Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO

Rozměr: px
Začít zobrazení ze stránky:

Download "Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO"

Transkript

1 FAKULTA ELEKTROTECHNIKY A INFORMATIKY VYSOKÁ ŠKOLA BÁŇSKÁ - TECHNICKÁ UNIVERZITA OSTRAVA Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO Garant předmětu: Jaroslav Zdrálek Autor textu: Pavel Nevlud OSTRAVA 2014 Vznik těchto skript byl podpořen projektem č. CZ.1.07/2.2.00/ Evropského sociálního fondu a státním rozpočtem České republiky.

2 Za odbornou náplň tohoto vydání odpovídá autor. Pavel Nevlud je asistentem na Fakultě elektrotechniky a informatiky VŠB-Technické univerzity v Ostravě, kde přednáší předmět Praktikum komunikačních sítí II pro studenty navazujícího magisterského studia, kurz PKSII je na fakultě nabízen ve studijním programu Informační a komunikační technologie. Vznik skript byl podpořen projektem č. CZ.1.07/2.2.00/ Evropského sociálního fondu a státním rozpočtem České republiky. Tato publikace neprošla redakční ani jazykovou úpravou. Pavel Nevlud, 2014, VŠB-Technická univerzita Ostrava Autor: Pavel Nevlud Katedra: Katedra telekomunikační techniky Název: Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO Místo, rok, vydání: Ostrava, 2014, 1. vydání Počet stran: 80 Vydala: Vysoká škola báňská-technická univerzita Ostrava Náklad: CD-ROM, 100 ks Neprodejné ISBN

3 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 1 Obsah Úvod Distribuce operačních systémů Síťové operační systémy BSD Berkeley Software Distribution FreeBSD OpenBSD NetBSD Linux Debian Ubuntu Fedora Centos Gentoo Live distribuce Linuxu Virtualizace a zálohování dat Použití virtualizace v praxi Typy virtualizací Typy hypervizorů Virtualizační nástroje KVM Kernel-based Virtual Machine XEN Virtualbox OpenVZ Instalace a konfigurace virtualizace pomocí KVM Zálohování dat

4 2 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Metody zálohování Média pro zálohování Rozdělení podle topologie úložiště Nástroje pro zálohování v Linuxu Reporty a logování dat Syslog Syslog protokol Syslog formát zpráv Instalace a konfigurace Syslog serveru Syslog Syslog-ng Monitorování a management sítí SNMP Protocol SNMP verze SNMP popis MIB databáze NetFlow NetFlow architektura Instalace a konfigurace SNMP Instalace a konfigurace NetFlow Vykreslování grafů pomocí nástroje RRDTool Vytvoření databáze Vložení dat do databáze Vytvoření grafu Výpis informací a dat z databáze Sledování provozu v IP sítích 39

5 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO Paketový analyzátor tcpdump Paketový analyzátor Wireshark Paketový analyzátor pro bezdrátové sítě Kismet Adresářové služby Adresářové služby LDAP Informační model LDAP Jmenný model LDAP Funkční model Bezpečnostní model Instalace a konfigurace OpenLDAP Ověření identity objektu Autentikace Autorizace Účtování Autentikace pomocí PAM (Pluggable Authentication Modules) modulů PAM autentikace pomocí USB Flash PAM autentikace pomocí otisku prstů RADIUS Instalace a konfigurace programu FreeRadius Jednotný autentizační systém Kerberos Kerberos Instalace a konfigurace Kerberos serveru Autentizace na bázi jednotného přihlášení SSO Single Sign On Standard SAML Využití standardu v praxi

6 4 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 10.4 Open-source implementace SAML pomocí SimpleSAMLphp Instalace a konfigurace simplesamlphp Instalace a kofigurace simplesamlphp Identity Provider Instalace a kofigurace simplesamlphp Service Provider Pokročilá autentizace na bázi federated Single Sign On Shibboleth Princip činnosti Shibbolethu Nástroje pro správu řešení problémů Princip RT RTIR RT for Incident Response Nástroje pro IM komunikaci Unixový chatovací nástroj talk IRC Internet Relay Chat XMPP Extensible Messaging and Presence Protocol Komunikace pomocí aplikace Facebook Komunikace pomocí aplikace Twitter

7 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 5 ÚVOD Předmět Praktikum komunikačních sítí II navazuje na předmět Praktikum komunikačních sítí I. PKSII je nabízen v magisterském studiu studijního programu Informační a komunikační technologie. Tato skripta jsou rozdělelena do čtrnácti kapitol. Některé kapitoly na sebe navazují, jiné se zabývají samostatným tématem. První kapitola je úvodní a popisuje obsah skript. Druhá kapitola se zabývá různými síťovými operačními systémy. Velký důraz je kladen na otevřené operační systémy, které jsou založeny na jádře Linuxu. Krátce jsou také zmíněny tzv. Live distribuce. Třetí kapitola se zabývá virtualizacemi a možnostmi zálohování dat. Jsou krátce popsány základní typy virtualizačních nástrojů a různé metody zálohování dat. Další kapitola se zabývá logováním důležitých dat a je popsán protokol Syslog. Pátá kapitola popisuje dva protokoly SNMP a NetFlow. Protokol SNMP slouží pro monitorování a správu zařízení v IP sítítch. Protokol NetFlow je využíván pro monitorování a vyhledávání síťových incidentů v síti. Na předchozí kapitolu navazuje další kapitola, která popisuje nástroj RRDTool, který se zaměřuje na zpracování a ukládání časově závislých dat. Tato data mohou být následně vykreslena v přehledných grafech. Sedmá kapitola, je poslední kapitolou zabývající se monitorováním sítí. V této kapitole jsou popsány základní nástroje pro sledování provozu v sítích pomocí různých protokolových analyzátorů. Je také uveden jeden nástroj pro sledování v bezdrátových sítích. Osmá kapitola se zabývá Adresářovými službami, ve kterých jsou uloženy informace o pojmenovaných objektech. Tyto služby slouží pro ukládání a přístup k datům na adresářovém serveru. LDAP protokol umožňuje vkládat, modifikovat, mazat, ale zejména rychle vyhledávat požadované informace. Další kapitola se zabývá ověřováním identity objektů pomocí autentikace na bázi uživatelského účtu, biometrie a dalších metod. Je také popsán protokol Radius. Následující kapitola popisje systém jednotného přihášení SSO, který umožňuje pohodlný přístup k informačním a komunikačním službám pomocí jednotných přihlašovacích údajů. Krátce je popsán protokol Kerberos. Další kapitola navazuje na předchozí kapitolu a rozšiřuje ji o protokol SAML, který je standardem, pro výměnu autentikačních informací mezi poskytovatelem služby a poskytovatelem identity. Dvanáctá kapitola, je poslední kapitola, která se zabývá autentizačními funkcemi. Tato kapitola seznamuje s pokročilou autentizací na bázi federated Single sign on. Tato autentikace umožňuje pokročilou autentikace pro kooperativní prostředí mezi jednotlivými

8 6 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava institucemi. Další kapitola popisuje nástroje pro správu řešení problémů, které jsou dnes známé jako helpdesk. Poslední kapitola popisuje některé nástroje pro Instant messaging komunikaci. Tyto nástroje umožňují okamžitou výměnu zpráv s různými přídavnými funkcemi. Tato skripta se zabývají problematikou monitorování sítí, různými autentizačními technikami a poslední část se zabývá komunikačními nástroji.

9 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 7 1 DISTRIBUCE OPERAČNÍCH SYSTÉMŮ Operační systém je základní programové vybavení zařízení (počítač, server, směrovač, telefón,..), které je zavedeno do paměti po jeho startu a zůstává v činnosti až do jeho vypnutí. Skládá se z jádra (kernel) a pomocných systémových nástrojů. Hlavním úkolem operačního systému je zajistit uživateli možnost ovládat zařízení, vytvořit pro procesy stabilní aplikační rozhraní API, a přidělovat jim systémové zdroje. První operační systémy byly vytvořeny pro sálové počítače, tzv mainframy. Prvním průlomovým operačním systémem je Multics, vyvíjený od roku 1964 v Bellových laboratořích. Multics je přímým historickým předchůdcem Unixu. Operační systém plní tři základní funkce: ovládání zařízení - umožňuje uživateli spouštět programy, předávat jim vstupy a získávat jejich výstupy s výsledky abstrakce hardware - vytváří rozhraní pro programy, které abstrahuje ovládání hardware a dalších funkcí do snadno použitelných funkcí správa zdrojů - přiděluje a odebírá procesům systémové prostředky počítače. 1.1 Síťové operační systémy Síťový operační systém je software, který běží na serveru, nebo na aktivním síťovém prvku a slouží pro spravování dat, uživatelů, skupin, bezpečnosti, aplikací a dalších síťových funkcí. Síťový operační systém je založen na architektuře klient/server. Server nabízí klientům své zdroje, služby, aplikace. 1.2 BSD Berkeley Software Distribution Operační systém BSD byl průkopníkem mnoha inovací moderních systémů. BSD systémy jako první obsahovaly knihovny pro Internet Protokol. Dnes jsou BSD systémy používány jako testovací prostředí pro nové technologie v akademických prostředích a také v mnoha komerčních a svobodných produktech. Povaha BSD licence umožňuje distribuovat odvozené produkty jako proprietární řešení bez nutnosti zveřejnění zdrojového kódu. BSD licence možňuje volné šíření licencovaného obsahu, přičemž vyžaduje pouze uvedení autora a informace o licenci, spolu s upozorněním na zřeknutí se odpovědnosti za dílo (wikipedie). BSD bylo základem velkého množství operačních systémů.

10 8 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 1.1: Operační systém FreeBSD FreeBSD je vyvíjen jako kompletní operační systém - kernel, ovladače zařízení a všechny uživatelské utility. Na rozdíl od Linuxu jsou vyvíjeny ve stejném stromu systému pro správu verzí zdrojových kódů. Free BSD je pokládán za poměrně spolehlivý a robustní operační systém. Může být využíván pro multiprocesorové servery, desktop nebo různá embedded zařízení. Zaměření FreeBSD je na výkon, vytváření sítí a skladování dat v kombinaci s jednoduchou systémovou správou a velmi dobrou dokumentací. FreeBSD klade velký důraz na výkon při ukládání dat a paralelním zpracovávání, obsahuje souborový systém ZFS od firmy Sun a vysoce škálovatelné paralelní zpracovávání. FreeBSD je hodně využíváno jako základní stavební blok pro jiné operační systémy, ať už komerční, či s otevřeným kódem. PC-BSD je systém odvozený z FreeBSD s grafickou instalací a zajímavými desktopovými nástroji, které jsou zaměřené na jednoduché použití běžným počítačovým uživatelem. FreeSBIE je LiveCD založené na FreeBSD. Funguje přímo z CD, pevný disk se nevyžaduje. Systém také obsahuje jednoduchou a snadno rozšiřitelnou sadu nástrojů pro vytváření CD obrazů pro vestavěné systémy. Mac OS X firmy Apple je částečně založen na FreeBSD, díky čemuž kromě uživatelského rozhraní vytvořeného firmou Apple obsahuje i bohatý unixový základ.

11 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 9 Obrázek 1.2: Logo distribuce FreeBSD OpenBSD OpenBSD je volně šiřitelný, na mnoha platformách fungující operační systém unixového typu, jehož koncepce vychází ze systému BSD. Mezi hlavní vlastnosti patří přenositelnost, standardizace, správnost a bezpečnost. Tato distribuce je vhodná pro výstavbu firewalů a privátních síťových služeb v distribuovaném prostředí. Hlavní důraz OpenBSD je kladen na bezpečnost. Filosofií této distribuce je raději méně funkcí, ale o to více bezpečných. Tento systém je bezpečný i ve výchozím nastavení. Další cíle jsou zejména dodržování nejrůznějších standardů. Např. ANSI, POSIX a částečně X/Open. OpenBSD projekt je také autorem mnoha ostatních Open* projektů, které jsou následně využívány jinými platformamy. Patří mezi ně např. OpenSSH, OpenSSL, OpenB- GPD, OpenOSPFD, OpenNTPD,... Obrázek 1.3: Logo distribuce OpenBSD NetBSD NetBSD klade důraz na jednoduchost, čistotu a přehlednost kódu. Díky široké podpoře hardwaru se NetBSD používá i v embedded zařízeních, přenosných počítačích, nebo na starším hardwaru. Poměrně často bývá využíván jako server, nebo firewall. NetBSD je svobodný software, šířený BSD licencí. Tento systém se snaží o implementaci API (Aplication Program Interface) podle normy POSIX, což by mělo umožnit bezproblémové používání všech unixových programů v nezměněné formě. NetBSD se vyvíjí jako kompletní systém, včetně jádra. Tento systém je poměrně rychlý a je velká čistota kódu. Obsahuje také obsáhlou a přehlednou dokumentaci. Nevýhodou je menší počet dostupných aplikací a menší počet uživatelů, který tento systém používají a případně umí poradit.

12 10 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 1.4: Logo distribuce NetBSD 1.3 Linux Linux je operační systém, založený na principech unixových sytémů. Linux je šířen v podobě distribucí, které lze buď naistalovat, nebo přímo používat, tzv. Live distribuce. Operační systém Linux používá unixové jádro, které vychází z myšlenek Unixu a respektuje příslušné standardy POSIX a Single Unix Specification. Jádro Linuxu umožňuje spouštět více programů najednou. Každý program se může skládat z jednoho nebo více procesů, takže říkáme, že jde o víceúlohový systém. Každý proces potom může mít jeden nebo více podprocesů. Jádro Linuxu je víceuživatelské, takže umožňuje spouštět programy různých uživatelů, například jeden uživatel může obsluhovat systém přímo, zatímco další mohou obsluhovat stejný systém například přes síť. Příslušné uživatelské účty jsou před neoprávněným přístupem chráněny autentizací, například jménem a heslem. Uživatelé mají přidělena různá práva. Pod označením Linux je míněno nejen jádro operačního systému, ale zahrnuje i veškeré programové vybavení. Patří mezi ně zejména různé utility, aplikace, grafické uživatelské rozhraní, apod. Linux je šířen v podobě linuxových distribucí, které obsahují jádro a příslušný software v takové formě, aby usnadňoval instalaci a používání. Například Live distribuce se nemusí vůbec instalovat a po zavedení do RAM paměti je lze přímo používat. Toto je vhodné zejména pro vyzkoušení dané distribuce. Velmi často se také distribuce virtualizují, z důvodu snadné zálohy, lepšího využití hardwaru apod. Linuxová distribuce je obvykle šířena jako ISO obrazy, které lze vypálit na CD, DVD, nebo umístit na USB flash disk. Poté z tohoto média instalovat na zařízení, nebo přímo využívat. Jednotlivé programy jsou rozděleny do balíčků, které je možné pomocí balíčkovacího systému do systému přidávat nebo z něj odebírat, případně systém aktualizovat a udržovat. Linux je rošířený zejména na internetových a intranetových serverech a v oblasti vysoce výkonných výpočetních stanic. V posledních letech se Linux pozvolna rošiřuje do firemní sféry a na domácí počítače. Také se prosazuje v oblasti různých embedded zařízení, smart telefónů a tabletů.

13 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 11 Obrázek 1.5: Logo distribuce Linux Debian Debian patří mezi nejstarší distribuce, jehož zakladatelem je Ian Murdock. Je to přísná open-source distribuce, která je vyvíjena dobrovolníky z celého světa. Nabízí on-line repozitář, server, kde jsou uloženy zdrojové kódy softwarových balíčků. Debian je pro svou stabilitu a jednoduchou údržbu velmi oblíbený zejména pro serverové instalace. Tato distribuce má vlastní balíčkovací systém APT (Advanced Packaging Tool), který je velmi propracovaný a umožňuje velmi jednoduše provádět správu balíčků z různých zdrojů. Debian má tři hlavní větve, do kterých se software člení podle úrovně testování a míry funkčnosti. Stabilní verze je pečlivě otestovaná, chyb zbavená větev určená především pro nasazení u kritických aplikací. Testovací verze obsahuje novější software, ale může obsahovat chyby. Nestabilní, vývojářská větev je používána převážně vývojáři a nadšenci, kteří chtějí vyzkoušet nejnovější software. Obrázek 1.6: Logo distribuce Debian Ubuntu Ubuntu je linuxová distribuce založená na Debianu. Je sponzorována společností Canonical Ltd. a je pojmenována z jihoafrického pojmu, znamenajícího "lidskost ostatním". Na rozdíl od Debianu pravidelně zveřejňuje nové verze každých 6 měsíců s podporou na dalších 9 měsíců. Verze LTS (long Term Support) mají podporu delší - 5 let. Ubuntu rozděluje software na čtyři základní sekce, nazývané komponenty, které od-

14 12 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava rážejí rozdíly v licencování a úroveň poskytované podpory. Standardně jsou instalované balíčky z komponenty main, tyto pokrývají základní potřeby běžných uživatelů počítače a některé balíčky z komponenty restricted, které jsou absolutně nevyhnutelné na to aby byl systém použitelný. Komponenta universe obsahuje široký záběr softwaru, který může a nemusí mít restriktivní licenci, ale není podporovaný Ubuntu týmem. Komponenta multiverse, která obsahuje nepodporované balíčky, nesplňující požadavky na svobodný software. Obrázek 1.7: Logo distribuce Ubuntu Fedora Fedora Linux je vývojovou větví, z níž vychází Red Hat Linux. Jedná se o velmi progresivní distribuci Linuxu, v níž se objevují novinky, které pak přejímají jiné distribuce. Tato distribuce používá balíčkovací systém RPM (Red Hat Package Manager), který je zabudován v nástroji yum (The Yellowdog Updated, Modified). Obrázek 1.8: Logo distribuce Fedora Centos CentOS (Community ENTerprise Operating System) je linuxová distribuce založená na Red Hat Enterprise Linux. CentOS obsahuje základní software pro práci v síti. Svým obsahem softwaru a zaměřením vůbec je směrován spíše pro práci na serveru a vývoj. Jako největší klad je jeho stabilita. CentOS je k dispozici zcela volně, avšak není spravován ani podporován firmou Red Hat, je podporován vlastní komunitou vývojářů. Využívá pro aktualizace nástroj yum, a proto jsou pozměněny jeho konfigurační soubory tak, aby odkazovaly do vlastních repozitářů Gentoo Gentoo je distribuce operačního systému Linux vyvíjená, podobně jako Debian, komunitou. Je ovšem na rozdíl od ostatních založena na zdrojových kódech, takže si každý přeloží

15 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 13 Obrázek 1.9: Logo distribuce CentOS svůj unikátní systém dle svých požadavků. Výhodou je maximální možnost nastavení jednotlivých aplikací a součástí, přehledná konfigurace systému, optimalizace pro konkrétní hardware, časté aktualizace. Nevýhodou je náročnost na výpočetní výkon v průběhu instalace nebo aktualizace systému a aplikací, délka kompilace, pokud se nevyužívají předkompilované balíky. Obrázek 1.10: Logo distribuce Gentoo 1.4 Live distribuce Linuxu Linuxová distribuce, která se zavádí z připojitelného média se nazývá Live distribuce. Systém nemusí být naistalovaný na pevný disk. Tyto Live distribuce jsou vhodné pro otestování operačního systému, instalace nového systému, zvýšení bezpečnosti, nebo pro opravu systému. Existují možnosti LiveCD, LiveDVD, nebo LiveUSB. Převážná většina LiveCD obsahuje operační postavený na základě GNU systému a linuxovém jádře, ale jsou zde také LiveCD postavené na ostatních operačních systémech, jako je Mac OS, Mac OS X, BeOS, FreeBSD, Minix, NetBSD, Plan 9 nebo Microsoft Windows. Stačí si stáhnout obraz libovolné distribuce a vytvořit si vlastní Live verzi. ISO obraz je potom možno uložit na libovolné externě připojitélné médium. Některé distribuce jsou Live a je možno je také po otestování přímo nainstalovat. Dnes se můžeme nejčastěji setkat s LiveUSB distribucí. Mají výhodu velké velikosti pro uložení dat. Je možno využít Flash disk, nebo externí disk. Výhoda LiveCD, nebo Live DVD je zejména v oblasti bezpečnosti, protože není možno na médium nic ukládat. Pro některé účely to může být naopak nevýhoda. Pomocí programu usb-creator-gtk, nebo UNetbootin můžeme vytvořit LiveUSB distribuci. Na obrázku 1.11 je náhled na spuštěný program usb-creator-gtk.

16 14 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 1.11: Náhled do programu usb-creator-gtk Obrázek 1.12: Náhled do programu UNetbootin

17 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 15 2 VIRTUALIZACE A ZÁLOHOVÁNÍ DAT Podstatou virtualizace je provoz více oddělených serverů na jednom fyzickém hardware. Toto přináší zásadní úspory v pořizovacích i provozních nákladech, zlepšuje správu, urychluje vytvoření a nasazení nového serveru, bezpečnost a další výhody. Také se často virtualizace nasazuje pro vývojové a testovací účely. Cílem je, aby několik virtuálních serverů společně sdílelo fyzické prostředky. 2.1 Použití virtualizace v praxi Využití virtualizace pro vývoj softwaru je dnes velmi časté. Díky možnostem nasazení a běhu více systému současně (a to i více verzí jednoho softwaru) přináší virtualizace snažší možnost vývoje aplikací pro více systému současně, aniž by programátor musel mít přístup k fyzickým zařízením s různými operačními systémy, popř. s různými verzemi operačního systému. Virtualizační nástroje taktéž mají funkcionalitu pro ukládání stavu systému. Díky možnosti návratu systému do původní podoby je jednodušší návrat systému do původního stavu před testováním dané systémové aplikace. Virtuální systém může taktéž fungovat jako honeypot, jelikož pro hostující systém je snadné sledovat využívané prostředky virtuálního systému. O testovací účely se jedná v případě, že chceme testovat aplikaci, u které si nejsme jistí původem, popř. chceme otestovat daný systém na stabilitu při využití této aplikace. Testovací účely jsou velmi úzce spjaty s bezpečností, kdy např. můžeme využívat virtualizovaný operační systém např. na stahování pošty. V takovém případě (při přijetí viru) je infikován pouze virtualizovaný systém, nikoliv hostující systém. Virtualizovat můžeme taktéž systémy jiné architektury procesoru např. procesorů ARM (Advanced RISC Machine) a vyvíjet tak aplikace pro mobilní zařízení, aniž bychom museli mít přístup k danému zařízení. Virtualizovaný systém je velice snadné obnovit do původní podoby. Při obnově virtutualizovaného systému do původní podoby není většinou potřeba hostující systém, popř. ostatní virtualizační systémy vyřazovat z provozu. Priorita hostujícího systému je mnohem vyšší a v případě havárie virtuálního systému, nedojde k ovlivnění stavu hostovaného systému. Tato skutečnost je úzce spjata s nasazením virtualizace v serverovém prostředí, kdy stabilita a funkčnost je jedním z hlavních požadavků na fungování celého systému. V serverovém prostředí velmi často funguje na jednom fyzickém zařízení větší počet virtuálních systémů a v případě selhání jednoho z virtuálních systémů nesmí dojít k ovlivnění ostatních systémů. V případě selhání virtuálního systému, může být tento systém okamžitě nahrazen jeho kopií, která je předpřipravena na hostujícím systému.

18 16 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 2.2 Typy virtualizací Virtualizace se používá z různých důvodů. Pro každý druh využití virtualizační technologie se může hodit jiná virtualizační technika. Různá virtualizační řešení mají různý výkon, odlišnou kvalitu nástrojů pro správu systému, nebo dostupnost komerční podpory a certifikací. Virtualizací rozdělujeme výkon hardwaru mezi virtuální systémy. Existují však i jiné typy virtualizace, které provádějí opačnou úlohu. Tyto typy virtualizace seskupují více virtuálních systémů do jednoho, což často vede k virtualizaci vrstvy nad sdruženými virtuálními systémy a to buď z hlediska výkonu, nebo zabezpečení. Virtualizace systému v současné době nejčastěji využívá virtualizace platformy. Možnost virtualizace celé systémové platformy je dostupná na téměř na všech procesorech s architekturou x86 a x Velká rozsáhlost instrukční sady procesorů x86 vedla k několika různým přístupům ve vývoji hypervisorů. Emulace virtuálního systému na architektuře x86 je realizovatelná pomoci binárního překladu instrukcí a přímého vykonávání instrukcí. Mezi hostujícím a hostovaným operačním systémem neexistuje žádná vazba. Při realizaci virtualizace zcela odlišné architektury než je architektura hostujícího systému, musí být využita technika binárního překladu. Při tomto překladu jsou přeloženy veškeré instrukce z virtuálního systému do systému hostujícího. Podobná technika je využita taktéž při rekurzivní virtualizaci, která je realizovatelná pouze touto technikou. Paravirtualizace se rozumí technika, při které dochází k modifikaci hostujícího operačního systému, jenž je upraven do podoby, ve které se budou virtualizované systémy virtualizovat jednodušeji a hlavně rychleji. U tohoto typu virtualizace je zvolen jednodušší návrh hypervisora. Jednodušší návrh hypervisora může být zvolen pouze v případě, že se jedná o totožnou architekturu systému mezi hostujícím a virtualizovaným systémem. Virtualizace na úrovni jádra operačního systému je virtualizace, které se nenachází žádný hypervisor. Virtualizované systémy běží přímo nad společným jádrem a není potřeba virtualizovat hardware nebo překládat instrukce. Tento typ virtualizace dosahuje vysoké efektivity vzhledem k absenci virtualizovaného hardware. Neexistuje zde taktéž duplicita, jenž vzniká při běhu systému v plně virtualizovaném prostředí. Při běhu systému v plně virtualizovaném prostředí, běží každé jádro separátně v každém systému. Musíme taktéž počítat s jádrem hostujícího systému. Virtualizace na úrovni jádra operačního systému umožňuje virtualizovat systémy, jenž jsou shodné s hostujícím operačním systémem a virtualizovaný systém je schopný využívat stejné jádro operačního systému. Systémová virtualizace spočívá v simulaci kompletní hardware platformy pro virtuální stroj. Systémově virtuální stroje jsou nyní procesy řízené monitorem virtuálních strojů, hypervisorem, které mohou fungovat na dané platformě simultánně s vlastním operačním systémem a sadou programů nad přiděleným prostorem, který představuje virtuální úložiště ve formě souborů. Kontejnerová virtualizace je technika, při které běží pouze jeden operační systém,

19 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 17 který vytváří vzájemně oddělená prostředí, tzv. kontejnery. Takto lze na jednom stroji provozovat např. několik webových serverů, aniž by bylo nutné mít pro každý z nich nainstalovaný kompletní systém. Obrázek 2.1: Kontejnerová virtualizace Každý virtuální systém má také uživatelem definovanou sadu virtualizovaných zařízení, která je značně variabilní a zahrnuje veškerá zařízení potřebná pro základní běh podporovaných operačních systémů. Virtualizovanému systému jsou přidělovany tyto prostředky hypervisorem, který zajišťuje alokaci těchto prostředků na hostujícím fyzickém stroji. Tento typ virtualizace je možný i na počítačich s instrukční sadou, která je odlišná od instrukční sady hostovaného počítače. 2.3 Typy hypervizorů Za hypervisor můžeme označit komponentu virtualizačních nástrojů. Úkolem hypervisoru je zajištění komunikace mezi virtualizovaným systémem a systémem hostujícím, spravování a přidělování hardwarových prostředků virtuálním systémům. Samotné hypervisory je možno rozdělit do několika základních kategorií. Nativní hypervisor je instalován přímo na hardware platformě bez přítomnosti nosného operačního systému. Cílem tohoto hypervisoru je pouze podpora pro běh virtuálních systémů a to jak podpora při přidělování prostředků pro samotnou funkci virtuálních systémů. Hypervisor funguje v režimu supervizora s nejvyšší prioritou. Ostatní virtuální systémy fungují s nižší prioritou. Hostovaný hypervisor funguje na operačním systému, do něhož byl nainstalován. Hostovaný hypervisor je možno rozdělit do dvou základních režimů a to do uživatelského režimu a dvojího režimu. Mezi představitele hypervisora v uživatelském režimu patří např. QEMU, jenž využívá binární překlad instrukcí. Pokud je použit bez modulu KVM, jedná

20 18 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava se o pouhý emulátor. Toto nepřináší dostatečné řešení, ačkoliv může emulovat instrukční sadu, která se liší od instrukční sady hostujícího systému. Dalším režimem hostovaného hypervisora je duální režim. V tomto režimu má hypervisor vyšší prioritu a umožňuje přímé spuštění bezpečných instrukcí na hostujícím systému z virtualizovaného systému. Virtualizace procesoru je možné dvěma základními způsoby a to emulací (binárním překladem instrukcí) nebo přímým spuštěním instrukcí na hostujícím systému. Pomoci emulace je možno pracovat na platformách s odlišnými instrukčními sadami. Postup pro zpracování instrukcí je následující: binárním překlav případě, že u hostovaného systému a virtulizovaného systému se nachází stejná instrukční sada, lze provést přímé spouštění instrukcí. Přímé spuštění instrukcí přináší navýšení rychlosti u samotné virtualizace.dem instrukcí se zpracuje každá provedená instrukce, interpretuje se, emulovaná zařízení změní svůj stav na základě typu instrukce. Virtualizace vstupně/výstupních zařízení je poměrně složititá záležitost, z důvodu odlišných vlastností a ovládání jednotlivých zařízení. Nejčastěji dochází k virtualizací celého zařízení. Požadavky tohoto zařízení jsou zachyceny hypervisorem a ten je převede na požadavky, které jsou totožné pro dané zařízení. Implementace těchto zařízení se liší podle jejich využití. 2.4 Virtualizační nástroje Existuje několik dostupných virtualizačních nástrojů. Některé jsou komerční, jiné jsou volně dostupné. V této části se budeme zabývat pouze volně dostupnými virtualizačními nástroji. Obrázek 2.2: Porovnání virtualizace KVM a Xen

21 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO KVM Kernel-based Virtual Machine S příchodem hardwarově asistované virtualizace začal vznikat nový hypervisor ve formě modulu jádra pro GNU/Linux, který by byl jednoduše použitelný a dosahoval vysokého výkonu. Rozšířením jádra linuxu o mudul hypervisora KVM je možno spravovat každý virtuální systém jako linuxový proces. Po připojení modulu jádra KVM, dochází ke změně linuxového jádra na hypervisora. Každý virtuální systém má vyhrazený svůj adresní prostor pro zajištění míry izolace mezi aktivními virtuálními systémy a procesy. Správa modulu jádra je realizována pomocí libvirt API a nástrojů pro libvirt, jako virt-manager a virsh. KVM je svým rozsahem mnohem menší než např. VirtualBox nebo VMware. Virtualizace procesoru je zajišťována pomocí technik hardwarové virtualizace Intel VT-x nebo AMD-V. Řízení paměti je spravováno přímo KVM. Emulovaná zařízení Jsou pouze softwarovou implementací reálných zařízení. Ke svému provozu nepotřebují reálné fyzické zařízení, mohou však využít připojená zařízení stejného typu. Tato zařízení jsou pouze překládovou vrstvou mezi hostovaným operačním systémem a hostujícím operačním systémem. Instrukce na úrovni virtualizovaných zařízení jsou překládány binárním překladem instrukcí. Virtualizovány mohou být i odlišné architektury, než na které je hostující operační systém. Emulaci zařízení provádí upravený emulátor QEMU. Tento emulátor překládá veškeré instrukce z hostovaného operačního systému do hostujícího a opačně. Sada virtualizovaných zařízení je shodná s virtualizovanými zařízeními ve virtualizačním nástroji VirtualBox, který rovněž využívá modifikovaného QEMU k virtualizaci těchto zařízení. Paravirtualizována zařízení se značně liší od emulovaných. Tato zařízení využívají paravirtualizovaných ovladačů, které omezují zpoždění a zvyšují u nich datovou propustnost. U paravirtualizovaných zařízení nejsou požadavky emulovány, nýbrž jsou předávány skrze univerzální rozhraní až do reálného systému XEN XEN umožňuje paravirtualizaci, kdy se prostředí pro virtualizovaný stroj neemuluje úplně, ale část instrukcí se zpracovává přímo prostřednictvím reálného prostředí. To však předpokládá spolupráci virtualizovaného stroje s hostitelem. Podmínkou pro paravirtualizaci tedy je odpovídajícím způsobem nakonfigurované jádro hostitele resp. zavedené moduly které komunikaci mezi virtuály a jádrem zprostředkují. Při instalaci tohoto násroje je potřeba upravit systém hostitelský systém Virtualbox Virtualbox využívá hostovaného hypervisora. Virtualbox je možno spouštět z příkazové řádky, ale je možno taktéž využívat grafické rozhraní programu. Architekturu Virtualboxu a jeho komponent můžeme rozdělit na 2 části a to na část klientskou a část serverovou.

22 20 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Klienstská část obsahuje nástroje, které jsou určeny pro správu virtuálních systémů a to jak přes grafické, tak i přes příkazovou řádku. Grafické rozhraní klientské části Virtualboxu patří VirtualBox a VBoxSDL. VirtualBox je klientskou aplikací, grafické rozhraní je napsáno ve frameworku Qt. Jedná se o multiplatformní aplikaci, předává veškeré nastavení službě VboxSVC. VBoxSDL postrádá některé rozšířené funkce a je určena především pro ladění virtuálních systémů obsahuje konzoli s veškerými chybovými zprávami. Virtuální disky v Virtualboxu představují soubory s příponou.vdi. Jejich velikost může být staticky nastavená popř. může být velikost proměnná s maximální velikostí, jenž nastavuje uživatel. VirtualBox nevyužívá pouze binární překlad instrukcí. Neprivilegované instrukce mohou být spouštěny nativně a to bez jakékoliv modifikace OpenVZ OpenVZ využívá tzv. kontejnérové virtualizace, kdy v rámci jednoho operačního systému, se vytváří vzájemně oddělená prostředí. Lze tak na jednom zařízení provozovat několik www serverů, aniž by bylo nutné mít pro každý z nich nainstalovaný kompletní systém. Tato virtualizace neumožňuje nasazení jiného operačníhosystému Instalace a konfigurace virtualizace pomocí KVM Nejdříve naistalujeme požadované balíčky, pomocí balíčkovacího programu: apt-get install kvm libvirt-bin Následně otestujeme, zda je na systému podpora kvm virtualizace příkazem: kvm-ok Na výstupu bychom měli obdrřen následující výpis: INFO: Your CPU supports KVM extensions INFO: /dev/kvm exists KVM acceleration can be used Nyní můžeme naistalovat nástroj virtinst pro instalaci jednotlivých virtuálů apt-get install virtinst Pomocí následujícího příkazu vytvoříme virtuální server s distribucí Slax:

23 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 21 virt-install -n web_devel -r 512 disk path=/var/lib/libvirt/images/web_devel.img,\ bus=virtio,size=4 -c slax-czech i486.iso accelerate \ network network=default,model=virtio connect=qemu:///system vnc noautoconsole -v Na výstupu získáme následující výpis: Starting install... Allocating web_devel.img 100% ========================= 0 B 00:00 Creating domain... 0 B 00:00 Domain installation still in progress. You can reconnect to the console to complete the installation process. Nyní se můžeme připojit do virtuálu pomocí příkazu: virt-viewer -c qemu:///system web_devel Obrázek 2.3: Virtualizovaný Slax 2.5 Zálohování dat Zálohování dat je mechanismus, při kterém jsou vybraná data ukládána na jiném médiu. V případě ztráty původních dat, mohou být data obnovena ze zálohy. Záloha se provádí

24 22 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava podle předem stanovené zálohovací politiky. Je velmi důležité, stanovit, která data budou zálohována. Většinou se zálohují data, která jsou vytvořena uživateli, nebo různé nastavení systému apod. Zálohování se provádí z důvodu ochrany před ztrátou uložených dat. Data se mohou poškodit chybou hardwaru, softwaru, napadení virem, vinou uživatele, přírodní katastrofou, apod Metody zálohování Existuje několik metod zálohování. Základní a nejjednodušší metodou je plná záloha, při které jsou zálohována veškerá data určená pro zálohování. Plná záloha by byla ideálním typem pro všechna zálohování, protože je nejvíce komplexní. Nicméně tento typ zálohování zabere mnoho času, a má velké nároky na zálohovací médium. Úplná záloha je často omezena na týdenní nebo měsíční periodu a je spuštěna převážně jen přes noc. Dalším typem je inkrementální (přírůstková) záloha, která ukládá pouze změny oproti oproti předchozí záloze. Přírůstkové zálohování poskytuje rychlejší způsob zálohování dat, než opakování plných záloh. Výhodou je úspora úložného prostoru, potřebného pro tento typ zálohování. Ovšem velkou nevýhodou je, že pokud dojde ke ztrátě nebo poškození jakékoliv části dat i v jednom z přírůstků, nelze již obnovit data ani z dalších přírůstků, které za tímto poškozeným následují. Posledním typem je diferenciální (rozdílová) zálohoha, která ukládá všechny změny oproti od poslední úplné zálohy. Výhodou diferenciální zálohy je, že se zkrátí čas obnovení v porovnání s plnou zálohou. Nicméně pokud bude diferenciální záloha prováděna velmi často, může její velikost být dokonce větší, než jak by tomu bylo u plné zálohy. Obrázek 2.4: Princip jednotlivých typů zálohování

25 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO Média pro zálohování Pro ukládání dat se používá několik typů datových médií. Nejčastěji se ve firmách používají magnetické pásky pro nízkou pořizovací cenu média. Dalším typem pro zálohování se používají magnetické pevné disky, kde je výhodou nízká přístupová doba, kapacita média. Dnes začínají být vytlačovány SSD (Solid-state drive) disky, které neobsahují pohyblivé mechanické části. Nevýhodou těchto médií je omezená životnost počtu zápisů. Pro osobní použití lze využít USB flash disky, nebo různé druhy paměťových karet Rozdělení podle topologie úložiště Podle typu úložiště můžeme rozdělit technologie pro ukládání dat do tří typů. Prvním typem je úložiště DAS (Direct Attached Storage). Jedná se o jakékoliv úložiště, které je přímo kabelem propojeno k PC nebo serveru na dedikovanou sběrnici. Bývají to nejen běžné disky SATA a SAS, ale také externí disky připojené například přes rozhraní USB nebo FireWire. Výhodou DAS jsou nízké vstupní náklady a přiměřený výkon, problémem jsou omezené možnosti rozšíření. Dalším typem úložiště je NAS (Network Attached Storage). Jsou to souborově orientovaná úložná zařízení s integrovaným LAN rozhraním a variabilním počtem za chodu připojitelných pevných disků. Využití nacházejí převážně v menších firmách a u domácích uživatelů, kteří mají LAN síť, a postupně nashromáždili mnoho dat a projevila se u nich potřeba přístupu k nim z několika počítačů. Výhodné je rovněž lepší využití instalované kapacity disků. Obrázek 2.5: Princip jednotlivých topologií zálohování Posledním typem jsou systémy SAN (Storage Area Network). SAN dedikovaná

26 24 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava datová síť, navržená pouze k datovým přenosům slouží pro zpracování a ukládání velkého množství dat. Architektura SAN vyžaduje infrastrukturu sestavenou z tzv. FC (Fiber Chanel) switchů, na rozdíl od DAS využívá SAN externí RAID (Redundant Array of Inexpensive/Independent Disks) řadiče, využívá optické kabely. SAN se proto hodí pro střední až velké společnosti, které požadují vysokou dostupnost svých služeb, rychlé odezvy a škálovatelnost Nástroje pro zálohování v Linuxu Ukážeme si jednoduchý postup zálohování dat pomocí nástroje rsync, který bývá standardně na linuxových distribucích naistalován. Zálohu můžeme provádět manuálně, příkazem: rsync -av data/* backup Pokud chceme zálohování zautomatizovat, využijeme program cron, který zajistí pravidelné spouštění programu rsync. crontab -e * * * * * rsync -av /home/student/data/* /home/student/backup Adresář backup, může být připojený přes protokol NFS (Network File System). Data se automaticky budou ukládat na NFS server. Program rsync je velmi flexibilní a lze využívat různé přepínače. Pro bližší použití programu lze využít zabudované manuálové stránky. man rsync

27 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 25 3 REPORTY A LOGOVÁNÍ DAT Pro lepší správu počítačových systémů a sítí je velmi žádoucí používat záznamy činností a operací, které již proběhly. Jedním ze způsobů jsou různé logovací zařízení. Výhodou tohoto řešení je, že se data ukládají na centrální server, kde mohou být následně dále zpracovávána. Jedná se o komunikaci typu klient server, kdy syslog daemon přijímá informace, které jsou posílány jednotlivými klienty daných zařízení. Původní syslog vznikl v roce 1980 jako součást projektu Sendmail. Následně se stal standardem v unixovém světě. Nakonec byl standardizován skupinou IETF jako RFC 3164 v roce 2001 a v roce 2009 byl nahrazen novým standardem Syslog Syslog je standard pro logování počítačových dat. Tento systém sbírá data z různých zařízení, ukládá je do souborů, nebo databáze a následně je může analyzovat a vytvářet různé reporty. Syslog protokol komunikuje přes protokol UDP na portu 514. Syslog může být použit pro systémový management a jako bezpečnostní audit počítačových systémů. Také může být využíván pro shromažďování, analýzu a odlaďování dat z různých zařízení. Je podporován na řadě různých zařízení, jako jsou směrovače, přepínače, servery, tiskárny a mnoho dalších síťových zařízení. Jednolivé zprávy se mohou odkazovat na různá úrovně zařízení (facility), například kernel, uživatel, mail, daemon, authentikace, cron, atd. Těmto zprávám jsou přiřazeny příslušné priority (severity), které definují důležitost dané zprávy. Jednotlivé priority jsou emergency, alert, critical, error, warning, notice, informational, a debug. Nejdůležitější jsou zprávy emergency, které znamenají nefunkčnost daného zřízení, jedná se například o hlášku kernel panic. Další v pořadí důležitosti je zpráva alert, kdy je nutný okamžitý zásah na daném zařízení, může se například jednat o ztracení konektivity na poskytovatele internetových služeb. Třetí nejdůležitější zprávou je critical, která by také měla být co nejdříve opravena. Může se jednat například o výpadek záložního internetového připojení. Další zprávou je zpráva error, která ohlašuje chybu, která může být opravena v určitém časovém intervalu. Zpráva warning upozorňuje na důležitou informaci, která není chybou, ale upozorňuje na důležitý stav. Poslední tři zprávy jsou pouze informativní a neznamenají žádnou chybu systému. Zprávy debug slouží pro vývojáře pro odlaďování aplikací.

28 26 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 3.2 Syslog protokol Syslog protocol se skládá ze tří vrstev. Na následujícím obrázky jsou zobrazeny jednotlivé vrstvy Syslog protokolu. Obrázek 3.1: Syslog vrstvy Syslog se skládá z jednotlivých komponent. Originator generuje syslog obsah, který je přenášen pomocí systémových zpráv. Collector sbírá jednotlivé zprávy pro další zpracování. Relay přeposílá jednotlivé zprávy. 3.3 Syslog formát zpráv Formát zpráv je definován v doporučení RFC Skládá ze tří částí: PRI, HEADER, MSG. Celková délka paketu by neměla převýšit hodnotu 1024 oktetů. Část PRI obsahuje informace o důležitosti zprávy (severity) a kdo zprávu vygeneroval (facility). Tato část má osm bitů, kde tři nižší bty jsou určeny pro důležitost zprávy a pět vyšších bitů je určeno pro facility dané zprávy. Hodnota PRI se počítá jako P RI = facility * 8 + severity. Část HEADER obsahuje časovou značku, kdy byla zpráva vygenerována a IP adresu, nebo hostname daného zařízení. Z tohoto důvodu je velmi důležité mít synchronizované časy jednak na zařízení, které zprávy generuje a na Syslog serveru. Pro udržení stejného času v síti se používá protokol NTP (Network Time Protocol). Poslední část MSG obsahuje dvě pole. První pole TAG určuje program, nebo proces, který zprávu vygeneroval. Druhé pole CONTENT obsahuje vlastní textovou zprávu. Následuje výpis systémové zprávy: Jul 27 14:54:46 student NetworkManager: <info>

29 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 27 DHCP: device wlan0 state changed bound -> renew 3.4 Instalace a konfigurace Syslog serveru Syslog Syslog server bývá na Linuxu již standardně nainstalován. Většinou je pro server použit program rsyslogd. Spuštený Syslog server nejlépe zjistíme příkazem: ps -A grep log Nastavení Syslog serveru provedeme pomocí textového editoru: nano /etc/rsyslog.conf Standardně jsou logovací informace ukládány lokálně do adresáře /var/log. Pokud chceme posílat logovací informace na Syslog server v síti, musíme to nakonfigurovat: nano /etc/rsyslog.d/50-default.conf kde stačí vložit jeden řádek, kde bude informace, co se má posílat a na jakou IP adresu. Pokud provedeme nejaké změny v konfiguračním souboru, je nutné restartovat Syslog server příkazem: service rsyslog restart Informace, které jsou ukládány na Syslog server, můžeme sledovat v reálném čase příkazem: tail -f /var/log/syslog Také můžeme otestovat, zda jsou informace posílany na Syslog server příkazem: logger -p user.info "Testovací zpráva" Syslog-ng Syslog-ng se trochu liší od klasického syslogu. Je mnohem víc konfigurovatelný, snadno se dají zadávat vlastní třídící pravidla. Server pro sběr logů můžete nastavit celkem jednoduše, je třeba udělat pár změn v souboru: source s_net {

30 28 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava }; udp(); Použijeme UDP z důvodu zpětné kompatibility se starým syslogem. Lze udělat více zdrojů, třeba pro každý server který bude na loghosta logovat jeden zdroj. Pak se to zadává pomocí: udp(ip( ) port(514)); Dále nadefinujeme samostatný soubor do kterého se budou ukládat logy ze sítě. destination d_net { file("/var/log/net.log"); }; A nakonec nastavíme vlastní logování dat ze sítě do samostatného souboru: log { source(s_net); destination(d_net); }; Cílový soubor pro logy můžete udělat pro každý stroj samostaný: source s_net {udp();}; destination d_net{ file("/logy/$host/$year/$month/$facility-$year$month" \ owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));}; log { source(s_net); destination(d_net); }; Lze nastavit i logování po síti protokolem TCP tcp(ip( ) port(5000)); Nastavení na straně klienta nadefinujete jako cíl UDP: udp("loghost" port(514));

31 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 29 4 MONITOROVÁNÍ A MANAGEMENT SÍTÍ Monitorování umožňuje sledování vybraných parametrů sítě v reálném čase. Slouží zejména pro odhalování problémů v síti a ke kontrole provozu. Management sítě je souhrn funkcí požadovaných pro kontrolu, plánování, rozvržení, rozmístění, koordinaci a monitorování zdrojů sítě. 4.1 SNMP Protocol SNMP (Simple Network Management Protocol) je standard pro správu zařízení v IP sítích. Mezi zařízení, která lze spravovat patří zejména směrovače, přepínače, koncové stanice, servery, tiskárny a mnoho dalších zařízení. Hodnoty se z jednotlivých zařízení získávají pravidelně a pak se mohou ukládat do databáze společně s časem a následně vykreslit do grafu. Přehledně tak můžeme zobrazit třeba vytížení procesoru, spotřeba paměti, průběh teploty, nebo datový tok na portu přepínače. Obrázek 4.1: Zobrazení průběhu při získání dat pomocí SNMP SNMP verze Protokol SNMP existuje ve třech verzích. SNMPv1 posílá informace v otevřeném textu a neumožňuje šifrování. SNMPv2c používá pro autentikaci tzv. community string, což je v podstatě textové heslo. SNMPv3 využívá jak autentikaci pomocí jména a hesla, tak umožňuje šifrování přenášených dat SNMP popis SNMP se skládá ze tří základních komponent. NMS (Network Management System) je software pro monitorování a řízení jednotlivých zařízení. Agent je softwarový modul na

32 30 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava monitorovaném zařízení. MIB (Management Information Base) je databáze kterou používajá NMS a agent pro čtení, nebo nastavení určitých parametrů. Tato databáze má hierarchickou strukturu a je popsána pomocí OID (Object Identifiers). Obrázek 4.2: Princip komunikace pomocí SNMP protokolu SNMP pracuje na aplikační vrstvě. Na transportní vrstvě je využíván protokol UDP s portem 161, kdy NMS posílá požadavky na agenta. Nebo je využíván port 162 pro zprávy zasílané agentem (Trap, InformRequest), pokud je například překročena nastavená prahová hodnota nějakého parametru. SNMP používá pro výměnu informací několik typů zpráv. Některé zprávy posílá NMS stanice a některé zprávy posílá agent. Zprávu GetRequest, GetNextRequest a Get- BulkRequest posílá stanice NMS pro zjištění požadovaných parametrů na základě MIB databáze. Agent odpovídá zprávou Response, která obsahuje požadované informace. Zprávu SetRequest používá NMS stanice pro nastavení požadovaného parametru na agentovi. Agent může odeslat zprávu Trap jestliže byla překročena hodnata některého parametru. Pro potvrzený přenos informací se používá zpráva InformRequest MIB databáze Každá hodnota v SNMP je jednoznačně identifikována pomocí číselného identifikátoru OID - Object Identifier. OID je tvořeno posloupností čísel oddělených tečkou, tato hodnota vznikne tak, že se vezme OID nadřazeného prvku a doplní se tečka a aktuální číslo. Celá tato stromová struktura je uložena v MIB databázi. Navíc MIB databáze obsahuje jména a popisy jednotlivých hodnot (OID). MIB databáze může být doplněna o další hodnoty pomocí části struktury uložené v MIB souboru. 4.2 NetFlow NetFlow je protokol jehož hlavním úkolem je monitorování síťového provozu na základě IP toků, které jsou potom analyzovány. Tento protocol může být využíván například pro

33 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 31 Obrázek 4.3: Náhled do MIB databáze statistiky provozu, vyhledávání různých síťových incidentů, zjišťování úzkých míst v síti, apod NetFlow architektura NetFlow architektura se typicky skládá z několika NetFlow exportérů a jednoho NetFlow kolektoru. NetFlow exportér je připojen k monitorované lince a analyzuje procházející pakety. Na základě zachycených IP toků generuje NetFlow statistiky a ty exportuje na NetFlow kolektor. NetFlow kolektor je zařízení s velkou úložnou kapacitou, které sbírá statistiky z většího počtu NetFlow exportérů a ukládá je do dlouhodobé databáze. Nad těmito daty obvykle běží aplikace, která je umí efektivně vizualizovat a generovat z nich přehledy v podobě grafů a tabulek, které umožňují jednoduše analyzovat monitorovaný provoz i běžnému uživateli. Základem NetFlow jsou IP toky, které obsahují statistiky provozu. Pro každý tok je zaznamenán čas vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Tyto statistiky neobsahují uživatelská data. Technologie NetFlow statistik umožňuje vyhodnotit data online na bázi modelu SaaS (Software as a Service). NetFlow protokol postupně vznikl v několika verzích. Nejčastěji se stále ještě používá verze 5. Pro podporu IPv6 je nutné používat verzi 9. Poslední verze je verze 10, která rozšiřuje předchozí verzi o Enterprise-defined typů polí a proměnlivou délku jednotlivých položek.

34 32 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 4.4: NetFlow architektura Obrázek 4.5: NetFlow statistiky 4.3 Instalace a konfigurace SNMP SNMP agenta nainstalujeme pomocí příkazu: apt-get install snmpd Pokud chceme získat více informací je vhodné odkomentovat jeden řádek v konfiguračním souboru: nano /etc/snmp/snmpd uncoment: com2sec readwrite default private Následně restartujeme službu SNMP agenta: service snmpd restart NMS aplikace naistalujeme pomocí příkazu: apt-get install snmp

35 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 33 Nyní můžeme vyzkoušet SNMP protokol na vlastním stroji příkazem: snmpwalk -v 2c -c private localhost Na výstupu získáme všechny informace, které jsou k dispozici na lokálním zařízení. Pokud budeme chtít používat SNMPv3, je nutné vytvořit v konfiguračním souboru příslušné účty: nano /etc/snmp/snmpd.conf createuser user1 createuser user2 MD5 user2password createuser user3 MD5 user3password DES user3encryption rouser user1 noauth rouser user2 auth authentication rwuser user3 priv privacy Nyní lze vyzkoušet SNMPv3, kdy vyčteme jeden parametr pomocí OID: snmpget -v 3 -u user1 -l NoauthNoPriv localhost SNMPv2-MIB::sysDescr.0 = STRING: Linux student generic-pae #114-Ubuntu SMP Wed Sep 11 19:15:42 UTC 2013 i686 snmpget -v 3 -u user2 -l authnopriv -a MD5 -A user2password localhost SNMPv2-MIB::sysDescr.0 = STRING: Linux student generic-pae #114-Ubuntu SMP Wed Sep 11 19:15:42 UTC 2013 i686 snmpget -v 3 -u user3 -l authpriv -a MD5 -A user3password -x DES -X user3encryption localh SNMPv2-MIB::sysDescr.0 = STRING: Linux student generic-pae #114-Ubuntu SMP Wed Sep 11 19:15:42 UTC 2013 i Instalace a konfigurace NetFlow Nejdříve nainstalujeme program pro posílánání NetFlow informací, tzv NetFlow exporter, příkazem: apt-get install fprobe Upravíme konfigurační soubor: nano /etc/default/fprobe INTERFACE = "eth0" FLOW_COLLECTOR = " :10000" OTHER_ARGS = "-fip"

36 34 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Nyní můžeme na druhém PC naistalovat NetFlow Collector pro sběr dat, příkazem: apt-get install nfdump A nakonec můžeme sbírat data do adresáře netflow pomocí příkazu: nfcapd -p n p2, , netflow Data lze zobrazit příkazem: nfdump -R netflow/data Následuje zkrácený výpis dat: Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Pkts Bytes Flows :54: ICMP :0 -> : :54: ICMP :0 -> : :55: TCP : > : :55: TCP : > : :55: UDP : > : :55: UDP : > : :55: UDP : > :

37 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 35 5 VYKRESLOVÁNÍ GRAFŮ POMOCÍ NÁSTROJE RRDTOOL RRD Tool (Round-Robin Database tool) je opensource nástroj, který se zaměřuje na zpracování a ukládání časově závislých dat, například teplota, zatížení procesoru, síťový provoz a další. Tato data mohou být vykreslována v přehledných grafech. Round Robin je technika, která pracuje s pevným množství dat, a ukazatelem na aktuální prvek. Nejdříve se musí vytvořit vhodná databáze, která se následně postupně plní příslušnými daty. Dato data jsou nakonec vykreslována do grafů. Pro pravidelné aktualizace dat a vykreslování grafů se používají skriptovací jazyky bash, perl, python, ruby, lua, nebo tcl aplikace. 5.1 Vytvoření databáze Funkce create vytvoří nový soubor s databází RRD. Takto vytvořená databáze je naplněna neznámými daty pro všechny vzorky. Syntaxe k vytvoření databáze je následující: rrdtool create filename [ start -b start time] [ step -s step] [ no-overwrite] [DS:ds-name:DST:dst arguments] [RRA:CF:xff:steps:rows] Vytvořený soubor by měl mít příponu.rrd. Dále definujeme čas, kdy začneme sbírat data a interval ve kterém jsou data sbírána. DS (Data Source) definuje zdroj dat, které budou ukládány do databáze. Do jedné databáze můžeme vkládat hodnoty více proměnných. RRA (Round Robin Archive) určuje, jak se budou data ukládat. Pomocí RRA si určujeme, kolik hodnot na určený interval si databáze uchová. Můžeme tedy uchovat více hodnot pro interval jednoho měsíce, méně hodnot pak pro interval jednoho roku. V závislosti na RRA a počtu proměnných DS je určena velikost souboru. Příklad vytvořené databáze: rrdtool create mem.rrd start N step 3 DS:memory:GAUGE:10:0:U RRA:MAX:0.5:1:100 Vytvoří se soubor s názvem mem.rdd. Základní krok budou tři sekundy. Jedinná proměnná memory, minimální hodnota bude 0 a maximální hodnota bude neznámá. Archiv bude sbírat každou hodnotu, těchto hodnot bude 100. Maximální časový interval je proto 300 sekund, Starší hodnoty budou smazány.

38 36 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 5.2 Vložení dat do databáze Příkaz update slouží k vkládání nových dat do databáze. Data jsou v databázi automaticky přeskládána podle zadaných parametrů při vytvoření databáze. Syntaxe pro vkládání dat do databáze je následující: rrdtool update filename [ template -t ds-name[:ds-name]...] [ daemon address] [ ] N timestamp:value[:value...] Příklad vložení dat do databáze: mem= free grep Mem: awk { print $3 } rrdtool update mem.rrd template memory N:$mem Do proměnné mem si uložíme jen číselnou hodnotu paměti. Data z proměnné mem se budou ukládat do předen vytvořene databáze mem.rrd. 5.3 Vytvoření grafu Používá se k reprezentaci dat v podobě čitelné pro člověka. Hlavním cílem je vytvoření grafické podoby dat, může ale generovat i číselné zprávy. Příkaz potřebuje k práci nějaké hodnoty, je tedy nutné připojit alespoň jednu proměnnou z RRD souboru. Hodnot může být více z vícero souborů. Syntaxe pro vytvoření grafu je následující: rrdtool graph filename [option...] [data definition...] [data calculation...] [variable definition...] [graph element...] [print element...] Příklad pro vytvoření grafu rrdtool graph mem2.png start end title Graf_vyuziti_pameti -w 800 -h 600 DEF:mymem=mem.rrd:memory:MAX LINE2:mymem#ff0000

39 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 37 Vytvoří se obrázek s názvem mem2.png. Graf bude vykreslovat data od start do hodnoty end. Název grafu bude Graf vyuziti pameti. Velikost obrázku v pixelech bude 800x600. Budou použita data z databáze mem.rrd a jeho proměnné memory. Graf bude vykreslen červenou barvou, jak je vidět na obrázku 5.1. Obrázek 5.1: Využití nástroje RRDtool pro zobrazení vytížení paměti 5.4 Výpis informací a dat z databáze Pokud potřebujeme zjistit základní informace o nastavení databáze můžeme zadat příkaz: rrdtool info mem.rdd Výpis může vypadat následovně: filename = "mem.rrd" rrd_version = "0003" step = 3 last_update = ds[memory].type = "GAUGE" ds[memory].minimal_heartbeat = 10 ds[memory].min = e+00 ds[memory].max = NaN ds[memory].last_ds = " " ds[memory].value = e+06

40 38 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava ds[memory].unknown_sec = 0 rra[0].cf = "MAX" rra[0].rows = 100 rra[0].cur_row = 43 rra[0].pdp_per_row = 1 rra[0].xff = e-01 rra[0].cdp_prep[0].value = NaN rra[0].cdp_prep[0].unknown_datapoints = 0 Případně můžeme vypsat obsah databáze pomocí příkazu: rrdtool dump mem.rrd Zkrácený výpis může vypadat následovně: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE rrd SYSTEM " <! Round Robin Database Dump ><rrd><version> 0003 </version> <step> 3 </step> <! Seconds > <lastupdate> </lastupdate> <! :10:43 CET > <ds> <name> memory </name> <type> GAUGE </type> <minimal_heartbeat> 10 </minimal_heartbeat> <min> e+00 </min> <max> NaN </max> </ds> <! Round Robin Archives ><rra> <cf> MAX </cf> <pdp_per_row> 1 </pdp_per_row> <! 3 seconds > <params> <xff> e-01 </xff> </params> <cdp_prep> <ds> <primary_value> e+06 </primary_value> <secondary_value> e+06 </secondary_value> <value> NaN </value> <unknown_datapoints> 0 </unknown_datapoints> </ds> </cdp_prep> <database> <! :08:18 CET / > <row><v> e+06 </v></row> <! :08:21 CET / > <row><v> e+06 </v></row> </database> </rra> </rrd>

41 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 39 6 SLEDOVÁNÍ PROVOZU V IP SÍTÍCH Pro zvýšení bezpečnosti a řešení problémů v sítích potřebujeme různé paketové analyzátory, které umožňují sledovat provoz v reálném čase a analyzovat data podle různých kritérií. Někdy bývají tyto analyzátory součástí většího projektu, jindy jsou to jednoúčelové programy. V této kapitole se budeme zabývat dvěma programy se kterými se můžeme nejčastěji setkat. Výhoda textových analyzátorů je možnost využívat skripty, které mohou určité činnosti automatizavat a lépe potom využít možnsti nasbíraných dat. Grafické analyzátory jsou zase přehlednější a názornější. 6.1 Paketový analyzátor tcpdump Paketový analyzátor tcpdump umožňuje sledovat provoz v reálném čase a nebo analyzovat již uložená data. Pro svou činnost využívá knihovnu libpcap a analyzuje provoz od druhé vrstvy OSI (Open System Interconnection) modelu. Obrázek 6.1: Náhled na výstup programu tcpdump Program tcpdump je používán pro analýzu chování sítí, jejjich výkonu a aplikací, které generují nebo příjímají pakety. Může také být použít pro analýzu síťové infrastruktury, kde je možno vyhledávat různé síťové problémy. Také je možno použít tento program pro specifičtější účely zachytávání a zobrazování komunikace uživatele, nebo zařízení. Uživatel s právy správce může například na routeru sledovat komunikaci nezašifrovaných služeb, jako je telnet nebo HTTP, ze kterých lze zobrazit uživatelské údaje, jako je uživatelské jméno nebo heslo, URL adresu, obsah webové stránky, která je právě zobrazována nebo jiné informace.

42 40 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 6.2 Paketový analyzátor Wireshark Program Wireshark je open-source grafický paketový analyzátor, který umožňuje sledovat provoz v reálném čase, nebo analyzovat již zachycená data. Umožňuje nastavovat různé fitry tak, aby se daly zachytit pouze data, která nás zajímají. Dají se také použít různé pluginy pro podporu nových protokolů. Wireshark v linuxu také sleduje provoz na USB rozhraní. Na obrázku 6.2 je náhled na Wireshark s vykresleným grafem vytížení linky. Obrázek 6.2: Náhled na Wireshark s vykresleným grafem Wireshark umožňuje uživateli nastavit síťová rozhraní, která to podporují, do promiskuitního módu, čímž umožní vidět veškerý provoz na těchto rozhraních, včetně broadcastu a multicastu, ne jen provoz určený jedné určité adrese rozhraní. Při zachytávání paketů analyzátorem v promiskuitním modu na portu switche se nemusí veškerý provoz skrze switch nutně dostat na port, kde se zrovna zachytává, takže zachytávání v promiskuitním modu nebude dostačující pro veškerý provoz na síti. Je nutné využít port mirroring nebo různá zařízení rozšiřující příjem do zvolené části sítě. Existuje také terminálová verze tshark, která umí to samé co grafická verze s tím, že je možno využít různé skripty a zejména nastavit fitry, které budou vybírat pouze požadovaný provoz v síti. Na následujícím obrázku je výstup programu tshark.

43 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 41 Obrázek 6.3: Náhled na výstup programu tshark 6.3 Paketový analyzátor pro bezdrátové sítě Kismet Kismet je L2 bezdrátový síťový detektor, který slouží pro sledování sítí a také může sloužit jako IDS (Intrusion Detection System). Tento program pracuje s bezdrátovými síťovými kartami, které podporují tzv. raw monitoring. Kismet identifikuje sítě pasivním sběrem paketů a detekuje SSID (Service Set Identifier) názvy sítí, případně u skrytých sítí detekuje jejich názvy z provozu. Podporuje logování paketů do formátu, který může být dále zpracováván programy tcpdump, tshark, wireshark apod. Podporuje také gpsmap pro lokalizaci objektů na mapě. Pro spuštění programu Kismet je zapotřebí nastavit v konfiguračním souboru zdroj, odkud budou data snímána. nano /etc/kismet/kismet.conf source=iwlagn,wlan0,test První položka je ovladač bezdrátové karty, druhá položka je označení bezdrátového rozhraní a poslední položka je popis zařízení. Na obrázku 6.4 je náhled na program kismet. Na obrázku Kismet zobrazuje v reálném čase jednotlivé bezdrátové sítě, použití zabezpečení, přidělené IP adresy, počty paketů a další informace. V průběhu lze zobrazovat také různé statistické údaje. Na obrázku je vidět jaké kanály používají jednotlivé sítě.

44 42 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 6.4: Náhled na výstup programu kismet

45 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 43 7 ADRESÁŘOVÉ SLUŽBY Adresářové služby (Directory Services) jsou databázové služby, ve kterých jsou uloženy informace o pojmenovaných objektech. Tyto objekty jsou organizovány a sdružovány do skupin. Tyto služby jsou vhodné pro časté čtení a vyhledávání a pouze pro občasný záznam, nebo změnu záznamu. V adresáři mohou být uchovávána data různých typů, text, obrázek, digtální certifikáty. Můžeme také omezovat přístup k těmto datům pomocí ACL (Acces Control List). Data jsou ukládána formou záznamů a jsou uspořádána do stromové struktury. 7.1 Adresářové služby LDAP Adresářové služby slouží pro ukládání a přístup k datům na adresářovém serveru. LDAP (Lightweight Directory Access Protocol) je aplikační protokol pro dotazování a modifikaci adresářových služeb. Adresářové služby mohou obsahovat seznamy zaměstnanců, jejich přihlašovací jména, domovské adresáře, osobní informace, ové a telefonní informace. Mohou se také uchovávat nastavení uživatelských programů, nebo se mohou ukládat informace o různých zařízení, včetně jejich evidenčních údajů. LDAP je protokol, který umožňuje vkládat, modifikovat, mazat a zejména rychle vyhledávat požadované informace na základě různých vstupních parametrů, neboli atributů. Jednotlivé záznamy mají definovány povinné a volitelné atributy, které se definují pomocí objektů, které jsou nadefinovány na serveru ve stromové hierarchii. Obrázek 7.1: Hierarchická struktura LDAP stromu LDAP používá LDIF (LDAP Data Interchange Format) pro standardizovaný textový formát výměny dat. Data jsou při přenosu kódována pomocí standardních pravidel. Ná-

46 44 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava sleduje výpis dat ve formátu LDIF: dn: uid=petr.novak,dc=abc,dc=cz objectclass: person cn: Petr Novák sn: Novák userpassword: {SSHA}NYvO6jDBU1cJ11nhol37Xo9T5eOLe9Ci telephonenumber: 2114 description: Petr Novák je průměrný český muž. LDAP protokol standardně využívá tcp port 389, nebo při zabezpečené komunikaci se používá tcp port 636. Pro bezpečnou komunikaci se používá SASL (Simple Authentication and Security Layer), což je framework pro vzájemnou autentikaci a šifrovaný přenos dat pomocí internetových protokolů. SASL je definován v doporučení RFC Informační model LDAP Informačí model popisuje strukturu informací v adresáři. Definuje datové typy a informace formou záznamů. Jednotlivé záznamy jsou uloženy pomocí stromové struktury, z důvodu snadnějšího vyhledávání informací na základě vzorů. Každý záznam musí mít definovány atributy. Ty se definují pomocí objektů (object class), jak je vidět na následujícím výpisu. objectclass ( NAME person DESC RFC2256: a person SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userpassword$telephonenumber$seealso$description )) attributetype ( NAME ( sn surname ) DESC RFC2256: last (family) name(s) for which the entity is known by SUP name ) Implementace informačního modelu se označuje jako schéma. Schéma je sada objektů, které definují strukturu a obsah každého objektu, který může být vytvořen v adresářové službě. Schéma definuje všechny možné třídy objektů a atributy. Třídy objektů objectclass jsou kategorie objektů, které mohou být vytvořené v adresáři. Může se jednat např. o objekty user, computer, domain, container, group. Atributy objektů jsou vlastnosti jednotlivých objektů. Atribut může obsahovat jednu, nebo více hodnot, např. jméno, příjmení, . Určité atributy patří k určité třídě

47 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 45 objektů a schéma také definuje, které hodnoty musí být vyplněny a které jsou volitelné. Schéma také určuje, jaké typy hodnot může atribut nabývat, například textový řetězec, celé číslo. 7.3 Jmenný model LDAP Jmenný model popisuje jak jsou informace organizovány a odkazovány. Pro identifikaci objektů se používá DN (Distinguished Name), což je jednoznačný identifikátor objektu a obsahuje úplnou cestu k záznamu, nebo-li určuje pozici ve stromě. DN se skládá ze jména objektu a jmen jednotlivých kontejnérů a domén, které obsahují objekt, oddělený čárkou. Jednotlivé položky obsahují název atributu a přiřazenou hodnotu atributu, např. ou=zamestnanci. Na následujícím obrázku 7.2 je pro doménu firma.cz v kontejneru ou=zamestnanci umístěn uživatel Jan Novák, pro kterého je DN = cn=jan Novák,ou=zamestnanci,dc=firma,dc Obrázek 7.2: Jmenný model LDAP Každá část DN je vyjádřena pomocí typ atributu=hodnota. V LDAP se používá několik jmenných atributů, CN Common Name, OU Organization Unit, O Organization, C country. 7.4 Funkční model Funkční model definuje, co se může provádět s informacemi v adresářích. Celkem existuje devět základních operací, které jsou rozdělěny do tří skupin. První skupinu tvoří aktualizace záznamů, kde můžeme přidávat nové informace, modifikovat stávající, přesouvat

48 46 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava informace, nebo mazat informace. Druhou skupinu tvoří dvě dotazovací funkce, jedna je vyhledávací a druhá porovnávací funkce. Poslední skupinu tvoří tři autentikační funkce pro vytvoření spojení a ukončení spojení s daty, nebo bez dat. Nejdůležitější je dotazovací funkce search, která může obsahovat řadu vstupních parametrů. Jedním z nich může být výchozí bod hledání, který určuje část od které se začne vyhledávat. Dalším parametrem mohou být různé filtry. Tyto filtry mohou používat různé matematické operace, shoda (atribut = hodnota), větší než (atribut >= hodnota), apod. 7.5 Bezpečnostní model Bezpečnostní model určuje, jakým způsobem se přistupuje k jednotlivým datům a jak jsou data chráněna proti neoprávněnému přístupu. Využívá se různých autentikačních služeb, také mohou být definovány přístupové seznamy, tzv ACL. access to * by self write by * read access to attr = userpassword by self write by * none U LDAP v2 bylo zabezpečení často řešeno tunelováním veškeré komunikace přes SSL (Secure Socket Layer). LDAP v3 přidává nový příkaz StartTLS, který zahájí komunikaci prostřednictvím TLS (Transport Layer Security). Pro ověření identity serveru a volitelně i klienta, je použít X.509 certifikát. 7.6 Instalace a konfigurace OpenLDAP Instalaci openldap serveru provedeme příkazem: apt-get install slapd Instalaci clientských nástrojů provedem příkazem: apt-get install ldap-utils Po instalaci je nutno nakonfigurovat základní parametry do konfiguračního souboru: nano /etc/ldap/ldap.conf LDAP server lze spustit manuálně z terminálu pomocí příkazu: slapd -256

49 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 47 Nyní můžeme spustit z terminálu příkaz ldapsearch Při tomto spuštění vypisuje LDAP server průběh komunikace: conn=1001 fd=10 ACCEPT from IP=[::1]:43432 (IP=[::]:389) conn=1001 op=0 SRCH base="" scope=0 deref=0 filter="(objectclass=*)" conn=1001 op=0 SRCH attr=supportedsaslmechanisms conn=1001 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text= conn=1001 op=1 BIND dn="" method=163 conn=1001 op=1 RESULT tag=97 err=14 text=sasl(0): successful result: security flags do not conn=1001 op=2 BIND dn="" method=163 SASL [conn=1001] Failure: no secret in database conn=1001 op=2 RESULT tag=97 err=49 text=sasl(-13): user not found: no secret in database conn=1001 fd=10 closed (connection lost) Příkazem ldapadd přidáváme nový záznam do databáze. A příkazem ldapdelete můžeme smazat záznam z databáze

50 48 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava

51 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 49 8 OVĚŘENÍ IDENTITY OBJEKTU Autentikace je proces ověření identity objektu. Po úspěšné dokončení autentikace obvykle následuje autorizace, což je souhlas, schválení, umožnění přístupu, či provedení konkrétní operace daným subjektem. Také se dost často využívá i účtování, nebo-li záznam o činnosti využívání služeb. Obrázek 8.1: Využití principu autentikace při přihlášení na www stránkách 8.1 Autentikace Autentikace je ověření identity uživatele, zařízení, objektu, programu, aplikace, apod. Autentikace znamená ověření pravosti a využívá se zejména při bezpečnostních opatřeních. Zajišťuje ochranu před falšováním identity. Autentikace uživatele, může být podle toho co zná. Například, kombinace uživatelského jména a hesla, nebo jenom podle PINu. Autentikace uživatele podle toho co vlastní. Například, hardwarový klíč, smart karta, USB token apod. Autentikace podle toho čím uživatel je. Existují různé biometrické vlastnosti. Například autentikace na bázi otisku prstu, snímek oční duhovky, nebo sítnice, otisk dlaně apod. Více-faktorová autentikace využívává několika metod ověření. Například využití USB tokenu a hesla.

52 50 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 8.2: Využití principu biometrické autentikace 8.2 Autorizace Autorizace je proces získávání souhlasu s provedením nějaké operace, povolení přístupu někam, k někomu nebo něčemu. Mohou existovat různé restrikce, například časové omezení. Autorizace na základě seznamu oprávnění se používá například pro řízení přístupu k souborům, adresářům, operacím a přístupu k prostředkům v počítači. Autorizaci provádí obvykle operační systém nebo specializovaný software na základě seznamů pro řízení přístupu. Například po úspěšné autentikaci přístupu na routeru, máme autorizaci vykonávat jen určité příkazy, nastavení, výpisy, apod. 8.3 Účtování Účtování znamená sledování využívání síťových služeb uživateli. Tyto informace mohou být použity pro správu, plánování, účtování, nebo další účely. Účtování v reálném čase je doručeno současně s využíváním zdrojů. Dávkové účtování ukládá informace o účtech dokud není později doručena. Běžně se sbírají informace o identitě uživatele, povaze dodaných služeb a časy počátků a konců dodaných služeb. Účtování je v podstatě logování zpráv.

53 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO Autentikace pomocí PAM (Pluggable Authentication Modules) modulů PAM (Pluggable Authentication Modules) je sada knihoven, používaná pro autentikaci uživatele vůči programům v Linuxu, BSD systémech a dalších unixových systémech. Cílem je oddělit aplikace od konkrétních autentikačních mechanismů. V aplikacích se nemusejí implementovat jednotlivé metody autentikace, ale pouze se přidá knihovna pro obsluhu PAM modulů. Výhoda je také v tom, že není potřeba upravit a znovu kompilovat program, když se objeví nový způsob autentikace. PAM poskytuje služby ve čtyřech oblastech, pro různé fáze autentizačního procesu. Tyto oblasti jsou označovány jako management groups. Auth - samotné ověření identity a přidělení oprávnění. Account - ověření, zda uživatel již není přihlášen odjinud, kontrola možných omezení na účtu nebo heslu (např. platnost hesla může vypršet). Session - vytvoření/zrušení patřičného prostředí (např. připojení šifrovaného domovského adresáře po přihlášení uživatele), logování. Password - změny vlastního (uživatel) i cizího (administrátor) hesla nebo jiného mechanismu. Konfigurace bývá uložena v adresáři /etc/pam.d/ a to modulárně - ve více souborech, které lze do sebe vkládat. Soubory se musí jmenovat po službě, kterou nastavují. Jestli PAM název služby nezná (neexistuje soubor /etc/pam.d/sluzba), použije nastavení pro službu other. Syntaxe konfigurace PAM modulů obsahuje jednu z následujících hodnot: Requisite - pokud modul selže, PAM ihned skončí a ohlásí volající službě selhání. Required - pokud modul selže, PAM bude pokračovat následujícími předepsanými moduly, ale na konci vždy ohlásí volající službě selhání. Pokud selhalo více modulů označených jako required, bude v logu označen za viníka první z nich. Sufficient - pokud neselhal tento modul, ani žádný předchozí modul označený jako required, PAM ihned skončí a ohlásí volající službě úspěch. Optional - pokud byly prováděny pouze moduly označené jako optional a žádné jiné, určují úspěch/selhání tyto moduly. Pokud byl prováděn byť i jediný modul označený jinak, nebere se na jejich návratový stav zřetel. Příklad - /etc/pam.d/login auth required pam_unix.so auth optional pam_deny.so

54 52 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 8.5 PAM autentikace pomocí USB Flash Nejdříve nainstalujeme příslušné balíčky příkazem: apt-get install pamusb-tools libpam-usb Následně vytvoříme USB zařízení pro ukládání informací: pamusb-conf add-device my-usb A vytvoříme na něm účet pro uživatele student: pamusb-conf add-user student Nyní můžeme vložit autentikační informace do souboru common-auth: nano /etc/pam.d/common-auth auth sufficient pam_usb.so 8.6 PAM autentikace pomocí otisku prstů Nejdříve naistalujeme balíček pro podporu čtečky otisku prstů: apt-get install fprintd Potom vytvoříme vzory otisku prstu uživatele pomocí příkazu: fprintd-enroll -f right-index-finger student Systém požaduje 5x sejmutí otisku příslušného prstu pro vytvoření vzoru. Ověřit to můžeme příkazem: fprintd-verify -f right-index-finger student Pokud je vše funkční přejdeme na instalaci a konfiguraci PAM modulu: apt-get install libpam-fprintd Nyní můžeme vložit autentikační informace do souboru common-auth: nano /etc/pam.d/common-auth auth sufficient pam_fprintd.so

55 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO RADIUS RADIUS (Remote Authentication Dial In User Service) je AAA protokol používaný pro přístup k síti nebo pro IP mobilitu. Mezi nejdůležitější vlastnosti patří jeho vysoká síťová bezpečnost, neboť transakce mezi klientem a RADIUS serverem je autentizována pomocí sdíleného tajemství, které není nikdy posíláno přes síť. Všechna uživatelská jména jsou přes síť zasílána šifrovaně. Uživatel vydá klientovi Požadavek na autentizaci, klient vytvoří Požadavek na přístup (Access Request) obsahující uživatelské jméno, heslo a ID portu, přes který je uživatel připojen. Požadavek na přístup je odeslán RADIUS serveru a čeká se na odpověď. Pokud nepřijde do určeného času, žádná odezva, Požadavek na přístup se opakuje, zpravidla 3 až 5 krát. Pokud není splněna některá z podmínek, RADIUS server odešle Zamítnutí přístupu (Access Reject). Do datové oblasti paketu je dovoleno umístit maximálně textovou zprávu, která smí být zobrazena pomocí klienta uživateli. Žádné další atributy nejsou v odpovědi Access Reject povoleny. Jestliže jsou všechny podmínky splněny, RADIUS server odešle Povolení přístupu (Access Accept), kde v datové oblasti paketu jsou uloženy všechny potřebné konfigurační informace, IP adresa, maska sítě, login uživatele a vše, co je potřeba předat požadované službě. Obrázek 8.3: Využití protokolu RADIUS pro vzdálený přístup do sítě 8.8 Instalace a konfigurace programu FreeRadius Instalaci Radius serveru provedeme příkazem: apt-get install freeradius

56 54 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Po instalaci je potřeba nakonfigurovat dva soubory: nano /etc/freeradius/clients.conf kde nastavíme sdílené heslo mezi RADIUS serverem a klientem. client localhost { secret = test} Dále musíme vytvořit uživatele na serveru: nano/etc/freeradius/users student Cleartext-Password := "student" Nyní musíme službu RADIUS restartovat, nebo spustit v ladicím režimu příkazem: freeradius -X RADIUS lze otestovat příkazem: radtest student student localhost 1 test

57 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 55 9 JEDNOTNÝ AUTENTIZAČNÍ SYSTÉM KER- BEROS 9.1 Kerberos Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci klient i server si ověří identitu své protistrany. Základním pojmem je Principal, který představuje identitu uživatele, služby, nebo objektu v rámci domény. Tato doména se u Kerberosu nazývá REALM. Zapisuje se velkými písmeny,v podstatě odpovídá DNS doméně. Kerberos je postavený na symetrické kryptografii a potřebuje proto důvěryhodnou třetí stranu. Volitelně může využívat asymetrického šifrování v určitých částech autentizačního procesu. Standardně používá port 88. Obrázek 9.1: Princip autentikace pomocí Kerberosu Kerberos je založen na Needham-Schroeder Symmetric Key Protocol. Používá důvěryhodné třetí strany nazývané též Key Distribution Center (KDC) sestávající ze dvou logicky oddělených částí: Autentizačního serveru (AS) a Ticket-Granting Serveru (TGS). Kerberos pracuje na principu tiketů sloužících k ověření identity uživatelů, služeb, objektů.. KDC si udržuje databázi tajných klíčů; každá entita v sítí, ať už klient nebo server, vlastní svůj tajný klíč známý pouze jí a KDC. Znalost tohoto klíče slouží k prokázání identity dané entity. Pro komunikaci mezi entitami KDC vygeneruje session key, kterým obě protistrany zabezpečí vzájemnou komunikaci. Bezpečnost tohoto protokolu významně závisí na vzájemné synchronizaci času protistran a krátké životnosti tiketů.

58 56 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Klient se jednorázově autentizuje AS pomocí navzájem známého tajemství (např. heslo) a dostane TGT. Později, když chce klient kontaktovat nějaké SS, použije se (i opakovaně) tohoto TGT k ověření u TGS a tím k získání tiketu pro komunikaci se SS bez toho, aby bylo znovu využíváno původního známého tajemství. Kerberos má přísné požadavky na synchronizaci času klientů a serverů. Tikety mají danou životnost a pokud není čas klienta synchronizován s časem serveru, autentizace selže. Standardní nastavení podle MIT požaduje, aby se tyto časy nerozcházely o více jak 5 minut. V praxi se používá NTP (Network Time Protocol) démonů k synchronizaci hodin. 9.2 Instalace a konfigurace Kerberos serveru Nejdříve naistalujeme KDC server a Kadmin server příkazem: apt-get install krb5-{admin-server,kdc} Kromě těchto dvou serverů se naistalují i příslušné knihovny. Pokud vše proběhne správně získáme na výstupu oznámení: Starting Kerberos KDC krb5kdc Starting Kerberos administrative servers kadmind Po instalaci je nezbytné nakonfigurovat tři soubory: vim /etc/krb5.conf... Kerberos client Configuration File [libdefaults] default_realm = EXAMPLE.CZ dns_lookup_realm = false dns_lookup_kdc = false [realms] EXAMPLE.CZ = { kdc = krb.example.cz:88 admin_server = krb.example.cz:749 default_domain = example.cz } [domain_realm].example.cz = EXAMPLE.CZ example.cz = EXAMPLE.CZ [login] krb4_convert = true krb4_get_tickets = false [logging] kdc = FILE:/var/log/kerberos/krb5kdc.log admin_server = FILE:/var/log/kerberos/kadmind.log

59 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 57 vim /etc/krb5kdc/kdc.conf... [kdcdefaults] kdc_ports = 88 Kerberos Key Distribution Center - Configuration File [realms] EXAMPLE.CZ = { database_name = /var/lib/krb5kdc/principal admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab acl_file = /etc/krb5kdc/kadm5.acl key_stash_file = /etc/krb5kdc/stash kdc_ports = 750,88 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal d default_principal_flags = +preauth kdc_ports = 88 kadmin_port = 749 } vim /etc/krb5kdc/kadm.acl */admin@example.cz *... Access Control List configuration File Nyní můžeme vytvořit databázi Kerberos serveru: kdb5_util create -s Loading random data Initializing database /var/lib/krb5kdc/principal for realm EXAMPLE.CZ, master key name K/M@EXAMPLE.CZ You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify: Vytvoříme principal krbadmin/admin@example.cz, který bude sloužit pro administraci databáze. kadmin.local -q "addprinc krbadmin/admin" Authenticating as principal root/admin@example.cz with password. WARNING: no policy specified for krbadmin/admin@example.cz; defaulting to no policy Enter password for principal "krbadmin/admin@example.cz": Re-enter password for principal "krbadmin/admin@example.cz": Principal "krbadmin/admin@example.cz" created. Nakonec restartujeme oba servery příkazem: /etc/init.d/krb5-admin-server restart /etc/init.d/krb5-kdc restart

60 58 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Je velmi vhodné mít v jiném terminálu spuštěné automatické výpisy serverů: tail -f /var/log/kerberos/{krb5kdc,kadmin}.log Nyní můžeme přistoupit ke kontrole databáze a vytvoření principalu uživatele: kadmin -p krbadmin/admin Authenticating as principal krbadmin/admin with password. Password for krbadmin/admin@example.cz: kadmin: list_principals K/M@EXAMPLE.CZ kadmin/admin@example.cz kadmin/changepw@example.cz kadmin/student@example.cz krbadmin/admin@example.cz krbtgt/example.cz@example.cz kadmin: addprinc student WARNING: no policy specified for student@example.cz; defaulting to no policy Enter password for principal "student@example.cz": Re-enter password for principal "student@example.cz": Principal "student@example.cz" created. A nakonec zkotrolujeme, zda získáme tiket pro uživatele student: kinit student Password for student@example.cz: klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: student@example.cz Valid starting Expires Service principal :10: :10:47 krbtgt/example.cz@example.cz renew until :10:43

61 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO AUTENTIZACE NA BÁZI JEDNOTNÉHO PŘI- HLÁŠENÍ Systém jednotného přihlášení SSO (Single Sign On) umožňuje pohodlný přístup k informačním a komunikačním službám pomocí jednotných přihlašovacích údajů. Uživatelé využívají jednu identitu pro přístup k různým službám bez nutnosti opětovného požadavku na novou autentikaci. Uživatelé si potom pamatují menší počet různých účtů a hesel SSO Single Sign On Systém SSO (Single Sign On) umožňuje jednotné přihlašování na více webů. Nějaký portál autentizuje uživatele. Uživatel se připojí k jinému portálu a ten si vyžádá informace z předcházejícího portálu. Pokud dostane správné a ověřené informace, dojde k již zmíněnému prosazení důvěry i na tento portál a uživatel bude i zde automaticky autentizován. Systém jednotného přihlášení na VŠB-TUO je založen na systému CAS (Central Authentication Service). SSO umožňuje uživateli po přihlášení do jedné aplikace automaticky přístup do všech aplikací, které jsou součástí SSO. Chce-li aplikace využít SSO, musí implementovat definovaný protokol. Pro mnoho systémů jsou připraveni tzv. klienti, kteří zařídí potřebnou komunikaci mezi uživatelem a SSO serverem. SSO pak Aplikaci poskytne informaci o přihlášeném uživateli. Obrázek 10.1: Princip systému jednotného přihlášení

62 60 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 10.2 Standard SAML SAML (Security Assertion Markup Language) je standard založený na značkovacím jazyku XML (Extensible Markup Language), poskytující mechanismus pro výměnu autentizačních a autorizačních dat mezi zúčastněnými stranami, tj. poskytovatelem služeb SP (Service Provider) a poskytovatelem identity IdP (Identity Provider). Je vyvíjen organizací OASIS (Organization for the Advancement of Structured Information Standards). Funguje na principu prosazení důvěry, tedy aplikace může prosadit, že jde o určitého uživatele a ten má určitá privilegia. V praxi řeší SAML problém jednotného přihlašování na více webů - SSO (Single Sign- On). Nějaký portál autentizuje uživatele, který se připojí k jinému portálu a ten si vyžádá informace z předcházejícího portálu. Pokud dostane správné a ověřené informace, dojde k již zmíněnému prosazení důvěry i na tento portál a uživatel bude i zde automaticky autentizován. Je tedy vhodné rozdělení na poskytovatele identity a poskytovatele služeb. Pokud chce uživatel přistupovat ke zdrojům poskytovatele služeb, pak jeho identitu zkontroluje jeho poskytovatel identity a ten posílá informace poskytovateli služeb, u kterého uživatel žádá o poskytnutí služby. Tímto se odpovědnost za ověření identity přesunuje vždy na poskytovatele identity. Tato koncepce vede k ustanovení tzv. federací, které si mohou navzájem vyměňovat informace o autentizaci subjektu. SAML poskytuje pouze distribuci samotné informace mezi zúčastněnými stranami, a proto nezáleží na jejím počtu. Standard nespecifikuje konkrétní implementaci samotného ověřování identity u poskytovatele identit Využití standardu v praxi Standard SAML lze využít v praxi zejména pro autentizační a autorizační mechanismy. Nejčastěji se SAML využívá jako Web Browser SSO. Uživatel se přihlásí na serveru A a je zde autentizován. Později se chce přihlásit na server B. Bez užití SSO by musel své údaje zadávat znovu. Pokud je užit SAML, pak B pošle požadavek na A s dotazem, zda se již uživatel na A autentizoval. A odpoví prohlášením, že uživatel je autentizován. Poté B zpřístupňuje své zdroje, aniž by vyžadoval znovu přihlašovací údaje. Nejčastější řešení SSO je pomocí tzv. poskytovatele identity a poskytovatele služeb. Na obrázku 10.2 je zobrazen průběh výměny zpráv mezi uživatelem, poskytovatelem služby a poskytovatelem identity. Postup výměny zpráv je následující. 1. Uživatel požaduje určitou službu u poskytovatele služeb prostřednictvím svého prohlížeče. 2. Poskytovatel služby určí uživatelova preferovaného poskytovatele identity a přesměruje jeho prohlížeč na SSO poskytovatele identity. 3. Uživatel požaduje SSO službu u poskytovatele identity.

63 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 61 Obrázek 10.2: Výměna zpráv pro Web Browser SSO 4. Od poskytovatele identity přichází formulář pro uživatelské přihlášení. 5. Uživatel požaduje určité služby na základě tvrzení od poskytovatele služeb (Assertion Consumer Service). 6. Poskytovatel služby přesměruje uživatele na požadované stránky. 7. Poskytovatel služby poskytne příslušné požadované informace. Základem zprávy je SAML tvrzení, na jehož základě je prosazena důvěra na jiném serveru. V podstatě se jedná o XML dokument, který obsahuje bezpečnostní informace, které učinila tzv. identifikační autorita. Tvrzení SAMLu neprovádějí autentizaci, ale slouží pouze k obalení, zapouzdření tohoto procesu autentizace Open-source implementace SAML pomocí SimpleSAMLphp Existuje mnoho open-source projektů, které využívají standard SAML. V části se zaměříme pouze na simplesamlphp.

64 62 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Aplikace SimpleSAMLphp je napsaná v jazyce PHP určená k řešení autentizace pomocí technologie SAML. Může fungovat jako Service Provider, nebo i Identity Provider. SimpleSAMLphp podporuje několik protokolů, založených na SAML verze 2.0. Webová aplikace simplesamlphp je schopná v plném rozsahu posloužit pro ochranu obsahu na straně Poskytovatele služeb. Na začátku každé chráněné stránky by měl být kód, který během načítání stránky zjistí, zda je uživatel přihlášen. Pokud uživatel není přihlášen, je přeměrován na přihlašovací stránku Poskytovatele služeb (simplesamlphp SP). Ten ho přesměruje na poskytovatele identity, kde se uživatel přihlásí. Uživatel je následně přesměrován zpět k Poskytovateli služeb. SimpleSAMLphp pak na konci svého běhu předá původnímu skriptu informace o uživateli, jenž se pokouší načíst stránku.o zobrazení či nezobrazení stránky ale samozřejmě musí rozhodnout skript obsluhující načítání stránky a to na základě údajů předaných od simplesamlphp. S jedním SP je možné přihlásit se k více IdP, slouží k tomu aplikace SAML 2.0 Discovery Service. Součástí aplikace simplesamlphp je i poskytovatel identity. Poskytovatel má široké možnosti autentizace proti velkému množství databází. Nejjednodušší variantou je ověřování proti textovému souboru, ve kterém jsou uloženy jména, hesla a podrobnosti jednotlivých uživatelů. Tato varianta najde své realné využití snad jen při testovacím provozu. K ostrému provozu se hodí spíš ověřování proti LDAP, MySQL, MSSQL, popřípadě proti doméně nebo přeposílání požadavků na další IdP. Velkou výhodou je, že simplesamlphp již obsahuje všechny moduly pro výše zmíněné způsoby ověřování, takže není třeba psát či shánět nové moduly. V případě, že je pro jeden IdP k dispozici více zdrojů ověřování, rozhodne se buď automaticky základě struktury uživatelského jméno případně se uživateli zobrazí nabídka se seznam možných autentizačních zdrojů Instalace a konfigurace simplesamlphp Nejdříve se přepneme do adresáře var a stáhneme aktuální verzi: cd /var wget Nyní upravíme cestu v již naistalovaném webovém serveru: vim /etc/apache2/sites-available/default DocumentRoot /var/simplesamlphp/www Následně spustíme prohlížeč a vložíme jméno WWW serveru, kde běží simplesamlphp aplikace. Na obrázku 10.3 je vidět přihlášení na web a instalační stránka simplesamlphp.

65 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 63 Obrázek 10.3: Ukázka přihlášení simplesamlphp 10.6 Instalace a kofigurace simplesamlphp Identity Provider Upravíme soubor, který povoluje SAML a Shibboleth: vim config/config.php enable.saml20-idp => true, enable.shib13-idp => true, A následně povolíme moduly: touch modules/exampleauth/enable Vytvoříme certifikát pro server a umístíme ho do adresáře pro certifikáty: openssl req -newkey -new -x509 -days 365 -nodes -out localhost.crt -keyout localhost.pem mkdir cert; mv localhost.* cert/

66 64 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 10.4: Ukázka výpisu metadat simplesamlphp Identity Provider 10.7 Instalace a kofigurace simplesamlphp Service Provider Musíme minimálně vytvořit příslušnou entitu v config/authsources.php: vim config/authsources.php entityid => ); example-userpass => array( exampleauth:userpass, student:studentpass => array( uid => array( student ), edupersonaffiliation => array( member, student ), ), employee:employeepass => array( uid => array( employee ), edupersonaffiliation => array( member, employee ), ), ),

67 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 65 Obrázek 10.5: Ukázka výpisu metadat simplesamlphp Service Provider

68 66 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava

69 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO POKROČILÁ AUTENTIZACE NA BÁZI FE- DERATED SINGLE SIGN ON Federated Single Sign On je pokročilá autentizace, určená pro kooperativní prostředí. Instituce mohou využívat jednotný autentizační systém, typicky univerzitní prostředí, knohovny apod. Tyto instituce se sdružují a sdílejí prostředky i politiky přístupu k nim. Takováto skupina institucí je označována jako federace Shibboleth Shibboleth vychází z předpokladu, že každý uživatel má určitou domácí instituci, a ta provozuje autentizační služby, například v podobě LDAP serveru. Cílem je, aby uživatel byl autentizován u svého domácího systému, přestože projevil zájem o stránky umístěné někde jinde. Prostředky provádějící vlastní ověření uživatele a poskytující informace o něm jsou zde označovány termínem poskytovatel identity (Identity Provider, IdP). Druhým významným účastníkem komunikace je poskytovatel služeb (Service Provider, SP). Tento pojem označuje WWW server, o jehož chráněné stránky uživatel projevil zájem. Shibboleth definuje postupy a poskytuje softwarové nástroje, jak ověřit uživatelovo přístupové právo pro cílové stránky. Zároveň řeší i otázku soukromí. Ve většině případů totiž poskytovatel služeb nepotřebuje znát konkrétní identitu přicházejícího uživatele. Mnohdy stačí daleko obecnější informace typu ano, to je náš uživatel či studuje u nás mineralogii. Proto Shibboleth omezuje sortiment informací podávaných poskytovatelům služeb a dokonce umožňuje uživatelům, aby si individuálně nastavili, co o nich smí prozradit. Identifikace uživatele může probíhat na základě u, SMS, nebo poštovní adresou. Technologickým základem Shibboletu je SAML. Vzhledem k tomu, že Shibboleth řeší jen autentizaci WWW služeb, využívá z něj pouze vybranou podmnožinu, konkrétně profily Browser/POST a Browser/Artifact určené pro tento účel Princip činnosti Shibbolethu Základní myšlenkou je, že při prvním pokusu o přístup ke chráněným stránkám je uživatel automaticky přesměrován na svého poskytovatele identity. Zde prokáže svou totožnost a vrátí se zpět na původní server. Detaily se poněkud liší v závislosti na profilu. Pro Browser/POST vypadá komunikace následovně. Transakce začíná požadavkem na určité stránky (cílový zdroj). Pokud poskytovatel služeb uživatele dosud nezná, bude odpovědí WWW serveru přesměrování vedoucí na poskytovatele identity. Lokátor tohoto přesměrování v sobě obsahuje informace o posky-

70 68 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 11.1: Princip výměny zpráv pro identitu uživatele. tovateli služeb, požadované stránce i adresu, kam se má uživatel vrátit s odpovědí. Uživatelův klient se proto obrátí na svého domácího poskytovatele identity, který ověří jeho totožnost. Pokud se na něj již daný klient nedávno obracel (po přesměrování z jiného serveru), pravděpodobně už tu má vytvořen bezpečnostní kontext, který bude využit i tentokrát. Odtud přístup Single Sign-On: jednou se prokážete a následně se tato informace automaticky využije, aniž byste museli opakovat své uživatelské jméno a heslo. Výsledkem činnosti poskytovatele identity je WWW stránka s formulářem, který ve skrytých položkách obsahuje informace pro poskytovatele služeb identifikaci zdroje a SAML odpověď s výsledkem autentizace. Cílová adresa, jež má zajistit zpracování formuláře, se nachází opět u poskytovatele služeb. Konkrétně se jedná o jeho službu vyhodnocující autentizační informace (Assertion Consumer Service). Doporučuje se, aby odeslání formuláře zajistil automaticky JavaScript ihned po načtení stránky a uživatel měl život co nejpohodlnější. Když poskytovatel služeb z dat uvedených ve formuláři vidí, že autentizace dopadla úspěšně, vytvoří bezpečnostní kontext (identifikovaný prostřednictvím cookie) a přesměruje uživatele na původně požadovaný zdroj. Klient proto v kroku zopakuje svůj původní požadavek, tentokrát však již opatřený cookie odkazujícím se na bezpečnostní kontext. Proto mu bude požadovaná stránka poskytnuta. Bude-li požadovat další stránky stejné aplikace, má už k dispozici cookie, a

71 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 69 dostane je proto rovnou. Celá operace tedy proběhne jen jednou, když poprvé vstupuje do určitého chráněného prostoru. Poskytovatel služeb nemusí vědět, odkud uživatel pochází, a na kterého poskytovatele identit se tudíž obrátit. Proto vstupuje do hry další prvek nazvaný WAYF (Where Are You From). Ve druhém kroku uživatel není odkázán na konkrétního poskytovatele identity, ale na obecnou službu WAYF. Ta zjistí, kam uživatel patří (typické řešení: předloží mu formulář s nabídkou spolupracujících institucí a uživatel si sám vybere, informace se do budoucna opět uloží do cookie, aby se dotaz neopakoval), a přesměruje jej na patřičného poskytovatele identity. Díky tomu není nutné, aby všichni poskytovatelé služeb znali všechny poskytovatele identit. Stačí, když se všichni budou odkazovat na společnou WAYF službu. Shibboleth verze 1 používá službu WAYF (Where Are You From) a Shibboleth verze 2 používá službu DS (Discovery Service). Služba WAYF přesměruje uživatelův prohlížeč na vybraného poskytovatele identity. Služba DS využívá posytovatele identity definovaného poskytovatelem služby. Na následujícím obrázku je vidět rozdíl mezi jednotlivými službami. Obrázek 11.2: Rozdíl výměny informací mezi jednotlivými verzemi aplikace Shibboleth. Uživatelské atributy jsou uloženy v databázi poskytovalete identity a předávají poskytovateli služeb jen informace, které si může sám uživatel nastavit. Mezi tyto atributy patří uživatelský , telefonní číslo, skupinu do které je zařazen, informace o roli uživatele u organizace, a specifické privilegia. Shibboleth verze 3 je připravovaná nová verze, která umožní autentizaci aplikací nevyužívající prohlížeč. Nová verze umožní jednodušší nastavení a konfigurace uživatelského autentizačního procesu, snadnější přizpůsobení alternativám bez ztráty bezpečnostních mechanismů.

72 70 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Česká akademická federace identit eduid je federace postavená na projektu Shibboleth a je jejím oprátorem je Cesnet. Tato služba je využívána zejména v akademickém prostředí univerzit. Bližšší informace jsou na stránkách Obrázek 11.3: Náhled na přihlášení pomocí eduid. Sdružení CZ.NIC provozuje mojeid, které je také možno využít jako jednotné heslo pro přístup na chráněné stránky. Tato služba může být využívána jak ve firemním prostředí, tak i pro osobní účely. Bližší informace o poskytovaných službách je na stránkách Obrázek 11.4: Výběr a potvrzení údajů, které budou předávány při ověřování.

73 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO NÁSTROJE PRO SPRÁVU ŘEŠENÍ PROBLÉMŮ Mezi nástroje pro správu řešení problémů patří tzv. RT (Request Tracker), někdy se také nazývá helpdesk, nebo idesk, apod. RT je tiketovací systém napsaný v perlu, který je určen pro koordinaci úkolů. RT problémy neřeší, ale pomáhá je řešit, snadno se v nich orientovat a umožňuje i zpětnou kontrolu. Tento systém lze také použít pro zpracování různých úkolů. RT běží na webovém serveru, a data ukládá do SQL databáze. Pro bezpečnou komunikaci umožňuje používat SSL vrstvu. Pro autentizaci může používat LDAP. Obrázek 12.1: Náhled do systému pro řešení prolémů

74 72 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 12.1 Princip RT Nejdříve uživatel posílá požadavek na RT systém prostřednictvím u, webovým formulářem, SMS zprávou, telefonicky, apod. U problému se vyplní předmět požadavku, popíše se daný problém, případně se přiloží soubor se screenshotem. RT server uloží požadavek do databáze a vytvoří tzv. tiket, kterému přiřadí pořadové číslo. Toto číslo požadavku oznámí zpět uživateli. Obrázek 12.2: Náhled na vytvoření nového tiketu. RT systém zároveň posílá požadavek na vyřešení problému na správce, což může být technik, sekretářka, administrátor, apod.

75 Komunikační sítě II pro integrovanou výuku VUT a VŠB-TUO 73 Následně příslušný správce problém buď vyřeší, nebo ho může přeposlat někomu dalšímu. Pokud s problém vyřeší pošle se zpráva do RT systému a zároveň je informován uživatel o vyřešení problému. Uživatel může sledovat stav řešení svého požadavku, případně vyřešení reklamovat a požádat o znovuvyřešení. RT umožňuje graficky zobrazit např. stavy jednotlivých tiketů. Obrázek 12.3: Náhled na grafické zobrazení všech řešených tiketů RTIR RT for Incident Response RTIR (RT for Incident Response) je otevřený systém pro správu bezpečnostních incidentů. Tento systém vychází ze systému RT a rozděluje požadavky do následujících bloků: 1. Hlášení incidentů - přicházejí z ů, nebo jsou vkládány ručně. 2. Incidenty - zde se zjišťuje, zda je incident již evidován, v případě nového incidentu je vytvořen. 3. Vyšetřování - informování a požadavek na řešení incidentu třetí stranou, do jejíž kompetence řešení spadá. 4. Blokace - v závažných případech mohou být blokovány části sítí, požadavky na dohledové síťové centrum.

76 74 Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava Obrázek 12.4: Náhled na systém pro správu bezpečnostních incidentů RTIR

Příloha č.2 - Technická specifikace předmětu veřejné zakázky

Příloha č.2 - Technická specifikace předmětu veřejné zakázky Příloha č.2 - Technická specifikace předmětu veřejné zakázky Popis stávajícího řešení u zadavatele Česká centra (dále jen ČC ) provozují 8 fyzických serverů, připojené k local storage. Servery jsou rozděleny

Více

Virtualizační platforma ovirt

Virtualizační platforma ovirt Úvod Virtualizační platforma ovirt 12.11.2015 Jiří Sléžka CIT, Slezská univerzita v Opavě Virtualizační platforma ovirt, ORS2015, Jiří Sléžka, CIT SLU 1 Virtualizace Provoz více virtuálních instancí počítače

Více

VirtualBox desktopová virtualizace. Zdeněk Merta

VirtualBox desktopová virtualizace. Zdeněk Merta VirtualBox desktopová virtualizace Zdeněk Merta 15.3.2009 VirtualBox dektopová virtualizace Stránka 2 ze 14 VirtualBox Multiplatformní virtualizační nástroj. Částečně založen na virtualizačním nástroji

Více

SOU Valašské Klobouky. VY_32_INOVACE_01_15 IKT Operační systémy, základní vlastnosti, přehled. Mgr. Radomír Soural

SOU Valašské Klobouky. VY_32_INOVACE_01_15 IKT Operační systémy, základní vlastnosti, přehled. Mgr. Radomír Soural SOU Valašské Klobouky VY_32_INOVACE_01_15 IKT Operační systémy, základní vlastnosti, přehled Mgr. Radomír Soural Zkvalitnění výuky prostřednictvím ICT Název a číslo projektu CZ.1.07/1.5.00/34.0459 Název

Více

Brno. 30. května 2014

Brno. 30. května 2014 Brno 30. května 2014 1 IBM regionální zástupci - Morava Lubomír Korbel phone: +420 737 264 440 e-mail: lubomir_korbel@cz.ibm.com Dagmar Krejčíková phone: +420 737 264 334 e-mail: dagmar_krejcikova@cz.ibm.com

Více

Využití opensource při stavbě infrastrukturního cloudu Martin Kopta

Využití opensource při stavbě infrastrukturního cloudu Martin Kopta Využití opensource při stavbě infrastrukturního cloudu Martin Kopta 5. listopad 2011 M. Kopta Využití opensource při stavbě IaaS cloudu 1/21 Program Co je cloud? Základní pojmy Struktura IaaS cloudu Z

Více

2.1 Obecné parametry 2.1.1 Obecné parametry Rack serveru

2.1 Obecné parametry 2.1.1 Obecné parametry Rack serveru . Obecné parametry.. Obecné parametry Rack serveru Redundantní napájecí zdroje v počtu a výkonu odpovídajícímu specifikovanému řešení. Redundantní ventilátory v počtu odpovídajícímu specifikovanému řešení

Více

Pokročilé architektury počítačů

Pokročilé architektury počítačů Pokročilé architektury počítačů Tutoriál 2 Virtualizace a její dopady Martin Milata Obsah Virtualizace Jak virtualizace funguje Typy HW podpora virtualizace Dopady virtualizace Jak virtualizace funguje?

Více

Red Hat Enterprise Virtualization

Red Hat Enterprise Virtualization Red Hat Enterprise Virtualization Technologie KVM Milan Zelenka, RHCE Enlogit s.r.o. Část 1 Virtualizace obecně Virtualizace Systém umožňující využívat jeden zdroj pro více systémů Hardware jako zdroj

Více

Zřízení technologického centra ORP Dobruška

Zřízení technologického centra ORP Dobruška Příloha č. Technická specifikace. části zakázky: Zřízení technologického centra ORP Dobruška položka číslo Popis blade chassis pro servery: provedení do racku kapacita minimálně 8x dvouprocesorový blade

Více

SÁM O SOBĚ DOKÁŽE POČÍTAČ DĚLAT JEN O MÁLO VÍC NEŽ TO, ŽE PO ZAPNUTÍ, PODOBNĚ JAKO KOJENEC PO PROBUZENÍ, CHCE JÍST.

SÁM O SOBĚ DOKÁŽE POČÍTAČ DĚLAT JEN O MÁLO VÍC NEŽ TO, ŽE PO ZAPNUTÍ, PODOBNĚ JAKO KOJENEC PO PROBUZENÍ, CHCE JÍST. OPERAČNÍ SYSTÉMY SÁM O SOBĚ DOKÁŽE POČÍTAČ DĚLAT JEN O MÁLO VÍC NEŽ TO, ŽE PO ZAPNUTÍ, PODOBNĚ JAKO KOJENEC PO PROBUZENÍ, CHCE JÍST. OPERAČNÍ SYSTÉMY PŮVODNĚ VYVINUTY K ŘÍZENÍ SLOŽITÝCH VSTUPNÍCH A VÝSTUPNÍCH

Více

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY Dušan Kajzar Slezská univerzita v Opavě, Filozoficko-přírodovědecká fakulta, Bezručovo nám. 13, 746 00 Opava, e-mail: d.kajzar@c-box.cz Česká pošta, s.p.,

Více

Virtualizace na Linuxu

Virtualizace na Linuxu Virtualizace na Linuxu Silicon Hill 13.4.2010 zdroj:xkcd.com Outline 1 2 3 Co to je virtualizace obecně = abstrakce počítačových zdrojů konkrétně pro nás = technika, který na jednom fyzickém počítači umožní

Více

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota

Virtualizace koncových stanic Položka Požadováno Nabídka, konkrétní hodnota Technická specifikace Obnova školicího střediska OKRI PP ČR Virtualizace koncových stanic 20 ks Výrobce doplnit Název doplnit podpora stávající virtualizační platformy podpora technologie linkovaných klonů

Více

Základy operačních systémů

Základy operačních systémů Základy operačních systémů Operační systém - je souhrn programů, které umožňují uživateli využívat technické a programové prostředky daného počítače. Operační systém můžeme rozdělit do dvou části: základ

Více

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Technik PC a periferií (kód: 26-023-H) Autorizující orgán: Ministerstvo vnitra Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Týká se povolání: Technik PC a periférií Kvalifikační

Více

Technická specifikace vymezené části 1 SERVER

Technická specifikace vymezené části 1 SERVER Technická specifikace vymezené části 1 SERVER 1 Předmět vymezené části 1.1 Předmětem veřejné zakázky je dodávka a moderního a spolehlivého serverového řešení pro potřeby Krajského ředitelství PČR Karlovarského

Více

IT ESS II. 1. Operating Systém Fundamentals

IT ESS II. 1. Operating Systém Fundamentals IT ESS II. 1. Operating Systém Fundamentals Srovnání desktopových OS a NOSs workstation síťové OS (NOSs) jednouživatelské jednoúlohové bez vzdáleného přístupu místní přístup k souborům poskytují a zpřístupňují

Více

Cobbler, Puppet, Func

Cobbler, Puppet, Func Automatizovanс sprсva server 1. listopadu 2010 Zlomovщ okamiky ivota serveru Zlomovщ okamiky ivota serveru Zlomovщ okamiky ivota serveru Zlomovщ okamiky ivota serveru Zlomovщ okamiky ivota serveru Narozenэ

Více

Operační systémy. Operační systém - programové vybavení počítače, jehož úlohou je z{kladní řízení

Operační systémy. Operační systém - programové vybavení počítače, jehož úlohou je z{kladní řízení Operační systémy Operační systém - programové vybavení počítače, jehož úlohou je z{kladní řízení všech zdrojů počítače a poskytnutí uživatelského rozhraní pro komunikaci s uživatelem. Bez přítomnosti operačního

Více

Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum

Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum Příloha č. 2 Zadávací dokumentace Technické specifikace část I. Zálohovací zařízení pro repozitář jazykových dat a digitálního materiálu pro jazykový výzkum Jedná se o dodávku technického vybavení pro

Více

VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA STROJNÍ

VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA STROJNÍ VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA STROJNÍ DATABÁZOVÉ SYSTÉMY ZÁLOHOVÁNÍ DAT V DATABÁZI Ing. Lukáš OTTE, Ph.D. Ostrava 2013 Tento studijní materiál vznikl za finanční podpory Evropského

Více

O aplikaci Parallels Desktop 7 for Mac

O aplikaci Parallels Desktop 7 for Mac O aplikaci Parallels Desktop 7 for Mac Parallels Desktop 7 for Mac představuje zásadní upgrade softwaru Parallels pro používání Windows na Macu. O této aktualizaci Parallels Desktop 7 for Mac (sestavení

Více

Stavba operačního systému

Stavba operačního systému Stavba operačního systému Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu www.rvp.cz, ISSN: 1802-4785. Provozuje Národní ústav pro vzdělávání,

Více

Antonín Přibyl - Virtualizace Windows serveru s KVM hypervisorem

Antonín Přibyl - Virtualizace Windows serveru s KVM hypervisorem Výchozí stav Virtualizace je na Vysoké škole polytechnické Jihlava intenzivně využívána při výuce předmětu Počítačové sítě I. (dále jen PS1), Počítačové sítě II. (dále jen PS2) a Operační systémy. Předměty

Více

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Příloha č. 1 CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Veřejná zakázka Poskytování služeb outsourcingu Zadavatel: Nemocnice Český Krumlov a.s., sídlem: Český Krumlov, Horní Brána 429, PSČ 381 27 IČ: 260 95 149 DIČ:

Více

Příloha č. 2A Zadávací dokumentace k Veřejné zakázce Dodávka technologického řešení pro Geoportál

Příloha č. 2A Zadávací dokumentace k Veřejné zakázce Dodávka technologického řešení pro Geoportál Konkrétní specifikace poptávaného technologického vybavení Servery základní přehled: Příloha č. 2A P.č. název účel OS CPU (počet RAM HDD jader) 1 WEB1 firewall, reverzní proxy není součástí dodávky 4 8

Více

SOFTWARE A POČÍTAČOVÉ SÍTĚ. Alice Nguyenová

SOFTWARE A POČÍTAČOVÉ SÍTĚ. Alice Nguyenová SOFTWARE A POČÍTAČOVÉ SÍTĚ Alice Nguyenová SOFTWARE POČÍTAČE Operační systém Utility pomocné programy Ovladače Aplikační programové vybavení OPERAČNÍ SYSTÉM - OS - správce hardwarových prostředků - služby

Více

PORTFOLIO POSKYTOVANÝCH SLUŽEB V OBL ASTI KYBERNETICKÉ BEZPEČNOSTI L OG JIŘÍ RICHTER

PORTFOLIO POSKYTOVANÝCH SLUŽEB V OBL ASTI KYBERNETICKÉ BEZPEČNOSTI L OG JIŘÍ RICHTER PORTFOLIO POSKYTOVANÝCH SLUŽEB V OBL ASTI KYBERNETICKÉ BEZPEČNOSTI L OG OG SERVER / L OGG COLLECTORC MICHAL VYMAZAL JIŘÍ RICHTER DUBEN 2015 Obsah Obsah Zařízení pro sběr a vyhodnocování logů (Log collector)...3

Více

1. Jak pracuje počítač 3. Už víme, jak pracuje počítač, ale jak se pracuje s počítačem? 9

1. Jak pracuje počítač 3. Už víme, jak pracuje počítač, ale jak se pracuje s počítačem? 9 Počítače pro úplné začátečníky Obsah 1. Jak pracuje počítač 3 Základní princip je velmi jednoduchý 3 Dokumenty a nástroje (datové soubory a programy) 3 Složky (adresáře) 4 Jak to tedy vlastně funguje 5

Více

Srovnání Linuxu a BSD z pohledu jádra. Jan Dyrczyk

Srovnání Linuxu a BSD z pohledu jádra. Jan Dyrczyk Srovnání Linuxu a BSD z pohledu jádra Jan Dyrczyk 7. 12. 2011 Úvod Pro průměrného uživatele jsou rozdíly mezi Linuxem a BSD překvapivě malé. Oba jsou založeni na Unixu, jsou nekomerční s cílem vytvořit

Více

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu

Část 1. Technická specifikace. Posílení ochrany demokratické společnosti proti terorismu a extremismu příloha č. 1 k PPR-15689-2/ČJ-2013-990656 Část 1 Technická specifikace Posílení ochrany demokratické společnosti proti terorismu a extremismu Předmět Veřejné zakázky: Řešení pro dodání speciálního SW pro

Více

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení

Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB. Návrh realizace řešení Projekt 7006/2014 SDAT - Sběr dat pro potřeby ČNB Návrh realizace řešení Tento dokument obsahuje informace důvěrného charakteru a informace v něm obsažené jsou vlastnictvím České národní banky. Žádná část

Více

Operační systémy (OS)

Operační systémy (OS) Operační systémy (OS) Operační systém Základní softwarové vybavení Ovládá technické vybavení počítače Tvoří rozhraní mezi aplikačními (uživatelskými) programy a hardwarem organizace přístupu k datům spouštění

Více

Servis Fujitsu Technology Solutions

Servis Fujitsu Technology Solutions Servis Fujitsu Technology Solutions 15.1.2015 Jiří Charbuský 1 Copyright 2011 Fujitsu Technology Solutions Služby, které můžeme nabídnout Standardní záruční servis instalace rozšíření servisu (SupportPacky)

Více

Virtualizace v Linuxu

Virtualizace v Linuxu Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze Lukáš Váša Virtualizace v Linuxu Bakalářská práce 2007/2008 Prohlašuji, že jsem bakalářskou

Více

Virtualizace desktopů

Virtualizace desktopů Jaroslav Dvořák 8.8.2013 Telč Virtualizace desktopů Móda nebo skutečné přínosy? Agenda Vysvětlení pojmů Demo Srovnání jednotlivých přístupů Omezení technologií Požadavky na nasazení Licence Diskuze 2 Pojmy

Více

Definice OS. Operační systém je základní programové vybavení počítače, nezbytné pro jeho provoz.

Definice OS. Operační systém je základní programové vybavení počítače, nezbytné pro jeho provoz. OPERAČNÍ SYSTÉMY Definice OS Operační systém je základní programové vybavení počítače, nezbytné pro jeho provoz. Každý počítač má alespoň jeden procesor, paměť, I/O zařízení. Všechny tyto součásti můžeme

Více

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o.

RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí. Milan Zelenka, RHCE Enlogit s.r.o. RHEV for Desktops & SPICE příklad nasazení v akademickém prostředí Milan Zelenka, RHCE Enlogit s.r.o. Red Hat Enterprise Virtualization for Desktops (RHEV-D) Desktop virtualization Vlastnosti efektivní

Více

úvod Historie operačních systémů

úvod Historie operačních systémů Historie operačních systémů úvod Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu www.rvp.cz, ISSN: 1802-4785. Provozuje Národní ústav

Více

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA 20. 12. 2013 ÚVOD S penetrací IT do fungování společnosti roste důraz na zabezpečení důvěrnosti a opravdovosti (autenticity) informací a potvrzení (autorizaci) přístupu

Více

Operační systém GNU/Linux

Operační systém GNU/Linux Operační systém GNU/Linux Operační systém - obecně:...základní softwarové vybavení počítače, které se stará o správu systémových zdrojů OS není primárně charakterizován tím jak vypadá (uživatelské rozhraní),

Více

Technologie počítačových sítí 5. cvičení

Technologie počítačových sítí 5. cvičení Technologie počítačových sítí 5. cvičení Obsah jedenáctého cvičení Active Directory Active Directory Rekonfigurace síťového rozhraní pro použití v nadřazené doméně - Vyvolání panelu Síťové připojení -

Více

Počítačové sítě internet

Počítačové sítě internet 1 Počítačové sítě internet Historie počítačových sítí 1969 ARPANET 1973 Vinton Cerf protokoly TCP, základ LAN 1977 ověření TCP a jeho využití 1983 rozdělení ARPANETU na vojenskou a civilní část - akademie,

Více

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 Úvod 9 Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9 Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10 KAPITOLA 1 Hardwarové prvky sítí 11 Kabely 11

Více

Tabulka splnění technických požadavků

Tabulka splnění technických požadavků Příloha č. 1 Tabulka splnění technických požadavků Technická specifikace diskového pole AOPK Požadavek na funkcionalitu Rozšíření stávající skupiny diskových polí Dell EqualLogic PS4110E a EqualLogic 4110X

Více

Technická specifikace HW pro rok 2012

Technická specifikace HW pro rok 2012 Technická specifikace HW pro rok 2012 Blade šasi 1 ks Položka Hloubka vnitřní Napájení Ventilátory Management LAN konektivita FC konektivita Vzdálená správa rackové min. 14 aktivních pozic pro blade servery.

Více

INSTALACE DATABÁZE ORACLE A SYSTÉMU ABRA NA OS WINDOWS

INSTALACE DATABÁZE ORACLE A SYSTÉMU ABRA NA OS WINDOWS INSTALACE DATABÁZE ORACLE A SYSTÉMU ABRA NA OS WINDOWS 1. 2. 3. 4. 5. 6. 7. 8. 9. Instalace Oracle verze 11.02. 64 bit... 2 Instalace Listeneru... 8 Vytvoření instance databáze... 10 Úprava konfigurace

Více

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian

konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian 02 konec šedesátých let vyvinut ze systému Multics původní účel systém pro zpracování textů autoři: Ken Thompson a Denis Ritchie systém pojmnoval Brian Kernighan v r. 1973 přepsán do jazyka C Psát programy,

Více

S M L O U V A O D O D Á V C E I T T E C H N O L O G I E

S M L O U V A O D O D Á V C E I T T E C H N O L O G I E Část II. zadávací dokumentace obchodní podmínky ČÁST 1 veřejné zakázky Tyto obchodní podmínky je uchazeč povinen zapracovat do návrhu smlouvy předkládaného jako součást nabídky na realizaci veřejné zakázky

Více

Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Bohuslava Čežíková.

Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Bohuslava Čežíková. Datová úložiště Množství počítačem zpracovávaných dat, jejich uložení, zálohování a archivace vyžaduje potřebu jejich uložení. Data jsou ukládána do úložišť, aby byla zachována po určitou dobu. Tato doba

Více

Stručný obsah KAPITOLA 1 KAPITOLA 2 KAPITOLA 3 KAPITOLA 4 KAPITOLA 5 KAPITOLA 6 KAPITOLA 7 KAPITOLA 8 KAPITOLA 9 KAPITOLA 10 KAPITOLA 11 KAPITOLA 12

Stručný obsah KAPITOLA 1 KAPITOLA 2 KAPITOLA 3 KAPITOLA 4 KAPITOLA 5 KAPITOLA 6 KAPITOLA 7 KAPITOLA 8 KAPITOLA 9 KAPITOLA 10 KAPITOLA 11 KAPITOLA 12 Stručný obsah KAPITOLA 1 Prohlídka počítače 23 KAPITOLA 2 Mikroprocesory 49 KAPITOLA 3 RAM 103 KAPITOLA 4 BIOS a CMOS 133 KAPITOLA 5 Rozšiřující sběrnice 165 KAPITOLA 6 Základní desky 209 KAPITOLA 7 Zdroje

Více

Zabezpečení dat. Literatura: Pavel Roubal: Informatika a výpočetní technika pro střední školy str. 76-84

Zabezpečení dat. Literatura: Pavel Roubal: Informatika a výpočetní technika pro střední školy str. 76-84 Zabezpečení dat Literatura: Pavel Roubal: Informatika a výpočetní technika pro střední školy str. 76-84 Data mají cenu zlata. mnoho lidí a firem má většinu potřebných informací uloženu ve formě počítačových

Více

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura

monolitická vrstvená virtuální počítač / stroj modulární struktura Klient server struktura IBM PC 5150 MS DOS 1981 (7 verzí) DR DOS, APPLE DOS, PC DOS 1. 3. Windows grafická nástavba na DOS Windows 95 1. operační systém jako takový, Windows XP 2001, podporovány do 2014, x86 a Windows 2000 Professional

Více

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation TSM for Virtual Environments Data Protection for VMware v6.3 Ondřej Bláha CEE+R Tivoli Storage Team Leader TSM architektura 2012 IBM Corporation Tradiční zálohování a obnova dat ze strany virtuálního stroje

Více

Specifikace minimální konfigurace zboží Příloha č. 1. Specifikace minimálních požadavků na vybrané parametry zboží

Specifikace minimální konfigurace zboží Příloha č. 1. Specifikace minimálních požadavků na vybrané parametry zboží Specifikace minimálních požadavků na vybrané parametry zboží Podle 44 odst. 3) písm. b) zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen zákon ) Minimální požadavky

Více

HARDWARE SOFTWARE PRINCIPY

HARDWARE SOFTWARE PRINCIPY HARDWARE SOFTWARE PRINCIPY ÚVOD SOFTWARE, HARDWARE BEZPEČNOST, KÓDOVÁNÍ A ŠIFROVÁNÍ SÍTĚ, INTERNET WORD, EXCEL, POWER POINT INFORMAČNÍ SYSTÉMY VE VS E-GOVERNMENT DATOVÉ SCHRÁNKY data PAMĚTI data data PAMĚTI

Více

Příručka pro rychlou instalaci

Příručka pro rychlou instalaci Kerio Control VMware Virtual Appliance Příručka pro rychlou instalaci 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento dokument popisuje instalaci a základní nastavení produktu Kerio Control

Více

Virtualizace porovnání dvou daných platforem

Virtualizace porovnání dvou daných platforem Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Virtualizace porovnání dvou daných platforem Diplomová práce Autor: Michal Bureš Informační technologie

Více

Acronis Backup Advanced Version 11.7

Acronis Backup Advanced Version 11.7 Acronis Backup Advanced Version 11.7 VZTAHUJE SE NA NÁSLEDUJÍCÍ PRODUKTY: Advanced pro Windows Server Advanced pro PC Pro Windows Server Essentials ÚVODNÍ PŘÍRUČKA Prohlášení o autorských právech Copyright

Více

Organizace a zpracování dat I (NDBI007) RNDr. Michal Žemlička, Ph.D.

Organizace a zpracování dat I (NDBI007) RNDr. Michal Žemlička, Ph.D. Úvodní přednáška z Organizace a zpracování dat I (NDBI007) RNDr. Michal Žemlička, Ph.D. Cíl předmětu Obeznámit studenty se základy a specifiky práce se sekundární pamětí. Představit některé specifické

Více

09. Operační systémy PC 1. DOS. Nejdůležitější zástupci DOSu:

09. Operační systémy PC 1. DOS. Nejdůležitější zástupci DOSu: 09. Operační systémy PC Operační systém (OS) je základní programové vybavení počítače, které zprostředkovává komunikaci mezi uživatelem a hardwarem a řídí činnost jednotlivých částí počítače. Operační

Více

Specifikace předmětu veřejné zakázky

Specifikace předmětu veřejné zakázky Specifikace předmětu veřejné zakázky Servery budou pocházet z oficiálních distribučních kanálů. Záruky a servis budou garantovány výrobcem. V rámci požadavku na typy zařízení budou v rámci každého typu

Více

Základní normalizované datové přenosy

Základní normalizované datové přenosy Základní normalizované datové přenosy Ing. Lenka Kretschmerová, Ph.D. TECHNICKÁ UNIVERZITA V LIBERCI Fakulta mechatroniky, informatiky a mezioborových studií Tento materiál vznikl v rámci projektu ESF

Více

HW Diskové pole - 1KS

HW Diskové pole - 1KS HW Diskové pole - 1KS Architektura Výkonnost modulární, dvouřadičové diskové pole založené na 6Gbit SAS2.1, řešení musí být koncipováno jako HW, SW a FW od jednoho výrobce - škálování výkonnosti a kapacit

Více

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice Příloha č. 1 Výzvy k podání nabídky a k prokázání splnění kvalifikace na realizaci veřejné zakázky

Více

I. POČTY A STAVY. počet uživatelů - studentů: - 680 studentů. počet uživatelů - zaměstnanců: - 128 (fyzický stav) - 88 (uživatelů s přístupem k PC)

I. POČTY A STAVY. počet uživatelů - studentů: - 680 studentů. počet uživatelů - zaměstnanců: - 128 (fyzický stav) - 88 (uživatelů s přístupem k PC) STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, 393 01 Pelhřimov ICT PLÁN ŠKOLY ICT plán školy popisuje stávající stav, cíle, kterých chce škola v oblasti ICT vybavení dosáhnout

Více

Co je to virtualizace?

Co je to virtualizace? Virtualizace PC Co je to virtualizace? Virtualizace je v informatice označení postupů a technik, které umožňují v počítači přistupovat k dostupným zdrojům jiným způsobem, než jakým fyzicky existují. Virtualizovat

Více

2 Popis softwaru Administrative Management Center

2 Popis softwaru Administrative Management Center Testovací protokol USB token ikey 4000 1 Úvod 1.1 Testovaný produkt Hardware: USB token ikey 4000 Software: Administrative Management Center 7.0 Service Pack 8 SafeNet Borderless Security 7.0 Service Pack

Více

Virtualizace. Lukáš Krahulec, KRA556

Virtualizace. Lukáš Krahulec, KRA556 Virtualizace Lukáš Krahulec, KRA556 Co je vitualizace Způsob jak přistupovat ke zdrojům systému jako k univerzálnímu výkonu a nezajímat se o železo Způsob jak využít silný HW a rozložit ho mezi uživatele,

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0185. Název projektu: Moderní škola 21. století. Zařazení materiálu: Ověření materiálu ve výuce:

Registrační číslo projektu: CZ.1.07/1.5.00/34.0185. Název projektu: Moderní škola 21. století. Zařazení materiálu: Ověření materiálu ve výuce: STŘEDNÍ ODBORNÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ NERATOVICE Školní 664, 277 11 Neratovice, tel.: 315 682 314, IČO: 683 834 95, IZO: 110 450 639 Ředitelství školy: Spojovací 632, 277 11 Neratovice tel.:

Více

VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ

VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ MĚSTSKÝ ÚŘAD Masarykovo nám. 189, 766 01 Valašské Klobouky VALAŠSKÉ KLOBOUKY VNITŘNÍ POKYN Č. 3/2004 PROVOZNÍ ŘÁD POČÍTAČOVÉ SÍTĚ 1. ÚČEL Směrnice Provozní řád počítačové sítě stanovuje pravidla pro užívání

Více

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění Název veřejné zakázky: Dodávka datového a výpočetního centra pro projekty NTIS a CTPVV Část 2 veřejné zakázky - Dodávka výpočetního clusteru a serverů pro virtualizaci vymezení technických podmínek veřejné

Více

Smlouva o dodávce serverů a sestav racků uzavřená podle 409 a násl. zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů, mezi:

Smlouva o dodávce serverů a sestav racků uzavřená podle 409 a násl. zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů, mezi: Smlouva o dodávce serverů a sestav racků uzavřená podle 409 a násl. zákona č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů, mezi: Českou národní bankou Na Příkopě 28 115 03 Praha 1 zastoupenou:

Více

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení

Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Příloha č. 1 k Č.j.: OOP/10039/2-2011 Specifikace zařízení Zadavatel požaduje dodávku 16 kusů serverů a 4kusů síťových datových úložišť. Servery se požadují bez dodání operačního systému. Specifikace minimálních

Více

Kupní smlouva Dynamický nákupní systém Pk Výpočetní technika Výzva 45 - Dodávka Diskových polí KUPNÍ SMLOUVA

Kupní smlouva Dynamický nákupní systém Pk Výpočetní technika Výzva 45 - Dodávka Diskových polí KUPNÍ SMLOUVA KUPNÍ SMLOUVA uzavřená níže uvedeného dne, měsíce a roku dle ustanovení 2079 a násl. a 2085 a násl. zákona č. 89/2012 Sb., Občanského zákoníku Čl. 1 Smluvní strany Kupující: Plzeňský kraj Sídlo: IČ: 70890366

Více

Činnost operačních systémů. Beránek Pavel 1. KŠPA

Činnost operačních systémů. Beránek Pavel 1. KŠPA Činnost operačních systémů Beránek Pavel 1. KŠPA Funkce operačního systému Jedná se o systémový software (opak uživatelského = aplikace), který spravuje systémové prostředky (RAM, procesorový čas) a poskytuje

Více

OPERAČNÍ SYSTÉM ZLÍNSKÝ KRAJ. Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště

OPERAČNÍ SYSTÉM ZLÍNSKÝ KRAJ. Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště OPERAČNÍ SYSTÉM Název školy Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště Název DUMu Operační systém Autor Martin Šimůnek Datum 13. 2. 2013 Stupeň

Více

Č á s t 1 Příprava instalace

Č á s t 1 Příprava instalace Obsah Úvod 31 Seznámení se s rodinou produktů 31 Co je nového v systému Windows Server 2003 32 Práce s touto příručkou 32 Obsah této příručky 33 Obsah disku CD-ROM 34 Komunikujte s námi 35 Část 1 Příprava

Více

Výzva na podání nabídek na veřejnou zakázku malého rozsahu

Výzva na podání nabídek na veřejnou zakázku malého rozsahu Výzva na podání nabídek na veřejnou zakázku malého rozsahu Dodávka 2 ks serveru a 1 ks diskového pole pro virtuální desktopy ID zakázky: P16V00000464 Datum: 22.11.2016 Vyřizuje: Mgr. Radek Vojkůvka, Odbor

Více

Řada barevných. Barevné multifunkční zařízení HP LaserJet Pro M476nw. Datový list

Řada barevných. Barevné multifunkční zařízení HP LaserJet Pro M476nw. Datový list Datový list Řada barevných multifunkčních zařízení HP LaserJet Pro M476 Zapnutí všech možností připojení Toto multifunkční zařízení HP Color LaserJet Pro připojí celou kancelář k tisku v zářivých barvách,

Více

1x server pro distanční vzdělávání (výpočtový server)

1x server pro distanční vzdělávání (výpočtový server) Příloha č. 5 1x server pro distanční vzdělávání (výpočtový server) CPU 1 CPU mark >= 19970, podpora virtualizace ve virtualizaci RAM Volitelně Celkem >= 128 GB HDD 2 kapacita >= 2TB, SATA, min 7200 RPM,

Více

Základní deska (mainboard, motherboard)

Základní deska (mainboard, motherboard) Základní deska (mainboard, motherboard) Hlavním účelem základní desky je propojit jednotlivé součástky počítače do fungujícího celku a integrovaným součástem na základní desce poskytnout elektrické napájení.

Více

Kontrolní seznam projektu a systémové požadavky Xesar 3.0

Kontrolní seznam projektu a systémové požadavky Xesar 3.0 Kontrolní seznam projektu a systémové požadavky Xesar 3.0 Obsah 1 Kontrolní seznam k projektu... 1 1.1 Systémové požadavky infrastruktura... 1 1.2 Konfigurace zařízení... 2 1.3 Témata týkající se projektu...

Více

Specifikace předmětu veřejné zakázky

Specifikace předmětu veřejné zakázky Specifikace předmětu veřejné zakázky Servery budou pocházet z oficiálních distribučních kanálů. Záruky a servis budou garantovány výrobcem. V rámci požadavku na typy zařízení budou v rámci každého typu

Více

Tabulka splnění technických požadavků

Tabulka splnění technických požadavků Příloha č. 1 Tabulka splnění technických požadavků Technická specifikace diskového pole AOPK Požadavek na funkcionalitu Rozšíření stávající skupiny diskových polí Dell EqualLogic PS4110E a EqualLogic 4110X

Více

99 % všech desktopů na platformě MS Windows

99 % všech desktopů na platformě MS Windows Svobodný software 99 % všech desktopů na platformě MS Windows Monopol!!! Jaké z toho plynou nevýhody? Jaké z toho plynou výhody? source code zdrojový kód obsah souboru nebo souborů napsaný v určitém programovacím

Více

Obsah. Úschova dat v síti čtvrtletní práce. Jméno: Michal Tydrych Třída: 4.B Datum: 10.10.2009

Obsah. Úschova dat v síti čtvrtletní práce. Jméno: Michal Tydrych Třída: 4.B Datum: 10.10.2009 Úschova dat v síti čtvrtletní práce Jméno: Michal Tydrych Třída: 4.B Datum: 10.10.2009 Obsah Úschova dat v síti 1 Úvod 4 1 SAN (Storage Area Network) 5 1.1 Typy sítí 5 1.1.1 Fibre Channel 5 1.2 Fugování

Více

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč. 2011 IBM Corporation

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč. 2011 IBM Corporation IBM Cloud computing Jak postavit enterprise cloud na klíč Petr Leština Client IT Architect Agenda Úvod Architektura privátního cloudu (IaaS a PaaS) Smart Cabinet pro provoz cloud infrastruktury Závěr Cloud

Více

Red Hat Enterprise Virtualization

Red Hat Enterprise Virtualization Red Hat Enterprise Virtualization Nové produkty Red Hat v oblasti virtualizace Ondřej Suchý, RHCVSP Enlogit s.r.o. Část 1 O Enlogit Enlogit: o nás IT pro firmy primární zaměření: služby významný implementátor

Více

Jak nasadit Windows 10 ve škole

Jak nasadit Windows 10 ve škole Jak nasadit ve škole Karel Klatovský PUBLIKOVÁNO: ÚNOR 2016 PRO AKTUÁLNÍ INFORMACE NAVŠTIVTE WEBOVÉ STRÁNKY WWW.MICROSOFT.CZ/SKOLSTVI Obsah Obsah...2 1. Úvod...3 2. Systémové požadavky... 4 3. Příprava

Více

Acronis. Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz

Acronis. Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz Acronis Lukáš Valenta lukas.valenta@acronis.cz www.acronis.cz Acronis Kdo jsme? Společnost se sídlem v USA Zálohovací software Software pro ochranu proti haváriím Nástroje pro správu disků Nástroje pro

Více

Řešení pro správu klientů a mobilní tisk

Řešení pro správu klientů a mobilní tisk Řešení pro správu klientů a mobilní tisk Uživatelská příručka (c) Copyright 2007 Hewlett-Packard Development Company, L.P. Windows je v USA registrovaná ochranná známka společnosti Microsoft Corporation

Více

Ostrava. 16. dubna 2014

Ostrava. 16. dubna 2014 Ostrava 16. dubna 2014 1 SoftLayer Managed Services Roman Hlaváč 2 Co je a není SoftLayer 1-stránkový přehled Globální poskytovatel cloud služeb Poskytuje následující služby IaaS PaaS Virtuální Privátní

Více

Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR

Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR Technická specifikace pro projekt Rozvoj konsolidované IT infrastruktury Policie ČR a dobudování centrálního portálu PČR Policie České republiky provozuje roztříštěnou strukturu informačních technologií

Více

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..) Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..) Důvody propojení počítačů do sítě Sdílení HW (disky, tiskárny) Sdílení SW

Více

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série NA PŘÍKOPĚ 28 115 03 PRAHA 1 Sekce správní odbor obchodní V Praze 10. července 2015 Č.j. 2015/076951/CNB/420 Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série Zadavatel níže

Více

Operační systémy. Tomáš Vojnar IOS 2009/2010. Vysoké učení technické v Brně Fakulta informačních technologií Božetěchova 2, 612 66 Brno

Operační systémy. Tomáš Vojnar IOS 2009/2010. Vysoké učení technické v Brně Fakulta informačních technologií Božetěchova 2, 612 66 Brno Operační systémy IOS 2009/2010 Tomáš Vojnar Vysoké učení technické v Brně Fakulta informačních technologií Božetěchova 2, 612 66 Brno ÚÓ Ò Ö ØºÚÙØ ÖºÞ Úvod do UNIXu p.1/11 Unix úvod Úvod do UNIXu p.2/11

Více

Fiber To The Office. naturally connected. Nadčasová síťová infrastruktura pro moderní podnikové prostředí

Fiber To The Office. naturally connected. Nadčasová síťová infrastruktura pro moderní podnikové prostředí Fiber To The Office Nadčasová síťová infrastruktura pro moderní podnikové prostředí Řešení MICROSENS založená na optických vláknech jsou inteligentní, spolehlivá a výkonná. naturally connected KONCEPCE

Více

DISTRIBUCE GNU/LINUXU

DISTRIBUCE GNU/LINUXU DISTRIBUCE GNU/LINUXU Název školy Obchodní akademie, Vyšší odborná škola a Jazyková škola s právem státní jazykové zkoušky Uherské Hradiště Název DUMu Distribuce GNU/Linuxu Autor Martin Šimůnek Datum 14.

Více