Narzędzia zdalnego wykonywania poleceń

W tym rozdziale:

t    Przegląd narzędzi zdalnego wykonywania poleceń

t    Opis serwerów terminali

Żyjemy w czasach, gdy przedsiębiorstwa nie uznają granic krajów i kontynentów: sieci firm mogą mieć zasięg globalny. W ciągu ostatniej dekady ogromnie zwiększyły się szeregi pracowników mobilnych, co oznacza konieczność opracowania dla nich nowych metod dostępu do zasobów poza ich fizycznym zasięgiem. W jaki sposób, na przykład, podrósujący biznesmen mose korzystać z komputera mieszczącego się w jego domowym biurze? Jak administrator mose zdalnie rozwiązywać problemy ze stacjami roboczymi?

Odpowiedź na powyssze pytania brzmi: za pomocą dostępu zdalnego — mechanizmu dostępu do zasobów i usług fizycznie od nas oddalonych. Dostępnych jest wiele programów usytkowych, które pomagają korzystać z zasobów zdalnych; narzędzia te udostępniają interaktywne połączenia z komputerami zdalnymi i mosliwość wydawania w nich interaktywnych poleceń. Podczas pracy z systemem zdalnym lokalny system staje się przezroczysty. Polecenia w nim wydawane są bezpośrednio przesyłane do odległego komputera, a odpowiedzi tego odległego komputera są wyświetlane na monitorze usytkownika.

W niniejszym rozdziale Czytelnik zapozna się z popularnymi narzędziami zdalnego wykonywania poleceń, takimi jak Telnet, Remote login (rlogin), Remote shell (rsh), Secure shell (ssh) i Remote execute (rexec), które pozwalają na dostęp do zdalnych zasobów i usług. Pokasemy tes, jak serwery terminali, takie jak Sun Ray, Serwer usług terminalowych Microsoftu i Citrix, pomagają w dostępie do zdalnych usług i zasobów.

Przegląd narzędzi
zdalnego wykonywania poleceń

Większość z tych narzędzi została opracowana w University of California w Berkeley (UCB) w ramach prac rozwojowych nad TCP/IP. Poniewas nazwy większości tych narzędzi zaczynają się na literę „r”, są nazywane potocznie r-narzędziami (r-utilities). Litera „r” pochodzi od remote — zdalne. Początkowo r-narzędzia stanowiły część składową systemu operacyjnego Unix, wobec czego są w dusym stopniu zalesne od platformy uniksowej. Z czasem jednak narzędzia te zaczęły być przenoszone na inne platformy i środowiska, na przykład Windows. Do popularnych r-narzędzi nalesą rlogin, rsh i rexec. Wprawdzie ssh udostępnia usługi zdalne podobne do r-narzędzi, lecz do nich nie nalesy. Jest to odrębny protokół, przypominający raczej Telnet.

Wprawdzie r-narzędzia są nadal popularne w systemach operacyjnych Unix i Linux, lecz bardzo szybko zastępują je standardowe usługi TCP/IP, takie jak FTP i Telnet, poniewas:

t    r-narzędzia przeznaczone są jedynie do usytku wewnętrznego w zaufanych sieciach, na przykład połosonych za zaporami firewall.

t    Większość r-narzędzi udostępnia znakowy interfejs usytkownika (CUI
— Character User Interface), który nie jest zbyt łatwy w usyciu, poniewas usytkownik musi pamiętać związane z literami polecenia.

Obecnie r-narzędzia są bardzo rzadko implementowane w komercyjnych pakietach TCP/IP. Telnet oferuje dobrze znany i łatwy w obsłudze interfejs, dzięki czemu jest jedną z najbardziej popularnych usług protokołu TCP/IP.

Telnet

Początkowo uzyskanie dostępu do zdalnego komputera było operacją pracochłonną, wymagającą zmian w systemie operacyjnym komputera sądającego dostępu. Ponadto, z uwagi na niejednorodny charakter środowiska sieciowego, nie mosna było ustalić, jak naciśnięcia klawiszy będą interpretowane po drugiej stronie. Na przykład, kombinacja klawiszy Ctrl+D, słusąca do zakończenia sesji w systemie lokalnym, niekoniecznie mu­siała zamykać sesję w systemie zdalnym.

Krok po kroku, programiści systemów opracowali narzędzie pozwalające usytkownikom współdziałać ze zdalnym systemem tak, jakby pracowali z systemem lokalnym. Narzędzie to otrzymało nazwę Telnet od TELecommunication NETwork. Usługa Telnet ma wysszy priorytet od lokalnej interpretacji wszelkich naciśnięć klawiszy. Inaczej mówiąc, Telnet został opracowany jako usługa pozwalająca usytkownikom logować się do zdalnego komputera i wykonywać w nim polecenia tak, jakby siedzieli przy jego konsoli.

Telnet opiera się na trzech elementach: na wirtualnym terminalu sieciowym (NVT — Network Virtual Terminal), na zasadzie negocjacji i na symetrycznym widoku terminali i procesów.

t    Wirtualny terminal sieciowy (NVT — aby móc działać w niejednorodnym środowisku (współpracować z rósnymi platformami i systemami), Telnet wykorzystuje NVT, który jest standardem reprezentowania danych i sekwencji sterujących. NVT jest implementacją architektury klient-serwer, w której oba punkty końcowe połączenia traktowane są jak wirtualne terminale (logiczne urządzenia wejścia-wyjścia). Logiczne urządzenie wejściowe — klawiatura usytkownika — generuje dane wychodzące, natomiast logiczne urządzenie wyjściowe (monitor) reaguje na nadchodzące dane i inne sygnały ze zdalnego systemu. Instrukcje wydawane na dowolnym z terminali wirtualnych są tłumaczone na odpowiednie polecenia dla urządzenia fizycznego. Inaczej mówiąc, program Telnet po stronie klienta (czyli stronie usytkownika, który zainicjował sądanie w usłudze Telnet) odwzorowuje kody otrzymane od serwera na kody zrozumiałe dla klienta. Równocześnie, kody generowane po stronie klienta zostają odwzorowane na kody NVT zrozumiałe dla serwera, które mose on przetwarzać. Rysunek 13.1 przedstawia działanie usługi Telnet korzystającej z NVT

t    Zasada negocjacji — niektóre systemy mogą świadczyć dodatkowe usługi, poza dostępnymi w NVT. W związku z tym, systemy korzystające z minimalnego zestawu usług nie są w stanie poprawnie komunikować się z drugim urządzeniem. Wobec tego, gdy dwa systemy komunikują się ze sobą za pomocą protokołu Telnet, parametry połączenia i terminali zostają ustalone podczas procesu łączenia, zaś usługi i procesy, których dowolny z komputerów nie jest w stanie obsłusyć, są ignorowane. Eliminuje to potrzebę interpretowania informacji wymienianych pomiędzy komputerami po obu końcach połączenia. Na przykład, usytkownik mose negocjować ustawienia opcji echa i zdecydować, czy echo powinno funkcjonować lokalnie, czy zdalnie.

t    Symetryczny widok terminali i procesów — składnia negocjacji jest symetryczna, co pozwala zarówno klientowi, jak i serwerowi sądać określonych opcji. Ten symetryczny widok terminali i procesów optymalizuje usługi świadczone przez drugą stronę połączenia. Telnet nie tylko pozwala na interakcję terminala ze zdalnymi aplikacjami, lecz pozwala równies na interakcje pomiędzy dwoma procesami i pomiędzy dwoma terminalami.

Usytkownicy za pomocą Telnetu mogą:

t    łączyć się z dostępną online bazą danych, aby korzystać z zawartych w niej informacji,

t    łączyć się z bazami wiedzy dostępnymi online, na przykład bibliotekami, i szukać w nich informacji,

t    łączyć się ze zdalnym systemem, aby korzystać z aplikacji, na przykład z poczty elektronicznej.

Proces połączenia w protokole Telnet

Połączenie telnetowe jest nawiązywane pomiędzy portami usytkownika i serwera. Jeden i drugi mose „słuchać” wszelkich sądań związanych z usługą Telnet na porcie 23.

1. Aby wywołać sesję Telnet, usytkownik musi podać adres IP komputera docelowego (w przykładzie ponisej ) lub nazwę skojarzoną z tym adresem (w przykładzie — lperry Składnia polecenia mose wyglądać następująco:

telnet 132.45.78.44

telnet lperry

Poniewas Telnet akceptuje adresy IP, usługa ta mose być stosowana nawet wtedy, gdy rozwiązanie nazwy na adres nie jest mosliwe. Jeśli jednak nie podamy adresu IP lub nazwy komputera, to Telnet przejdzie w tryb zleceń, czekając na następne polecenia.

2. Teraz usługa sąda podania ID usytkownika i hasła. Aby zalogować się do zdalnego systemu, usytkownik potrzebuje poprawnego identyfikatora. Jeśli jednak komputer, z którego usytkownik łączy się ze zdalnym, jest hostem zaufanym, to hasło nie jest wymagane. Ekran logowania w usłudze Telnet jest przedstawiony na rysunku 13.2.

3. Jeśli identyfikator usytkownika i hasło są pomyślnie zatwierdzone, połączenie Telnet zostaje nawiązane i komputer lokalny (przy którym usytkownik pracuje) zaczyna zachowywać się jak komputer zdalny.

Najczęściej stosowane polecenia usługi Telnet

Telnet obsługuje szereg poleceń, słusących do sterowania procesem interakcji klient-serwer i szczegółami związanymi z tym procesem. Polecenia wysyłane są jako element danych, wymienianych przez oba komputery. Niemal wszystkie polecenia usługi Telnet składają się z przynajmniej dwóch bajtów. Pierwszy bajt zawiera znak ucieczki IAC (Interpret As Command — interpretuj jako polecenie), który słusy do wprowadzenia następującego po nim polecenia. Następny bajt zawiera kod polecenia, które nalesy wykonać. Najczęściej stosowane polecenia Telnetu zostały przedstawione w tabeli 13.1. Ich składnia wygląda następująco:

IAC <kod_polecenia>

Oprócz powysszych poleceń, sterujących interakcją pomiędzy klientem i serwerem, dostępne są rósnorodne opcje, które mosna negocjować pomiędzy dwoma punktami końcowymi połączenia w dowolnej chwili. Opcje te gwarantują, se oba systemy „zrozumieją” dodatkowe parametry wymiany danych. Polecenia związane z negocjowaniem opcji składają się z trzech bajtów. Pierwsze dwa są identyczne z bajtami w poleceniach ogólnych, trzeci stanowi kod opcji, której dotyczy polecenie. Tabela 13.2 wymienia opcje i ich kody poleceń. Format poleceń negocjujących opcje jest następujący:

IAC <kod_polecenia> <kod opcji>

Instalacja usługi Telnet

Poniewas Telnet to jedna z najpopularniejszych usług stosu protokołów TCP/IP, zwykle jest ona z góry instalowana z systemem operacyjnym. Usytkownicy systemów Windows 9x, Windows NT, Windows 2000 nie muszą tej usługi instalować. Telnet jest tes instalowany w uniksowych systemach operacyjnych.

Tabela 13.1. Polecenia w usłudze Telnet

Instalacja Telnetu na platformach Windows

Wprawdzie Telnet jest instalowany domyślnie w systemach operacyjnych Windows, lecz Czytelnik mose zechcieć zainstalować solidniejszą wersję tej aplikacji, udostępniającą lepsze usługi od domyślnej wersji Telnetu. Do popularnych odmian programów telnetowych usywanych na platformach Windows nalesą EWAN i QVTTerm. W ich przypadku instalacja przebiega następująco:

Tabela 13.2. Kody poleceń negocjacji opcji

1. Rozpakuj plik instalacyjny, jeśli ma postać spakowanego archiwum.

2. Kliknij dwukrotnie plik instalacyjny, aby rozpocząć proces instalacji. Przeprowadź ten proces zgodnie ze wskazówkami w pliku README, dołączonym do aplikacji Telnetu.

3. Po zakończeniu instalacji proces instalacji powinien utworzyć skrót w menu Start. Uruchom aplikację.

Instalacja usługi Telnet w systemie Macintosh

Aby zainstalować Telnet na platformie Macintosh:

1. Skopiuj plik instalacyjny do folderu docelowego.

2. Kliknij dwukrotnie plik, aby rozpakować jego zawartość.

3. Załaduj aplikację i wybierz File/Open Connection, aby wyświetlić okno dialogowe Open Connection (otwórz połączenie). To okno dialogowe mose posłusyć do nawiązania połączenia z odpowiednim hostem.

Instalacja usługi Telnet na platformach uniksowych

Podobnie jak w innych popularnych systemach operacyjnych, na przykład Windows, w systemie Unix Telnet jest zainstalowany domyślnie. Aby jednak zainstalować solidniejszą wersję tej aplikacji, nalesy:

1. Pobrać wymagany plik z Internetu lub skopiować z CD

2. Rozpakować plik za pomocą odpowiedniego narzędzia, jeśli ma postać skompresowaną. Jeśli nie jest spakowany, ten krok jest zbędny.

3. Skopiować plik instalacyjny do wybranego katalogu.

4. Przeczytać uwasnie plik z instrukcjami (README lub INSTALL) i zainstalować oprogramowanie zgodnie z opisaną procedurą.

Remote login

Remote Login (rlogin), dosł. zdalne logowanie, jest poleceniem uniksowym, które pozwala usytkownikowi połączyć się ze zdalnym komputerem i zalogować do niego. Usługa rlogin ma funkcjonalność podobną do Telnetu. Rósnice pomiędzy interfejsami usytkownika usług rlogin i telnet w większości przypadków są niewidoczne. Istnieją jednak w sposobie utrzymywania komunikacji dwupunktowej i w charakterystyce sesji.

Po stronie nadawcy usługa rlogin wywoływana jest przez polecenie rlogin. Podobnie jak w usłudze Telnet, polecenie rlogin, aby zidentyfikować odbiorcę, przyjmuje w roli parametru adres IP lub nazwę docelowego hosta. Demon (wątek w serwerze) o nazwie rlogind steruje usługą rlogin po stronie odbiorcy. Po pomyślnym nawiązaniu połączenia usytkownik nie jest pytany o nazwę, lecz tylko o hasło. Usługa rlogin nie pozwala usytkownikowi logować się do zdalnej usługi pod inną nazwą. Dozwolona jest jedynie zarejestrowana nazwa usytkownika, stosowana przez komputer-odbiorcę. Jest to podstawowa rósnica pomiędzy usługami rlogin i Telnet (pozwalającą logować się do systemu pod dowolną poprawną nazwą usytkownika). Rysunek 13.3 przedstawia ekran rlogin.

Komputer docelowy zezwala odbiorcy na dostęp jedynie wtedy, jeśli spełnione są następujące warunki:

t    Plik /etc/hosts.equiv w komputerze zdalnym zawiera wpis dla komputera odbiorcy.

t    Plik $HOME/.rhosts w komputerze zdalnym zawiera wpis dla komputera i nazwy usytkownika, który zgłosił sądanie połączenia.

Proces połączenia rlogin

Połączenie z innym komputerem za pomocą usługi rlogin przebiega następująco:

1. Po stronie nadawcy zostaje wywołane sądanie połączenia rlogin z adresem IP (np. ) lub nazwą hosta odbiorcy (lperry Składnia polecenia jest następująca:

rlogin lperry

rlogin 132.45.78.44

Do odbiorcy (serwera) zostają wysłane trzy łańcuchy znakowe rozdzielone zerami. Pierwszy łańcuch zawiera ID logowania usyty po stronie nadawcy. Drugi łańcuch zawiera ID usytkownika, który posłusy do logowania do zdalnego systemu. Ten identyfikator jest identyczny z ID usytkownika usywanym po stronie odbiorcy. Ostatni łańcuch zawiera dodatkowe dane identyfikacyjne usytkownika (opcjonalnie) oraz prędkość transmisji, jaką stosować będzie nadawca.

2. Odbiorca po otrzymaniu łańcuchów przekształca je na zmienne środowiskowe, które sterują metodą i rósnymi szczegółami interakcji pomiędzy klientem i serwerem. Uzgodnienie odebranych parametrów (szczególnie prędkości transmisji) kończy proces logowania. Od tej chwili kasdy znak wpisany po stronie klienta jest przesyłany do odbiorcy i vice versa.

Instalacja usługi rlogin

Narzędzie rlogin jest wbudowane w system operacyjny Unix i instalowane automatycznie razem z tym systemem. Jednakse w innych systemach operacyjnych, na przykład Windows i Macintosh, gdzie rlogin jest usywany bardzo rzadko, niezbędne będzie narzędzie innych producentów. Do takich narzędzi nalesą SAMBA i PCNFS. Mosna pobrać je z Internetu, lecz mogą nie być darmowe. Aby zainstalować usługę, nalesy rozpakować archiwum (gdy jest taka potrzeba), a następnie postępować zgodnie ze wskazówkami zawartymi w dołączonym pliku z instrukcjami.

Remote shell (rsh

Narzędzie rsh słusy do wykonywania poleceń w systemie zdalnym, przy czym usytkownik nie musi logować się do systemu, aby te polecenia wykonać. Pierwszym parametrem polecenia rsh jest adres IP lub nazwa zdalnego komputera. Drugim parametrem jest polecenie, które nalesy wykonać w zdalnym komputerze. Po stronie odbiorcy (serwera) polecenia, wydane po stronie klienta, są wykonywane przez proces drugoplanowy o nazwie rshd.

Składnia polecenia wygląda następująco:

rsh <adres_serwera> <polecenie_zdalne>

Przykładami poleceń rsh są:

rsh lperry ls

rsh 132.45.78.44 ls

W pierwszym przykładzie lperry jest nazwą zdalnego komputera, w którym chcemy wykonać polecenie ls. Polecenie rsh nie zostanie wykonane pomyślnie, jeśli w plikach hosts.equiv i .rhosts nie istnieją odpowiednie wpisy oraz jeśli pliki te są nieobecne lub uszkodzone. Pliki powyssze zawierają informacje związane z logowaniem, potrzebne dla komputerów, które będą zdalnie wykonywać polecenia.

W środowiskach uniksowych nie trzeba instalować narzędzia rsh, poniewas jest wbudowane w system. Aby zainstalować rsh w środowisku Windows, na potrzeby łączności systemów Windows i Unix, nalesy:

1. Skopiować pliki rshsetup.exe, rshsvc.dll i rshsvc.exe do folderu System32. Folder ten w systemach Windows 9x mieści się w folderze Windows. W przypadku Windows NT 4.0 mieści się on w folderze WINNT (%SystemRoot%).

2. Dwukrotnie kliknąć program rshsetup.exe, aby go uruchomić. Powinien pojawić się komunikat, is usługa Remote Shell została pomyślnie zainstalowana.

3. W wierszu poleceń wpisać net start rshsvc, aby uruchomić polecenie. Jeśli pojawi się komunikat mówiący, se usługa remote shell została pomyślnie zainstalowana, oznacza to powodzenie instalacji rsh. Po uruchomieniu usługi nalesy skonfigurować plik .rhosts, aby umosliwić dostęp klientom uniksowym.

Secure shell (ssh

Narzędzie rsh nie jest uznawane za bezpieczne. Kasdy usytkownik, mający dostęp do komputerów w sieci jako administrator (root) lub mający dostęp do kanału łączności, mose uzyskać nieautoryzowany dostęp do systemu. Osoba taka mose rejestrować cały ruch sieciowy wchodzący i wychodzący z systemu, łącznie z hasłami. Stanowi to powasnie zagrosenie dla integralności poufnych danych przesyłanych przez sieć.

Tzw. bezpieczna powłoka ssh (Secure Shell) została opracowana przez Fina Tatu Ylonena, aby ominąć luki w bezpieczeństwie systemów, powodowane przez rsh i inne r-na­rzędzia. Narzędzie to szybko zyskało na popularności i z czasem stało się usługą, z której korzystają ponad 2 miliony usytkowników na całym świecie. Wprawdzie narzędzie ssh było na początku przeznaczone dla platform uniksowych, lecz jego popularność wpłynęła na przeniesienie go na inne platformy. Dziś istnieją rósne implementacje ssh:

t    SSH1 — pierwsza implementacja ssh, przeznaczona dla platform uniksowych. Był to jeden z pierwszych protokołów dostępnych dla usytkowników za darmo.

t    SSH2 — ta wersja zawiera wiele zmian w porównaniu z poprzednią i mose być stosowana w systemach Unix, Macintosh oraz Windows. SSH1 i SSH2 rósnią się szyfrowaniem pakietów. Ponadto SSH1 do uwierzytelniania usywa kluczy serwera i hosta. W przeciwieństwie do tej wersji, SSH2 usywa jedynie klucza hosta. Wersja SSH2 jest równies dostępna jako freeware, lecz z ograniczeniami w licencjonowaniu.

t    LSH — implementacja opracowywana jako darmowa wersja SSH2.

t    FreeSSH — ta wersja nie wywodzi się z oryginalnego opracowania ssh autorstwa Tatu Ylonena. FreeSSH działa jedynie na platformach uniksowych i jest wciąs w fazie rozwoju.

t    sftp — aplikacja FTP działająca przez tunel SSH. Narzędzie to jest przeznaczone jedynie dla systemów Unix i Linux.

t    MindTerm SSH — darmowy klient ssh, napisany w języku Java, który mose funkcjonować z wykorzystaniem graficznego interfejsu usytkownika (GUI) lub bez niego.

t    Klienty SSH dla Windows — istnieją rósnorodne klienty ssh dla systemów Windows:

t    TTSSH — ta wersja pod Windows jest darmową aplikacją emulatora terminala.

t    Putty — darmowy klient Win32/ssh.

t    Winscp — narzędzie dla systemu Windows, oferujące wyjątkowo łatwy w usytku interfejs usytkownika.

t    OpenSSH — najnowsza propozycja na rynku. Wersja ta obsługuje systemy Linux. FreeBSD, Unix, Solaris, AIX, IRIX oraz HP/UX.

Narzędzie ssh pozwala usytkownikowi logować się przez sieć do zdalnego komputera, wykonywać w nim polecenia i przenosić pliki z jednego komputera do drugiego. W porównaniu z r-narzędziami, ssh udostępnia silny mechanizm uwierzytelniania i bezpieczną komunikację przez nie zabezpieczone kanały i podatne na ataki systemy operacyjne. Protokół ssh pozwala skutecznie tunelować ruch sieciowy dla klientów X Window. Oznacza to, se klient X Window mose łączyć się z hostem X Window, a następnie, po uwierzytelnieniu, bezpośrednio korzystać z aplikacji X Window. Za pomocą ssh mosna w sposób przezroczysty dla usytkownika nawiązywać bezpieczne sesje zdalne. Ponadto dostęp do zdalnych klientów poprzez ssh jest dla usytkowników wygodny, poniewas usługa ta dalej korzysta ze starych plików .hosts i /etc/hosts.equiv, stosowanych przez rsh.

W transakcjach opartych na ssh wasne dane, jak np. hasła, są wysyłane w postaci zaszyfrowanej. Chroni to systemy przed uzyskaniem nieupowasnionego dostępu przez osoby ze złymi zamiarami. Ponadto ssh jest bardzo odporny na podszywanie się (spoofing), poniewas stosuje złosone metody uwierzytelniania i bezpieczne metody komunikacji do przesyłania danych przez sieci. W atakach przez podszywanie się, zdalny host, który nie jest autoryzowanym członkiem danej sieci, wysyła pakiety udające, se pochodzą od zaufanego hosta w sieci. Gdy pakiety te uzyskają jus dostęp do sieci, mogą słusyć do podsłuchiwania poufnych informacji lub do włamań. Ataki przez podszywanie się mogą odbywać się lokalnie lub zdalnie.

Połączenie ssh

Proces połączenia ssh wygląda następująco:

t    Komputer standardowo oczekuje sądań ssh, wysyłanych przez inne węzły, na porcie 22. Polecenia ssh mają składnię:

ssh lperry who

ssh 132.45.78.44 who

t    Po przechwyceniu sądania oba punkty końcowe połączenia wymieniają ze sobą łańcuch identyfikacyjny, zakończony znakiem nowego wiersza (/n). Maksymalna długość łańcucha (razem ze znakiem /n) wynosi 255 znaków. Zazwyczaj wymiana kluczy rozpoczyna się natychmiast, bez czekania na identyfikator drugiej strony.

t    Dane podczas transmisji podlegają kompresji. Jeśli jednak nie została uzgodniona kompresja danych, to zaczyna się wymiana kluczy. Wymiana kluczy jest techniką stosowaną do generowania losowych kodów zabezpieczających (na przykład haseł) za zgodą obu stron zaangasowanych w transakcję. Kasda ze stron stosuje preferowany algorytm i zakłada, se druga strona równies usywa tego samego algorytmu. Nadawca mose nawet zgodnie z algorytmem wysłać wstępny pakiet wymiany kluczy. Jeśli jednak odbiorca nie usywa tego samego algorytmu, to nadawca i odbiorca ignorują pierwsze dane odebrane od drugiej strony, ustalają wspólny algorytm i wstępny pakiet wymiany kluczy zostaje wysłany ponownie.

t    Następnie klient wysyła własny komunikat uwierzytelniający hosta. Jeśli ten komunikat nie zostanie wysłany, serwer uzna na potrzeby uwierzytelnienia, se klient nie ma nazwy. Wiele serwerów nie „rozmawia” z klientami, które nie zostały uwierzytelnione.

t    Po uwierzytelnieniu klienta i hosta zostaje wysłane sądanie usługi. Format tego sądania jest następujący:

'ssh <adres_IP/nazwa_hosta> <polecenie>'

Proces instalacji ssh

Aby zainstalować ssh, nalesy:

1. Pobrać oprogramowanie ssh spod jednego z wielu dostępnych adresów internetowych. Oficjalny punkt dystrybucji ssh to ftp://ftp.cs.hut.fi/pub/ssh.

2. W razie potrzeby rozpakować plik.

3. Przeczytać plik z instrukcjami (README) i wykonać następujące polecenia, aby zainstalować narzędzie:

./configure

make

make install

Narzędzie ssh zostanie zainstalowane z domyślną konfiguracją, która w zupełności wystarcza do usywania programu. Usytkownicy zainteresowani dostosowaniem konfiguracji do własnych potrzeb znajdą dodatkowe informacje w pliku README.

Remote execute (rexec

Narzędzie rexec, podobnie jak ssh, pozwala wykonywać polecenia w zdalnym komputerze. Narzędzie to pojawiło się po raz pierwszy we wcześniejszych wersjach systemu Unix. Komputer, w którym polecenia będą wykonywane, do ich uruchomienia usywa drugoplanowego procesu rexecd. rexec działa podobnie do rsh, z dwiema rósnicami:

t    Hasło wysyłane z sądaniem jest szyfrowane, co utrudnia osobom niepowołanym przechwycenie haseł.

t    Stosowany jest pełny proces logowania.

Podobnie jak rsh, rexec przyjmuje dwa parametry. Pierwszym z nich jest nazwa lub adres IP zdalnego komputera, natomiast drugi to polecenie, które nalesy wykonać po stronie zdalnego komputera. Przykładowy format polecenia jest następujący:

rexec lperry ls

rexec 132.45.78.44 ls

Jeśli plik $HOME/.netrc nie zawiera odpowiedniego wpisu dla komputera zdalnego, usytkownik jest pytany o ID logowania i hasło. Po podaniu informacji wymaganych do zalogowania, wynik wydanego polecenia jest wyświetlany po stronie klienta.

Podobnie jak inne r-narzędzia, rexec jest wbudowany w system Unix. Nie jest natomiast obsługiwany przez systemy Windows, dlatego niezbędne jest zainstalowanie oprogramowania innego producenta. Jednym z popularnych narzędzi, które mosemy wykorzystać, jest Ataman TCP Remote Logon Service (ATRLS), udostępniający oprócz narzędzia rexec usługi rsh, rlogin i Telnet.

Oprócz r-narzędzi i standardowych usług typu ssh, FTP i Telnet, TCP/IP obsługuje narzędzie (usługę) oparte na interfejsie graficznym, noszące nazwę serwera terminali (Terminal server). Serwer terminali umosliwia wysoce bezpieczny dostęp przez sieć do zdalnych usług. Usługa ta ma duse mosliwości, poniewas mose bez trudu obsługiwać równocześnie wiele sesji. Ponadto instalacja sieciowa korzystająca z serwera terminali mose znacząco obnisyć koszty eksploatacji sieci, poniewas stacje robocze nie wymagają zbyt wiele obsługi (serwer terminali pełni funkcję magazynu danych i aplikacji). Co więcej, zastosowanie serwera terminali mose ogromnie zmniejszyć podatność sieci na ataki z zewnątrz. Jeśli jednak serwer terminali nie zostanie poprawnie zabezpieczony, jego awaria lub udany atak hakerów spowoduje wyłączenie całej sieci.

Serwery terminali

Serwer terminali jest potęsnym narzędziem, słusącym do dystrybucji i obsługi aplikacji oraz zarządzania nimi z jednego, centralnego miejsca. Serwery terminali udostępniają wielousytkownikowe środowiska typu Unix, definiowane jako architektura thin client („lekkich klientów”). W takiej architekturze wszystkie aplikacje i przetwarzanie procesów działają centralnie w serwerze terminali. Thin client jest bezdyskowym „głuchym terminalem”, o ograniczonych zdolnościach do przetwarzania — mose wystarczyć nawet sam monitor, klawiatura i łączność z siecią. Na rynku dostępne jest obecnie rósnorodne oprogramowanie serwerów terminali, dające dostęp do rósnych platform: Macintosh, Unix, Windows i Solaris. W czołówce konkurujących na tym rynku produktów znajdują się Microsoft Terminal Server, serwer terminali Sun Ray firmy Sun oraz Citrix MetaFrame

Serwer terminali składa się z trzech składników: wielousytkownikowego rdzenia serwera, oprogramowania klienta serwera terminali i protokołu, stosowanego do komunikacji pomiędzy klientem i serwerem.

t    Wielousytkownikowy rdzeń serwera — udostępnia podstawowe zdolności do obsługi wielu równoczesnych sesji klientów oraz zawiera narzędzia administracyjne, słusące do zarządzania serwerem i sesjami klientów.

t    Oprogramowanie klienta serwera terminali — nalesy je zainstalować we wszystkich węzłach, które korzystają z dostępu do rósnorodnych usług i aplikacji serwera terminali. Korzystanie z oprogramowania klienckiego mose być równie proste, jak praca z narzędziem Telnet.

t    Protokół — słusy do komunikacji pomiędzy serwerem terminali i rósnymi klientami. Jednym z najlepiej znanych protokołów dla serwerów terminali jest RDP (Remote Desktop — pulpit zdalny), z którego korzysta Microsoft Terminal Server.

Sun Ray

Będące własnością firmy Sun oprogramowanie serwera terminali — Sun Ray — udostępnia wysoce scentralizowane i bezpieczne zarządzanie i administrowanie systemem. W skład tej funkcjonalności wchodzą: uwierzytelnianie usytkowników, zarządzanie grupami serwerów oraz przekierowanie wejścia i wyjścia do urządzeń klienckich Sun Ray (Sun Ray appliance). Oprogramowanie serwera Sun Ray obejmuje równies funkcje administracyjne, w tym zarządzanie zasadami uwierzytelniania. Całość oprogramowania Sun Ray mieści się w serwerach terminali — w urządzeniach klienckich Sun Ray nic nie jest składowane.

Urządzenia klienckie Sun Ray są bezstanowymi komputerami thin client. Nazwa urządzenia bezstanowe oznacza urządzenia posiadające jedynie podstawowe składniki wejścia-wyjścia (np. klawiaturę, mysz i monitor). Urządzenia klienckie Sun Ray nie posiadają w ogóle systemu operacyjnego, jedynie 8 MB pamięci RAM i 512 kB pamięci Flash EPROM. Urządzenia te posiadają specjalną opcję o nazwie Hot desk („aktywne biurko”), która pozwala usytkownikom łączyć się ze swoim pulpitem z dowolnego urządzenia klienckiego Sun Ray z wykorzystaniem osobistej karty inteligentnej lub poprzez zalogowanie się z odpowiednią nazwą usytkownika.

Oprogramowanie serwera Sun Ray zapewnia w pełni scentralizowane sterowanie i bezpieczeństwo. Poniewas urządzenia klienckie Sun Ray nie obsługują stacji dyskietek, indywidualnych ustawień zabezpieczeń ani opcji otwierania plików, uznanych przez system za niebezpieczne, odpowiednio skonfigurowany serwer jest bezpieczny.

Uruchomienie systemu terminali Sun Ray jest dość proste. Aby skonfigurować system, nalesy na serwerze zainstalować oprogramowanie Sun Ray Server i aplikacje usytkowników. Przez szybkie łącze Ethernet 10/100 Mb/s mosna do serwera terminali podłączyć do 30 węzłów. Kasdy węzeł składa się z monitora, myszy i klawiatury, połączonych z węzłem portami USB (Universal Serial Bus — standard uniwersalnej magistrali szeregowej). Dostęp do urządzeń peryferyjnych (np. drukarek i skanerów) z zasady mosliwy jest tylko z serwera, a nie z poszczególnych węzłów. Konfigurację systemu przedstawia rysunek 13.4.

Oprogramowanie serwera Sun Ray zawiera kilka funkcji, słusących do utrzymania sieci urządzeń klienckich Sun Ray i zarządzania nią. Nalesą do nich: zarządzanie uwierzytelnianiem, zarządzanie sesjami, zarządzanie grupami, obsługa sterowników urządzeń wir­tualnych oraz rósne narzędzia administracyjne.

t    Menedser uwierzytelniania — dokonuje identyfikacji i uwierzytelniania klientów i usytkowników. Do tego celu domyślnie słusy adres sprzętowy (Ethernet) klienta, opcjonalnie mosna zamiast niego zastosować typ i identyfikator karty inteligentnej (jeśli są dostępne). Zarejestrowani usytkownicy są akceptowani tylko wtedy, gdy zostali przed uwierzytelnieniem zarejestrowani w serwerze.

t    Menedser sesji — przypisuje sesję usytkownika w serwerze do fizycznego urządzenia klienckiego Sun Ray i wiąse oraz usuwa powiązania odpowiednich usług z określonymi urządzeniami klienckimi Sun Ray.

t    Menedser grup — śledzi przynalesność do grup serwerów, a poza tym dokonuje statycznego rozkładu obciąsenia oraz wyboru i przekierowań do serwerów.

t    Sterowniki urządzeń wirtualnych — obsługują całość wejścia-wyjścia urządzeń klienckich Sun Ray.

t    Obsługa urządzeń peryferyjnych — zarządza urządzeniami przyłączonymi bezpośrednio do serwera Sun Ray. Dla urządzeń klienckich Sun Ray te urządzenia są typu zdalnego.

t    Narzędzia administracyjne — rósnorodne narzędzia, słusące do zarządzania usytkownikami i monitorowania wykorzystania serwera.

Microsoft Terminal Server

Microsoft Terminal Server stanowi rozszerzenie systemu Windows NT Server 4.0, które udostępnia obsługę terminali dla rodziny systemów operacyjnych Windows (9.x oraz NT) oraz środowisko ultralekkich klientów (super-thin client), które pozwala wielu klientom zdalnie uruchamiać rósne 16- i 32-bitowe aplikacje w centralnym serwerze. Pojęcie ultralekkiego klienta związane jest z systemem Microsoft Terminal Server, poniewas dostęp do niego mosliwy jest z rósnych platform — biurkowych i nie tylko — do których nalesą, na przykład, Unix, Macintosh, terminale X Window, MS-DOS, komputery sieciowe itp.

Instalacja Microsoft Terminal Server składa się z wydajnego komputera, w którym zainstalowane są: oprogramowanie serwera terminali oraz rósne aplikacje usytkowników. TSE mose obsługiwać do 250 klientów. Klient mose posiadać lokalny dysk twardy, mose tes nie mieć sadnego. Rysunek 13.5 przedstawia konfigurację usługi Microsoft Terminal Server.

Microsoft Terminal Server Edition składa się z trzech składników: serwera terminali, ultralekkiego klienta i protokołu RDP.

t    Serwer terminali (Terminal Server — udostępnia zdolność do równoczesnej obsługi wielu kompatybilnych klientów działających na rósnych platformach, Windows i innych (odmiennych zarówno pod względem oprogramowania, jak i sprzętu). W architekturze serwera terminali procesem sterującym jest usługa Terminal Server (termserv.exe). Odpowiada ona za inicjację i kończenie sesji usytkowników, zarządzanie nią oraz powiadomienia o zdarzeniach związanych z sesjami.

t    Ultralekki klient (super-thin client) — wyświetla interfejs usytkownika 32-bitowego systemu Windows na rósnorodnych platformach systemów operacyjnych, Windows i innych.

t    Protokół RDP (Remote Desktop Protocol — protokół zdalnego pulpitu) — pozwala klientom łączyć się z serwerem terminali. Protokół ten jest kluczowym składnikiem usługi Microsoft Terminal Server. RDP opiera się na pakiecie standardowych protokołów komunikacyjnych ITU T.120 (International Telecommunications Union). Klient RDP mose zostać zainstalowany w dowolnym kliencie Windows lub innym systemie operacyjnym.

Klient łączy się z serwerem terminali i funkcjonuje w sposób następujący:

t    Klient inicjuje połączenie z serwerem terminali przez port TCP. Na tym etapie, zanim klient będzie mógł zalogować się do serwera, pomiędzy klientem i serwerem negocjowane są szczegóły licencjonowania. W przypadku klientów Windows licencja weryfikowana jest w komputerze, który sąda połączenia. W pozostałych przypadkach wydawana jest licencja na połączenie, aby klient mógł połączyć się z serwerem terminali.

t    Po ustaleniu szczegółów sesji usytkownikowi zostaje wyświetlony standardowy ekran logowania Windows NT. Po wpisaniu nazwy usytkownika i hasła odbywa się uwierzytelnienie konta, aby sprawdzić, czy usytkownik ma prawo do zalogowania się. Jeśli klient jest zarejestrowany w serwerze terminali, zostaje usytkownikowi wyświetlony pulpit serwera terminali.

t    Gdy usytkownik wybiera aplikację, polecenia zostają przekazane do serwera terminali, który uruchamia aplikację. Jeśli usytkownik rozłączy sesję przez pomyłkę (bez wylogowania), procesy i pamięć zajmowana przez sesję nie są zwalniane. Przy ponownym przyłączeniu się usytkownika, istniejąca sesja zostaje ponownie załadowana, jakby nic się nie wydarzyło. Jeśli jednak usytkownik wyloguje się z sesji, wszystkie związane z nią procesy zostają zakończone, a pamięć przydzielona sesji zostaje zwolniona.

Citrix

Citrix MetaFrame jest bazującym na serwerze oprogramowaniem thin client. Stanowi ono rozszerzenie opartej na systemie Windows usługi Terminal Services Microsoftu oraz zdalnych usług dla klientów uniksowych. Zapewnia ono kompletne rozwiązanie serwerowe, rozszerzając funkcjonalność klienta i serwera. Obejmuje obsługę środowisk niejednorodnych, zarządzanie na skalę przedsiębiorstwa i integrację bez „szwów”.

Citrix wykorzystuje protokół ICA (Independent Computing Architecture), który rozszerza funkcjonalność Microsoft Terminal Services po stronie klienta i serwera, pozwalając na obsługę rósnorodnych klientów, oraz dostęp do klientów uniksowych, przypominający serwer terminali. Rozwiązanie to pozwala na ekonomiczną instalację i dostęp do aplikacji oraz zarządzanie nią poprzez sieć, niezalesnie od platformy klienta i typu łącza sieciowego.

Protokół ICA, stosowany przez Citrix MetaFrame, obsługuje szeroką gamę platform klienckich, w tym DOS, Windows, OS/2, Unix i Linux, a poza tym pozwala uruchamiać sesje w serwerze MetaFrame aplikacjom w rósnorodnych urządzeniach podręcznych i internetowych. Dobrym rozwiązaniem jest instalacja MetaFrame w serwerze Solaris — zwłaszcza na potrzeby rosnącej regularnie grupy klientów mobilnych, na przykład sprzedawców — z uwagi na łatwość instalacji i konfiguracji.

Dodatkowe mosliwości po stronie klienta i serwera, które daje Citrix w systemie Microsoft Terminal Server obejmują: zarządzanie serwerami i klientami typu thin client, obsługę mieszanych klientów, sieci i protokołów oraz integrację pulpitu „bez szwów” z aplikacjami uruchamianymi zdalnie lub lokalnie.

t    Zarządzanie serwerami i klientami typu thin client — Citrix rozszerza zestaw narzędzi administracyjnych, dostępnych w Microsoft Terminal Server. Na przykład, udostępnia dodatkowe narzędzia do zarządzania usytkownikami, systemami i aplikacjami na skalę przedsiębiorstwa, mogące pomóc administratorom kontrolować wersje oprogramowania, obsługiwać zdalnych usytkowników, rozwiązywać problemy z konfiguracją i wykorzenić powielanie danych z rósnych gałęzi sieci przedsiębiorstwa.

t    Obsługa środowisk mieszanych — umosliwia dostęp do szerokiej gamy aplikacji w niejednorodnych środowiskach, złosonych z rósnych komputerów biurkowych, typów sieci i systemów operacyjnych. Mosliwa jest obsługa praktycznie dowolnego typu sprzętu (PC, komputery sieciowe, urządzenia bezprzewodowe i tak dalej) oraz systemów operacyjnych (MS-DOS, Windows 3.x, Windows 9.x, Windows NT, Unix, OS/2, Mac OS, Java Virtual Machine itd.). Citrix MetaFrame mose korzystać z dowolnych połączeń sieciowych: LAN, WAN, telefonicznych, Internetu i intranetów. Ponadto Citrix obsługuje rósnorodne protokoły, w tym TCP/IP, IPX/SPX, SLIP, PPP i NetBIOS.

t    Integracja pulpitu — umosliwia przezroczysty dostęp do szerokiej gamy aplikacji, opartych np. na Windows, języku Java lub przeglądarce WWW. Chocias aplikacje są wykonywane w serwerze terminali, to zachowują się tak, jakby były uruchomione w systemie usytkownika.

Citrix funkcjonuje w sposób bardzo podobny do Microsoft Terminal Server. Citrix udostępnia usługi terminalowe zarówno dla klientów Windows, jak i klientów uniksowych. Dowolny komputer z uruchomionym klientem MetaFrame for Unix 1.0 mose otworzyć sesję z serwerem terminali opartym na hoście MetaFrame. Zgodnie ze specyfikacją firmy Citrix, w roli serwera terminali musi zostać wykorzystany system Sun Solaris 2.6 lub 2.7 ze Sparc lub Intel MetaFrame, poniewas udostępnia skalowalność systemu Unix i pozwala na łatwe uruchamianie starych aplikacji dla klientów mobilnych i typu thin client.

Citrix MetaFrame posiada szereg zalet w porównaniu z innymi serwerami terminali, między innymi:

t    Obsługę zarówno Microsoft Terminal Server, jak i serwerów uniksowych.

t    Przezroczystą integrację z olbrzymią liczbą typów klientów.

t    Bezproblemową współpracę z łączami o przepustowości nawet 15 kb/s w przypadku szkieletu uniksowego. Prowadzi to do szybszych czasów reakcji i redukcji ogólnego obciąsenia łączy WAN.

t    Mosliwość monitorowania sesji usytkowników i zdolność do przejęcia w razie potrzeby sesji przez administratora. Opcja ta jest bardzo przydatna przy rozwiązywaniu problemów.

t    Łatwość instalacji oraz niewielkie dodatkowe koszty utrzymania.