По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье рассмотрим, как управлять учетными записями пользователей и групп в Linux. Также посмотрим различные базы данных, в которых хранится информация о пользователях и группах и что такое теневые пароли.
Изначально в Linux было 2 файла /etc/password и /etc/group. В первом файле хранилось:
Имя_пользователя : пароль : uid : gid : сведения (поле предназначено для персональных данных) : домашняя_папка : командная оболочк(которая запускается при входе пользователя в систему)
Во втором файле хранилось:
имя_группы : пароль : gid : члены_группы
У группы может быть пароль, но данную функцию очень редко, кто использует, в таком случае пароль будет запрашиваться при смене членства в группе. Данные файлы плохи тем, что у всех пользователей системы, по умолчанию, есть права на чтение. Такие права необходимы потому, что разные пользователи, разные демоны и сервисы обращаются к данным файлам, чтобы брать оттуда информацию. Соответственно в этих файлах хранился пароль пользователя, хотя и в зашифрованном виде, но с помощью различных методов криптографии подбора можно было воспользоваться данным паролем, потому что у всех пользователей был на эти файлы доступ.
Поэтому был создан механизм теневых паролей. Были созданы вот такие 2 файла: /etc/shadow и /etc/gshadow. И к этим двум файлам имеет полный доступ только пользователь root. Следовательно, теперь в файлах passwd и group указываются не пароли, а специальные символы, говорящие что пароли были перенесены в файлы shadow и gshadow.
В новом файле shadow хранится побольше информации о пароле пользователя. Это:
Логин
Пароль
Время после смены пароля – это если пароль сбрасывался после времени установки системы
Минимальный срок действия пароля - как часто можно менять пароль, если, например, стоит 5 дней, то пароль можно менять не чаще, чем раз в 5 дней.
Максимальный срок действия пароля – максимальное количество дней, по прошествии которых обязательно необходимо сменить пароль.
Срок предупреждения – за сколько дней до истечения пароля система предупредит о том, что необходимо сменить пароль.
Время работы с истекшим паролем – это параметр позволяет указанное число дней работать с истекшим паролем.
Срок для блокировки пароля – данный параметр отвечает за время жизни самого пароля, например, пароль будет работать 100 дней, после этого заблокируется.
Соответственно данные параметры можно при необходимости задавать при создании учетной записи пользователя и паролей. Если провести аналогию с операционной системой Windows, то подобные параметры в Windows мы можем задавать через GPO (Group Policy Object - набор правил или настроек, в соответствии с которыми производится настройка рабочей среды в операционных системах Windows). Отличие заключается в том, что в Windows эти параметры выставляются в абсолютных величинах числом, а в операционной системе Linux, относительно даты 1 января 1970 года.
Ну и соответственно gshadow имеет следующую структуру, разделенную символом :.
Имя группы
Пароль зашифрованный
Администраторы, те учетные записи, которые могут менять пароль группы или добавлять другие аккаунты
Члены групп
Следовательно, пароли могут хранится и в тех, и в тех файлах, отличие в том, что у пользователей есть доступ на чтение к файлам passwd и group, а к shadow и gshadow только у пользователя root. Данный механизм называется механизмом теневых паролей, и он присутствует во всех современных Linux системах.
Теперь, посмотрим, как это выглядит в операционной системе.
Заходим в файл passwd любым текстовым редактором, например, nano, без повышения привилегий.
Возьмем пользователя:
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
Логин - list, значок X говорит о том, что пароль хранится в теневом файле. Далее 38 – id пользователя, 38 - gid, прочая информация - Mailing List Manager, домашняя папка пользователя - /var/list и оболочка которая используется при входе - /usr/sbin/nologin.
Можно увидеть, что вместо оболочки у пользователя указан nologin – это означает, что пользователь не может войти, используя стандартный экран входа, используя стандартные средства. На картинке можно найти пользователя siadmin. Можно также увидеть все остальные параметры этого пользователя. У него совпадает uid и gid, это связанно с тем , что при создании пользователя создается одноименная группа. Можно, конечно, при создании указать, что пользователь будет входить в другую группу и не создавать одноименную, но по умолчанию она создается. В конце строчки мы можем увидеть /bin/bash, которая запускается при входе в систему. Можно обратить внимания на uid и gid все реальные пользователи их имеют числом выше 1000. Все пользователи, у которых число ниже – это служебные пользователи или созданные автоматически. В некоторых дистрибутивах Linux нумерация реальных пользователей начинается с 500.
Посмотрим файл с группами, вводим команду nano /etc/group
Данная база очень простая. Указано наименование группы, знак X говорит, о том, что пароль хранится в теневой базе, идентификатор группы и список пользователей в данной группе. Единственный нюанс - если пользователь входит в свою же группу, то после знака двоеточие пользователь не отображается.
Далее файлы /etc/shadow и /etc/gshadow, данные файлы не редактируются с помощью текстовых редакторов, а через специальные команды. Данные файлы — это просто хранилище информации. Эти утилиты будут рассмотрены в следующем уроке.
Зайти в эти файлы могут только пользователи имеющие права root или с помощью команды повышающей привилегии sudo.
sudo nano /etc/shadow
Теперь мы видим в данном файле через двоеточие:
Имя пользователя
* или зашифрованный пароль
Срок с последнего изменения пароля в днях
Минимальный срок изменения пароля, если 0, то сменить пароль можно сразу
99999 - срок действия пароля, 7 - количество дней за которое до истечения пароля придет предупреждение
Символ * говорит о том, что под данным пользователем нельзя зайти стандартным способом, обычно это применяется для служебных аккаунтов, т.е вход вообще заблокирован под данным аккаунтом.
Вот так вот реализуется механизм теневых паролей.
Привет! Сегодня в статье мы ходим рассмотреть различия между двумя системами телефонии от компании Cisco – Cisco Unified Communications Manager (CUCM) и Cisco Unified Communications Manager Express (CUCME или CME).
/p>
CME
Cisco Unified Communications Manager Express является многофункциональным решением начального уровня для IP-телефонии начального уровня. CUCME позволяет малым предприятиям и автономным филиалам внедрять IP-телефонию, голосовую и информационную инфраструктуры на единой платформе для небольших офисов, тем самым оптимизируя сеть и снижая затраты.
Ключевые особенности:
Обработка вызовов и управление устройством - CME действует как устройство управления вызовами все-в-одном. Он обрабатывает передачу сигнальных сообщений конечным точкам, отвечает за маршрутизацию вызовов, завершение вызов и функции вызова
Конфигурация в командной строке или графическом интерфейсе – поскольку Cisco интегрировала CME непосредственно в IOS, можно использовать полную гибкость конфигурации CLI, однако также можно использовать GUI утилиту, такую как Cisco Configuration Professional (CCP)
Служба локального каталога – Маршрутизатор CME может размещать локальную базу данных пользователей, которая может использоваться для аутентификации в сети IP-телефонии (IPT)
Поддержка интеграции компьютерной телефонии (CTI) – CTI позволяет сети IPT интегрироваться с приложениями, запущенными в сети передачи данных. Например, использовать Cisco Unified CallConnector для совершения вызовов непосредственно из списка контактов Microsoft Outlook
Транкинг к другим системам VoIP – хотя CME может работать как автономное решение, непосредственно связанное с PSTN, оно также может интегрироваться с другими развертываниями VoIP. Например, использовать CME для небольшого офиса с 40 пользователями и иметь возможность подключаться непосредственно к сети передачи данных к корпоративной штаб-квартире, поддерживаемой полным сервером Cisco Unified Communications Manager (CUCM)
Прямая интеграция с Cisco Unity Express (CUE) – CUE, которая работает через модуль, установленный на маршрутизаторе Cisco, может предоставлять функции голосовой почты для IP-телефонов.
CUCM
Система Cisco Unified Communications Manager в свою очередь расширяет возможности функций корпоративной телефонии для IP-телефонов, устройства обработки мультимедиа, шлюзов передачи голоса по IP и мультимедийных приложений. Дополнительные сервисы передачи данных, голоса и видео, такие как: унифицированный обмен сообщениями, мультимедийные конференц-связи, совместные контактные центры и интерактивные системы реагирования, взаимодействуют через API.
Ключевые особенности:
Полная поддержка аудио и видеотелефонии – основная функция, предоставляемая Cisco Unified Communications Manager. CUCM поддерживает аудио и видеовызовы для среднего бизнеса корпораций корпоративного класса
Защищенное ядро – современные версии CUCM работают как аплаенс, что означает, что базовая операционная система защищена и недоступна
Резервный серверный кластер – CUCM поддерживает резервные серверы, настроенные как кластер. Возможности кластеризации реплицируют данные базы данных (содержащие статические данные, такие как каталог, номера и план маршрутизации) и информацию в реальном времени (содержащую динамические данные, такие как активные вызовы). Кластеры CUCM могут масштабироваться до 30 000 IP-телефонов (SCCP или SIP в незащищенном режим) или 27 000 IP-телефонов (SCCP или SIP в защищенном режиме)
Управление межкластерными и голосовыми шлюзами – хотя у кластера CUCM есть предел в 30 000 IP-телефонов, можно создать столько кластеров, сколько необходимо и подключать их вместе с помощью межкластерных соединительных линии. В дополнение к использованию межкластерных соединительных транков для вызова вне кластера, CUCM также может подключаться к голосовым шлюзам (таким как маршрутизатор Cisco),которые могут быть соединены с различными сетям голосовой связи (таким как PSTN или старая PBX система)
Встроенная система аварийного восстановления (DRS) – встроенная функция Disaster Recovery System позволяет создавать резервные копии базы данных CUCM (и любых дополнительных файлов, которые необходимы) на сетевом устройстве или через Secure FTP (SFTP)
Поддержка виртуализации VMWare – Начиная с версии 8.0 CUCM поддерживается в среде VMWare ESXi. Это приносит максимум доступности и масштабируемости виртуализации для развертывания CUCM
Поддержка или интеграция службы каталогов – сети VoIP могут использовать учетные записи сетевых пользователей для различных целей (управление телефоном, управление консолью оператора и т. Д.). CUCM имеет возможность быть собственным сервером каталогов для хранения учетных записей пользователей или может интегрироваться в существующую структуру корпоративного каталога (например, Microsoft Active Directory) и извлекать информацию об учетной записи пользователя оттуда.
Итог
Платформа CME CUCM
Аппаратные средства
Маршрутизатор Integrated Services Router (ISR)
Сервер в кластере с ISR в качестве PSTN шлюза
Управление вызовами
Unified Communications Manager Express
Unified Communications Manager
Модель вызовов
Распределенная
Централизованная
Количество площадок
Неограниченно
Неограниченно
Возможность расширения
До 450 пользователей
До 30 000 пользователей в кластере
Управление
Command-Line Interface, Cisco Configuration Professional, Cisco Configuration Professional Express Command-Line Interface, Веб-интерфейс CUCM
Порты
PSTN и голосовые порты могут быть расположены на CME
PSTN и голосовые порты не могут быть расположены на CUCM Необходим голосовой шлюз или CME в этой роли
Поддержка JTAPI/TAPI
Не поддерживает
Поддерживается
Поддержка JTAPI/TAPI
TAPI ограничено. JTAPI не поддерживает
Поддерживается
Кластеризация
Не поддерживается. CME не может быть членом кластера CUCM
Поддерживается до 21 ноды в кластере
CiscoWorks IP Telephony Environment Monitor (ITEM)
Не поддерживается
Поддерживается
Как следует из названий, проприетарный протокол компании Cisco System EIGRP (Enhanced Interior Gateway Routing Protocol), это протокол «внутреннего шлюза». EIGRP имеет множество преимуществ по сравнению с протоколом RIP (Routing Information Protocol) и своим непосредственным предшественником, протоколом IGRP (Interior Gateway Routing Protocol). По существу, EIGRP это расширенная версия протокола IGRP. Как и RIP, IGRP известен как дистанционно – векторный протокол, но по сравнению с ним он имеет улучшенные характеристики алгоритма расчета оптимального пути до пункта назначения. Метрики IGRP основываются на таких параметрах как полоса пропускания и задержка, в тоже время для протокола RIP важным является длинна маршрута, выраженная в «хопах», то есть количестве узлов на пути следования.
Протокол EIGRP включает в себя алгоритмы, которые часто встречаются в продвинутых протокол маршрутизации, которые работают по принципу «состояния канала». EIGRP использует оптимизированный по сравнению с RIP и IGRP метод предотвращения петель в сети, обеспечивая 100 – процентную гарантию отсутствия петель.
Важное преимущество EIGRP – это высокий показатель масштабируемости и высокая скорость сходимости сети. Итак, давайте разберем конкретные преимущества EIGRP по сравнению с IGRP:
Быстрая сходимость
Поддержка CIDR (бесклассовая адресация) и VLSM (маска подсети переменной длины)
Использует более совершенный алгоритм DUAL (Diffusing Update Algorithm), для определения качества того или иного маршрута.
Может использовать маршруты других протоколов маршрутизации.
Протокол совместим с IGRP и может выполнять маршрутизацию таких протоколов как IPX и Apple AppleTalk
EIGRP представляется как гибридный протокол, который содержит в себе как функционал дистанционно – векторного протокола маршрутизации, так и «состояния канала». Перечислим следующие характеристики:
EIGRP использует множество метрик для определения качества маршрута в добавок к «дистанции»:
Полоса пропускания и задержка (метрики по умолчанию)
Надежность, загрузка, MTU (опциональные метрики)
Оценка качества маршрута с помощью DUAL2
EIGRP, как и протокол OSPF, отправляет сообщения об изменении маршрутизации только тогда, когда в сети случаются какие-либо изменения (для сравнения, RIP и IGRP обновляет широковещательные сообщения периодически)
Протокол EIGRP в рамках сходимости, обменивается только «Hello» сообщениями с соседними маршрутизаторами.
EIGRP не поддерживается на маршрутизаторах других компаний, кроме Cisco.
EIGRP использует следующие административные значения для маршрутов:
Значение 90, для маршрутов полученных по EIGRP
Значение 170, для маршрутов полученных в рамках других протоколов маршрутизации
Компоненты EIGRP
Протокол EIGRP (Enhanced Interior Gateway Routing Protocol) состоит из 4 – х важных компонентов:
Обнаружение соседей
Речь пойдет о технологии, которую используют маршрутизаторы Cisco чтобы обнаружить присутствие напрямую подключенных маршрутизаторов соседей. Процесс обнаружения, позволяет маршрутизаторам использовать небольшие пакеты с маленькой нагрузкой, в рамках которых они передают сообщения «Hello». Отправка подобных пакетов позволяет определить, нормально ли функционирует сосед, или же он недоступен. Маршрутизатор отвечает на эти сообщения, и только после этого маршрутизаторы начинают работу. В случае не ответа, маршрутизатор считается неактивным и процесса коммуникаций не происходит.
Reliable Transport Protocol (RTP)
Или другими словами, надежный транспортный протокол. Обеспечивает надежную и гарантированную доставку юникаст или мультикаст сообщения соседям маршрутизаторам. В рамках эффективного использования RTP, маршрутизаторы используют его только по необходимости.
DUAL алгоритм
Алгоритм маршрутизации, который используется EIGRP для расчета, определения и отслеживания маршрутов без петель. DUAL использует метрики для определения наиболее оптимального маршрута основываясь на «feasible successor» (или «возможный приемник»,о котором мы расскажем во второй части статьи).
Дополнительные модули протокола
Независимые модули, которые используются протоколом EIGRP в рамках сетевого уровня модели OSI для отправки и получения сообщений. Модуль IP для протокола EIGRP носит название IP-EIGRP и предназначен для отправки и получения EIGRP пакетов инкапсулированных в IP – пакеты. IP-EIGRP взаимодействует с DUAL для вычисления маршрутов, которые в дальнейшем хранятся в таблицах маршрутизации.
Во второй части статьи мы продолжим рассказ о таблицах маршрутизации EIGRP