať i ďalšie porty, alebo ak máte server s dvoma kartami tak môžete požiadať o full trafic - v prípade iba jednej karty full trafic nie je bezpečný)

Infolinka Infoveku

tel: 0800/123369

email: infovek@telecom.sk

Ako nainštalovať webmail na školskom serveri

V prípade, že požiadate o otvorenie portov pop3, imap a smtp, používatelia si môžu nastaviť svojich emailových klientov i doma. Menej skúsený používatelia však túto možnosť nebudú využívať. Aby sme umožnili používanie mailových schránok používateľom i z domu, je potrebné použiť oveľa bežnejšiu službu internetu - WWW. Služba, ktorá umožňuje používateľom prístup ku svojim emailovým schránkam prostredníctvom služby www sa volá Webmail.

Na výber je niekoľko rozhraní. Najviac rozšírenými su tieto:

• Squirrelmail
• Open WebMail
• Horde
• RoundCube

Všetky štyri rozhrania majú i podporu slovenského jazyka. Čo sa týka ostatných parametrov tu je stručný prehľad funkcií.

Squirrelmail

Je rozhranie s dlhou tradíciou, jeho výhodou je dostupnosť veľkého množstva rozšírení. Nevýhodou je veľmi jednoducho vyzerajúce grafické rozhranie. Pri inštalácii v Ubntu sme tiež mali problém so slovenským rozhraním.

Open WebMail

Je ďalší populárne rozhranie, kvoli závažným problémom s bezpečnosťou však bolo z repozitárov Ubuntu 7.10 odstránené.

Horde

Je ďalšie z obľubených rozhraní pod Ubuntu však je jeho inštalácia dosť obtiažna.

Roundcube

Je pomerne mladé rozhranie, ktorého najväčšou výhodu je prístup cez AJAX a veľmi jednoduchá inštalácia.

Z toho čo bolo povedané je jasné, že sme si vybrali Roundcube. Tu by sme uvítali keby ste nám napísali viac i ostatných rozhraniach.

Inštalácia Roundcube

V rozhraní Webmin otvorte vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes roundcube php5-mcrypt

Počas inštalácie sa vás inštalátor spýta s akou databázou bude rouncube pracovať, tu vyberte MySQL. Potom zadajte heslo používateľa root tejto databázy a nakoniec zadajte dvakrát heslo pre novú databázu Roundcube. Spolu s Roundcube je potrebné nainľtalovaťi i modul mcrypt pre PHP, ktorý sa stará o bezpečnú komunikáciu.

Definovanie aliasu

Aby bol webmail prístupný z internetu je potrebné určiť miesto vo vašom vebe - URL adresu webmailu.

O tvorte teda vetvu Servery a ťuknite na odkaz Apache Webserver. Na stránke, ktorá sa otvorí, potom vyberte Default Server.

Na ďalšej stránke vyberte Aliases and Redirects.

Zadefinujte alias. Do prvého poľa zadajte napríklad /roundcube (alebo lubovolný iný napr /posta) a do druhého políčka zadajte skutočnú cestu k roundcube - /var/lib/roundcube/. Po vyplnení oboch polí ťuknite na tlačidlo Uložiť.

Nakoniec ešte aplikujeme nastavenia ťuknutím na na odkaz Apply Changes v pravom hornom rohu.

Teraz je možné pristúpiť k webamilu pomocu adresy http://www.vasadomena.edu.sk/roundcube/.

Definovanie predvoleného poštového servera

Ako ste si iste všimli, na stránke sa nachádzajú tri polia. Tretie pole slúži na zadanie servera. V našom prípade však je tento údaj úplne zrejmý preto upravíme konfiguráciu Roundcube.

Pomocou programu Putty sa teda prihlásime na server (alebo sa prihlásime rovno na server) spustíme MC (sudo mc) a upravíme súbor /etc/roundcube/main.inc.php (v MC stlačíme F4) a nastavíme

$rcmail_config['default_host']='vasadomena.edu.sk'

Súbor potom uložíme (F2).

Ako odfiltrovať nevyžiadanú poštu na školskom serveri

Na filtrovanie nevyžiadanej pošty alebo ak chcete SPAMu slúži program s názvom SpamAssassin.

Inštalácia

Program inštalujeme tak ako vždy. V rozhraní Webmin otvoríme vetvu Others a ťukneme na odkaz Príkazový riadok, do poľa zadáme príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadáme

sudo apt-get install -f -y --force-yes spamassassin

Klasifikácia nevyžiadanej pošty

Program SpamAssassin podľa určitých kritérií hodnotí každý email. Ak hodnotenie prekročí istú hranicu, je správa vyhodnotená ako nevyžiadaná. Štandardne je program nastavený tak, aby za nevyžiadanú poštu považoval každý mail, ktorý má známku väčšiu ako 5. Táto známka je príliš vysoká a umožňuje sem tam niektorej nevyžiadanej pošte prekĺznuť. Niektorí správcovia preto znižujú hodnotu na 2,5 no z našich skúseností - aby prešli všetky maily z konferencií "Udrzba" a "Garanti" je potrebná hodnota 3,4.

Otvoríme preto vetvu Servery a ťukneme na odkaz SpamAssassin Mail Filter. Na stránke, ktorá sa otvorí potom ťukneme na odkaz Spam Classification.

V nastaveniach prepnite prepínač Hits above which a message is considered spam a do okienka vedľa neho napíšte 3.4 (s desatinnou bodkou) a potom ťuknite na tlačidlo uložiť.

Kam s nevyžiadanou poštou?

Aby používatelia alebo postmaster mali možnosť prezrieť či SpamAssassin medzi spam náhodou nezaradil aj dajaký užitočný mail máme možnosť nastaviť aby sa nevyžiadaná pošta niekam presunula. Keďže nepredpokladáme, že máte na škole človeka, ktorý je platený za správu pošty - postmastera, odporúčame aby ste nastavili presúvanie spamu do priečinkov používateľov.

Na stránke SpamAssasina ťuknite na odkaz Procmail Spam Delivery.

Na stránke s nastaveniami potom prepneme prepínač do polohy Append to mbox-format mail file a do poľa zadáme $HOME/mail/spam.

Ak používatelia chcú mať možnosť pozrieť si spam stačí aby si vytvorili v emailovom klientovi priečinok s názvom "spam" (s malým s). Alebo to môžete urobiť za nich tak, že slovo spam dopíšete do súboru .subsriptions na serveri (napríklad pomocou MC), ktorý sa nachádza v priečinku /home/pouzivatel/mail/.

Ako nastaviť zdieľanie priečinkov na školskom serveri

Priečinky na serveri môžete zdieľať v sieti Linuxových staníc pomocou NFS a v sieti staníc MS Windows pomocou Samby.

Nastavenie zdieľania priečinkov pre stanice s operačným systémom MS Windows.

Zdieľanie priečinkov a tlačiarní v sieti so stanicami MS Windows zabezpečuje server, ktorý sa nazýva Samba.

Konverzia používateľov Linuxu do Samby

Za predpokladu, že sme už na serveri vytvorili používateľov, môžeme naimportovať používateľov do Samba servera.

Otvoríme vetvu Servery a ťukneme na odkaz Samba Windows File Sharing. Na stránke, ktorá sa otvorí ťuknite na odkaz Convert Unix users to Samba users.

V dialógu, ktorý sa otvorí môžete prepínač prepnúť do polohy Use this password a do okienka vedľa neho zadať heslo pre všetkých používateľov alebo môžete prepínač ponechať v pôvodnej polohe a heslo nastavíte neskôr pre každého používateľa zvlášť. Nakoniec stlačte tlačidlo Convert Users.

Heslá pre jednotlivých používateľov môžete nastaviť kliknutím na odkaz Edit Samba users and passwords.

Vytvorenie nového zdieľania

Na stránke ťuknite na odkaz Create a new file share.

Môžete napríklad vytvoriť zdieľanie priečinka, v ktorom je umiestnená webová stránka (ale cez rozhranie Webmin môžete vytvoriť i nový priečinok).

Na stránke nastavíme meno zdieľaného priečinka Share name - v našom prípade www. V druhom poli môžete nastaviť cestu k priečinku ktorý sa má zdielať Directory to share - v našom prípade nastavíme /var/www. Do tretieho poľa zadáme vlastníka zdieľaného priečinka Create with owner - nastavíme spravca.

Nastavenie oprávnení na zdieľaný priečinok

Najskôr ťukneme na novovytvorený priečinok.

Na stránke, ktorá sa otvorí, ťukneme na odkaz Security and Access Control.

Na stránke zabezpečenia nastavíme možnosť zápisu do priečinka Writable? na Áno. Do poľa Valid Users vložte všetkých používateľov, ktorý budú mať prístup k zdieľanému priečinku (môžete využiť tlačidlo s troma bodkami "..."). Do poľa Valid groups zasa môžete zadať skupiny používateľov. Je tiež možné určiť, ktorý používatelia a skupiny budú mať právo iba právo na čítanie (Read only users, Read only groups) a ktorí budú mať právo aj na zápis (Read/write users, Read/write groups).

Nastavenie Samby pre sieť MS Windows

Na stránke Samba Windows File Sharing klikneme na odkaz Windows Networking.

Na stránke nastavení nastavíme najskôr pracovnú skupinu Workgroup - my sme nastavili GYMKREMNICA ale vy môžete nastaviť ľubovoľnú inú, v ktorej sú počítače zoskupené, alebo do ktorej ich chcete zoskupiť. Prepínač WINS mode prepnite do polohy Be WINS server. WINS server je server prekladajúci Netbios mená na ip adresy. Inak povedané toto nastavenie zabezpečí, že server bude udržiavať zoznam dostupných počítačov v sieti, vďaka ktorému počítače uvidíte v MS Windows cez Miesta v sieti. Posledný parameter, ktorý je potrebný nastaviť je meno servera Server name - tu nastavte rovnaké meno ako pri inštalácii - v našom prípade Server1. Nezabudnite nastavenia uložiť.

Nakoniec ešte reštartujeme Samba server.

Pozor, aby boli súbory prístupné, musí sa používateľ nastaviť do MS Windows s rovnakým menom a heslom ako je nastavené v sambe.

Nastavenie zdieľania priečinkou pre stanice s operačným systémom Linux.

Pomocou samby je možné súbory zdieľať i v sieti Linux, no pomocou NFS (Network File System) si môžeme pripojiť zdieľaný priečinok ako linuxový disk napríklad pomocou tabuľky súborových systémov fstab. Takto pripojený priečinok sa potom správa ako keby bol súčasťou súborového systému lokálneho počítača.

Inštalácia NFS na serveri

Najskôr už nám dobre známym spôsobom nainštalujeme NFS.

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

apt-get install -f -y --force-yes nfs-common nfs-kernel-server

Export priečinka pre zdieľanie

Otvorte vetvu Sieť a kliknite na odkaz NFS exports. Na stránke, ktorá sa otvorí kliknite na odkaz Add a new export.

Po otvorení stránky do poľa Directory to export zadajte adresár ktorý chcete zdielať (môžete ho nalistovať pomocou tlačítka s troma bodkami). Prepínač prepnite do polohy IPv4 Network a zadajte IP adresu počítača (počítačov), ktoré budú mať k zdielanému priečinku prístup. Prepínač Read-only, ktorý obmedzuje pístup iba na čítanie môžeme ešte prepnúť od polohy Nie.

Inštalácia NFS na strane klienta

Otvoríme terminál a napíšeme:

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadáme

apt-get install -f -y --force-yes nfs-common nfs-client

Import do súborového na Linuxovej stanici.

Na počítači, na ktorom chcete naimportovať zdieľaný priečinok, otvorte súbor /etc/fstab ako používateľ root pomocou ľubovoľného - v prípade že máte Ubuntu môžete do terminálu zapísať príkaz:

sudo nano /etc/fstab

Na koniec súboru dopíšte riadok a na konci riadka stlačte enter

Server1:/programy    /home/Pouzivatel/Plocha/programy   nfs    rsize=8192,wsize=8192,timeo=14,intr 

Pozor na konci súboru musí byť jeden prázdny riadok.

Súbor uložte stlačením CTRL+o a editor ukončíte CTRL+x.

Priečinok do ktorého sa zdielaný priečinok napojí je potrebné vytvoriť - my sme ho vytvorili na ploche /home/Pouzivatel/Plocha/programy

Po reštarte počítača by mal byť priečinok namapovaný. Je ho možné namapovať i pred reštartom pomocou príkazu

 sudo mount /home/Pouzivatel/Plocha/programy 

Synchronizovanie času so školským serverom

Nastavovanie času na všetkých počítačoch na škole by asi bolo časovo dosť naročné, MS Windows má síce nastavenú internetovú adresu servera s ktorej MS windows získava čas, ale s týmto serverom je problém nadviazať spojenie. Je však možné nastaviť školský server aby poskytoval informácie o čase cez protokol NTP.

Inštalácia NTP servera

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

apt-get install -f -y --force-yes ntp ntpdate

Nastavenie na klientských počítačoch

V linuxe sa čas získa automaticky. V operačnom systéme MS Windows ťukneme pravým tlačítkom myši na hodiny v oznamovacej oblasti a z kontextovej ponuky vyberieme Upraviť dátum a čas.

Klikneme na záložku Internetový čas a do poľa Server zadajte názov (ak máte nastavené DNS) alebo IP adresu nášho servera. Potom ešte môžme funkčnosť otestovať kliknutím na tlačítko aktualizovať.

Ako nainštalovať LDAP na školský server

Pozor toto nie je hotový článok. Článok dokončíme neskôr.

LDAP je - TO DO

Inštalácia LDAP na server

Najskôr musíme nainštalovať program, ktorý bude poštu preberať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes slapd libnet-ldap-perl

Inštalácia nástroja na správu LDAP

sudo apt-get install -f -y --force-yes phpldapadmin

Prihlásenie sa do phpLDAPadmin

Ako login zadajte nasledovné

 cn=admin,dc=domenaskoly,dc=edu,dc=sk

miesto domenaskoly samozrejme zadate vasu doménu vrámci siete EDUnet.

Ako heslo zadate vase heslo, ktore ste nastavili pri instalacii LDAP a stlacíte tlacidlo Authenticate.

Vytvorenie nových záznamov v LDAP

TO DO

Inštalácia na klientoch s os linux (ubuntu, debian)

sudo apt-get install libpam-ldap libnss-ldap nss-updatedb 

Balík libpam-ldap umožňuje autentifikáciu cez LDAP, libnss-ldap umožňuje získať z LDAP informácie o sedení a nss-updatedb umožňuje dočasné lokálne ukladanie databázy aby sa nezahlcovala sieť.

Počas inštalácie dostanete niekoľko otázok:

Shold debconf manage LDAP configuration? Odpovedzete Nie

URI adresa LDAP servera: Zadajte server1.domenaskoly.edu.sk kde domenaskoly je meno vasej domeny v rámci #EDUnet

Distinguishe name of the search base: Zadajte dc=domenaskoly, dc=edu, dc=sk

Verzia LDAP: ponechajte 3

Make local root databaze admin? (Urobiť lokálneho správcu správcom databázy?) Odpovedzte Nie

Does LDAP database require login? (Potrebuje databáza login?) Odpvedzte Nie

Konfigurácia klientov

Konfigurácia spočíva v troch krokoch

1. Konfigurácia Name Service,
2. konfigurácia PAM,
3. nastavenie dočasného ukladania pričinkov Name Service (voliteľné).

Ubuntu 7.10 má nástroj, ktorým sa dajú prvé dva kroky urobiť zadaním takéhoto príkazu:

sudo auth-client-config -a -p lac_ldap 

Tu sa o nástroji dozviete viac https://wiki.ubuntu.com/AuthClientConfig

Pre staršie verzie Ubuntu a Debianu platí toto:

Konfigurácia Name Service

Pozor tento súbor needitujte ako sudo

V súbore /etc/nsswitch.conf nahraďte compat s files ldap tak aby oba riadky vyzerali takto:

passwd:         files ldap
group:          files ldap

To znamená:

• Najskôr pozri lokálne uložené loginy (/etc/passwd a /etc/group),

• ak nenájdeš zodpovedajúci login, použi LDAP.

Pozor BUG: Presvedčte sa či je v súbore /etc/libnss-ldap.conf alebo v novšej verzii ldapu v súbore /etc.ldap.conf nastavený parameter: bind_policy soft. Ak tam nie je spôsobí to zamrznutie pri štarte systému, tak ho tam dopíšte.

Konfigurácia PAM

PAM používa na kontrolu LDAP štyri centrálne súbory: common-account, common-auth, common-password a common-session. Všetky sa nachádzajú v priečinku /etc/pam.d.

Upravte súbor /etc/pam.d/common-account aby vyzeral takto:

account sufficient      pam_ldap.so
account required        pam_unix.so

Upravte súbor /etc/pam.d/common-auth aby vyzeral takto:

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure use_first_pass

Upravte /etc/pam.d/common-password aby vyzeral takto:

password        sufficient      pam_ldap.so
password        required        pam_unix.so nullok obscure min=4 max=8 md5

Nastavenie dočasného ukladania pričinkov Name Service.

Tento krok je voliteľný a odporúčame ho robiť iba pri pomalej sieti alebo pri veľkom počte počítačov.

Aby sme predišli spomaleniu siete a urýchlili prihlásenie, môžeme použiť balíček nss-updatedb na vytvorenie lokálnej databázy používateľských mien. Najskôr teda vytvoríme lokálnu databázu a potom nastavíme intervali v akýc sa bude aktualizovať.

Takže zadajte

sudo nss_updatedb ldap

Týmto sa vytvorí databáza v priečinku /var/lib/misc/.

Teraz vytvoríme script, ktorý bude databázu automaticky aktualizovat.

Vytvoríme script nssupdate.sh v priečinku /etc/cron.hourly/ a natavíme ho spustiteľným. Mal by obsahovať toto:

#!/bin/bash
LOCK=/var/run/auth-update.cron
[ "$1" != "0" ] && [ -f $LOCK ] && [ -d /proc/"$(cat $LOCK)" ] && exit 0
echo $$ > $LOCK
RANGE=3600
[ "$1" != "" ] && RANGE=$1
SLEEP=$RANDOM
[ "$RANGE" != "0" ] && let "SLEEP %= $RANGE" || SLEEP=0
sleep $SLEEP
go=true
while $go; do
/usr/sbin/nss_updatedb ldap
[ $? -eq 0 ] && go=false
[ "$go" == "true" ] && sleep 10
done
rm $LOCK
exit 0

Aby sa dočasne uložené dáta začali používať upravme súbor edit /etc/nsswitch.conf, aby vyzeral takto:

passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db

To znamená:

• Najskôr pozri lokálne uložené loginy (/etc/passwd a /etc/group),

• ak nenájdeš zodpovedajúci login, použi LDAP,

• ak nie je zodpovedajúci login v LDAP, skonči a neurob nič ([NOTFOUND=return]),

• ak nie je LDAP dostupný, použi dočasnú databázu.

Konfigurácia Samby a klientov Windows

TO DO