Soluţii - PC Magazine Romania, Septembrie  2002

Motto: "- Băiete, porţi pistoalele prea jos !
- Vechiul şerif, Parker, le purta aşa ...
- Ştiu. Şeriful Parker e mort."
(Henry Fonda instruind un proaspăt şerif, în filmul western Steaua de tinichea)

Numele trandafirului

Răzvan Sandu

Începând cu acest episod, vom pătrunde în detaliile sistemului de operare Linux abordând, unul câte unul, serviciile pe care acesta le oferă. Veţi avea ocazia să descoperiţi de ce Linux este un concurent atât de puternic pentru sistemele de operare comerciale: în distribuţie primiţi gratuit un set de unelte de nivel "profesional", care vă oferă o maximă flexibilitate şi viteză de lucru. Nu în ultimul rând, veţi putea să înţelegeţi mecanismele interne de funcţionare ale reţelelor private şi internetului, mecanisme care, privite prin prisma altor platforme, vă sunt accesibile doar "din exterior".

Smog
Cei care au cât de cât experienţă în Windows ştiu că, începând cu Windows 2000, Microsoft a făcut eforturi majore pentru a-şi adapta propriul sistem de operare funcţionării în internet. În această întrecere, firma din Redmond are de recuperat decalajul considerabil - "de cultură", aş putea zice - pe care-l are faţă de promotorii Unix, ocupanţii tradiţionali ai pieţei serverelor şi ai marilor noduri internet: în principal AT&T, Sun, Hewlett-Packard şi uriaşul IBM.

Lupta se anunţă grea, fiindcă eficienţa şi flexibilitatea Unix-ului nu pot fi concurate uşor de un sistem ce-şi are rădăcinile în tehnologiile primelor PC-uri single-user.

Pentru a se putea integra internetului, maşinile Windows trebuiau, în primul rând, să adopte mecanismele de adresare şi denumire folosite pe reţeaua mondială. De mulţi ani, aceste mecanisme sunt sinonime cu structura ierarhică de domenii şi cu serviciul client-server Domain Name Service (DNS). Campionul tehnologiilor proprietare se vede astfel nevoit să se alinieze unor standarde bine cunoscute şi care nu se află sub controlul său. Pentru utilizatorul final, rezultatul este unul singur: indiferent că administraţi o maşină Windows sau una Linux, trebuie să vă familiarizaţi cu DNS - o zonă care, pentru mulţi, era până nu demult o "pată albă".
Despre acest serviciu va fi vorba în cele ce urmează.

Istorie
Pentru a comunica într-o reţea cât de mică bazată pe TCP/IP, calculatoarele au nevoie să fie identificate unic prin adrese numerice. Conform standardului IPv4 (care va fi înlocuit în foarte scurt timp cu IPv6), o adresă numerică IP are forma unui număr exprimat pe 32 de biţi, de forma 192.168.0.1.

Fiind numerice, adresele IP sunt perfecte pentru prelucrarea într-un sistem de calcul, dar greu de reţinut pentru oameni. Aceştia preferă să denumească maşinile folosind nume. Pentru a introduce puţină ordine în marea de calculatoare răspândite în internet, numele au o structură ierarhică: maşina www.ibm.com. aparţine domeniului organizaţiilor comerciale (.com), respectiv firmei IBM şi este serverul său de World Wide Web (www).

Aceasta introduce o nouă problemă: cum se pot asocia (în mod neechivoc) numele maşinilor cu adresele lor IP? Cum poate fi consultată această bază de date? Operaţia de găsire a adresei IP atunci când se cunoaşte numele maşinii este cunoscută sub denumirea de rezolvare a numelui în sens direct (forward), iar cea contrară sub denumirea de rezolvare inversă (reverse). După cum bănuiţi, acest mecanism este intens folosit şi foarte important: este suficient să deschideţi un browser web şi să tastaţi în bara de adrese un nume ca www.debian.org pentru ca maşina dvs. să fie nevoită să găsească adresa IP a serverului căutat - altfel, nu veţi putea primi pagina web stocată acolo.

În zilele de început ale internetului, soluţia găsită era un simplu fişier text în care se scriau, linie cu linie, asocierile stabilite. Orice maşină Unix posedă un asemenea fişier: este fişierul /etc/hosts:

192.168.0.1 computer.firma.com.
192.168.0.2 server.sit.net.

Fişierul /etc/hosts este folosit şi astăzi, dar numai în reţele mici, neconectate la internet. Pe măsura dezvoltării internetului, fişierul /etc/hosts căpăta o dimensiune uriaşă şi devenea dificil de sincronizat între maşinile participante în reţea. Gândiţi-vă câte milioane de linii, fără nici o greşeală, ar trebui să posede un asemenea fişier în zilele noastre ! O altă soluţie trebuia inventată rapid - una care să ofere flexibilitate şi viteză ...

Botezătorul
Răspunsul a venit tot din zona marilor centre Unix (universităţi, noduri internet, sisteme bancare şi militare) internet Software Consortium (www.isc.org) a dezvoltat programul bind, care, ajuns azi la versiunea 9, rămâne şi acum cea mai folosită implementare a serviciului DNS, eficientă şi bine standardizată. În paralel, Microsoft au adăugat şi ei o versiune proprie a acestui serviciu, care se distribuie odată cu Windows 2000 Server.

Un domeniu reprezintă un grup de maşini ce aparţin aceleiaşi organizaţii, aceluiaşi grup sau aceleiaşi zone geografice. Exemple de domenii pot fi .com, domeniul firmelor comerciale, .mitedu., domeniul Institutului de Tehnologie din Massachussets sau .xnet.ro., domeniul unui furnizor de internet din România. Domeniul rădăcină (root), care le include pe toate celelalte, este notat cu un punct (.). Sub el, la primul nivel ierarhic, veţi întâlni domenii importante, cum ar fi domeniul militar al Statelor Unite (.mil.), domeniul guvernamental (.gov.), domeniile geografice ca .ro., .de. sau .uk., domeniul administrativ al internetului (.net.), domeniul organizaţiilor non-profit (.org.) ş.a. Pe a doua treaptă ierarhică, pot fi înregistrate domenii aparţinând diverselor organizaţii sau state, cum ar fi .hp.com., fsf.org. sau pub.ro.. De obicei, la nivelul al treilea întâlniţi deja numele maşinilor care aparţin unui anumit domeniu - www.protv.ro. este serverul web al postului de televiziune ProTV.

Se observă că domeniile (şi numele lor) au structură ierarhică. Numele complet al unei maşini, care o identifică univoc - cum ar fi www.hp.com. (inclusiv punctul final) - poartă denumirea de Fully Qualified Domain Name (FQDN).

O zonă (care se suprapune întotdeauna peste un domeniu) reprezintă o grupare de maşini care se găsesc sub aceeaşi administrare. Spre exemplu, fizica.pub.ro. poate fi domeniul aparţinând Laboratorului de Fizică al politehnicii din Bucureşti şi totodată o zonă, fiindcă administrarea denumirii calculatoarelor ce il alcătuiesc este delegată personalului de acolo.

Ping-pong în reţea
Un client DNS este o maşină care doreşte să afle adresa IP a unei alte maşini pe baza numelui său (sau invers). Pentru asta, el contactează un server DNS (a cărui adresă IP trebuie să o cunoască în prealabil) pentru a obţine răspunsul. Un server DNS poate conţine mapările nume-IP pentru una sau mai multe zone (se spune că are autoritate asupra acelor zone). În acest caz, el le va comunica clientului. În caz contrar, va încerca să găsească, prin căutări recursive, serverul DNS care are autoritate pentru zona solicitată de client şi va obţine soluţia de la acesta. Procesul poate fi complicat şi poate genera mult trafic de reţea, dar este o metodă eficientă de căutare într-o bază de date distribuită. Desigur, folosirea unui server DNS dintr-o locaţie cât mai apropiată geografic de client va micşora încărcarea reţelei şi va genera, probabil, răspunsuri mai rapide.

Pentru ca un client să poată beneficia întotdeauna de un serviciu DNS, se definesc servere DNS principale (master sau primary), care conţin definiţiile zonelor aflate sub autoritatea lor şi servere secundare (slave sau secondary) care nu fac decât să "copieze" aceste definiţii. Redundanţa mecanismului asigură întotdeauna un punct de salvare în cazul în care serverul DNS principal nu este accesibil sau când încărcarea reţelei este prea mare.

Practic ...
Proaspăt instalatul sistem Linux conţine implicit serverul DNS bind pe care îl puteţi utiliza pe reţeaua firmei, presupunând că tocmai v-aţi înregistrat un domeniu de tipul firma.com. prin furnizorul dvs. de internet. Înregistrarea constă tocmai în a introduce în baza de date a furnizorului maparea între numele domeniului firma.com. şi adresele IP ale serverelor de nume care vor opera pe reţeaua dvs. Astfel, toţi clienţii care vor căuta situl www.firma.com. vor ajunge - prin intermediul ISP-ului la care sunteţi conectat - să "întrebe" serverele DNS din cadrul organizaţiei dvs. Desigur, domeniul www. firma.com. poate rămâne şi în administrarea ISP-ului, dar toate firmele mai mari vor dori să îl aibă sub propriul control (adică să creeze o nouă zonă).

Pentru a exploata bind, trebuie să creaţi mai întâi fişierele de configurare care îl comandă. Acestea sunt /etc/named.conf şi fişierele-zonă aflate în directorul /var/named. Odată scrise aceste fişiere, nu vă rămâne decât să porniţi daemonul named şi serverul dvs. DNS este funcţional. Pe sistemul meu Red Hat, named poate fi pornit prin intermediul utilitarului ntsysv, o unealtă foarte comodă.

Listingul care urmează prezintă un exemplu de fişier /etc/named.conf, care este responsabil cu stabilirea parametrilor globali de configurare şi cu listarea tuturor zonelor administrate de nameserver.

## named.conf - configuration for bind
#
# Generated automatically by bindconf, alchemist et al.
controls {
inet 127.0.0.1 allow { localhostc} keys { rndckey; };
};

include "/etc/rndc.key";

options {
directory "/var/named/";
};

zone "." {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "0.0.127.in-addr.arpa.zone";
};

zone "localhost" {
type master;
file "localhost.zone";
};

În fişierul de mai sus, puteţi observa că serverul DNS instalat are autoritate (master) asupra zonelor localhost (un nume de gazdă fals, pentru calculatoare neconectate la internet), directă şi 0.0.127.in-addr.arpa, inversă. Definiţia acestor zone se găseşte în fişierele cu acelaşi nume.
Un alt fişier important, pe care însă nu-l veţi modifica niciodată, este /var/named/named.ca. El conţine adresele IP şi numele serverelor DNS care au autoritate asupra domeniului rădăcină (.).

Adăugând în secţiunea options o subsecţiune de forma:

forward first;
forwarders {
192.168.5.4;
192.168.3.6;
};

puteţi indica serverului dvs. DNS să interogheze alte servere DNS externe (de exemplu, cele ale ISP-ului) ale căror adrese IP sunt cunoscute. Mecanismul este util mai ales în cazul reţelelor locale care dispun de o legătură lentă cu internetul.

Iată mai jos şi conţinutul celor două fişiere de zonă:

localhost.zone

$TTL 86400
@ IN SOA localhost root.localhost (
1 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttl
)

@ IN NS localhost.

@ IN A 127.0.0.1

şi 0.0.127.in-addr.arpa.zone:

$TTL 86400

@ IN SOA localhost. root.localhost (
1 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttk
)

@ IN NS localhost.

1 IN PTR localhost.

Maşina ce are autoritate asupra acestor zone este calculatorul local localhost, iar eventualele e-mail-uri generate de sistem sunt trimise la root@localhost. Primul fişier conţine, pe ultima linie, o înregistrare de tip A care asociază numele localhost cu adresa interfeţei loopback 127.0.0.1. Al doilea fişier face maparea în sens invers: pointerul PTR asociază adresa 127.0.0.1 cu numele localhost.

Frumosul este alcătuit din detalii...
Complicat, nu? Dacă vă simţiţi intimidat, documentul DNS-HOWTO de la www.tldp.org vă descrie cu mai multe amănunte ce aveţi de făcut. De obicei, nu trebuie decât să modificaţi corespunzător fişierele de configurare (folosindu-le pe cele prezentate ca şablon), să porniţi daemonul named şi ... la drum.

DNS conţine înregistrări (resource records) care pot oferi informaţii valoroase despre o anumită maşină. în timp ce înregistrările de tip A (vezi mai sus) mapează nume, înregistrările NS precizează care sunt nameserverele pentru domeniul firma.com. (primary şi secondary), cele MX stabilesc maşinile care pot primi poşta electronică pentru domeniu (mailservere), iar HINFO oferă informaţii despre hardware-ul unei anume maşini. În plus, se pot utiliza şi alias-uri pentru un anume calculator (înregistrările CNAME).

Puteţi testa serverul DNS pe care l-aţi pus în funcţiune într-un mod foarte simplu. Asiguraţi-vă că dispuneţi de un fişier /etc/resolv.conf de forma:

search firma.com
nameserver 127.0.0.1

şi folosiţi programul dig pentru a vedea ce răspunsuri veţi primi atunci când doriţi să obţineţi toate înregistrările care se referă la domeniul oarecare.com.:

dig oarecare.com. any

Puteţi restrânge informaţiile solicitate folosind alte clase de interogări în loc de any: mx pentru a identifica serverele de mail ale domeniului, ns pentru a obţine nameserverele care îl deservesc sau chiar hw pentru a căuta detalii despre hardware-ul folosit.

Comanda de bază hostname şi utilitare cum ar fi linuxconf vă permit să stabiliţi după dorinţă numele maşinii dvs. Linux. Fişierul /etc/resolv.conf arată ordinea în care vor fi cercetate diverse domenii (în cazul nostru este investigat firma.com; dacă veţi cere detalii despre maşina cu numele mihai, vor fi căutate atât mihai cât şi mihai. firma.com) şi listează adresele IP ale serverelor DNS externe care vor fi interogate.

Directorul general
Odată cu Windows 2000, Microsoft a introdus o nouă tehnologie de creare a unui domeniu, anume Active Directory (folosesc aici termenul domeniu în sensul administrativ dat de documentaţia Microsoft, nu în sensul DNS). Active Directory este un serviciu de catalog, asemănător cu LDAP, care vă permite să definiţi în mod unic clase de obiecte şi numele lor pe o anumită zonă a unei reţele: computere, utilizatori, imprimante, etc. Pentru realizarea acestui serviciu, Windows foloseşte DNS, în baza de date a căruia introduce câteva înregistrări "pentru uzul propriu". Campania publicitară ce a însoţit lansarea lui Windows 2000 Server nu a obosit să sublinieze faptul că acum Active Directory şi DNS sunt integrate, ceea ce, spune Microsoft, oferă multe avantaje.

La o primă vedere, lucrurile ar putea sta aşa. Analizând însă în profunzime, nu trebuie uitat faptul că DNS este un serviciu standardizat, prezent în toate sistemele de operare existente pe internet şi că el face subiectul unor norme publice, deschise (documente RFC). Din contra, Active Directory este o tehnologie proprietară, a cărei dezvoltare este în totalitate sub controlul Microsoft. Imbinarea prea strânsă între aceste tipuri de tehnologii are, de multe ori, scopuri comerciale evidente - clienţii vor rămâne "ancoraţi" în sisteme proprietare, a căror dezvoltare i-a costat mult timp şi mulţi bani. Pentru dvs., aspirant la statutul de membru al comunităţii free-software, trecerea de la un sistem deschis la unul proprietar nu este o schimbare de dorit.

Concret, ce înseamnă aceasta? Dacă tocmai aţi instalat un sistem Windows 2000 Server şi sunteţi pe cale să configuraţi serverul DNS inclus (care nu este bind-ul open source !), vi se va oferi alternativa de a alege între servere primary, secondary sau Active Directory integrated. Primele două sunt similare cu opţiunile master sau slave ale bind-ului - vă recomand cu căldură să alegeţi una dintre ele, în funcţie de necesităţi. A treia opţiune realizează un tip de server integrat cu Active Directory - nimeni nu vă poate garanta compatibilitatea acestui sistem cu cele open-source, folosite pe marea majoritate a domeniilor internet ...

Capitolul pentru oameni săraci
Marea majoritate a documentelor referitoare la DNS presupun aprioric că reţeaua pentru care încercaţi să configuraţi noul server dispune de o conexiune permanentă la internet, de o adresă IP fixă etc.. Din păcate, acesta este un caz mai rar întâlnit în România - cel puţin pentru micile reţele individuale.

Dacă situaţia în care vă găsiţi este similară cu a mea, atunci între dvs. şi restul reţelei mondiale există o legătură temporară, telefonică - un modem, poate un router ... Aveţi de ales între a configura un server DNS numai pentru reţeaua internă sau unul caching-only. Ultimul este un server DNS "parţial", care nu face decât să memoreze adresele găsite - cu ajutorul altor servere - într-o memorie cache, accelerând puţin accesul dvs. la internet. Distribuţiile de Linux importante vin cu un asemenea server caching-only preconfigurat, în format .rpm. în ambele situaţii, detalii de configurare se găsesc în DNS-HOWTO şi în documentele citate de autorul acestuia ca bibliografie. Atenţie, însă - dacă nu aveţi un domeniu DNS înregistrat, punerea la punct a unui "DNS intern" cere puţină experienţă şi atenţie, fiindcă o configurare incorectă poate crea probleme utilizatorilor de pe alte domenii, "oficiale".

Şi, dacă tot am adus vorba, aţi vizitat situl postului de televiziune B1 TV ? El se găseşte la adresa www.b1.tv. Când am văzut pentru prima dată această adresă, mărturisesc, am fost şocat ! Cine permite unei firme oarecare - fie ea şi un post de televiziune - să înregistreze domenii direct sub domeniul rădăcină ? Pe mâna cui a ajuns administrarea internetului ? Nu mai ştiam ce să cred ... Mi-a venit în ajutor un coleg mai experimentat, care mi-a explicat că nu e vorba de nici o încălcare a standardelor. Domeniul de nivel 1 .tv nu are, la origine, nimic comun cu televiziunea. El aparţine statului Tuvalu, la fel cum domeniul .ro aparţine României. Îmi mărturisesc ignoranţa - nu ştiu unde este situat Tuvalu pe harta lumii. Probabil însă că nu-s prea multe reţele pe acolo, fiindcă statul în cauză îşi "închiriază" domeniul celor dornici să adauge domeniului lor terminaţia .tv. Înregistrarea în DNS este, deci, perfect legală - .tv este un domeniu din categoria celor geografice.

James Bond 007
DNS este şi una dintre uneltele care vă ajută să obţineţi informaţiile dorite - sau nedorite? - pe internet. Aceste investigaţii nu au nimic ilegal, de aceea la configurarea unui server DNS nu uitaţi că toate detaliile despre reţeaua dvs. pe care le introduceţi în baza de date vor fi accesibile oricui. Cu programele dig şi nslookup efectuaţi manual interogările pe care un client DNS le face automat. De exemplu, dacă doriţi să ştiţi pe ce maşină ajung e-mail-urile destinate adresei [email protected] şi ce adresă IP are ea, nu trebuie decât să folosiţi unul dintre programele amintite asupra domeniului .firma.com., indicând drept criteriu de selecţie înregistrările MX (mailservere). Veţi primi o listă a serverelor de mail existente pe domeniu (în general două), impreună cu priorităţile şi cu adresele IP corespunzătoare. în paginile manual ale dig şi nslookup sunt descrise modurile de utilizare ale comenzilor amintite.

În loc de încheiere
Serviciul DNS este un subiect mult prea complex pentru a putea fi tratat aici în detaliu. Cu toate acestea, dacă vă găsiţi în postura de a administra o mică reţea şi nu beneficiaţi de asistenţă tehnică din partea unui expert, este neapărat necesar să vă familiarizaţi cu funcţionarea sa. Nu numai că acesta este un "subiect fierbinte" pe internet, necesar şi în cele mai simple instalări, dar o configurare incorectă a DNS va genera întârzieri nepermis de mari în întreaga reţea.

Pentru utilizatorii de acasă: la următorul abonament internet pe care îl veţi încheia, asiguraţi-vă măcar că ISP-ul dvs. v-a furnizat numele complete (FQDN) şi adresele IP corecte pentru cel puţin două servere DNS existente pe reţeaua sa. Acestea sunt maşinile pe care le veţi "interoga" ori de câte ori veţi tasta un URL în bara de adrese a browser-ului. Corecta lor configurare şi funcţionare vă va scuti de multe neplăceri - un acces rapid la internet, deci o factură telefonică mai mică ...

Dacă folosiţi Windows 98, 2000 Professional, Me sau XP, maşina dvs. poate juca numai rolul de client DNS. în Control-Panel, verificaţi că legătura dvs. în reţea (LAN sau Dial-Up) are completate, la rubrica TCP/IP Properties, adresele DNS corecte indicate de furnizorul dvs. de internet. în caz contrar, cum spuneam, accesul pe Net se va desfăşura cu timpi de aşteptare mult prea lungi.

Până la întâlnirea noastră viitoare, vă urez un hacking plăcut prin meandrele numelor internet!