Obsah Přidání účtu v aplikaci Mozilla Thunderbird Přidání účtu v aplikaci MS Outlook iii

Transkript

1 Administrace manuál

2 Administrace manuál

3 Obsah Úvod... vii 1. Obecná charakteristika produktů solnet *box... vii 2. Popis produktů... vii 2.1. solnet firewall... vii 2.2. solnet filebox... viii 2.3. solnet mailbox... viii 2.4. solnet AVirCheck... ix 2.5. solnet multibox... x 1. Přihlášení Proč se nelze přihlásit? Navigace Záložky Vyhledávání Domény Přehled Informace o limitech Zaplnění poštovních schránek Administrační kontakt Účty, skupiny, subdomény Počítače Povolené služby Doručování pošty DNS (vedení záznamu) Web (virtuální server) Doménový koš Databáze Webhosting Volitelné položky objektů Účty Vytvoření a smazání účtu Konfigurace účtu Nastavení Heslo Povolené služby Přezdívky Přeposílání pošty Skupiny Souborový server Další nastavení Přístup k poště Přidání účtu v aplikaci Mozilla Thunderbird Přidání účtu v aplikaci MS Outlook iii

4 5. Skupiny Vytvoření a smazání skupiny Konfigurace skupiny Nastavení Členové skupiny Přezdívky Povolené služby Přeposílání pošty Další nastavení Přístupová práva Obecně o přístupových právech Hierarchie přístupových práv Zadávání a rušení přístupových práv Zadávání Rušení Jednotlivá práva a úroveň oprávnění Filtrovací pravidla příchozí pošty Obecně o filtrovacích pravidlech Konfigurace filtrovacího pravidla Sdílené kontejnery Globální kontejnery Doménové kontejnery Souborový server Nastavení služeb Typ a jméno souborového serveru Konfigurace zvoleného typu serveru Nastavení domény pro souborový server Jak nastavit server jako PDC Nastavení na serveru Nastavení na jednotlivých pracovních stanicích Windows XP EN Windows 2000 Professional CZ Windows 98 CZ Souborové složky Souborové složky na serveru Nastavení přístupových práv souborových složek na serveru Nastavení přístupových práv z pracovní stanice Přihlašovací skripty Rychlý start Syntaxe a proměnné Příkazy Instalace sít ové tiskárny Další nastavení Nastavení doménového uživatele jako správce pracovní stanice Změna hesla uživatele iv

5 Windows Windows 2000 a Windows XP Změna názvu počítače Windows Windows 2000 a Windows XP Systémový monitoring Lokální sítě Určování lokálních sítí Nastavení rozhraní Kontroly sít ového toku Aktuální sít ový provoz Filtry Přednastavené filtry Časy Spojení Konfigurace vlastního filtru Vyhledávání Součty Archiv sít ového provozu Dynamické akce Instrukce pro příkazy dynamických akcí Konfigurace VPN v systému Windows Podsítě Přístupová práva Archiv hlášení Nastavení služeb serveru DHCP Nastavení DHCP pro podsít Antispamový subsystém Identifikace a označení spamu Filtrování spamu Učení Antivirový subsystém Poštovní server Souborový server Odkazy na WebIS Přihlašovací doména Nastavení implicitní přihlašovací domény Nastavení mapování domén Ostatní možné služby Přílohy Diagram průchodu pošty IMAP versus POP Kontakty Přístup ke kontaktům z Mozilla Thunderbirdu v

6 Přístup ke kontaktům z MS Outlook Express Slovníček vi

7 Úvod Tento manuál je určen odběratelům některého z produktů řady solnet *box. Popisuje administrační část webového rozhraní systému určenou ke správě serverů. 1. Obecná charakteristika produktů solnet *box Podstatou řešení solnet *box je poskytnutí hardwaru včetně servisu, instalace softwaru, správy a aktualizace nových verzí, monitoringu a bezprostředního řešení vzniklých problémů. K dispozici je také telefonická, ová a on-line podpora a kontinuální vylepšování a přidávání softwarových služeb podle ohlasů. Ušetříte tedy počáteční náklady na nákup hardwaru, starosti s jeho správou, případnou reklamaci vadného hardwaru a problémy, které mohou vzniknout v důsledku výpadku. Nemusíte platit drahé licence za software nebo nové verze. Není nutné mít specializovaného pracovníka, který se bude o server starat. Řešení solnet *box jsou určena široké vrstvě zákazníků, jejich správa je možná přes WWW rozhraní a neklade větší důraz na odborné znalosti. K dispozici je také rychlá nápověda, která přímo ve webovém rozhraní vysvětluje základní pojmy. 2. Popis produktů V současné době nabízí společnost solnet, s.r.o tyto produkty: solnet firewall solnet filebox solnet mailbox solnet AVirCheck solnet multibox 2.1. solnet firewall solnet firewall je zařízení, které zabraňuje toku nežádoucích dat mezi vnitřní sítí (intranetem) a vnější sítí (Internetem). solnet firewall přináší nejen nové standardy z hlediska bezpečnosti, ale také způsob, jak ušetřit náklady spojené s provozem na Internetu. Ty lze snížit například pronájmem části linky dalším subjektům nebo blokováním nežádoucích stránek, což může napomoci i zvýšení produktivity práce. Oproti řešením jiných firem pracuje solnet firewall nejen na sít ové vrstvě (blokování paketů), ale i na aplikační vrstvě IP protokolu (filtrování a proxy přístup k různým službám na serveru, např. WWW cache nebo SMTP). vii

8 Úvod solnet firewall nabízí: připojení jedné nebo více firemních sítí k Internetu, blokování nežádoucích stránek, snížení toku dat z Internetu použitím WWW proxy cache, zvýšení propustnosti linky do Internetu díky WWW proxy serveru, měření a záznam statistik využití provozu z a do Internetu jednotlivými uživateli, zrychlení odezvy na dotazy do Internetu pomocí "urychlovacího" name serveru (cache-only DNS server). ochranu firemní sítě, např. proti těmto útokům: smazání nebo krádež firemních dat, odposlouchávání komunikace ve firemní síti, zneužítí firemního připojení k Internetu, změna WWW stránek na serveru za firewallem, zneužítí identity. snazší konfiguraci pracovních stanic díky DHCP serveru, přípojný bod pro spojení několika poboček firmy, tzv. VPN, konfiguraci omezení, zaručení, případně upřednostnění sít ového provozu (Quality of Service), účtování přenesených dat, včetně detailního nastavení hierarchické struktury sítí, přístupových práv apod solnet filebox solnet filebox je server určený ke sdílení souborů s možností úplné konfigurace přístupových práv pro uživatele i skupiny. Data na serveru jsou přístupná i po vypnutí všech pracovních stanic v síti. solnet filebox nabízí: přístup k firemním souborům odkudkoliv z Internetu, jednodušší práce se soubory jiných uživatelů, možnost nasdílet data skupinám zaměstnanců podle definovaných přístupových práv, velkokapacitní datový prostor, který je k dispozici celé firmě, rozdílové zálohování, které probíhá v noci na speciálně určený zálohovací disk, periodickou antivirovou kontrolu dat na serveru. viii

9 Úvod 2.3. solnet mailbox solnet mailbox je poštovní server vyšší kategorie, který nabízí mimo standardního protokolu POP3 také kvalitnější a preferovaný protokol IMAP (viz kapitolu IMAP versus POP3), libovolný počet domén, poštovních účtů a skupin. Samozřejmostí jsou sdílené uživatelské schránky, firemní sdílené kontakty, správa přeposílání, nastavení maximální velikosti poštovní schránky, webové a wapové rozhraní pro práci s poštou, kompatibilita s rozšířenými poštovními klienty (Mozilla Thunderbird, MS Outlook) a mnoho dalšího. Součástí serverových služeb je také antivirový a antispamový systém, který automaticky kontroluje průchozí poštu na serveru. Díky přístupovým právům lze jasně oddělit jednotlivé domény. Lze tedy bezpečně pronajmout části serveru dalším subjektům. solnet mailbox nabízí: zabezpečení důvěrných dat firemní pošty v lokální firemní síti, rychlou práci s poštou, rychlé doručování pošty do lokálních domén, přístup k poště z jakéhokoliv počítače v síti, možnost blokování nevhodných příloh v poště. antivirový systém běžící na centrálním serveru, podpora WapMailu a WebMailu. přístup k poště a doručování pošty i při výpadku připojení k Internetu. rozdílové zálohování, které probíhá v noci na speciálně určený zálohovací disk, podpora pro teoreticky neomezené množství současně připojených uživatelů (záleží jen na výkonnosti hardwaru), podpora skupinových a veřejných poštovních složek a úplná konfigurace přístupových práv pro uživatele a skupiny, stejně rychlý přístup k poště pro všechny uživatele ve VPN, šifrované protokoly pro přístup k poště, centrálně spravované kontakty s možností nastavení přístupových práv. podporu sdílených kalendářů solnet AVirCheck solnet AVirCheck je samostatný software, který je dodáván jako součást solnet fileboxu, solnet mailboxu a solnet multiboxu. Funguje jako antivirový štít, který automaticky kontroluje příchozí a odchozí poštu nebo data na souborovém serveru. AVirCheck nejčastěji běží v součinnosti s velice kvalitním a bezpečným poštovním serverem Exim, podporuje však i další nejběžnější poštovní servery jako jsou Sendmail, Qmail nebo Postfix. ix

10 Systém solnet AVirCheck je dodáván s licencí výkonného a často aktualizovaného (téměř každý druhý den) systému Dr.WEB. O jeho kvalitách svědčí také opakovaně udělené ocenění prestižním magazínem Virus Bulletin. Vlastnosti systému solnet AVirCheck: vysoká konfigurovatelnost, vyhledávání virů v komprimovaných přílohách, blokování příloh specifikovaných typů podle přípon (preventivně zabrání přijení neznámých virů), zahození zprávy s virem nebo se zakázanou přílohou a automatické informování správce, Úvod hlášení o nedoručení dopisu s virem či blokovanou přílohou je možné zasílat i původnímu adresátovi dopisu, antitivirovou kontrolu lze provádět současně několika antivirovými systémy, automatická aktualizace databáze známých virů solnet multibox Multiserverové řešení solnet multibox vzniklo spojením solnet firewallu, solnet mailboxu, solnet fileboxu a solnet AVirChecku do jednoho cenově výhodnějšího balíku. S produktem solnet multibox zákazník obdrží poštovní server s antivirem, firewall, WWW a FTP proxy, souborový server, DHCP server, sdílené kontakty a další služby. V současné době nabízíme solnet multibox dimenzovaný pro 10, 20, 50, 100, 500 nebo 1000 uživatelů. Požadavek na vyšší počet uživatelů, VPN nebo clustery prosím konzultujte s našimi odborníky. x

11 Kapitola 1. Přihlášení Pro přístup do Administrace je potřeba zadat do webového prohlížeče jako URL adresu vašeho serveru (např. V URL musí být rovněž specifikován protokol; bud http pro nezabezpečený přístup nebo https pro přístup zabezpečený pomocí SSL. Tip: Pro přístup odjinud než z lokální sítě doporučujeme používat bezpečnější protokol https, který zamezuje odposlechu a případnému zneužití přihlašovacích údajů. Pro přihlášení do Administrace je nutné znát přihlašovací jméno a heslo. Jako jméno lze používat i přezdívky účtů. Při instalaci serveru obdrží administrátor první heslo. Přístup do Administrace ovšem mohou mít i jiní uživatelé, kterým umožňuje přístup administrátor. Ten může současně nastavit, ke kterým objektům bude mít takový uživatel přístup. Toho lze využít například při pronajímání domén jiným zákazníkům. Ti pak mohou v Administraci plně ovládat svoji doménu a účty v ní, ale neuvidí ostatní domény ani je nebudou moci nijak ovlivňovat. Obrázek 1-1. Přihlášení do Administrace 1.1. Proč se nelze přihlásit? Jestliže se pokus o přihlášení do Administrace nezdaří, jedná se zřejmě o jednu z následujících příčin: Chybně zadané uživatelské jméno nebo heslo pamatujte, že při zadávání těchto údajů záleží na velikosti písmen a pokud nemáte přednastavenu správnou přihlašovací doménu, musíte jako jméno zadat celou svou ovou adresu. Uživatel nemá administrační práva do Administrace se může přihlásit pouze uživatel, který k tomu má oprávnění. Více v kapitole Nastavení účtu. V případě nejasností ohledně přihlašovacího jména a hesla, kontaktujte svého administrátora. 1

12 Kapitola 2. Navigace K Administraci se přistupuje přes Internet prostřednictvím webového prohlížeče. Po přihlášení uvidíte pracovní plochu, která je rozdělena na tři svisle oddělené oblasti. Levý sloupec obsahuje záložky, které popisují jednotlivé položky nabídky pro aktuální objekt. Počet záložek se může lišit podle konkrétní instalace serveru. Střední pracovní část obsahuje seznamy a formuláře pro práci se zvolenou položkou. Důležitá informace se zobrazuje v horní části obrazovky v červeném obdélníku. Je tam obvykle název domény nebo jméno účtu, v jehož konfiguraci se právě nacházíte. K přepínání do vyšších úrovní nabídek slouží tlačítko Nahoru, které se nachází v levém horním rohu obrazovky. Pouze v nejvyšší úrovni Administrace se změní na tlačítko Odhlásit. Sloupec napravo obsahuje rychlou nápovědu pro aktuálně zobrazený formulář. Obrázek 2-1. Hlavní nabídka Administrace 2.1. Záložky Záložky v sloupci nalevo se mění podle toho, jaký objekt máte aktuálně zvolen. Název objektu je zobrazen v červeném obdélníku v horní středové části obrazovky. Na obrázcích níže je vidět nabídka pro doménu a nabídka pro uživatele v doméně. 2

13 Kapitola 2. Navigace Obrázek 2-2. Nabídka pro zvolenou doménu Obrázek 2-3. Nabídka pro zvoleného uživatele 2.2. Vyhledávání Formulář v této sekci slouží k rychlému nalezení účtu, skupiny, domény nebo subdomény na serveru. Do prvního vstupního pole před se vpisují jména nebo části jmen pro účty a skupiny, do druhého pole pak jména nebo části jmen doména a subdomén. Při vyhledávání lze využít znaku *, který nahrazuje libovolný počet jiných znaků. Zadáním samotné hvězdičky se zobrazí všechny účty a skupiny, respektive domény. Kliknutím na název nalezeného objektu se přepnete do podrobného nastavení v příslušné sekci. 3

14 Kapitola 2. Navigace V tabulce Souhrnné informace jsou uvedeny nastavené limity pro počty objektů, povolených služeb na serveru a diskový prostor vymezený pro poštovní schránky. Červená čísla znamenají, že limit byl dosažen nebo překročen. Nevyplněná hodnota znamená, že limit není nastaven. Tlačítkem Podrobné informace se zobrazí všechny limity u všech dostupných služeb pro jednotlivé objekty. Obrázek 2-4. Příklad vyhledávacího filtru nad účty a doménami 4

15 Kapitola 3. Domény V záložce Domény vidíte seznam domén na vašem serveru. Každá doména může obsahovat subdomény, skupiny a poštovní účty. Domény musí být vytvořeny dříve, než začnete zakládat poštovní účty nebo skupiny. Obrázek 3-1. Domény Pokud vytváříte novou doménu, vložte do vstupního pole její název a klikněte na tlačítko Přidat. V názvu smíte použít pouze malá písmena, číslice a pomlčku. Jednotlivé části domény se oddělují tečkou. Tlačítkem Smazat zrušíte včechny označené domény, pokud jsou prázdné, tedy neobsahují žádné subdomény, skupiny, ani účty. Před úplným zrušením neprázdné domény musíte nejprve ručně smazat její obsah Přehled V této záložce můžete sledovat souhrnné informace o nastavených limitech na doméně, o zaplnění poštovních schránek doménových účtů a udržovat fakturační a technický kontakt k doméně Informace o limitech V tabulce Souhrnné informace jsou uvedeny nastavené limity pro počty objektů, povolených služeb na doméně a diskový prostor vymezený pro poštovní schránky. Červená čísla znamenají, že limit byl dosažen nebo překročen. Nevyplněná hodnota znamená, že limit není nastaven. Je-li vyplněn sloupec zbývá, jsou počty položek omezeny profilem této domény, nadřazené domény, nebo celého serveru. V případě, že je limit nastaven na samotné doméně a současně i na nadřazené doméně nebo na serveru, pak se aplikuje nejnižší limit ze všech. 5

16 Kapitola 3. Domény Obrázek 3-2. Limity pro doménu Zaplnění poštovních schránek Tlačítkem Zobrazit se vypíše seznam poštovních schránek, které odpovídají aktuálně nastavenému testu. Tento seznam můžete uložit jako textový soubor tlačítkem Exportovat do CSV a následně ho otevřít nepříklad v tabulkovém procesoru. Tlačítkem Přidat upozornění.. můžete zadat ovou adresu, na kterou se zašle upozornění, pokud zaplnění některé schránky splní zadanou podmínku. Výsledné pravidlo se přepíše pod formulář, jak je vidět na obrázku níže. Test zadaných pravidel se provádí každou noc a upozornění pro každý z nich se zasílá jen tehdy, pokud daný test uspěje na nějaké schránce. Upozornění na přeplnení schránky, které je nasměrováno do té stejné schránky bude čekat na doručení, dokud se ve schránce neuvolní místo. Ovšem obecně platí, že první zpráva, která překročí kvótu dané schránky se ještě doručí celá. Obrázek 3-3. Kontrola zaplnění schránek 6

17 Kapitola 3. Domény Administrační kontakt Kontaktní informace u domény se využívají na serverech k automatickému zpracování plateb nebo oznámení o technických zásazích na serveru. V zájmu každého správce serveru proto je, aby tyto údaje byly vyplněny a byly aktuální. Obrázek 3-4. Fakturační a technický kontakt domény 3.2. Účty, skupiny, subdomény Všechny tyto záložky v menu pro domény vypadají a fungují prakticky stejně. Obsahují seznam objektů daného typu, které doména obsahuje, vstupní pole a tlačítko Přidat pro nové objekty a tlačítko Smazat pro rušení existujících. 7

18 Kapitola 3. Domény Obrázek 3-5. Seznam skupin v doméně V názvech účtů a skupin lze používat pouze malá písmena, číslice, tečku a pomlčku. V názvech subdomén navíc nelze používat tečku, protože ta v názvu odděluje domény vyšších řádů. U jakéhokoliv názvu nového objektu stačí zadat jeho lokální část; doména, pro kterou se vytváří, se doplní automaticky. Při smazání účtu nebo skupiny bude smazána rovněž pošta, kterou daný objekt obsahuje. Subdoménu nelze smazat, pokud obsahuje nějaké účty nebo skupiny Počítače V této záložce menu pro domény je seznam počítačů, které administrátor do domény připojil. Označením a smazáním konkrétního počítače z tohoto seznamu ho z domény vyjmete. Obrázek 3-6. Seznam počítačů v doméně 8

19 Kapitola 3. Domény 3.4. Povolené služby Doručování pošty Pokud je tato služba povolena, doména bude přijímat ové zprávy a zprávy adresované do neexistujících účtů v doméně bude přesouvat do doménového koše, jinak se příchozí pošta vrací odesílateli. Správa pošty je podrobně popsána v manuálu Administrace DNS (vedení záznamu) Povolením této služby se do konfigurace lokálního jmenného serveru (DNS) zřídí nový záznam. Ten slouží pro překlad IP adres na doménová jména, obsahuje přezdívky (aliasy) pro kanonický název domény, MX záznamy pro doručování pošty apod. Tyto údaje jsou obsaženy v implicitní šabloně pro nové domény, která je uložena v souboru /etc/bind/hosting.db. Implicitní obsah zóny záleží na konkrétním serveru, je nastaven při konfiguraci hostingové části administrace a musí zohledňovat distribuci zón na sekundární nameservery. Pokud máme zřízen záznam pro doménu priklad.cz, lze z pohledu správce změnit obsah zóny vytvořením souboru /etc/bind/zones/priklad.cz, který se při novém generování konfigurace jmenného serveru pro danou doménu použije přednostně. Nejjednodušší způsob, jak tento soubor vytvořit, je zkopírovat původní soubor hosting.db právě do adresáře /etc/bind/zones/, kde jej přejmenujete a můžete modifikovat. Aby se však výsledná zóna skutečně použila, je nutné v ní modifikovat klíč Serial, nejlépe zvýšením jeho hodnoty o 1. Po ruční změně konfigurace je třeba přegenerovat konfigurační soubory příkazem sasschedule generate_domain_configs. Tento příkaz zajistí restart všech služeb, jejichž konfigurace se změnila Web (virtuální server) Pokud povolíte službu Web, vytvoří se v konfiguraci webového serveru pro danou doménu kořenový adresář pro data a konfigurace takzvaného virtuálního serveru, který zajistí přístup k doméně přes Internet. To znamená, že se do souboru /etc/apache/hostings.conf přidá záznam Virtualhost pro virtuální server podle šablony /etc/solnet/templates/ apache/default.tmpl. Je možné tímto způsobem generovat více virtuálních serverů, implicitně se vytváří pro doménu priklad.cz rovněž alias pro přístup na Internet Vygenerovaný virtuální server lze modifikovat dvěma způsoby. Oba jsou definovány v implicitní šabloně. Opět pro názornost uvažujme novou doménu priklad.cz: Do souboru /etc/apache/virtualhosts/priklad.cz lze vložit úplně novou konfiguraci virtuálního serveru. Pokud tento soubor existuje, použije se místo již vygenerované konfigurace. 9

20 Kapitola 3. Domény Do souboru /etc/apache/includes/priklad.cz se ukládají drobné úpravy, které nepřepíší celou konfiguraci, ale pouze se při jejím generování vloží na konec souboru s původní konfigurací virtuálního serveru. Implicitní šablona obsahuje alias /stats pro přístup ke generovaným statistikám návštěvnosti s implicitním přístupem pro všechny uživatele v dané doméně. Nejjednodušší způsob, jak modifikovat vygenerovaný virtuální server, je zkopírovat si příslušnou část souboru /etc/apache/hosting.conf do svého /etc/apache/virtualhosts/priklad.cz. Po ruční změně konfigurace je třeba přegenerovat konfigurační soubory příkazem sasschedule generate_domain_configs. Tento příkaz zajistí restart všech služeb, jejichž konfigurace se změnila Doménový koš Doménový koš je jedna nebo více poštovních schránek, do kterých se ukládají ové zprávy, které jsou adresovány do domény, ale cílový účet v ní neexistuje. Jako doménový koš můžete použít libovolný existující účet v doméně. Pokud nemáte v doméně aktivní doménový koš, zpráva směřující do schránky, která v doméně neexistuje, se vrátí odesílateli s informací o nedoručitelnosti. V opačném případě se uloží do koše a odesílatel není informován o ničem. Záložka Doménový koš je v nabídce pro konkrétní doménu. Koš se aktivuje zatrhávacím políčkem nahoře, ale nastavení tohoto políčka je ještě potřeba potvrdit tlačítkem Použít. Schránek pro doménový koš může být více. Nové nastavíte pomocí vstupního pole. Obrázek 3-7. Doménový koš 10

21 3.6. Databáze Kapitola 3. Domény Na hostingu s Administrací lze provozovat databáze typu MySQL a PostgreSQL. Rozhraní v Administraci slouží pouze k zavedení organizační struktury pro databáze v jednotlivých doménách a k přehledu nad uživateli, kteří k nim mají určitá oprávnění. Databáze se zřizují pro každou doménu zvlášt v záložce Databáze dostupné v bočním menu Administrace. Každá databáze v doméně má v názvu předvyplněnu předponu, která je jednoznačná pro celý server. Pro první zřizovanou databázi daného typu v dané doméně je nutné kromě jejího jména zadat jméno a heslo pro administrátora, který bude mít všechny tyto databáze pod kontrolou. Účty pro přístup k databázím jsou nezávislé na již existujících účtech v Administraci, poněvadž databáze typu MySQL a PostgreSQL používají vlastní správu uživatelských účtů a přístupová práva k nim. Nelze ani kombinovat účty k různým typům databází, ovšem není obvyklé, aby v rámci jedné domény byly zřízeny databáze více typů. Podrobné nastavení přístupových práv k jednotlivým účtům nebo kódování pro databázi se již provádí ve webovém rozhraní, které je přímo určeno ke správě jednotlivých databází. Přístup k nim a odkaz na oficiální dokumentaci jsou uvedeny níže. MySQL seriál v češtině ( oficiální dokumentace ( (anglicky). PostgreSQL seriál v češtině ( informační wikiweb ( k databázi PostgreSQL. nazev_primarniho_serveru je adresa vašeho hostingu, ke kterému existuje reverzní záznam pro IP adresu serveru. Obrázek 3-8. Zřízené databáze v doméně Pod tabulkou zřízených databází je seznam uživatelů, kteří mají nějaká oprávnění pro přístup k nim. Administrátoři pro jednotlivé typy databází jsou v seznamu vyznačeni tučným písmem. Pro nového 11

22 Kapitola 3. Domény uživatele určíte pouze typ databáze, jméno a heslo. Heslo lze změnit nebo prohlédnout kliknutím na jméno uživatele v tabulce. Poznámka: Na serveru existuje také tzv. superadministrátor (obvykle uživatel admin@), který v hlavním menu Administrace vidí položku Globální databáze. Pro tu neplatí organizační struktura databází v doménách. Tento uživatel je také jediný, který smí vytvářet databáze, jejichž název nebude začínat vygenerovanou předponou Webhosting Pro doménu přístupnou z Internetu lze v Administraci WebISu nastavovat následující služby. Implicitně jsou povoleny pouze služby PHP a PHP Safe Mode. Aliasy alias je jiné jméno pro doménu, pod kterým lze k této doméně přistupovat přes HTTP nebo HTTPS. Alias domény nelze používat při přihlašování na server ani při odesílání pošty. Doména i její alias musí být korektně zaregistrovány v DNS. Počet aliasů k doméně není omezen. Pro každou založenou doménu se v nastavení serveru automaticky vytvoří alias začínající na www, který se nezobrazuje. Tedy např. k doméně priklad.cz se lze ihned po založení přistupovat i pod aliasem Toto se týká pouze samotné domény, nikoliv ručně zakládaných aliasů. Poznámka: Používání aliasů může u některých vyhledávacích služeb snižovat hodnocení webových stránek, protože jiná webová adresa ve skutečnosti zobrazuje stejné stránky. Za to může automatický program indexující obsah Internetu (web-crawler, spider) udělit dané stránce penalizaci za duplicitní obsah. Výsledkem může být nižší návštěvnost stránek. Vhodnější varianta je používat přesměrování, viz níže. PHP aktivuje aktuální verzi PHP, která je nainstalovaná na serveru. Přepínat mezi jinými verzemi PHP není možné. Tato služba je implicitně povolena. PHP Safe Mode tzv. bezpečný režim PHP aktivuje bezpečnostní omezení pro spouštění některých zneužitelných příkazů. V tomto režimu například nelze pracovat se soubory, které vlastní jiný uživatel než je vlastník spouštěného skriptu. Pokud je bezpečný režim zakázán, představuje to bezpečnostní riziko pro celý server, protože jsou potenciálně ohrožena i data jiných uživatelů. Některé aplikace v PHP jsou však naprogramovány tak, že v bezpečném režimu nefungují. Tato služba je implicitně povolena, z bezpečnostních důvodů ji může vypnout pouze superadministrátor serveru. FileInfo umožňuje používání sady direktiv webového serveru pro manipulaci s typy MIME a metadaty dokumentů, a pro provádění přepisovacích pravidel nad URL prostřednictvím souboru.htaccess. Podrobnější informace jsou k dispozici na oficiálních stránkách dokumentace k serveru Apache ( 12

23 Kapitola 3. Domény WebDAV tato služba rozšiřuje protokol HTTP a umožňuje uživatelům kolektivně pracovat se soubory prostřednictvím Internetu. Je možné se připojit ke vzdálenému adresáři a pracovat s ním jako s lokálním. HTTPS nadstavba komunikačního protokolu HTTP, která umožňuje zabezpečené přenosy dat. Server musí mít nainstalovaný ověřený certifikát a HTTPS potom umožňuje autentizovat jednotlivá spojení nebo je šifrovat pomocí SSL nebo TLS. Výpis adresářů při vstupu na URL, které není zakončeno jménem stránky ale adresářem, se implicitně hledá předem definovaný soubor a ten se zobrazí. Nejčastěji to bývá soubor index s možnými příponami htm, html, php, php4 nebo php5. Pokud takový soubor neexistuje a tato služba není povolena, pak webový server vrátí chybové hlášení HTTP Error Forbidden: Directory listing denied. V opačném případě se obsah adresáře vypíše. Nastavení platí pro celý domovský adresář domény, ale lze jej pro konkrétní adresář překonfigurovat. Přesměrování přesměrování domény je další způsob pro používání jiného názvu pro stejnou doménu. Při přesměrování dochází ke změně URL. Používá se např. při přestěhování nebo přejmenování domény, nebo při spojení dvou domén do jedné. Ve vztahu k vyhledávacím službám je přesměrování výhodnější než aliasy, protože neznamená riziko penalizace ze strany automatických programů indexujících obsah Internetu za duplicitní obsah. Periodické stahování stránky pokud je potřeba v rámci webu domény pravidelně spouštět obslužný skript, je možné periodicky přistupovat ke stránce, která jej obsahuje. Toto automaticky obstarává program cron v hodinových nebo jednodenních intervalech. Obrázek 3-9. Nastavení webhostingu u domény 13

24 Kapitola 3. Domény 3.8. Volitelné položky objektů Ke kontaktům a událostem WebISu lze přidávat vlastní položky. Jejich nastavení je v Administraci WebISu u domény, v záložce Další nastavení a nabídce Volitelné položky kontaktů resp. Volitelné položky událostí. V principu je nastavení pro všechny typy objektů stejné. U každé volitelné položky lze nastavit následující údaje: název položky žádné dva názvy nemohou být stejné. typ u některých polí se kontroluje správnost zápisu položky. Pro typ výběrové menu se jednotlivé možnosti pro výběr uvádí v následujícím tvaru: název_menu {položka1/položka2/položka3}. Počet položek není omezen. filtr pokud je toto pole zaškrtnuto, bude možné podle obsahu dané položky vyhledávat v knize nebo kalendáři speciálním filtrem a bude možné také zobrazovat volitelnou položku jako sloupec v seznamu objektů. zobrazit v záložce volitelnou položku lze zobrazovat i v některé existující záložce nastavení objektu, implicitně je zvolena nová záložka Volitelné položky. Obrázek Volitelné položky u kontaktu WebISu Obrázek Nastavení volitelných položek 14

25 Kapitola 3. Domény Obrázek Zobrazení volitelné položky v seznamu a vyhledávání pomocí speciálního filtru 15

26 Kapitola 4. Účty Uživatelské účty reprezentují fyzické ové schránky. Protože na serveru může být mnoho nezávislých domén, nemají uživatelské účty globální platnost, ale je vždy nutné určit jejich příslušnost do dané domény Vytvoření a smazání účtu Před vytvořením poštovního účtu je nejprve potřeba vybrat doménu, do které účet bude patřit. Po zvolení domény se zobrazí seznam účtů, které do ní patří. Tlačítkem Přidat.. nebo stejnojmennou volbou v menu Účty vytvoříte nový účet. Stačí zadat lokální část adresy nového účtu. V názvu účtu můžete použít pouze malá písmena bez diakritiky, číslice, tečku a pomlčku. Označené účtu a všechnu poštu v nich můžete zrušit volbou Smazat, která je rovněž v menu Účty. Pokud je pro účet vytvořen kontakt v doménové knize, zůstane po smazání účtu zachován. Mazání účtů je omezeno pouze nastavením přístupových práv. Členství ve skupinách či neprázdný obsah schránky daného účtu nemá na možnost smazání účtu žádný vliv s výjimkou případu, že je tento účet jediným členem skupiny, která má v menu Povolené služby zatrženu volbu Doručování poštu a současně v menu Přeposílání volbu Přeposílat členům skupiny. Poznámka: Pravidla pro pojmenovávání účtů by měla být jednotná pro celou doménu. Každý účet by měl jednoznačně identifikovat svého majitele, ponechat dostatečný prostor pro přidání dalších účtů a být snadno zapamatovatelný jak pro svého vlastníka, tak pro další uživatele. Nejčastěji používaná konvence je jmeno.prijmeni@domena.cz. Je zcela nevhodné pojmenovávat účty různými zkratkami, přezdívkami apod. Při velkém množství účtů je užitečné používat filtry menu Filtr obsahuje několik vyhledávacích kritérií. Při vyhledávání je možno zadávat podřetězce, ale nejsou podporovány žádné zástupné znaky. Obrázek 4-1. Vytvoření účtu 16

27 Kapitola 4. Účty 4.2. Konfigurace účtu Pouhé vytvoření účtu ke správnému fungování nestačí. Následuje popis jednotlivých nabídek účtu Nastavení Přihlašovací jméno slouží k přístupu ke službám na serveru jako je WebIS, IMAP apod. Jméno a příjmení představuje skutečné jméno vlastníka účtu, které se například přidává do hlaviček ových zpráv. Max. vel. schránky neboli kvóta určuje v megabytech velikost diskového prostoru, který má daný účet k dispozici pro poštu. Pokud zůstane hodnota nevyplněna, nastaví se maximum automaticky na 2 GB. Zpráva, která kvótu překročí, se ještě do schránky uloží, další příchozí zprávy zůstanou ve frontě poštovního serveru. Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontaktů. Nově vytvořený účet nemá kontakt v této knize vytvořen. Viz kapitolu o sdílených kontejnerech. Obrázek 4-2. Konfigurace účtu 17

28 Kapitola 4. Účty Heslo Na tomto místě nastavujete uživateli heslo, zpravidla před prvním přihlášením, případně když si ho zapomene. Uživatel, který nemá nastaveno žádné heslo, se nebude moci přihlásit k žádné službě na serveru. Důležitost správně zvoleného hesla se často podceňuje. Lidé někdy alespoň vědí, že by ve svém hesle měli používat nealfanumerické znaky, což ale leckdy končí tak, že si volí hesla jako Dana22, Kam1l nebo něco ještě jednoduššího. Takové heslo potenciální aktivní útočník s pomocí softwarových nástrojů odhalí během několika sekund. Následuje několik jednoduchých pravidel, jak správně volit heslo. Heslo by mělo být v ideálním případě alespoň osm znaků dlouhé. V hesle se rozlišují velká a malá písmena. Je dobré je kombinovat. Kvůli snazšímu zapamatování hesla je vhodné si pro něj zvolit nějakou mnemotechnickou pomůcku. Například heslo [poasddf je vytvořeno ze znaků, které jsou blízko u sebe na klávesnici, heslo 87del21 je pozpátku zadané datum 12. ledna 1978 apod. Není doporučeno do hesla vkládat celá slova, obzvláště ne vlastní jména. Je užitečné o těchto pravidlech uživatele poučit. Obrázek 4-3. Heslo Povolené služby V této nabídce jsou vidět služby, které jsou na serveru nainstalovány. Jejich počet se může lišit v závislosti na tom, jaký serverový produkt máte zakoupen. Na obrázku níže je vidět nabídka serveru, který obsahuje všechny služby. 18

29 Kapitola 4. Účty Administrace pokud je služba povolena, bude se moci uživatel přihlásit do Administrace. Jeho možnosti pro prohlížení a editaci různých nastavení s zcela odvíjí od nastavení přístupových práv jednotlivých objektů. Tato služba implicitně není povolena. Antispamová kontrola pošty pokud je služba povolena, přidávají se k příchozím zprávám hlavičky s bodovým ohodnocením programu SpamAssassin. To udává relativní pravděpodobnost, že zpráva je spam. Uživatel pak může příchozí poštu na základě těchto hlaviček sám třídit pomocí filtrovacích pravidel. Více o antispamovém systému najdete v příslušné kapitole. Tato služba je implicitně povolena. Antivirová kontrola pošty pokud je služba povolena, bude kontrolovat příchozí i odchozí pošta na přítomnost virů. Více o antivirovém systému najdete v příslušné kapitole. Tato služba je implicitně povolena. Doručování pošty pokud je zakázáno doručování pošty do schránky účtu, chová se systém tak, jako by daný účet neexistoval, tedy zejména doručuje poštu směřující na tento účet do doménového koše, pokud je nějaký definován. V opačném případě se vrací odesílateli jako nedoručitelná. Tato služba je implicitně povolena. FTP pokud je služba povolena, bude mít daný uživatel v adresáři Others/www své domovské složky přístupný kořenový adresář své domény. Do něj je možné nahrávat soubory, které budou přístupné na Internetu přes HTTP. Tato služba není implicitně povolena. Přístup k poště tato služba umožňuje provoz některého protokolu na výběr pošty. Současně jsou k dispozici IMAP, POP3 a WapMail. Pokud je tato služba zakázána, nebude mít uživatel ve WebISu k dispozici sekci Pošta. Tato služba je implicitně povolena. Přihlašování pomocí modemu tato služba umožňuje připojení přes komutovanou linku k serveru Radius, který při provozu modemu ověřuje přihlašovací údaje a zaznamenává čas připojení uživatele a množství přenesených dat. Tato služba není implicitně povolena. Souborový server tato služba umožňuje připojení k serveru Samba, na který se ukládají sdílené soubory. V závislosti na nastavení přístupových práv jednotlivých souborových složek server jednorázově ověří heslo při pokusu uživatele vstoupit do dané složky. Ovšem i v případě, že má uživatel tuto službu zakázánu, bude mít přístup do těch sdílených složek, které jsou veřejné a umožňují anonymní přihlášení. Tato služba je implicitně povolena. Odesílání pošty tato služba umožňuje odesílání pošty přes SMTP přihlášenému uživateli odkudkoliv z Internetu. Pokud není povolena, uživatel se nemůže přihlásit, ale může odesílat poštu anonymně, pokud je v lokální síti. WapMail tato služba explicitně umožňuje přístup k libovolným datům přes WAP. V případě WebISu je to pošta a kontakty. Jako adresu pro připojení přes WAP použijte ve svém mobilním zařízení běžnou adresu pro přístup k WebISu na vašem pracovišti a za ni napište /wapmail. Tedy například Následně zadejte stejné přihlašovací údaje jako do WebISu. Tato služba je implicitně povolena. Webis tato služba umožňuje přihlášení do WebISu a je implicitně povolena. 19

30 Kapitola 4. Účty Obrázek 4-4. Povolené služby Přezdívky Jeden uživatel může pro přijímání pošty současně používat více jmen pro svůj ový účet. Těmto jménům se říká přezdívky. Přezdívku lze se skutečným názvem účtu zaměňovat nejen při zasílání pošty na tento účet. Lze ji také využívat jako přihlašovací jméno do WebISu nebo Administrace. Nelze ji však použít pro přihlášení ke službám IMAP, POP3, SMTP apod. Přezdívka má vždy stejnou doménu jako účet, ke kterému patří. Obrázek 4-5. Přezdívky 20

31 Kapitola 4. Účty Přeposílání pošty Pokud v této nabídce není vyplněna žádná mobilní ani ová adresa, pak se pošta vždy doručuje do schránky účtu. Před odesláním pošty na SMS bránu mobilní adresy se z u odstraní přílohy, přebytečné znaky, mezery, zruší se diakritika a text se převede do zhuštěné podoby. Převod a odesílání na mobil lze ovlivnit přepínači uvedenými za mobilní adresou: S pošle se pouze předmět zprávy. P SMS se rozdělí maximálně na tolik částí, kolik P zadáte. L neprovede se komprese vynecháním mezer (např. text zapomeň na to se jinak zhustí na text ZapomenNaTo). N neprovedou se žádné úpravy textových částí zprávy. D nepřepošlou se zprávy, které přijdou z domény shodné s doménou účtu (na mobil nepůjdou firemní zprávy). U přeposílají se i zprávy, které přijdou z adresy účtu. R při rozdělení zprávy na více SMS se tyto pošlou v normálním pořadí (standardně se posílají v obráceném pořadí). T SMS se budou posílat pouze od 17:00 do 9:00 a o víkendu, tedy mimo pracovní dobu. B v SMS není uveden údaj o původní velikosti zprávy. C v SMS není uveden údaj o přesném čase, kdy byla zpráva přeposlána. K předmět zprávy se pošle v hlavičce Subject, nikoliv v těle zprávy. Q dočasně zadanou adresu zneaktivní, SMS se neposílá. X zpráva, která byla označena antispamem jako nevyžádaná, se nepřeposílá. číslo udává maximální velikost jedné SMS ve znacích. Standardně se velikost SMS spočítá podle mobilního operátora (domény mobilní adresy). Zadaná mobilní adresa s parametry tedy může vypadat např. takto: @sms.eurotel.cz PPDT 50 Poznámka: Zakázat doručování do schránky má smysl, pokud je příliš plná nebo pokud vlastník účtu již není v systému aktivní, ale přesto chce ještě přechodnou dobu dostávat poštu z této adresy. 21

32 Kapitola 4. Účty Obrázek 4-6. Přeposílání Skupiny Poštovní účty v rámci jedné domény mohou být organizovány do skupin, které slouží převážně pro hromadnou distribuci pošty a pro hromadné nastavování přístupových práv. Přístupová práva uživatele pak odpovídají součtu jeho přístupových práv a přístupových práv skupiny, jíž je členem. V seznamu jsou vidět všechny skupiny v doméně. Členství v nich se zadává zaškrtnutím příslušného políčka napravo. Účet může být i členem skupiny z jiné domény. V tom případě je ale třeba zadat celý její název včetně domény. Nové nastavení členství ve skupinách potvrd te tlačítkem Použít. Člen skupiny získá práva skupiny, která jsou jí přidělena ke konkrétním objektům (kontakty, sdílené složky apod.). Účet ovšem nepřebírá nastavení povolených služeb z nastavení skupin. Obrázek 4-7. Skupiny 22

33 Kapitola 4. Účty Souborový server V této nabídce máte možnost konfigurovat souborový server pro jednotlivého uživatele. Ačkoliv je výhodnější a jednodušší mít přihlašovací skripty a domovské adresáře definovány společně pro celou doménu, v některých výjimečných případech může být potřeba nastavit je jinak. Popis nastavení jednotlivých položek je popsán v příslušné části kapitoly o souborovém serveru. V tomto formuláři je několik voleb navíc. Výběrové menu Přihlašovací jméno umožní uživateli používat při připojování k souborovému serveru bud výchozí jméno svého účtu nebo jednu z přezdívek. U přezdívky není třeba dodržovat doporučené konvence pro pojmenovávání účtu, proto může být mnohem kratší. Ve výběrovém menu Heslo lze nastavit bud výchozí heslo do WebISu nebo vlastní. Nové vlastní heslo je potřeba uložit tlačítkem Použít zvlášt. Zaškrtávací pole Při dalším přihlášení změnit heslo donutí uživatele, aby při příštím připojení k serveru změnil své heslo. Poté se tato volba automaticky vypne. Zaškrtávací pole Možnost přeskočit změnu hesla lze uživateli umožnit ignorovat výzvu na změnu hesla, která se ovšem bude zobrazovat při každém přihlášení, dokud si uživatel heslo nezmění. Do pole Povolené pracovní stanice se píší jména počítačů připojených do domény, na kterých se uživatel může přihlašovat. Pokud je pole prázdné, lze se připojovat na všechny dostupné stanice. Obrázek 4-8. Nastavení přihlašování do domény pro uživatele 23

34 Kapitola 4. Účty Další nastavení Menu v této záložce obsahuje volby pro administrátorský přístup ke sdíleným kontejnerům. Dále obsahuje nastavení přístupových práv a filtrovacích pravidel účtu. Obrázek 4-9. Další nastavení účtu 4.3. Přístup k poště Kromě WebISu lze poštu přijímat a odesílat i z externích poštovních klientů jako je Mozilla Thunderbird nebo MS Outlook. Stačí vytvořit a nakonfigurovat účet. Při nastavování účtu pro naše servery patří následující pravidla: Server pro odchozí poštu (SMTP) musí mít nastaveno, že vyžaduje ověření uživatele, jak je pro jednotlivé klienty popsáno níže. Server má totiž zakázáno přeposílání pošty z neznámých zdrojů (tzv. open relay), což znamená, že pro odeslání pošty je potřeba jméno a heslo. Toto opatření brání šíření spamu na Internetu. Adresy pro servery příchozí a odchozí pošty jsou stejné, např. mail.priklad.cz. ová adresa a přihlašovací jméno uživatele jsou stejné, zejména tedy obě obsahují doménu, např. rostislav.boss@priklad.cz Přidání účtu v aplikaci Mozilla Thunderbird Po prvním spuštění aplikace Thunderbird zvolte v hlavním menu Soubor -> Nový -> Účet... a vyplňujte údaje v průvodci nastavení. Vzorově vytvořený účet můžete vidět na obrázku níže. 24

35 Kapitola 4. Účty Obrázek Vzorové nastavení nového účtu Po potvrzení zadaných informací se účet vytvoří a po zadání hesla můžete přistupovat k poštovní schránce na serveru. Obrázek Otevřená ová zpráva Aby bylo možno poštu korektně a bezpečně odesílat, je nutné ještě nastavit server pro odchozí poštu v nabídce Nástroje -> Nastavení účtu... -> Server odchozí pošty (SMTP). Vzorové nastavení je opět na obrázku níže. 25

36 Kapitola 4. Účty Obrázek Vzorové nastavení SMTP Přidání účtu v aplikaci MS Outlook Po prvním spuštění aplikace Outlook zvolte v hlavním menu Nástroje -> ové účty... -> Přidat nový ový účet. Následně zvolte typ serveru, preferovaný je IMAP. Klepněte na Další a vyplňte údaje k účtu podle následujícího obrázku. Obrázek Vzorové nastavení účtu Aby bylo možno poštu korektně a bezpečně odesílat, je nutné ještě zapnout zabezpečený režim komunikace (SSL) a nastavit ověřování jména a hesla pro server odchozí pošty v nabídce Nástroje -> ové účty... -> Zobrazit nebo změnit existující ové účty. Následně v tabulce klepněte na 26

37 Kapitola 4. Účty svůj účet a na tlačítko Změnit, dále na tlačítko Další nastavení a na záložky Server pro odchozí poštu a Upřesnit. Vzorové nastavení je opět na obrázku níže. Obrázek Vzorové nastavení pro SMTP 27

38 Kapitola 5. Skupiny Skupiny stejně jako poštovní účty nemají globální platnost, vždy musí patřit do nějaké domény. Jména skupin nelze použít pro přihlašování ke službám na serveru, jako je WebIS nebo Administrace. Hlavní funkcí skupin je zjednodušení hromadné distribuce pošty a nastavování přístupových práv Vytvoření a smazání skupiny Před vytvořením skupiny je nejprve potřeba vybrat doménu, do které účet bude patřit. V záložce Skupiny se zobrazí seznam skupiny, které do ní patří. Tlačítkem Přidat.. nebo stejnojmennou volbou v menu Skupiny vytvoříte novou skupinu. Stačí zadat lokální část adresy nové skupiny. V názvu skupiny můžete použít pouze malá písmena bez diakritiky, číslice, tečku a pomlčku. Označené skupiny a všechnu poštu v nich můžete zrušit volbou Smazat, která je rovněž v menu Skupiny. Pokud je pro skupinu vytvořen kontakt v doménové knize, zůstane po smazání skupiny zachován. Při smazání skupiny zůstanou účty členů nedotčeny. Poznámka: V případě nutnosti můžete zadat úplné jméno skupiny s jinou doménou a vytvořit ji tím na jiném místě. Musíte mít ovšem pro tuto operaci v cílové doméně dostatečné oprávnění. Při velkém množství skupin je užitečné používat filtry menu Filtr obsahuje několik vyhledávacích kritérií. Při vyhledávání je možno zadávat podřetězce, ale nejsou podporovány žádné zástupné znaky. Obrázek 5-1. Seznam skupin 28

39 5.2. Konfigurace skupiny Kapitola 5. Skupiny Příklad 5-1. Vytvoření skupinove ové schránky Skupinová ová schránka představuje jedno z možných využití skupin v doméně a vyžaduje relativně nejvíce nastavování. Pokud skupina existuje, je nutné do ní přidat uživatele v záložce Členové skupiny, dále umožnit příjem skupinové pošty v záložce Povolené služby a také nastavit oprávnění ke skupině na stránce Další nastavení/přístupová práva ke skupině tak, aby ji její členové mohli vidět, číst a případně do ní zapisovat. Následně si uživatelé mohou tuto nově sdílenou poštovní složku přidat ve WebISu mezi ty, ze kterých chtějí novou poštu číst Nastavení Jméno skupiny slouží k jednoznačné identifikaci skupiny a používa se při nastavování přístupových práv a doručování skupinové pošty. Max. vel. schránky neboli kvóta určuje v megabytech velikost diskového prostoru, který má daná skupina k dispozici pro poštu. Pokud zůstane hodnota nevyplněna, nastaví se maximum automaticky na 2 GB. Zpráva, která kvótu překročí, se ještě do schránky uloží, další příchozí zprávy zůstanou ve frontě poštovního serveru. Kontaktní informace obsahují údaje, které se ukládají do doménové sdílené knihy kontaktů. Nově vytvořená skupina nemá kontakt v této knize vytvořen. Viz kapitolu o sdílených kontejnerech. Obrázek 5-2. Velikost schránky 29

40 Kapitola 5. Skupiny Členové skupiny V seznamu jsou vidět všechny účty v doméně, které lze do skupiny přidat. Zaškrtněte účty, které má skupina obsahovat a klikněte na Použít. Ve skupině mohou být také účty z jiných domén, které existují na serveru. Pro přidání takového cizího účtu je třeba zadat do vstupního pole jeho celé jméno a kliknout na Přidat. Člen skupiny získá práva skupiny, která jsou jí přidělena ke konkrétním objektům (kontakty, sdílené složky apod.). Účet ovšem nepřebírá nastavení povolených služeb z nastavení skupin. Obrázek 5-3. Členové skupiny Přezdívky Pro přezdívky skupin platí stejná pravidla jako pro přezdívky účtů. Obrázek 5-4. Přezdívky 30

41 Kapitola 5. Skupiny Povolené služby V této nabídce jsou vidět služby, které jsou na serveru naistalovány. Jejich počet se může lišit v závislosti na tom, jaký serverový produkt máte zakoupen. Je jich také méně než u účtů, poněvadž jménem skupiny se nelze přihlašovat ke službám na serveru. Na obrázku níže je vidět nabídka serveru, který obsahuje všechny služby. Antispamová kontrola pošty pokud je služba povolena, přidávají se k příchozím zprávám hlavičky s bodovým ohodnocením programu SpamAssassin. To udává relativní pravděpodobnost, že zpráva je spam. Příchozí poštu lze na základě těchto hlaviček třídit pomocí filtrovacích pravidel. Více o antispamovém systému najdete v příslušné kapitole. Tato služba je implicitně povolena. Antivirová kontrola pošty pokud je služba povolena, bude kontrolovat příchozí i odchozí pošta na přítomnost virů. Více o antivirovém systému najdete v příslušné kapitole. Tato služba je implicitně povolena. Doručování pošty pokud je zakázáno doručování pošty do schránky skupiny, chová se systém tak, jako by daná skupina neexistovala, tedy zejména doručuje poštu směřující na tuto skupinu do doménového koše, pokud je nějaký definován. V opačném případě se vrací odesílateli jako nedoručitelná. Pošta ve schránce skupiny je uživatelům přístupná jen tehdy, mají-li k ní přístupová práva a mají-li ji zobrazenu mezi svými sdílenými schránkami ve stromu. Jelikož skupiny mohou být čistě organizační bez požadavku na provoz skupinové pošty, není tato služba implicitně povolena. Obrázek 5-5. Povolené služby Přeposílání pošty Pokud v této nabídce není vyplněna žádná mobilní ani ová adresa, ani zaškrtnuto přeposílání na adresy členů, pak se pošta vždy doručuje do schránky skupiny. Pravidla pro přeposílání zpráv na SMS adresu jsou totožná jako pro přeposílání z účtů. 31

42 Kapitola 5. Skupiny Poznámka: V případě, že se pošta pro skupinu ukládá do schránky skupiny, je nutné ji nasdílet, aby k ní jednotliví členové, případně další uživatelé mohli mít přístup. Nasdílení je možné přes záložku Přístupová práva. Blíže se touto problematikou zabývá kapitola o přístupových právech. Obrázek 5-6. Přeposílání pošty Další nastavení Menu v této záložce obsahuje volby pro administrátorský přístup ke sdíleným kontejnerům. Dále obsahuje nastavení přístupových práv a filtrovacích pravidel skupiny. Obrázek 5-7. Další nastavení skupiny 32

43 Kapitola 6. Přístupová práva 6.1. Obecně o přístupových právech Účty, skupiny, domény, kontakty, knihy kontaktů a další objekty v Administraci a WebISu nazveme obecným termínem objekty. Každý objekt obsahuje informaci, kdo s ním může pracovat a jakým způsobem. Tuto informaci pak nazýváme přístupovými právy daného objektu. Přístupová práva se nastavují hierarchicky pro každý objekt nebo třídu objektů zvlášt. Existuje tedy globální nastavení práv pro celou Administraci, pro doménu, pro skupinu, pro účet apod. Taková nastavení lze pro každý objekt nalézt v jeho nabídce v záložce Další nastavení jako poslední odkaz v seznamu. Obrázek 6-1. Umístění přístupových práv pro účet 6.2. Hierarchie přístupových práv Pro každý objekt je možné nastavovat jak přístupová práva pro samotný objekt, tak speciální přístupová práva, tzv. šablony nových objektů, které se kopírují do přístupových práv nově vytvořených podobjektů. Nejdůležitější a nejrozsáhlejší šablony nových objektů se nacházejí v kořeni stromu, který obsahuje informace o přístupových právech všech nových objektů v systému. V případě vytvoření domény, například "cz", se její práva nastaví podle šablon v kořeni stromu a současně se do ní z kořene zkopíruje část šablon. Stejným způsobem se šablony i standardní práva kopírují z domény do účtů, skupin a podobně, takže nastavení šablon z kořene stromu se postupně projeví ve všech úrovních stromu. 33

44 Kapitola 6. Přístupová práva Poznámka: Pokud administrátor mění příslušnost uživatelů ve skupinách, pak se nové nastavení těmto uživatelům projeví až po odhlášení a opětovném přihlášení do WebISu nebo Administrace. Do té doby si systém stále pamatuje nastavení od posledního přihlášení a jím se řídí. Obrázek 6-2. Přístupová práva a šablony pro celý server 6.3. Zadávání a rušení přístupových práv Zadávání Při zadávání práv u objektu je zapotřebí nejprve specifikovat uživatele, kterých se práva budou týkat. Uživatele přidáte tlačítkem + Uživatel, které je úplně dole na stránce, více uživatelů můžete zadat za sebe oddělené čárkou a k jejich výběru můžete využít ikonu knihy pro rychlý přístup ke kontaktům. Uživatele je možné zadat těmito způsoby: Jménem účtu (např. test@priklad.cz). Práva se týkají jediného uživatele. Proměnnou "self" u nových objektů náležících pod nějaký účet se převede na jméno daného účtu. Hodnotou "cokoliv@self" u nových objektů náležících pod nějakou doménu se převede na "cokoliv@domena". 34

45 Kapitola 6. Přístupová práva Proměnnou "author" u nových objektů se převede na jméno uživatele, který daný objekt vytvořil a zkopíruje se do práv šablony nových objektů, kam se přidá také jméno uživatele, který objekt vytvořil. Lze zadávat pouze u šablon a při modifikaci přístupových práv se tedy nenahrazuje. Skupiny přidáte tlačítkem + Skupina, které je úplně dole na stránce, více skupin můžete zadat za sebe oddělené čárkou a k jejich výběru můžete využít ikonu knihy pro rychlý přístup ke kontaktům. Skupiny je možné zadat těmito způsoby: Názvem skupiny (např. hotline@priklad.cz). Práva kdy se práva týkají uživatelů zadané skupiny. Hodnotou "@domena" Práva se týkají všech uživatelů v zadané doméně. Hvězdičkou ("*") práva se týkají všech uživatelů, i anonymních. Proměnnou "self" u nových objektů náležících pod nějakou skupinu se převede na název dané skupiny. Hodnotu "@self" u nových objektů náležících pod nějakou doménu se převede na hodnotu "@domena". Poznámka: Při vytvoření nového objektu nebo při modifikaci přístupových práv se všechny hodnoty self převedou na skutečná jména uživatelů, pokud je to možné. Pokud se pomocí takového převodu objeví v přístupových právech dvě stejná jména, použije se nastavení pro to, které bylo zadáno přesněji, resp. nebylo zadáno pomocí nějaké proměnné. Při rekurzivním nastavování práv se pro zanořené objekty proměnné nahrazují skutečnými jmény. Poznámka: Při přidávání objektu obsahujícím doménu se všechny hodnoty self převedou na skutečná jména domény, pokud je to možné. Potom se varianta s proměnnou ponechá pouze v šablonách pro zanořenou doménu a přidá se převedená varianta, pomocí které se provádí výsledná modifikace všech práv mimo šablon pro zanořenou doménu. Pokud zadáte například admins@self, práva se rozdělí na dvě nepřekrývající se části: v admins@self zůstanou práva pro zanořenou doménu a v admins@vysledna.domena jsou zbylá práva Rušení Při rušení všech práv konkrétního uživatele nebo skupiny je potřeba nejprve zvolit nejvyšší úroveň nastavení práv, na které je chcete rušit (tedy např. nastavení účtu, domény nebo celé Administrace). V ní pomocí tlačítka s červeným zatržítkem, které je zcela napravo na stejném řádku jako dané vstupní pole, odznačíte všechna práva pro daného uživatele nebo skupinu. Uložením nastavení tlačítkem Použít vpravo dole na stránce vyjmete daný subjekt z nastavení přístupových práv. Poznámka: Pokud má uživatel právo zápisu do skupiny, může z ní smazat jakéhokoliv uživatele, kterého má právo zobrazit, bez ohledu na jeho další nastavení práv. 35

46 6.4. Jednotlivá práva a úroveň oprávnění Kapitola 6. Přístupová práva To, jaká práva mohou být u objektu nastavována, záleží vždy na typu konkrétního objektu. Obecně se jedná o tyto akce: vypsání objektu udává, zda uživatel smí vědět o existenci objektu, např. jestli se vypíše název účtu v seznamu účtů, čtení objektu udává, zda uživatel smí vidět obsah objektu, např. informace o nastavení účtu, informace u kontaktu, nastavení doménového koše u domény apod. změna objektu udává, zda uživatel smí měnit obsah objektu, např. editovat detaily kontaktu, nastavovat konfiguraci apod. smazání objektu udává, zda uživatel smí daný objekt smazat. Je-li to povoleno, vztahuje se to i na smazání všech podřazených objektů, změna práv objektu udává, zda uživatel smí vidět a měnit práva daného objektu. Toto oprávnění dává uživateli nad objektem plnou kontrolu, vytvoření objektu udává, zda uživatel smí pod tímto objektem vytvořit objekt uvedeného typu. Dále popíšeme, jak funguje tzv. úroveň oprávnění. Mějme následující situaci: Server slouží třem firmám; A, B a C. Firma A je vlastníkem serveru a chce mít nad jeho nastavením plnou kontrolu. Firmy B a C spravují svoje vlastní účty na serveru samy. Firma A tedy nastaví přístupová práva tak, aby si firmy mohly svoje domény a účty plně spravovat. Mohlo by se ale stát, že některá z hostovaných firem nastaví práva u svých účtu tak, aby k nim firma A neměla přístup. Aby si firma A zajistila dohled nad všemi účty, může využít tzv. úrovně oprávnění, které jsou součástí všech přístupových práv. Uživatel, který má k danému objektu nižší úroveň oprávnění (vyšší číslo), nemůže měnit přístupová práva uživatele s vyšší úrovní oprávnění. Dokonce taková přístupová práva ani nevidí. Jestliže přidáváte práva pro nového uživatele nebo skupinu, automaticky se přednastaví všechna práva, která máte vy, ale zvýší se číslo úrovně oprávnění o jedna. Takový uživatel vaše práva nevidí, ani je nemůže měnit. Obecně tedy platí čím nižší číslo úrovně oprávnění, tím vyšší autorita. 36

47 Kapitola 6. Přístupová práva Obrázek 6-3. Úroveň oprávnění 37

48 Kapitola 7. Filtrovací pravidla příchozí pošty 7.1. Obecně o filtrovacích pravidlech Zpracování příchozí pošty lze výrazně ovlivnit pomocí filtrovacích pravidel. Těch existuje několik skupin a je stanoveno pořadí, ve kterém se na příchozí poštu aplikují. Každá skupina filtrovacích pravidel má svoje přístupová práva. V seznamu pravidel jsou kromě těch pro aktuální skupinu vidět i ta z jiných skupin, která se na příchozí poštu aplikují a uživatel k nim má oprávnění. Filtrovací pravidla se provádějí v tomto pořadí: Globální přednostní filtry dostupné z nejvyšší úrovně Administrace v záložce Další nastavení, za odkazem Globální filtrovací pravidla příchozí pošty. Tato pravidla jsou platná pro všechny uživatele na serveru a nelze je přebít žádným pravidlem z jiné skupiny. Přednostní filtry domény dostupné v záložce Další nastavení v menu konkrétní domény za odkazem Doménová filtrovací pravidla příchozí pošty. Tato pravidla jsou platná pro všechny uživatele a skupiny v doméně a lze je přebít jedině globálním přednostním pravidlem. Uživatelské a skupinové filtry dostupné v záložce Další nastavení v menu konkrétního účtu resp. skupiny za odkazem Filtrovací pravidla příchozí pošty uživatele resp. Filtrovací pravidla příchozí pošty skupinové schránky. Uživatelské filtry jsou také dostupné ve WebISu, v sekci Nastavení za odkazem Filtrování pošty. Filtry domény dostupné v záložce Další nastavení v menu konkrétní domény za odkazem Doménová filtrovací pravidla příchozí pošty. Vztahují se na všechny uživatele a skupiny v doméně. Globální filtry dostupné z nejvyšší úrovně Administrace v záložce Další nastavení, za odkazem Globální filtrovací pravidla příchozí pošty. Vztahují se na všechny uživatele na serveru. Obrázek 7-1. Nabídka globálních filtrovacích pravidel 38

49 Kapitola 7. Filtrovací pravidla příchozí pošty 7.2. Konfigurace filtrovacího pravidla Nové pravidlo sestává ze tří částí. V první, Nastavení pravidla, můžete pravidlo pojmenovat a zatrhávacím políčkem aktivovat nebo deaktivovat. Pravidlo, které není aktivní, se na příchozí poštu neaplikuje, zůstává pouze uloženo pro případné pozdější použití. Druhá část uvozená nadpisem Jestliže slouží k definování jedné nebo více podmínek, proti kterým se bude příchozí zpráva testovat. Pokud je podmínek více, je možné pomocí výběrového menu nastavit, zda mají být splněny všechny současně nebo stačí jedna nebo více z nich. Typ podmínky vyberete v menu vyberte nový test. Tomu následně vyplníte klíčové hodnoty pomocí výběrových menu a vyplňovacích polí. Pokud potřebujete testovat některou podmínku v negativním tvaru, zaškrtněte ji políčkem úplně vpravo a klikněte na tlačítko Obrátit význam. Podobně můžete danou podmínku z pravidla vyjmout tlačítkem Smazat. Následuje popis parametrů, na které lze zprávy testovat: odesílatel dopisu testují se hlavičky dopisu From, Sender a Resent-From na přítomnost zadané ové adresy nebo její části. ohodnocení z antispamu testuje se hlavička dopisu X-Spam-Level, kterou do něj vkládá software běžící na serveru a odhalující nevyžádanou poštu. předmět dopisu testuje se obsah hlavičky dopisu Subject. příjemce dopisu testují se hlavičky dopisu To, Cc, Bcc, Resent-To a Envelope-To na přítomnost zadané ové adresy nebo její části. hlavičky testuje se seznam hlaviček dopisu na přítomnost vyjmenovaných. adresa v hlavičce testují se vyjmenované hlavičky dopisu na přítomnost vyjmenovaných ových adres nebo jejich částí. obsah hlavičky testují se vyjmenované hlavičky na přítomnost zadaného řetězce. Např. hlavička From nemusí obsahovat pouze ovou adresu, ale také textový popis účtu. Do toho se nejčastěji ukládá jméno člověka, který účet používá. Taková hlavička může vypadat takto: "Ing. Jan Soukup" <jan.soukup@priklad.cz>. Pokud budete hledat odesílatele testem popsaným výše, budou se brát v úvahu pouze ové adresy. Pomocí tohoto testu můžete testovat na shodu libovolný obsah libovolné hlavičky. velikost dopisu testuje se velikost obsahu dopisu včetně všech příloh v bytech. jméno účtu, kam byl dopis doručen testuje se primární přihlašovací jméno uživatele, i když samotná zpráva neobsahuje hlavičky. odesílatel na obálce testuje se hlavička dopisu Return-Path na přítomnost ové adresy nebo její části. příjemce na obálce testuje se hlavička dopisu Envelope-To na přítomnost ové adresy nebo její části. 39

50 Kapitola 7. Filtrovací pravidla příchozí pošty Obálkou dopisu v elektronické poště se rozumí odchozí a cílová adresa, která může být nepovinně uložena v hlavičkách Return-Path a Envelope-To. Obálka se mění při každé návštěvě poštovního serveru při putování ové zprávy sítí. Podrobný popis týkající se hlaviček MIME pro elektronickou poštu můžete nalézt v tomto návodu ( Poznámka: Při hledání řetězců v hlavičkách můžete ale nemusíte používat diakritiku a ani na velikosti písmen a mezery se nebere zřetel. Pokud potřebujete nalézt nějaký řetězec zcela přesně, tedy s ohledem na diakritiku a mezery, musíte jej zadat ve formátu quoted-printable. Přesnou podobu řetězce v tomto formátu můžete vykopírovat ze zdrojového kódu hlavičky u. Ten můžete zobrazit při prohlížení pošty ve WebISu kliknutím na odkaz Zdrojový kód zprávy. Třetí část uvozená nadpisem proved následující akce slouží k definování činností, které se s dopisem, splňujícím podmínky z druhé části, provedou. Ve výběrovém menu vpravo lze zvolit, zda se po provedení těchto činností předá dopis dalšímu pravidlu nebo se proces filtrování ukončí. Samotnou akci můžete vybrat ve výběrovém menu a následně vyplnit její parametry podobně jako v podmínkové části. Na následujících dvou obrázcích jsou příklady nastavení filtrovacích pravidel. Obrázek 7-2. Příklad filtrovacího pravidla 40

51 Obrázek 7-3. Jiný příklad filtrovacího pravidla Kapitola 7. Filtrovací pravidla příchozí pošty Následuje popis možných akcí: Uložení do vybrané složky tato akce slouží k automatickému třídění pošty. Příchozí zprávu odpovídající zadaným kritériím můžete uložit do libovolné složky a současně jí přiřadit příznak jako přečtená, důležitá a podobně. Při zadávání názvů složek je nutné dbát na velikosti písmen. Uložení do složky Doručená pošta tato akce pouze přednastavuje nejčastěji používanou činnost s příchozí zprávou. Opět lze zprávu označit nějakým příznakem. Tato akce je současně implicitní pokud žádné pravidlo neukončí zpracování zprávy, uloží se tato automaticky právě do složky Doručená pošta. Zahození zprávy zde si můžete vybrat, zda chcete zprávu přesunout do složky, kterou máte nastavenu jako koš, nebo ji úplně a bez náhrady smazat ze serveru. Zahození zprávy do koše je tedy ve své podstatě akce uložení. Zahození bez náhrady v kombinaci s přeposláním nebo odmítnutím zprávy nemá žádný účinek. Odmítnutí zprávy tato akce vrátí zprávu odesílateli. Můžete k ní nepovinně přiložit doprovodný text. Tuto akci nelze kombinovat s jinými akcemi. Pokud zkombinujete akce odmítnutí zprávy s akcemi přeposlání nebo uložení v rámci jednoho pravidla, všechny akce tohoto pravidla se budou ignorovat. Přeposlání zprávy zde můžete nastavit jinou adresu, na kterou se zpráva automaticky odešle. Přeposílání lze kombinovat s jinými akcemi. Poznámka: Ačkoliv WebIS upozorňuje, že akci odmítnutí nelze kombinovat s jinými, pokud vytváříte jedno pravidlo, může se stát, že se akce odmítnutí zkombinuje s jinou akcí v rámci vyhodnocování více různých pravidel najednou. V takovém případě dojde k chybě a žádná ze zmíněných akcí se neprovede. 41

52 Kapitola 7. Filtrovací pravidla příchozí pošty Hotová pravidla se uloží do seznamu ve formě věty v přirozeném jazyce, jak je vidět na obrázku níže. Nastavení pravidla můžete upravit kliknutím kamkoliv do rámečku s jeho popisem. Pokud je pravidel v seznamu více, provádějí se v pořadí shora dolů. Měnit pořadí pravidel lze pomocí směrových šipek, které jsou u každého z nich vpravo. Vedle nich je zaškrtávací políčko tlačítko dole Aktivovat / deaktivovat zapne, resp. vypne všechna označená pravidla. Aktivní pravidla jsou označena fajfkou v pravém horním rohu rámečku. Obrázek 7-4. Seznam uložených pravidel 42

53 Kapitola 8. Sdílené kontejnery Práce se sdílenými kontejnery je zcela totožná jako práce s uživatelskými kontejnery ve Webisu. Podrobnosti najdete například v manuálu pro Webis na adrese ( Globální kontejnery Globální knihy kontaktů a úkolů a globální kalendáře jsou kontejnery, které se speciálně zakládají v Administraci a jsou implicitně viditelné všem uživatelům připojeným k serveru. Jsou dostupné z hlavní nabídky Administrace v záložce Další nastavení, jak je vidět na obrázku níže. Obrázek 8-1. Nabídka globálních kontejnerů V případě globálních kalendářů se standardně na každý instalovaný server dodávají kalendáře obsahující státní svátky a jmeniny. Obrázek 8-2. Globální kalendáře 43

54 Kapitola 8. Sdílené kontejnery 8.2. Doménové kontejnery Doménové knihy kontaktů a úkolů a doménové kalendáře jsou kontejnery, které se speciálně zakládají v Administraci a jsou implicitně viditelné všem uživatelům patřícím do domény. Jsou dostupné z nabídky pro danou doménu v záložce Další nastavení, jak je vidět na obrázku níže. Obrázek 8-3. Nabídka doménových kontejnerů V případě doménových knih kontaktů se automaticky vytvoří knihy se jmény účtů a skupin, pokud vznikne kontaktní informace přímo v nastavení účtu nebo skupiny. Tu lze vytvořit tlačítkem Přidat v záložce Nastavení konkrétního účtu nebo skupiny. 44

55 Kapitola 8. Sdílené kontejnery Obrázek 8-4. Přidání kontaktu účtu Obrázek 8-5. Doménová kniha kontaktů 45

56 Kapitola 9. Souborový server Souborový server (file server) slouží ke sdílení souborů a adresářů v rámci firemní sítě. Současně je možné na něm snadno nastavit přístupová práva sdílených objektů pro jednotlivé uživatele i skupiny. Základním pojmem správy sít ového prostředí v systému Windows je doména. Doménou se v tomto kontextu rozumí soubor všech služeb, prostředků a počítačů, ke kterým má uživatel přístup prostřednictvím jediné kombinace uživatelského jména a hesla. Dalším důležitým pojmem je cestovní profil. Jedná se o uživatelské nastavení prostředí na pracovní stanici, jako je rozmístění ikon na ploše, tapeta, nastavení barev a rozložení kláves, dočasné soubory a podobně. Při správné konfiguraci domény se toto nastavení centrálně ukládá a při přihlášení opět nahrává, takže z pohledu uživatele je jedno, ke které stanici v doméně se přihlásí, jeho pracovní prostředí bude vypadat vždy stejně Nastavení služeb Základní nastavení souborového serveru je přístupné z hlavního menu Administrace v nabídce Další nastavení a dále v položce Nastavení služeb serveru a konečně v levém sloupci v rozbalovacím menu Soubory za odkazem Souborový server. Obrázek 9-1. Souborový server Typ a jméno souborového serveru Souborový server může být několikerého typu podle způsobu zacházení se seznamem uživatelských jmen a hesel a zpřístupňování sdílených zdrojů v doméně. PDC je primární ovladač domény (Primary Domain Controller). Je to hlavní počítač, který řídí doménu v systému Windows. Obsahuje databázi všech uživatelských účtů a členů domény, ke které má právo čtení i zápisu. Ověřuje přihlášení uživatelů na pracovní stanice a nastavuje oprávnění pro sdílené složky. Současně na něm běží služba WINS pro překlad jmen počítačů a jejich IP adres. 46

57 Kapitola 9. Souborový server BDC je záložní ovladač domény (Backup Domain Controller). Obsahuje záložní kopie databáze uživatelských účtů z nadřazeného PDC, ke kterým má pouze právo čtení. Synchronizace databáze se provádí pravidelně, což mimo jiné znamená, že i BDC může ověřovat přihlašovací informace uživatelů. Server, který je nastaven jako BDC, musí mít jako nadřazený PDC jiný server, se kterým bude propojen. V nastavení BDC serveru je asistence našich techniků nezbytná. Nezávislý server pracuje zcela samostatně, nemá speciální status v dané doméně. Uživatelská jména a hesla se ověřují až v okamžiku přístupu k některému sdílenému prostředku. Přihlašovací jména a hesla se berou z nastavené domény. Člen domény je libovolný počítač nebo server, který je připojen k PDC. Nastavení přístupových práv se rovněž kontroluje v nadřazeném PDC. Pro nastavení počítače jako člena domény je asistence našich techniků nezbytná. Název serveru je jméno, pod kterým počítač uvidíte ve složce Okolní počítače v systému Windows nebo také v sekci Okolní PC v systému WebIS. Název může sestávat jen z písmen, číslic nebo pomlčky a nemůže být delší než 15 znaků. Popis serveru je doplňující a nepovinný komentář. Pokud zaškrtnete políčko Povolit anonymní přihlášení, pak uživatel, který se pokusí přihlásit se na server pod neexistujícím jménem, není odmítnut, ale je prohlášet za anonymního a vztahují se na něj pouze nejmenší práva pro přístup ke sdíleným složkám platná pro všechny uživatele Konfigurace zvoleného typu serveru Následující nastavení se mírně liší v závislosti na tom, jaký typ serveru jste nastavili. Pokud nastavujete jen členský počítač v doméně, pak do pole Jméno domény ve Windows napíšete, pod jakým jménem se bude tento počítač zobrazovat ve Windows. Nejedná se o doménu v pravém slova smyslu. Pokud nastavujete PDC, BDC nebo nezávislý server, můžete zvolit jednu doménu z těch, které na serveru běží, ve výběrovém menu Používat účty v doméně. Proti účtům v této doméně se budou ověřovat přístupy ke sdíleným složkám. Dále máte možnost ještě konfigurovat vlastnosti zvolené domény v systému Windows. K tomu slouží odkaz nastavení domény... Služba WINS slouží k rychlému překladu mezi mezi jmény počítačů a jejich IP adresami. Jejím nastavením získáte rychlejší a plynulejší provoz na síti. V případě topologicky složitějších sítí (např. VPN) je nastavení služby WINS nutností. Při konfiguraci PDC běží služba WINS vždy na samotném serveru, proto je tato hodnota přednastavena. Při konfiguraci BDC běží služba WINS vždy na nadřazeném PDC, proto je tato hodnota přednastavena. U nezávislého serveru a člena domény jsou k dispozici všechny možnosti nastavení, tedy vypnutí služby a zapnutí služby na samotném počítači nebo na jiném počítači. IP adresa WINS serveru určuje stroj, na kterém pro daný server služba WINS běží. V případě, že je služba WINS nastavena na samotném serveru, je IP adresa přednastavena na , což je pro daný počítač hodnota ekvivalentní s lokální IP adresou. Jinak je možné zadat adresu jiného počítače, na kterém služba WINS běží. Pokud je služba vypnuta, nebere se na vloženou hodnotu zřetel. Celkové nastavení je potřeba potvrdit tlačítkem Použít. 47

58 Nastavení domény pro souborový server Kapitola 9. Souborový server Obrázek 9-2. Nastavení domény pro souborový server Zde je možné měnit některé údaje vztahující se ke zvolené doméně pro souborový server: Windows doména/skupina: pod tímto jménem je tento server vidět ve Windows. Toto jméno nemůže být delší než 12 znaků a nemusí se shodovat se jménem domény. Pokud je tedy název domény např. nase_firma.subdomena.cz, je obvyklé, že jméno skupiny ve Windows bude např. nase_firma. Přihlašovací skript je tzv. logon skript obsahující příkazy, které se spustí ihned po přihlášení uživatele. Tuto položku obvykle není potřeba měnit. Cesta k profilu udává umístění složky, do které se bude ukládat profil uživatele (pracovní plocha, nastavení, dokumenty,...) v systémech Windows NT, 2000 a XP. Tuto položku není potřeba používat, protože po prvním přihlášení se implicitně vytváří místní profil a cestovní profil se nekontroluje. Cesta k profilu pro Win9X udává umístění složky, do které si budou ukládat profily uživatelů na systémech Windows 95, 98 a ME. Pro tuto položku platí totéž, co pro cestu k profilu na novějších verzích Windows, viz výše. Připojit domovský disk jako udává písmeno disku, pod kterým se automaticky připojí domovská složka v systémech Windows NT, 2000 a XP. Implicitně se domovská složka nepřipojuje. Na starších verzích Windows je nutné připojovat disk pod tímto písmenem manuálně, a to prostřednictvím příkazů v přihlašovacím skriptu: net use ${disk} /delete /y net use ${disk} \\${server}\home kde v proměnné disk resp. server jsou uloženy písmeno zvoleného disku (ve tvaru např. H:) resp. jméno vašeho souborového serveru. Tyto příkazy ovšem musí být použity v sekci skriptu, která je určena pouze pro spouštění na starších verzích Windows. Tato sekce se uvozuje zápisem [OS: Win95]. Více podrobností najdete v kapitole o přihlašovacích skriptech. Po potvrzení změn tlačítkem OK se zrestartují služby obsluhující souborový server, což může způsobit odhlášení uživatelů, kteří právě manipulují se sdílenými daty. 48

59 9.2. Jak nastavit server jako PDC Kapitola 9. Souborový server Nastavení na serveru Chcete-li daný souborový server nastavit jako PDC (primární ovladač domény), vyberte tuto položku ve výběrovém menu pro pole Typ serveru. Další pole Název serveru, Popis serveru, Povolit anonymní přihlášení a nastavení, ze které domény brát účty, je možné nastavit např. způsobem uvedeným na obrázku. Obrázek 9-3. Nastavení serveru jako PDC V doméně, kterou jste nastavili pro používání účtů, je dále potřeba vytvořit skupinu admins. To provedete tak, že v hlavním menu Administrace otevřete menu Domény a kliknete na jméno dané domény (v našem případě priklad.cz). V ní zvolíte z levého sloupce položku Skupiny, do vstupního pole napíšete admins a potvrdíte tlačítkem Přidat. Následně se skupina vytvoří. Je obvyklé a doporučené, aby tato skupina obsahovala účet se jménem admin. Klikněte na tlačítko Nahoru v levém horním rohu obrazovky, dále zvolte záložku Účty, účet založte nebo klikněte na jeho jméno, pokud již existuje. Nyní jste v nastavení účtu a v levém menu je přístupná záložka Skupiny. V ní zaškrtávacím políčkem vyberte skupinu admins@priklad.cz a potvrd te volbu tlačítkem Použít. Skupina admins@priklad.cz by měla mít nastavena přístupová práva tak, aby mohla spravovat danou doménu i všechny sdílené složky a účty. To se provede v nejvyšší úrovni Administrace. V ní zvolte v levém sloupci menu Další nastavení a v něm odkaz Globální přístupová práva. V seznamu přístupových práv, který se objeví, klikněte dole na tlačítko + Skupina, do vstupního pole vyplňte název skupiny v doméně, v našem případě tedy admins@priklad.cz. Pro tuto skupinu nastavte úplně všechna práva tlačítkem červeného zaškrtávacího políčka, které je vpravo od vstupního pole skupiny. 49

60 Obrázek 9-4. Nastavení přístupových práv pro skupinu admins Kapitola 9. Souborový server Aby se administrátor mohl přihlásit do Administrace a k souborovému serveru, je nutné mu tyto služby povolit. V dané doméně klikněte na záložku Účty, kliknutím zvolte účet admin a dále klikněte v levém menu na záložku Povolené služby. V ní zaškrtněte položky Administrace a Souborový server, tak jak je vidět na obrázku. Obrázek 9-5. Nastavení povolených služeb pro účet admin V nejvyšší úrovni Administrace v záložce Souborové složky je ještě nutné vytvořit sdílenou souborovou složku netlogon, jejíž obsah budou moci číst všichni uživatelé a skupina admins v dané 50

61 Kapitola 9. Souborový server doméně k ní bude mít všechna práva. Obrázek 9-6. Nastavení přístupových práv sdílené složky netlogon Tím jsme vyčerpali všechna nastavení, která je nutná provést na serveru. Další nastavení je potřeba udělat na jednotlivých pracovních stanicích Nastavení na jednotlivých pracovních stanicích Poznámka: V případě změny jména domény na serveru nebo opětovného připojování počítače, který byl z nějakého důvodu z domény odpojen, je nutné mít uzavřena všechna spojení se serverem, zejména připojené souborové složky. Všechna spojení lze rychle ukončit příkazem net use * /delete Windows XP EN Na dané pracovní stanici je nejprve nutné nastavit dané PDC jako WINS server. Nejdříve otevřete složku Sít ová spojení, pravým tlačítkem klikněte na vaše LAN spojení a zvolte položku Vlastnosti. V novém dialogovém okně zvolte záložku Obecné, ze seznamu spojení zvolte Protokol sítě Internet a klikněte na Vlastnosti. V dalším dialogovém okně v záložce Obecné klikněte na tlačítko Rozšířené nastavení. Konečně v dalším okně zvolte záložku WINS a tlačítkem Přidat vložte IP adresu serveru, který je nastaven jako PDC. 51

62 Obrázek 9-7. Nastavení WINS serveru na pracovní stanici Kapitola 9. Souborový server Po nastavení WINS serveru je dále nutné danou pracovní stanici přidat jako člena do dané domény. Nejprve otevřete Ovládací panely, v nich zvolte položku Vlastnosti systému a v novém okně záložku Identifikace v síti. Tam klikněte na tlačítko Změny a v dalším okně zatrhněte členství v doméně a vyplňte jméno domény, která je nastavena na serveru. Po potvrzení tlačítkem OK budete vyzváni, abyste vložili přihlašovací údaje uživatele, který má právo měnit členství v doméně, tedy doménového administrátora, v našem případě uživatele admin. Pokud na daném počítači tento účet ještě neexistuje, vytvoří se, ale není současně rozpoznán. Proto se první přihlášení nemusí zdařit. V takovém případě vložte stejné údaje znovu a budete přihlášeni do domény. Obrázek 9-8. Nastavení členství v doméně na pracovní stanici 52

63 Kapitola 9. Souborový server Po restartu počítače se uživatelé, kteří mají v doméně účet, mohou přihlašovat. Obrázek 9-9. Přihlášení do domény Ke sdíleným souborovým složkám se můžete dostat dvěma způsoby. První je komplikovanější a využijete jej v případě, že neznáte názvy jednotlivých složek. Ve složce Okolní počítače klikněte na odkaz Celá sít, v ní zvolte Sít Microsoft Windows, v ní nějakou doménu a v ní již uvidíte seznam členských počítačů. Pokud názvy sdílených složek znáte, stačí vstoupit do složky Okolní počítače a do vstupního pole Adresa ho napsat. Pokud tedy v našem případě máme nastaven server s názvem "mailbox", vložíme toto jméno ve tvaru \\mailbox a ihned vidíme obsah této složky. Obrázek Okolní počítače 53

64 Kapitola 9. Souborový server Windows 2000 Professional CZ Nastavení ve Windows 2000 je prakticky stejné jako ve Windows XP. Nejprve je nutné nastavit WINS server a poté přidat daný počítač do domény. Teprve pak bude možné přihlašování do dané domény. Viz obrázky níže. Obrázek Nastavení WINS serveru ve Windows 2000 Obrázek Přidání počítače do domény ve Windows

65 Kapitola 9. Souborový server Windows 98 CZ Ve Windows 98 se veškeré nastavení pro PDC provádí v Ovládacích panelech ve složce Sít. Vše je přehledně vidět na obrázcích níže. Obrázek Nastavení WINS serveru ve Windows 98 Obrázek Nastavení přihlášení do domény ve Windows 98 55

66 Obrázek Nastavení přidání do domény ve Windows 98 Kapitola 9. Souborový server 9.3. Souborové složky Sdílené souborové složky na serveru lze vytvářet a spravovat jen v Administraci, jejich podložky a soubory v nich lze upravovat a nastavovat pouze z pracovní stanice, která je připojena do domény Souborové složky na serveru Novou složku v Administraci lze vytvořit tlačítkem Přidat. Tlačítko Přidat speciální složky slouží k vytvoření následujících složek, které jsou potřebné pro samotný provoz souborového serveru: netlogon do této složky se ukládají přihlašovací skripty, které se automaticky spouští při přihlášení uživatele do domény, print$ do této složky se ukládají ovladače pro sít ové tiskárny, domain-users v této složce se ukládají domovské adresáře všech uživatelů v doméně, local-users v této složce se ukládají domovské adresáře uživatelů na lokálním pobočkovém VPN uzlu. Tlačítkem Smazat odstraníte všechny složky, které jsou v seznamu označeny zaškrtávacím políčkem. kliknutím na název složky se zobrazí její nastavení: 56

67 Obrázek Přehled souborových složek na serveru Kapitola 9. Souborový server Pole Název je povinné. Do pole Komentář se ukládá nepovinný popis složky, který je vidět i jako jeden z údajů složky ve Windows. Zaškrtávací pole Zobrazovat v seznamu udává, zda bude složka po připojení do domény viditelná. V poli Povolit současně uživatelů lze omezit počet uživatelů, kteří jsou aktuálně k dané složce připojeni s tím, že systém Windows složky jednotlivým uživatelům po určité době nečinnosti automaticky odpojuje. Dále jsou k dispozici tři režimy pro práci se soubory v případě, kdy dojde k přerušení spojení se serverem (režim offline): manuální uživatel si manuálně označí soubory a ty se před odpojením od serveru zkopírují na lokální disk pro práci offline. Obrázek Manuální zpřístupnění souboru pro režim offline 57

68 Kapitola 9. Souborový server automatický soubory, které uživatel otevře, se automaticky synchronizují do složky na lokálním disku. automatický (pro programy) tento mód je určen pro složky, které jsou pouze pro čtení a obsahují spustitelné programy. Ty se po zkopírování na lokální disk spouští přímo, bez přístupu k sít ové verzi, což je rychlejší a snižuje to zatížení sítě. vypnutý žádné soubory nejsou v režimu offline k dispozici. Tlačítkem Smazat odstraníte sdílenou složku se všemi podsložkami a soubory, které v ní jsou. Tlačítkem Nový odkaz.. můžete vytvořit virtuální složku, kterou lze chápat jako jiné jméno nebo jako odkaz na původní složku. Potvrzením názvu se pohled přepne na nastavení této nové virtuální složky, kde je vyplněno jméno skutečné složky v položce Odkazuje na. Samotný odkaz může také směřovat pouze na podadresář zvolené složky. Jméno podadresáře můžete napsat do vstupního pole nebo jej vybrat ze seznamu podadresářů, když kliknete na ikonu knížky. V okně nastavení skutečné souborové složky je uveden seznam virtuálních složek, které do ní směřují v položce formuláře Odkazováno z. Smazáním virtuální složky nikdy nepřijdete o skutečná data, protože ta jsou pouze odkazována. Obrázek Nastavení souborové složky Nastavení přístupových práv souborových složek na serveru V záložce Přístupová práva lze nastavit oprávnění pro manipulaci se složkou pro jednotlivé uživatele a skupiny uživatelů. Práva pro práci se samotnými daty ve složce se nastavují v horní části formuláře. Při přidávání většího množství uživatelů a skupin je můžete vybrat ze seznamu, pokud kliknete na ikonu knížky. Při psaní do vstupního pole se automaticky doplňují názvy existujících účtů nebo skupin. 58

69 Obrázek Přístupová práva souborové složky Kapitola 9. Souborový server Kromě běžných uživatelů a skupin je možné přidávat nebo vidět i některé speciální záznamy: * (Kdokoliv) tento záznam zahrnuje a platí pro všechny uživatele, včetně anonymních. BUILTIN\jmeno záznamy tohoto typy označují vestavěné skupiny uživatelů na souborovém serveru, které existují i ve Windows. Jsou to tyto skupiny: Administrators skupina uživatelů se všemi právy. Skupina BUILTIN\Administrators vždy obsahuje skupinu správců domény Domain Admins. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Admins rovna skupině admins@domena, pokud je server člen domény, použije se skupina Domain Admins na PDC. Users skupina běžných uživatelů s omezenými právy. Skupina BUILTIN\Users vždy obsahuje skupinu všech uživatelů v doméně Domain Users. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Users rovna pokud je server člen domény, použije se skupina Domain Users na PDC. Power Users skupina běžných uživatelů s rozšířenými právy. V současnosti se tato skupina na serveru nepoužívá. Na obrázku výše jsou tedy práva složky testovani nastavena tak, že všichni běžní uživatelé v doméně ji mohou číst. Současně všichni doménoví administrátoři do ní mohou zapisovat. Výhoda používání konstrukce BUILTIN je v tom, že funguje jako proměnná, která se řídí doménou, která je aktuálně nastavená pro souborový server. Pokud tedy dojde k jejímu přenastavení, nebude potřeba měnit přístupová práva existujících souborových složek, které využívají právě BUILTIN. SID (Security identifier) bezpečnostní identifikátor ve formátu např. S , který jednoznačně označuje uživatele nebo skupinu na PDC. PDC také zajišt uje překlad těchto identifikátorů na skutečná jména. Při migraci domén nebo jiném technickém zásahu je možné tyto identifikátory vkládat jako záznamy přístupových práv ručně. Pokud se ovšem objeví v seznamu SID nečekaně, pak to znamená, že daný objekt byl smazán nebo je přerušeno spojení s PDC. Podrobnosti o těchto identifikátorech si můžete přečíst například na Wikipedii ( Práva v dolní části formuláře slouží k manipulaci se složkou v Administraci podle obecných pravidel práce s přístupovými právy. Při zadávání nových práv lze zadávat pouze existující uživatele nebo 59

70 Kapitola 9. Souborový server skupiny jejich seznam lze zobrazit kliknutím na ikonu knížky. Tlačítkem + Kdokoliv lze do tabulky přidat řádek přístupových práv společných pro všechny uživatele, včetně anonymních (jsou označeni znakem *). Smazání řádku se provede odznačením všech práv kliknutím na červené zaškrtávací políčko, v případě duplicitního nebo neexistujícího názvu ještě vymazáním vstupního pole, a uložením nastavení formuláře Nastavení přístupových práv z pracovní stanice Přístupová práva k souborovým složkám lze nastavovat ve dvou vrstvách v Administraci a na pracovní stanici ve Windows. Výsledná práva ke složce jsou průnikem těchto dvou vrstev, což znamená, že pro uživatele, pro které se práva z obou vrstev nějak překrývají, budou platit ta "menší". Práva nastavená přímo na v Administraci se na pracovních stanicích nezobrazují. Na pracovních stanicích lze pro adresáře a soubory nastavovat celou řadu přístupových práv. Na obrázku níže je vidět, jak může například vypadat nastavení přístupových práv se skupinou Info náležící do domény priklad.cz. Každý soubor nebo složka na serveru má povinně nastavena práva pro tři typy uživatelů: Obrázek Vzorové nastavení přístupových práv vlastník uživatel, který daný objekt vytvořil, v našem příkladě to je Zdeněk Vytočil, skupina skupina uživatelů, do které vlastník patří (implicitní skupina). Na souborovém serveru je implicitní vždy skupina Domain Users, obsahující všechny uživatele v doméně, ostatní všichni ostatní uživatelé respektive každý uživatel, pro kterého neplatí jiná přístupová práva. V popisu práv ve Windows jsou označeni jako Everyone. Mějme nyní sdílenou složku projekty na serveru server. Pak cesta k této složce je \\server\projekty. Nastavení kořenových složek na serveru lze měnit pouze v Administraci serveru. Nyní nastavíme práva složce test, která je podsložkou složky projekty. Nejprve zvolíme Vlastnosti. 60

71 Kapitola 9. Souborový server Obrázek Sdílená složka V ní v záložce Zabezpečení je vidět seznam uživatelů a skupin, kteří mají definovaná nějaká práva. Kliknutím na jméno v seznamu se v tabulce níže zobrazí základní nastavení přístupových práv. Po jejich úpravě pomocí zaškrtávacích políček je vhodné odeslat nové nastavení na server tlačítkem Použít a pak teprve kliknout na OK. Obrázek Základní nastavení přístupových práv Pokročilé nastavení práv zobrazíte kliknutím na Upřesnit. Zobrazí se úplný výpis všech subjektů, které mají definována nějaká práva. Pokud je dole zaškrtnuto políčko Povolit šíření dědičných oprávnění..., je potřeba ho odškrtnout, jinak nebude možné modifikovat přístupová práva subjektů v seznamu. Následně vám bude nabídnuta možnost práva bud zkopírovat nebo odebrat, zvolte možnost Kopírovat. 61

72 Kapitola 9. Souborový server Obrázek Podrobné nastavení práv Obrázek Zrušení dědičného šíření práv Uživatelé a skupiny v seznamu přístupových práv se dělí na známé, kteří existují v doméně a lze je do seznamu přidávat, a na převzaté ze serveru označované jako Unix user a Unix group, kteří mají svá práva přednastavena. Tato práva obvykle není potřeba měnit. Každý soubor nebo složka na souborovém serveru má přiřazena implicitní práva pro uživatele, který ji vytvořil a povinně také práva pro implicitní skupinu, což je skupina Domain Users. Jména CREATOR OWNER a CREATOR GROUP označují šablony těchto přístupových práv pro nově přidaný soubor nebo složku. Tlačítkem Přidat... můžete do seznamu vložit novou skupinu nebo uživatele v doméně. Aby všechno správně fungovalo, je potřeba v nastavení práv ve výběrovém menu Použít pro... ponechat respektive nastavit hodnotu Tato složka, podsložky a soubory. 62

73 Kapitola 9. Souborový server Obrázek Nastavení práv Pokud chcete definovat přístupová práva pro jinou než implicitní skupinu v doméně, je nejprve potřeba odebrat práva pro šablonu skupiny CREATOR GROUP, protože z té se dědí práva pro implicitní skupinu, ve které jsou všichni uživatelé, ne jen ti ve zvolené skupině. Obrázek Přidání objektu do seznamu přístupových práv V nabídce Windows je k dispozici mnoho různých oprávnění, ale samotný souborový server ukládá pouze tři: čtení, zápis a spouštění pro soubor a výpis, zápis a vstup do pro složky. Každou změnu v nastavení práv je potřeba potvrdit tlačítkem Použít, kdy se požadavek nastavení práv odešle na server, který zpět zašle skutečné nastavení. Na obrázku níže je vidět nastavení práv v nabídce Windows, která zleva doprava odpovídají hodnotám čtení, zápis a spouštění. Tato nastavení jsou již výsledkem překladu nastavení práv ve Windows, který zaslal server. Před odesláním stačí zaškrtnout jen jednu položku týkající se čtení a ze serveru se vrátí zaškrtnutá všechna práva, která se čtením přímo souvisí. 63

74 Kapitola 9. Souborový server Obrázek Nastavení základních přístupových práv na straně serveru Systém Windows vyhodnocuje nastavení práv tak, že dává největší přednost nastavení pro ostatní uživatele (Everyone). Proto je nutno nechat všechna práva pro ostatní uživatele vypnutá, pokud potřebujete mít aktivní speciální nastavení práv jiných subjektů. Příklad 9-1. Přidání přístupových práv pro čtení skupině v doméně Například složce test chceme definovat práva tak, aby do ní měly přístup na čtení pouze členové skupiny Info a vlastník. Na této složce tedy zobrazíme Vlastnosti a v záložce Zabezpečení klikneme na Upřesnit. Odškrtneme políčko Povolit šíření dědičných práv a necháme současná práva na následnou výzvu Zkopírovat. V seznamu práv označíme Everyone, pokud mají nastavena jiná práva než Žádná a tlačítkem Odebrat je zrušíme ze seznamu. Totéž provedeme pro implicitní skupinu Domain Users a skupinovou šablonu CREATOR GROUP. Potom tlačítkem Přidat otevřeme seznam možných subjektů pro přidání. Vyplníme hodnotu Info a potvrdíme. V nastavení práv v menu Použít pro ponecháme hodnotu Tato složka, podsložky a soubory a zaškrtneme jedno z práv pro čtení, například hodnotu Zobrazovat obsah složky/číst data. Uložíme tlačítkem OK. Potom tlačítkem Potvrdit odešleme nové nastavení práv na server. Na obrázku níže vidíme, jak vypadá výsledné nastavení po návratu ze serveru. 64

75 Obrázek Výsledné nastavení přístupových práv Kapitola 9. Souborový server 9.4. Přihlašovací skripty Přihlašovací skript je krátký program, který se spouští po přihlášení uživatele do domény. Jeho nejběžnější využití spočívá v připojení domovské složky uživatele a vybraných sdílených složek na serveru. Lze je ale využívat k celé řadě úkonů jako jsou například spouštění monitorovacích programů, instalace sít ových periferií (např. tiskáren), synchronizace času klienta a serveru nebo zobrazování důležitých oznámení správců systému. Konfigurace přihlašovacích skriptů spočívá v inicializačním souboru logon.ini, který je součástí sdílené složky netlogon. V něm lze definovat proměnné a využívat předdefinované proměnné pro obecnou specifikaci chování serveru. Po přihlášení uživatele server zpracuje tento soubor, provede náhrady za proměnné a zástupné znaky a s ohledem na specifikované sekce vygeneruje skutečný přihlašovací skript, který následně systém Windows spustí. Tento skript je dočasný a ukládá se do složky netlogon ve tvaru <uživatelské_jméno>@<jméno_domény>.bat. Takto vypadá ukázkový inicializační soubor, který si vzápětí popíšeme Rychlý start Příklad 9-2. Ukázkový soubor logon.ini 1 HOME = H: 2 public = F: 3 special = S: 4 # Tohle je komentar [Global] "Vítejte v naší síti!" 7 pause 8 SET OS=${os} 65

76 9 SET WEBIS_URL= 10 NET TIME \\${server} /SET /YES 11 net use ${public} /delete /y 12 NET USE ${public} \\${server}\globalshare /YES 13 # Tohle je dalsi komentar [Group: admins@${domain}] "Nazdar správče." 16 NET USE G: \\${server}\adminshare1 /YES 17 NET USE I: \\${server}\adminshare2 /YES [User: jaroslava.rychla@${domain}] 20 NET USE ${special} \\${server}\specialshare /YES [Computer: STROJ*, M2?3] "Sedíte u počítače ${computer}." [OS: Win95] "Váš operační systém je: ${os}." 27 net use ${home} /delete /y 28 NET USE ${HOME} \\${server}\home /YES [IP: *] "Vaše IP adresa: ${ip}." [Server: MAILBOX1] "Jste připojeni k serveru ${server}." Kapitola 9. Souborový server Následuje popis řádek po řádku. Řádky 1,2,3: definice globálních proměnných. Řádek 5: začátek sekce, která se provádí globálně, tedy při přihlášení libovolného uživatele. Řádky 6,15,23,26,31,34: výpis zprávy v uvozovkách na obrazovku. Řádek 7: pozastavení provádění skriptu obnoví se stiskem klávesy. Řádky 8 a 9: nastavení proměnných prostředí. Řádek 10: nastavení systémového času ze serveru. Řádky 11 a 27: odpojení disku pod daným písmenem. Je vhodné provádět pro všechny složky z důvodu zabránění kolizí při přidělování písmen disků. Řádky 12,16,17,20,28: připojení sdílené složky jako diskové jednotky. Příkaz NET USE má v tomto případě dva povinné parametry. První je písmeno disku, které může být zadáno ve tvaru proměnné a druhý je cesta sdílené složky na serveru. Řádky 14,19,22,25,30,33: začátky sekcí, jejichž provádění není platné pro každého, ale pouze pro specifikovaný výčet uživatelů nebo strojů podle zadaného kritéria. Jak je vidět z příkladu, inicializační sekce můžete výčtem omezovat pro skupiny uživatelů, jednotlivé uživatele, názvy 66

77 Kapitola 9. Souborový server počítačů, operační systémy na pracovních stanicích, IP adresy a pro názvy serverů. V hodnotách pro jednotlivé sekce můžete používat zástupné znaky * a? Syntaxe a proměnné K obecným zásadám zápisu inicializace přihlašovacích skriptů patří následující: syntaxe proměnných, příkazů a hodnot nerozlišuje mezi velkými a malými písmeny, proměnné se zapisují ve tvaru ${název_proměnné}. Takovýto zápis ovšem podporuje pouze váš souborový server, v běžných sít ových inicializacích jej využívat nelze, zápisy /y a /YES jsou totožné a nepovinné a pouze automaticky doplňují kladnou odpověd, pokud se při provádění příkazu objeví nějaký potvrzovací dotaz, na začátku příkazu potlačí výpis tohoto příkazu na obrazovku, znak # na začátku řádku znamená, že celý řádek je komentář. Samotná inicializace sestává v zásadě ze tří částí, jak je vidět už na příkladu. První část je definice globálních proměnných a maker. Ty představují zástupná jména pro příkazy a hodnoty, které se dále vyskytují na více místech inicializace. Druhá část je sekce Global, která obsahuje příkazy, které se provedou vždy, a může se vyskytovat i několikrát na různých místech skriptu. Třetí část sestává ze sekcí, které se provádějí jen v případě, že je splněna podmínka, která danou sekci definuje. Taková sekce vždy začíná zápisem [kategorie: hodnota1, hodnota2,... ]. Takovýto zápis vyjmenovaných hodnot pro jednotlivé kategorie je opět specifický pouze pro váš souborový server, syntaxe inicializačních souborů systému Windows jej nepodporují. Následuje výčet kategorií, podle kterých lze jednotlivé sekce specifikovat: Group sekce se provede, pokud je přihlašující se uživatel členem alespoň jedné z vyjmenovaných skupin (je nutné používat jména skupin z Administrace, nikoliv názvy, pod kterými se zobrazují ve Windows), User sekce se provede, pokud se mezi vyjmenovanými hodnotami nachází přihlašovací jméno nebo přezdívka přihlašujícího se uživatele, Computer sekce se provede, pokud se jméno počítače shoduje s některým z vyjmenovaných, Server sekce se provede, pokud se jméno daného PDC nachází mezi vyjmenovanými servery (hodí se např. ve VPN), OS sekce se provede, pokud se kód operačního systému běžící na počítači shoduje s některým z vyjmenovaných. Podporované kódy jsou následující: Win95 kód společný pro systémy Windows 95 a Windows 98 Win2k kód pro systém Windows 2000 WinXP kód pro systém Windows XP Vista kód pro systém Windows Vista IP sekce se provede, pokud je IP adresa počítače mezi vyjmenovanými. 67

78 Kapitola 9. Souborový server Při zadávání hodnot pro jednotlivé sekce můžete využívat zástupné znaky * a?, kde hvězdička nahrazuje libovolný počet znaků (tedy i nula) a otazník nahrazuje právě jeden znak. Příklady použití jsou vidět ve vzorové inicializaci. Při psaní inicializace můžete využít i globální přednastavené proměnné: computer obsahuje název počítače, tak jak je zadaný v systému Windows, domain obsahuje jméno domény, do které se právě přihlašujete (nejedná se o Windows doménu, ale o skutečnou doménu, ve které jsou účty), groups obsahuje seznam skupin, do kterých přihlašující se uživatel patří, ip obsahuje IP adresu počítače, ze kterého se přihlašujete, os obsahuje kód operačního systému, který na počítači běží, server obsahuje jméno serveru, tak jak je nastaveno v Administraci, user obsahuje přihlašovací jméno přihlašujícího se uživatele, workgroup obsahuje jméno pracovní skupiny, které se rovněž říká Windows doména. Může se shodovat se skutečným jménem domény, která spravuje účty. Příklady použití těchto proměnných jsou opět vidět ve vzorové inicializaci Příkazy Při psaní inicializace můžete nad rámec příkladů, které jsou vidět ve vzorové inicializaci, využívat i všech ostatních příkazů operačního systému MS-DOS. Jako referenční materiál k tomu lze využít podrobná dokumentace ( v angličtině Instalace sít ové tiskárny Nejprve musí být v Administraci mezi souborovými složkami v doméně přidána složka print$. Tu lze přidat tlačítkem Přidat speciální složky. Je potřeba k ní nastavit úplná přístupová práva pro administrátory v doméně a právo čtení pro všechny uživatele, kteří se označují znakem *. 68

79 Kapitola 9. Souborový server Obrázek Doménové složky Obrázek Přístupová práva složky print$ Pokud chcete nahrát ovladače tiskárny na server, přihlaste se jako administrátor do domény a otevřete složku \\jméno_serveru\tiskárny, kde by měly být vidět tiskárny nainstalované na serveru. Jejich instalaci obvykle zajistí váš integrátor WebISu. Poté u dané tiskárny zvolíte přes kontextovou nabídku Vlastnosti a v záložce Upřesnění kliknete na tlačítko Nový ovladač. Pomocí průvodce instalací vyberte některý z implicitních nebo externí ovladač. Následně se soubory ovladače zkopírují do podadresáře ve složce print$. 69

80 Kapitola 9. Souborový server Obrázek Nový ovladač V případě potřeby můžete mít na serveru ovladače pro více operačních systémů. Zvolte opět vlastnosti tiskárny, v záložce Sdílení je tlačítko Nový ovladač. V novém okně si zaškrtnete požadované operační systémy a z instalačních disků nebo jiných externích zdrojů nainstalujete ovladače. Obrázek Další nastavení pro více operačních systémů Nyní může doménový administrátor přidat tiskárnu ze serveru mezi systémové tiskárny na pracovní stanici postupným sledováním nabídek Start/Nastavení/Tiskárny/Přidat tiskárnu. Spustí se průvodce instalací, kde nejprve zvolte, že přidáváte sít ovou tiskárnu, dále místo zadávání názvu klikněte na tlačítko Další. Objeví se seznam domén a pracovních skupin. Rozbalte svoji doménu, pod kterou bude seznam serverů. Rozbalte váš server a pod ním bude seznam tiskáren. Po zvolení konkrétní tiskárny se nainstalují ovladače ze serveru. Stejným postupem si poté mohou i běžní uživatelé domény zprovoznit sít ovou tiskárnu. 70

81 Obrázek Jedna ze sdílených tiskáren v doméně Kapitola 9. Souborový server Tip: Pomocí příkazu v přihlašovacím skriptu lze dosáhnout toho, že se nová tiskárna v doméně automaticky přidá každému uživateli, který se do domény přihlásí. Lze rovněž šířit i konfiguraci tiskárny, nastavovat ji jako výchozí nebo ji odstranit: rundll32 printui.dll, PrinUIEntry /dn /n "\\{$server}\stara_tiskarna" /q tento příkaz smaže specifikovanou tiskárnu, rundll32 printui.dll, PrinUIEntry /in /n "\\{$server}\tiskarna" tento příkaz přidá specifikovanou tiskárnu a zkopíruje ze serveru i její nastavení, rundll32 printui.dll, PrinUIEntry /y /n "\\{$server}\tiskarna" tento příkaz nastaví specifikovanou tiskárnu jako výchozí Další nastavení Nastavení doménového uživatele jako správce pracovní stanice Pokud firemní sít zahrnuje více poboček nebo v ní existuje větší množství uživatelů, může být výhodné personálně od sebe oddělit správu serveru a správu pracovních stanic. V existující doméně je pak možné nastavit uživatele, který bude moci plně spravovat pracovní stanice, ale nebude mít administrátorská oprávnění k samotnému serveru. Doporučený postup je následující: vytvořte v doméně skupinu uživatelů, např. pc_admins a do ní přidejte zvolené doménové uživatele. Tuto skupinu přidejte na pracovní stanici do přednastavené lokální skupiny Administrators. Tento úkon může provést pouze uživatel, který má právo měnit tuto skupinu, například doménoví administrátoři ze skupiny Domain Admins na serveru. 71

82 Obrázek Přidání zvolených doménových uživatelů do skupiny Kapitola 9. Souborový server Obrázek Přednastavené skupiny uživatelů ve Windows Obrázek Přidání doménové skupiny do skupiny Administrators 72

83 Kapitola 9. Souborový server Změna hesla uživatele Heslo si může uživatel měnit bud v sekci Nastavení ve WebISu nebo v systému Windows na členské pracovní stanici v doméně. Obrázek Změna uživatelského hesla ve WebISu Na pracovní stanici se postup změny uživatelského hesla liší v závislosti na verzi systému Windows, která na dané stanici běží Windows 98 Systém Windows 98 je již natolik zastaralý, že plně nepodporuje domény, automatické vytváření profilů a přebírání hesel z domény. Pokud používáte tento systém, můžete heslo v doméně měnit bud sami ve WebISu nebo prostřednictvím správce systému v Administraci. Vzhledem k tomu, že systém Windows 98 rozlišuje mezi hesly do domény a lokálními hesly na pracovních stanicích, bude při přihlášení na stanici požadovat obě, pokud nejsou stejná. Doménové heslo si lze ovšem zapamatovat při zadávání prostřednictvím zaškrtávacího políčka Uložit toto heslo do seznamu hesel. Nebo je také možné při změně doménového hesla změnit i heslo na pracovní stanici. To lze udělat v Ovládacích panelech ve složce Uživatelé, jak je vidět na obrázku. 73

84 Obrázek Změna uživatelského hesla v systému Windows 98 Kapitola 9. Souborový server Windows 2000 a Windows XP Oba tyto systémy již rozpoznávají příslušnost uživatele k doméně, takže je jedno, jestli si heslo změníte ve WebISu nebo na pracovní stanici. Heslo na pracovní stanici se mění v obou systémech stejně. Nejprve stisknete kombinaci kláves Ctrl, Alt a Del a z nabídky, která se objeví, kliknete na tlačítko Změnit heslo... Viz obrázek. Obrázek Změna uživatelského hesla v systému Windows

85 Kapitola 9. Souborový server Změna názvu počítače Windows 98 Změna názvu počítače v systému Windows 98 je snadná záležitost. Otevřete Ovládací panely, v nich zvolíte složku Sít a v ní záložku Identifikace, kde již můžete název změnit. Viz obrázek. Po potvrzení změny je potřeba restartovat počítač. Obrázek Změna názvu počítače v systému Windows Windows 2000 a Windows XP Z důvodu podpory VPN a několika dalších technických důvodů je změna názvu počítače v systémech Windows 2000 a Windows XP o něco komplikovanější v tom smyslu, že vyžaduje dva restarty počítače. Nejprve je potřeba počítač přejmenovat a vyjmout ho ze stávající domény tak, že pro něj vytvoříme dočasnou pracovní skupinu. Následuje první restart počítače, po kterém počítač s novým názvem vrátíme do původní domény, budeme vyzváni k zadání uživatelského jména a hesla uživatele majícího oprávnění připojovat počítače k doméně (obvykle uživatel admin) a znovu restartujeme. V systému Windows 2000 se všechny tyto změny provádějí v dialogovém okně Změny identifikace. K té se dostanete z Ovládacích panelů, ve složce Systém v záložce Identifikace v síti pod tlačítkem Vlastnosti. Viz obrázek. 75

86 Obrázek Změna názvu počítače v systému Windows 2000 Kapitola 9. Souborový server Obrázek Změna názvu počítače v systému Windows XP 76

87 Kapitola 10. Systémový monitoring Monitor systému je služba, která vizualizuje data o provozu serveru nasbíraná z různých subsystémů do podoby grafů. Data lze také exportovat do souboru pro další práci. Grafy lze zobrazovat pro různá časová období a pohled na ně lze přibližovat a oddalovat. Obecné funkce v menu nad grafem jsou následující: Automaticky obnovovat pokud je tato funkce zapnuta, každých pět minut se načtou nová data do grafu. Jinak je nutné načíst aktuální údaje tlačítkem Obnovit. Exportovat do CSV uloží aktuální grafová data do textového souboru s hodnotami oddělenými středníkem pro tabulkový procesor. Obrázek Systémový monitor Výběrové menu Název grafu obsahuje jednotlivé typy subsystémů, které jsou monitorovány: využití dočasné paměti zobrazuje volnou pamět a místo obsazené systémovou dočasnou pamětí. Buffery se typicky využívají jako dočasná vyrovnávací pamět mezi jádrem a vnějším zařízením, kam je potřeba data zapsat, zatímco cache je jiný typ vyrovnávací paměti, do které se ukládají nejnovější data načtená z disku nebo jiného zařízení, aby se v případě potřeby mohla příště použít okamžitě. Pro plynulý provoz serveru je vhodné, aby cachovaná část paměti byla co největší a přitom obsazené místo na odkládacím prostoru (swapu) co nejmenší. obsazení RAM a swapu tento graf zobrazuje celkové rozdělení operační paměti a odkládacího prostoru na obsazené a neobsazené segmenty. V obsazené paměti je tedy započítána pamět jádra systému i dočasná pamět (buffery a cache). Z tohoto grafu lze mimo jiné odečíst, kolik operační paměti je na serveru instalováno a kolik odkládacího prostoru je na něm nastaveno. běžící procesy zobrazuje počet aktuálně běžících procesů. 77

88 Kapitola 10. Systémový monitoring nově vznikající procesy zachycuje počet nově vznikajících procesů za sekundu. Příliš vysoké hodnoty v tomto grafu mohou signalizovat vážné výkonnostní problémy serveru, jelikož vytváření procesů přímo zatěžuje jádro systému. Přitom příliš rychlé vytváření velkého množství procesů může být primární příčinou problému se zátěží serveru. vytížení procesoru barevně odlišuje různé druhy zátěže procesoru. Nejmenší důležitost mají neprioritní procesy, protože ty nikdy neblokují prostředky serveru, pokud je jich zapotřebí jinde. Naopak nejzávažnější je zátěž pocházející z čekání na proběhnutí vstup/výstupních operací, zejména na disková zařízení. provoz na swapu zachycuje množství dat za sekundu, která byla zapsána na odkládací prostor operační paměti, nebo z něj byla načtena. V ideálním případě je provoz na swapu minimální, protože tato pamět je podstatně pomalejší než operační pamět. fronta čekajících procesů zobrazuje přesné počty procesů, které aktuálně čekají na obsluhu procesorem. Tento údaj je jedním z těch, z nichž se vypočítává průměrná zátěž systému (load). průměrná zátěž systému graf vizualizuje úhrnnou systémovou zátěž v pětiminutových a čtvrthodinových průměrech. Konečná hodnota se počítá jako exponenciálně vážený pohyblivý průměr z periodicky měřených hodnot. Každá tato hodnota je celé číslo a představuje počet procesů, které běží, čekají na spuštění nebo čekají na odezvu vstup/výstupního subsystému. Minimální a maximální hodnoty uvedené v legendě grafu se vždy vztahují k aktuálně zobrazené části grafu. V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval. Tlačítka s lupou slouží k přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí směrových šipek v téže liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje aktuální časový interval. 78

89 Kapitola 11. Lokální sítě V této kapitole je popsáno, jak jednoduše vytvářet a nastavovat lokální sítě na serveru a jak monitorovat a omezovat datový provoz v těchto sítích Určování lokálních sítí V tomto okně můžete každé sít ové kartě v serveru vytvořit sít ové rozhraní. Je obvyklé, že jedna sít ová karta komunikuje s okolním světem, tedy s Internetem, zatímco ostatní komunikují s firemními lokálními sítěmi, tedy s intranetem. Po nakonfigurování serveru našimi techniky budete mít přednastaveny dvě rozhraní v nejvyšší vrstvě lokálních sítí. Jsou jimi internet a intranet1 a jejich jména nelze měnit. Další lokální sítě v nejvyšší vrstvě mohou rovněž přidávat pouze naši technici v závislosti na tom, kolik sít ových karet chcete mít ve svém serveru v provozu. Pokud chcete lokální síti přidat podsít, nejprve tuto sít vyberte zaškrtávacím políčkem vpravo a potom klikněte na tlačítko Přidat a zadejte jméno podsítě. V tomto případě již můžete použít libovolné jméno. Pokud chcete nějakou sít smazat, označte ji zaškrtávacím políčkem vpravo a potvrd te volbu tlačítkem Smazat. Mazat můžete jen (pod)sítě, které neobsahují žádné jiné podsítě, případně můžete označit sít, kterou chcete smazat, a současně označit všechny její podsítě. V tom případě se smaže vše označené. Kliknutím na jméno podsítě se dostanete do okna nastavení pro tuto sít. Ve stromu lokálních sítí lze prostřednictvím vstupního pole Filtr vyhledávat zanořené podsítě podle názvu. Pokud je ve výsledku deset a více podsítí, pak zůstanou příslušné nadřazené sítě ve stromu zabaleny. Při vstupu do přehledu sítí jsou implicitně zabaleny druhá a všechny hlubší úrovně stromu. Tip: Kvůli vyšší přehlednosti a také kvůli snížení nároků na server při rozřazování příchozích paketů je doporučeno při definování podsítí důsledně využívat sít ových masek (tedy společných částí IP adres) a používat "košatější" hierarchii ve stromové struktuře sítí. To znamená, že počty zanořených sítí a počty podsítí v jedné síti by si měly zhruba odpovídat. Pokud totiž například nadefinujeme několik set podsítí všechny jako přímé podsítě jiné a navíc pomocí absolutních IP adres (tedy se všemi platnými bity, bez použití masky), může v závislosti na použitém hardwaru a vytížení jednotlivých podsítí dojít k tomu, že se server při třídění paketů přetíží a začne je ztrácet. Poznámka: Je obvyklé, že sít ové rozhraní komunikující s Internetem nemá podsítě, protože na těchto podsítích by nebylo možné plně využívat řízení a omezování provozu. 79

90 Kapitola 11. Lokální sítě Obrázek Příklad rozdělení lokálních sítí Nastavení rozhraní Název sítě smíte měnit pouze na podsítích nějakého sít ového rozhraní. Názvy sítí v nejvyšší vrstvě jsou pevně dané v konfiguraci serveru a nelze je měnit bez konzultace s našimi techniky. Právě jedno sít ové rozhraní v nejvyšší vrstvě musí být označeno jako implicitní. Implicitní sít ové rozhraní je rozhraní, přes které tečou data do Internetu. Pokud server konfigurují naši technici, je jako implicitní rozhraní nastaveno sít ové rozhraní internet. Políčko Záznam dat do grafů umožňuje zapnout vytváření grafů průměrných a maximálních rychlostí přenosů v čase z a do zvoleného sít ového rozhraní. Podrobnosti najdete v podkapitole o grafech. Pokud je tato funkce vypnuta, šetří se tím procesorový výkon serveru. Políčko Záznam dat do DB sít ového provozu umožnuje zapnout vytváření databáze statistik provozu v síti. Tato volba je dostupná pouze pro sít ová rozhraní, data z jednotlivých podsítí lze zobrazit v jejich vlastní záložce Sít ový provoz. Podrobnosti najdete v příslušné kapitole. Pokud potvrdíte tuto volbu, objeví se ve formuláři pole pro zadání maximální velikosti této databáze v megabytech. Implicitní hodnota je 1000 MB, maximální povolená je MB, ovšem lze ji na požádání upravit podle konkrétních požadavků. Databáze provozu se každý den ukládá do zvláštního souboru. Pokud velikost všech takto uložených souborů překročí nastavené maximum, začnou se mazat ty nejstarší. Soubor za poslední den se nikdy nesmaže, i když je větší než nastavené maximum. Tip: Pokud potřebujete ušetřit procesorový výkon serveru, můžete toho dosáhnout vypnutím záznamu dat o připojeních a rychlostech. Výpočet křivkových a koláčových grafů se provádí na základě zaznamenaných dat z různých zdrojů. Výpočet křivkových grafů je méně náročný než zápis dat do databáze sít ového provozu, ale teprve vypnutí jak grafů, tak sít ového provozu na celém rozhraní může mít za následek zrychlení odezvy ostatních serverových služeb; při silném provozu až v řádu desítek procent. Například pokud má vlastník serveru nainstalován pouze firewall (poskytovatel internetového připojení), pak je téměř bezpředmětné zaznamenávat provoz na rozhraní směřující do Internetu. Příchozí provoz je zanedbatelný a nezajímavý, protože na serveru neběží žádná jiná služba. Naopak odchozí provoz pochází téměř výhradně z lokální sítě, což s sebou nese dva faktory. Jednak může být provoz serveru s lokální sítí zaznamenáván na intranetovém rozhraní zvlášt a jednak provoz přes rozhraní do Internetu už prošel IP maškarádou, takže takto zaznamenaná data nemají velkou vypovídací hodnotu. 80

91 Kapitola 11. Lokální sítě Aby bylo možné s rozhraním provádět jakékoliv operace, je nutné, aby mělo nastavenu nejméně jednu (fyzickou) IP adresu. Sít ové rozhraní (sít ová karta) ovšem může mít na serveru přiřazeno více IP adres. Server se ke k nim chová stejně, jako kdyby měl pro každou takovou IP adresu vlastní sít ovou kartu. Adresy rozhraní zadávejte ve tvaru IP adresa/maska sítě (např /24 nebo / ), kde IP adresa je adresa přidělená serveru, zatímco maska sítě udává, která část IP adresy je vyhrazena pro číslování konkrétních počítačů v síti. U sít ových rozhraní je nutné, aby všechny IP adresy byly zadány v úplném tvaru, a to i v případě, že maska na této adrese je kratší než 32 bitů. Obrázek Příklad implicitního internetové rozhraní. I v případě podsítě můžete nastavovat, zda je implicitní. Při řízení a omezování provozu v podsítích je implicitní sít ta, která obsahuje všechny počítače z nadřazené sítě, které nejsou zadány v jiné sousední podsíti. To znamená, že pokud je daná podsít implicitní, není nutné jí přiřazovat žádný rozsah IP adres, jelikož ten už je dán rozdílem rozsahů nadřazené sítě a rozsahů definovaných v sousedních podsítích. V každé podsíti může být právě jedna implicitní. Rozsahy IP adres pro jednotlivé počítače v síti se opět zadávají ve tvaru IP adresa sítě/maska sítě. V tomto případě jsou významné pouze ty bity adresy, které jsou pokryty maskou. Příklad Masky IP adres Např. v adrese / (resp /32) jsou významné všechny bity adresy a tento rozsah tedy obsahuje právě jeden počítač s IP adresou Ovšem v případě adresy / (resp /24) jsou významné první tři čísla adresy a tento rozsah tedy popisuje počítače s IP adresami až

92 Obrázek Příklad neimplicitní intranetové sítě. Kapitola 11. Lokální sítě Kontroly sít ového toku Kontrolou sít ového toku se rozumí souhrn funkcí systému, které umožňují nastavovat a regulovat množství dat protékající skrze sít ové karty serveru mezi počítači v intranetu a serverem nebo z Internetu a do Internetu. Poznámka: Anglicky se tyto funkce souhrně nazývají Quality of Service neboli kvalita služeb a běžně se pro ně užívá zkratka QoS. Každé sít ové rozhraní musí mít nastavenu rychlost. Tato rychlost by měla odpovídat maximální rychlosti sít ové karty, na které je sít ové rozhraní nastaveno a která je ve většině případů rovna hodnotě 100Mbit. Tato hodnota bývá rovněž přednastavena a obvykle ji není potřeba měnit. U každé sítě, kterou máte definovánu, můžete kontrolovat toky dat tří typů: tok směřující z rozhraní zahrnuje provoz, který směřuje ze serveru, ale nesměřuje z Internetu. Typicky se jedná o stahování pošty protokolem IMAP, přenosy dat z lokálního souborového serveru nebo využívání jiných služeb, které běží na serveru. tok směřující z Internetu zahrnuje provoz, který přichází skrze implicitní rozhraní z vnějšího světa. tok směřující do Internetu zahrnuje provoz, který směřuje skrze implicitní rozhraní do vnějšího světa. Pokud chcete u některé sítě kontrolovat tok dat, musíte tento tok nejprve označit zatrhávacím políčkem. Důležitým údajem je zaručený tok, který určuje nejnižší zaručenou rychlost provozu pro danou sít. Nejvyšší možnou rychlost provozu naopak udává hodnota maximální tok. Pokud některý počítač nevyužívá plně kapacitu svého maximálního toku, rozdělí se tato přebytečná kapacita mezi jiné sítě nebo rozhraní, a to v poměru jejich zaručených toků. 82

93 Kapitola 11. Lokální sítě Obrázek Příklad nastavení kontroly řízení provozu na sít ovém rozhraní. Příklad Přerozdělení kapacity toku nad rámec zaručeného toku Mějme sít ové rozhraní s maximálním tokem 128 kbit a na něm dvě podsítě s maximálními toky rovněž 128 kbit a se zaručenými toky 16 a 32 kbit. Součet zaručených toků je tedy 48 kbit a zbývající kapacita je 80 kbit. Poměr zaručených toků je 1:2. Řekněme, že jedna podsít bude komunikovat rychlostí svého maximálního toku, zatímco druhá nebude komunikovat vůbec. Pokud ona neaktivní sít začne komunikovat a bude schopna přijímat data rychlostí svého maximálního toku, pak už součet rychlostí přijímaných dat bude vyšší než je maximální tok nadřazené sítě a proto se rychlosti toků pro podsítě musí přerozdělit. Každá podsít dostane svůj zaručený tok a k němu část ze zbývajících 80 kbit kapacity podle uvedeného poměru zaručených toků. Pomalejší linka tedy bude komunikovat rychlostí kbit a ta druhá rychlostí kbit. To dává dohromady 128 kbit, což je maximální tok nadřazené sítě. Priorita toku udává, jak rychlá bude odezva sít ové služby např. při kliknutí myši na internetový odkaz. Toky s vyšší prioritou budou dostávat přednost před jinými toky, takže práce s nimi bude plynulejší. Toto ovšem typicky platí jen pro malé přenosy dat nebo pokud sít není vytížena nad úroveň svého zaručeného toku, protože zaručený tok jednoho už nedovolí ostatním tokům předbíhat, at už mají jakkoliv vysokou prioritu. Obecná pravidla pro nastavování zaručených a maximálních toků jsou následující. Maximální toky na implicitních sít ových rozhraních by měly být o něco nižší oproti rychlosti od poskytovatele internetového připojení, aby bylo možno efektivně omezovat a řídit průchod dat sítí s ohledem na vyrovnávací paměti, mezifronty apod. Totéž platí pro intranetová sít ová rozhraní s ohledem na provoz na serveru. Maximální tok 83

94 Kapitola 11. Lokální sítě podsítě nesmí být vyšší než je maximální tok její nadřazené sítě. Součty rychlostí zaručených toků podsítí pro jednotlivé typy toků nesmí překročit zaručený tok pro tentýž typ toku u nadřazené sítě. Provoz na sít ových rozhraních lze třídit na datové toky komunikující s Internetem a datové toky komunikující se samotným rozhraním. Za tok jdoucí z Internetu se považuje datový provoz pocházející z neznámé IP adresy a odchozí datový provoz ze serveru procházející přes port, který není uveden, respektive je zakázán v seznamu porty na rozhraní. Porty se do seznamu zadávají po jedné položce, která může mít tvar jednoho čísla (25), číselného rozsahu ( ), negace čísla pro zakázání portu (!3128) nebo masky označující všechny porty (*). Aby bylo možné efektivně omezovat a řídit provoz směrem z Internetu, je potřeba na sít ových rozhraních definovat seznam portů, přes které se s Internetem nekomunikuje. To se nejčastěji provede tak, že se povolí všechny porty maskou * a současně se zakáží standardně konfigurované porty pro komunikaci s Internetem. Ty zahrnují porty 3128 a 8080 pro proxy cache a port 80 pro transparentní proxy cache. Proto doporučujeme, aby seznam portů pro sít ová rozhraní obsahoval tyto položky: *,!80,!3128,!8080. Podsítím stačí přidat do seznamu položku *, což znamená převzetí všech portů (včetně zakázaných) nastavených v nadřazené síti Aktuální sít ový provoz V rámci jednotlivých sít ových rozhraní lze podrobně sledovat množství přenesených dat nebo počty různých spojení ve specifikovaných časech. Sledování aktuálního sít ového provozu poskytuje úplný a strukturovaný záznam sít ové komunikace. Data se ukládají do databáze MySQL a to každý den do nové. Příklad Praktické použití výpisu sít ového provozu Pokud vás například zajímá, který počítač během dopoledne nejvíce vytěžoval váš server a ke kterým službám se připojoval, zjistíte to následujícím způsobem. Nejprve ve výběrovém menu Filtr zvolíte přednastavenou hodnotu komunikace tohoto serveru s jinými počítači. Dále ve výběrovém menu v prostoru pod grafem zvolíte položku zadaný rozsah a vyplníte například 9 až 12 hodin. Potom v tabulce kliknete na rozbalovací menu u prvního sloupce a zvolíte IP Ostatní. Uvidíte seznam strojů, které komunikovali se serverem, uspořádaný podle množství přenesených dat. Pak kliknete na jméno nebo IP adresu prvního počítače v seznamu a v rozbalovacím menu zvolíte Porty Server. Následně v seznamu uvidíte čísla nejvytíženějších portů, které jsou v případě významných serverových služeb pojmenované. Zobrazovaní samotných dat o přenosech se řídí několika úrovněmi omezujících podmínek. Jedná se o filtry, časy a spojení. Ještě před jejich popisem je potřeba se zmínit o některých obecných funkcích dostupných z rozbalovacího menu: položka menu Překládat IP na jména tato funkce, pokud je povolena, automaticky překládá číselné adresy v tabulce na doménová jména podle jednotlivých DNS. Pokud překlad trvá déle než 10 84

95 Kapitola 11. Lokální sítě sekund, proces se přeruší a adresy, na jejichž překlad se ještě nedostalo, se v seznamu zobrazí v hranatých závorkách. položka menu Zobrazovat množství za sekundu pokud je tato funkce povolena, tak se v tabulce výsledků budou namísto celkových množství přenesených dat zobrazovat průměrné přenosové rychlosti za sekundu pro stejný časový interval. položka menu Exportovat do CSV tato funkce uloží obsah aktuálně zvolené tabulky do textového výměnného formátu CSV. Ačkoliv do tabulky samotné se z databáze vypisuje nejvýše 60 řádků, export do souboru jich obsahuje nejvýše tlačítko Obnovit tato funkce aktualizuje právě zobrazovaná data v tabulce. Ta se mohou měnit zejména v závislosti na zvoleném časovém intervalu. Pokud je povolena funkce Překládat IP na jména a překlad byl kvůli pomalé odezvě přerušen, tato funkce se rovněž pokusí dopřekládat IP adresy zobrazené v hranatých závorkách Filtry Filtr je primární prostředek pro omezení výpisu dat z databáze sít ového provozu. Jeho nejdůležitější funkcí je vymezit komunikující strany, aby bylo možno vhodně interpretovat výsledná data. Několik přednastavených filtrů je k dispozici ve stejnojmenném výběrovém menu, jak je vidět na obrázku níže. V menu nalevo jsou položky na vytváření, editování a mazání filtrů. Přednastavené filtry nelze editovat ani mazat. Při vytváření nového uživatelského filtru se do jeho nastavení zkopírují údaje z aktuálně zvoleného filtru. Podrobný popis nastavení uživatelských filtrů najdete v kapitole níže. Obrázek Filtry sít ového provozu Přednastavené filtry komunikace lokální sítě s Internetem na lokální straně filtru jsou všechny IP adresy uvnitř sítě s 85

96 Kapitola 11. Lokální sítě vyloučením adres sít ových rozhraní, na protější straně je jakákoliv IP adresa, která nenáleží do žádné sítě na lokálním serveru. Součty nejsou nijak omezeny. komunikace tohoto serveru s jinými počítači na lokální straně jsou všechny IP adresy lokálního serveru, na protější straně je jakákoliv jiná IP adresa. Součty nejsou nijak omezeny. všechna komunikace tento filtr neobsahuje žádná omezení vlastně nic nefiltruje, ale poskytuje pohled na všechna zaznamenaná data. Proto je seznam IP adres nebo portů ve výsledné tabulce za obě strany stejný (strany nejsou specifikovány). Proto jsou také množství odeslaných a přijatých dat při zobrazení provozu přes protokoly nebo v minutovém rozvrhu totožné jsou započítány zdrojové i cílové adresy a sloupec Celkem pak tedy de facto zobrazuje dvojnásobné množství přenesených dat Časy V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval. Tlačítka s lupou slouží k přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí směrových šipek v téže liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje aktuální časový interval. Obrázek Časové filtry sít ového provozu Spojení Tabulka pod grafem zobrazuje data, která odpovídají zadanému filtru v daném časovém intervalu. První sloupec zobrazuje procentuální podíl jednotlivých spojení na celkovém objemu přenesených dat. 86

97 Kapitola 11. Lokální sítě Záznamy, které pokrývají méně než jedno procento úhrnného sít ového provozu, se zobrazují dohromady pod jednou barvou. Druhý sloupec obsahuje zvolenou podmínku pro zobrazovaná data spojenou s výběrovým menu pro její změnu. U IP adres a portů je za pomlčkou vyznačeno jméno komunikující strany, které je součástí zvoleného filtru a je bud přednastaveno nebo nastaveno uživatelem. Více v podkapitole o filtrech: IP podle názvu, který následuje za pomlčkou se jedná bud o lokální IP adresy nebo o protější IP adresy tak, jak jsou nadefinovány ve zvoleném filtru. Výsledný seznam obsahuje IP adresy, které se na příslušné straně podíleli na datovém přenosu na sít ovém rozhraní. Porty port je číslo, které protokoly TCP a UDP používají k identifikaci služeb nebo aplikací, které komunikují přes sít. Podle názvu, který následuje za pomlčkou, se jedná bud o lokální porty nebo o protější porty tak, jak jsou nadefinovány ve zvoleném filtru. Čísla portů se automaticky překládají, pokud jsou tyto porty pojmenovány. Položky beze jména a bez čísla označená pomlčkou nejsou ve skutečnosti porty, ale přenosy vztahující se k protokolům, které porty nepoužívají, např. ICMP. Protokoly protokol se soubor pravidel, podle kterých probíhá provoz skrze počítačovou sít. Při zobrazení provozu podle protokolů se nerozlišují komunikující strany na lokální a protější. Minuty nejjemnější časový interval pro zobrazení je pět minut, ale touto volbou můžete zobrazit datové přenosy pro každou minutu ve zvoleném intervalu. Při tomto zobrazení se nerozlišují komunikující strany na lokální a protější. Obrázek Spojení sít ového provozu. Ke každé položce v tabulce lze zobrazit kliknutím další podrobnosti výběrem jiné omezující podmínky z menu. V takovém případě se všechna dosavadní omezení zobrazují postupně za sebe do stavového řádku těsně pod graf. Tento stavový řádek obsahuje první až předposlední omezující podmínku, poslední podmínka je potom zobrazena v názvu druhého sloupce tabulky. Podmínky ve stavovém řádku mají rovněž své menu, které se otevře při kliknutí. Položka Jdi zpět na zruší všechny později zadané podmínky, položka Odstranit podmínku vyjme jen onu zvolenou z posloupnosti podmínek a 87

98 Kapitola 11. Lokální sítě položka Upravit podmínku umožní změnit konkrétní hodnotu pro danou podmínku. Kliknutím na tlačítko Zpět zrušíte poslední podmínku v posloupnosti. Obrázek Příklad posloupnosti omezujících podmínek při zobrazení sít ového provozu. Následuje stručný popis zbývajících sloupců tabulky: odesláno název tohoto sloupce obsahuje pro porty a IP adresy také jméno komunikující strany použité ve filtru, aby nemohlo dojít k nedorozumění při interpretaci množství přenesených dat. přijato množství přijatých dat se vždy vztahuje k opačné komunikující straně, než která je specifikována u sloupce odesláno. celkem součet sloupců odesláno a přijato. Pokud máte aktivní filtr, ve kterém nejsou specifikovány komunikující strany (např. implicitní filtr všechna komunikace), pak při zobrazení podmínek, které komunikující strany nerozlišují (např. zobrazení provozu podle protokolů), započítávají příchozí i odchozí data dvakrát. Proto jsou v tomto případě relevantnější hodnoty ze sloupce odesláno nebo přijato. Ty zahrnují všechny komunikující strany a proto jsou totožné. paketů celkový počet přenesených paketů v daném časovém rozsahu. spoj. počet spojení, která byla pro danou položku v seznamu navázána v době vymezené nastaveným časovým intervalem. Pokud je tato hodnota nulová, zatímco přenesených dat je více, znamená to, že bud byla tato data přenesena protokoly, které spojení nenavazují (např. UDP nebo ICMP) nebo byla všechna spojení navázána ještě před okamžikem začátku zvoleného časového rozsahu. v čase obsahuje přepočítání aktuálně zvoleného časového intervalu do konkrétních hodnot Konfigurace vlastního filtru Při vytváření nebo editaci filtru se otevře nové dialogové okno. Název filtru by měl popisovat, jaká data filtr z databáze vyhledává. Výběrové menu Uložit do se týká přístupových práv, tedy dostupnosti 88

99 Kapitola 11. Lokální sítě tohoto filtru jiným uživatelům. Filtr může být přístupný bud pouze samotnému uživateli nebo všem uživatelům, kteří mají nastaveno oprávnění číst graf v dané lokální síti, resp. na celém serveru. Obrázek Nový filtr. Aby bylo možné se lépe orientovat ve vypočítaných údajích, je možné přidělit jednotlivým komunikujícím stranám vlastní názvy (nejvýše 10 znaků). IP adresy a porty jedné strany (obvykle lokální) jsou označeny proměnnými ip a port, IP adresy a porty protější strany pak proměnnými second_ip a second_port. Názvy jednotlivých stran jsou potom vyznačeny u zvolené podmínky a u sloupce s množstvím odeslaných dat ve výsledné tabulce. Následují dvě pole, do kterých se zadávají další omezující podmínky filtru. Pole Vyhledávání upřesňuje parametry komunikujících stran, pole Součty se týká omezení souhrnných množství přenesených dat v různých formátech (počet bytů, paketů nebo spojení). Obě tato pole přijímají předpis v podobě asociativního pole (nazývaného také hash) v syntaxi jednoduchého jazyka JSON ( Prvky hashe jsou dvojice ve tvaru (klíč: hodnota), případně pole, jehož prvky jsou hashe. Vyhodnocování výsledného předpisu takového zápisu se řídí následujícími pravidly: Pokud omezující podmínka obsahuje více hashů spojených do výsledného pole, aplikuje se na ně logický součet. To znamená, že údaje z databáze odpovídající kterémukoliv dotazu zapsanému v hashi, se objeví ve výsledné tabulce sít ového provozu. Pokud jeden hash obsahuje více prvků, aplikuje se na ně logický součin. To znamená, že aby byla splněna podmínka celého hashe, musí být splněny všechny podmínky v něm. Pro samotné psaní omezujících podmínek je potřebná znalost klíčů, hodnot a proměnných, které lze v hashích využívat. Pro pole jako hodnotu klíče existují tři speciální řetězce, které ovlivní vyhodnocování jeho obsahu, pokud jsou umístěny jako první prvek pole: or při vyhodnocování výrazu se prvky pole spojí operací logického součtu. and při vyhodnocování výrazu se prvky pole spojí operací logického součinu. not při vyhodnocování výrazu se použije negace obsahu pole. 89

100 Kapitola 11. Lokální sítě Pokud není zadán žádný z těchto řídících řetězců, vyhodnocuje se obsah pole tak, jako by byl zadán řetězec or. Pole může obsahovat jako prvek další pole. Následuje popis jednotlivých klíčů s příklady. Tip: V zápisu vlastních filtrů lze používat dokonce ještě odlehčenější a přehlednější syntaxi jazyka JSON ( kolem jmen klíčů není potřeba psát uvozovky, řády tisíců lze v zápisu čísla oddělovat podtržítkem (např. 1_000_000), prvky polí a hashů není potřeba oddělovat čárkou. Poznámka: Zápis vyhledávacího nebo součtového filtru může obsahovat komentáře. Ty mohou být označeny bud takto: /* všechno tohle je komentář */, nebo mohou být uvozeny dvěma lomítky: // vše až do konce řádku je komentář Vyhledávání K dispozici jsou tyto klíče do hashů: ip specifikuje IP adresu, která se bude hledat v databázi. Tento klíč samostatně neurčuje komunikující stranu. Hodnotu lze zapisovat bud klasicky jako čtveřici číslic ( ), jako celé číslo (v našem příkladu ) nebo jako zápis s maskou ve tvaru /16 nebo / Je možné také zadávat jméno počítače (hostname např. aurora.priklad.cz). second_ip specifikuje IP adresu na protější straně spojení, pokud je již specifikován klíč ip. Jinak se chová stejně jako klíč ip. port specifikuje číslo portu. Tento klíč samostatně nespecifikuje komunikující stranu, ale vztahuje se ke klíči ip, resp. k opačné straně specifikované v klíči second_ip, pokud je některý z těchto klíčů uveden. Hodnotou je bud řetězec s názvem portu (např. ssh) nebo celé číslo (v našem příkladu 22). second_port specifikuje port vztahující se ke komunikující straně specifikované klíčem second_ip, resp. k opačné straně, než která je specifikována klíčem ip nebo port, pokud je některý z těchto klíčů uveden. time specifikuje hodinu a minutu, kdy byl záznam zapsán do databáze. Hodnotou je bud řetězec (např. 11:11) nebo celé číslo označující číslo minuty v daném dnu (v našem příkladu tedy 671). protocol specifikuje komunikační protokol spojení. Hodnotou je bud řetězec (např. tcp) nebo číslo protokolu (v našem příkladu tedy 6). Hodnoty k těmto klíčům mohou být seskupeny do polí a mohou obsahovat následující proměnné: all_networks označuje všechny IP adresy, které nastaveny na všech lokálních sítích. Do tohoto výčtu spadají i adresy definované maskou sítě. 90

101 Kapitola 11. Lokální sítě interface_ips označuje všechny IP adresy náležící sít ovému rozhraní, do kterého filtr náleží. Do tohoto výčtu se nepočítají adresy definované maskou sítě. all_ips označuje IP adresy všech sít ových rozhraní na serveru. Do tohoto výčtu se nepočítají adresy definované maskou sítě. network označuje všechny IP adresy náležící sít ovému rozhraní, do kterého filtr náleží. Do tohoto výčtu spadají i adresy definované maskou sítě. Příklad Příklad vyhledávacího filtru. { second_ip: [ "not", "${all_networks}" ], ip: [ "and", "${network}", [ "not", "${interface_ips}" ] ] } Tento filtr zobrazí komunikaci adres v síti, s výjimkou adres sít ového rozhraní, s adresami, které nepatří do žádné definované lokální sítě. Je to tedy komunikace aktuální lokální sítě s Internetem Součty K dispozici jsou tyto klíče do hashů: bytes1_2_sum, bytes2_1_sum specifikuje množství přenesených bytů, které se zobrazují v tabulce ve sloupcích odesláno a přijato. Strana 1 je určena hodnotou klíče ip, strana 2 hodnotou klíče second_ip. Hodnoty jsou přirozená čísla. bytes_sum specifikuje celkové množství přenesených bytů, které odpovídá sloupci celkem ve výsledné tabulce. Jedná se o součet hodnot klíčů bytes1_2_sum a bytes2_1_sum. Hodnotou je přirozené číslo. packets_sum specifikuje celkové množství přenesených paketů. Hodnotou je přirozené číslo. conns_sum specifikuje celkové množství navázaných spojení. Hodnotou je přirozené číslo. time_min, time_max specifikuje nejstarší respektive nejnovější čas, kdy byl zaznamenán přenos paketu, který spadá do vyhledávacího filtru. Formát zápisu je stejný jako u klíče time popsaného výše. Pokud jde o hodnoty k těmto klíčům, lze je zadávat bud jako celá čísla nebo jako intervaly. Krajní hodnota intervalu do něj vždy náleží. Zápis znamená hodnoty od 1 včetně do 100 včetně. Zápisy 66.., respektive..66 znamená hodnoty větší nebo rovno, respektive menší nebo rovno hodnotě

102 Kapitola 11. Lokální sítě Příklad Příklad součtového filtru. { } bytes_sum: "1_000_000..", conns_sum: "..10" Tento filtr zobrazí pouze záznamy těch toků, ve kterých byl v součtu přenesen více než 1 MB dat, ale současně bylo v zadanou dobu navázáno nejvýše 10 spojení Archiv sít ového provozu Archiv sít ového provozu je databáze, do které se dlouhodobě ukládají informace o přenosech dat na lokální síti. Můžete sledovat grafy přenosových rychlostí zvolené sítě při komunikaci s Internetem, rozšířené o výpočet skutečného množství přenesených dat. Záznam grafů slouží zejména ke sledování dlouhodobých statistik, ale lze je používat i ve spojení s nastavením kontroly sít ového toku. Pokud je nastaven maximální tok, zobrazí se v grafu jako modrá čára. Pokud v tabulce Sledované sítě zvolíte sít, která má podsítě, zobrazí se ve výsledné tabulce všechny setříděny podle množství přenesených dat. Barevně je ovšem odlišeno a zobrazeno v grafu pouze prvních šest (pod)sítí, jinak by graf mohl být zcela nepřehledný. Pokud potřebujete zobrazit jiné nebo konkrétní sítě, označte je zaškrtávacími políčky a klikněte na tlačítko Zobrazit jen vybrané. Následně se také překreslí barevná legenda pro graf. Pokud tlačítko použijete v okamžiku, kdy není označena žádná sít, zobrazí se opět všechny sítě, resp. prvních šest. Rozbalovací menu nad grafem umožňuje tyto funkce: automaticky obnovovat pokud je tato funkce zapnuta, tak se každých pět minut načte nový graf s aktuálními údaji, zobrazovat maximální rychlosti implicitně se do grafů vypočítávají průměrné rychlosti, zapnutím této funkce zobrazíte přehled nejvyšších dosažených rychlostí; rozdíl v grafu je typicky patrný až při delších časových intervalech, zobrazovat b/s implicitně se vypočítávají rychlosti v bytech za sekundu (B/s), zapnutím této funkce zobrazíte hodnoty v bitech za sekundu, exportovat do CSV tato funkce uloží údaje ze všech sítí a podsítí ve výsledné tabulce do textového souboru pro další strojové zpracování, v tomto případě jsou to hodnoty oddělené středníkem. V liště pod grafem můžete ve výběrovém menu přepínat konkrétní časový interval pro vodorovnou osu grafu. Škála pro svislou osu se počítá automaticky podle naměřených hodnot. Tlačítka s lupou slouží k přepínání časových rozsahů z menu s tím, že přiblížení grafu znamená zobrazení následujícího kratšího intervalu z menu a obráceně. Na časové ose se lze rovněž posunovat pomocí směrových šipek v téže liště. V řádku těsně nad vykresleným grafem se v každém případě zobrazuje aktuální časový interval. 92

103 Kapitola 11. Lokální sítě Poznámka: Databáze aktuálních údajů se pro každé časové období doplňuje kontinuálně a v závislosti na konfiguraci serveru se rovněž obměňuje přepisováním starých dat. To prakticky znamená, že po několika dnech až měsících jsou přepsána grafová data z nejjemnějšího časového členění. V takovém případě se graf zobrazí jako zmenšenina nejbližšího grafu, který ještě obsahuje přesná data. Pokud tedy zastarají informace o minutách, použije se graf pro hodiny apod. Obvykle potom graf vypadá jako rovná čára nebo schod. Obrázek Příklad denního grafu na sít ovém rozhraní Dynamické akce Dynamické akce na lokální síti jsou implementací politiky přiměřeného využívání provozu sítě (Fair Use Policy, FUP). V zásadě se jedná o přenastavování hodnot kontroly sít ového toku v závislosti na čase, tedy aktuální změny nastavení sítě. 93

104 Kapitola 11. Lokální sítě Obrázek Kalendář dynamických akcí Dynamické akce lze definovat pro každou sít nebo podsít, která k tomu má vytvořený speciální kalendář. Akce se přidávají standardním způsobem tlačítkem Přidat událost.. nebo kliknutím na číslo hodiny. Důležité je u takové události správně nastavit její opakování. Obrázek Opakování dynamické akce 94

105 Kapitola 11. Lokální sítě To, co ve skutečnosti odliší běžnou událost od dynamické změny nastavení sítě, je definování akce, kterou lze přidat ve výběrovém menu běžně používaném pro připomínky, jak je vidět na obrázku níže. Do pole Provést akci se pak vepíše seznam instrukcí, jak se má nastavení sítě modifikovat. Je také potřeba definovat nejen akci těsně po začátku nastaveného intervalu, která nastavení změní, ale také akci po skončení intervalu, která vrátí změněné hodnoty do původního stavu. Na obrázku je příklad takového nastavení. Následuje popis jednotlivých příkazu, které lze používat pro předpis dynamické akce. Obrázek Opakování dynamické akce Instrukce pro příkazy dynamických akcí Dynamické změny nastavení parametrů pro řízení provozu na síti se zapisují formou příkazů. Konkrétní parametry k příkazům se oddělují dvojtečkou. Následuje jejich popis: modify network tato hodnota se předvyplní hned po vytvoření akce včetně jejího parametru, což je název sítě. Uvozuje změnu konfigurace sítě. flow_enabled odpovídá zatrhávacímu poli Kontrolovat tok směřující z rozhraní. Možné hodnoty jsou true a false. flow_min odpovídá zaručenému toku z rozhraní. Hodnotou je číslo. Tato hodnota je v kbit/s. flow_max odpovídá maximálnímu toku z rozhraní. Hodnotou je číslo. Tato hodnota je v kbit/s. 95

106 Kapitola 11. Lokální sítě flow_priority odpovídá prioritě toku z rozhraní. Hodnotou je číslo z intervalu 0 až 7, kde nula označuje nejvyšší prioritu. flow_enabled_in odpovídá zatrhávacímu poli Kontrolovat tok směřující z Internetu. Možné hodnoty jsou true a false. flow_min_in odpovídá zaručenému toku z Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s. flow_max_in odpovídá maximálnímu toku z Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s. flow_priority_in odpovídá prioritě toku z Internetu. Hodnotou je číslo z intervalu 0 až 7, kde nula označuje nejvyšší prioritu. flow_enabled_out odpovídá zatrhávacímu poli Kontrolovat tok směřující do Internetu. Možné hodnoty jsou true a false. flow_min_out odpovídá zaručenému toku do Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s. flow_max_out odpovídá maximálnímu toku do Internetu. Hodnotou je číslo. Tato hodnota je v kbit/s. flow_priority_out odpovídá prioritě toku do Internetu. Hodnotou je číslo z intervalu 0 až 7, kde nula označuje nejvyšší prioritu. default označuje, zda je dané rozhraní implicitní. Možné hodnoty jsou true a false. ips označuje IP adresy (včetně masky), které popisují nějakou existující sít. V zásadě odpovídá seznamu Adresy rozhraní v nastavení sítě. Jelikož může seznam obsahovat více položek, je nutné je zapisovat v následujícím formátu: ips: / /32 interface_ports obsahuje položky seznamu Porty na rozhraní. Jelikož může obsahuje více položek, je nutné je zapisovat v následujícím formátu: interface_ports: *! Pomocí dynamické akce lze řídit i provoz na síti, pokud jde o množství přenesených dat za jednotku času, tedy podle smluvních podmínek pro konkrétního zákazníka (kvalita služeb, QoS). Taková akce se uvozuje příkazem modify qosfup:, za kterým následuje jméno sítě nebo podsítě, na kterou se akce vztahuje. Povinnými parametry pro tento typ akce jsou: window označuje časové období, pro které se do minulosti kontroluje množství přenesených dat. Bud obsahuje celé číslo nebo některou z hodnot day, week nebo month, která postupně označuje 96

107 Kapitola 11. Lokální sítě den, týden nebo měsíc. Zatímco číslo vždy přesně určuje, kolik dnů zpátky se bude brát v úvahu, slovní hodnota kontroluje období od začátku dané časové jednotky po aktuální datum. limit maximální množství dat v megabytech, které v součtu mohou projít z a do dané sítě. V okamžik, na který je nastaveno spuštění akce modify qosfup, se zkontroluje, zda je množství přenesených dat za dané období vyšší nebo nižší, než je nastavený limit. Pak se provádí stejné příkazy jako u akce typu modify network. Příkazy pro případ překročení limitu mají příponu over_ a pro případ nepřekročení mají příponu under_. Obrázek Příklad dynamické akce typu qosfup Konfigurace VPN v systému Windows VPN (virtual private network) je prostředek pro propojení počítačů na různých místech Internetu do jedné virtuální počítačové sítě. I když počítače mohou být ve fyzicky nezávislých sítích na různých místech světa, prostřednictvím virtuální privátní sítě spolu mohou komunikovat, jako by byly v jediném sít ovém segmentu. Prostřednictvím VPN lze zajistit například připojení notebooků kdekoliv na internetu do vnitřní firemní sítě (intranetu). K propojení slouží VPN server, který má přístup do Internetu i intranetu a může sloužit bud jen pro jednoho klienta nebo jako rozbočovač přijímající spojení od více klientů. Na druhé straně spojení je VPN klient, který se přes Internet připojí k serveru a prostřednictvím něj pak do intranetu. VPN server pak plní v podstatě funkci sít ové brány. VPN funguje na principu sít ového tunelování, kdy se prostřednictvím standardního sít ového spojení vytvoří virtuální linka mezi dvěma počítači, v rámci které pak lze navazovat další sít ová spojení. V systému Windows jako vhodný software ke zprovoznění takových virtuálních spojení doporučujeme OpenVPN, který je jako instalační balíček k dispozici zdarma na serveru openvpn.se 97

108 Kapitola 11. Lokální sítě ( Součástí tohoto balíčku je také pomocná aplikace s uživatelským rozhraním OpenVPN GUI, která usnadňuje a zpřehledňuje práci, ale k samotnému navazování VPN spojení není nezbytná. Při instalaci se spustí standardní průvodce. Jednotlivé součásti balíku jsou nastaveny tak, že je není nutné při instalaci nic měnit (snad s výjimkou volby Autostart OpenVPN GUI, pokud nechcete, aby se aplikace automaticky spouštěla). Potom se do systému přidá virtuální ethernetové sít ové rozhraní (TAP-Win32 Adapter V8), na což systém Windows reaguje hlášením, že neexistuje ověření hardwaru od Microsoftu. Zadejte, že chcete v instalaci pokračovat. Virtuální adaptér pro komunikaci využívá skutečnou sít ovou kartu a není potřeba jej konfigurovat. Všechny potřebné parametry nastavení obdrží od VPN serveru, ke kterému se připojí pomocí certifikátu, viz níže. Samotné spojení se realizuje bud programem openvpn.exe nebo prostřednictvím ikony OpenVPN GUI v nástrojové liště Windows, která zobrazí menu po kliknutí na pravé tlačítko myši. Tato ikona představuje program openvpn-gui.exe. Oba jsou typicky umístěny v adresáři C:\Program Files\OpenVPN\bin. VPN spojení můžete v jednu chvíli otevřeno více, pro každé však musí existovat vlastní virtuální adaptér. To lze přidat přímo z programové nabídky OpenVPN v hlavním menu systému položkou Add a new TAP-Win32 virtual ethernet adapter. Stav spojení můžete kontrolovat ve výpisu konzole se systémovým hlášením prostřednictvím položky Show Status aplikace OpenVPN GUI. Obrázek Volby při instalaci OpenVPN; vpravo menu pro OpenVPN GUI VPN spojení lze zprovoznit dvěma způsoby. V obou případech je potřeba kontaktovat linku technické podpory vašeho integrátora WebISu a vyžádat si certifikát spolu s klíči pro připojení na server. Poznámka: Certifikáty a klíče zasíláme v komprimovaném souboru a šifrovaně. Heslo k tomuto souboru získáte ve zvláštní zprávě šifrované pomocí PGP nebo jiným nezávislým, bezpečným kanálem. VPN spojení může běžet jako služba na pozadí, která se spustí při startu systému ještě před přihlášením, ovšem, ač s minimální režií, zatěžuje sít ovou linku. Pokud je pro vás takové řešení 98

109 Kapitola 11. Lokální sítě vyhovující, obdržíte spolu s certifikátem také instalační balíček, který nainstaluje všechny potřebné součásti pro provoz OpenVPN a nakonfiguruje spouštění zmíněné služby na pozadí. Tuto službu smí běžně používat jen administrátor jiným uživatelům to lze povolit programem subinacl.exe ( Tento program sm9 rovněž spouštět jen administrátor nebo jiný uživatel s příslušným oprávněním. Pokud máme například uživatele test, příkazem subinacl /SERVICE "OpenVPNService" /GRANT=test=TO mu udělíme oprávnění spouštět OpenVPN jako službu. K tomu je ale ještě potřebné nebo užitečné modifikovat některé klíče v registru systému pomocí příkazu regedit. Jedná se o klíče v cestě HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\: allow_service při hodnotě 1 bude možné spouštět OpenVPN jako službu, service_only při hodnotě 1 zapne režim pro OpenVPN GUI, aby běželo pouze v režimu služby (vypne nastavení proxy a zakáže odpojování spojení, místo toho nabízí pozastavení běhu služby), allow_edit při hodnotě 0 zakáže editovat konfigurační soubor VPN spojení, allow_password při hodnotě 0 zakáže editovat heslo k soukromému klíči pro spojení. Poznámka: Nevýhodou tohoto přístupu je, že u této metody není možné službě OpenVPN předat heslo, kterým šifrujete svůj soukromý klíč. Proto je nutné používat nešifrovaný soukromý klíč, volně ložený na disku. Tento problém lze obejít tím, že svůj klíč vložíte do úložiště certifikátů prostřednictvím konzole MMC s parametrem --cryptoapicert pro jeho nahrání. Pokud budete spouštět VPN spojení manuálně a máte již nainstalován OpenVPN, obdržíte pouze certifikát a klíče, které je potřeba nakopírovat typicky do adresáře C:\Program Files\OpenVPN\config. Teprve potom umožní aplikace OpenVPN GUI navázat spojení. Pokud je povolena volba registru allow_password (viz výše), můžete nastavit heslo pro soukromý klíč spojení, které se při každém manuálním spojení bude kontrolovat. Heslo musí mít alespoň osm znaků. Obrázek Nastavení registru pro OpenVPN GUI 99

110 Kapitola 11. Lokální sítě Podsítě Tato sekce poskytuje přehled o podsítích sítě, jejíž název je v nadpisu stránky. Zde můžete rovněž přidávat další podsítě. Po zadaní jména a kliknutí na tlačítko Přidat se podsít vytvoří a systém vás přesměruje do sekce Nastavení pro tuto podsít. Pokud nějakou podsít označíte zaškrtávacím políčkem, můžete ji z nadřazené sítě zrušit tlačítkem Smazat. Kliknutím na název podsítě zobrazíte její vlastní podsítě. Pokud si přejete zobrazit podsítě nadřazené sítě, klikněte na tlačítko Nahoru, které je v levém horním rohu stránky. Toto tlačítko můžete při navigaci mezi sítěmi použít z kterékoliv podsekce sekce Lokální sítě. Obrázek Výpis podsíti rozhraní intranet Přístupová práva Přístupová práva pro sítě a podsítě se řídí stejnými pravidly, která jsou popsána v kapitole Přístupová práva. Pouze oprávnění zobrazit graf je nové. Pokud má uživatel nebo skupina toto oprávnění nastaveno, uvidí graf pro tuto sít ve WebISu v sekci Účtování. 100

111 Obrázek Příklad nastavení přístupových práv na rozhraní. Kapitola 11. Lokální sítě 101

112 Kapitola 12. Archiv hlášení Jednotlivé systémy serveru ukládají informační a chybová hlášení do souborů. V závislosti na nastavení periody pro ukládání těchto záznamů se jednotlivá hlášení komprimují do archivů a jsou v této sekci k dispozici ke stažení. Hlášení, které ještě nebylo zkomprimováno po tzv. rotaci logů, má v seznamu aktivní odkaz a lze jej přímo v Administraci prohlížet. Jinak lze každé hlášení stáhnout na disk. Kritérium pro rotaci záznamu může být pro každou službu jiné (např. velikost souboru), ale obvykle k ní dochází pravidelně jednou denně. Aby uživatel mohl prohlížet systémová hlášení, musí mít oprávnění vypsat a číst v globálních přístupových právech, v kategorii k tomuto serveru. Archiv hlášení obsahuje: hlášení systému, hlášení poštovního serveru, dotazy na WWW cache, ladící hlášení WWW cache, hlášení jádra systému, chybová hlášení WWW serveru. Obrázek Seznam archivu hlášení Na obrázku níže vidíte výpis aktivního záznamu. Pomocí tlačítka Obnovit znovu načtete obsah záznamu. Tato funkce má význam pouze u aktivních záznamů. Ve vyhledávacím poli můžete odesláním dotazu zvýraznit všechny řádky, které obsahují zadaný vzorek. Hledání probíhá plnotextově nad každou řádkou záznamu bez ohledu na velikosti písmen, takže lze zadávat dotazy jako "] INF" nebo ":46". Nelze ovšem využívat žádných zástupných znaků. Tlačítkem Hledat další odešlete dotaz na další stranu seznamu. Počet zobrazených řádků na stránce lze měnit ve výběrovém menu, které je v horní liště napravo. 102

113 Kapitola 12. Archiv hlášení Obrázek Výpis aktivního hlášení 103

114 Kapitola 13. Nastavení služeb serveru V nejvyšší úrovni Administrace, v záložce Další nastavení je nabídka Nastavení služeb serveru. Ne všechny služby popsané níže jsou k dispozici na každém serveru, některé fungují jako moduly, které se instalují zvlášt podle toho, jaký typ serveru je u daného zákazníka v provozu nebo jaké speciální požadavky zákazník má DHCP DHCP (Dynamic Host Configuration Protocol) je aplikační protokol z rodiny TCP/IP. Používá se pro automatické přidělování IP adres koncovým stanicím a dalším sít ovým zařízením (obecně klientům) v síti. Současně s IP adresou posílá server stanicím i další nastavení pro používání sítě, například adresu nejbližšího směrovače (routeru), masku sítě nebo adresy DNS serverů. DHCP protokol přináší zejména tyto výhody: uživatelé nemusí na svých počítačích v souvislosti s připojením k síti nic nastavovat, protokol zaručuje, že se v síti nevyskytnou dvě stejné IP adresy, správce sítě může "přečíslovat" celou sít nebo změnit její nastavení s minimálním zásahem do práce uživatelů. V Administraci je možné nakonfigurovat DHCP server. Ten přiděluje klientům IP adresy automaticky a na omezenou dobu. Klient před přidělením adresy může požádat o dobu platnosti a v průběhu připojení si sám žádá o prodloužení platnosti, pokud to potřebuje. V tabulce Globální nastavení lze nastavit implicitní a maximální dobu platnosti pro přidělenou IP adresu. implicitní doba v sekundách udává čas, po který bude přidělená IP adresa platná, pokud klient explicitně nepožádá o dobu platnosti. maximální doba v sekundách udává čas, po který bude přidělená IP adresa platná, pokud klient explicitně zažádá o dobu platnosti, která překračuje tuto maximální dobu. Přidělování IP adres je vždy vázáno na určitý rozsah, který definuje podsít. Tuto podsít zadáváme ve tvaru IP adresa/maska sítě (např /24 nebo / ), kde IP adresa je adresa přidělená serveru, zatímco maska sítě udává, která část IP adresy je vyhrazena pro číslování konkrétních počítačů v síti. Kliknutím na zadanou podsít v seznamu ji můžete dále konfigurovat, viz níže. V tabulce Aktuální stav jsou informace o klientech, kteří jsou právě připojeni a mají serverem DHCP přidělenu dočasnou nebo fixovanou IP adresu. 104

115 Obrázek Základní nastavení DHCP Kapitola 13. Nastavení služeb serveru Nastavení DHCP pro podsít V rámci podsítě může být definována nějaká doména, která se bude přidávat k hostname jednotlivých klientů při překladu IP adres pomocí DNS. Jako IP adresa pro jmenný server a router se implicitně přednastaví první adresa náležící do rozsahu podsítě, což je obvyklý způsob. Adresa pro jmenný server nebo router ale nemusí být nutně číselná, jak je vidět na obrázku níže. Adres pro jmenné servery i routery může být víc, pokud jsou odděleny čárkou. Implicitní a maximální doba pro přidělení IP adresy mohou být pro podsít jiné než pro celý server, pokud nejsou zadány, platí ty ze serveru. Obrázek Nastavení DHCP pro podsít 105

116 Kapitola 13. Nastavení služeb serveru V dané podsíti nemusí být všechny IP adresy k dispozici klientům. K určení těch skutečně volných slouží rozsahy přidělovaných adres. Rozsah se zadává ve tvaru [počáteční IP]-[koncové IP], jak je vidět na obrázku. Nelze zadávat rozsahy, kde některá s hraničních IP adres nepatří do podsítě a nelze zadávat samostatné IP adresy. Pokud je to nutné nebo vhodné, je možné v dané podsíti vybranou IP adresu fixovat, tzn. přiřadit ji ke konkrétnímu klientovi tak, aby ji server DHCP nemohl přiřadit jinému klientovi. Fixovaná IP adresa musí ležet v dané podsíti, ale současně mimo definované rozsahy adres, které se přidělují automaticky. Fixovaná IP adresa je vázána na konkrétní sít ové zařízení, které už při výrobě dostane jedinečný identifikátor (vlastně výrobní číslo), kterému se říká MAC adresa (Media Access Control). Tato adresa se skládá z 48 bitů a nejčastěji se zapisuje jako šestice dvojciferných hexadecimálních čísel oddělených dvojtečkami (například 01:23:45:67:89:ab). Jméno zařízení je rovněž povinné a slouží jako jmenovka pro lepší orientaci správce Antispamový subsystém Jednou ze součástí poštovního serveru je antispamový subsystém. V kombinaci s nastavením filtrovacích pravidel je možné příchozí poštu podle antispamového hodnocení rozpoznat jako nevyžádanou a dále ji zpracovávat. Zejména se využívá možnosti nastavit její uložení do speciální složky. Obrázek Seznam služeb serveru Identifikace a označení spamu Každá zpráva je při průchodu antivirem zkontrolována antispamovým programem SpamAssassin, který na základě několika stovek různých testů přidělí zprávě bodové ohodnocení (skóre). Čím vyšší je 106

117 toto skóre, tím vyšší je pravděpodobnost, že testovaná zpráva je skutečně spam. Kapitola 13. Nastavení služeb serveru Ke každé zprávě, která má skóre 1 nebo více, přiřadí SpamAssassin hlavičku X-Spam-Level, která obsahuje jednu nebo více hvězdiček. Počet hvězdiček v hlavičce X-Spam-Level se rovná celočíselné části dosaženého skóre. Je doporučeno považovat za spam zprávy, které mají v hlavičce X-Spam-Level pět a více hvězdiček Filtrování spamu Podle hlavičky X-Spam-Level lze spam ukládat do speciální složky. To lze nastavit ve filtrovacích pravidlech příchozí pošty (více o možnostech filtrování příchozí pošty najdete v kapitole Filtrovací pravidla příchozí pošty). Obrázek Ukázka antispamového pravidla Učení Jedna z funkcí programu SpamAssassin je automatické učení bayesovské databáze, která rovněž přispívá k přesnější klasifikaci příchozí pošty na vyžádanou a nevyžádanou. Učení probíhá tak, že se sbírají ové zprávy, které jsou považovány za klasifikované, analyzují se a výsledná data tvoří základ pro testování dalších zpráv. Vyžádané a nevyžádané y se sbírají a analyzují zvlášt. Nevyžádaná pošta se každou hodinu přesouvá ze sdílené poštovní složky Nahlášené/Nevyžádaná pošta a přidává se do databáze. Sbírat zprávy do této sdílené složky lze dvěma způsoby. Bud nastavit nějaké filtrovací pravidlo na serveru, které automaticky bude sbírat zprávy. Antispamové hodnocení těchto zpráv by mělo být takové, aby se minimalizovala pravděpodobnost, že zpráva bude ve skutečnosti vyžádaná. Za tuto hranici se obvykle považuje pět hvězdiček v hlavičce X-Spam-Level. Takové zprávy jsou pro SpamAssassin sice známy jako spam, ovšem mohly být rozpoznány úplně jiným testem než je použití bayesovské databáze, proto představují relevantní data pro učení. Druhou možností je přesouvat zprávy do zmiňované složky manuálně, ideálně spam, který zůstal nerozpoznán. 107

118 Kapitola 13. Nastavení služeb serveru Je ovšem důležité, aby se do složky Nahlášené/Nevyžádaná pošta nedostala žádná vyžádaná pošta, protože SpamAssassin by se z ní špatně naučil, což by v konečném důsledku znehodnotilo celou databázi. Jedna z cest, jak může administrátor něčemu takovému zabránit, je zakázat manuální zápis běžným uživatelům, kteří budou svůj nerozpoznaný spam přesouvat do své speciální složky. Z ní jej bude administrátor sám vybírat a přesouvat do sdílené složky Nahlášené/Nevyžádaná pošta k učení. Přístupová práva k této složce se nastavují v Administraci, v záložce Další nastavení, v menu Nastavení služeb serveru. Viz obrázek níže. Poznámka: Úplně nejbezpečnější cesta, jak vytvořit kvalitní bayesovskou databázi, je pomocí filtrů sbírat od uživatelů rozpoznaný i nerozpoznaný spam do jiné speciální složky a do složky Nahlášené/Nevyžádaná pošta je přesouvat z ní, ručně. Učení vyžádané pošty probíhá zcela automaticky. Každý den se na celém serveru vezmou všechny zprávy, na které byla odeslána odpověd a přidají se do databáze. Je proto důležité poučit uživatele, že nesmí nikdy odepisovat na spam. Je také důležité vědět, že toto učení může fungovat jen tehdy, pokud se na serveru ové zprávy zpracovávají protokolem IMAP, nikoliv POP3. Protokol IMAP totiž umožňuje ukládání příznaků zpráv (přečtená, zodpovězená apod.) na serveru, proto antispamový subsystém pozná, na které zprávy bylo odepsáno a může je zařadit do databáze k učení Antivirový subsystém Součástí poštovního serveru je kvalitní antivirový subsystém, který umožňuje kontrolovat nejen příchozí a odchozí poštu, ale také periodicky provádět antivirovou kontrolu sdílených souborů na souborového serveru. Obrázek Seznam služeb serveru Antivir umí kromě hledání virů v přílohách zpráv rovněž preventivně blokovat přijetí zpráv, které obsahují soubory nežádoucích typů. Jsou to obvykle spustitelné soubory, které jsou součástí nevyžádané pošty a často obsahují viry. 108

119 Kapitola 13. Nastavení služeb serveru Ve formuláři můžete zadat seznam přípon souborů, které si nepřejete přijímat. Můžete je zadávat v jednom řádku oddělené čárkou nebo každou na nový řádek. Mezi obvyklé blokované přípony patří například exe, bat, cmd, com nebo dll. Pokud je doručena zpráva, která obsahuje soubor blokovaného typu, odešle se odesílateli upozornění o tom, že zprávu nebylo možno doručit. Ještě před tím je ale přiložený soubor prohledán. Pokud je v něm nalezen virus, celá zpráva se zahodí a žádné upozornění se neposílá. Tento systém může spolupracovat s různými volně šiřitelnými nebo komerčními antivirovými systémy a jistotu zachycení viru navíc násobit tím, že se do automatické detekce virů zapojí více antivirů. V současné době je možná součinnost těchto antivirů: DrWeb Clam Antivirus CAI InoculateIT KasperskyLab AVP Panda Antivirus F-Prot Antivirus McAfee Virus Scan 3.x NAI Virus Scan 4.x Dr. Solomon antivirus Sophos Sweep Mezi základní vlastnosti antivirového subsystému patří: Kontrola veškeré pošty na přítomnost virů u každého účtu i skupiny je možné nastavit, zda se bude antivirová kontrola provádět. V případě nalezení viru se vrátí varovná zpráva zpět odesílateli a zároveň se zašle zpráva správci serveru. Zavirovaný se bezpečně zazálohuje na serveru. Hledání virů v přiložených a také v zabalených souborech je podporována většina běžných kompresních algoritmů. Prohledávají se i archivy zabalené v jiných archivech. Kontrola vybraných typů souborů stahovaných z Internetu přes WWW a FTP WWW proxy server automaticky provede antivirovou kontrolu stahovaných souborů zadaného typu. Je-li soubor zavirován, jeho stažení se zakáže. Přitom je možná i kontrola zabalených souborů. Automatická aktualizace virové databáze několikrát denně. Možnost blokování nebezpečných nebo nevhodných příloh ů jako velmi efektivní obrana proti všem (a hlavně novým) virům se ukázalo blokování všech spustitelných příloh. V případě, že je potřeba odeslat nebo přijmout soubor s takovou příponou, je možné ho zabalit například do ZIP archivu, který standardně není blokován, ale pouze prohledáván antivirem. Periodicky se provádí antivirová kontrola sdílených souborů v případě nalezení zavirovaného souboru je poslán správci serveru s podrobnou zprávou. 109

120 13.4. Poštovní server Kapitola 13. Nastavení služeb serveru Poštovní server je server, který odesílá a přijímá poštu. Doménové jméno (např. mail.domena.cz) je jméno, pod kterým tento stroj komunikuje s ostatními poštovními servery na Internetu. Pro toto jméno by měl existovat DNS překlad na jeho veřejnou IP adresu, jinak okolní servery mohou poštu přicházející z tohoto serveru odmítnout. Pokud velikost příchozí nebo odchozí zprávy překročí hodnotu nastavenou v poli Max. velikost u (MB), zpráva se nedoručí, resp. neodešle, v případě příchozí zprávy se vrátí odesílateli spolu s chybovým hlášením. Obrázek Seznam služeb serveru Souborový server Souborovému serveru je věnována samostatná kapitola. Obrázek Seznam služeb serveru 110

121 Kapitola 13. Nastavení služeb serveru Odkazy na WebIS Zde můžete zadat internetovou adresu, ze které je možný přístup do WebISu na Vašem serveru. Zejména ji využijí ti uživatelé, kteří sice používají WebIS k různým činnostem, ale poštu čtou v některém poštovním klientovi, jako je Mozilla Thunderbird nebo Microsoft Outlook. Poznámka: Korektní URL adresa pro přihlašování do WebISu může vypadat např. následovně: Do pole URL adresa WebIS se vyplňuje adresa, přes kterou je univerzálně možné se z Internetu připojit k WebISu na vašem serveru. Používá se v odkazech na nové žádosti a události při automatickém oznamování uvnitř systému elektronickou poštou. Obrázek Seznam služeb serveru Přihlašovací doména Na serveru je možné přednastavit přihlašovací doménu, která se zobrazí za vstupním polem pro ovou adresu v přihlašovacím okně a automaticky se doplní k zadaným adresám, která nemají doménu uvedenu. Stačí pak při přihlašování zadat pouze lokální část ové adresy. 111

122 Obrázek implicitní přihlašovací doména Kapitola 13. Nastavení služeb serveru Nastavení implicitní přihlašovací domény Obrázek Nastavení implicitní přihlašovací domény Pokud se chcete přihlásit k jiné než přednastavené doméně, je nutné jako přihlašovací jméno zadat celou ovou adresu, ne pouze její lokální část Nastavení mapování domén Implicitní přihlašovací doménu lze dynamicky měnit podle URL, které uživatel zadá do prohlížeče a přes které přistupuje k přihlašovacímu oknu. K tomuto účelu slouží mapování domén. Na obrázku výše jsou vidět tři mapované domény. Pokud chcete přidat novou, do prvního vstupního pole webové doména napíšete, co chcete mapovat, a do druhého pole přihlašovací doména napíšete, jak to chcete mapovat. Pokud pole přihlašovací doména zůstane prázdné, znamená to, že pro danou webovou doménu se žádná přihlašovací doména nepřednastavuje. 112

123 Kapitola 13. Nastavení služeb serveru V případě více definovaných domén, probíhá mapování v uvedeném pořadí shora dolů, v případě, že není nalezena žádná shoda, použije se implicitní přihlašovací doména. Pořadí mapovacích pravidel lze měnit kliknutím na směrové šipky vpravo. Výrazy v mapovacích pravidlech mohou být regulární výrazy v syntaxi jazyka Perl. Příklad Nastavení mapování domén Jako webovou doménu máme zadán výraz ^mail.\(.*)$ a jako přihlašovací doménu výraz \1. Zadá-li uživatel jako URL do webového prohlížeče srovná se toto URL s webovou doménou a jako přihlašovací doména se namapuje manual.cz. Jako webovou doménu máme zadán výraz mail.nemapovat.cz, hodnota ve sloupci přihlašovací doména je prázdná. Zadá-li uživatel jako URL do webového prohlížeče adresu objeví se přihlašovací okno bez přednastavené přihlašovací domény Ostatní možné služby Některé další služby serveru je možné aktivovat, ale většina instalovaných serverů je nemá, jelikož nejsou zapotřebí. Modemy zde je možné nastavit dobu trvání silného a slabého provozu a minutovou sazbu pro každý z nich, pokud někteří uživatele přistupují k WebISu prostřednictvím modemu. Server RADIUS následně nabízí statistiky připojení a výpočet ceny v záložce Využití modemu v nastavení domén a účtů. 113

124 Kapitola 14. Přílohy Diagram průchodu pošty Obrázek Diagram průchodu pošty serverem IMAP versus POP3 IMAP (Internet Message Access Protocol) a POP3 (Post Office Protocol version 3) jsou dva neproprietární a také nejrozšířenější protokoly pro přijímání a práci s elektronickou poštou. IMAP je novější a všechna data ukládá, spravuje a poskytuje klientům ze serveru. POP3 je historicky starší a jeho princip spočívá v tom, že poštovní klient se připojí na poštovní server, stáhne z něj všechny nové 114

125 Kapitola 14. Přílohy zprávy, smaže je ze serveru a co nejdříve se odpojí. To s sebou nese řadu obtíží, díky nimž je protokol POP3 v mnoha ohledech zastaralý a neflexibilní. Tyto obtíže je nejlépe vidět ve srovnání s novějším protokolem IMAP, který se, lapidárně řečeno, poučil z chyb svého předchůdce. Následující popis se týká vlastností, kterými disponuje protokol IMAP, nikoliv však protokol POP3. IMAP podporuje jak spojovaný, tak nespojovaný režim práce s poštou. To umožňuje stahovat obsah zpráv na požádání, poněvadž poštovní klient zůstává k serveru připojen celou dobu. Tento režim podstatně urychlí dobu odezvy uživatelům, kteří mají ve schránce mnoho zpráv nebo velké zprávy. IMAP podporuje násobné připojení k jedné schránce a má prostředky, jak jednotlivé klienty interaktivně informovat o změnách ve schránce, které provedl jiný klient. Tato vlastnost především umožňuje plynulý provoz nad sdílenými poštovními schránkami s množstvím současně připojených uživatelů. IMAP plně podporuje formát MIME pro elektronickou poštu. Interně si vytvoří stromovou struktury hlaviček zprávy, takže rozpoznává obsah strukturovaných hlaviček. To umožňuje mimo jiné stahovat ze serveru samostatně některé části zprávy, tedy například nechávat na něm objemné přílohy, pokud je klient připojen na pomalé lince, ale přitom číst textový obsah. IMAP umožňuje udržování příznaků zpráv (nepřečtená, zodpovězená apod.) na serveru. Díky tomu může každý z více klientů připojených ke stejné schránce vidět aktuální stav jejího obsahu. V případě WebISu je díky této vlastnosti možné automatické učení antispamového subsystému. Přes IMAP lze přistupovat a pracovat s více schránkami najednou a přesouvat zprávy mezi nimi. Díky tomu lze na serveru provozovat například skupinové nebo veřejné schránky. IMAP poskytuje softwarovým klientům možnost vyhledávat na serveru zprávy podle mnoha kritérií. Tím pádem není potřeba stahovat veškerou poštu, aby v ní bylo možno hledat Kontakty Přístup ke kontaktům z Mozilla Thunderbirdu Poštovní klient Mozilla Thunderbird umožňuje práci s kontakty, které máte uloženy ve WebISu. Existuje k němu podrobná uživatelská příručka ( která se také stručně věnuje obecným tématům při práci s elektronickou poštou. Po spuštění Thunderbirdu vyberte v horním menu položky Úpravy -> Nastavení účtu... V novém okně zvolte účet a pro něj položku Vytváření zpráv & Adresování. Napravo poté v části Adresování zapněte volbu Použít jiný LDAP server a klikněte na tlačítko Upravit adresáře

126 Kapitola 14. Přílohy Obrázek Nastavení Thunderbirdu Otevře se okno se seznamem definovaných LDAP serverů, ze kterých můžete některý upravit nebo vytvořit nový. Vlastnosti adresářového serveru nastavíte takto: Název: libovolně, pouze odlišuje tento server od jiných definovaných. Server: adresa serveru, na kterém WebIS běží (např. mail.vardomain.cz). základní rozlišovací jméno: název databáze, případně další bližší specifikace adresáře, kde začne LDAP server vyhledávat kontakty (např. o=databaze). přesné rozlišovací jméno: specifikuje adresář v hierarchii LDAP serveru, který obsahuje data konkrétního uživatele. Toto jméno slouží jako přihlašovací k LDAP serveru a může vypadat např. takto: uid=demo@vardomain.cz,ou=people,dc=vardomain,dc=cz, o=databaze). Poznámka: Rozlišovací jména v LDAPu mají podobu cesty v adresářové struktuře s tím, že začátek té cesty je úplně vpravo. Tato cesta začíná názvem databáze za klíčem o (Organization). Dále zprava je odzadu rozepsána doména, ve které se hledaný objekt nachází každá část domény se zadává zvlášt za klíčem dc (Domain Component). Následuje jméno adresáře s hledanými objekty za klíčem ou (Organizational Unit). V něm už lze hledat přímo pojmenovaný objekt, v našem případě například přihlašovací jméno za klíčem uid (User Identification). Příklad Příklady nastavení rozlišovacích jmen pro LDAP server uid=demo@priklad.cz,ou=people,dc=priklad,dc=cz,o=databaze takto může vypadat úplná 116

127 Kapitola 14. Přílohy identifikace uživatele v LDAP serveru. V tomto tvaru se také zadává jako přesné rozlišovací jméno a lze jej zadávat i jako základní rozlišovací jméno, pokud chcete zobrazit ze serveru pouze svoje osobní knihy kontaktů. Stejným způsobem můžete zpřístupnit i kontakty jiného uživatele, pokud k nim přístupová práva. ou=people,dc=priklad,dc=cz,o=databaze podle tohoto rozlišovacího jména se bude vyhledávat mezi všemi kontatky uživatelů v doméně, nikoliv však mezi doménovými kontakty. ou=abooks,dc=priklad,dc=cz,o=databaze podle tohoto rozlišovacího jména se bude vyhledávat pouze v doménových kontaktech. dc=vardomain,dc=cz,o=databaze podle tohoto rozlišovacího jména se bude vyhledávat ve všech kontaktech v subdoméně. o=databaze podle tohoto rozlišovacího jména se bude vyhledávat ve všech kontaktech na serveru. Toto nastavení může při vyhledávání výrazně zpomalit odezvu aplikace. Tip: Název vaší LDAP databáze získáte dotazem na lince technické podpory. Obrázek Nastavení LDAP serveru Kliknutím na ikonu Adresář zobrazíte všechny kontakty. Pokud zvolíte vzdálené kontakty z WebISu (v našem případě pod názvem vardomain) budete dotázáni na své heslo. Jelikož se jedná o spojovanou službu, v seznamu se nic nezobrazí, dokud nezadáte nějaký dotaz do vyhledávacího pole. Prakticky všechny kontakty zobrazíte zadáním Výsledný seznam ovšem nebude obsahovat kontakty bez ové adresy. 117

128 Kapitola 14. Přílohy Obrázek Zobrazení vzdálených kontaktů Přístup ke kontaktům z MS Outlook Express Klient MS Outlook Express umožňuje omezenou práci se vzdálenými kontakty, například s těmi, které máte uloženy ve WebISu. Předtím je ovšem potřeba aplikaci nastavit. Nejprve v menu Nástroje zvolte položku Účty... Objeví se seznam existujících profilů. Tlačítkem Přidat a volbou Adresářová služba... založíte profil pro přístup ke vzdáleným kontaktům. Do pole Adresářový server Internetu (LDAP) zadejte IP adresu nebo doménové jméno serveru, na kterém běží WebIS, např. mail.priklad.cz. V dalším kroku označte volbu Ano pro kontrolu ových adres. Tím bude základní profil vytvořen, jeho podrobnější nastavení zobrazíte tlačítkem Vlastnosti. Obrázek Seznam adresářových serverů Záložka Obecné názvem serveru se rozumí IP adresa nebo doménové jméno serveru, ke kterému se připojujete do WebISu. Abyste měli k dispozici své osobní kontakty, je nutné se k LDAP serveru přihlašovat. Pole Název účtu obsahuje přesné rozlišovací jméno, které může vypadat například takto: 118

129 Kapitola 14. Přílohy Heslem je vaše přihlašovací heslo do WebISu. Záložka Upřesnit maximální počet vrácených položek určuje limit pro množství přenesených kontaktů jako odpověd na jeden vyhledávací dotaz. Pole Výchozí bod hledání obsahuje základní rozlišovací jméno pro databázi, ve které se bude hledat. Poznámka: Základní a přesné rozlišovací jméno pro váš účet získáte dotazem na lince technické podpory. Obrázek Podrobné nastavení adresářové služby Kontakty se v Outlooku jmenují Adresář. Ten je přístupný bud pod ikonou v hlavním menu nebo pod klávesovou zkratkou Ctrl+Shift+B. Se vzdálenými kontakty nelze pracovat přímo, ale lze v nich vyhledávat. Vyhledávání v kontaktech zpřístupníte bud tlačítkem Hledat osoby v Adresáři nebo klávesovou zkratkou Ctrl+E v Outlooku. V novém okně je nejprve nutné vybrat adresářový server ve výběrovém menu Oblast hledání. Pro hledání v kontaktech ve WebISu zvolte název, který jste použili pro svůj profil LDAP serveru. Vyhledávání je vhodnější provádět v záložce Upřesnit, i když je to stále poněkud nešikovné. V oddíle Definice kritérií nastavíte filtr pro konkrétní položky kontaktu. V prvním výběrovém menu je z nějakého důvodu dvakrát uvedena hodnota Jméno. Ta první přitom znamená název kontaktu a ta druhá křestní jméno. Ve vyhledávacím poli nelze využívat zástupné znaky. Hotové kritérium přesunete do seznamu aktivních tlačítkem Přidat. Lze kombinovat více kritérií najednou. Tlačítkem Najít spustíte hledání. V podokně se zobrazí seznam vzdálených kontaktů odpovídajících nastaveným filtrům. V něm lze tlačítkem Přidat do adresáře zkopírovat označené kontakty do lokálního adresáře. Tip: Pokud chcete omezit zdlouhavou práci se vzdálenými kontakty, můžete využít kritérium které by mělo zpravidla najít všechny kontakty ve WebISu (i když lze mít samozřejmě uloženy kontakty bez ových adres). Pokud následně označíte všechny 119

130 Kapitola 14. Přílohy nalezené kontakty klávesovou zkratkou Ctrl+A a zkopírujete je do lokálního adresáře, budete je mít všechny k dispozici pro editaci, aniž by bylo potřeba se stále připojovat k LDAP serveru. Obrázek Vyhledávání v kontaktech 120