Server - сервер домена
Документы формы Server содержат информацию о серверах данного домена. Они создаются автоматически при установке первого сервера и регистрации новых серверов в данном домене. В адресной книге домена такие документы обязательно должны присутствовать для всех серверов в домене - каждый домен "полностью знает" свою топологию. Обычно необходимости в наличии в адресной книге документов Server для серверов из других доменов нет - домен "не знает" полную топологию других доменов, кроме информации из документов Connection о тех внешних серверах, с которыми могут соединяться серверы данного домена. Единственный случай, когда в адресной книге все-таки приходится создавать документы Server для серверов из других доменов - в одном или нескольких документах Server данного домена выбрана опция Compare public keys against those stored in Address Book (рассматривается ниже).
Приступим к рассмотрению документа Server.
Рис. 4.17 Заголовок и секции документа Server
В заголовке документа:
· Server name:
- имя сервера;
· Domain name: - имя домена, членом которого является этот сервер;
· Cluster name: - имя кластера, которому принадлежит сервер, или пусто, если сервер не является членом кластера. Не рекомендуется "вручную" корректировать это поле - оно изменяется задачей Administration Process при добавлении сервера в кластер или выводе сервера из кластера;
· Master address book name: - имя файла базы данных Master Address Book или пусто, если возможность не используется. Не рекомендуется "вручную" корректировать это поле - это делает задача Administration Prоcess. Подробнее применение Master Address Book рассматривается в 10.1;
· Administrators:
- администраторы сервера. Это поле-список, его члены (пользователи или группы) имеют привилегию передавать на сервер команды с удаленной консоли;
· Routing tasks: - задачи по передаче почты, выполняемые сервером. Обычно в поле выбрано Mail Routing - сервер выполняет передачу почты Notes. Если на этом сервере установлены другие агенты передачи почты (MTA), дополнительно, в соответствии с наличием агентов, нужно выбрать X.400 Mail Routing, SMTP Mail Routing, ccMail Routing.
Перейдем к рассмотрению секций документа.
Рис. 4.18 Информация о местоположении сервера
Обычно секция Server Location Information не требует корректировок. Поле Prefix for outside line: может содержать префикс, автоматически добавляемый к телефонному номеру из документа Connection, когда сервер выполняет исходящие вызовы. Поля Mail server:, Passthry server: и InterNotes server: используются на станции, запущенной на компьютере сервера, и трактуются аналогично одноименным полям в документе Location из персональной адресной книги. Однако поле Passthry server: используется также и сервером: если сервер не сможет установить соединение с сервером назначения, он попытается воспользоваться услугами сервера-посредника по умолчанию, указанного в этом поле.
Рис. 4.19 Сетевая конфигурация
Секция Network Configuration уже рассматривалась нами в 1.4.3 и 2.1.5.
Рис. 4.20 Секция Proxy Configuration
Секция Proxy Configuration появилась в документе Server, начиная с версии 4.5, и связана с тем, что теперь сервер (и клиент) Notes может соединяться по протоколу TCP/IP с другим сервером Notes или осуществлять доступ к Web-серверам не только "напрямую", но и через proxy-сервер. В последнем случае сам сервер Notes (или клиент)
обычно находится во внутрикорпоративной сети, но имеет доступ "во внешний мир" через корпоративный proxy-сервер по некоторым портам, оставаясь "невидимым из внешнего мира".
Рис. 4.21 Сервер и клиент Notes, начиная с
версии 4.5, способен работать по протоколу TCP/IP
через proxy-сервер
Если вы вообще не используете proxy-сервер, все поля в секции Proxy Configuration должны быть пусты. Если используете, то указываете в соответствующих полях его IP-адрес или хост-имя и порт, разделяя их двоеточием, например, proxy.company.com:8080.
Поля HTTP proxy:,
FTP proxy: и Gopher proxy: заполняются, если выполняющаяся на вашем сервере задача WEB осуществляет доступ к Web-серверам в Internet не напрямую, а через proxy-сервер (см. 3.2.15).
Поле SSL Security proxy:
заполняется, если выполняющаяся на вашем сервере задача WEB осуществляет доступ к Web-серверам в Internet
по протоколу SSL через proxy-сервер.
Поле Notes RPC proxy: заполняется, если ваш сервер Notes связывается по протоколу TCP/IP с другими серверами Notes
не напрямую, а через HTTP proxy-cepвер с поддержкой SSL Tunneling Specification. Все выполняемые сервером Notes RPCs (Remote Procedure Calls) в этом случае передаются серверу назначения посредством протокола HTTP.
Поле SOCKS proxy: заполняется, если для доступа к WEB-серверам или серверам Notes ваш сервер Notes использует SOCKS proxy-сервер.
Поле No proxy for these hosts and domains: может содержать список тех
хостов, доступ к которым должен осуществляться напрямую, а не через proxy-сервер. В поле допустимы хост-имена, имена доменов Internet и содержащие символ "*" шаблоны, но не IP-адреса. Например, "inttrust.rinet.ru; lotus.com;*.ibm.*".
Рис. 4.22 Секция Security
Секция Security позволяет выбрать для данного сервера дополнительные возможности по обеспечению безопасности.
· Compare public keys against those stored in Address Book: - если выбрано Yes, то в процессе установления подлинности (аутентификация) пользователя или сервера, связывающегося с данным сервером, публичный ключ этого пользователя или сервера из его ID-файла будет сравниваться с его публичным ключом из документа Person или Server в общей адресной книге данного сервера. Это нововведение версии 4.х, существенно повышающее общую безопасность. Теоретическая причина появления такой возможности заключена в самой процедуре установления подлинности, которая рассматривается в 8.3. Практическое применение этой возможности требует наличия в общей адресной книге документов Person и Server, содержащих публичные ключи пользователей и серверов. Если к серверу имеют доступ только пользователи и серверы этого домена, проблем не возникает, поскольку соответствующие документы присутствуют в общей адресной книге. Но если к серверу должны иметь доступ пользователи и серверы из других доменов, то потребуется предварительно поместить в адресную книгу данного домена необходимые документы Person и Server
из адресных книг других доменов.
· Check passwords: - если выбрано Yes, данный сервер будет дополнительно сравнивать пароль, который хранится в ID-файле пользователя, осуществляющего доступ к серверу, со значением пароля, которое хранится в зашифрованном виде в документе Person данного пользователя. Это нововведение версии 4.5, позволяющее предотвратить доступ к серверу тех пользователей, которые ранее имели копию ID-файла данного пользователя и знали ее пароль. После смены пароля законным владельцем в своем ID-файле и его первого контакта с сервером, на котором включена опция Check passwords, "незаконные" владельцы, используя имеющиеся у них копии ID-файла этого пользователя, уже не смогут получить доступ к данному серверу. Возможность работает не для всех пользователей, перечисленных в адресной книге, а только для тех, в документах Person которых она предварительно включена. Применение этой возможности дополнительно обсуждается в 8.5.9.
· Allow anonymous connection: - выбор Yes, напротив, позволяет любому серверу или клиенту, даже если для него процедура установления подлинности завершилась неуспешно, получать доступ к данному серверу. Такой "не аутентифицированный" пользователь или сервер получает доступ к данному серверу под именем Anonymous. Соответственно, имя Anonymous
может использоваться в списках управления доступом расположенных на сервере баз для конкретизации уровня доступа в них. Это нововведение версии 4.х позволяет делать сервер Notes "общедоступным".
Остальные поля секции Security касаются задачи HTTP, а потому рассматриваются в 10.2.
Рис. 4.23 Список управления доступом к серверу
Секция Restrictions управляет доступом к серверу и возможностями, предоставляемыми данным сервером его клиентам. Поэтому эту секцию часто называют списком управления доступа к серверу (Server Access List). Перейдем к рассмотрению полей секции.
· Only allow server access to users listed in this Address Book: - если выбрано Yes, то к этому серверу могут иметь доступ только пользователи и серверы, для которых в общей адресной книге имеются документы Person или Server. Позволяет легко "закрыть" сервер от любых внешних пользователей и серверов.
· Access server:
- если список пуст, к серверу получают доступ все пользователи и серверы, для которых процесс установления подлинности, с учетом уже рассмотренного в секции Security
и предыдущем поле, завершился успешно. Если список не пуст, доступ к серверу получают только перечисленные в нем. В поле можно указывать серверы, пользователей и группы. Отдельный символ "*" означает всех пользователей из скрытого вида ($Users) в адресной книге (учтите, что в этом виде отсутствуют серверы). Конструкция *имя_вида
означает всех из указанного вида адресной книги. Например, *People обозначает всех из вида People. Иначе трактуется использование символа "*" в иерархическом имени. Например, */Sales/Acme обозначает всех, имена которых заканчивается на /Sales/Acme.
· Not access server: - список тех, кому запрещен доступ к серверу. Содержащиеся в списке не получат доступа к серверу, даже если для них процесс установления подлинности, с учетом всех уже рассмотренных нюансов, завершился успешно. По умолчанию поле пусто, т.е. доступ к серверу никому явно не запрещен. Если кто-то явно или как член группы одновременно присутствует и в поле Access server:, и в поле Not access server:, он не получит доступа к серверу. Если в вашей адресной книге имеется группа наподобие Terminations, рекомендуется указать ее в поле Not access server:.
· Create new databases: - список тех, кто имеет право создавать новые базы данных на этом сервере. Если пусто, могут все пользователи, имеющие доступ к этому серверу.
· Create replica databases: - список тех, кто может создавать реплики баз данных на этом сервере. Если пусто, то НИКТО не может (кроме работающего локально на этом компьютере). Обычно только сервер и его администратор должны иметь возможность создавать реплики баз. Если имеется группа наподобие Replica Makers, рекомендуется включить ее.
· Access this server: (Passthru Use) - по умолчанию это поле пусто, означая, что никто не получит доступа на данный сервер, если он использует для этого какой-то другой сервер-посредник. Чтобы разрешить доступ к этому серверу через один или несколько других серверов-посредников, укажите в поле всех пользователей и все серверы, которым это разрешено. Можно вводить имена пользователей, серверов, групп. Чтобы позволить всем пользователям, даже если они не перечислены в общей адресной книге, иметь такой доступ, используют символ "*". Конструкция *имя_вида, например, *People, означает всех из указанного вида общей адресной книги. Чтобы позволить всем пользователям, сертифицированным конкретным сертификатором, иметь доступ, введите звездочку и затем через наклонную черту вправо имя сертификатора, например, */Acme. Наконец, учтите, что если это поле пусто, то его значение берется сервером из переменной Allow_Passthru_Access в файле NOTES.INI, если, конечно, переменная там имеется и не пуста. Если же поле не пусто, значение из него "перекрывает" значение переменной Allow_Passthru_Access.
· Route through: (Passthru Use) - по умолчанию это поле пусто, что означает, что никто не может использовать этот сервер как сервер-посредник для доступа к другому серверу. Применяя аналогичные рассмотренному выше полю конструкции, укажите список тех, кому данный сервер должен предоставлять посреднические услуги для доступа к другим серверам.
· Cause calling: (Passthru Use) - по умолчанию это поле пусто, означая, что данный сервер "не позволяет" пользователям и другим серверам "вынуждать" его выполнять телефонный вызов на сервер назначения. Поле позволяет управлять "телефонными расходами" данного сервера-посредника. Оно должно включить всех пользователей и все серверы, которым разрешается "вынуждать" данный сервер на выполнение телефонного вызова другого сервера. Например, если сервер A, выполняя репликации с сервером C, использует модем на сервере-посреднике B, чтобы связаться с сервером C, следует задать имя сервера A в поле Cause calling:
на сервере-посреднике B. В поле допустимы и шаблоны наподобие */Acme.
· Destinations allowed: (Passthru Use) - если поле пусто, то данный сервер, функционируя как посредник, может вызывать любые серверы назначения (конечно, только в пределах доступных ему серверов). Если вы хотите разрешить доступ через данный сервер только к конкретным серверам, укажите в этом поле имена этих серверов. Обратите внимание, что можно также ограничивать доступ к серверам назначения в поле Access this server: (Passthru Use) документов Server самих серверов назначения; однако это будет ограничивать доступ к ним через любые серверы-посредники, а не только через конкретный сервер-посредник.
Секции Agent Manager,
Administration Process и Web Retriever Administration нами уже рассматривались соответственно в 3.2.3, 3.2.14 и 3.2.15. Секция HTTP Server рассматривается в 10.2.
Если на сервере не установлено программное обеспечение ни одного из дополнительных агентов передачи почты, секции Internet Message Transfer Agent (SMTP MTA), X.400 Message Transfer Agent (X.400 MTA)
и cc:Mail Message Transfer Agent (cc:Mail MTA) попросту пусты. Информация в них "появится" только после установки на сервер необходимого агента передачи почты. При установке соответствующая "пустая" субформа, имеющаяся в штатном шаблоне общей адресной книги, заменяется входящей в комплект поставки агента субформой, в полях которой и задается относящаяся к агенту настроечная информация. Отметим, что секция Internet Message Transfer Agent (SMTP MTA) подробно рассматривается в 7.11.
В оставшейся части документа прежде всего обратите внимание на сертифицированный публичный ключ сервера. Поля с метками Owners: и Administrators: присутствуют во всех документах общей адресной книги. Это поля типа Authors и они могут содержать списки тех, кто может редактировать данный документ, имея лишь авторский доступ к адресной книге.
Рис. 4.24 "Хвост" документа Server
Поле Change Request: используется задачей Administration Process и не должно изменяться администратором.
Отметим, что в документе Server имеется также несколько "не показываемых в форме" полей, которые сервер модифицирует при своей работе.
