Ďalšie služby počítačových sietí
Mgr. Dan Keder keder@fi.muni.cz
Centrum výpočetní techniky Fakulta informatiky Masarykova univerzita
29. september 2010
gp - = = ^)c^o
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Obsah
Jl Elektronická posta
^| Adresářové a autentizaCne služby
3| Zdieľanie sUborov v sieti
Q Synchronizácia Casu
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Elektronická pošta
11 Elektronická posta
■ Formát správy
■ SMTP
■ POP3, IMAP
rove a aut
Q Synchronizácia Casu
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Elektronická pošta
■ Jedna z najstarších a najpoužívanejších služieb
■ Prenos textových sprav (emailov) po sieti
■ Format adresý: xnovak@fi.muni.cz, xnovak@aisa.fi.muni.cz
■ Protokoly
■ SMTP
■ POP3, IMAP
■ i proprietarne protokoly (MS Exchange, IBM Lotus Notes)
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Elektronická pošta
■ Používa sa tzv. store-and-forward model
■ Sprava je postupne preposielana medzi viacerými servermi, až kým sa nedostane do ciel'a
■ Kdo sa zUcastnuje na prenose sprav:
■ MUA (Mail User Agent) - užívateľská aplikácia (Thunderbird, Outlook, . ..)
■ MSA (Mail Submission Agent, Často integrovaný s MUA) -posiela emailove správý MTA
■ MTA (Mail Transfer Agent) - prijíma emailove spravý od MSA alebo ineho MTA, preposiela ich d'alej
■ MDA (Mail Deliverý Agent) - prijíma emailove spravý od MTA a lokalne ich doručuje do mailboxu adresata
□ gl - = = -^Q^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Formát správy
Elektronická posta
■ Definovaný v RFC 5322
■ Sprava sa sklada z hlavičiek a tela správý, oddelených prázdným riadkom
■ Správa môže obsahoval! len 7bitove ASCII znaký
■ MIME (Multipurpose Internet Mail Extensions)
■ pridava moZnost pouZívat v sprave ine znakové sadý neZ ASCII - znaký sa kodujU do ASCII (quoted-printable, BASE64)
■ Telo spravý môze mat stromovu struktáru (prílohý)
■ MIME týpý:
■ týpý suborov: text/plain, image/png, . . .
■ zanorena sprava: message/rfc822
■ zlozitejsie spravý: multipart/mixed, multipart/alternative
■ . . .
□ - = = ^Q^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Formát správy - Hlavičky
Elektronická posta
■ Majú formát Názov: Hodnota, na velkosti písmen nezáleží
■ Na každom riadkú jedna, riadok músí začínal! názvom (tzn. pred nazvom nesmú byt medzery, tab a pod.)
■ Ak riadok začína bielym znakom, jedna sa o pokračovanie predchadzajúceho riadkú
■ Hlavičky sa úkončia prazdnym riadkom
■ Typy hlavičiek:
■ strúktúrovane - jednotlivé údaje sa nejak interpretujú
■ nestrúktúrovane - údaj je úrčeny pre človeka
□ - = = -^Q^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Formát správy - Hlavičky II.
Elektronická posta
■ Príklady hlaviCiek:
■ From: a To: - odosielatel'a adresat správy
■ Subject: - subjekt spravy, o Com sprava je
■ Cc: a Bcc: - komu sa má poslat kopia spravy
■ Date: - datum odoslania správy
■ Received: - táto hlavička sa pridá pri každom spracovaná počas transportu správy (relay), da sa z nej urcit, kadial' sprava putovala
■ Reply-To: - Adresa pre zaslanie odpovede
■ Sender: - Identifikácia skutocneho odosielateľa (tvorcu) spraávy
■ Chyby pri transporte sa zasielajá na Sender: (ak je uvedene)
■ Odpoved' sa zasiela na Reply-To:. Ak nieje uvedene, tak na From:
■ Hlavicky From:, To: sa neinterpretujú, skutocny adresat a odosielateľ sa neurcuje podl'a nich
Mgr. Dan Keder        DalSie služby počítačových sietí
Formát správy - Telo správy
Elektronická posta
Môže obsahoval! len ľbitové ASCII znaky
Nesmie obsahovat! jeden znak '.' na začiatku riadku (ak riadok začína na     do spravy sa da '..')
Na logickej Úrovni moze mat stromovú struktUru (MIME) Binarne data sa koduju pomocou BASE64 ■ 3 bajty zakóduje na 4 ASCII znaky
Mgr. Dan Keder        Ďalšie služby počítačových sietí
Konvencie pri písaní emailovej správy
Elektronická posta
■ Uvádzal! zmysluplný Subject
■ Neposielal! veľké prílohy
■ BASE64 da'ta "nafukuje"
■ NepouZívat HTML formátovanie v mailoch, príp. zaroven uvadzat i textovU verziu spravy
■ Dodrzovat max. dlzku riadku 78 znakov
■ Pri odpovedi na mail nevytvarat nove vlakno, ale pouzit funkciu Odpovedal! (Reply), príp. Odpovedal! vSetkým (Reply to All)
■ Subject by mal obsahoval: na začiatku text Re:
■ Text pôvodnej spravy uvodzovat znakom >, napr.:
> Povodny text
>
Odpoved
□ - = = -^Q^O
Mgr. Dan Keder
Ďalšie služby počítačových sietí
SMTP
Elektronická posta
Protokol, ktorým medzi sebou kominukujU MTA (prípadne i MSA a MTA)
Obalka spravý vs. text spravý
■ Hlavický v sprave nemaju nic spolocneho s obalkovými hlavičkami
■ Skutocný adresat spravý sa urcuje podl'a obalkovej adresý
Príkazý: HELO (príp. EHLO), MAIL FROM:, RCPT TO:, DATA, QUIT
ť5" ~
Mgr. Dan Keder
DalSie služby počítačových sietí
SMTP - Príklad
Elektronická posta
$ telnet   anxur.fi.muni.cz smtp
220 anxur.fi.muni.cz  ESMTP  NO UCE NO  SPAM  - CVT Vas  lubi. HELO nemesis
250  anxur.fi.muni.cz
MAIL  FROM: keder@fi.muni.cz
250  2.1.0 Ok
RCPT TO: keder@fi.muni.cz
250  2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF> From: keder@fi.muni.cz To: keder@fi.muni.cz Subj ect: test
test
250   2.0.0   Ok:   queued  as 454664937C1 QUIT
221 2.0.0 Bye
□       <gi       -       =       = -00*0
Mgr. Dan Keder        Ďalšie služby počítačových sietí
P0P3, IMAP
Elektronická posta
■ Prístup poštového klienta k poštovej schránke
■ POP3 (RFC 1939) je jednoduchší, umožňuje len stiahnut obsah vždialeneho mailboxu do lokálneho mailboxu
■ Port 110 (príp. 995 v prípade POP3 nad SSL)
■ Problem pri prístupe do mailboxu ž viacerých strojov
■ IMAP (RFC 3501) je žložitejsí, ale poskytuje sirsie možnosti použitia
■ Port 143 (príp. 993 v prípade IMAPu nad SSL)
■ Podpora simultánneho prístupu viacerých klientov k jednemu mailboxu
■ Umožnuje stahoval: spravý po castiach, príp. len hlavický
■ Výtvaranie, mažanie, premenovávanie mailboxov na serveri
■ Výhíadívanie mailov podl'a rožných kriterii na strane serveru
■ Udržuje informacie o stave spravý (žmažaní, precítaní, ...)
□ - = = ^Q^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
IMAP - príklad komunikácie
Elektronická posta
$ openssl   s_client   -connect  mail.muni.cz:993
* OK [CAPABILITY IMAP4rev1 CHILDREN LITERAL+ UIDPLUS ID NAMESPACE AUTH=PLAIN] Hi
1 LOGIN keder ********
1 OK LOGIN completed
2 SELECT INBOX
* FLAGS   (\Answered \Flagged \Deleted \Seen \Draft \*)
* OK   [PERMANENTFLAGS   (\Answered \Flagged \Deleted \Seen \Draft \*)
* 224 EXISTS
* 3 RECENT
* OK [ UNSEEN 224]
* OK   [UIDVALIDITY 1279612768]
* OK [ UIDNEXT 1 224]
2 OK   [READ-WRITE]   SELECT completed
3 FETCH   1   (BODY [] )
* 1   FETCH   (BODY [] {9537}
)
3 OK FETCH completed
□       <gi       -       =       = ^q^o
Mgr. Dan Keder
Ďalšie služby počítačových sietí
Adrešárove a autentizaCne šlužby
T| Elektronicka posta
^| Adresarove a autentizacne službý LDAP
■ Kerberos
■ PAM
Q Sýnchronizácia casu
□     g      -      =      = -o^O
Mgr. Dan Keder        Dalsie služby počítačových sietí
Adresářové a autentizačné služby
■ Autentizácia - overenie totožnosti užívateľa
■ Adresářové sluZby (Directory services)
■ poskytujú prístup k rôžnym informáciám (napr. údaje o užívateľoch)
■ optimalizované pre read-only prístup
■ AutentizaCne sluZby
■ umožnuju overil: totožnost užívateľa
■ Dva prístupy: lokílne na každom stroji alebo centraližovane pre mnoho pocítaCov
■ Single Sign-on
□ - = = -0*3*0
Mgr. Dan Keder        Dálsie sluZby poCítaCových sietí
Flat files
■ Lokálne uložené informácie o užívateľoch a skupinách užívateľov
■ Formát DSV (delimiter separated values), l'ahko prístupne a strojovo spracovatelne
■ /etc/passwd
■ login:passwd:uid:gid:gecos:home_dir:shell
■ /etc/shadow
■ login:enc_passwd:a:b:c:d:e:f:reserved
■ a-f - password aging information
■ enc_passwd - sifrovane heslo (crypt(5), MD5)
■ /etc/group
■ name:passwd:gid:members
□ - = = ^Q^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
LDAP
Lightweight Directory Access Protocol
■ Centraližovana adresarova služba
■ Vychadža ž ISO standardov X.500, v praxi sa moc nepoužíva, prílis žložite
■ LDAP je "odl'ahcena" veržia protokolu X.500 Directory Access Protocol
■ Povodne ako brína k X.500, neskôr plnohodnotní služba s mnohymi rožsíreniami
■ standardne API, datove formaty, .. .
■ Sietova komunikícia nad TCP/IP
■ Vyhody: internetovy standard, l'ahka integracia do aplikícií
■ Konkretne implementacie: OpenLDAP, Active Directory (Microsoft), Open Directory (Apple)
□      g       -       =       = -0*3.0
Mgr. Dan Keder        Daisie sluZby pocítacovych sietí
LDAP
Pojmy
■ Directory Information Tree (DIT) - konkrétný návrh struktury stromu
■ Distinguished Name (DN) - jednoznačne identifikuje polozku v globalnom mennom priestore adresaroveho stromu
■ Relative DN - jednoznačne identifikuje polozku v ramci jednej vetvý stromu
Mgr. Dan Keder        Dalsie služby pocítacových sietí
L DAP
Štruktúra adresara
■ Schema ma hierarchická stromovu strukturu (pouzíva sa DNS)
■ Uzly i listy stromu uchovavaju zaznamy
■ zaznamy su zlozene z atributov
■ kazdy zaznam ma urcity typ (objectCIass) m povinne a voliteľne atributy
■ zaznam moze mat sucasne niekoľko typov
■ príklad atribátov
■ dc - domain component
■ c - country
o - organization
■ ou - organization unit name
■ cn - common name
Mgr. Dan Keder        Dalsie služby počítačových sietí
LDAP
LDAP strom na FI
■ ldap.fi.muni.cz
■ Udrzuje informácie o unixovych uzávateľoch a skupinach (ekvivalent /etc/passwd a /etc/group)
Mgr. Dan Keder        Dalsie služby poCítaCovych sietí
LDAP
Praktický príklad I.
■ v Linuxe:
$ ldapsearch -x -H ldap://ldap.f i.muni.cz \ -b  ou=People,dc=fi,dc=muni,dc=cz uid=xkeder
$ ldapsearch -x -H ldap://ldap.f i.muni.cz \ -b  ou=Group,dc=fi,dc=muni,dc=cz cn=cvt
Mgr. Dan Keder        DalSie služby počítačových sietí
LDAP
Praktický príklad II.
■ Vystup vo formate LDIF (LDAP Data Interchange Format):
dn:   uid=xkeder,ou=People,dc=fi,dc=muni,dc=cz uid: xkeder cn: xkeder
objectClass: account objectClass: posixAccount o b j e c t C l a s s :   s ha d o wAc c o unt userPassword : :   e2NyeXB0fXg = loginShell: /bin/bash uidNumber: 14929 gidNumber: 10100 ho me Di r e c t o r y :   / ho me / x ke d e r g e c o s :   Da ni e l  Ke d e r (. . .)
Mgr. Ďan Keder        ĎalSie služby počítačových sietí
Kerberos
Kerberos
■ Centralizovana autentizačna sluzba
■ RFC 1510, 1964
■ Overenie identity bez posielania tajnych dat sietou
■ Dve strany (A, B) a doveryhodny server (KDC, Key Distribution Center)
A i B zdiel'aju s KDC nejake tajomstvo - heslo
■ KDC generuje lístok, zasifruje heslom A a posle klientovi
■ Klient A desifruje svojim heslom a lístok pouzije k preukazaniu svojej identity
■ Pekny popis algoritmu na
http://en.wikipedia.org/wiki/Kerberos_(protocol)
□      g      -      =      = .ť^O
Mgr. Dan Keder
DalSie služby počítačových sietí
Kerberos
Kerberos principal
■ principal - užívateľ, stroj alebo služba
■ primary/instance@realm
■ jedinecna identifikacia užívateľa, služby alebo stroja v databáže Kerbera
■ primary - meno užívateľa alebo služby, 'host'
■ instance - voliteľna cast v žavislosti na primary (napr. hostname)
■ realm - logickí siet reprežentovana kerberovskou databažou a KDC (väčšinou žhodní s DNS domenou)
■ Napríklad
■ xkeder@FI.MUNI.CZ
■ host/aisa.fi.muni.cz@FI.MUNI.CZ
■ ftp/aisa.fi.muni.cz@FI.MUNI.CZ
□ - = = -^Q^O
Mgr. Dan Keder        DalSie služby počítačových sietí
PAM
Pluggable Authentication Modules
■ PAM je sada knižníc integrujúca rôzne autentizačné mechanizmy do jedného API.
■ Oddelenie detailov autentizúcie od aplikacie, konfigurovatel'nost autentizacneho procesu
■ Dostupný na väcsine unixovych systemov
■ Modularny princíp, je jednoduche zmenil! proces ci pridal! novy sposob autentizacie (napr. odtlacky prstov)
■ Existuje mnozstvo modulov, i pre Kerberos, LDAP
g       -       =       = -0*3*0
Mgr. Dan Keder        Ďalšie služby počítačových sietí
PAM
Konfigurácia
■ Konfigurácia uložená súboroch v adresári /etc/pam.d/
■ Každá aplikácia tu má svoj vlastná konfiguraCný súbor
■ Stýri Casti autentižaCneho procesu:
■ account - ako overiť existenciu a platnosť užívateľského uctu
■ auth - ako overil: totožnost užívateľa
■ password - ako urobit žmenu hesla
■ session -správa sedenia (napr. auditing)
■ Pre každu cast bý mal být nastavený aspon jeden modul
■ Každý modul ma nastavenu "dôležitosť' (required, sufficient, optional, requisite)
□     g      -      =      = -o^O
Mgr. Dan Keder        Ďalšie služby počítačových sietí
PAM
Príklad konfigurácie
auth required pam_env.so
auth sufficient       pam_thinkfinger.so
auth sufficient       pam_unix.so \
try_first_pass   likeauth nullok
auth required pam_deny.so
account required pam_unix.so
password       sufficient       pam_unix.so \
try_first_pass  use_authtok  nullok md5 shadow
password      required pam_deny.so
session        required pam_limits.so
session        required pam_unix.so
Mgr. Dan Keder        DalSie služby počítačových sietí
Zdieľanie súborov v sieti
T| Elektronická posta
^| Adresářové a autentizaCne služby
3| Zdieľanie sUborov v sieti FTP
■ SCP a SFTP
■ Rsync
■ NFS a CIFS
□ Synchronizácia Casu
□        S - = = ^cvO
Mgr. Dan Keder        Ďalšie služby počítačových sietí
FTP
File Transfer Protocol
■ Protokol pre prenos súborov nad TCP
■ Riadiači kanal (port 21), datovy kanal (port 20)
■ Dva rezimy prenosú dat:
■ aktívny - klient serverú oznami neprivilegovaný port, na ktorom počúva, server otvorí datove spojenie
■ pasívny- server klientovi oznami neprivilegovany port, na ktorom počúva, klient sam otvorí datove spojenie
■ Problemy
■ čhybajúče sifrovanie (hlavne hesiel a dat)
■ samostatne datove spojenie pre kazdy prenos
■ aktívny rezim nefúngúje s prekladom adries (NAT)
□ - = = -0*3*0
Mgr. Dan Keder        DalSie služby počítačových sietí
SCP
Secure Copy Protocol
■ Prenos suboru medzi dvoma stanicami cez SSH
■ Klient komunikuje so vzdialene spustenym scp
■ Obmedzenia
■ max. 4GB súbory
■ nepodporuje obnovenie prenosu
■ nedú sa vypísat obsah adresúra
■ podpora kompresie dút (vhodne pre pomale linky)
■ Príklad:
$  scp  test.txt user@server.example.com
Mgr. Dan Keder        DalSie služby počítačových sietí
SFTP
SSH File Transfer Protocol
Podobne vlastnosti ako SCP, bez vypísaných obmedzení
Nema niC spoloCneho s protokolom FTP
Od zakladu novo navrhnutý, pouZívaný v SSHv2 (ako jeho subsystem)
UZitoCný program pre MS Windows: WinSCP
Mgr. Ďan Keder        ĎalSie služby počítačových sietí
Rsynč
■ Program na synchronižaciu suborov a adresarov; lokalnych i vždialenych
■ Nahrada ža scp
■ Prenasaju sa len roždiely suborov
■ Princíp žjednodusene: subor sa roždelí na male casti, spocíta sa ich checksum a prenasaju sa len tie casti, ktore sa lisia.
■ Podpora prenosu dat nad SSH, kompresia, možnost: obmedžit rychlost prenosu dat
■ Použitie: synchronižacia pocítacov, žalohovanie
■ Príklad:
$  rsync  /src-dir/  user@server:/dest-dir/
□      g      -      =      = -0*3.0
Mgr. Dan Keder
Dalsie sluZby pocítacovych sietí
NFS
Network File System
Protokol sprástupnujuci po sieti vzdialene zvazky Niekoľko generacií:
■ vl: experimentalny
■ v2: povodne bezstavovy protokol nad UDP s podporou zamkov; neskor dopracovana podpora TCP
■ v3: vyssá vykon, subory > 4GB; malo bezpecne, ale rýchle
■ v4: vyssávykon, väcsia bezpecnost (sifrovanie, autentizacia) internetový standard
Mgr. Dan Keder
Dalsie služby počítačových sietí
CIFS
Common Internet File System
■ Povodne protokol SMB (Server Message Block) od IBM, značne prepracovany Microsoftom.
■ Nielen zdieľanie suborov, ale i zdrojov (tlaciarne)
■ Povod vo Windows, existuju i otvorene implementacie pre ine operacne systemy
■ Horsia implementacia vo Windows, casto zneuzivane chyby
■ Výkonovo horšie nez NFS
Mgr. Dan Keder        Dalsie služby počítačových sietí
Synchronizácia času
jl Elektronická poSta
^| Adresarove a autentizaCne služby
Q Synchronizácia Casu NTP
gp - = = ^)c^o
Mgr. Dan Keder        DalSie služby počítačových sietí
Synchronizácia Casu
Preco synchronizovat! cas
■ potreba presneho casu nieje az tak dolezitú
■ dolezitú je predstava o súvislosti dejov
■ je dôlezite mat! vsade rovnaký cas
Mozne riesenia:
■ vzajomnú dohoda uzlov na case
■ casovy synchronizacny server so (sprostredkovanym) presnym casom
Protokoly na synchronizaciu casu: Time, Daytime, NTP
s -
Mgr. Dan Keder
Dalsie služby počítačových sietí
NTP
Network Time Protocol
■ RFC 778, 891, 956, 958, 1305
■ Protokol prenosu aktualneho casu cež medium s premenlivou dobou doručenia informacie
UDP port 123
■ Casove serverý hierarchický radene
■ stratum 0 - atomove hodiný a pod., vel'ka presnost
■ stratum 1 - sýnchronižovane so stratum 0
■ stratum 2 a 3 - sýnchronižacia koncových pocítacov
■ (...)- teoretický až 256 írovní
□      g       -       =       = -0*3.0
Mgr. Dan Keder        Dalsie služby počítačových sietí
NTP
Network Time Protocol
Cas uplýnutý od 1.1.1900 00:00 ulozený v 64bitovej hodnote
■ 32b pocet sekúnd
■ 32b desatinnú cast
Pre korekciu casu pouzíva Marzullov algoritmus Podpora vo Windows i unixových sýstemoch Sýnchronizujte si svoj cas podl'a time.fi.muni.cz
gl - = = -0*3.0
Mgr. Dan Keder        Dalsie služby poCítaCovych sietí
Koniec
Kde hľadal; podrobnejšie informácie
■ Repozitar RFC dokumentov
■ http://tools.ietf.org/html/
■ Manualove stranky a oficialna dokumentacia k programom
■ Google, Wikipedia
■ Predmety na FI
■ PV004 UNIX
■ PV065 UNIX - programovania sprava systemu I
■ PV077 UNIX - programovania sprava systemu II
■ PV090 UNIX - seminar ze spravy systemu
Mgr. Dan Keder        DalSie služby počítačových sietí