версия 0.7
  1. Минимальные требования к оборудованию+
  2. Установка+
  3. Обновление предыдущей версии системы ++++
  4. Запуск системы
  5. Веб-интерфейс +
  6. Сводная информация
  7. Первичная настройка+
  8. Управление пользователями
  9. Сеть++
  10. Накопители информации++
  11. Службы+++
  12. Файловый сервер (SMB/CIFS)
  13. Обслуживание системы
  14. Журнал событий
  15. Примечания

пояснения:

  • + - произведены небольшие изменения
  • ++ - произведены существенные изменения
  • +++ - данный пункт появился впервые

Минимальные требования к оборудованию

Установка

Время установки - около 5-и минут.

Выбор необходимых драйверов для используемого оборудования происходит при старте системы, а не во время её установки. Поэтому жёсткий диск с установленной системой можно переносить с одного компьютера на другой.

  1. Скачайте образ установочного компакт-диска. Убедитесь, что контрольная сумма файла совпадает с указанной на сайте. Запишите образ на компакт-диск или flash-накопитель.
    В *NIX-системе для записи на flash-накопитель можно использовать команду:
    # dd if=bsl.iso of=/dev/sdf
    где /dev/sdf - файл устройства flash-накопителя.
  2. Загрузите компьютер с установочного компакт-диска или flash-накопителя. В появившемся меню выберите пункт "install" и нажмите "Enter".
  3. В главном меню выберите пункт "установить" и нажмите "Enter".
  4. Выберите место установки - отдельный жёсткий диск или программный RAID1 (зеркалирование).
  5. В случае RAID1 - отметьте пару дисков для его создания.
  6. В противном случае - выберите из списка жёсткий диск для установки системы.
  7. После подтверждения правильности выбора начнётся процесс установки. В верхнем левом угле отображается счётчик установленных программ.

    Все данные, на указанных Вами дисках, будут уничтожены!

  8. Введите пароль (с его подтверждением). Данный пароль будет присвоен двум РАЗНЫМ учётным записям "root" - одна принадлежит локальному администратору системы, другая - web-администратору.

    Для увеличения безопасности измените пароли после установки системы.

  9. После установки перезагрузите компьютер.

Обновление предыдущей версии системы

Перед обновлением:

После обновления:

  1. Загрузите компьютер с установочного компакт-диска или flash-накопителя. В появившемся меню выберите пункт "install" и нажмите "Enter". В главном меню выберите пункт "обновить" и нажмите "Enter".
  2. Если будет найдена предыдущая версия системы, то Вам потребуется подтвердить её обновление.
  3. После обновления перезагрузите компьютер.

Запуск системы

  1. Загрузите компьютер с жёсткого диска, на который была установлена система. В появившемся меню нажмите "Enter".
  2. Также компьютер можно загрузить с установочного компакт-диска или flash-накопителя. В появившемся меню выберите пункт "boot" и нажмите "Enter".

Веб-интерфейс

Основное управление системой производится через веб-интерфейс, доступ которому имеют только члены группы webers и специальный веб-пользователь root.

Пользователь root необходим на начальном этапе настройки системы (когда ещё нет других пользователей). Данный пользователь не имеет никакого отношения к учётной записи "root" локального администратора и предназначен только для доступа к веб-интерфейсу. Изначально обоим пользователям "root" присваивается один и тот же пароль, который Вы указали во время установки системы. Пароль веб-пользователя "root" изменяется на вкладке "СИСТЕМА"->"ADMINISTRATOR".

  1. После установки системы веб-интерфейс доступен по адресу https://192.168.1.100. Вы получите сообщение о том, что сертификат сервера не прошёл проверку, так как сервер использует самоподписанный сертификат.
  2. Проверьте содержимое сертификата. При изменении доменного имени сервера будет создан новый сертификат.
  3. После принятия сертификата появится окно аутентификации. Введите соответствующее имя пользователя и его пароль.

текстовой веб-обозреватель

В состав операционной системы включён веб-обозреватель links.

Если по какой-либо причине веб-интерфейс не доступен по сети, то Вы можете произвести настройку сервера локально. Для этого зарегистрируйтесь на сервере под учётной записью "root", ...

... подключитесь к веб-интерфейсу с помощью текстового web-обозревателя links (команда "linkslo" - псевдоним для "links https://localhost") и произведите необходимые настройки.

Используйте мышь для быстрого перемещения по меню и выбора полей настроек

Сводная информация

На главной странице отображается различная информация о работе системы.

Первичная настройка

Сразу после установки системы необходимо произвести её предварительную настройку. В дальнейшем данную процедуру можно проводить повторно.

В результате будет сделано следующее:

После этого создайте пользователя, который будет получать служебную почту. Присвойте ему почтовый адрес и введите его в состав почтового псевдонима root.

Роль сервера в домене Samba/NT4

Сервер может выполнять роль либо первичного контроллера домена (основное назначение) либо члена домена. В первом случае достаточно ввести только название домена. А во втором потребуется также указать имя и пароль администратора домена и отметить режим работы в домене.

PDC (Primary Domain Controller)
Первичный контроллер домена, совместимый с MS Windows NT4 PDC. Поддерживает перемещаемые профили и домашние каталоги пользователей.

В качестве клиентских ОС могут использоваться: MS Windows 2000/XP Pro/Vista Business/7 Business и выше/POSIX-совместимые при использовании набора программ Samba.

DMS rpc (Domain Member Server NT4)
Член домена. Имена доменных пользователей и групп предваряются именем домена.

Не создавайте группы во время первичной настройки системы. Удалите их, если они уже существуют. Иначе они могут помешать правильному взаимодействию с доменными пользователями.

Используется самый универсальный способ подключения к домену. При этом сервер использует собственную базу данных для преобразования Windows идентификаторов SID в POSIX идентификаторы UID/GID. Поэтому для сохранения принадлежности того или иного файла конкретному пользователю переносить файлы с компьютера на компьютер необходимо с использованием протокола smb/cifs.

(Не)Совместимость

Сервер, возможно, совместим не с любой версией Samba.

Для работы в домене под управлением ОС Microsoft Windows в последней должно быть разрешено подключение клиентов в стиле Windows NT4.

Управление пользователями

Группы

  1. Для удобства все пользователи объединены в группы. Каждый пользователь может входить в несколько групп.
    Группы, доступные после установки системы
    sshers пользователям данной группы разрешено удалённое подключение к системе с помощью SSH (Secure Shell) и SFTP (Secure FTP)
    wheel пользователям данной группы разрешено локально регистрироваться на сервере и использовать соманду "su"
    webers пользователям данной группы разрешён доступ к web-интерфейсу
    Domain Admins пользователи этой группы имеют право вводить компьютеры в домен
    Domain Admins, Domain Users, Domain Guests пользователи этих групп при входе на компьютер домена (под управлением MS Windows) автоматически получают права локального Администратора, Пользователя, Гостя соответственно
    Domain Computers данная группа предназначена для компьютеров, входящих в домен
  2. Для получения детальной информации о группе нажмите на кнопку с её названием. (В скобках указано количество пользователей, входящих в группу.)

    Группу можно удалить, если в неё не входит ни один пользователь.

  3. Для ввода (вывода) пользователей в группу (из группы) выберите соответствующих пользователей в столбце "прочие" ("члены") и нажмите на кнопку "<=>".

Пользователи

  1. Для добавления нового пользователя нажмите на кнопку "Создать нового пользователя" и введите соответствующие данные.
    Пояснения к параметрам
    фамилия Если поле оставлено пустым, то ему будет присвоено значение поля "регистрационное имя"
    полное имя Данный параметр используется многими программами в качестве отображаемого имени пользователя. Если поле оставлено пустым, то ему будет присвоено значение полей "фамилия", "имя" и "отчество"
    адрес эл. почты Если поле оставлено пустым и выставлен флажок "авто", то пользователю будет присвоен адрес <регистрационное_имя@домен>
    командная оболочка Должна быть назначена, чтобы пользователь мог локально или удалённо (с помощью SSH) зарегистрироваться на сервере. Желательно свести количество таких пользователей к минимуму.
    перемещаемый профиль Определяет - может ли пользователь использовать перемещаемый профиль. Ресурс с профилями должен быть включён глобально - устанавливается на вкладке "ФАЙЛЫ"->"profiles".
    домашний диск Для Windows-пользователей автоматически будет подключён указанный сетевой диск, содержащий домашний каталог
  2. Для просмотра информации о пользователе нажмите на кнопку с его именем. (В скобках отображается количество групп, в которые входит пользователь.)

    Для смены пароля введите новый в соответствующем поле и нажмите на кнопку "Изменить" справа от этого поля. (Также каждый пользователь может самостоятельно изменить свой пароль используя возможности клиентской ОС).

  3. Для отыскания нужного пользователя введите искомые параметры в соответствующие поля и нажмите на кнопку "Найти". Для просмотра информации о найденном пользователе нажмите на кнопку с его именем в столбце "пользователь".

Почтовые псевдонимы

Почтовые псевдонимы описаны в соответствующем разделе почтового сервера.

Компьютеры

В данном разделе представлена информация о компьютерах: локальном и входящих в домен.

Удалить учётную запись локального компьютера нельзя.

Сеть

  1. Настройка сетевых устройств.

    Устройства отображаются в порядке их расположения на шине PCI.

  2. Для настройки устройства нажмите по кнопке с его названием.

    Для вступления в силу нового названия ethernet-устройства (eth...) необходимо перезагрузить систему.

    Рекомендуется для каждого ethernet-устройства сохранить какие-либо настройки.

  3. Замена сетевой карты.

    Настройки отсутствующей сетевой карты можно назначить другой присутствующей.

  4. Маршрут по умолчанию устанавливается на подвкладке "routing".

Накопители информации

На данной вкладке представлена информация о дисковых устройствах.

Системой используются следующие разделы:

home
внешние по отношению к ОС файлы - пользовательские данные
root
неизменяемые файлы ОС - занятое пространство не должно изменяться со временем
swap
раздел подкачки - существенное использование данного раздела означает недостаток оперативной памяти
var
изменяемые файлы ОС - занятый объём может монотонно возрастать со временем. Здесь хранятся рабочие файлы всех служб (но бОльшую часть своих данных Samba хранит в разделе home).

LVM-раздел, использующий файловую систему ext3, можно увеличить.

Дисковые квоты

По умолчанию дисковые квоты включены только на разделе /home. Для включения квот на других разделах требуется произвести соответствующие изменения в файле /etc/fstab и задать квоты на этих разделах с помощью кнопки "Обновить дисковые квоты для всех групп и пользователей" на вкладке "накопители".

Квоты задаются в виде четырёх чисел: мягкий и жёсткий лимиты на занимаемый объём в мегабайтах, мягкий и жёсткий лимиты на количество файлов. Жёсткий лимит преодолеть нельзя. Мягкий лимит может быть нарушен пользователем на определённое время (по умолчанию 7 дней). Если нарушение не было вовремя устранено, то мягкий лимит переходит в жёсткий. Если в качестве числа указать 0, то данная квота не будет действовать.

  1. Групповые квоты.

    В настройках группы можно задать лимиты:

    • для группы - ограничения, распространяемые на все файлы и каталоги, принадлежащие группе;
    • для пользователей по умолчанию - ограничения для всех пользователей, для которых не указаны персональные квоты и данная группа является первичной.
  2. Пользовательские квоты.

    Пользователю можно задать персональные квоты.

Службы

На данной вкладке представлена информация о состоянии системных служб.

Службы можно остановить, запустить или перезапустить. При перезагрузке системы остановленные службы не будут запущены.

DHCP - сервер динамической сетевой настройки узлов

  1. DHCP сервер используется для динамической сетевой настройки узлов. По запросу клиента сервер выдаёт ему (клиенту) IP-адрес в аренду на определённое время. До истечения этого времени клиент должен отправить запрос на продление аренды. По окончании времени аренды клиент обязан прекратить использование выданного адреса. Также вместе с адресом клиент получает ряд других параметров (если они были запрошены).

    Каждый сетевой интерфейс обслуживает свою физическую сеть, к которой он подключён. Для сетевого интерфейса должны быть указаны подсети, которые определяют адресные пространства, управляемые данным сервером. Также могут быть указаны диапазоны из которых будут выдаваться IP-адреса клиентам.

    Для каждого клиента в отдельности можно назначить свои персональные настройки. Настройки таких отдельных узлов объединяются в группы.

  2. В простейшем случае достаточно определить глобальные настройки ...

    ... выбрать нужный сетевой интерфейс (который создаётся автоматически вместе с соответствующей ему подсетью), нажать на кнопку "добавить набор адресов" ...

    ... и задать нужный диапазон адресов.

  3. IP адрес, выдаваемый клиенту, определяется следующим образом. Вначале сервер ищет соответствующее клиенту (определяется по МАС-адресу) описание узла, содержащее IP адрес из той подсети, к которой подключился клиент. Если такое описание не было найдено, то ищется другое подходящее описание, не содержащее IP адрес. Если IP адрес всё ещё не определён, то ищется подходящий для данной сети набор адресов, из которого клиенту назначается один из свободных адресов.

    Если удалось найти нужный IP адрес, то вместе с адресом клиенту передаётся ряд других параметров. В первую очередь используются параметры, определённые в описании узла и группе, содержащей данное описание. Затем проверяются диапазон адресов (если адрес выдаётся динамически), подсеть (которой принадлежит выдаваемый адрес) и сетевой интерфейс (обслуживающий данную подсеть). В последнюю очередь используются глобальные настройки. Параметр, определённый на одном этапе, в дальнейшем не проверяется и не переназначается.

    Например, порядок определения параметров будет как на рисунке, если клиент с МАС адресом 11:22:33:44:55:66 подключится к сети, которую обслуживает сетевой интерфейс сервера LAN.

  4. динамическое обновление DNS

    В общих настройках "DHCPD" включите динамическое обновление DNS.

    В меню "DHCPD" нажмите на кнопку "добавить TSIG ключ". Введите название ключа; используемый алгоритм (поле можно оставить пустым, т.к. единственным возможным значением является HMAC-MD5); общий с DNS-сервером секрет в BASE64 кодировке (если поле оставлено пустым, то будет использоваться набор случайных символов).

    В меню "DHCPD" нажмите на кнопку "добавить зону". Введите название обновляемой DNS зоны; адрес авторитарного DNS-сервера, обслуживающего эту зону (если поле оставлено пустым, то будет подставлен адрес 127.0.0.1); выберите из списка используемый ключ.

    Секрет и название ключа, используемые на DHCP- и DNS- серверах для одной и той же зоны, должны совпадать.

    Существует ограничение: вначале должен быть создан TSIG-ключ и только после этого зона, использующая его. Иначе DHCP сервер не запустится.

Пояснения к параметрам
режим авторитарности при включении данного режима клиентам будет запрещено использовать адреса, которые сервер не обслуживает (т. е. те адреса, которые не охватываются заданными подсетями). Рекомендуется включить, особенно если присутствуют мобильные клиенты. Если в сети работают и другие DHCP серверы, то включение данной опции полностью нарушит их работу. Может быть включён либо глобально либо индивидуально на каждом сетевом интерфейсе.
название номер сети, название узла
MAC-адрес устройства отдельные клиенты идентифицируются с помощью MAC-адреса
закреплённые IP-адреса ряд фиксированных адресов, выдаваемых клиенту в зависимости от сети, к которой он подключён. Данные адреса не должны входить в набор адресов, выдаваемых динамически. Если в данной ситуации клиенту нельзя выдать какой-либо адрес из указанных (например, за клиентом, подключившимся к сети 10.0.0.0/8, закреплён адрес 192.168.1.1), то все настройки из данного описания узла игнорируется сервером.
диапазон адресов из указанного диапазона динамически выдаются адреса клиентам. Диапазон адресов задаётся двумя IP-адресами, разделёнными пробелом. Первый адрес определяет нижнюю границу диапазона, второй - верхнюю.
маска сети (CIDR нотация)
маска сети
широковещательный адрес
использовать имя описания узла
в качестве имени узла
если включено, то название описания узла будет передаваться клиенту в качестве его имени.
имя узла выдать клиенту данное имя в качестве его (клиента) имени. Будет ли клиент использовать данное имя зависит от его DHCP настроек. Данный параметр имеет преимущество перед предыдущим.
имя домена название домена, передаваемого клиенту
минимальное время аренды время аренды не может быть меньше указанного (независимо от запроса клиента). Если не указано, то 5 минут.
время аренды время аренды по умолчанию, т. е. в случае если клиент не запросил какое-либо конкретное время. Если не указано, то 12 часов.
максимальное время аренды время аренды не может превышать указанное (независимо от запроса клиента)
DNS-серверы
маршрутизаторы
NTP-серверы
серверы имён NetBIOS
список адресов через запятую с пробелом. Указываются в порядке предпочтительного использования клиентом, т. е. самый первый адрес является наиболее предпочтительным для использования на стороне клиента.
разница во времени относительно UTC, с разница во времени относительно мирового времени для данного часового пояса
NetBIOS тип клиента определяет способ поиска компьютеров в сети для NetBIOS (поверх TCP/IP) клиентов. Может принимать следующие значения: 1 для B-node (только широковещательные запросы), 2 для P-node (только WINS сервер), 4 для M-node (широковещательные запросы, затем WINS сервер), 8 для H-node (WINS сервер, затем широковещательные запросы).
Примечание: все IP адреса могут назначаться либо в виде IP адресов, либо в виде доменных имён. Доменное имя будет разрешаться в адрес в момент передачи данных клиенту. Если разрешение доменного имени не удалось, то оно отбрасывается.

DNS сервер

  1. Изначально существует две служебных зоны.
  2. Для создания новой зоны нажмите на кнопку "создать...", введите требуемые параметры и нажмите на кнопку "сохранить..."
  3. Выберите в левом меню созданную зону для её редактирования.

    В нижней части экрана находится редактор ресурсных записей зоны.

    1. для создания новой записи заполните необходимые поля
    2. нажмите на кнопку "создать ресурсную запись"
    3. для редактирования существующей записи нажмите кнопку слева от неё. Для сохранения изменений установите галочку "заменить" и нажмите на кнопку "создать ресурсную запись"
    4. для удаления выбранной записи поставьте галочку справа и нажмите на кнопку "удалить отмеченные записи"
    5. для удаления всех записей, относящихся к одному узлу, установите галочку справа от нужного узла и нажмите на кнопку "удалить отмеченные записи"

    Для вступления изменений в силу нажмите на кнопку "принять изменения".

  4. динамическое обновление

    Поставьте галочку "динамическое обновление DNS", введите название ключа и секрет в BASE64 кодировке (если поле оставлено пустым, то будет использоваться набор случайных символов)...

    ... и нажмите на кнопку "принять изменения".

    Отображаемые данные о ресурсных записях могут не совпадать с текущими, т.к. DNS-сервер обновляет эту информацию с задержкой в 10-15 минут.

    Для получения текущей информации можете нажать на кнопку "принудительно обновить ресурсные записи". При этом на какое-то время (до секунды) динамическое обновление этой зоны будет недоступно для клиентов, т.е. запросы на обновление зоны будут потеряны.

    Чтобы внести в зону изменения, отключите динамическое обновление для неё.

    Секрет и название ключа, используемые на DHCP- и DNS- серверах для одной и той же зоны, должны совпадать.

Почтовый сервер

Почтовый сервер принимает почту только для домена, указанного в разделе первичной настройки системы. Почтовые адреса пользователей должны принадлежать данному домену. Почтовые ящики пользователей хранятся в /srv/cyrus.

Подключение

протокол порт механизмы идентификации
SMTP 25 PLAIN / LOGIN
IMAP4 143
POP3 110
SIEVE 4190

Для защиты передаваемых данных должен использоваться протокол TLS, который может обозначаться в почтовых клиентах как STARTTLS. Не путать с SSL!

Почтовые псевдонимы

Для нормальной работы почтового сервера и операционной системы в целом требуется ряд почтовых псевдонимов. Обязательные псевдонимы (MAILER-DAEMON, abuse, postmaster, root) создаются при первичной настройке системы.

Псевдоним может ссылаться на почтовые адреса, пользовательские группы, конкретных пользователей или другие псевдонимы. В конечном итоге после всех преобразований должен получиться хотя бы один реальный получатель, иначе письма для данного псевдонима не будут приниматься.

Групповая рассылка писем

Для организации групповой рассылки создайте почтовый псевдоним. Добавьте нужные адреса, группы пользователей и отдельных пользователей. Письмо, отправленное данному псевдониму, будет доставлено всем указанным получателям.

Расширение адреса

Для доставки письма напрямую в подпапку почтового ящика используется адрес вида <recipient+subfolder@domain.tld>. При этом анонимный пользователь должен обладать правом отправки писем в подпапку subfolder (ACL: anonymous p).

Доступ к подпапкам почтового ящика при использовании протокола POP3

Используя комбинацию "user+subfolder" в качестве идентификационного имени пользователя (вместо "user") можно получить доступ к подпапке subfolder почтового ящика.

Индексация писем

Для ускорения поиска на стороне сервера (IMAP SEARCH) используется индексирование писем.

Для включения данной возможности раскомментируйте в файле /etc/cyrus/cyrus.conf строку:
squatter cmd="squatter -s -r user" period=1440 # at=0200
и перезапустите почтовый сервер командой:
/etc/init.d/*_cyrus restart

Включение индексации может увеличить объём, занимаемый почтовым хранилищем в каталоге /srv/cyrus, до двух раз.

Подробности см. man 5 cyrus.conf и man 8 squatter

Автоматическое удаление старых писем

Для автоматического удаления старых писем из подпапок Trash и Spam раскомментируйте в файле /etc/cyrus/cyrus.conf строку:
cleanup cmd="ipurge -s -X -d 7 -f user/%/Trash user/%/Spam" period=1440 # at=0130
и перезапустите почтовый сервер командой:
/etc/init.d/*_cyrus restart

В результате будут удаляться письма без установленного флага \Flagged, доставленные в почтовый ящик пользователя более семи дней назад.

Подробности см. man 5 cyrus.conf и man 8 ipurge

Текстовой почтовый клиент

В состав операционной системы включён почтовый клиент alpine.

После запуска alpine выберите в меню SETUP->Config и измените ряд настроек:

параметр значение
Personal Name имя пользователя - обычно подходит значение по умолчанию
User Domain название почтового домена
SMTP Server адрес сервера, используемого для отправки писем
Inbox Path путь к почтовому ящику пользователя

Выберите в главном меню FOLDER LIST для просмотра списка папок:

Выберите папку INBOX для просмотра списка писем:

Выберите письмо для его просмотра:

Адресная книга

Настройки клиента

параметр значение
адрес сервера адрес или доменное имя сервера
порт 389
версия LDAP 3
шифрование нет
аутентификация анонимный доступ
база поиска ou=users,o=_local_org,o=_dsa
Для некоторых клиентов (например, The Bat! и Thunderburd) - ou=users,dc=domain.local,
где вместо "domain.local" указывается фактическое название домена.
Примечание: базу поиска можно не указывать.
фильтр поиска (objectClass=person)
Примечание: обычно нормально работает фильтр по умолчанию.

Доступные для просмотра атрибуты пользователя

атрибут описание
commonName, displayName полное имя
surname фамилия
givenName имя
additionalName отчество
description описание
departmentNumber отдел
title должность
mail адрес электронной почты
telephoneNumber рабочий телефон

Кеширующий прокси-сервер

Проксирование работает для протоколов: http, https, ftp и др. Сервер использует для своей работы порт 3128. Доступ предоставляется всем зарегистрированным пользователям.

Сервер резервного копирования

Более полная информация о сервере резервного копирования BackupPC помещена в отдельную статью.

Веб-интерфейс для управления BackupPC доступен только для пользователей, входящих в группу "webers", по адресу https://hostname:442 .

SSH/SFTP - сервер безопасного удалённого доступа

Для доступа к системе по протоколу SSHv2 или SFTP пользователь должен входить в группу "sshers" и иметь действительную командную оболочку.

Для получения прав root-пользователя (через команду "su") пользователь должнен входить в группу "wheel".

Файловый сервер (SMB/CIFS)

  1. Изначально в системе присутствуют несколько специальных системных ресурсов.
  2. Для создания нового нажмите на кнопку "Создать ...", введите соответствующие данные и нажмите на кнопку "Создать ...".
    Пояснения к параметрам
    видимый для всех Если установлен в значение "нет", то к данному ресурсу смогут подключиться только пользователи, знающие об его существовании.
    члены первичной группы могут изменять права и ACL В отличие от MS Windows в POSIX системах изменять права (включая ACL) на файлы/каталоги может только их владелец. Если данный параметр установлен в "да", то члены первичной группы файла/каталога также смогут изменять права этого файла/каталога.
    разрешить пользователю с доступом на запись изменять права и ACL В отличие от MS Windows в POSIX системах изменять права (включая ACL) на файлы/каталоги может только их владелец. Если данный параметр установлен в "да", то пользователь, способный изменять сам файл/каталог, также сможет изменять права этого файла/каталога.
    маска разрешений для новых файлов Данная маска (в восьмеричном счислении) определяет, какие права на _создаваемый_ файл не будут принудительно аннулированы. По умолчанию используется 744, т.е. у первичной группы и прочих пользователей не будет права на запись в файл. Если установить в 777, то права будут оставлены так, как их выставило клиентское приложение.
    маска разрешений для новых каталогов Данная маска (в восьмеричном счислении) определяет, какие права на _создаваемый_ каталог не будут принудительно аннулированы. По умолчанию используется 755, т.е. у первичной группы и прочих пользователей не будет права на запись в каталог. Если установить в 777, то права будут оставлены так, как их выставило клиентское приложение.
    Доступ непосредственно к самому ресурсу разграничивается на основе групп:
    доступ запрещён
    пользователям отмеченных групп запрещён какой-либо доступ к ресурсу
    только чтение
    пользователям, входящим в данные группы, разрешено только чтение содержимого ресурса

    Если пользователь получил доступ к ресурсу не по протоколу SMB/CIFS (а ,например, с помощью SSH), то данное ограничение будет действовать только на файлы и каталоги первого уровня вложенности. На файлы и каталоги второго и выше уровней вложенности фактически будут действовать ограничения из "полного доступа"

    полный доступ
    пользователи отмеченных групп могут как читать, так и изменять содержимое данного ресурса. При этом возможность чтения, записи и пр. будет определяться выставленными правами доступа на конкретный объект.

    Для того, чтобы пользователь имел полный доступ к ресурсу, он должен входить в одну из групп, которая имеет такой доступ.
    Если ни одна из групп пользователя не имеет доступа к ресурсу, то и у пользователя его тоже не будет.

  3. Для просмотра или изменения настроек ресурса нажмите на кнопку с его названием.

    Новые настройки вступят в силу после того, как пользователь переподключится к ресурсу (или перезарегистрируется на компьютере).

  4. Для настройки Windows-прав на папки и файлы в свойствах объекта выберите вкладку "Безопасность" (в операционной системе Windows).

    Чтобы отменить часть разрешений для группы/пользователя, необходимо вначале отменить все разрешения (поставить галочку в строке "Полный доступ" в столбце "Запретить" и нажать кнопку "Применить"), а потом выставить желаемые (поставить галочки в столбце "Разрешить" в требуемых строках и нажать кнопку "Применить")

    Для более подробного просмотра разрешений нажмите на кнопку "Дополнительно" и выберите вкладку "Действующие разрешения".

Обслуживание системы

Web-администратор

Сразу после установки системы ещё отсутствуют какие-либо пользователи, которым можно было бы делегировать право настройки системы. Поэтому введён специальный веб-пользователь root, который имеет доступ только к веб-интерфейсу.

Существует ещё один пользователь root - локальный администратор. Изначально обоим пользователям root присваивается один и тот же пароль, который Вы указали во время установки системы. После установки следует изменить пароль веб-администратора.

После создания пользователя, имеющего доступ к веб-интерфейсу, "заблокируйте" веб-администратора. Для этого установите ему длинный произвольный пароль (больше двадцати символов).

Сохранение/восстановление настроек

Данный пункт предназначен для сохранения системных настроек в файле (backup), восстановления из файла (restore), отправки локального файла на сервер (upload), загрузки файла на локальный компьютер и его удаления (download/delete).

Перед восстановлением текущие настройки автоматически сохраняются в файле с расширением ".before_restore"

К данному файлу следует относиться как к файлу, содержащему пароли в открытом виде!

Настройки, сохранённые в разных версиях системы, не совместимы друг с другом!

Остановка/перезагрузка

Данный раздел предназначен для остановки или перезагрузки системы.

Журнал событий

  1. Используется для контроля работы операционной системы и содержит несколько подразделов:
    KERNEL_BOOT
    журнал загрузки ядра
    SYSTEM_BOOT
    журнал загрузки системы
    MODULES
    загруженные модули ядра
    PROCESSES
    текущие процессы (табличный и древовидный вывод)

Журнальный сервер

  1. Введите условия поиска и нажмите на кнопку "поиск". Если результат превышает установленный предел на количество отображаемых строк, то с помощью кнопок "назад" и "вперёд" можно просмотреть остальные строки.
    параметрописаниеусловия поиска
    id порядковый номер сообщениядиапазон: от и до
    получено фактическое время получения сообщениядиапазон: от и до
    указано время, указанное в самом сообщениидиапазон: от и до
    ip адрес адрес устройства, непосредственно от которого было получено сообщение. Это не обязательно адрес источника сообщения.в верхней строке - сообщение от от данного адреса, в нижней - не от данного адреса
    узел доменное имя узла, отправившего сообщение (берётся из сообщения)в верхней строке - сообщение от данного узла, в нижней - не от данного узла
    важность в порядке убывания: emerg, alert, crit, err, warn, notice, info, debugдиапазон отбираемых сообщений по важности: в верхней строке выбирается максимальная важность сообщения, в нижней - минимальная
    канал порядок следования: от kern до local7выбрать сообщения, которые пришли по каналам из указанного диапазона: в верхней строке - от, в нижней - до
    процесс отправитель сообщенияв верхней строке - от данного процесса, в нижней - не от данного процесса
    сообщение непосредственно само сообщениев верхней строке - сообщение содержит указанную строку, в нижней - не содержит
  2. Для отправки журнальных сообщений на удалённый сервер, введите его адрес в настройках.
  3. По умолчанию сообщения от других устройств не принимаются. Для исправления этого раскомментируйте 124-ю строку в файле /etc/rc.d/rc.firewall.start:
    #$IPTABLES -A INPUT -p tcp --dport 514 -s 192.168.1.101 -j ACCEPT
    Замените 192.168.1.101 на адрес устройства, от которого можно принимать сообщения, и выполните команду
    /etc/init.d/150_iptables start
  4. По умолчанию записи хранятся две недели. Если Вы хотите увеличить срок хранения или использовать другой алгоритм удаления старых записей (например, более важные события хранить дольше), то скопируйте файл /etc/cron.daily/delete_old_syslog.sh в каталог /usr/local/etc/cron.daily/ и отредактируйте его под свои нужды.

  5. Необходимо следить за наличием свободного места в разделе var. Журнальные сообщения, хранящиеся в данном разделе, легко могут полностью заполнить всё доступное место. В этом случае надо либо увеличить размер раздела либо уменьшить срок хранения записей в журнале.

Примечания

Консольные команды пользователя root

Русская/английская раскладка клавиатуры переключается с помощью правого Ctrl.

Некоторые консольные команды пользователя root
halt остановить систему
reboot перезагрузить систему
passwd изменить свой пароль
ldappasswd -S uid=user,ou=Users,dc=domain.local изменить пароль пользователя user из DNS-домена domain.local

Примечание 2

  1. Не следует использовать профиль пользователя для хранения большого количества (больших по размеру) файлов. При входе пользователя в систему профиль целиком копируется с сервера на локальный компьютер. При выходе пользователя - с локального компьютера на сервер. Эти операции по копированию могут занимать значительное время. Лучше использовать для таких файлов домашний каталог пользователя.
  2. Текстовые данные хранятся с учётом регистра, но некоторые операции над ними производятся без учёта регистра. Так при попытке изменения регистра букв в названии организации Вы получите сообщение об ошибке. В данном случае необходимо использовать промежуточное переименование.

Интернациональные доменные имена

В консольных программах можно указывать доменные имена как есть, а не использовать Punycode: