4.1.1 Выбор серверной ос.

Выбор серверной операционной системы и аппаратной платформы для нее в первую очередь определяется тем, какие приложения под ее управлением должны выполняться (как минимум, выбранные приложения должны существовать в версии для данной платформы) и какие требования предъявляются к ее производительности, надежности и доступности.

Выбор серверной операционной системы основывается на нескольких позициях: потребности организации, средства, выделенные на реализацию сервера и личные предпочтения системного администратора.

Исторически сложилось, что Linux является более распространенной серверной операционной системой. Windows достаточно долго завоевывала свою долю на рынке, а споры по поводу использования и преимуществ какой-либо ОС превращаются порой в ожесточенные эмоциональные баталии.

Операционная система Linux основана на архитектуре UNIX, правда у нее собственный путь развития. Для сравнения этих операционных систем выберем несколько критериев и рассмотрим, отвечают ли им эти операцион-ные системы.

Начнем с пользовательского графического интерфейса (Graphical User Interface). Уже достаточно давно такого понятия вообще не существовало и вся разработка и управление велись через черный экран консоли. Компания Microsoft сделала упор на удобство использования и в этом очень преуспела, судя по популярности Windows. В результате, можно констатировать, что по удобству использование и юзабилити ОС Windows более предпочтительно, но не нужно переоценивать этот факт, так как Linux тоже достаточно приятная и удобная ОС, необходимо лишь время для привыкания.

Надежность. Здесь необходимо рассмотреть один миф о неординарной надежности Linux. Существует мнение, что можно не перезагружать компьютер под управлением этой операционной системы, чуть ли не месяц! И это при том, что она будет надежна, стабильна и безопасна. Однако это не так, при правильном использовании обе операционные системы одинаково надежны.

Безопасность. Вопрос безопасности является одним из ключевых при выборе ОС для сервера. Приобретая оборудование для сервера, необходима гарантия наличия в нем встроенного брандмауэра, чтобы гарантировать невозможность реализации внешних угроз. В плане безопасности Linux явно превосходит Windows. Своей повышенной безопасности Linux отчасти обязана тем, что она не очень популярна среди настольных компьютеров, что ограничивает набор созданных вирусов для них.

С другой стороны Microsoft постоянно совершенствует Windows и со временем обязательно начнет отвечать всем требованиям пользователя, так как обладает очень большим ресурсом к разработке.

Возможности как Windows так и Linux практически безграничны. Обе операционные системы позволяют в полной мере настроить сервер на выпол-нение одной или нескольких функций. В результате развития серверных опе-рационных систем Windows и Linux постепенно сложились типовые сферы их применения, причем в некоторых их них наблюдается преимущество Windows над Linux и наоборот.

В настоящее время Linux – это одна из самых популярных операцион-ных систем для использования в качестве Web-cepвера. Больше половины всех Интернет сайтов работают на серверах под управлением Linux и Web-сервера Apache. Серверы DNS, печати, файловые сер веры, сервер электрон-ной почты, FTP-сервер и многое другое — задачи, которые можно эффектив-но реализовывать с помощью Linux.

Если ПК организации находятся под управлением ОС Windows, конеч-но, правильнее было бы выбрать в качестве ОС Windows Server 2003, 2008 или 2012. Но не стоит забывать про то, что цены на серверные ОС куда выше.

В случае со школой, на большей части ПК установлены ОС семейства Linux. И большим преимуществом является то, что большая часть UNIX-систем беплатна, что немаловажно для школы.

Таким образом, выбором стала операционная система Альт Линукс 7.0 Школьный Сервер – серверная операционная система с фиксированным набором функций, полностью настраиваемая через веб-интерфейс, через который осуществляется управление компонентами.

Система, основанная на ярде Linux 2.6.25, поддерживает широкий спектр оборудования. Управление компонентами не требует высокой квалификации специалиста.

Состав:

• веб-приложения для помощи в организации учебного процесса:

• Moodle - система дистанционного и интерактивного обучения, содержит примеры курсов;

• Mediawiki - система для организации «базы знаний», с использованием технологии Wiki;

Для организации локальной сети:

• DHCP- и DNS-серверы;

• прокси-сервер Squid (с поддержкой вывода статистики доступа);

• межсетевой экран;

• управление сетевыми интерфейсами;

• сервер точного времени;

Файловые серверы:

• Samba-сервер (для организации доступа к каталогам, доступным по протоколу Samba);

• FTP-сервер;

• интерфейс для создания локальных зеркал репозиториев;

• сервер печати CUPS.

Для работы с сервером:

• интерфейс для обновления системы (включая настройку обновлений);

• резервное копирование;

• управление учётными записями (в том числе, возможность импорта учётных записей из системы 1С:Хронограф).

Дополнительно:

• почтовый сервер с поддержкой средств борьбы с вирусами и спамом;

• MySQL (для Moodle и Mediawiki) и веб-сервер Apache2.

2. Выбор служб для операционной системы

4.2.1 Почтовый сервер

Для установки и настройки почтового сервера потребуется набор служб для сетевой операционной системы.

Базовый пакет для установки Почтового Сервера в ALT Linux носит имя postfix. Есть также несколько дополнительных пакетов, предоставляющих сервисы по приёму и доставке сообщений по сети с различной степенью защищённости. Один из пакетов SMTP-серверов, postfix-smtpd либо postfix-smtpd-sasl, нужен Postfix для того, чтобы принимать сообщения по протоколу SMTP (или ESMTP) как извне, так и локально. Второй из этих пакетов реализует расширения SASL. Есть также пакет postfix-sasl, который расширяет возможности доставки сообщений на случай, если какие-либо принимающие серверы, с которыми взаимодействует данный сервер, пользуются авторизацией по методу SASL.

Сервер электронной почты postfix позволяет организовать обмен электронной почтой с Интернет и внутри локальной сети. postfix рекомендуется к установке в любой конфигурации ALT Linux. Это объясняется тем, что в UNIX-подобных системах возможность отправлять почту с помощью вызова команды из командой оболочки практически обязательна. Некоторые программы (например, служба исполнения заданий по расписанию crond) пользуются этим для отправки сообщений пользователям.

Рекомендуется настраивать систему таким образом, чтобы доставкой всей электронной почты, проходящей через машину, занималась служба MTA (Mail Transport Agent), в нашем случае – postfix. Хотя многие почтовые программы способны отправлять сообщения на удалённый SMTP-сервер, имеет смысл поручить и эту задачу системному серверу электронной почты, чтобы не было необходимости следить за отсылкой отправленных писем.

Помимо postfix существуют и другие популярные реализации MTA, например, qmail, exim и даже ветеран Интернета Sendmail, хотя последний сейчас используется всё реже, поскольку неоправданно сложен в настройке. Однако по разным причинам, включая соображения безопасности, в любом дистрибутиве ALT Linux по умолчанию в качестве MTA предлагается postfix.

Набор служб в операционной системе Альт Линукс Школьный Сервер может служить как почтовым сервером, обслуживающим определённый домен, так и посредником (шлюзом) для пересылки почты. Почтовый сервер отвечает, как за отправку писем (SMTP-сервер) исходящих от почтовых клиентов рабочих станций, так и за предоставление им входящей почты (Сервер POP3/IMAP).

Сервер POP3/IMAP используется для доступа пользователей к электронной почте на сервере.

Для доступа к службам POP3 и IMAP пользователь должен включить в своём почтовом клиенте аутентификацию и указать своё имя и пароль. Выбор конкретного используемого протокола для получения почты зависит от предпочтений пользователя.

POP. При проверке почты почтовым клиентом почта передаётся на клиентскую машину, где и сохраняется. Возможность просмотра принятой/отправленной почты при этом существует даже, если клиент не имеет соединения с сервером.

IMAP. Все сообщения хранятся на сервере. Почтовый клиент может просматривать их только при наличии соединения с сервером.

Помимо включения/отключения служб, модуль Почтовый сервер позволяет произвести дополнительные настройки: фильтрацию спама, настройку параметров аутентификации и т.д.

4.2.2 Прокси-сервер.

Пользователи корпоративных сетей обычно подключаются к сети Интернет через один общий канал. Для организации совместного доступа к сети Интернет используется прокси-сервер Squid.

Отличительной особенностью использования прокси-сервера является то, что, помимо предоставления доступа к веб-сайтам, прокси-сервер кэширует загруженные страницы, а при повторном обращении к ним — отдаёт их из своего кэша. Это может существенно снизить потребление трафика.

Squid очень широко используется в вычислительных сетях по всему миру, в том числе в сетях Интернет провайдеров для предоставления пользователям web доступа. Squid оптимизирует поток данных между клиентом и сервером для увеличения производительности, сохранения популярных данных и определение необходимой пропускной способности. Прокси-сервер также имеет широкие возможности маршрутизации запросов к серверам для построения сложных иерархий кэширующих серверов.

Все запросы Squid выполняет как один неблокируемый процесс ввода/вывода. Squid2 написан на чистом C, squid3 переписан на C++.

Прокси-сервер Squid может работать в следующих трех основных режимах:

Прозрачный режим (Transparent Proxy);

Аутентифицирующий режим (Authentication Proxy);

Обратный прокси-сервер (Reverse Proxy или httpd-accelerator).

Прозрачный режим. В этом режиме HTTP соединение осуществляемое клиентами перенаправляется на прокси-сервер без их ведома или явной конфигурации. В этом режиме не требуется настройка клиентов.

Недостатки: конфигурация NAT и перенаправления трафика, аутентификация клиентов не работает, не перенаправляются FTP и HTTPS запросы.

Схема работы прозрачного режима изображена на рисунке 1.1.

Рисунок 1.1 – схема работы прозрачного режима.

Аутентифицирующий режим. Для работы в этом режиме клиенты должны быть настроены для работы с прокси-сервером.

Может выполняться аутентификация и авторизация клиентов через Kerberos, Ldap, Ntlm и Radius.

Возможно построение взаимодействия с серверами Microsoft Active Directory путем аутентификации клиентов – членов домена, используя протокол Kerberos, и последующей авторизации членов групп домена используя LDAP в прозрачном режиме (пользователь вводит свой пароль только при регистрации в домене).

Для авторизированных групп возможно применение различных настроек контроля доступа и QoS (delay pools). Принцип работы изображен на рисунке 1.2.

Рисунок 1.2 – схема аутентифицирующего режима

Обратный прокси-сервер. Прокси-сервер кэширует исходящие данные. Обратный прокси-сервер Squid получает данные у HTTP сервера от имени клиента и передает их обратно клиенту (например, в Интернет).

Схема работы обратного прокси сервера показана на рисунке 1.3

Рисунок 1.3 – схема работы обратного прокси сервера

Этот режим позволяет осуществить:

• использование кэширования, которое снижает нагрузку на HTTP сервера;

• распределение нагрузки между HTTP серверами;

• маскировку HTTP серверов и их характеристик;

• предотвращение web атак на сервера.

Возможности системы:

• Администрирование системы через web интерфейс

• Ограничение объема трафика пользователей на месяц

• Автоматическое отключение пользователей, превысивших лимит

• Блокировка доступа пользователей к запрещенным ресурсам интернет

• Настройка доступа пользователей через механизм шаблонов

• Разбиение пользователей на группы для удобства администрирования системы

• Ведение статистики посещенных пользователями ресурсов интернет

• Формирование отчетов по трафику пользователей за любой отрезок времени

• Ограничение скорости закачки для групп пользователей

• Посылку сообщений администратору при отключении пользователей при превышении трафика

• Для хранения данных используется СУБД MySQL