dan keder [email protected] · uvod preh lad r^oznych sie tov ych protokolov a slu zieb ......
TRANSCRIPT
![Page 1: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/1.jpg)
Dalsie sluzby pocıtacovych sietı
Dan Keder [email protected]
Centrum vypocetnı technikyFakulta informatiky
Masarykova univerzita
15. oktober 2008
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 2: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/2.jpg)
Obsah
1 Automaticka konfiguracia siete
2 Adresarove a autentizacne sluzby
3 Vzdialeny prıstup
4 Zdielanie suborov v sieti
5 Synchronizacia casu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 3: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/3.jpg)
Uvod
Prehlad roznych sietovych protokolov asluzieb
Internet nie je len modra ikonka v tvarepısmena ’e’, ktoru mozno mate na ploche :-)
Vacsinu prezentovanych vecı si mozetevyskusat v Linuxe ci v inom podobnomsysteme
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 4: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/4.jpg)
Automaticka konfiguracia siete
1 Automaticka konfiguracia sieteBOOTPDHCP
2 Adresarove a autentizacne sluzby
3 Vzdialeny prıstup
4 Zdielanie suborov v sieti
5 Synchronizacia casu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 5: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/5.jpg)
BOOTPBootstrap protocol
BOOTP – RFC 951, 1533, 1542
Jednoduchy protokol pre pridelenie IP adresy klientovi
Bezdiskove stanice, automaticke instalacie OS
Nutna podpora vo firmware sietovej karty
UDP, porty 67 (server) a 68 (klient), spravy BOOTREQUEST aBOOTREPLY
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 6: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/6.jpg)
DHCPDynamic Host Configuration Protocol
DHCP – RFC 2131, 3132
Rozsiruje moznosti BOOTP, spatna kompatibilita s BOOTP
Klientovi umoznuje nastavit sietove rozhranie
Adresy sa prideluju na zaklade MAC adresy alebo dynamicky zurciteho rozsahu; klientom sa po urcity cas rezervujenaposledy pridelena adresa
Spravy DHCP Discover, Offer, Request, Acknowledge,Release
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 7: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/7.jpg)
Adresarove a autentizacne sluzby
1 Automaticka konfiguracia siete
2 Adresarove a autentizacne sluzbyLDAPKerberosPAM
3 Vzdialeny prıstup
4 Zdielanie suborov v sieti
5 Synchronizacia casu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 8: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/8.jpg)
Adresarove a autentizacne sluzby
Autentizacia – overenie totoznosti uzıvatela
Adresarove sluzby (Directory services)poskytuju prıstup k roznym informaciam (napr. udaje ouzıvateloch)optimalizovane pre read-only prıstup
Autentizacne sluzbyumoznuju overit totoznost uzıvatelaDva prıstupy: lokalne na kazdom stroji alebo centralizovanepre mnoho pocıtacov
Single Sign-on
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 9: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/9.jpg)
BSD flat files
Lokalne ulozene informacie o uzıvateloch a skupinachuzıvatelov
Format DSV (delimiter separated values), lahko prıstupne astrojovo spracovatelne
/etc/passwdlogin:passwd:uid:gid:gecos:home dir:shell
/etc/shadowlogin:enc passwd:a:b:c:d:e:f:reserveda-f – password aging informationenc passwd – sifrovane heslo (crypt(5), MD5)
/etc/groupname:passwd:gid:members
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 10: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/10.jpg)
LDAPLightweight Directory Access Protocol
Centralizovana adresarova sluzba
Vychadza z ISO standardov X.500, v praxi sa moc nepouzıva,prılis zlozite
LDAP je ”odlahcena” verzia protokolu X.500 Directory AccessProtocol
Povodne ako brana k X.500, neskor plnohodnotna sluzba smnohymi rozsıreniami
standardne API, datove formaty, . . .
Sietova komunikacia nad TCP/IP
Vyhody: internetovy standard, lahka integracia do aplikaciı
Konkretne implementacie: OpenLDAP, Active Directory(Microsoft), Open Directory (Apple)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 11: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/11.jpg)
LDAPPojmy
Directory Information Tree (DIT) – konkretny navrhstruktury stromu
Distinguished Name (DN) – jednoznacne identifikujepolozku v globalnom mennom priestore adresaroveho stromu
Relative DN – jednoznacne identifikuje polozku v ramcijednej vetvy stromu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 12: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/12.jpg)
LDAPStruktura adresara
Schema ma hierarchicku stromovu strukturu (pouzıva sa DNS)
Uzly i listy stromu uchovavaju zaznamy
zaznamy su zlozene z atributovkazdy zaznam ma urcity typ (objectClass)povinne a volitelne atributyzaznam moze mat sucasne niekolko typovprıklad atributov
dc – domain componentc – countryo – organizationou – organization unit namecn – common name
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 13: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/13.jpg)
LDAPLDAP strom na FI
ldap.fi.muni.cz
Udrzuje informacie o unixovych uzıvateloch a skupinach(ekvivalent /etc/passwd a /etc/group)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 14: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/14.jpg)
LDAPPrakticky prıklad I.
Vyskusajte si na strojoch nymfe:
$ ldapsearch -x -H ldap :// ldap.fi.muni.cz \-b ou=People ,dc=fi ,dc=muni ,dc=cz uid=xkeder
$ ldapsearch -x -H ldap :// ldap.fi.muni.cz \-b ou=Group ,dc=fi ,dc=muni ,dc=cz cn=cvt
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 15: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/15.jpg)
LDAPPrakticky prıklad II.
Vystup vo formate LDIF (LDAP Data Interchange Format):
dn: uid=xkeder ,ou=People ,dc=fi ,dc=muni ,dc=czuid: xkedercn: xkederobjectClass: accountobjectClass: posixAccountobjectClass: shadowAccountuserPassword :: e2NyeXB0fXg=loginShell: /bin/bashuidNumber: 14929gidNumber: 10100homeDirectory: /home/xkedergecos: Daniel Keder(...)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 16: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/16.jpg)
Kerberos
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 17: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/17.jpg)
Kerberos
Centralizovana autentizacna sluzba
RFC 1510, 1964
Overenie identity bez posielania tajnych dat sietou
Dve strany (A, B) a doveryhodny server (KDC, KeyDistribution Center)
A i B zdielaju s KDC nejake tajomstvo – heslo
KDC generuje lıstok, zasifruje heslom A a posle klientovi
Klient A desifruje svojım heslom a lıstok pouzije k preukazaniusvojej identity
Pekny popis algoritmu nahttp://en.wikipedia.org/wiki/Kerberos_(protocol)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 18: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/18.jpg)
KerberosKerberos principal
principal – uzıvatel, stroj alebo sluzba
primary/instance@realmjedinecna identifikacia uzıvatela, sluzby alebo stroja v databazeKerberaprimary – meno uzıvatela alebo sluzby, ’host’instance – volitelna cast v zavislosti na primary (napr.hostname)realm – logicka siet reprezentovana kerberovskou databazou aKDC (vacsinou zhodna s DNS domenou)
Naprıklad
[email protected]/[email protected]/[email protected]
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 19: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/19.jpg)
KerberosPrakticky prıklad
Vyskusajte si na strojoch nymfe:
kinit – zıskanie lıstku od KDCklist – vypis zıskanych lıstkovkdestroy – zmazanie zıskanych lıstkov
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 20: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/20.jpg)
PAMPluggable Authentication Modules
PAM je sada kniznıc integrujuca rozne autentizacnemechanizmy do jedneho API.
Oddelenie detailov autentizacie od aplikacie,konfigurovatelnost autentizacneho procesu
Dostupny na vacsine unixovych systemov
Modularny princıp, je jednoduche zmenit proces ci pridat novysposob autentizacie (napr. odtlacky prstov)
Existuje mnozstvo modulov, i pre Kerberos, LDAP
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 21: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/21.jpg)
PAMKonfiguracia
Konfiguracia ulozena suboroch v adresari /etc/pam.d/
Kazda aplikacia tu ma svoj vlastny konfiguracny subor
Styri casti autentizacneho procesu:
account – ako overit existenciu a platnost uzıvatelskeho uctuauth – ako overit totoznost uzıvatelapassword – ako urobit zmenu heslasession – sprava sedenia (napr. auditing)
Pre kazdu cast by mal byt nastaveny aspon jeden modul
Kazdy modul ma nastavenu ”dolezitost” (required, sufficient,optional, requisite)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 22: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/22.jpg)
PAMPrıklad konfiguracie
auth required pam_env.soauth sufficient pam_thinkfinger.soauth sufficient pam_unix.so \try_first_pass likeauth nullokauth required pam_deny.soaccount required pam_unix.sopassword sufficient pam_unix.so \try_first_pass use_authtok nullok md5 shadowpassword required pam_deny.sosession required pam_limits.sosession required pam_unix.so
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 23: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/23.jpg)
Vzdialeny prıstup
1 Automaticka konfiguracia siete
2 Adresarove a autentizacne sluzby
3 Vzdialeny prıstupSSHVNC
4 Zdielanie suborov v sieti
5 Synchronizacia casu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 24: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/24.jpg)
SSHSecure Shell
RFC 4250 az 4256
SSH je protokol, ktory umoznuje bezpecnu komunikaciu v sietimedzi dvoma pocıtacmi
Zabezpecuje dovernost a integritu dat
Hybridny kryptosystem
pouzıva asymetricku kryptografiu k overeniu totoznosti obochucastnıkovpouzıva symetricku kryptografiu na sifrovanie prenasanych dat
Dve verzie:
v1: moc sa nepouzıva, zname bezpecnostne chybyv2: pouzıva sa dnes, ma cistejsiu architekturu nez v1 (spojova,autentizacna a transportna vrstva), podpora silnejsıch sifier
Asi najznamejsia implementacia: OpenSSH
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 25: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/25.jpg)
SSHVlastnosti
Server pocuva na TCP porte 22
Metody autentizacie:
”password” – jednoduche overenie hesla”publickey” – privatny + verejny kluc”keyboard-interactive” – server posiela klientovi vyzvy nazadanie autentizacnych udajovGSSAPI – autentizacia pomocou Kerbera
Sifrovacie algoritmy:
3DES, RC4, AES, Blowfish, CAST
Vzajomna dohoda na metode autentizacie a sifrovacomalgoritme
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 26: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/26.jpg)
SSHSSH kluce
Umoznuju prihlasovanie na vzdialene pocıtace ”bez hesla”
Asymetricka kryptografia – privatny a verejny kluc
Vytvorenie kluca:
$ ssh -keygen -t dsa
Privatny kluc ulozeny vacsinou ako ~/.ssh/id dsa, verejny
~/.ssh/id dsa.pub
Zoznam verejnych klucov opravnenych prihlasit sa v subore
~/.ssh/authorized keys
Moznost pouzit ssh-agent(1) a ssh-add(1) k zapamataniuhesiel SSH klucov
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 27: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/27.jpg)
SSHMoznosti pouzitia
Primarne navrhnute ako nahrada za telnet a rshspustanie procesov na vzdialenom pocıtaci
Siroke moznosti pouzitia
synchronizacia suborov a adresarov (v spolupraci s rsync)tunelovanie TCP/IP spojenıbezpecny X11-forwardingbezpecne pripojenie vzdialeneho adresara na lokalny stroj(sshfs). . .
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 28: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/28.jpg)
SSHPrakticke prıklady
Trivialny prıklad
$ ssh [email protected]
X11 Forwarding
$ ssh -X -f [email protected] xclock
Tunelovanie TCP spojenı
$ ssh -f -L 1234: localhost :6667 \server.example.com sleep 10
$ irc -c ’#users ’ -p 1234 pinky localhost
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 29: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/29.jpg)
VNCVirtual Network Computing I.
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 30: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/30.jpg)
VNCVirtual Network Computing II.
Umoznuje vzdialene ovladanie pocıtaca
”Vzdialena pracovna plocha”
Platformne nezavisle
Dve sucasti
server – periodicky posiela klientovi casti obrazovky, ktore sazmenili (ako bitmapu)klient (viewer) – zobrazuje u uzıvatela pracovnu plochuvzdialeneho pocıtaca, zasiela serveru udalosti (mys, klavesnica)
Efektıvny prenos prenasanych dat – podpora roznych kodovanı
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 31: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/31.jpg)
VNCVirtual Network Computing III.
TCP porty 5900 – 5906
Nezabezpeceny protokol, tunelovanie cez SSH
Pouzitie
nahrada X11 forwardingu – lepsı vykon v pomalej sietivirtualizacia – prıstup na beziaci virtualny strojmoznost pripojit sa k existujucemu X11 sedeniu (x11vnc). . .
Implementacie: x11vnc, tightvnc, Apple Remote Desktop
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 32: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/32.jpg)
Zdielanie suborov v sieti
1 Automaticka konfiguracia siete
2 Adresarove a autentizacne sluzby
3 Vzdialeny prıstup
4 Zdielanie suborov v sietiFTPSCP a SFTPNFS a CIFS
5 Synchronizacia casu
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 33: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/33.jpg)
FTPFile Transfer Protocol
Protokol pre prenos suborov nad TCP
Riadiaci kanal (port 21), datovy kanal (port 20)
Dva rezimy prenosu dat:
aktıvny – klient serveru oznamy neprivilegovany port, naktorom pocuva, server otvorı datove spojeniepasıvny – server klientovi oznami neprivilegovany port, naktorom pocuva, klient sam otvorı datove spojenie
Problemy
chybajuce sifrovanie (hlavne hesiel a dat)samostatne datove spojenie pre kazdy prenosaktıvny rezim nefunguje za NAT (Network AddressTranslation)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 34: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/34.jpg)
SCPSecure Copy Protocol
Prenos suboru medzi dvoma stanicami cez SSH
Klient komunikuje so vzdialene spustenym scp
Obmedzenia
max. 4GB suborynepodporuje obnovenie prenosuneda sa vypısat obsah adresarapodpora kompresie dat (vhodne pre pomale linky)
Trivialny prıklad:
$ scp test.txt [email protected]
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 35: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/35.jpg)
SFTPSSH File Transfer Protocol
Podobne vlastnosti ako SCP, bez vypısanych obmedzenı
Nema nic spolocneho s protokolom FTP
Od zakladu novo navrhnuty, pouzıvany v SSHv2 (ako jehosubsystem)
Uzitocny program pre MS Windows: WinSCP
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 36: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/36.jpg)
NFSNetwork File System
Protokol sprıstupnujuci po sieti vzdialene zvazky
Niekolko generaciı:
v1: experimentalnyv2: povodne bezstavovy protokol nad UDP s podporouzamkov; neskor dopracovana podpora TCPv3: vyssı vykon, subory > 4GB; malo bezpecne, ale rychlev4: vyssı vykon, vacsia bezpecnost (sifrovanie, autentizacia),internetovy standard
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 37: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/37.jpg)
CIFSCommon Internet File System
Povodne protokol SMB (Server Message Block) od IBM,znacne prepracovany Microsoftom.
Nielen zdielanie suborov, ale i zdrojov (tlaciarne)
Povod vo Windows, existuju i otvorene implementacie pre ineoperacne systemy
Horsia implementacia vo Windows, casto zneuzıvane chyby
Vykonovo horsie nez NFS
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 38: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/38.jpg)
Synchronizacia casu
1 Automaticka konfiguracia siete
2 Adresarove a autentizacne sluzby
3 Vzdialeny prıstup
4 Zdielanie suborov v sieti
5 Synchronizacia casuNTP
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 39: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/39.jpg)
Synchronizacia casu
Preco synchronizovat cas
potreba presneho casu nie je az tak dolezitadolezita je predstava o suvislosti dejovje dolezite mat vsade rovnaky cas
Mozne riesenia:
vzajomna dohoda uzlov na casecasovy synchronizacny server so (sprostredkovanym) presnymcasom
Protokoly na synchronizaciu casu: Time, Daytime, NTP
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 40: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/40.jpg)
NTPNetwork Time Protocol
RFC 778, 891, 956, 958, 1305
Protokol prenosu aktualneho casu cez medium s premenlivoudobou dorucenia informacie
UDP port 123
Casove servery hierarchicky radene
stratum 0 – atomove hodiny a pod., velka presnoststratum 1 – synchronizovane so stratum 0stratum 2 a 3 – synchronizacia koncovych pocıtacov(. . . ) – teoreticky az 256 urovnı
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 41: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/41.jpg)
NTPNetwork Time Protocol
Cas uplynuty od 1.1.1900 00:00 ulozeny v 64bitovej hodnote
32b pocet sekund32b desatinna cast
Pre korekciu casu pouzıva Marzullov algoritmus
Podpora vo Windows i unixovych systemoch
Synchronizujte si svoj cas podla time.fi.muni.cz :-)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 42: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/42.jpg)
ZaverKde hladat podrobnejsie informacie
Repozitar RFC dokumentov
http://tools.ietf.org/html/
Manualove stranky a oficialna dokumentacia k programom
Google, Wikipedia :-)
Dan Keder Dalsie sluzby pocıtacovych sietı
![Page 43: Dan Keder keder@fi.muni · Uvod Preh lad r^oznych sie tov ych protokolov a slu zieb ... authsufficientpam_unix.so \ try_first_pass likeauth nullok authrequiredpam_deny.so ... CAST](https://reader034.vdocuments.site/reader034/viewer/2022042411/5f2a8f2c3d892329815ca11f/html5/thumbnails/43.jpg)
Zaver
Koniec
Dan Keder Dalsie sluzby pocıtacovych sietı