Serverová řešení

Společnost RYANT v rámci své konzultační činnosti poskytuje návrhy a realizace komplexních groupwarových řešení napojených na centrálně spravovanou databázi LDAP. To umožňuje snadnou správu kompletního řešení s nízkými nároky na personál obsluhy. Systém je jednotně spravován přes www rozhraní a má centrální správu uživatelů. Databáze LDAP poskytuje jednotlivým subsystémům autentizaci proti jedné množině uživatelů, kterým jsou přidělena přístupová práva napříč plnou škálou funkcí celého systému.

Administrace serverů je hierarchicky delegována na sub-administrátory, kteří mohou spravovat jim přidělené služby a delegovat svá přístupová práva na další uživatele. Přístupová práva lze nastavit tak, aby sub-administrátoři viděli jen to, co mohou spravovat. Přístupová práva se dědí.

Předmětem konzultací a následné implementace tak mohou být:

  • základní části systému,
  • dynamický traffic shaping,
  • fair user policy,
  • mail server (včetně accountingu),
  • DNS server,
  • web server (včetně accountingu),
  • systém Nagios pro kontrolu vnitřní sítě.

Automatickou součástí poimplementační podpory je i záplatování (odstraňování) bezpečnostních chyb v nainstalovaných službách, servis a podpora celého systému. K dispozici je samozřejmě hotline.

Základní části systému

Řešení je obvykle postaveno na otevřeném systému Debian GNU/Linux 3.0, a to s jádrem ze stabilní řady 2.4. Na serverech může být nainstalována část monitorovacího systému Nagios, která umožňuje vzdáleně kontrolovat lokální služby.

Systém provádí kontrolu integrity systémových dat a informuje správce v případě nevyžádaných změn. Čas na serveru je synchronizován z Internetu pomocí protokolu NTP. Uživatelská správa systému je prováděna přes www rozhraní.

AAA server

AAA server může zajišťovat:

  • RADIUS server,
  • možnost omezení, zaručení, případně upřednostnění síťového provozu díky QoS (včetně traffic shapingu) s konfigurací pomocí www rozhraní,
  • služby proxy cache,
  • snazší konfigurace pracovních stanic díky DHCP serveru,
  • pohodlnou administraci pomocí www rozhraní,
  • přehledné statistiky o využití Internetu jednotlivými uživateli pomocí www rozhraní,
  • účtování přenesených dat, včetně detailního nastavení hierarchické struktury sítí, přístupových práv apod. pomocí www rozhraní.

Pomocí stromové struktury sítí je ve www rozhraní možné jednoduše definovat skupiny počítačů i jednotlivé počítače, pro které se má provádět účtování přenesených dat z a do Internetu.

U každé sítě je možné pomocí www rozhraní nastavit uživatele, kteří mohou účtovaná data zobrazit a dokonce definovat v povolené síti vlastní účtování.

Ve www rozhraní je možné nastavit porty, které nejdou z Internetu, ale z proxy cache, a přitom se započítávají do internetového toku.

Na nastavených sítích je možné pomocí www rozhraní specifikovat datový tok (do Internetu, z Internetu i z proxy cache), který bude mít daná síť vždy k dispozici.

RADIUS server poskytuje autentizaci pro uživatele, kteří mají tuto službu pomocí www administrace povolenou. Pomocí www administrace lze konkrétnímu uživateli přidělit IP adresu a masku podsítě, kterou pak RADIUS server předá klientovi.

Pomocí maximálního toku lze ve www rozhraní omezit rychlost vůči určitým sítím na definovanou hodnotu, a to s definicí pro různou denní dobu (špička/mimo špičku):

  • nastaví se maximální hodnota (strop),
  • nastaví se garantovaná hodnota (dno),
  • datový tok je pak pro danou podsíť/počítač udržován v daných limitech pro danou dobu,
  • kapacita nevyužívaná neaktivní podsítí je pak rozdělena poměrně (podle velikosti hodnoty „dno“) mezi aktivní podsítě Priorita toku ovlivňuje interaktivitu provozu daných sítí.

AAA server může být připojen ke dvěma konektivitám a provoz může být mezi tyto dvě konektivity rozdělován podle zdrojových IP adres. V případě výpadku jedné z konektivit se automaticky provoz přesměruje na funkční konektivitu. Po odstranění závady se systém automaticky uvede do původního stavu.

www proxy cache server Squid umožňuje plain (heslo do proxy je požadováno v dialogovém okně) i NTLM (využije se autentizační informace pro přihlášení do domény NT) autentizaci uživatelů. Squid umožňuje blokování přístupu ke stránkám podle URL nebo IP adresy serveru. Dalším pravidlem pro stanovení přístupových práv může být časové pásmo nebo login (lze například vytvořit skupinu uživatelů, kteří mohou v pracovní době přistupovat pouze k vybraným stránkám a mimo pracovní dobu využívat Internet bez omezení).

Mail server

Poštovní subsystém nabízí sdílení poštovních schránek, kontaktů a kalendářů. Poštovní server může zajišťovat tyto služby:

  • Komplexní řešení pošty pomocí poštovního serveru Exim. Umožňuje libovolný počet poštovních schránek, virtuálních adres, přeposílání mailů (i na SMS), údržbu vlastního black-listu odesílatelů, archivaci veškeré příchozí a odchozí pošty.
  • Antivirová ochrana veškeré odchozí a příchozí pošty pomocí produktu AVir-Check, který je snadno konfigurovatelný a umožňuje provádět antivirovou kontrolu i v přílohách a komprimovaných souborech, stejně jako specifikovat přípony souborů, které jsou jako přílohy zakázány.
  • Výběr pošty klientskými stanicemi probíhá pomocí protokolu POP3 nebo IMAP (případně jejich bezpečnými variantami POP3S, resp. IMAPS), které podporuje naprostá většina poštovních klientu včetně MS Outlook.
  • Možnost využití moderních skupinových vlastností, např. sdílených kontaktů, sdílených poštovních schránek, sdíleného souborového systému a přístupu k poště a sdíleným kalendářům přes www rozhraní odkudkoliv z Internetu (WebMail a WebCalendar).

Web hosting

Soubory lze umísťovat na server uživateli pomocí protokolu FTP. Zajistit lze i registraci nových domén druhého řádu prostřednictvím www rozhraní. Tento proces sestává z následujících kroků:

  • vyplnění údajů,
  • zaplacení faktury,
  • automatické umístění na server, tj. zřízení virtuálního serveru a zaslání hesla a jména k FTP. Pro domény třetího a vyššího řádu se automaticky zřídí FTP účet a virtuální server,
  • web hosting obsahuje statistiky přenosů domény a přístup do PHPMyAdmin, který umožňuje přístup k databázím.

V případě registrace domény nižšího řádu či zřízení virtuálního serveru v již existující doméně druhého řádu je operace provedena automaticky i se zápisem do DNS.

Systém dokáže vygenerovat bezpečné a současně dobře zapamatovatelné heslo. Databáze použitelná v rámci uživatelských webů je MySQL, a to prostřednictvím PHP.

DNS server

Součástí řešení může být DNS cache pro urychlení překladu IP adres na doménová jména a obráceně. IP adresy přeložené z doménových jmen se uchovávají v paměti serveru a zmenšuje se tím režie přístupu k internetovým DNS serverům.

Konfigurace DNS serveru je standardně přizpůsobena doménám registrovaným v rámci web hostingu. Každá doména druhého řádu má zřízenou subdoménu mail, na které je www rozhraní k poště dané domény. Nestandardní požadavky je nutno nahlásit na technickou podporu. Pro zřízení záznamu na sekundární DNS server bude k dispozici software, který tuto akci provede okamžitě po zřízení DNS záznamu pro doménu.

Nagios

Systém Nagios umožňuje posílání informací o výpadcích vybraných součástí monitorovaného systému na mobilní telefony pomocí e-mailové adresy.

Alternativně lze připojit k serveru mobilní telefon Nokia 6310i přes sériový kabel MA-7630 a posílat SMS přes tento telefon (za konfiguraci SMS brány je však nutný příplatek).

Topologie sítě a další potřebné údaje pro systém Nagios, který kontroluje aktivní prvky vnitřní sítě, se konfigurují pomocí www rozhraní.