№5(66) май 2008

подписной индекс 20780

www.samag.ru

Управляем объектами
в Active Directory

№5(66) май 2008

Терминальные службы
в Windows Server 2008

Сколько стоит переход

на легальный софт?

SharePoint в качестве
платформы документооборота

Как подружить
GDI-принтер и Linux

Используем систему
мониторинга сети OpenNMS

Фильтруем спам в EXIM

с помощью SpamProbe

Изучаем теневое копирование

Бессистемные заметки
о поиске работы за рубежом
Реклама

Реклама

3 ТЕНДЕНЦИИ
АДМИНИСТРИРОВАНИЕ
4 Управляем объектами в Active Directory
Часть 1
Управление объектами в Active Directory осуществляет-
ся с помощью соответствующих мастеров. Какие поля
при этом изменяются в каталоге Active Directory – пок-
рыто тайной.
Иван Коробко
10 Сколько стоит переход
на легальный софт?
Многие организации продолжают эксплуатировать пи-
ратское программное обеспечение на своих компью-
терах, зачастую не совсем представляя, что их ждет
при проверке органами контроля. Попробуем ответить
на вопрос: сколько стоит спокойный сон руководителя
и системного администратора?
Александр Емельянов
12 Терминальные службы
в Windows Server 2008
Служба терминалов в Windows Server 2008 позволит
решить ряд проблем, связанных с работой приложе-
ний, требующих одновременного доступа множества
пользователей.
Андрей Бирюков
18 SharePoint в качестве платформы
документооборота
Работаем с workflow в WSS 3.0 и MOSS 2007.
Нелли Садретдинова
28 Устанавливаем и настраиваем систему
мониторинга сети OpenNMS
Когда количество активного оборудования в сети не-
уклонно растет, а контролировать работоспособность
и качество предоставляемых сервисов становится
все сложнее, на помощь приходит система мониторин-
га сети OpenNMS.
Андрей Семенов
36 Медиация Linux и GDI-принтера
Решаем проблему печати на GDI-принтеры в ОС Linux.
Павел Закляков
42 Как запустить «САМО-Тур» для Windows
под Linux
Экономим, запуская программный комплекс «САМО-
Тур» на платформе Linux, что изначально не поддержи-
валось разработчиком.
Сергей Барановский
50 Фильтруем спам в EXIM с помощью
SpamProbe
Устанавливаем и настраиваем SpamProbe.
Павел Литвинов
АДМИНИСТРИРОВАНИЕ «1С»
53 Хитрости и тонкости работы,
позволяющие экономить время
В версии 8.х «1С:Предприятие» появилось много ново-
го и отличного от версии 7.7, поэтому часто возникают
самые неожиданные вопросы.
Андрей Луконькин
№5, май 2008
в номере
ЧЕЛОВЕК НОМЕРА
Открытия Николая Новожилова
Интервью с директором Академии корпоративных сис-
тем.
Оксана Родионова
БЕЗОПАСНОСТЬ
58 Правда об идентификаторах
безопасности
Как разобраться в идентификаторах безопасности.
Иван Коробко
64 Новые возможности Heimdal –
объединение открытых ключей
и Kerberos
Проект Heimdal-Kerberos позволяет объединить возмож-
ности инфраструктуры публичных ключей и Kerberos
в рамках единой регистрационной системы. Об этом,
а также о других новинках программного пакета будет
сегодня рассказано.
Михаил Кондрин
70 Изучаем теневое копирование
Теневое копирование файлов, записываемых на вне-
шние носители, стало практически обязательным инс-
трументом в арсенале корпоративных хранителей сек-
ретов. Разберемся в особенностях реализации и рабо-
ты этой технологии.
Роман Васильев
WEB
74 XML-native DB. XQuery
В прошлом номере описывалась разработка Институ-
та cистемного программирования XML-native DB Sedna.
Для доступа в XML-ориентированных базах данных кон-
сорциумом W3C рекомендован язык XQuery. Он явля-
ется такой же неотъемлемой частью XML-native базы
данных, как SQL в реляционных СУБД.
Александр Календарев
ИЗ ЛИЧНОГО ОПЫТА
80 Бессистемные заметки о поиске работы
за рубежом
Многие люди (особенно IT-специалисты) хотят уехать
отсюда, но не знают, как найти хорошую работу за ру-
бежом. Автор, имея более чем десятилетний опыт уда-
ленной работы, наконец-то нашел компанию своей меч-
ты, стоящую того, чтобы оторваться от кресла и сме-
нить Северный Кавказ на Сан-Франциско. Хотите и вы
найти работу своей мечты?
Крис Касперски
РЕТРОСПЕКТИВА
88 Хакеры: история субкультуры
Часть 2
Технологии развивались. Хакеры старой школы, с монс-
трообразными ЭВМ и безумно дорогим машинным вре-
менем оставались в прошлом. Компьютеры станови-
лись доступней, а хакерами стали называть совсем
других, нежели раньше, людей.
Илья Александров
92 КНИЖНАЯ ПОЛКА
17, 91, 94 BUGTRAQ

Реклама
 тенденции
Qt не стоит на месте мация о том, что к организации Gentoo Foundation вернул-
Последний весенний месяц подарил немало интересных ся ее официальный статус: «Если вас интересует юриди-
новостей, связанных с Qt, популярным открытым фрейм- ческое состояние Gentoo, можете расслабиться, поскольку
ворком для разработки межплатформенных приложений на прошлой неделе в штате Нью-Мексико было объявлено
с графическим пользовательским интерфейсом. о том, что Gentoo Foundation Inc вновь начинает функцио-
В начале мая стало известно о выпуске финальной вер- нировать и получает право заниматься бизнесом». Орга-
сии этого продукта норвежской компании Trolltech – Qt 4.4. низация Gentoo Foundation является ответственной за ин-
Главный акцент в релизе был сделан на взаимодействие теллектуальную собственность проекта Gentoo (авторские
с Web и мобильными устройствами. Среди ключевых нов- права, товарные знаки) и финансы (решает, на что будут
шеств: интеграция с Open Source-движком WebKit, лежа- тратиться деньги).
щем в основе веб-браузера Safari, появление поддержки Впрочем, одновременно проявилось и другое событие:
ОС Windows CE и мультимедийного фреймворка Phonon Брайан Остергаард (Bryan Ostergaard), бывший разработ-
(он используется в KDE 4.0), улучшенная поддержка XML чик Gentoo, представил новый Linux-дистрибутив, получив-
(в том числе, XQuery и XPath), появление API для многопо- ший название Exherbo.
точных приложений (Concurrency Framework). Как уточнил автор, работа над проектом ведется уже не-
Вскоре стало известно о том, что в лабораториях сколько месяцев, а идея его создания пришла вследствие
Trolltech созрел новый проект, нацеленный на интеграцию опыта, полученного за годы участия в проекте Gentoo. Сре-
с конкурирующим Open Source-решением GTK+. Экспери- ди основных отличий от своего идеологического вдохнови-
ментальная разработка QGtkStyle призвана предоставить теля отмечаются новый формат пакетов (схожий с Gentoo
приложениям, основанным на Qt 4, возможности интегри- ebuild) и некоторые проекты вроде измененной системы
роваться в такие графические окружения на базе GTK+, инициализации (init system).
как GNOME и Xfce. При этом QGtkStyle не пытается прос- На данный момент не существует образов для установ-
то «имитировать» GTK-стили – в ней напрямую использу- ки системы, однако дерево пакетов открыто для всех жела-
ется движок тем GTK+. ющих. Впрочем, разработчики строго не рекомендуют да-
19 мая в блоге «Getting Started with OpenMoko» появи- же помышлять о сколь-нибудь серьезном использовании
лось сообщение о том, что энтузиасты, занимающиеся раз- Exherbo на данной стадии.
работкой программной Open Source-платформы на базе
Linux для мобильных устройств и созданием первого пол- Подготовил Дмитрий Шурупов
по материалам www.nixp.ru
ностью свободного смартфона Neo, объявили о переходе
на Qtopia. Раньше основные приложения для платформы
Openmoko разрабатывались на основе GTK+, а отныне бы-
ло принято решение воспользоваться мобильной платфор-
мой Qtopia, основанной на Qt.

VIA открыла 16 тысяч строк кода

под лицензией GPL
8 мая из публикации информационного веб-сайта Phoronix
стало известно, что компания VIA обнародовала более
16 тысяч строк кода из framebuffer-драйвера для Linux под
лицензией GNU GPLv2.
Представители VIA еще в апреле на мероприятии Linux
Foundation Austin Summit говорили, что планируют на-
чать Open Source-инициативу, подобную той, что недав-
но запустила AMD (RadeonHD). И вот VIA объявила о вы-
пуске значительного массива кода, относящегося к ус-
тройству framebuffer в Linux-ядре. Драйвер поддержи-
вает VIA Unichrome CLE266, K400, K800, PM800, CN700,
CX700, K8M890, P4M890, P4M900 и VX800, а ответствен-
ным за него назначен сотрудник компании Джозеф Чан
(Joseph Chan).
Как отметили авторы Phoronix, на первый взгляд исход-
ный код представился им «довольно хорошим».

Gentoo: не все так гладко?

Все последнее время имя проекта Linux-дистрибутива
Gentoo в СМИ и блогах возникало преимущественно в свя-
зи с критикой его организационной составляющей и непо-
нятной ситуации в менеджменте.
19 мая на официальном сайте Gentoo появилась инфор-

№5, май 2008 

 администрирование
Управляем объектами
в Active Directory
Часть 1
Управление объектами в Active Directory осуществляется с помощью соответствующих
мастеров. Какие поля при этом изменяются в каталоге Active Directory – покрыто тайной.
В
нутренняя структура каталога
Active Directory гораздо сложнее,
чем кажется на первый взгляд.
Всем известно, что управление объ-
ектами в Active Directory осуществля-
ется с помощью графической оболоч-
ки, встроенного мастера или с помо-
щью сценария. Существует множест-
во литературы, в которой рассказано,
как написать сценарий, создающий
учетную запись пользователя, пропи-
сана пошаговая работа мастера. Одна-
ко мне не удалось найти статью, в ко-
торой четко была бы описана взаимо-
связь полей мастера и полей объекта
Active Directory.
Создание каждого сценария для
начинающего программиста или сис-
темного администратора – это бит-
ва. Чтобы ее выиграть, необходимо
проявить смекалку и сообразитель-

Иван Коробко
ность, перерыть множество источни- например Top, другие строго иденти-
ков. Не проще ли, как говорят, поста- фицируют объект. Избыточность зна-
вить все точки над «i»? чений необходима для совместимос-
ти доменов, построенных на основе
Типы объектов Windows 2К и Windows NT.
в Active Directory При составлении поисковых за-
Каталог Active Directory поддерживает просов в качестве фильтра исполь-
8 основных типов объектов (см. табли- зуют только индивидуальные значе-
цу 1), каждый из которых описывается ния массива objectClass для однознач-
набором свойств. Часть из них повто- ной идентификации. Значения многих
ряется, часть – индивидуальна. С дру- элементов объектов разных типов пе-
гой стороны значения некоторых полей ресекаются.
можно просмотреть и изменить с по- Механизм поиска объектов рас-
мощью встроенного в Active Directory смотрим после того, как вы получите
мастера, а часть – только с помощью представление об объектной модели
специализированного программного Active Directory.
обеспечения или сценария.
Тип объекта определяется набором Параметры объектов
параметров, которые хранятся в Active в Active Directory
Directory в массиве objectClass. Неко- Все параметры объектов можно раз-
торые значения присутствуют везде, делить на три группы:
 администрирование
n Явно задаваемые. Значения этих Таблица 1. Взаимосвязь типов объектов Active Directory и значений параметра
objectClass
параметров напрямую задаются
системным администратором. Са- Комментарий Тип объекта Значение objectClass Фрагмент поискового
запроса
мый яркий пример – имя объекта.
n Неявно определяемые. Эти пара- Учетная запись компьютера Computer Top
Person
objectClass=’Computer’

метры администратор задает заву- OrganizationalPerson

алированно. К ним относятся тип User
Computer
и местоположение объекта.
Контакт, используется в почтовых Contact Top objectClass=’Contact’
n Скрытые объекты. Эти объекты приложениях Person
создаются или изменяются систе- OrganizationalPerson
Contact
мой. С помощью сценария или мас-
Группа безопасности Group Top objectClass=’Group’
тера их, как правило, невозможно Group
изменить. К таким параметрам от-
Учетная запись пользователя, InetOrgPerson Top objectClass=’InetOrgPerson’
носятся SID и GUID объекта, время не совместимая с доменами Windows 2k Person
создания объекта. OrganizationalPerson
User
InetOrgPerson
Объектная модель Папка дерева каталогов Active Directory OU top objectClass=’organizationalUnit’
Active Directory organizationalUnit
Не так давно на сайте Microsoft появи- Опубликованный в Active Directory Printer Top objectClass=’PrintQueue’
сетевой принтер Leaf
лось описание полей Active Directory ConnectionPoint
(http://msdn2.microsoft.com/en-us/library/ PrintQueue
ms675090(VS.85).aspx). Опубликованная в Active Directory Shared Folder Top objectClass=’Volume’
Описание сделано в стиле Microsoft, сетевая папка Leaf
ConnectionPoint
т.е. использовать эту информацию Volume
по принципу «как есть» невозможно. Учетная запись пользователя, User Top objectClass=’user’ and not
В ней приведена вся схема катало- совместимая с доменами Windows NT Person objectClass=’computer’
OrganizationalPerson
га в ужасно сокращенном виде, без User
примеров.
Чтобы посмотреть «начинку» объек- Рассмотрим подробнее каждое лит читателю понять взаимосвязь по-
та, рекомендуется использовать утили- из этих действий на примере рабо- лей Active в каталоге Directory и по-
ту (см. рис. 1), недавно созданную со- ты мастера. Начнем с учетной записи лей в мастере. Сначала рассмотрим
трудниками Microsoft – Active Directory пользователя. основные принципы создания учет-
Explorer 1.01 (http://technet.microsoft. ной записи.
com/en-us/sysinternals/bb963907.aspx), Учетная запись
однако она не так удобна в использо- пользователя Создание учетной
вании, как хотелось бы. Рассмотрим процесс создания учет- записи пользователя.
Существует более удачный вари- ной записи пользователя с помощью Основные принципы
ант – утилита Softerra LDAP Browser мастера и программным способом. Со- Для инициализации процесса созда-
(http://www.ldapbrowser.com), о кото- поставление этих двух методов позво- ния учетной записи необходимо запус-
рой я неоднократно упоминал ранее
в своих статьях. Безусловно, эта ути-
лита удобнее, но несколько сложнее
в использовании.

Управление объектами
в Active Directory
Рассмотрим процессы управления
объектами с точки зрения взаимосвя-
зей стандартных инструментов, при-
лагаемых Microsoft, и объектной мо-
дели LDAP.
Из ранее перечисленных объектов
чаще всего используются следующие:
учетная запись пользователя, группа
безопасности и папка.
С объектами в Active Directory можно
проделывать следующие манипуляции:
создавать, читать, изменять (если воз-
можно), удалять и, наконец, искать. Рисунок 1. Внешний вид программы Active Directory Explorer 1.01

№5, май 2008 

 администрирование
Рисунок 2. Создание учетной записи пользователя
Рисунок 3. Работа мастера «Создание учетной записи пользователя». Шаг 1
тить соответствующий мастер в ММС-
оснастке Active Directory. Для этого ус- частей. Рассмотрим последовательно лять системный администратор на
тановите курсор на папку, в которой каждую из них.
будет создана учетная запись, и, выз-
вав контекстное меню папки, выберите пользователя на первом шаге необхо-
в нем пункт «New → User» (см. рис. 2).
Выполнив эти действия, системный
администратор неявным образом оп-
ределил местоположение учетной за-
писи будущего пользователя, а имен-
но часть параметра distinguishedName:
CN=User,DC=msk, DC=ru и тип объек-
та – параметра objectClass.
Замечение: если папка являет-
ся встроенной, то ее имя определяет-
ся параметром CN. Все остальные па-
раметры идентифицируются парамет-
ром OU (Organizational Unit), например
OU=Test,CN=User,DC=msk, DC=ru.

димо указать фамилию, имя и отчест-
во пользователя. Необязательно зада-
вать все три параметра: достаточно за-
дать один из них. Полное имя (поле 4)
формируется на основе Ф.И.О., задан-
ных с помощью первых трех полей. Его
значение формируется автоматичес-
ки, однако администратор может из-
менить его на любое другое. Первые
четыре параметра могут быть позже
изменены (см. рис. 3). Для этого не-
обходимо войти в свойства пользова-
теля во вкладку «General» (отобража-
ется по умолчанию).
Вторая группа параметров – имя
пользователя в сети и дополнитель-
ное имя, требуемое для связи доме-
нов, построенных на основе Windows
NT и Windows 2K. В Active Directory им
соответствуют параметры userPrincipal
Name и sAMAccountname. Каждое
из этих имен состоит из двух частей:
имени пользователя и текущего доме-
на. Имя текущего домена определяет-
ся автоматически и не может быть из-
менено. В таблице 2 приведено опи-
сание полей, задействованных на пер-
вом шаге работы мастера.
На втором этапе работы мастера
администратор задает пароль поль-
зователя, длина которого определя-
ется доменной политикой безопаснос-
ти «Minimum Password Length», распо-
ложенной в «Computer Configuration →
Windows Settings → Security Settings →
Account Policies → Password Policy» ос-
настки групповых политик. Опреде-
ляется политика безопасности учет-
ной записи.
На рис. 4 показано, какими пара-
Работа мастера состоит из трех метрами Active Directory может управ-
этапе создания учетной записи поль-
Во время создания учетной записи зователя.
К этим параметрам относятся:
Таблица 2. Параметры учетной записи пользователя. Шаг 1
Параметр мастера Поле в Active Тип данных Вкладка в свойствах Описание
Directory объекта USER
First name firstName String General Имя сотрудника
Initials Initials String General Инициалы (до 6 символов)
Last name Sn String General Фамилия сотрудника
Full name displayName String General Полное имя сотрудника
(формируется на основе
первых трех полей)
User logon name userPrincipalName String Account Имя регистрации
пользователя в сети
User logon name sAMAccountname String Account Имя регистрации
(pre-Windows 2000) пользователя в сети для
учетных записей Windows NT
 администрирование
n setPassword. Значение этого обя-
зательного параметра – пароль,
хранящийся в зашифрованном
виде в Active Directory. С помощью
сценария его можно только запи-
сать. Считать существующее не
представляется возможным: оно
зашифровано.
n pwdLastSet. Значением параметра
pwdLastSet управляют с помощью
«User must change password at next
logon» (см. рис. 4). По умолчанию
принимает значение 0.
n userAccountControl. Оставшиеся
три параметра («User cannot change
password», «Password never expires»
и «Account is disabled») формиру-
ют в сумме значение параметра
userAccountControl. По умолчанию
userAccountControl=513 (стандарт- Рисунок 4. Работа мастера «Создание учетной записи пользователя». Шаг 2
ная учетная запись пользователя).

Все перечисленные параметры,

кроме setPassword, можно изменить
во вкладке «Account» учетной записи
пользователя.
После завершения второго шага
работы мастера перейдем к третьему –
завершающему этапу, на котором осу-
ществляется проверка ранее задан-
ных параметров (см. рис. 5). В диало-
говом окне приводится следующая ин-
формация:
n местоположение пользователя Рисунок 5. Работа мастера «Создание учетной записи пользователя». Шаг 3
в Active Directory;
n отображаемое имя пользователя в Таблица 3. Исходные данные для создания учетной записи пользователя
сети; Поля мастера Значение Комментарий
n имя пользователя для регистрации Create In MSK\Users Встроенная в корневой каталог домена папка Users
в сети; Шаг 1
n параметры безопасности, которые First name Petrov Фамилия
устанавливаются на втором шаге
Initials V Инициал
работы мастера.
Last name Ivan Отчество
Full name Petrov, Ivan Отображаемое имя
На этом этапе невозможно напря-
мую изменить какие-либо данные. User logon name IPetrov Имя для входа в сеть

Для корректировки параметров необ- User logon name (pre-Windows 2000) Petrov Имя для входа в сеть (для совместимости с Windows NT
доменами)
ходимо вернуться на шаг или два ша-
Шаг 2
га назад (см. рис. 5).
Password, Confirm password 123456789 Пароль

Создание учетной записи User must change password at next logon Да Пользователь должен изменить пароль после первого
пользователя. Работа мастера входа в сеть

Создадим учетную запись пользовате- User cannot change password Нет Пользователь не может изменить пароль

ля с помощью мастера. Исходные дан- Password never expires Нет Действие пароля неограниченно
ные приведены в таблице 3. Account is disabled Нет Учетная запись выключена
Рассмотрим пошагово создание
учетной записи. чение» таблицы 3. Обратите внимание, Имя пользователя для регистрации
В появившемся диалоговом окне что после заполнения первых трех по- в сети задается системным админист-
заполните поля в соответствии с дан- лей при переходе на четвертое оно за- ратором. На основе введенных данных
ными, приведенными в колонке «Зна- полняется автоматически (см. рис. 6). автоматически создается имя для под-

№5, май 2008 

 администрирование
дущем разделе. В таблице 4 приведены параметры и со-
ответствующие им значения, которые необходимо задать
в Active Directory.
Сценарий работает по следующему алгоритму: снача-
ла определяется имя текущего домена с помощью обраще-
ния к виртуальному объекту RootDSE и трансформируется
с помощью функции DetectDNSName в короткое имя домена.
В сценарии используется составное и сокращенное имя до-
мена. Составное имя домена участвует в формировании пу-
ти к создаваемому объекту, сокращенное – для назначения
имени объекта, совместимого с доменами Windows NT.
Далее создается объект с помощью функции Create.
В качестве ее параметров задается имя объекта и его тип.
Задаются значения параметров с помощью функции Put и их
запись в каталог Active Directory с помощью метода SetInfo.

Листинг 1. Создание учетной записи пользователя

Рисунок 6. Работа мастера. Шаг 1
держки доверительных отношений с доменом Windows NT,
которое может быть изменено.
На втором шаге необходимо ввести пароль и подтвер-
дить его. По назначению пароля существуют следующие
рекомендации:
n пароли чувствительны к регистру символов;
n используйте цифры в паролях;
n рекомендуемая длина пароля – не менее 7 символов;
n в пароле не использовать символы «/\|:;,+*?<>;
n не используйте в пароле имя учетной записи пользова-
теля;
n не используйте очевидных паролей, вроде 0123456789.
Контроль за выполнением некоторых из перечисленных
требований может быть возложен на доменные групповые
политики. Остальные четыре параметра безопасности ос-
тавим без изменений (см. рис. 7).
На последнем, завершающем этапе, осуществляется
контроль установленных параметров (см. рис. 8).
Программное создание учетной записи
пользователя
Во время создания учетной записи пользователя програм-
мным способом (VBScript), как при работе мастера, долж-
ны быть обязательно заданы несколько параметров. В лис-
тинге 1 приведен сценарий, позволяющий создать учетную
запись пользователя. Результат действия сценария иден-
тичен работе мастера, который был рассмотрен в преды-
set RootDSE = GetObject("LDAP://RootDSE")
Domain = rootDSE.Get("defaultNamingContext")
Set objUsers = GetObject("LDAP://CN=Users," & Domain)
Set objNewUser = objUsers.Create("user", "cn=Ivan\, Petrov")
objNewUser.Put "sAMAccountName", "IPetrov"
objNewUser.Put "sn", "Petrov"
objNewUser.Put "givenName", "Ivan"
objNewUser.Put "Initials", "V"
objNewUser.Put "userPrincipalName", "IPetrov@" & ↵
DetectDNSName(Domain)
objNewUser.SetInfo
objNewUser.AccountDisabled=False
objNewUser.SetPassword("1234567890")
objNewUser.SetInfo
Function DetectDNSName(Domain)
' Определение DNS-имени домена
LDAPArray = Split(Domain,",")
For Each el In LDAPArray
DNSName = DNSName + right(el,Len(el)-3) + "."
Next
DetectDNSName = left(DNSName, Len(DNSName)-1)
End Function
В приведенном сценарии есть несколько особенностей,
на которые необходимо обратить внимание:
n Для того чтобы в имени учетной записи (поле CN) при-
сутствовала запятая, необходимо при присвоении зна-
чения перед запятой поставить косую черту (\): «cn=Ivan\,
Petrov». В противном случае интерпретатор VBScript вы-
даст сообщение об ошибке (см. рис. 10).
n Значение параметра userPrincipalName содержит суф-
фикс, в данном случае @msk.ru. Им является DNS-
имя текущего домена. В сценарии присутствует функ-
ция DetectDNSName, которая преобразует LDAP-имя
в DNS‑имя.
n Значение свойства AccountDisabled
не может быть изменено, пока объ-
ект не существует, поэтому ме-
тод SetInfo в скрипте используется
дважды.

В результате работы мастера или

Рисунок 7. Работа мастера. Шаг 2
Рисунок 8. Работа мастера. Шаг 3
рассмотренного сценария в Active
Directory создается учетная запись
пользователя. Уверен, что все адми-
нистраторы сети видели ее в стандар-
тной оснастке Active Directory, однако
мало кто видел, как на самом деле вы-


 администрирование
глядит самая обыкновенная учетная
запись пользователя, созданная обыч-
ным мастером. На рис. 9 представле-
ны все поля созданной учетной записи.
Как видно, одни атрибуты были зада-
ны напрямую, другие – косвенным об-
разом, третьи были созданы системой
автоматически. О том, какие бывают
атрибуты, как считывать их значения,
речь пойдет в следующей статье.

Создание объектов.
Общий случай
После подробного рассмотрения про-
цесса создания учетной записи поль-
зователя, пришло время подвести
своеобразный итог и создать шаблон
(см. листинг 2), позволяющий созда-
вать учетные записи объектов различ-
ного типа. Для создания какого-либо
объекта необходимо задать минимум
три параметра и еще несколько пара-
метров, присущих объекту данного ти-
па. К обязательным параметрам отно- Рисунок 9. Параметры учетной записи пользователя, созданной с помощью мастера
сят путь к объекту, его имя и тип.
на. С помощью функции GetObject() получают доступ к пап-
Листинг 2. Шаблон создания объектов в Active Directory ке, в которой будет создан объект. На четвертой строке с по-
set RootDSE = GetObject("LDAP://RootDSE") мощью функции Create(), имеющей два параметра, созда-
Domain = rootDSE.Get("defaultNamingContext") ется объект. Первый параметр функции – тип создаваемо-
Set objs = GetObject("LDAP:// " + ПУТЬ К ПАПКЕ + " & Domain)
Set obj = objs.Create("ТИП ОБЪЕКА", "ИМЯ ОБЪЕКТА") го объекта, второй – его имя в домене. Далее, с помощью
функции Put(), осуществляется присваивание значений ха-
obj.Put "ПОЛЕ ТИПА СТРОКА В ACTIVE DIRECTORY", "ЗНАЧЕНИЕ"
obj.Put "ПОЛЕ ТИПА МАССИВ В ACTIVE DIRECTORY", ↵ рактерным параметрам. И, наконец, запись присвоенных
Array("ЗНАЧЕНИЕ1", "ЗНАЧЕНИЕ2", "ЗНАЧЕНИЕ3"…) данных в каталог с помощью функции SetInfo().
obj.SetInfo Обратите внимание на последние две строки шаблона.
В них осуществляется присваивание значений параметру,
В первых двух строках шаблона с помощью виртуально- который имеет строковый тип данных, и массиву из строк.
го объекта RootDSE определяют LDAP-имя текущего доме- При задании значений массиву обязательно используется
Таблица 4. Параметры сценария для создания учетной записи ключевое слово Array, с помощью которого объявляют и сра-
пользователя зу же определяют значения элементов массива. На основе
Параметр Комментарий созданного шаблона приведу примеры создания учетной
cn=Ivan\, Petrov Отображаемое имя
записи группы (см. листинг 3) и папки (см. листинг 4).
sAMAccountName = IPetrov Имя в сети для совместимости с доменами
Windows NT
Листинг 3. Создание учетной записи группы безопасности

Sn = Petrov Фамилия set RootDSE = GetObject("LDAP://RootDSE")

givenName = Ivan
Initials = V
userPrincipalName = IPetrov@msk.ru
SetPassword=123456789
pwdLastSet=0
distinguishedName = CN=Ivan\,
Petrov,CN=Users,DC=msk,DC=ru
Domain = rootDSE.Get("defaultNamingContext")
Имя Set objGroups = GetObject("LDAP:// CN=Test,CN=Groups," & ↵
Domain)
Инициалы
Set objGrous = objGroups.Create("group", "cn=Print Manage")
Имя в сети домена Windows 2K
objGroup.Put "sAMAccountName", "Print Manage"
Назначаемый пароль objGroup.SetInfo
Изменить пароль при следующем входе в сеть
Путь к создаваемой учетной записи Листинг 4. Создание учетной записи папки
set RootDSE = GetObject("LDAP://RootDSE")
Domain = rootDSE.Get("defaultNamingContext")
Set objOUs= GetObject("LDAP://CN=Users," & Domain)
Set objOU = objOUs.Create("organizationalUnit", "ou=Test")
objOU.SetInfo

В следующий раз будет подробно рассмотрена методи-

ка чтения различных параметров учетной записи пользо-
Рисунок 10. VBScript. Ошибка работы сценария вателя, различных типов данных.

№5, май 2008 

 администрирование

Сколько стоит переход

на легальный софт?
Александр Емельянов
Многие организации до сих пор продолжают эксплуатировать пиратское программное
обеспечение на своих компьютерах, зачастую не совсем представляя, что ждет их
при проверке органами контроля. Многие закрывают на это глаза, надеясь на наше
национальное «авось». Попробуем ответить на вопрос: сколько же стоит спокойный сон
руководителя и системного администратора?

И
менно эти два человека зачас- Исходя из этих данных будет фор- та является задачей не из легких, по-
тую оказываются ответчиками мироваться приблизительный список этому проще всего обратиться за кон-
за использование нелегаль- необходимого для полноценного функ- сультацией к проверенному квалифи-
ного софта в коммерческих интере- ционирования IT-среды предприятия цированному специалисту. При подго-
сах фирмы. Что и кому из них грозит, программного обеспечения. Предпо- товке статьи рассчитать цены мне по-
не раз обсуждалось в рунете на мно- ложим для ровного счета, что коли- могли специалисты интернет-магази-
гочисленных форумах, блогах, а также чество сотрудников предприятия равно на программного обеспечения SoftKey
в авторских статьях. Я не буду останав- 100. Также допустим, что организация (www.sofkey.ru). Замечу, что при едино-
ливаться на этом вопросе и предполо- имеет 4 сервера и 100 рабочих мест. временной покупке всего софта у это-
жу, что в компании уже принято реше- Что же касается сервисов, предостав- го поставщика клиент переходит на бо-
ние о покупке легального программно- ляемых серверами компании, пред- лее низкий уровень цен (уровень С)
го обеспечения. ставим следующую «картину»: 2 кон- на продукты компании Microsoft, поэто-
троллера домена, 1 почтовый сервер, му далее стоимость ПО данной компа-
Что нам нужно? 1 сервер баз данных, 1 терминальный нии будет представлена на уровне С.
Практически в любой компании IT-ин- сервер, 1 сервер SharePoint, 1 файр-
фраструктура состоит из рабочих мест вол/прокси-сервер, 1 сервер обновле- Базовое серверное ПО
пользователей, а также серверных сис- ний Microsoft. Дополнительно положим, Нам понадобится приобрести 4 сер-
тем, каждая из которых предоставляет что 30 сотрудников работают на серве- верных лицензии Windows Server 2008,
тот или иной сервис. Попросту говоря, ре терминалов, 40 сотрудников рабо- 1 диск с дистрибутивом ОС, 100 кли-
все используемое программное обес- тают с сервером баз данных. Понят- ентских лицензий на подключение к
печение можно разбить на две части – но, что не в каждой компании исполь- серверу и 30 лицензий на подключение
клиентское и серверное. Тот и другой зуются все эти сервисы сразу, однако к серверу терминалов. Здесь и далее
софт, в свою очередь, можно условно такая схема поможет шире раскрыть цены указаны в долларах США, расчет
подразделить на категории: тему статьи. производится в рублях по курсу Цент-
n базовый, без которого работа ли- робанка на день оплаты.
бо не возможна, либо будет силь- Подсчитываем стоимость n Windows Server Standard 2008
но затруднена (сюда отнесем опе- серверного ПО Russian OLP C – 4х847=3388.
рационные системы и набор офис- Наиболее удобным и чаще выбирае- n Windows Server Standard 2008
ных программ); мым вариантом лицензирования сер- (дистрибутив) – 1х39,2=39,2.
n дополнительный для пользова- верных решений на данный момент яв- n Windows Server CAL 2008 Russian
тельских мест (это антивирусные ляется лицензирование по программе OLP NL User CAL (клиентские ли-
пакеты, архиваторы, программы Open License. Данный вид лицензиро- цензии) – 100х35=3500.
для записи на CD/DVD, програм- вания подразумевает единовремен- n Windows Terminal Services CAL
мы для распознавания текста и др.), ную покупку пожизненных полноцен- 2008 Russian OLP C Device CAL
дополнительный софт для серве- ных лицензий. В этом случае лицензи- (лицензия на терминальное под-
ров (сервер баз данных, почтовый руются серверы и клиентский доступ к ключение) – 30х93,8=2814.
сервер, файрволы/прокси-серверы, ним (при использовании терминальной n Итого – 9741,2.
программы для резервного копиро- службы в дополнение к клиентским
вания данных и т. д.); подключениям покупаются терминаль- Дополнительное серверное ПО
n специфичный для рода деятель- ные), также покупается дистрибутив Рассчитываем стоимость почтового
ности организации (пакеты для серверного ПО для установки. сервера Microsoft Exchange Server 2007.
обработки графики, верстки, про- Выбор программы лицензирова- Лицензируется сервер плюс каждый
ектирования и т. п.). ния даже для грамотного IT-специалис- почтовый аккаунт. Пусть каждый со-

10
 администрирование
трудник имеет свой почтовый адрес, n Office SharePoint Server 2007 Security Base 1 year – 85 034,56 руб.
отсюда получаем следующий расчет: Russian OLP C – 1х5159=5159. Рабочие станции, серверы и почтовые
n Exchange Server 2007 OLP C – n Office SharePoint Server 2007 DVD системы: Kaspersky EnterpriseSpace
1х814,8=814,8. For Std (дистрибутив) – 1х39,2=39,2. Security Base 1 year – 145 773,68 руб.
n Exchange Server 2007 CD (дистри- n Office SharePoint CAL 2007 Russian
бутив) – 1х39,2=39,2. OLP C Device CAL (клиентские ли- Подводим итоги
n Exchange Standard CAL 2007 Sngl цензии) – 100х109,2=10920. Общая стоимость базового ПО для на-
Lang OLP C Device CAL (клиент- n Итого – 16118,2. шей организации будет равна 9741,2
ские лицензии) – 100х78,4=7840. (серверные ОС) + 25200 (клиентские
n Итого – 8694. Сервер обновлений WSUS являет- ОС) + 35179,2 (MS Office) = 70120,4.
ся бесплатным решением Microsoft. К этой сумме будет добавляться стои-
Сервер баз данных MS SQL Server Программа для резервного копи- мость различных сервисов в зави-
2005 можно лицензировать двумя спо- рования данных – Acronis True Image симости от потребностей компании,
собами: Echo Server для Windows – 840,05. а также дополнительное и специаль-
n сервер + клиент; ное клиентское ПО, помноженное
n серверные лицензии на процессор Подсчитываем стоимость на его необходимое количество.
(количество клиентских подключе- клиентского ПО Видно, что список софта для при-
ний не ограничивается). Оценим стоимость клиентского ПО. обретения не маленький. Тем более,
если вы являетесь корпоративным
Рассчитаем стоимость обоих вари- Базовое клиентское ПО клиентом, представляющим несколь-
антов и сравним их. Пусть у нас сервер Выбор пал на Windows Vista. На дан- ко организаций-плательщиков, входя-
с одним процессором, привожу срав- ный момент доступен только один ва- щих в группу предприятий, заказ ПО
нительные подсчеты для обоих вари- риант приобретения – коробочные вер- и оформление документов грозит стать
антов лицензирования. сии: Windows Vista Business Russian целой эпопеей. В этом случае обслу-
Вариант 1: DVD – 252,00. Для 100 рабочих стан- живание в режиме «одного окна», ре-
n SQL Server Standard 2005 Win32 ций общая стоимость будет составлять ализованное компанией SoftKey, по-
Russian OLP C – 1х1031,8=1031,8. 100x252=25200. может вам сократить временные рас-
n SQL Server Standard 2005 Win32 CD/ Переходим к MS Office 2007. ходы на покупку ПО: заказ на коробоч-
DVD (дистрибутив) – 1х39,2=39,2. n Office 2007 Russian OLP NL – 351,4 ные и электронные версии продуктов
n SQL CAL 2005 Russian OLP C (лицензия). оформляется в режиме онлайн, систе-
Device CAL (клиентские лицензии) – n Office 2007 Win32 Russian Disk Kit ма сохраняет ранее введенные клиен-
40х189=7560. MVL CD – 39,2 (дистрибутив). том данные и позволяет в дальнейшем
n Итого – 8631. выбирать нужные реквизиты платель-
Для 100 рабочих мест – 351,4x100+ щика и адрес его доставки.
Вариант 2: 39,2= 35179,2. Доступность в каталоге SoftKey
n SQL Server Standard 2005 Win32 электронных версий продуктов также
Russian OLP C 1 Proc – 1х6690,6= Дополнительное клиентское ПО позволяет ускорить процесс покупки.
6690,6. Рассмотрим список наиболее часто ис- После оплаты вы получите по e-mail
n SQL Server Standard 2005 Win32 CD/ пользуемого софта на рабочих станци- ссылку для скачивания дистрибутива
DVD (дистрибутив) – 1х39,2=39,2. ях пользователей (конечно, он не пре- программы и лицензионный ключ.
n Итого – 6729,8. тендует на полноту): Да, и еще, из приятных моментов:
n архиватор WinRAR – 9,44 за ли- партнерство SoftKey с бонусной систе-
Видно, что в нашем случае дешев- цензию; мой Много.ру означает, что если при за-
ле будет выбрать программу лицензи- n программа для записи дисков CD/ казе программного обеспечения ввести
рования на процессор. DVD Nero 8 Site License – 49,82; номер карты Много.ру, на аккаунт поку-
Сервер ISA Server (файрвол/прокси- n ABBYY FineReader 9.0 Professional пателя будут начислены бонусы, за ко-
сервер) лицензируется по количеству Edition – 159,99; торые потом можно получить призы.
процессоров (будем считать, что име- n Adobe Photoshop CS3 10.0 FULL
ется только 1 процессор на сервере). RU TLP for Windows – 878; Заключение
n ISA Server Std Ed 2006 Russian n Adobe Photoshop CS3 10.0 DVD RU Хотелось бы отметить, что процесс
OLP C 1 Proc – 1х1510,6=1510,6. for Windows – 35; лицензирования компании – дело на-
n ISA Server Std Ed 2006 Russian n CorelDRAW Graphics Suite X4 – сколько дорогое, настолько и нужное.
Disk Kit MVL CD (дистрибутив) – 451,9. При грамотном подходе затраты на при-
1х39,2=39,2. обретение лицензионного софта можно
n Итого – 1549,8. Защита от Лаборатории Касперс- снизить, потому что зачастую компании-
кого, лицензии на 104 узла (по общему дистрибьюторы проводят специальные
Сервер Office SharePoint лицензи- количеству серверов и рабочих стан- акции, а также делают неплохие скид-
руется по схеме: сервер плюс клиент- ций для нашей гипотетической орга- ки для «хороших» клиентов.
ские лицензии на доступ. низации): Kaspersky BusinessSpace На правах рекламы

№5, май 2008 11

 администрирование
Терминальные службы
в Windows Server 2008
Приложения, требующие одновременного доступа множества пользователей, всегда были
головной болью системных администраторов. Служба терминалов в Windows Server 2008
позволит решить ряд проблем, связанных с работой таких приложений.
С
лу жбы уда ленного дост упа
к приложениям являются не-
отъемлемой частью любой сов-
ременной операционной системы.
В семействе Windows Server служба
терминалов появилась еще в версии
NT 4.0, а в недавно вышедшей версии
Windows Server 2008 реализация цент-
рализованного доступа к приложени-
ям получила существенное развитие
за счет новых функций и систем.
Зачем нужны
службы терминалов
Для начала хочу немного рассказать,
зачем нужны терминальные сервисы.
Например, возможность существенно
сэкономить административные ресур-
сы, так как гораздо проще установить
приложение на одном сервере и пре-
доставить к нему клиентский доступ,
чем разворачивать это же приложение
на каждой клиентской рабочей стан-
ции. Это особенно полезно для уста-
ревших программ и приложений, ко-
торые не поддерживают клиент-сер-
верную архитектуру, однако до сих пор
довольно активно используются в ор-
ганизациях.
Другая причина – это возможность
сэкономить на оборудовании, так как
12
достаточно приобрести один мощный
терминальный сервер, и требования
к клиентским рабочим станциям су-
щественно снижаются, потому что ос-
новные вычислительные нагрузки бе-
рет на себя сервер.
Что нового
Рассмотрим более подробно, о каких
новых функциях идет речь. Прежде
всего, это возможность работы с уда-
ленными приложениями служб терми-
налов. Теперь пользователи могут за-
пускать удаленные приложения на сво-
ем рабочем столе наряду с обычны-
ми локальными приложениями. (Тем,
кто знаком с аналогичными решени-
ями от Citrix, думаю, такая технология
понравится.) Для этого необходим кли-
ент подключения к удаленному рабо-
чему столу версии 6.0. Данный клиент
встроен в Windows Server 2008 и Vista,
для XP и 2003 версии клиенты доступ-
ны для бесплатной загрузки.
Другим нововведением является
шлюз службы терминалов (TS Gateway),
который позволяет получить безопас-
ный доступ к службам терминалов
и общим рабочим столам из-за пре-
делов межсетевого экрана предприя-
тия без необходимости развертывания
Андрей Бирюков
инфраструктуры виртуальной частной
сети (VPN).
Также имеется возможность ис-
пользования протокола HTTPS для до-
ступа к службам терминалов без не-
обходимости настройки на стороне
клиента.
Комплексная модель безопаснос-
ти TS Gateway позволяет админист-
раторам контролировать доступ к оп-
ределенным ресурсам в сети. В част-
ности, возможно ограничение дос-
тупа пользователей только к опре-
деленным серверам и рабочим стан-
циям, а не ко всей сети предприятия,
как это происходит в случае исполь-
зования подключений к виртуальной
частной сети.
Еще данная технология позволяет
подключаться пользователям к сер-
верам терминалов и удаленным рабо-
чим станциям через межсетевые эк-
раны и преобразователи сетевых ад-
ресов (NAT).
Еще одной новой возможностью
является веб-клиент служб термина-
лов (TS Web Access), который позволя-
ет осуществлять работу с удаленным
столом пользователя через веб-интер-
фейс. С помощью веб-клиента служб
терминалов пользователи могут полу-
 администрирование
чить список доступных приложений че-
рез веб-узел. Выглядит это примерно
следующим образом.
Когда пользователь запускает одно
из удаленных приложений, для этого
пользователя автоматически создает-
ся сеанс служб терминалов на сервере
под управлением Windows Server 2008,
также для пользователя в этом интер-
фейсе доступно централизованное ме-
ню, в котором отображаются все до-
ступные удаленные приложения. Что-
бы запустить удаленное приложение,
достаточно выбрать нужную програм-
му в меню.
Как видно, использование веб-кли-
ента служб терминалов позволяет сни-
зить затраты на администрирование,
так как отпадает необходимость в ад-
министрировании отдельных экземп-
ляров используемых приложений. Рисунок 1. Список ролей сервера
И, наконец, это возможность еди-
ного входа (также известная Single
Sign On), технология, улучшающая вза-
имодействие с пользователями, из-
бавляя от необходимости многократно
вводить свои учетные данные.

Установка
Обсудив в теории новые возмож-
ности службы терминалов Windows
Server 2008, рассмотрим этот функци-
онал на практике.
Прежде всего, установка. Надо ска-
зать, что процесс установки немно-
го изменился по сравнению с терми-
нальными службами в предыдущих
версиях Windows Server. Для того что-
бы развернуть терминальные служ-
бы, необходимо добавить соответс-
твующую роль в списке ролей серве-
ра (см. рис. 1).
Выбираем «Terminal Services». Да- Рисунок 2. Выбор метода аутентификации
лее указываем необходимые служ-
бы терминального сервера, которые буется, рабочие станции с любыми вер- только 120 дней, после чего вы сможе-
должны быть установлены. Обратите сиями терминальных клиентов могут те только устанавливать не более двух
внимание, что для функционирования подключаться. Данная функция поз- административных сессий.
некоторых из них требуется включение воляет увеличить защищенность тер- На следующем этапе требуется
сервера в домен Active Directory. минального сервера, так как предыду- указать группы пользователей, кото-
Затем нужно определиться с мето- щие версии клиентов содержат мно- рым разрешен доступ к данному тер-
дом аутентификации (см. рис. 2). В слу- жество уязвимостей, и отказ от их ис- минальному серверу. Затем идут на-
чае если вы выбрали вариант «Require пользования существенно повысит за- стройки, требующиеся для работы
Network Level Authentication», только ра- щищенность. по протоколу HTTPS. В частности, не-
бочие станции, на которых установле- На следующем этапе нужно оп- обходимо указать сертификат, кото-
ны совместимые версии операцион- ределиться с режимом лицензирова- рый будет использоваться для созда-
ной системы и терминального клиента, ния. Делать это при установке необя- ния SSL-соединения (см. рис. 3). Дан-
смогут устанавливать удаленные сес- зательно, можно доустановить потом, ный сертификат можно экспортиро-
сии с данным сервером. В случае ес- главное не забыть, что без лицензий вать из файла.
ли Network Level Authentication не тре- терминальный сервер будет работать Такой способ рекомендуется для

№5, май 2008 13

 администрирование
Для этого необходимо открыть кон-
соль Server Manager, затем Terminal
Services. В этом разделе можно про-
смотреть суммарную статистику по со-
бытиям, связанным со службой терми-
налов, при этом можно использовать
различные фильтры для поиска новых
интересующих событий. Следует от-
метить, что это новшество теперь до-
бавлено во все компоненты Windows
Server 2008.
Также здесь можно наблюдать, ка-
кие системные службы запущены, ка-
кие роли сервера установлены, и еще
здесь Windows 2008 предлагает неко-
торые рекомендации по настройке тер-
минальных сервисов.
Теперь посмотрим, какие настрой-
ки доступны для компонентов терми-
нальных сервисов.
Рисунок 3. Настройки SSL Прежде всего это TS RemoteApp
Manager. Здесь можно настроить,
какие приложения будут доступны
для работы через службы термина-
лов, при этом их можно будет запус-
кать с локальной машины пользова-
теля. Для того чтобы это сделать, не-
обходимо добавить нужную программу
в список RemoteApp Programs. В качес-
тве примера мы выполним необходи-
мые действия.
В роли приложения, которое нуж-
но сделать доступным для локаль-
ных пользователей, будет выступать
консоль администрирования серве-
ра TS Licensing Service. Выбираем оп-
цию «Add RemoteApp Programs». Да-
лее в списке отмечаем «TS Licensing
Manager». Работа мастера завершена,
теперь нам необходимо сделать прило-
жение доступным с рабочей станции
Рисунок 4. Управление групповыми политиками пользователя.
Для этого нам надо сначала опре-
крупных сетей, где используется свой шлюза терминальных служб. По умол- делиться, каким способом мы хотим
центр сертификации (Certification чанию разрешено подключение толь- распространить доступ к данному при-
Authority), так как таким образом можно ко для группы Administrators. В качест- ложению на рабочие станции. Возмож-
обеспечить довольно высокую степень ве способов авторизации помимо тра- ны два варианта: создание RDP-фай-
защиты терминальной сессии. диционного ввода пароля можно также ла и использование пакета Windows
Другой способ – это использование использовать Smart Card. Также мож- Installer. Мы рассмотрим оба вариан-
самоподписанного (Self Signed) серти- но определить, к каким именно терми- та. Первый вариант удобен для исполь-
фиката, правда, данный способ реко- нальным серверам могут подключать- зования в небольших сетях, тогда как
мендуется только для небольших орга- ся пользователи. второй лучше использовать в крупных
низаций или в тестовых целях. На этом установка служб терми- корпоративных сетях, где с помощью
Далее нам предлагается создать нальных сервисов в Windows Server групповых политик распространять
так называемую Authorization Policy 2008 завершается. приложение на рабочие станции.
для TS Gateway, то есть политику ав- Создадим RDP-файл. Для это-
торизации, которая определяет, ка- Настройка го сначала выберите нужное прило-
ким группам пользователей можно Теперь приступим к настройке создан- жение в списке программ в нижней
осуществлять подключение к серверу ного терминального сервера. части окна, в разделе «RemoteApp

14
 администрирование
Programs». Затем выберите опцию лыки для доступа к приложению: на ра- как раньше. Сама консоль Group Policy
«Create .rdp file». В открывшемся ок- бочем столе или в папке Start. Также Management также существенно из-
не мастера необходимо указать путь можно ассоциировать расширения, менилась. Теперь здесь доступны на-
к каталогу, в котором будет хранить- используемые данным приложением, стройки для леса, доменов, входящих
ся создаваемый файл, затем можно с другими файлами на рабочей стан- в данный лес. Также из этой консоли
изменить адрес сервера и порт, кото- ции пользователя. можно управлять политиками для до-
рые будут использоваться для досту- менов, контроллеров доменов. Еще
па к приложению через службу терми- Развертывание настроек одно полезное средство, появившее-
налов. Также можно сменить настрой- с помощью GPO ся в новой консоли, – это Group Policy
ки TS Gateway, например изменить сер- Итак, созданные .rdp- и .msi-файлы Modeling. Это средство, позволяющее
вер, используемый по умолчанию, или можно различными способами помес- смоделировать последствия примене-
отключить использование TS Gateway. тить на рабочие станции пользовате- ния групповых политик к определенно-
И, наконец, можно настроить исполь- лей. В качестве примера я разверну му объекту, может быть очень полезно
зование сертификатов для установки .msi-файлы с помощью групповых по- в случае, если используется несколько
защищенных соединений. В резуль- литик Windows Server 2008. Итак, у нас политик и множество объектов.
тате работы мастера в каталоге С:\ имеется домен terminal.mylocal, в ко- Однако я несколько отвлекся опи-
Program Files\Packaged Programs со- тором требуется для группы компью- санием работы с групповыми полити-
здается новый файл, который можно теров TestUsers развернуть .msi-файл ками, вернемся к службам термина-
разместить на рабочей станции поль- для доступа к приложению через служ- лов. Для выполнения поставленной
зователя для доступа к удаленному бу терминалов. задачи необходимо открыть раздел
приложению. Следует сразу заметить, что нас- «Forest», выбрать «Domains» и ука-
Теперь создадим пакет Windows тройка групповых политик в Windows зать имя домена (в данном случае это
Installer. Здесь настройки будут ана- Server 2008 несколько отличается от на- terminal.mylocal), затем «Group Policy
логичные: путь к создаваемому фай- строек в предыдущих версиях Windows Objects, TestUsers» (групповая полити-
лу, настройки терминального серве- Server. Прежде всего, теперь раздел ка, которая будет применена к маши-
ра, настройки TS Gateway и настрой- «Group Policy Management» доступен нам тестовой группы). После выпол-
ки сертификатов. В следующем окне в виде отдельной закладки, не через нения этих действий нажмите правую
вы можете выбрать, где создавать яр- «Active Directory Users And Computers», кнопку мыши и выберите «Edit». В от-

№5, май 2008 15

 администрирование
При на жатии на значок конк-
ретного сервера вы можете полу-
чить информацию о его текущей за-
грузке, количестве подк лючений,
применяемых политиках и так да-
лее. Собственно, используемых по
умолчанию политик авторизации
две: Connection Authorization Policies
и Resource Authorization Policies.
Первая используется для настрой-
ки пользователей, которым разреше-
но соединение с сервером TS Gateway.
Здесь определяются, в частности, спо-
соб аутентификации (пароль и/или
смарт-карта), а также группы пользова-
телей, которым разрешен доступ. Еще
здесь можно определить перенаправ-
ление устройств, подключенных к тер-
минальному серверу. То есть пользова-
телям может быть разрешено подклю-
Рисунок 5. Управление TS Gateway чение принтеров, серийных портов, ус-
тройств Plug and Play, драйверов уст-
крывшемся окне нажимаем «Computer лык, после нажатия на который за- ройств и буфера обмена.
Configuration». пустится мастер RemoteApp, кото- Вторая политика определяет ра-
Как известно, приложение можно рый после авторизации пользова- бочие станции, которым разрешено
либо опубликовать, привязав к полити- теля запустит на локальной машине подключаться к серверу TS Gateway.
кам пользователя (User Configuration), приложение  терминального сервера. Здесь также можно определить груп-
или же установить, привязав к по- Следует также отметить, что при необ- пы пользователей, которые могут под-
л и т и к а м ко м п ью те р а (C o mp ute r ходимости удаленное приложение мо- ключаться к удаленным серверам че-
Configuration). Выполним второе дейст- жет быть доступно через Web Access. рез TS Gateway. Что касается управле-
вие. Для этого в разделе «Policies» Также можно разрешить использовать ния доступом к терминальному шлю-
указываем «Software Settings» и за- аргументы командной строки. зу для рабочих станций, то тут можно
тем «Software Installation». Нажав пра- воспользоваться двумя способами:
вую кнопку мыши, выбираем «New Шлюзы терминального указать уже созданную Active Directory
Package». С помощью мастера выби- доступа Security Group или использовать су-
раем нужный файл, затем «Assigned». Теперь поговорим более подробно ществующую TS Gateway Managed
Теперь групповая политика может при- о другой интересной службе, входящей Computer Group. По умолчанию поль-
меняться к рабочим станциям. в состав терминальных сервисов. Это зователи могут подключаться к любо-
После применения групповой по- TS Gateway Manager. Как я уже упоми- му ресурсу.
литики у пользователей появится яр- нал выше, TS Gateway предназначен Сетевые порты, используемые
для подключения к различным тер- для установки терминальной сессии,
минальным серверам через единый также можно менять при необходимос-
шлюз. Думаю, удобства такого подхо- ти. По умолчанию используется стан-
да очевидны. Пользователям не на- дартный порт 3389.
до путаться среди множества различ-
ных терминальных серверов, достаточ- Заключение
но сохранить настройки для доступа На этом я завершаю свой рассказ
к единому шлюзу, с помощью которо- о службах терминального доступа
го уже подключаться к нужному прило- в Windows Server 2008. Как видно, в но-
жению. Администраторам не надо на- вой операционной системе в эти служ-
страивать политики доступа на мно- бы также добавилось много новых воз-
жестве серверов, достаточно настро- можностей, что позволит администра-
ить на шлюзе. торам оптимизировать работу пользо-
Рассмотрим более подробно на- вателей с удаленными приложениями
стройку TS Gateway. Для этого нам не- с помощью служб терминалов.
обходимо открыть консоль TS Gateway
Manager. В основном окне можно на- 1. ht tp: // w w w.mic rosof t.c om / windows
блюдать сервера, доступные для уп- server2008/en/us/default.aspx – страни-
Рисунок 6. Управление доступом
для рабочих станций равления (см. рис. 5). ца, посвященная Windows Server 2008.

16

Выполнение произвольного кода в IBM
Lotus Expeditor
Программа: IBM Lotus Expeditor 6.1 для Windows.
Опасность: Высокая.
Описание: Уязвимость существует из-за того, что прило-
жение регистрирует на системе URI обработчик «cai», ко-
торый позволяет выполнение rcplauncher.exe с произволь-
ными аргументами командной строки. Удаленный поль-
зователь может с помощью специально сформированно-
го аргумента «-launcher» выполнить произвольные коман-
ды в системе.
URL производителя: www-306.ibm.com/software/lotus/
products/expeditor.
Решение: Установите исправление с сайта производителя.
Раскрытие данных в Sun Java System
Application Server и Web Server
Программа: Sun Java System Application Server версии
до 7.0.0 2004Q2 R6; Sun Java System Web Server версии до 6.1
SP8; Sun Java System Web Server версии до 7.0 Update 1.
Опасность: Средняя.
Описание: Уязвимость существует из-за неизвестной
ошибки, которая позволяет удаленному пользователю про-
смотреть исходный код JSP-файлов. Подробности уязви-
мости не сообщаются.
URL производителя: www.sun.com.
Решение: Установите исправление с сайта производителя.
Множественные уязвимости в rdesktop
Программа: rdesktop 1.5.0, возможно, более ранние вер-
сии.
Опасность: Средняя.
Описание: 1. Уязвимости существуют из-за потери значи-
мости целочисленных при обработке RDP-запросов в функ-
ции iso_recv_msg(). Удаленный пользователь может с помо-
щью специально сформированного RDP-запроса вызвать
переполнение динамической памяти и выполнить произ-
вольный код на целевой системе с привилегиями пользо-
вателя, запустившего rdesktop.
2. Уязвимость существует из-за ошибки в коде, обра-
батывающем перенаправляющие RDP-запросы в функ-
ции process_redirect_pdu(). Удаленный пользователь мо-
жет с помощью специально сформированного RDP-запро-
са вызвать переполнение буфера и выполнить произволь-
ный код на целевой системе.
3. Уязвимость существует из-за ошибки при обработ-
ке знаковых целочисленных в функции channel_process().
Удаленный пользователь может вызвать переполнение ди-
намической памяти и выполнить произвольный код на це-
левой системе.
Для успешной эксплуатации уязвимостей злоумышлен-
ник должен обманом заставить пользователя подключить-
ся к специально сформированному RDP-серверу.
URL производителя: www.rdesktop.org.
Решение: Установите исправление с сайта производителя.
№5, май 2008
bugtraq
Множественные уязвимости в PHP
Программа: PHP-версии до 5.2.6.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за неизвестной
ошибки в FastCGI SAPI. Удаленный пользователь может
вызвать переполнение стека.
2. Уязвимость существует из-за неизвестной ошибки
в функциях escapeshellcmd() и escapeshellarg() при обработ-
ке неполных многобайтных символов. Удаленный пользо-
ватель может обойти ограничения безопасности директив
safe_mode_exec_dir и disable_functions и потенциально вы-
полнить произвольные команды на системе.
3. Уязвимость существует из-за ошибки в механиз-
ме трансляции пути в файле cgi_main.c. Удаленный поль-
зователь может выполнить произвольный код на целевой
системе.
4. Уязвимость существует из-за ошибки в cURL. Зло-
умышленник может обойти ограничения директивы safe_
mode.
5. Уязвимость существует из-за ошибки проверки гра-
ниц данных в PCRE. Удаленный пользователь может вы-
звать отказ в обслуживании или скомпрометировать це-
левую систему.
URL производителя: www.php.net.
Решение: Установите последнюю версию 5.2.6 с сайта
производителя.
Уязвимость в службе печати
в Sun Solaris
Программа: Sun Solaris 8, 9, 10.
Опасность: Высокая.
Описание: Уязвимость существует из-за неизвестной
ошибки в службе печати. Удаленный пользователь мо-
жет вызвать отказ в обслуживании и выполнить произ-
вольный код на целевой системе с привилегиями пользо-
вателя root.
URL производителя: www.sun.com.
Решение: Установите исправление с сайта производителя.
Несколько уязвимостей в ядре Linux
Программа: Linux kernel 2.6.25.2 и более ранние версии.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за отсутствия про-
верки прав доступа в функции sys_utimensat(). Локальный
пользователь может вызвать отказ в обслуживании.
2. Уязвимость существует из-за утечки памяти в функ-
ции «ipip6_rcv()», входящей в состав тоннельного драйвера
IPv6 over IPv4 (SIP). Удаленный пользователь может с помо-
щью специально сформированного сетевого пакета потре-
бить все доступные системные ресурсы.
URL производителя: www.kernel.org.
Решение: Установите последнюю версию ядра 2.6.25.3
с сайта производителя.
Составил Александр Антипов
17
 администрирование

SharePoint в качестве платформы

документооборота
Работаем с workflow в WSS 3.0 и MOSS 2007

Нелли Садретдинова
Одна из самых долгожданных возможностей Windows SharePoint Services 3.0 (WSS 3.0)
и Microsoft Office SharePoint Server 2007 (MOSS 2007) – поддержка рабочих процессов
(workflow). Что представляют из себя эти возможности и действительно ли новый функционал
превращает SharePoint в полноценную платформу для документооборота?

Особенности рабочих n сбор подписей; ваться задачи, или указать, что будет
процессов в SharePoint n утверждение; создан новый список задач.
Рабочие процессы в SharePoint привя- n утверждение ликвидации; Каждый стандартный рабочий
заны к спискам или библиотекам до- n три этапа. процесс предполагает собственные
кумента. Запускаться они могут ав- настройки. Процесс «Сбор отзывов»
томатически при создании или изме- Смысл первых четырех процес- включает указанные на рис. 3.
нении элемента, или могут быть запу- сов очевиден из их названия. Поясню, Дополнительно можно указать ад-
щены пользователем вручную из кон- что означает «три этапа». Для запуска рес для отправки копий отзыва прочим
текстного меню элемента списка или такого процесса необходимо, чтобы пользователям и ряд параметров за-
документа библиотеки. Если напи- у библиотеки документов или списка вершения рабочего процесса.
сать собственный обработчик событий, было свойство типа «Выбор» как ми- При запуске процесса может пот-
то можно запускать процесс и по дру- нимум с тремя вариантами выбора, на- ребоваться заполнение дополнитель-
гим событиям. пример, «Планируется», «Утверждает- ных параметров. Например, форму как
Общие настройки рабочих процес- ся» и «Завершено». При запуске про- на рис. 4 нужно заполнить при запус-
сов определяются на сайте централь- цесса значение свойства равно перво- ке процесса «Сбор отзывов».
ного администрирования. Здесь мож- му варианту, т.е. «Планируется». Пос- Не буду останавливаться на типо-
но указать, разрешено ли создание ра- ле завершения первой задачи процес- вых процессах, работа с которыми ин-
бочих процессов для данного веб-при- са пользователем (например, завер- туитивно понятна. Расскажу подроб-
ложения, разрешить ли отправку доку- шения работы над документом) зна- нее о процессе сбора подписей, запус-
ментов внешним пользователям, изве- чение поля «Состояние» меняется на тить который можно только из клиент-
щать ли пользователей, не имеющих второй вариант – «Утверждается», пос- ских приложений Microsoft Office 2007.
доступа к узлу, о назначении им задач ле завершения второй задачи (напри- Допустим, имеется библиотека до-
рабочего процесса. По умолчанию соз- мер, утверждения документа руково- кументов, к которой добавлен стан-
дание рабочих процессов разрешено. дителем) это поле получает последнее дартный процесс «Сбор подписей».
значение – «Завершено» и процесс за- Чтобы запустить процесс, необходи-
Создание рабочих вершается (см. рис. 1). мо открыть документ из библиотеки
процессов Создать стандартный рабочий в MS Word 2007. На вкладке «Встав-
Какие инструменты предоставляет процесс можно из раздела «Парамет- ка» нужно выбрать «Строка подписи →
SharePoint для создания рабочих про- ры → Параметры рабочих процессов» Строка подписи Microsoft Office».
цессов? списка или библиотеки документов Появится форма настройки под-
Во-первых, в составе SharePoint (см. рис. 2). писи, которую необходимо заполнить
уже имеются пять готовых шаблонов Стандартные рабочие процессы (см. рис. 5).
рабочих процессов, запустить и на- предполагают создание задач для Затем можно запустить процесс
строить которые можно посредством участвующих в процессе пользовате- из общего меню Word (см. рис. 6).
веб-интерфейса. Это: лей. При создании процесса можно вы- После выбора процесса «Сбор под-
n сбор отзывов; брать список, в котором будут созда- писей» появится форма, где нужно ука-

18
 администрирование
зать, кто должен подписать документ
(см. рис. 7).
Чтобы подтвердить подставленное
по умолчанию из предыдущей формы
значение, нужно нажать кнопку с га-
лочкой справа от поля. После этого
станет активной кнопка «Начать».
В результате запуска рабочего про-
цесса будет создана задача по сбору
подписи в соответствующем списке за-
дач (см. рис. 8).
Обратите внимание, что так как
в настройках сервера запрещено соз-
дание задач для внешних участников,
задача будет автоматически перена-
правлена внутреннему пользователю.
Форма подробной информации
о задаче включает возможности деле-
гирования задачи другому пользовате-
лю или ее отмены (см. рис. 9).
Подписать документ можно, от- Рисунок 1. Настройка трехэтапного рабочего процесса
крыв документ в MS Word. При этом
будет выдано предупреждение, что
для проверки подлинности подписи
другими лицами необходимо получить
цифровое удостоверение от партне-
ров Microsoft. Если такой необходимос-
ти нет, можно создать свою цифровую
подпись. Вот так будет выглядеть гото-
вая подпись (см. рис. 10).

Создание рабочих
процессов с помощью
SharePoint Designer
Создавать простые рабочие процессы
без написания кода можно с помощью
редактора Microsoft Office SharePoint
Designer [2]. Для этого необходимо
открыть в редакторе узел SharePoint
и выбрать пункт меню «Файл → Соз-
дать → Рабочий процесс».
Откроется мастер создания рабо-
чих процессов. На первом шаге необ- Рисунок 2. Добавление рабочего процесса
ходимо выбрать список или библиоте-
ку, к которой будет привязан процесс, n проверка, находится ли дата созда- Обращаю отдельное внимание на
указать способы его запуска. Мож- ния элемента в определенном про- полезное действие «Записать в жур-
но также задать список переменных межутке времени; нал», которое позволяет хотя бы ми-
(см. рис. 11). n проверка, кем был изменен эле- нимально отлаживать процессы, от-
После чего можно приступить краз- мент; слеживая значения переменных в жур-
работке процесса. Он может включать n проверка, кем был создан эле- нале.
один или несколько шагов. На каждом мент. У процессов, созданных с помощью
шаге можно выполнять одно или не- SharePoint Designer, есть ряд сущест-
сколько действий при каких-либо за- По умолчанию в SharePoint Designer венных недостатков:
данных условиях. Такими условиями имеется 22 возможных действия: от- n процесс может работать только
могут быть: правка сообщения по почте, назна- с тем списком (библиотекой), к ко-
n проверка значения переменной; чение задачи, установка значения торому он привязан;
n проверка, находится ли дата изме- свойства текущего элемента, присво- n нет функционала для реализации
нения элемента в определенном ение значения переменной и другие циклов/обработки коллекций зна-
промежутке времени; (см. рис. 12). чений;

№5, май 2008 19

 администрирование
Рисунок 3. Настройка рабочего процесса «Сбор отзывов»
n процессы нельзя отлаживать (за ис-
ключением явной записи значений
переменных в журнале);
n нет интеграции с InfoPath/возмож-
ности разработки собственных
форм.
Впрочем, можно расширить функ-
циональность процессов, создавае-
мых в SharePoint Designer.
Рисунок 4. Запуск рабочего процесса «Сбор отзывов»
20
Для этого можно написать собс-
твенные действия (Custom Activity).
В такое действие, например, можно по-
местить запрос к другому списку, и та-
ким образом обойти одно из ограниче-
ний SharePoint Designer.
Создание Custom Activity
Создать собственное действие можно
с помощью MS Visual Studio. Для рабо-
ты с workflow в Visual Studio необходимо
предварительно скачать и установить
WWF Visual Studio Extensions [5].
Чтобы создать Custom Activity
для SharePoint, нужно указать в спис-
ке ссылок (References) библиоте-
ки Microsoft.Sharepoint.dll и Microsoft.
Sharepoint.WorkflowActions.dll (нахо-
дятся в папке «%PROGRAMFILES%\
Common Files\Microsoft Shared\Web
Server Extensions\12\ISAPI\»).
Примеры Custom Activity можно
найти в Enterprise Content Management
Starter Kit for 2007 Office System (ECM
Starter Kit), который можно скачать на
сайте Microsoft в составе MOSS SDK[1].
Для разработки собственных дейст-
вий в Visual Studio необходимо соз-
дать проект типа Workflow Activity
Library (библиотека действий), для
каждого действия описать необходи-
мые свойства (входные и выходные
параметры) и, наконец, переопреде-
лить метод «Execute(ActivityExecution
Context executionContext)», в котором
и выполняется действие.
Пример простейшего действия, ко-
торое получает электронный адрес
пользователя по его логину:
 администрирование
using System; //Переопределяем метод, в котором выполняется
using System.ComponentModel; //само действие
using System.ComponentModel.Design; protected override ActivityExecutionStatus ↵
using System.Collections; Execute(ActivityExecutionContext ↵
using System.Drawing; executionContext) {
using System.Workflow.ComponentModel; SPWeb web = this.__Context.Web;
using System.Workflow.ComponentModel.Design; SPUser user;
using System.Workflow.ComponentModel.Compiler; if (Login != "") {
using System.Workflow.ComponentModel.Serialization; user = web.AllUsers[Login];
using System.Workflow.Runtime; if (user != null) {
using System.Workflow.Activities; Email = user.Email;
using System.Workflow.Activities.Rules; }
using Microsoft.SharePoint; }
using Microsoft.SharePoint.WorkflowActions; return base.Execute(executionContext);
}
namespace MyActivities }
{ }
public partial class getEmail: SequenceActivity
{ Dll, содержащую библиотеку действий, необходимо под-
public getEmail() {
InitializeComponent(); писать ключом strongnamekey (это также можно сделать
} с помощью Visual Studio, в меню «Свойства проекта», вклад-
//Описываем свойство __Context, в нем хранится
//информация о веб-приложении, из которого было ка «Signing») и скопировать в Global Assembly Cache (GAC)
//вызвано действие (папка «%SYSTEMDRIVE%:/windows/assembly») на серве-
public static DependencyProperty ↵
__ContextProperty = System.Workflow. ↵ ре SharePoint.
ComponentModel.DependencyProperty.Register ↵ Новую библиотеку с действиями необходимо указать в
("__Context", typeof(WorkflowContext), ↵
typeof(getEmail)); файле web.config для того веб-приложения, где эти действия
[Description("Context")] понадобятся. В секцию «<System.Workflow.ComponentModel.
[ValidationOption(ValidationOption.Required)]
[Browsable(true)] WorkflowCompiler>» нужно добавить следующую строку:
[DesignerSerializationVisibility ↵
(DesignerSerializationVisibility.Visible)] <authorizedType Assembly=" MyActivities, Version=1.0.0.0, ↵
public WorkflowContext __Context { Culture=neutral, PublicKeyToken= e5a54ffdbc212e2a ↵
get { " Namespace="MyActivities" ↵
return ((WorkflowContext)(base.GetValue ↵ TypeName="*" Authorized="True" />
(getEmail.__ContextProperty)));
}
set {
base.SetValue(getEmail.__ContextProperty, ↵ Наконец, чтобы SharePoint Designer показывал описание
value); действия и поля для ввода/вывода параметров, действие
}
} необходимо описать в специальном файле с расширением
//Описываем свойство, в котором будет храниться .ACTIONS, который нужно сохранить «%PROGRAMFILES%\
//логин пользователя
public static DependencyProperty ↵ Common Files\Microsoft Shared\web server extensions\12\
LoginProperty = System.Workflow. TEMPLATE\[LCID]\Workflow», где [LCID] – языковой идентифи-
ComponentModel.DependencyProperty.Register ↵
("Login", typeof(string), typeof(getEmail)); катор, для русского языка это 1049, для английского – 1033.
[Description("Login")] Например, файл .ACTIONS для вышеприведенного
[ValidationOption(ValidationOption.Required)]
[Browsable(true)] действия будет выглядеть так:
[DesignerSerializationVisibility ↵
(DesignerSerializationVisibility.Visible)] <?xml version="1.0" encoding="utf-8" ?>
public string Login { <WorkflowInfo>
get { <Actions Sequential="then" Parallel="and">
return ((string)(base.GetValue ↵ <Action Name="Получить email по логину пользователя"
(getEmail.LoginProperty))); ClassName="MyActivities.getEmail"
} Assembly="MyActivities, Version=1.0.0.0, ↵
set { Culture=neutral, PublicKeyToken=e5a54ffdbc212e2a"
base.SetValue(getEmail.LoginProperty, ↵ AppliesTo="all"
value); Category="Custom Actions">
} <RuleDesigner Sentence="Получить по %1 его %2">
} <FieldBind Field="Login" ↵
//Описываем свойство, в котором будет храниться Text="логину сотрудника" Id="1" ↵
//электронный адрес пользователя DesignerType="TextArea" />
public static DependencyProperty ↵ <FieldBind Field="Email" Text="email" ↵
EmailProperty = System.Workflow. ↵ Id="2" DesignerType= ↵
ComponentModel.DependencyProperty.Register ↵ "ParameterNames" />
("Email", typeof(string), typeof(getEmail)); </RuleDesigner>
[Description("Email")] <Parameters>
[Category("Email")] <Parameter Name="__Context" ↵
[Browsable(true)] Type="Microsoft.SharePoint. ↵
[DesignerSerializationVisibility ↵ WorkflowActions.WorkflowContext" ↵
(DesignerSerializationVisibility.Visible)] Direction="In" />
public string Email { <Parameter Name="Login" ↵
get { Type="System.String, ↵
return ((string)(base.GetValue ↵ mscorlib" Direction="In" />
(getEmail.EmailProperty))); <Parameter Name="Email" ↵
} Type="System.String, ↵
set { mscorlib" Direction="Out" />
base.SetValue(getEmail.EmailProperty, ↵ </Parameters>
value); </Action>
} </Actions>
} </WorkflowInfo>

№5, май 2008 21

 администрирование

Рисунок 5. Настройка подписи

в MS Office

Рисунок 7. Запуск рабочего процесса «Сбор подписей» из MS Word

Рисунок 8. Задачи рабочего процесса

Рисунок 6. Пункт меню

«Рабочие процессы» в MS Word

Рисунок 10. Готовая подпись

в документе MS Word Рисунок 9. Форма работы с задачей по сбору подписи

DesignerType указывает редактору, n Operator Создание рабочих

как отображать поле для ввода/вывода n ParameterNames процессов с помощью
параметра. Возможны следующие ва- n Person Visual Studio
рианты значения поля DesignerType: n SinglePerson Более сложные рабочие процессы,
n ChooseDocLibItem n StringBuilder в том числе с обращением к внешним
n ChooseListItem n Survey данным и системам, можно разрабо-
n CreateListItem n TextArea тать с помощью Visual Studio. WSS 3.0
n Date n UpdateListItem работает с .Net Framework 3.0 и поддер-
n Dropdown n WritableFieldNames живает технологию Windows Workflow
n Email Foundation (WWF).
n Integer После перезагрузки IIS действие Процессы WWF бывают двух ви-
n FieldNames будет доступно в редакторе процессов дов – последовательные (sequential)
n ListNames SharePoint Designer (см. рис. 13). и типа «конечный автомат» (state

22

Рисунок 11. Создание рабочего процесса в MS SharePoint Designer
machine). Пример последовательного
процесса – рабочий процесс, создан-
ный с помощью SharePoint Designer,
когда шаги выполняются по очере-
ди, пока последнее действие не за-
вершится.
«Конечный автомат» представля-
ет собой набор состояний, переходов
и действий. В результате определен-
ного события может происходить пе-
реход от одного состояния к друго-
му, в процессе перехода выполняют-
ся некоторые действия. Переход в ко-
нечное состояние означает заверше-
ние процесса.
ECM Starter Kit включает шаблоны
рабочих процессов, а также примеры
готовых рабочих процессов – как пос-
ледовательных, так и типа «конечный
автомат».
В Visual Studio после установки
WWF Visual Studio Extensions появля-
ется специальная палитра компонен-
тов для работы с Workflow. Общую схе-
му процесса можно строить с помощью
визуального редактора (см. рис. 14).
Но даже для разработки простого
процесса WWF в Visual Studio потре-
буется написание кода и ряд действий
по настройке, поэтому в рамках ста-
тьи я не буду рассматривать эту зада-
чу подробно. Руководство для разра-
ботчика вы можете найти в MSDN [3]
или в MOSS SDK [1].
В рабочих процессах можно ис-
пользовать три вида форм:
n для запуска процесса и установки
первоначальных параметров;
№5, май 2008
n для корректировки параметров
и состояния, когда процесс уже ра-
ботает;
n для взаимодействия с пользова-
телем, когда ему требуется выпол-
нить задачу в рамках рабочего про-
цесса.
Для разработки форм можно вос-
пользоваться редактором Microsoft
Office InfoPath, однако для интегра-
ции workflow с формами InfoPath не-
обходима корпоративная лицензия
SharePoint (Enterprise Edition). Чтобы
рабочий процесс мог получить инфор-
мацию из формы, необходимо создать
соответствующий класс с описанием
данных. Это можно сделать следую-
щим образом:
n сохранить из InfoPath для этой фор-
мы файл со схемой .xsd;
n с помощью утилиты xsd.exe, кото-
рая доступна из командной стро-
Рисунок 12. Создание шагов рабочего процесса в MS SharePoint Designer
администрирование
ки Visual Studio, автоматически
сгенерировать соответствующий
C#‑класс;
n включить этот класс в проект с ра-
бочим процессом.
Опубликовать готовый рабочий
процесс на сервере можно с помощью
feature (возможность) – описать ин-
формацию о рабочем процессе в xml-
файлах специального формата, кото-
рые необходимо разместить в дирек-
тории «%PROGRAMFILES%\Common
Files\Microsof t Shared\web ser ver
extensions\12\TEMPLATE\FEATURES\
[Название feature]». После этого воз-
можность установливается и активи-
руется с помощью специальных ко-
манд утилиты stsadm. Подробное ру-
ководство по использованию возмож-
ностей можно найти в MSDN [4] или
в MOSS SDK [1].
В отличие от процессов, разрабо-
танных с помощью SharePoint Designer,
процессы W WF можно запускать
из любой библиотеки документов или
списка, точно так же, как и стандарт-
ные процессы.
С помощью Visual Studio мож-
но также отлаживать рабочие про-
цессы – устанавливать брейкпойнты,
просматривать переменные. Для от-
ладки рабочего процесса необходи-
мо запустить Visual Studio на серве-
ре, установить необходимые брейк-
пойнты и выбрать пункт меню «Attach
to process…». Далее нужно установить
галочки «Show processes from all users»
и «Show processes in all sessions» и вы-
брать процесс «w3wp.exe» (если та-
ких процессов несколько, то выбрать
все). Если такого процесса в списке
нет, откройте в браузере один из сай-
тов, который использует соответству-
23
 администрирование
Рисунок 13. Готовое действие (Custom Activity) в MS SharePoint Designer
ющее приложение SharePoint, и обно-
вите список процессов.
Отладку процессов не рекоменду-
ется проводить на рабочем сервере,
т.к. это может существенно отразить-
ся на его быстродействии.
Мониторинг процессов
Просмотреть состояние рабочего про-
цесса можно из списка (библиотеки
документов), где процесс был создан.
В представлении данных рядом с до-
кументом, к которому привязан про-
цесс, появляется колонка с названи-
ем процесса, в которой отображается
его состояние – «В ходе выполнения»,
«Завершен» или «Ошибка».
Если нажать на состояние процес-
са, можно просмотреть подробную ин-
формацию о его состоянии и журнал
процесса (см. рис. 15, 16).
В свойствах списка/библиотеки,
в разделе «Параметры рабочих про-
цессов» доступны отчеты в формате
xslx по рабочим процессам в данном
списке/библиотеке: отчет о длитель-
ности работы и отчет об отменах
и ошибках. Это отчеты представляют
собой сводную таблицу на основе жур-
нала процессов.
Платформы для работы
с workflow, интегрируемые
с SharePoint
И все-таки в качестве платформы
для реализации сложных систем до-
кументооборота с множеством процес-
сов SharePoint на данном этапе остав-
ляет желать лучшего.
24
Во-первых, в SharePoint нет средств
полноценного мониторинга запущен-
ных процессов. Невозможно просмот-
реть в едином списке все запущенные
на сервере процессы, невозможно про-
смотреть, на каком шаге находится те-
кущий процесс (если только записывать
явным образом в журнал информацию
о завершении каждого действия), и тем
более увидеть это на схеме процесса.
Да и сами схемы процессов доступны
только программистам, у которых уста-
новлен Visual Studio. Отсутствуют сред-
ства поиска процессов, информирова-
ния администратора об ошибках, пост-
роения сквозной отчетности по процес-
сам из нескольких списков.
Рисунок 14. Работа с workflow в Visual Studio
Во-вторых, инструменты разра-
ботки процессов все еще оставляют
желать лучшего. Хотя WWF и предо-
ставляет достаточно мощные возмож-
ности для разработки процессов, од-
нако при этом требуется участие вы-
сококвалифицированных програм-
мистов, к чему готовы далеко не все
организации. Простой инструмент –
SharePoint Designer – предоставляет
лишь весьма ограниченные возмож-
ности и не позволяет отобразить про-
цесс графически.
Логичным представляется исполь-
зование некоторой внешней платфор-
мы для поддержки workflow, которая
хорошо интегрируется с SharePoint, ис-
пользуя все его преимущества.
Одним из таких вариантов может
быть Microsoft Biztalk Server. Его внед-
ряют в тех случаях, когда помимо
human workflow (т.е. процессов с учас-
тием людей) требуется сложное меж-
системное взаимодействие, например,
в биллинговых системах.
Однако Biztalk Server – мощная
и дорогая платформа, использова-
ние которой не всегда оправдано. Бо-
лее подходящие и более экономич-
ные решения можно найти у сторон-
них производителей или партнеров
Microsoft. Например, российский про-
граммный продукт Docsvision (http://
docsvision.com) включает как собствен-
ные средства разработки процессов,
так и поддержку WWF, а дополнитель-
ный шлюз обеспечит взаимодействие
 администрирование
с SharePoint. Свои решения для орга-
низации workflow, интегрированные
с SharePoint, предлагают также мно-
гие западные разработчики, напри-
мер: Captaris (http://www.captaris.com),
Skelta (http://www.skelta.com), K2 (http://
www.k2workflow.com), Nintex (http://
www.nintex.com) и др.

Заключение
Стандартные процессы SharePoint мо-
гут покрыть лишь минимальные пот-
ребности документооборота в неболь-
шой компании. Редактор SharePoint
Designer, особенно при участии про-
граммиста для разработки Custom
Activity, существенно расширяет воз-
можности создания рабочих процес-
сов, и с его помощью можно автомати-
зировать ряд типовых задач по работе
с документами. Однако если требуют-
ся более сложные процессы, включаю-
щие взаимодействие с внешними сис-
темами, необходима разработка WWF
с помощью Visual Studio и квалифици-
рованных программистов.
Таким образом, если workflow ис-
пользуется в небольшом объеме и для
построения несложных процессов,
то возможностей самого SharePoint
для поддержки рабочих процессов мо-
жет оказаться достаточно.
Если же требуется пос троить
сложную систему документооборо-
Рисунок 15. Состояние всех процессов, относящихся к документу
та со многими рабочими процессами,
то стоит задуматься, использовать ли
SharePoint или предпочесть иную плат-
форму. Причем если в организации
для других целей SharePoint уже ак-
тивно применяется, то имеет смысл
использовать платформу с возмож-
ностью интеграции с SharePoint, бла-
го производители предлагают непло-
хой выбор вариантов.
1. Enterprise Content Management Starter
Kit for 2007 Office System – доступен
в составе SharePoint Server 2007 SDK –
http://www.microsoft.com/downloads/
details.aspx?FamilyID=6d94e307-67d9-
41ac - b 2d 6 - 0 074 d 6 28 6 fa 9& D i s p l ay
Lang=en.
2. Microsoft Office SharePoint Designer –
h t t p: //o f f i c e . m i c r o s o f t .c o m /e n - u s /
sharepointdesigner/default.aspx.
3. MSDN Developer Introduction to Workflows
for Windows SharePoint Services 3.0
and SharePoint Server 2007 – http://
msdn2.microsoft.com/en-us/librar y/
ms406057.aspx.
4. MSDN. Working with features – http://
msdn2.microsoft.com/en-us/librar y/
ms460318.aspx.
5. V i s u a l S t u d i o 2 0 0 5 e x t e n s i o n s
for .NET Framework 3.0 (Windows
Wo r k f l ow Fo u n d at i o n) – h t t p: //
w w w.mi c rosof t .c o m /d ownl oad s /
d e t a i l s . a s px ?Fa m i l y I D = 5 d 614 0 9 e -
1f a 3 - 4 8 c f - 8 0 2 3 - e 8 f 3 8 e7 0 9 b a 6 &
DisplayLang=en.

Рисунок 16. Подробная информация о текущем процессе «Три этапа»

№5, май 2008 25

 г р а т ь
а в ы и
шанс с п ар т н
е р а ми
ые

Три
с т н о о т о р
с о вм е и з о в, к
р» хп р
трато ыш а ни с ыгр
а д м и в р о з
8 го да.
те м ный у ч а с ти е и и 200
Сис я ть л уго д
а л « п р и н п о
Журн т Вас в тор о м
гл а ш а е
ь с я в о  
те м ный
пр и т «Си с
п р о води л а х
буду
т
г р ы шах: в ж ур на 0 8 года.
в р оз ы е к о ды
о д и е 20
a m a g.ru
у ч ас тия ц и а льны ое полуг а w w w.s
Д ля и т е с пе з а в тор ж у р на л
О тыщ р а тор» а с а йте а л о в.
 ни с т е сь н ». ж ур н
д м и у й т р и з и з
а егистрир и н с кий П йте коды
ар дм ру
 З зделе «А но активи
ра
в ледовате
ль р и зов:
о с р ы ш а п
те к оды
 П 3 р о з ыг т и в и руй
о д и тьс я А З »: ак д.
п р о в
р и з « Р
0 0 8 го
е ко ды
т за 2 т
Буде н с к ий П 8 , 9 т и в и руй
А дми л о в №7, В А »: ак год.
 у р н а и з « Д 2 0 0 8 коды
з ж П р з а уй те ода.
и с к и й 1 1, 12 в и р 0 8 г
А д мин о в № 10,
И »: ак т и о д и е 20
 у р на л и з «ТР е п олуг
з ж йП р тор о
и с к и з а в
А д м и н ур на ло в
 с е хж
з в
и
 Приз
нск ий
ми
Ад РАЗ»
П р из «
м и н с к ий атор
Ад н и к
К о мму к ур с ы

б н ы е р од ук ты с е р в ер ы
че еп е
 У граммны ыделенны
ро в
 П туальные
ир
 В В А»
« Д
й П р из
нс к и
А д м и
н и к атор
К о мму к ур с ы

б н ы е р од ук ты с е р в ер ы
че еп е
 У граммны ыделенны
ро в
 П туальные
ир
 В РИ»
з «Т
к и й При
нс
Адми тбук
оу ы
 Н бные курс родукты
У че м н ы еп
 г р ам
р о
 П
т ся...
чинае
ко на
о ль
Все т

Более подробную информацию о сроках и правилах проведения розыгрышей призов смотрите на сайте журнала – www.samag.ru
 администрирование

Устанавливаем и настраиваем
систему мониторинга сети
OpenNMS

Андрей Семенов
Когда количество активного оборудования и серверов в сети неуклонно растет,
а контролировать работоспособность и качество предоставляемых сервисов становится все
сложнее, на помощь приходит система мониторинга сети OpenNMS.

Кратко о системе чения (Open Source). Кроме обычной нической поддержки 24х7 и обучения
мониторинга OpenNMS для Open Source-проектов поддержки персонала.
OpenNMS [1] – система мониторинга сообществом пользователей, произво- Данная система реа лизована
сетевой инфраструктуры уровня пред- дитель предоставляет многоуровневое на Java, поэтому появляется такое по-
приятия, распространяемая по моде- коммерческое сопровождение продук- ложительное качество, как кроссплат-
ли свободного программного обеспе- та: от внедрения до обеспечения тех- форменность.

28

Поддерживаются ОС:
n Linux:
 Debian Etch и Lenny (x86 и x86_64);
 Red Hat Enterprise Linux/CentOS (3, 4 и 5; x86
и x86_64);
 Fedora Core (версии с 2 по 8, x86 и x86_64);
 Mandriva 2007 и 2008;
 SuSE (9 и 10).
n Solaris 8, 9, и 10 (SPARC и x86);
n Mac OS X (10.4+, PowerPC и x86);
n Windows 2000, XP, 2003 (Vista и Server 2008 не тестиро-
вались).
Теоретически OpenNMS может запуститься на любой
платформе, поддерживающей Java SDK 1.4 и выше. Также
к положительным качествам можно отнести модульность
системы и возможность развертывания частей системы
на раздельных серверах (СУБД, демоны сбора статистики
и веб-интерфейс могут быть разнесены). Конечно, можно
добавить и ложку дегтя: за Java-реализацию, обеспечив-
шую кроссплатформенность, пришлось заплатить увели-
чением потребления ресурсов.
Система OpenNMS отвечает за мониторинг функцио-
нирующих в сетевой инфраструктуре сервисов, таких как
Web, DNS, DHCP, сервисы СУБД (Oracle, MSSQL, PostgreSQL
и др.), однако информация о состоянии сетевых устройств
также доступна.
В системе упрощены способы добавления новых сете-
вых устройств для мониторинга, и общий принцип работы
основан на автоматическом обнаружении (discovery) сете-
вых устройств. Обнаружение состоит из двух частей – оп-
ределение интерфейсов (IP-адресов) и определение функ-
ционирующих на этих интерфейсах сервисов. Определение
интерфейсов осуществляется на основе протокола ICMP
(Ping), а определение сервисов – с помощью сборщиков
(collectors). На данный момент существует несколько сбор-
щиков, но далее мы подробно рассмотрим сбор статисти-
ки, основанный на протоколе SNMP.
Основной единицей мониторинга системы является ин-
терфейс (interface), который уникально определяется на ос-
нове IP-адреса. Сервисы (services) привязаны к интерфей-
сам, а интерфейсы, расположенные на одном устройстве,
группируются в узел (node).
Что ж, давайте не будем упускать шанс оценить качест-
во системы и удобство работы с ней самостоятельно, не по-
лагаясь на рекламные строчки и чужие мнения. Присту-
пим к установке.
Установка в дистрибутиве Fedora 8 Linux
Перед началом установки хотелось бы предупредить вас
о некоторых тонкостях. Во-первых, для текущей версии
OpenNMS 1.5.90 сервер PostgreSQL [4] ветки 8.3.Х не под-
держивается, так что устанавливать будем сервер ветки 8.2.
Во-вторых, начиная с версии OpenNMS 1.3.6 в составе дис-
трибутива отсутствует библиотека jicmp, которую необхо-
димо будет загрузить отдельно [2].
Также для работы системы нам понадобится JDK [3].
Уточню, что необходима именно версия JDK (Java Developer
Kit), а не JRE (Java Runtime Environment), так как веб-интер-
№5, май 2008
администрирование
фейс написан на Java/JSP, а для компиляции JSP в сервлет
необходим компилятор Java, который отсутствует в JRE.
Установка JDK
Java Development Kit (JDK) можно скачать с сайта компа-
нии Sun [3] либо установить с помощью yum из репозито-
рия Tigro [5].
Если данный репозиторий у вас не подключен, то мож-
но установить его через RPM-менеджер:
rpm -ihv http://mirror.yandex.ru/fedora/tigro/8/i386/ ↵
tigro-release-8-1.i386.rpm
После установки репозитория можно воспользовать-
ся yum:
yum install jdk
Хочу упомянуть об одном неприятном моменте: после
установки JDK в Fedora 8 необходимо выполнить ряд допол-
нительных шагов, чтобы заставить работать виртуальную
машину. Дело в том, что при попытке запуска любого Java-
приложения выдается ошибка следующего вида:
java: xcb_xlib.c:50: xcb_xlib_unlock: Assertion `c->xlib.lock' failed
Проблема всем давно известная (попробуйте поискать
в Google строку с ошибкой) [6] и решается в Fedora 8 сле-
дующим образом:
sed -i 's/XINERAMA/FAKEEXTN/g' /usr/java/jdk1.6.0_05/ ↵
jre/lib/i386/xawt/libmawt.so
Возможно, ваш путь к файлу libmawt.so будет отличать-
ся от приведенного выше.
Установка PostgreSQL
Если у вас еще не установлен PostgreSQL [4], то установим
с помошью yum:
yum install postgresql-server
Теперь выполним начальную инициализацию:
/sbin/service postgresql initdb
Далее необходимо задать базовые настройки серве-
ра. Для этого нужно отредактировать файлы pg_hba.conf
и postgresql.conf, находящиеся в /var/lib/pgsql/dat.
Правим файл pg_hba.conf:
local all all trust
host all all 127.0.0.1/32 trust
host all all ::1/128 trust
Файл postgresql.conf:
listen_addresses = 'localhost'
Еще раз напомню, что это тестовая установка и конфи-
гурационные файлы очень упрощены, проблемы безопас-
ности полностью игнорируются и доступ к серверу БД ни-
как не защищен.
29
 администрирование
Запускаем сервер:
/sbin/service postgresql start
и переходим к следующему шагу.
Установка OpenNMS
Есть несколько веток программы для установки: stable,
development и nightly snapshot, причем разработчикам ре-
комендуется использовать ветку development. На момент
написания статьи была доступна версия 1.5.90.
Для установки можно скачать установочный jar-файл,
но проще будет установить дополнительный репозиторий
OpenNMS для yum:
rpm -Uvh http://yum.opennms.org/repofiles/ ↵
opennms-repo-unstable-fc8.noarch.rpm
Данной командой мы установили репозиторий yum
для development-ветки OpenNMS. Теперь необходимо ус-
тановить пакет opennms с помошью yum:
yum install opennms
Дополнительно необходимо установить пакеты jrrd (оп-
ционально вместо rrd), jicmp и iplike:
yum install jrrd
yum install jicmp
yum install iplike
По умолчанию устанавливается веб-интерфейс
opennms-webapp-jetty для встроенного в OpenNMS контей-
нера сервлетов Jetty, но есть также версия веб-интерфейса
для Tomcat и называется opennms-webapp-standalone.
После успешной установки необходимо запустить
скрипт поиска установленной виртуальной машины Java:
cd /opt/opennms/bin
./runjava -s
Если по какой-то причине скрипт отработает некоррект-
но (например, вы установили JDK по нестандартному пути),
либо у вас установлено несколько разных JDK и вы хотите opennms/ и вводим имя пользователя «admin» и пароль
указать скрипту конкретную, то можно задать явный путь: «admin».
./runjava -S /usr/java/jdk1.6.0_5/bin/java
Теперь можно запускать скрипт начальной конфигу- затруднений и сводится к запуску файла opennms-installer-
рации:
./install -dis
Итак, если мы ничего не упустили, то скрипт отработа- (8.3 не поддерживается)[4]. Также отдельно устанавлива-
ет без ошибок. После завершения установочного скрипта ется библиотека jicmp [2], и путь к ней должен содержать-
не забываем посмотреть, все ли прошло хорошо:
- searching for jicmp:
- trying to load /usr/lib/libjicmp.so: OK
- searching for jrrd:
- trying to load /usr/lib/libjrrd.so: OK
- checking database version... 8.2
................................................................
30
Должны быть найдены библиотеки jicmp и jrrd. Если что-
то пошло не так, то можно явно задать пути поиска:
./install -disU -l /usr/lib/jni:/usr/lib
Также не забываем, что если мы устанавливаем базу дан-
ных OpenNMS на свежую инсталляцию СУБД PostgreSQL,
то пароль пользователя postgres пока пустой. Если же у вас
уже был установлен сервер PostgreSQL, то вам могут по-
надобиться опциональные аргументы для скрипта инстал-
ляции:
-A,--admin-password <arg>
// Пароль администратора сервера postgres
// (по умолчанию: '')
-a,--admin-username <arg>
// Имя администратора сервера postgres
// (по умолчанию: 'postgres')
-c,--clean-database
// Очистить существующую базу при создании
-D,--database-url <arg>
// JDBC УРЛ базы данных (по умолчанию:
// jdbc:postgresql://localhost:5432/)
-P,--database-name <arg>
// Имя базы данных PostgreSQL (по умолчанию: opennms)
-p,--password <arg>
// Пароль для базы данных opennms
// (по умолчанию: 'opennms')
-u,--username <arg>
// Имя пользователя БД opennms (по умолчанию: 'opennms')
Список всех возможных атрибутов можно просмот-
реть, набрав:
./install -help
После успешной начальной установки и конфигурации
можно запускать OpenNMS:
./opennms start
Теперь набираем в браузере строку http://127.0.0.1:8980/
Установка в Windows XP
Установка для Windows [7] не должна вызвать каких-либо
1.5.90.jar и следованию указаниям графического установ-
щика, поэтому подробно описывать процесс не имеет смыс-
ла. Перед установкой необходимо предварительно инстал-
лировать JDK не ниже 5 версии [3] и PostgreSQL ветки 8.2
ся в переменной окружения PATH.
Описание сетевой инфраструктуры
для мониторинга
Для более наглядного описания системы представим се-
бе, что мы настраиваем ее для мониторинга корпоратив-
ной сети предприятия с головным офисом и небольшой се-
 администрирование
тью филиалов. Каждый из филиалов
объединен с головным офисом в еди-
ную сеть (см. рис. 1).
Пусть адресное пространство кор-
поративной сети будет задано следу-
ющим образом:
n 10.10.10.0/24 – а д ресное про -
странство головного офиса, выде-
ленное для серверов, маршрутиза-
торов, коммутаторов, сетевых при-
нтеров и т. п.;
n 10.10.11.0/ 24 – а д рес ное про -
странство головного офиса для ра-
бочих станций пользователей;
n 10.10.12 .0/24 – а д ресное про -
странство офиса №1;
n 10.10.13.0/24 – а д ресное про -
странство офиса №2;
n 10.10.14.0/24 – а д ресное про - Рисунок 1. Общая схема сети организации с удаленными офисами
странство офиса №3.
n packets-per-second – количество генерируемых ICMP-па-
Наша сеть состоит из достаточного количества марш- кетов в секунду. Не стоит указывать слишком большое
рутизаторов (например Cisco 2800 серии в головном офи- число, если задержки в вашей сети велики.
се и маршрутизаторов попроще – Cisco серий 2600, 1800 n initial-sleep-time – время перед стартом процесса обнару-
и т. п.). На маршрутизаторах настроены SNMP-агенты раз- жения (в миллисекундах, значение по умолчанию – 5 ми-
личных версий, включая третью. Кроме того, имеются также нут). Задержка необходима для полного старта системы,
серверы, среди которых терминальные, серверы баз дан- перед тем как начнут генерироваться события (events).
ных, почтовые и т. п., на многих из которых также установ- n restart-sleep-time – время после окончания процесса
лены SNMP-агенты (например, с помощью Net-SNMP). обнаружения, через которое процесс будет повторно
запущен (в миллисекундах, значение по умолчанию –
Настройка диапазонов сетевого 24 часа).
обнаружения (Discovery) n timeout – время ожидания ответа от обнаруживаемого
Параметры обнаружения устройств описываются в файле IP-адреса.
discovery-cofiguration.xml. Уточню, что все конфигурацион- n retries – количество попыток обнаружения, если с пер-
ные файлы хранятся в каталоге openNMS-install-path\etc, вой попытки ничего не обнаружено.
где openNMS-install-path – путь установки OpenNMS. Ниже
представлен пример файла discovery-cofiguration.xml для на- Глобальные атрибуты можно переопределить внутри
шего варианта сетевой инфраструктуры: вложенных в тег <discovery-configuration> тегов.
n Тег <specific> – указывает определенный IP-адрес,
<discovery-configuration threads="1" packets-per-second="1" включенных в процесс обнаружения.
initial-sleep-time="30000"
restart-sleep-time="86400000" n Тег <include-range> – указывает диапазон IP-адресов,
retries="3" timeout="800"> включенных в процесс обнаружения.
<include-range retries="2" timeout="1500"> n Тег <exclude-range> – указывает диапазон IP-адресов,
<begin>10.10.10.1</begin> исключенных из процесса обнаружения.
<end>10.10.14.254</end>
</include-range> n Тег <include-url> – определяет файл со списком вклю-
<exclude-range> ченных в процесс обнаружения IP-адресов, один IP-ад-
<begin>10.10.11.1</begin>
<end>10.10.11.254</end> рес в каждой строке.
</exclude-range>
<specific>10.10.11.1</specific>
<include-url>file:/opt/OpenNMS/etc/moreip.txt ↵ Все вложенные теги необязательны, но возможно также
</include-url> их множественное добавление. Так, можно задать несколь-
</discovery-configuration>
ко диапазонов с помощью <include-range>, определить не-
Согласно приведенному файлу, будет осуществлять- сколько тегов <specific> и <include-url>.
ся опрос (посылаться ICMP ping) диапазона адресов Итак, при запуске системы OpenNMS по истечении вре-
10.10.10.0/24, 10.10.12.0/24, 10.10.13.0/24 и 10.10.14.0/24, а так- мени initial-sleep-time запускается процесс обнаружения ин-
же одиночного IP-адреса 10.10.11.1 и списка IP-адресов, ука- терфейсов. Если получен ответ на ICMP-запрос, то для об-
занных в файле /opt/OpenNMS/etc/moreip.txt. наруженного интерфейса регистрируется событие (event)
Опишем некоторые глобальные атрибуты по умолчанию, newSuspect, на основе которого в дальнейшем будет осу-
задаваемые в теге <discovery-configuration>: ществлена попытка обнаружения сервисов, функциониру-
n threads – количество потоков для опроса. ющих на данном интерфейсе. А что делать, если ICMP-за-

№5, май 2008 31

 администрирование
просы блокируются сетевым экраном? Для таких случа- Далее в конфигурационном файле идет описание сер-
ев существует альтернативный метод для регистрации со- висов (protocols). Определение сервисов основано на уста-
бытий newSuspect. В подкаталоге bin установленной сис- новлении TCP-подключения на определенный порт, но есть
темы openNMS находится Perl-скрипт send-event.pl, кото- также специальные классы для некоторых сервисов. Спи-
рый можно использовать для самостоятельной регистра- сок сервисов, поддерживаемых «из коробки» можно про-
ции данного события: смотреть в конфигурационном файле (возможно также
добавление дополнительных сервисов с помощью тега
/opt/opennms/bin/send-event.pl --interface ip-address ↵ <protocol-plugin>).
uei.opennms.org/internal/discovery/newSuspect
При обработке события newEvent, в случае, если IP-ад-
где «ip-address» – нужный IP-адрес. рес определен как «managed» демон capsd начинает ска-
Посмотреть на ход процесса обнаружения можно, загля- нирование сервисов в порядке их следования в конфигура-
нув в файл discovery.log, находящийся в подкаталоге logs ционном файле. Первым в конфигурационном файле ука-
установленной системы openNMS. зан протокол ICMP:

Настройка процесса обнаружения <protocol-plugin protocol="ICMP"

class-name="org.opennms.netmgt.capsd.IcmpPlugin"
сервисов (Capabilities daemon) scan="on" user-defined="false">
После того как зарегистрированы события newSuspect <property key="timeout" value="2000"/>
<property key="retry" value="2"/>
для обнаруженных интерфейсов, приходит время рабо- </protocol-plugin>
ты демона capsd (capabilities daemon). Его задачей являет-
ся распознавание всех функционирующих на интерфейсе Описание каждого сервиса заключено внутри тега
сервисов. Рассмотрим пример конфигурационного файла <protocol-plugin>. Данный тег содержит следующие атри-
capsd-configuration.xml. Конфигурация файла позволяет буты:
очень гибко управлять ходом процесса обнаружения сер- n protocol – название сервиса;
висов. В первых строчках определяются глобальные пара- n class-name – определяет класс, который будет исполь-
метры функционирования сервиса: зоваться для сканирования сервиса;
n scan – признак включения сканирования данного серви-
<capsd-configuration rescan-frequency="86400000" са («on» – сканирование сервиса включено, «off» – сер-
initial-sleep-time="300000"
management-policy="managed" вис не будет сканироваться);
max-suspect-thread-pool-size="6" n user-defined – добавление новых сервисов возможно
max-rescan-thread-pool-size="3"
abort-protocol-scans-if-no-route="false"> через веб-интерфейс. В таком случае атрибут примет
значение «true».
где:
n rescan-frequency – время, через которое происходит В каждом сервисе можно указывать дополнительные
повторное сканирование интерфейса на предмет об- параметры, определяемые через значения key и value внут-
наружения сервисов. ри тега <property>. Кроме того, применительно к каждому
n initial-sleep-time – время задержки после запуска сервису можно применять дополнительный тег <protocol-
openNMS перед началом сканирования сервисов. configuration>, в котором можно описывать группы IP-ад-
n management-policy – контролирует процесс сканиро- ресов, исключенные (или включенные) из сканирования.
вания сервисов. Если установлен в «managed» – то все Например:
события newSuspect будут обработаны, если же пара-
метр установлен в значение «unmanaged», то все собы- <protocol-plugin protocol="SNMP" class-name= ↵
"org.opennms.netmgt.capsd.plugins.SnmpPlugin"
тия newSuspect будут проигнорированы, и сканирование scan="on" user-defined="false">
не произойдет. Параметр можно переопределить в те-
<protocol-configuration scan="off" user-defined="false">
ге <protocol-configuration>, о котором будет рассказано <range begin="10.10.12.1" end="10.10.14.254"/>
дальше. <property key="timeout" value="4000"/>
<property key="retry" value="3"/>
n max-suspect-thread-pool-size – количество одновре- </protocol-configuration>
менных потоков сканирования при первоначальном об- <protocol-configuration scan="on" user-defined="false">
<specific>10.10.11.1</specific>
ходе адресов. Увеличение значения ускоряет сканиро- </protocol-configuration>
вание ценой потребляемых ресурсов.
<property key="timeout" value="2000" />
n max-rescan-thread-pool-size – количество создаваемых <property key="retry" value="1" />
потоков на интерфейсах с уже обнаруженными серви- </protocol-plugin>
сами при повторном сканировании.
n abort-protocol-scans-if-no-route – если параметр вы- В приведенном выше примере мы переопределили
ставлен в «false», то попытки сканирования сервисов группу адресов (10.10.12.1 -10.10.14.254), для которых опре-
при получении сообщения «no route to host» продолжат- деление сервиса SNMP будет отключено, и добавили ад-
ся, так как это сообщение может быть в некоторых слу- рес 10.10.11.1, для которого наличие сервиса будет опреде-
чаях вызвано наличием межсетевого экрана. Если па- ляться. Также можно переопределить общие для всех на-
раметр примет значение «true», то сканирование интер- стройки обнаружения, заданные в головном теге <capsd-
фейса будет остановлено. configuration> с помощью тега <ip-management>:

32

<ip-management policy="managed">
<range begin="10.10.10.1" end="10.10.14.254"/>
<include-url>file:/opt/OpenNMS/etc/include</include-url>
</ip-management>
где значение атрибута policy может принимать значение
«managed» и «unmanaged».
Данные настройки действуют на все указанные в capsd-
configuration сервисы, если только диапазон адресов для ка-
кого-либо сервиса (в нашем случае – SNMP) не переопре-
делен c помощью тега <protocol-configuration>.
Необходимо заметить, что если в процессе обна-
ружения (discovery) интерфейс по каким-то причинам
не был определен, и не было зарегистрировано событие
newSuspect, демон capsd для такого интерфейса не будет
запущен, даже если указать IP-адрес в файле конфигу-
рации capsd явно.
Настройка периодичности опросов
(polling)
После сбора информации об узлах, интерфейсах и функ-
ционирующих на них сервисах приходит время мониторин-
га. Информация о состоянии сервисов, интерфейсов и уз-
лов собирается двумя основными способами.
Первый способ основан на периодических опросах
(polling). Процессы-мониторы подключаются к ресурсу
и производят простой тест, чтобы определить текущее со-
стояние ресурса. Если ресурс недоступен – генерируется
определенное событие.
Настройка периодичности опросов описывается в фай-
ле poller-configuration.xml. Для удобства введено понятие па-
кета (package) сервисов. В файле можно описать несколько
пакетов, в каждом из которых можно указать собственную
периодичность опросов, а также определить уникальное
подмножество опрашиваемых сервисов. Кроме того, в каж-
дом пакете можно задавать собственную модель действий
при недоступности сервиса. Период опроса в случае недо-
ступности сервиса меняется динамически и может гибко на-
страиваться. Также для каждого пакета можно задать вре-
мя простоя, когда не будет производиться опрос сервисов.
Глобально периоды простоя для всех пакетов можно задать
в файле poll-outages.xml.
Данные опросов собираются с помощью библиотеки
jrrd – Java-реализации всем известной RRD (Round Robin
Database).
Рассмотрим файл poller-configuration.xml:
<poller-configuration threads="30"
serviceUnresponsiveEnabled="false"
nextOutageId="SELECT nextval('outageNxtId')" ↵
xmlrpc="false">
<node-outage status="on" ↵
pollAllIfNoCriticalServiceDefined="true">
<critical-service name="ICMP" />
</node-outage>
Параметр threads определяет максимальное количест-
во потоков для опроса. Варьируется в зависимости от ко-
личества опрашиваемых устройств и мощности сервера.
Будьте внимательны с данным параметром, при большом
количестве опрашиваемых устройств может потребовать-
ся увеличить количество потоков для опроса, так как де-
мон может не успеть опросить все устройства в течение
№5, май 2008
администрирование
заданного времени. Узнать, успевает ли демон опросить
все устройства и сервисы, можно, заглянув в файл logs/
daemon/poller.log. В файле нужно найти строку, содержа-
щую максимальное значение параметра alive:
2008-05-15 17:01:16,201 DEBUG [PollerScheduler-40 Pool]
RunnableConsumerThreadPool$SizingFifoQueue:
adjust: started fiber PollerScheduler-40 Pool-fiber21
ratio = 1.0476191, alive = 21
Если значение параметра alive+1 (так как есть еще ро-
дительский поток) близко к значению параметра threads,
то есть смысл увеличить количество потоков опроса.
Параметр serviceUnresponsiveEnabled определяет, какое
событие будет генерироваться в случае кратковременного
сбоя – «выход из строя» (outage) или только «сервис не от-
вечает» (unresponsive).
Чтобы не генерировать событие «выход из строя»
при кратковременной недоступности, нужно выставить этот
параметр в «true».
Тег <node-outage> определяет поведение в случае не-
доступности всех интерфейсов на узле.
Если во время опроса какой-либо сервис на интерфей-
се не отвечает, генерируется событие NodeLostService, ес-
ли все сервисы на интерфейсе не отвечают, то генериру-
ется событие InterfaceDown. Если параметру status при-
своено значение «on», то в случае недоступности всех
интерфейсов узла не генерируется множество событий
NodeLostService и InterfaceDown, а лишь одно событие –
NodeDown. Во время недоступности узла, в случае, если
с помощью тега <critical-service> определен критический
сервис (в нашем случае ICMP), будет опрашиваться толь-
ко критический сервис. После того как критический сервис
будет восстановлен, начнут опрашиваться все остальные
сервисы. Если тег <critical-service> не задан, то опрос всех
сервисов определяется параметром pollAllIfNoCriticalServ
iceDefined. Если данное свойство имеет значение «false»,
то будет опрашиваться только первый сервис в пакете, ина-
че – все. Для удобства создадим на основе уже готового
пакета exmaple1 пакет ICMP-PKG и поместим туда единст-
венный сервис ICMP, так как хотим опрашивать устройс-
тва по данному протоколу чаще, чем, например, собирать
статистику по SNMP:
<package name="ICMP-PKG">
<filter>IPADDR != '0.0.0.0'</filter>
<include-range begin="1.1.1.1" ↵
end="254.254.254.254" />
<rrd step="60">
<rra>RRA:AVERAGE:0.5:1:89280</rra>
<rra>RRA:AVERAGE:0.5:60:8784</rra>
<rra>RRA:AVERAGE:0.5:1440:366</rra>
<rra>RRA:MAX:0.5:1440:366</rra>
<rra>RRA:MIN:0.5:1440:366</rra>
</rrd>
<service name="ICMP" interval="30000"
user-defined="false" status="on">
<parameter key="retry" value="2" />
<parameter key="timeout" value="3000" />
<parameter key="rrd-repository"
value="D:/PROGRA~1/OpenNMS/share/rrd/response" />
<parameter key="rrd-base-name" value="icmp" />
<parameter key="ds-name" value="icmp" />
</service>
<downtime interval="20000" begin="0" end="300000"/>
<!-- 20s, 0, 5m -->
<downtime interval="120000" begin="300000" ↵
end="3600000"/>
<!-- 2m, 5m, 1h -->
33
 администрирование
<downtime interval="300000" begin="3600000" ↵
end="432000000"/>
<!-- 5m, 1h, 5d -->
<downtime begin="432000000" delete="true" />
<!-- anything after 5 days delete -->
</package>
Обратите внимание на тег <filter>. Внутри пакета он мо-
жет быть задан в единственном числе. В теге можно за-
дать фильтрацию IP-адресов по маскам. Например, так:
<filter>IPADDR = '10.*.*.*'</filter> – будут опрашиваться лишь
адреса 10.0.0.0/8. Также можно задавать диапазоны адре-
сов с помощью уже известного тега <include-range>, внутри
которого задан диапазон IP-адресов для опроса. Напомню,
что опрашиваться будут лишь сервисы на интерфейсах, най-
денных в процессе обнаружения. То есть сервисов на ин-
терфейсе может быть найдено множество, однако сбор ста-
тистики будет происходить лишь по сервисам, указанным
в пакетах файла poller-configuration. Внутри пакета с помо-
щью тега <service> может быть определено несколько сер-
висов (в нашем пакете только сервис ICMP). Рассмотрим
атрибуты и вложенные теги тега <service>:
Атрибут status может принимать значения «on» – статис-
тика собирается и «off» – сбор статистики отключен.
В тегах <parameter> с помощью атрибутов key и value за-
даются дополнительные параметры, среди которых следует
обратить внимание на параметр rrd-repository, в котором за-
дается путь для хранения данных опросов. Учтите, что этот
параметр связан с параметром rrd.base.dir в файле opennms.
properties. Не забывайте об этом, если будете переносить
конфигурационные файлы с сервера на сервер.
В тегах <downtime> описывается поведение опроса сер-
виса в случае его недоступности:
n Атрибут interval – задает периодичность опроса при
недоступности;
n Атрибут begin – время начала заданного периода оп-
роса миллисекундах;
n Атрибут end – время с окончания заданного периода
опроса в миллисекундах.
То есть в строке:
interval="20000" begin="0" end="300000"/>
указано, что в случае недоступности сервиса произво-
дить опрос каждые 20 секунд, начиная с нулевой секунды
и по достижении 5 минут времени недоступности. Начи-
ная с пяти минут недоступности сервиса можно увеличить
интервал опроса до 2 минут, таким образом уменьшив на-
грузку на вычислительные ресурсы:
<downtime interval="120000" begin="300000" end="3600000"/>
а после недоступности сервиса в течение часа увеличить
интервал опроса еще больше.
Тег <rrd>, в котором задаются параметры сбора и хра-
нения данных, заслуживает более пристального изучения
и будет рассмотрен позже.
Второй способ сбора статистики основан на коллек-
торах (collectors). Он немного сложнее в настройке, но мо-
жет дать больше информации. Существует возможность
34
использования нескольких коллекторов, мы остановим-
ся подробнее на сборе статистики с помощью опросов
SNMP-агентов.
Настройка сбора статистики
по протоколу SNMP
При настройках по умолчанию в OpenNMS 1.5.90 для сбо-
ра статистики на основе коллекторов используется прото-
кол SNMP версии 1 и 2(с). Однако существует также воз-
можность использовать протокол SNMP-версии 3. Для ак-
тивации возможности сбора информации по SNMPv3 необ-
ходимо использовать библиотеку SNMP4J [1], поддержива-
ющую протокол SNMPv3 (по умолчанию используется биб-
лиотека JoeSNMP). Однако для большинства случаев до-
статочно SNMPv1 и SNMPv2. Для активации SNMPv3 не-
обходимо раскомментировать строчку:
org.opennms.snmp.strategyClass= ↵
org.opennms.netmgt.snmp.snmp4j.Snmp4JStrategy
в файле opennms.properties и поставить символ коммента-
рия перед строчкой с JoeSNMP.
Теперь следует возвратиться к файлу capsd-configuration.
xml и добавить для удобства новый сервис с названием
SNMPv3 (название может быть любым, удобным вам). В бу-
дущем это поможет отличать узлы с обнаруженными SNMP-
агентами разных версий:
<protocol-plugin protocol="SNMPv3"
class-name="org.opennms.netmgt.capsd.SnmpPlugin"
scan="on" user-defined="false">
<property key="force version" value="SNMPv3"/>
<property key="timeout" value="2000"/>
<property key="retry" value="3"/>
</protocol-plugin>
Также необходимо добавить сервис с таким же именем
в файл poller-configuration.xml, если этого не сделать, сер-
вис определится, но опрашиваться не будет. Здесь есть од-
на тонкость – если не указывать конкретную версию про-
токола и вообще исключить строчку <property key="force
version" value="SNMPv3"/> (как это сделано в конфигура-
ции по умолчанию), то будут найдены SNMP-агенты вер-
сий, указанных в файле snmp-config.xml.
При сканировании сервиса SNMP демон capsd обра-
щается за дополнительной информацией в файл snmp-
config.xml:
<?xml version="1.0"?>
<snmp-config port="161" retry="3" timeout="1500"
read-community="public" write-community="private">
<definition version="v3" security-name="myname"
auth-protocol="MD5" auth-passphrase="yourmd5pass">
<specific>10.10.10.1</specific>
<specific>10.10.11.1</specific>
</definition>
<definition version="v1" read-community="charoday">
<specific>10.10.14.1</specific>
</definition>
</snmp-config
>
В файле находится дополнительная информация для оп-
роса SNMP-агентов.
Корневой тег файла называется <snmp-config> и содер-
жит следующие атрибуты:
 администрирование
n port – порт, через который идет об-
ращение к SNMP-агенту;
n retry – количество попыток подклю-
чения к SNMP-агенту;
n timeout – время ожидания ответа
от агента;
n read-community – строка для дос-
тупа на чтение к SNMP-агенту;
n write-community – строка для дос-
тупа на запись к SNMP-агенту;
n version – версия SNMP-протоко-
ла.

Можно переопределить атрибу-

ты, указанные в корневом теге, опи-
сав внутри него тег <definition>. В на-
шем случае в первом вложенном теге
<definition> мы переопределили вер-
сию протокола SNMP. Внутри этого те-
га также можно определять диапазоны
IP-адресов с помощью тегов <include-
range>, <specific> и <exclude-range>. Рисунок 2. Главная страница веб-интерфейса
Д л я о п р е д е л е н и я п р о т о ко л а
SNMPv3 существуют дополнительные атрибуты: или для Windows:
n security-name – имя для аутентификации;
n auth-protocol – протокол шифрования пароля аутенти- opennms.bat start
фикации (SHA или MD5);
n auth-passphrase – пароль аутентификации (шифрует- Через некоторое время после запуска в списке узлов
ся MD5 или SHA); появятся первые обнаруженные устройства с найденны-
n privacy-protocol – протокол шифрования данных ми интерфейсами и сервисами. Это уже работающая сис-
(DES); тема. Через веб-интерфейс мы можем получать инфор-
n privacy-passphrase – пароль шифрования данных. мацию о событиях, таких как доступность сервисов и ус-
тройств, просматривать графики загрузки каналов связи
Протокол SNMPv3 поддерживает три типа аутентифи- и ряд других, уже внесенных в типовую конфигурацию гра-
кации: noAuthNoPriv, authNoPriv и authPriv. фиков. На рис. 2 показана основная страница веб-интер-
Если указать все атрибуты – получим тип authPriv (са- фейса OpenNMS.
мый защищенный тип: шифруются данные авторизации и Однако многие вопросы дополнительной настройки ос-
все передаваемые данные). тались неосвещенными, например, настройка уведомлений
Если не указывать атрибуты privacy-protocol и privacy- о событиях на e-mail, кастомизация веб-интерфейса, отве-
passphrase, то получим тип authNoPriv, когда в защищен- чающая требованиям вашей сети, тонкая настройка хра-
ном виде передаются лишь аутентификационные данные, нимых в базах RRD данных, а также настройка парамет-
остальные данные не шифруются. ров отображения графиков и создание отчетов о состоя-
Если указать только атрибут security-name, то получим нии сервисов и устройств. Подробнее изучим данные воп-
самый незащищенный тип noAuthNoPriv. росы в следующей статье.
Подробнее о модели безопасности SNMPv3 (User-Based
Security Model – USM и VACM – View-based Access-Control 1. http://www.opennms.org – сайт OpenNMS.
Model) можно найти в RFC3414 и RFC3415. 2. http://sourceforge.net/project/showfiles.php?group_id=4141&
Обратите внимание, что библиотека SNMP4J [8] ревнос- package_id=240236 – ссылка для загрузки библиотеки jicmp.
тно относится к соблюдению стандартов, согласно которым 3. http://java.sun.com/javase/6/ – ссылка для загрузки JDK6.
auth-passphrase должен быть не менее 8 символов, то же ка- 4. http://www.postgresql.org – СУБД PostgreSQL.
сается и privacy-passphrase. Поэтому не советую испытывать 5. http://tigro.info – блог Tigro со ссылками на репозитории Fedora.
судьбу коротким паролем. Подробнее о настройке SNMPv3 6. http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6532373 –
на оборудовании фирмы Cisco можно узнать из [9]. описание ошибки запуска JVM.
7. http://www.opennms.org/index.php/GUI_Installer#Microsoft_
Что дальше? Windows_XP – пошаговая установка в Windows XP.
После осуществления всех приведенных выше настроек 8. http://snmp4j.org – сайт библиотеки snmp4j.
можно запустить openNMS: 9. http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/
Snmp3.html – настройка SNMPv3 агента на маршрутизаторах
./opennms start Cisco.

№5, май 2008 35

 администрирование

Медиация Linux и GDI-принтера

Павел Закляков
На что только не идёт капитализм ради получения сверхприбыли. Так, производители GDI-
принтеров реализуют свои упрощённые продукты массовым покупателям дешевле, ожидая,
что последние не будут подключать свои принтеры к ОС Linux, а будут покупать лицензии
на коммерческие ОС. Как видим, скупой платит дважды, поэтому лучше вообще не покупать
дешёвые GDI-принтеры. Но что делать, когда это не скупость, а бедность? Тогда на помощь
приходит наша изобретательность.

О
братился ко мне знакомый зался GDI-принтером, а большая часть «выбирайте на любой вкус и цвет». Ча-
с просьбой помочь, настро- не понимающих в технике сотрудников ще всего все эти принтеры подклю-
ить принтер в Linux. «Нашёл уже сроднилась с ОС Linux, из‑под ко- чаются к компьютеру, который подго-
чем удивить», – подумал я. Положил торой принтер упорно отказывался тавливает и отправляет информацию
в сумку ноутбук с Linux, сладенькое печатать. для печати. С этого момента и начи-
к чаю и поехал на выходных разби- наются все тонкости.
раться с проблемой. По приезду ока- GDI-принтеры Несмотря на то что за захват, пере-
залось не всё так просто. Я думал, Немного теории. Любой принтер – это мещение носителя, нанесение изобра-
что в офисах должны жить сетевые устройство, которое может наносить жения или перемещение печатающей
принтеры, подключённые к локаль- на бумагу или другой носитель (плён- головки отвечают различные механиз-
ной сети, а не к отдельному компью- ка, компакт-диск и др.) изображение мы, состоящие из роликов, моторчиков,
теру. (Я даже домой подумывал се- или текст. Принтеры бывают самые шестерёнок и др., всеми этими частя-
бе такой прикупить, так как частень- разные. Не секрет, что в кондитерс- ми управляет некоторое центральное
ко раздражает совместное использо- ком деле существуют пищевые прин- устройство, которое мы назовём про-
вание печатающего устройства вмес- теры фирмы Modecor со съедобными цессором или контроллером принте-
те с родственниками, а покупать два чернилами, которые могут печатать ра. Пользователю всё равно, как эти
принтера – расточительство.) Но, как тексты и фотографии на вафельных части взаимодействуют между собой,
выяснилось, я ошибался. У нас вез- или сахарных пластинах. Существу- ему важен результат. Поэтому с целью
де экономят и, если можно купить что- ют принтеры, печатающие реклам- удобства и унификации принтеров их
то подешевле, то жди подвоха. Новый ные плакаты, наклейки в супермар- контроллеры должны понимать какой-
принтер, который предстояло настро- кетах, заполняющие паспорта, биле- либо язык описания команд, форми-
ить для совместной печати в сети, ока- ты, платёжки и сберкнижки. В общем, рующих задание для печати. Подоб-

36
 администрирование
ных языков существует великое мно-
жество: ESC/P-последовательнос- Что такое медиация Медиация – это когда обе стороны
ти, Postscript, PCL, HPGL, Lineprinter, Термин «медиация» относительно молодой не отступают от своих принципов, а согла-
Xerox XES/UDK и др. Наиболее рас- и был заимствован из сферы бизнеса. Мно- шаются идти на переговоры с привлече-
пространёнными являются первые три. гие компании сталкиваются с тем, что года- нием нейтрального посредника – медиа-
Они же практически всегда поддержи- ми не могут решить проблемы с конкурен- тора. Не вдаваясь в тонкости всего этого
ваются современными ОС. Большинс- тами, а то и коллегами. Ни одна из фирм процесса, можно отметить, что на «запа-
тво принтеров делают совместимыми не намерена уступать другой, а повлиять де» больше половины дел, разрешаемых
с этими языками. Казалось бы, всё на ситуацию никто не может, обе сторо- через медиацию, оставляют довольными
очень удобно и хорошо, но прогресс ны недовольны и терпят убытки. «Демок- обе стороны.
не стоит на месте. ратический путь» – использовать судеб- В этой статье я постараюсь выступить
Проблема перехода на новое бы- ную систему безнадёжно устарел, невы- в роли медиатора, решив проблему печати
ла и раньше, вернёмся в 90-е годы годен, долог и редко оставляет в выгоде из под ОС Linux на GDI-принтеры.
прошлого века. У большинства бы- обе стороны.
ли матричные принтеры, «знающие»
только об ESC/P-последовательнос- Так и поступили производители, ни люди, а настраивать операционные
тях, а лазерные и струйные были уде- создавая технологию GDI-принте- системы пришлось мне. Большинству
лом немногих в силу их высокой сто- ра. GDI – это Graphic Device Interface – администраторов наверняка эта исто-
имости, но со временем ситуация на- не что иное, как библиотека функций рия покажется знакомой.
чала меняться. Пользователи стали ОС Windows для осуществления выво-
печатать всё больше графики. Разре- да информации на графические пери- Медиация
шения, а значит и качество, докумен- ферийные устройства, такие как дисп- Не всё так плохо, если бы не наша
тов росли. леи или принтеры. Вместе с этой биб- изобретательность!
В переходный момент появления лиотекой в связке работает драйвер Существуют две проблемы:
языков Postscript и PCL для поддержа- принтера. n GDI-принтеры не совместимы
ния обратной совместимости со ста- Всё бы хорошо, только производи- с другими принтерами;
рыми программами многие лазерные тели принтеров в погоне за дешевиз- n Linux не имеет драйверов под боль-
и струйные принтеры умели эмулиро- ной упустили из виду другие опера- шинство GDI-принтеров.
вать матричные принтеры, а некото- ционные системы, как ОС Linux, и за-
рые умеют делать это и сейчас. С од- были предоставить для них свои драй- Один из путей решения – написать
ной стороны, это хорошо и удобно веры. Предполагаю, что тут не обош- свой драйвер принтера. Подобные по-
всем, но, с другой, это означает допол- лось без влияния производителей пытки для некоторых принтеров Canon,
нительные накладные расходы. Windows. Lexmark, Samsung были реализованы
Например, если на лазерный прин- Так как специфический внутренний в проектах [5-8]. Наиболее информа-
тер, эмулирующий матричный, отпра- формат данных GDI-принтеров не был тивной и полезной статьёй по созда-
вить на печать слово «мама», то он стандартизирован, то у каждого произ- нию собственного драйвера мне пока-
должен получить меньше десятка байт водителя принтеров он свой и каждо- залась статья [7]. Но как быть тем, кто
(4 байта текста плюс несколько слу- му принтеру нужен свой драйвер. Да- не силён в программировании и его
жебных) и напечатать слово. При этом же в такой непростой ситуации драйве- принтер не вошёл в «список счастлив-
принтер, получив 4 байта текста, дол- ры под Linux не понадобились бы, если чиков» выше? Для них остаётся два
жен найти «у себя» таблицу шрифтов фирмы удосужились предоставить ин- пути: первый – проверить, возмож-
и понять, как та или иная буква выгля- формацию о своих протоколах. Уверен, но ли купить опциональный PCL или
дит. То есть это дополнительная память что десяток-другой энтузиастов реши- Postcript-аппаратный модуль у произ-
и вычислительные ресурсы. Когда же ли бы проблему менее чем за неде- водителя принтера, т.е. сделать прин-
мы печатаем изображение, например лю. Но протокол каждого производи- тер совместимым. К сожалению, боль-
того же слова «мама», то оно целиком теля это «know-how» – запатентован- шая часть GDI-принтеров не имеет та-
формируется на компьютере и посыла- ная технология, поэтому они не спешат кой функции и принтер, рассматрива-
ется на принтер. С точки зрения поль- делиться информацией с Open Source- емый в статье (Sharp AR153), также
зователя разницы нет, картинка одина- сообществом. не имеет. Поэтому мне и всем осталь-
ковая в обоих случаях, но с точки зре- Вместе с тем, большинство поль- ным, «невезучим» читателям придёт-
ния технологии и экономии есть. зователей не знакомы с тонкостями ся воспользоваться вторым путём –
Обратная совместимость сейчас технологии печати и не задумываются медиацией.
не очень важна, а если изображение о совместимости. Обидно, но именно Как подру жить GDI-принтер
текста может формировать компью- они, массовые покупатели, не разбира- и Linux? Подобных решений много,
тер, то зачем держать аналогичный ющиеся в деталях, чаще всего опреде- например [9]. Важнее разобраться
блок в принтере? Не проще ли сделать ляют ход истории, развитие принтеров, в том, что мы понимаем под словом
принтер без этого блока, будет навер- операционных систем и многого дру- «подружить». Вышеописанная статья
няка надёжнее, т.к. меньше деталей гого, покупая то, что подешевле. Так и не показалась мне интересной, так как
и точно дешевле? в моём случае – принтер покупали од- не решает поставленной задачи. Под-

№5, май 2008 37

 администрирование
Рисунок 1. Диалоговое окно установки GPL Ghostscript
ключить принтер к порту компьютера, получать данные по
сети и отправлять их на порт принтера не предоставляет-
ся сложным.
Поэтому в качестве основы для медиации было выбра-
но решение, описанное в [2], где решается именно пробле-
ма печати из‑под Linux. ОС Linux выступает в роли клиента,
а медиатором оказались две программы: – Redirection Port
Monitor [3] и Ghostscript [4], запускаемые на Windows.
Печать происходит по следующей схеме: компьютер
под управлением ОС Linux отправляет документ в фор-
мате PostScript по сети на печать компьютеру с Windows.
Программа RedMon перехватывает сообщение и отправ-
ляет его на вход программы Ghostscript, которая, исполь-
зуя штатный драйвер принтера под Windows, печатает со-
общение от своего имени.
Конечно, ситуация не позволяет при наличии GDI-при-
нтеров полностью мигрировать офисам на Linux, отказав-
шись от коммерческих лицензий, зато предложенное ре-
шение позволяет сократить число Windows-машин до од-
ной и тем самым значительно сэкономить средства. Вполне
возможно, что вышеописанные программы кому-то в буду-
щем удастся запустить под эмулятором wine, если послед-
ний будет более полно реализовывать эмуляцию библио-
тек Windows и поддержку драйверов, тогда от использова-
ния Windows можно будет отказаться вовсе.
Рисунок 2. Выбор способа подключения принтера
38
Настройка программ на стороне
Windows
Для удобства разобьём процесс на две части: установку
и настройку.
Установка
C адреса [3] переходим в раздел «Download» и скачива-
ем архив redmon17.zip, распаковываем и запускаем файл
setup.exe. Программа установки RedMon «спрашивает»,
действительно ли мы хотим установить программу. Отве-
чаем ей: «Да». Установка проходит быстро, после чего вы-
водится окно завершения процедуры установки.
С адреса [4] переходим в раздел «Windows» и скачи-
ваем архив gs862w32.exe (в нашем случае использова-
лась 32‑битная версия) и запускаем его. Скачанный файл –
это самораспаковывающийся архив. Нажимаем кнопку
«Setup», после чего на экране появляется небольшое окно,
где бежит индикатор прогресса распаковки.
По завершению процесса распаковки появляется диа-
логовое окно с уточнениями, куда ставить программу и где
создавать ярлыки (cм. рис. 1).
Оставляем указанные значения без изменений (т.е. про-
грамма будет установлена в директорию «C:\Program Files\
gs») и нажимаем кнопку «Install». Появляется окно, отобра-
жающее log-файл процесса установки, после чего установ-
ка GPL Ghostscript завершена.
Настройка
Программы установлены, теперь необходимо их настроить.
Создаём текстовый файл winprinter.rsp с помощью блокно-
та или <Shift> + <F4> в Far. Сохраняя имя «winprinter.rsp»
в блокноте, возьмите его в кавычки, иначе у вас получит-
ся «winprinter.rsp.txt».
-I"C:\Program Files\gs\gs8.62\lib"; ↵
"C:\ProgramFiles\gs\gs8.62\fonts"
-sDEVICE=mswinpr2
-dNOPAUSE
-dSAFER
-sPAPERSIZE=a4
-sOutputFile="\\spool\SHARP AR-153E N"
Если у вас версия Ghostscript 8.62, и путь установки вы
не меняли, то первую строчку править не нужно. В послед-
Рисунок 3. Выбор порта подключения принтера
 администрирование
ней строчке «SHARP AR-153E N» – имя вашего GDI-прин-
тера, скопированное из его свойств. Учтите, лучше скопи-
ровать и вставить, т.к. важно правильное написание с учё-
том пробелов и регистра. Если совершить ошибку, то это
выльется в то, что программа Ghostscript каждый раз при
печати будет выдавать окно и спрашивать: «На какой прин-
тер печатать?».
Добавляем новый виртуальный принтер. Для этого на-
жимаем: «Пуск → Настройка → Принтеры → Установка
принтера». У вас запустится «Мастер установки принтеров»,
где нажимаем кнопку «Далее». В следующем окне выби-
раем «Локальный принтер», галочку «Автоматическое оп-
ределение ...» снимаем (cм. рис. 2).
Нажимаем «Далее», в появившемся окне выбираем
«Создать новый порт», в типе порта указываем «Redirection
port» (cм. рис. 3). Рисунок 4. Настройка параметров порта «RPT1:»
Нажимаем «Далее», появляется окошко с именем пор-
та, где оставляем без изменений «RPT1:».
После переходим к окну выбора принтера. Пред-
лагаю установить любой PostScript-принтер, например
«HP LaserJet 6P/6MP PostScript», т.к. большинство Linux-дис-
трибутивов умеет беспроблемно с ними работать.
Замечание: наиболее ленивые пользователи могут най-
ти какой-нибудь PostScript-принтер на букву «А», т.к. он бу-
дет в начале списка, я же предпочитаю проверенную мо-
дель HP.
Нажимаем «Далее», и в следующем окне придумыва-
ем имя нашему виртуальному принтеру. Имя может быть
любым, но удобнее взять имя настоящего принтера, допи-
сав к нему буквы PS, означающие, что этот (пусть и вир-
Рисунок 5. Проверяем правильность настройки печатью
туальный) принтер может печатать в формате PostScript. на виртуальный принтер
В нашем примере имя будет «SHARP153PS». «Использо-
вать этот принтер по умолчанию...» – выбираем «Нет», т.к. «Browse». Обратите внимание, что существуют два фай-
«по умолчанию» пусть используется настоящий принтер, ла: gswin32c.exe и gswin32.exe. Нам нужен первый, т.к. он
а не виртуальный. работает из командной строки. В поле «Arguments for this
Нажимаем «Далее», после чего открываем общий дос- program are:» заносим имя созданного нами ранее файла
туп к виртуальному принтеру из сети и придумываем ему «winprinter.rsp» c полным путём и необходимыми ключами:
имя. Удобнее всего имя оставить тем же «SHARP153PS».
Нажимаем «Далее», появляется окно с полями «Размеще- @"C:\Program Files\gs\winprinter.rsp" –
ние» и «Комментарий». Заполните эти поля на ваше усмот-
рение и нажмите кнопку «Далее». Появляется окно с вопро- Имя файла взято в кавычки, перед ним записана «соба-
сом о печати пробной страницы. Отвечаем «Нет», т.к. наш ка», а после имени через пробел стоит дефис. Для «Output»
виртуальный принтер ещё не настроен. Нажимаем «Да- выбираем «Copy temporary file to printer». В поле «Printer»
лее». Появляется окно завершения работы мастера уста- выбираем настоящий принтер – «SHARP AR-153E N». В по-
новки принтеров. ле «Run» выбираем «Hidden». Shut down delay – оставляем
Нажимаем «Готово». В течение нескольких секунд ко- значение 300 секунд. Ставим галочки «Print errors» и «Run
пируются необходимые файлы. as User». Заполнение завершено (cм. рис. 4).
После чего в списке принтеров («Пуск → Настройка → Нажимаем «OК», чтобы сохранить введённые нами
Принтеры») появится новый принтер, но он ещё не настро- значения.
ен. Для настройки мы нажимаем правой кнопкой мыши На этом этапе настройка «виртуального» принтера
на значке принтера, после чего выскакивает меню, где мы на стороне Windows завершена. Чтобы убедиться в пра-
выбираем пункт «Свойства». вильности настроек, открываем любой текстовый доку-
В появившемся окне выбираем вкладку «Порты», где на- мент или какое-нибудь приложение, откуда осуществля-
ходим порт «RPT1:», после чего нажимаем кнопку «Нас- ем печать на «виртуальный» принтер. Выскакивает стан-
тройка порта...». дартное окно настроек печати, где мы видим, что прин-
Заполняем поля появившегося окна «RPT1: Properties». тер подключён к порту RPT1: и его тип HP Laser Jet 6P/6MP
В поле «Redirect this port to the program» заносим имя про- PostScript (cм. рис. 5).
граммы «C:\Program Files\gs\gs8.62\bin\gswin32c.exe». Если всё было настроено правильно, ваш настоящий
Удобнее всего это сделать с помощью мыши и кнопки принтер зашумит и выдаст ожидаемый документ через не-

№5, май 2008 39

 администрирование
Рисунок 6. Настройка адреса подключения для сетевого
принтера в Linux
Рисунок 7. Выбор названия для принтера в Linux
сколько секунд, при этом на экране компьютера не должно
выскакивать никаких окон. Если желаемый результат не по-
лучен – проверьте наличие бумаги, правильность подклю-
чения и работы настоящего принтера, а также все преды-
дущие настройки.
Настройка принтера в Linux
На предыдущем этапе мы убедились: в работоспособности
нового виртуального принтера теперь осталось малое – на-
строить рабочие станции Linux и проверить печать с них.
Для этого нажимаем в меню «Система → Администри-
рование → Печать».
Далее, так как мы работаем в X от обычного пользова-
теля, а настраивать принтеры привилегия администратора,
дополнительным окном будет запрошен пароль root. Вво-
дим пароль и нажимаем «OK».
В появившемся окне «Настройка принтера» нажимаем
на значок «Новый принтер», после чего в следующем окне
выбираем тип подключения «Windows Printer via SAMBA»,
а в поле адреса принтера указываем IP-адрес Windows-ма-
шины и после знака «/» сетевое имя виртуального принте-
ра из наших прошлых настроек. В моём примере это бу-
дет «192.168.2.3/SHARP153PS». После заносим имя и па-
роль учетной записи, с которой мы будем подключаться
к Windows-машине (cм. рис. 6).
Мы не рассматривали разграничение доступа и ау-
тентификацию пользователей принтера на компьютере
40
Windows, т.к. это другая тема, также в тестовой сети было
всего два компьютера без подключения к Интернету. По-
этому я не использовал пароли, а в качестве имени был
взят «Администратор».
Далее нажимаем кнопку «Проверить». В случае работы
сети мы должны увидеть окно «Проверено».
После этого нажимаем кнопку «Далее» и выбираем
принтер из базы данных. Фирма – HP.
Нажимаем «Далее», выбираем модель «Laserjet 6P/MP»
и единственный драйвер «foomatic-db-ppds/HP/HP_Laserjet_
6MP.ppd.gz».
Нажимаем кнопку «Далее» и заполняем название прин-
тера – как он будет виден для приложений Linux. «Описа-
ние» и «размещение» заполняете по своему усмотрению
(cм. рис. 7).
После чего нажимаем кнопку «Далее» и видим конечное
окно установки принтера, где нажимаем «Применить».
Запускаем какое-нибудь приложение под Linux и прове-
ряем печать. Если все настройки были выполнены правиль-
но, то результат не заставит себя долго ждать.
Описанное решение было реализовано на операцион-
ных системах Windows 2000 и Linux Fedora 8.
Заключение
Предлагаемое решение проблемы должно работать
для большинства GDI-принтеров. Надеюсь, что в буду-
щем от данного решения и использования Windows-маши-
ны в качестве посредника можно будет отказаться, т.к. ли-
бо производители принтеров начнут уважать Linux-сооб-
щество и будут выпускать драйверы под Linux, либо эмуля-
тор wine сможет поддержать описанное решение на Linux,
либо ваш принтер окажется в списке счастливчиков, для
которых энтузиасты предложат альтернативный драйвер.
Все три пути имеют шансы быть реализованными, посмот-
рим, что случится раньше.
Удачи!
1. М е д и а ц и я – h t t p: // w w w. g a a p . r u / b i b l i o / m a n a g e m e n t /
curp/059.asp.
2. Рецепт «приготовления» Win-принтера для печати из Linux –
http://www.nixp.ru/articles/win_printing_in_linux.
3. RedMon – Redirection Port Monitor – http://pages.cs.wisc.edu/
~ghost/redmon/index.htm.
4. Ghostscript, Ghostview and GSview – http://pages.cs.wisc.edu/
~ghost.
5. CAPT – Linux driver for GDI printers (winprinters) – http://
www.opennet.ru/prog/info/2601.shtml.
6. CAPT Linux driver – http://www.boichat.ch/nicolas/capt /
index.html.
7. GDI printers under Linux – http://members.tripod.com/rpragana/
gdiprinters.html.
8. Установка GDI-принтера Lexmark Z23/33 в Debian – http://
www.opennet.ru/base/sys/lexmark_print_install.txt.html.
9. CUPS – принт-сервер и GDI-принтер – http://www.linuxcenter.ru/
lib/articles/soft/cups_gdi.phtml.
10. Теоретические основы печати в системе Windows – http://
www.morepc.ru/net/print/windows_printing.html.
11. Сайт, посвящённый вопросам печати под Linux – http://
www.linuxprinting.org.
Реклама
 администрирование

Как запустить «САМО-Тур»

для Windows под Linux
«...без собственного войска (программистов. – Прим. автора)
государство непрочно – более того, оно всецело зависит
от прихотей фортуны...»

Николо Макиавелли, Государь, 1532

Сергей Барановский
Туристический бизнес отличается от любого другого, офисного. Сегодняшняя его проблема –
это отсутствие программ, автоматизирующих офисную деятельность в полной мере.
Речь не идёт об альтернативных Open Source-продуктах, т.к. их просто нет. Проблема в том,
что даже коммерческие и специализированные продукты, как «САМО-Тур» и «Мастер‑Тур»,
не дотягивают по своим возможностям до уровня потребностей туроператоров. Статья
рассказывает о том, как можно сэкономить, запустив один из коммерческих продуктов
на платформе Linux, что изначально не поддерживалось разработчиком. Тот, кто не кормит
свою армию программистов-разработчиков, кормит чужую!

П
оддержка туристических услуг
техническими решениями часто
отстаёт от существующих пот-
ребностей туроператоров, что приво-
дит к повышению издержек и сказы-
вается на конечном потребителе. Уго-
дить всем операторам и создать уни-
версальный продукт невозможно, как
нельзя создать один универсальный
автомобиль, подходящий всем.
Не секрет, что большинство из нас чи деньги – типичное представление
хотели бы отдыхать с комфортом, по работы турфирм обывателем. Но это
разумным ценам, но кто из нас заду- как надводная часть айсберга, за ко-
мывается, какая часть денег, оплачен- торой кроется очень много внутренней
ных за путёвку, идёт непосредственно работы, скрытой от потребителей.
на отдых, а какая покрывает издержки Распечатать путёвку – означает
производства? иметь какой-либо текстовый редак-
Кажется, что работа менеджеров тор. Связаться с гостиницей – значит
проста: расскажи красиво туристу использовать электронную почту или
о продукте, оформи документы, полу- факс. Забронировать билеты – исполь-

42
 администрирование
зовать бразуер и on-line-сервис. Хранить данные о клиен- под Windows. Работающий САМО-сервер, дистрибутив Linux
те – использовать специфическую базу данных. Fedora release 8 (Werewolf) для i386-платформы. Подключе-
Уважающая себя фирма будет работать «в белую», а это ние к Интернету или все упоминаемые и устанавливаемые
означает, что все технические решения будут выполнены дополнительно пакеты. Средства разработки приложений,
без нарушений авторских прав и будут поддержаны либо компилятор gcc и сопутствующие пакеты не нужны.
купленными коммерческими лицензиями сторонних фирм,
либо GPL-подобными, либо у фирмы будет собственный Начало установки
штат программистов. Что из этого дешевле сейчас и выгод- Предполагаем, что установка Linux Fedora 8 (i386) про-
нее в перспективе? Можно установить OpenOffice и другие шла успешно. Сверить версию ядра можно, запустив ко-
продукты на базе Linux, они удовлетворят больше полови- манду «uname ‑a», которая должна выдать следующий ре-
ны потребностей всех турфирм и сэкономят значительно зультат:
средств, но как быть крупным фирмам, где без автомати-
Linux new02 2.6.23.1-42.fc8 #1 SMP Tue Oct 30 13:55:12 EDT 2007
зации производства нельзя, где в день могут проходить со- i686 i686 i386 GNU/Linux
тни и тысячи заявок. Простым хранением текстовых фай-
лов или таблиц с ценами не обойдёшься. Нужны специаль-
ные программные продукты, которых просто нет! Как и нет Отключение yum-updatesd
стандартов в этой сфере. Обычно после установки демон yum-updatesd стоит в ав-
Разные фирмы находят разные решения этой пробле- тозапуске и отвечает за проверку и установку обновле-
мы и в силу конкуренции не спешат делиться своими сек- ний к системе. Вещь полезная, но нам она не очень нужна,
ретами друг с другом. т.к., во-первых, это будет лишний трафик, представьте, ес-
На сегодня можно выделить два больших программных ли сотня-другая компьютеров начнет для обновления ска-
продукта, старающихся занять рынок обслуживания туро- чивать одни и те же пакеты (хотя тут на усмотрение адми-
ператоров, – это «Мастер-Тур» [1] и «САМО-Тур» [3]. Обе нистратора), а, во-вторых, обновления могут помешать за-
программы присутствуют на рынке несколько лет и дале- пуску нужных нам команд ниже по тексту, т.к. yum и yum-
ки от совершенства. updatesd не могут работать одновременно.
Первая пишется на C, вторая – на Delphi, и ни одна Если этот шаг пропустить, то вполне возможна ситуация,
не предназначена для использования под Linux, по край- что при запуске команды «yum install что-то» вы получите:
ней мере такое мнение можно услышать на официальных Existing lock /var/run/yum.pid: another copy is running as pid 3592.
форумах [2, 4]. На мой взгляд, обе фирмы, выпускающие Another app is currently holding the yum lock; waiting for it to exit...
эти продукты, «вырыли себе большую яму» и оказались за- Another app is currently holding the yum lock; waiting for it to exit...
Another app is currently holding the yum lock; waiting for it to exit...
ложниками своих решений. Рынок требует продуктов под ...
Exiting on user cancel.
Linux. Переписать большое количество кода можно, но для
этого необходимы дополнительные программисты, которых Отключить запуск можно двумя путями:
и так в этих фирмах не хватает. А привлечение сторонней Первый – остановить службу yum-updatesd командой:
помощи, как в GPL-продуктах, невозможно, т.к. код закры-
тый. Включение поддержки одного лишь экспорта данных # service yum-updatesd stop
в продукты OpenOffice из «САМО-Тур» заняло почти год,
и, предполагаю, было реализовано только после того, как или
было «простимулировано» потребностями одного крупно-
го клиента, т.к. до этого они отказывались делать поддерж- # /etc/rc.d/init.d/yum-updatesd stop
ку OpenOffice в своих продуктах.
Других продуктов подобного уровня или их аналогов После чего вы увидите:
сегодня нет.
Останавливается yum-updatesd: [ OK ]
Турфирмам выкручивают руки, им надо работать сей-
час, а не держать штат программистов или ждать несколь- Это поможет до следующей перезагрузки или смены
ко лет завершённой реализации под Linux. Вот и получа- уровня запуска.
ется, выгоднее купить сотню-другую лицензий для импорт- Второй – убрать эту службу из автозапуска вообще, что-
ной коммерческой закрытой операционной системы и от- бы после перезагрузки ситуация не повторялась. Проще
работать сезон-другой, окупив затраты за счёт туристов, всего это сделать командой:
т.е. нас с вами, нежели ждать появления на рынке подхо-
дящего продукта, позволяющего снизить цены. Грустно, # chkconfig yum-updatesd off
но, в то же время наш народ очень изобретателен в плане
«как не платить», поэтому снизить цены на конечные про- которая «молча» выполнится, удалив соответствующие
дукты законным путём можно и оставить деньги в нашей файлы запуска из директорий /etc/rc.d/rd?.d.
стране тоже!
Полезные приложения
Требования и настройка прокси
Для перевода клиентов «САМО-Тур» под Linux потребу- Для комфортной работы и успешной настройки нам пона-
ется лицензионная и работающая версия «САМО-Тура» добятся дополнительные пакеты.

№5, май 2008 43

 администрирование
Комфорт – чувство относительное, поэтому ряд команд ...
и пакетов можно не ставить, заменив их другими. Опытные mc
unrar
i386
i386
1:4.6.1a-50.20070604cvs.fc8 updates
3.7.8-1.lvn8 livna
2.1 M
102 k
пользователи сами поймут, где это можно сделать, всем ос- ...
Is this ok [y/N]: y
тальным будет проще следовать всем пунктам. Downloading Packages:
(1/2): unrar-3.7.8-1.lvn8 100% |=========================| 102 kB 00:00
Если в вашей фирме Интернет работает не как «проход- (2/2): mc-4.6.1a-50.20070 100% |=========================| 2.1 MB 00:00
ной двор», а ведётся учёт и контроль соединений, то, ско- warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 4f2a6fd2
Importing GPG key 0x4F2A6FD2 "Fedora Project <fedora@redhat.com>"
рее всего, это делается через прокси. Для того чтобы не пи- from /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora
сать лишние ключи к программам wget, yum и другим, про- Is this ok [y/N]: y
warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID a109b1ec
ще задать прокси через переменную окружения, выпол- Importing GPG key 0xA109B1EC "Livna.org rpms <rpm-key@livna.org>"
from /etc/pki/rpm-gpg/RPM-GPG-KEY-livna
нив команду: Is this ok [y/N]: y
...
export http_proxy=http://user:password@192.168.0.1:3128 Installed: mc.i386 1:4.6.1a-50.20070604cvs.fc8 unrar.i386 0:3.7.8-1.lvn8
Complete!

от имени пользователя, под которым будет выполняться

запуск программ. Установка FreeTDS и Wine
Если ваш прокси настроен на работу без аутентифика- Далее ставим пакеты, непосредственно необходимые
ции, то можно написать: для работы. Это Wine [7] – эмулятор, позволяющий запус-
кать программы, написанные для Windows. И FreeTDS [6] –
export http_proxy=http://192.168.0.1:3128 программа, позволяющая UNIX и Linux-приложениям рабо-
тать с MS SQL-сервером. Так как «САМО-Тур» имеет кли-
Запись можно сократить даже до: ент-серверную архитектуру, то клиентам понадобится под-
ключаться к серверу.
export http_proxy=192.168.0.1:3128 Ранее эти пакеты приходилось ставить вручную, ска-
чивая исходные коды и компилируя их, но сейчас ситуа-
но опытным путём установлено, что это работает не со все- ция изменилась, и готовые rpm-пакеты прекрасно уста-
ми программами. навливаются. Изменился лишь путь расположения файлов
По завершении работы следует не забыть «почистить» по умолчанию. Интересную статью по настройке FreeTDS
переменные окружения и .bash_history, т.к. в них будет со- в UNIX вы можете найти по адресу [8]. Раньше установка
держаться пароль в открытом виде. В конце статьи мы вер- происходила более сложно, но в процессе написания ста-
нёмся к этому вопросу. тьи выяснилось, что жизнь становится проще, и в нашем
Также во внутреннем пакетном фильтре, используя ко- случае это плюс.
манду iptables, следует не забыть создать правила, раз- Установку обоих пакетов вместе с необходимыми зави-
решающие исходящие подключения и сопутствующие им симыми пакетами можно запустить командой:
обратные пакеты. По умолчанию, после установки, все ис-
ходящие соединения разрешены, поэтому не должно быть # yum install freetds wine
проблем.
Те же, кто внесет правку в правила пакетного фильтра, После чего будет предложено установить пакеты и от-
без труда напишут разрешающие правила в обе цепочки носящиеся к ним зависимости:
для исходящих TCP-соединений по портам 80, 3128, 1433
...
и не забудут про пакеты, идущие к DNS-серверу и обрат- Installing:
но, в случае его использования. freetds
wine
i386
i386
0.64-7.fc8
0.9.58-1.fc8
fedora
updates
869 k
20 k
Первое, что нам нужно для упрощения жизни, – это под-
Installing for dependencies:
ключить репозитарий livna [5], чтобы после устанавливать jack-audio-connection-kit i386 0.103.0-5.fc8 updates 139 k
libfreebob i386 1.0.3-1.fc7 fedora 154 k
из него необходимые пакеты одной строчкой, а не ставить unixODBC i386 2.2.12-5.fc8 updates 954 k
компиляторы, средства разработки и пр. Для этого скачи- wine-capi i386 0.9.58-1.fc8 updates 25 k
wine-cms i386 0.9.58-1.fc8 updates 40 k
ваем пакет livna-release-8.rpm: wine-core i386 0.9.58-1.fc8 updates 10 M
wine-esd i386 0.9.58-1.fc8 updates 35 k
wine-jack i386 0.9.58-1.fc8 updates 37 k
wget http://rpm.livna.org/livna-release-8.rpm wine-ldap i386 0.9.58-1.fc8 updates 87 k
wine-nas i386 0.9.58-1.fc8 updates 23 k
wine-tools i386 0.9.58-1.fc8 updates 628 k
После устанавливаем его: wine-twain i386 0.9.58-1.fc8 updates 46 k
...

# rpm -ihv livna-release-8.rpm По окончании установки вы должны увидеть:

предупреждение: livna-release-8.rpm:
Заголовок V3 DSA signature: NOKEY, key ID a109b1ec
Подготовка... ############################## [100%]
1:livna-release ############################## [100%]
Затем ставим пакеты mc и unrar, отвечая «y».
# yum install mc unrar
Installed: freetds.i386 0:0.64-7.fc8 wine.i386 0:0.9.58-1.fc8
Dependency Installed: jack-audio-connection-kit.i386 0:0.103.0-5.fc8
libfreebob.i386 0:1.0.3-1.fc7 unixODBC.i386 0:2.2.12-5.fc8
wine-capi.i386 0:0.9.58-1.fc8 wine-cms.i386 0:0.9.58-1.fc8
wine-core.i386 0:0.9.58-1.fc8 wine-esd.i386 0:0.9.58-1.fc8
wine-jack.i386 0:0.9.58-1.fc8 wine-ldap.i386 0:0.9.58-1.fc8
wine-nas.i386 0:0.9.58-1.fc8 wine-tools.i386 0:0.9.58-1.fc8
wine-twain.i386 0:0.9.58-1.fc8
Complete!

44

После установки появится файл /etc/freetds.conf, куда мы
прописываем сервер, с которым будем работать (адрес, порт,
протокол, кодировку), добавлением следующих строк:
[Server80]
host = 192.168.0.2
port = 1433
tds version = 8.0
client charset=WINDOWS-1251
где Server80 – имя сервера, по которому с ним будет об-
щаться ODBC. Строчка «client charset=WINDOWS-1251» нуж-
на для того, чтобы русские буквы правильно передавались
в запросах, иначе вы увидите вместо списка пользовате-
лей на входе в «САМО-Тур» абракадабру.
Настройка unixODBC
Если вы были внимательны, то заметили, что у нас при ус-
тановке wine оказался зависимым, и был установлен пакет что могут быть совершены в будущем, и не ломать голову,
unixODBC-2.2.12-5.fc8.
Далее необходимо настроить базу данных Server80 че- проверить работу с базой данных от имени обычного поль-
рез unixODBC, чтобы её «видел» wine и тем самым «виде- зователя командой:
ли» и все приложения, запущенные под ним. Для этого со-
здаём два файла, имя и размещение которых не критич-
ны. В дальнейшем мы к ним обратимся. Для удобства име-
на файлов совпадают с указанными в [8].
Файл tds.driver.template:
[FreeTDS]
Description=FreeTDS for MSSQL
Driver=/usr/lib/libtdsodbc.so.0
Файл tds.datasource.template:
[labirint]
Driver=FreeTDS
Description=Labirint database
Trace=No
Servername=Server80
Database=labirint
После чего мы выполняем с правами администратора
установку драйвера:
# odbcinst -i -d -f tds.driver.template
В результате получим:
odbcinst: Driver installed. Usage count increased to 1.
Target directory is /etc
Далее с правами пользователя(!) устанавливаем базу,
которая будет работать через драйвер, установленный ад-
министратором (root) для всех:
$ odbcinst -i -s -f tds.datasource.template
Команда выполняется «молча».
С этого момента можно считать, что установка эмуля-
тора закончена и все последующие настройки следует вы-
полнять из-под него.
Замечание: часть команд, как и установка эмулятора,
проходит с правами администратора (root), а все последу-
ющие запуски приложений и пр. с целью повышения безо-
пасности выполняются с правами обычных пользователей.
№5, май 2008
администрирование
Рисунок 1. Окно создания кнопки запуска
(ярлыка на «Рабочем столе»)
То есть для работы с системой вы создаете учетную запись
обычного пользователя и под ним запускаете Х, браузеры,
«САМО-Тур» под эмулятором и другие программы.
Чтобы отделить возможные ошибки на этом этапе от тех,
почему нет связи с сервером, не обязательно, но можно
isql -v labirint user pass
где labirint – имя базы из файла tds.datasource.template, а user
и pass – логин и пароль, заведённые на сервере. В случае
успеха вы должны увидеть приглашение базы данных:
+--------------------------------+
| Connected! |
| |
| sql-statement |
| help [tablename] |
| quit |
| |
+--------------------------------+
SQL>
Если же соединение по какой-то причине не было уста-
новлено, то вы увидите ошибку вроде этой:
[S1000][unixODBC][FreeTDS][SQL Server]Unable to connect to data source
[37000][unixODBC][FreeTDS][SQL Server]Login failed for user 'wintour'.
[28000][unixODBC][FreeTDS][SQL Server]Login incorrect.
[ISQL]ERROR: Could not SQLConnect
Замечание: обратите внимание, если вы запускали
команду выше, то переданные ей через командную стро-
ку логин и пароль сохранились в открытом виде в файле
.bash_history.
Работа под wine
После установки эмулятора необходимо его запустить, что-
бы в домашней директории запускающего его пользовате-
ля была создана директория .wine, в которой будет нахо-
диться эмулируемый диск C: и др. файлы. Можно создать
эти директории вручную, но наиболее простой способ за-
пустить wine, передав ему в качестве параметра имя лю-
бого несуществующего файла, например 123.
wine 123
после этого вы получите сообщение об ошибке:
wine: could not load L"C:\\windows\\system32\\123.exe":
Module not found
45
 администрирование
Но мы и так знаем, что такого фай-
ла нет, зато после мы сможем взять
программу «САМО-Тур» с работаю-
щей Windows‑машины и скопировать
в директорию: «/home/домашняя_ди-
ректория_пользователя/.wine/drive_c/
Program Files/WinTour».
Практика показала, что под эму-
лятором это наиболее простой и быс-
трый путь, чем установка и настройка
из дистрибутива.
После копирования программы,
с помощью правой кнопки мыши, со-
здаём на рабочем столе ярлык (кноп-
ку запуска) (см. рис. 1).
В поле «Команда» с помощью кноп-
ки «Посмотреть...» находим файл.
Учтите, что директории и файлы,
имена которых начинаются с точки, как
«.wine», отображаться не будут. Для то-
го чтобы их увидеть, надо нажать пра-
вую кнопку мыши и включить показ
Рисунок 2. Включение опции «Показывать скрытые файлы» (имена которых начинаются
скрытых файлов (см. рис. 2). с точки)
Или руками прописываем:
В результате выполнения команды узнаём, что файл
"/home/домашняя_директория_пользователя/.wine/drive_c/ ↵ был скачан с другого адреса: http://files.jrsoftware.org/misc/
Program Files/WinTour/Wintour.exe"
bdeinst.cab и его размер 3 663 697 (3.5M) байт.
Далее дописываем слева от этой команды wine и соз- Следующий этап – это распаковка архива. Для этой
дание переменной WINEPREFIX: цели нам понадобится команда cabextract. В установке
по умолчанию её нет, поэтому найти её можно тут: http://
env WINEPREFIX="/home/labirint/.wine" wine "/home/ ↵ www.cabextract.org.uk, а скачать, распаковать, скомпили-
домашняя_директория_пользователя/.wine/ ↵
drive_c/Program Files/WinTour/Wintour.exe" ровать и поставить командами:

Часто работает и без указания переменной префик- wget http://www.cabextract.org.uk/cabextract-1.2.tar.gz

tar -zxvf cabextract-1.2.tar.gz -C /progi
са пути: cd /progi/cabextract-1.2
./configure
wine "/home/домашняя_директория_пользователя/.wine/ ↵ make
drive_c/Program Files/WinTour/Wintour.exe" #make install

Если необходимо, то меняем значок на иконке, за- но, т.к. это требует средств разработки и компилятора, ко-
писываем имя и комментарий, после чего программа торые у нас не установлены, и вообще, это команда нам
«САМО‑Тур» готова к запуску. нужна всего лишь один раз, чтобы достать из архива файл
BdeInst.dll, то, как в анекдоте про муравья, который, глядя
Запуск «САМО-Тур» на железнодорожный рельс, произнёс фразу: «Умный в го-
Запускаем программу щелчком по иконке и видим ошиб-
ки (см. рис. 3, 4).
Как видим, программа запускается, но с базой работать
не хочет. Так как это приложение Delphi, то для нормальной
работы ей требуется наличие BDE (Borland Database Engine),
что недвусмысленно указано во второй ошибке, к установ-
ке которого мы и переходим.
Рисунок 3. Ошибка подключения к SQL-серверу
Установка BDE
Забегая немного вперёд, cкажу, что для установки нам ну-
жен файл BdeInst.dll, так, что если он у вас есть, то можете
пропустить несколько абзацев. Если же у вас нет этого фай-
ла, то вы найдёте его внутри cab-архива bdeinst.cab.
Скачиваем файл следующей командой:

wget http://www.jrsoftware.org/download.php/bdeinst.cab
Рисунок 4. Ошибка инициализации BDE

46

Рисунок 5. Окно с выбором пути
установки BDE
Рисунок 6. Предупреждение о нехватке
свободного места
Рисунок 7. Подтверждение создания
директории
ру не пойдёт, умный гору обойдёт», мы
воспользуемся установкой через yum, Program Files\Common Files\Borland
запустив команду:
# yum install cabextract
...
Installed: cabextract.i386 0:1.1-7.fc8
Complete
После этого извлекаем из архива ма же не знает, что мы её безбожно ду-
нужный файл:
$ cabextract bdeinst.cab
bdeinst.cab: WARNING; possible 4536 extra но командой df, запомнить легко, со- (см. рис. 12).
bytes at end of file.
Extracting cabinet: bdeinst.cab
extracting BdeInst.dll
All done, no errors.
Рисунок 8. Окно BDE Administrator
№5, май 2008
администрирование
В результате, у нас должен по- После быстро пробегает индика-
лучиться файл BdeInst.dll размера тор прогресса, и все окошки исчеза-
3 853 824 байт от 27.01.2000. ют. Лишь в консоли, откуда осущест-
Отступление. Кстати, а вы знаете, влялся запуск установки, можно уви-
чем умный человек отличается от муд- деть сообщение о том, что библиотека
рого? Умный – знает, как выйти из лю- BdeInst.dll была успешно установлена
бой ситуации, например, распаковать и зарегистрирована.
файл, установив компиляторы, архи-
Successfully registered DLL BdeInst.dll
ваторы, библиотеки и пр., потратив
полдня. А мудрый – знает, как не по- Следующий этап не обязательный,
пасть в эту ситуацию, он, скорее все- но мы можем проверить, видит ли BDE
го, распакует файл на другой Windows- нашу базу, для чего запускаем от обыч-
машине. ного пользователя:
Имея нужную библиотеку, регист-
рируем её в wine-эмуляторе, выполнив wine "c:/Program Files/ ↵
Common Files/Borland Shared/ ↵
следующую команду от имени обычно- BDE/BDEADMIN.EXE"
го пользователя:
В результате, мы увидим окно BDE
wine c:/windows/system32/ ↵ Administrator (см. рис. 8).
regsvr32.exe BdeInst.dll
Если мы заходим посмотреть па-
после чего на экране «бежит» инди- раметры базы, то мы можем нажать
катор прогресса и выскакивает окош- на «+» слева от её имени, после чего
ко с вопросом, куда ставить Borland выскочит окно ввода логина и пароля
Database Engine (см. рис. 5). (см. рис. 9).
Оставляем по умолчанию: «C:\ Теперь, когда мы убедились, что
BDE Administrator видит базу, можно
Shared\BDE», а в Linux это будет: ещё раз переходить к запуску «САМО-
«/home/домашняя_директория_поль- Тура». Щёлкаем по ранее созданной
зователя/.wine/drive_c/Program Files/ иконке и видимо окошко (см. рис. 11).
Common Files/Borland Shared/BDE». Ждём пару секунд, и появляет-
Нажимаем «OK» и видим ошибку ся привычное окно входа в систему
(см. рис. 10).
о нехватке места (см. рис. 6). Програм-
Набираем имя для входа и па-
рачим, поэтому нажимаем «yes». роль, и мы в программе. Выбираем
Если же вы сомневаетесь, то про- в меню справочники, заявки и можем
верить свободное место в Linux мож- полноценно работать с программой
кращение от слов disk free.
Далее, выскакивает вопрос о со- Дополнительно
здании директории, т.к. её нет, мы со- Так как ядро – важная часть любой сис-
глашаемся (см. рис. 7). темы, то для более стабильной и безо-
Рисунок 9. Окно ввода логина и пароля
для подключения к базе данных
Рисунок 10. Окно выхода в программу
47
 администрирование
...
Installed: kernel.i686 0:2.6.24.5-85.fc8
Complete!

Выполняем перезагрузку, проверяем версию:

uname -a
Linux New1 2.6.24.5-85.fc8 #1 SMP Sat Apr 19 12:39:34 EDT 2008
i686 i686 i386 GNU/Linux

Проверяем работу «САМО-Тур», изменений в работе

Рисунок 11. Окно, появляющееся после запуска программы
«САМО-Тур»
пасной работы лучше обновить его до последней доступ-
ной или, просто, более свежей версии.
Без фанатизма и компилирования это можно сделать
командой:
# yum update kernel
Видим, что ядро установилось:
не должно быть.
Переходим к следующему пункту.
Вопросы безопасности
Если помните, то в самом начале мы прописывали прок-
си сервер в переменных окружения, а также могли запус-
тить программу isql, передав ей логин и пароль в команд-
ной строке.
Чтобы эта информация никому не досталась – удаляем
файлы /root/.bash_history и .bash_history в домашней ди-
ректории пользователя, от которого мы работали. Удалять
файлы целиком совсем не обязательно, достаточно найти
в них нужные строчки и затереть их, т.к. история команд

Рисунок 12. Снимок экрана, сделанный во время работы программы «САМО-Тур» под Linux

48
 администрирование
может быть очень полезной вещью для забывчивых поль-
зователей и администратора.
Так как мы перезагрузились, то переменная окружения
http_proxy у нас не сохранилась, если же вы этого не дела-
ли, то посмотреть установленные переменные можно ко-
мандой set, а удалить переменную с помощью unset.

О «глюках» в «САМО-Туре», или

Ложка дёгтя
Несмотря на то что программа запускается и стабильно ра-
ботает, типичную русскую ситуацию «обработать напиль-
ником до принятия нужной формы» никто не отменял. Есть
несколько проблем.
Первая проблема состоит в том, что программа из-
начально была «заточена» под использование Microsoft
Office, а её разработчики так увлеклись «интегрировани-
ем» своего продукта в чужеродный, что не заметили из-
менившихся потребностей рынка и в спешке были вы-
нуждены адаптировать «САМО-Тур» к OpenOffice. После
чего в версии под Windows у каждого пользователя в на-
стройках появилась долгожданная возможность выбора
(см. рис. 13).
Для того чтобы «САМО-Тур» под wine увидел OpenOffice
Рисунок 13. Окно настройки профиля пользователя
в Linux, пришлось смириться, что wine-0.9.58-1.fc8 ещё не го- с возможностью выбора параметров экспорта в OpenOffice
тов предоставлять такую интеграцию и поставить ещё од-
ну windows-версию OpenOffice под эмулятором. Надо ска-
зать, что для OpenOffice это вообще не проблема, уста-
новка проходит несколькими щелчками мыши, запуском
одной команды:

wine OOo_2.4.0_Win32Intel_install_ru_infra.exe
К сожалению, код экспорта из программы «САМО-
Тур» в самой программе встречается несколько раз, и все
эти места корректно переписывать у разработчиков
«САМО-Тура» нет желания, поэтому зачастую можно уви-
деть ошибку «Variant does not reference an automation object»
(см. рис. 14).
Что в этом случае делать, не знаю, т.к. разработчики
«САМО-Тура» помогать отказываются. Предполагаю, что
побороть это можно и другим путём, с помощью wine, ес-
ли в последнем появится поддержка «родного» Open Office
под эмулятором.
Заключение
Запуск «САМО-Тура» под Linux – это большое достижение
на рынке туроператоров. Это последний камень преткнове-
ния при переходе на ОС Linux, т.к. для всех других пользо-
вательских приложений давно существуют не менее фун-
кциональные аналоги.
Также это большое достижение для моей фирмы в воп-
росе экономии и перевода всего программного обеспече-
ния на Open Source.
Перед Новым годом нам пришлось закупить с десяток
новых ноутбуков, которые мы вынуждены были приобрес-
ти с установленной ОС Windows Vista, т.е. заплатить за неё,
а после стереть и не использовать. Очень жаль, что про-
изводители не предоставляют широкий выбор ноутбуков
без ОС.
Рисунок 14. Окно ошибки «Variant does not reference
an automation object», возникающей при попытке экспорта
данных в Open OfficeCalc под эмулятором wine
Также следует отметить, что миграция пользователей
в нашей фирме проходит довольно легко, т.к. набор ис-
пользуемых менеджерами программ практически кросп-
латформенный: Mozilla Firefox, Thunderbird, Sunbird, а те-
перь и «САМО-Тур».
Обсудить возникающие вопросы всегда можно на фо-
руме http://www.samag.ru/forum.
1. Страница продукта «Мастер-Тур» – http://www.megatec.ru/
?m=60.
2. Тема форума о портировании «Мастер-Тура» под Linux –
http://crmportal.megatec.ru/Default.aspx?tabid=53&forumid=
6&threadid=254&scope=posts.
3. Страница продукта «САМО-Тур» – http://samo.ru/index.php?
module=products&showitem=2.
4. Тема форума о портировании «САМО-Тура» под Linux –
http://forum.samo.ru/index.php?s=e9056965fd0ea9773dfc20aa2
bd1ac84&showtopic=4051.
5. Репозитарий rpm.livna.org, содержащий дополнительные па-
кеты для Fedora Linux – http://rpm.livna.org/rlowiki.
6. Проект FreeTDS, способ обращения из под UNIX и Linux к сер-
верам MS SQL – http://freetds.org.
7. Эмулятор Wine HQ – http://www.winehq.org.
8. Руководство по ODBC и MyODBC, а также пример исполь-
зования FreeTDS – http://www.citforum.ru/database/mysql/odbc/
unixodbc.shtml.

№5, май 2008 49

 администрирование

Фильтруем спам в Exim с помощью

SpamProbe

Павел Литвинов
Основой почтового сервера в нашей организации был Exim. Он отлично справлялся со своей
задачей, при том что работал на достаточно слабом компьютере. Но через какое-то время
количество нежелательной почты (спама) в организации возросло до такой степени, что это
стало серьезной проблемой. И эту проблему надо было как-то решать.

Выбираем подходящий тирования (не автообучаемый), да и (токена) со списками в базе, и на ос-

антиспам-фильтр
Стандартными средствами Exim отсе-
ивалось большое количество спама,
но не все. Посему было решено «при-
крутить» к нему какой-нибудь анти-
спам-фильтр. Сказано – сделано. Не-
долгие поиски в Интернете определи-
ли два основных претендента:
n SpamAssassin;
n DSPAM.
Первый хоть и был «раскручен», об-
ладал, на мой взгляд, одним, но весо-
мым недостатком. Учитывая, что эта
программа была написана на Perl, она
сильно нагружала сервер при боль-
шом количестве входящей почты.
А если взять в расчет то, что на поч-
товом сервере еще работал антиви-
рус ClamAV, который и без того сла-
бую машинку буквально вводил в сту-
пор при анализе писем с вложенными
файлами, было решено не использо-
вать этот вариант.
Второй мне понравился больше,
но я не смог в нем найти «белый спи-
сок» с возможностью ручного редак-
не хотелось устанавливать на и так новании этого вычисляется оценка.
загруженный компьютер базу данных Оценка эта колеблется в диапазоне
MySQL, которая была необходима от 0 до 1, где значение 0 означает от-
для полноценной работы DSPAM. В об- сутствие признаков спама, 1 – полную
щем, и этот вариант мне не подошел. уверенность в том, что это спам.
Начался второй этап поиска. Про- По своей сути SpamProbe является
сматривая порты на момент ключево- маленькой программой, дающей оцен-
го слова «SPAM», мне на глаза попал- ку письму с определенной долей веро-
ся SpamProbe. Что сразу понравилось, ятности. Она даже не имеет конфигу-
программка была написана на C++, рационного файла, хотя, как мы уви-
была маленькой, шустрой в работе дим дальше, эта особенность не по-
и не требовала установки базы дан- мешает нам создать на его основе
ных, в отличие от DSPAM. К тому же спам-фильтр не только не уступаю-
алгоритм работы программы постро- щий, но даже превосходящий в неко-
ен на основе математической теоремы торых моментах спам-фильтры, упо-
Байеса. А ведь именно этот метод ста- мянутые мной выше.
тистической фильтрации является на-
иболее удачным и используется прак- Приступаем к установке
тически всеми спам-фильтрами, в том и настройке
числе и упомянутыми ранее. Установку программы производим, как
Метод Байеса подразумевает ис- всегда, из портов:
пользование статистической, оценоч-
ной базы, разделенной на две части, # cd /usr/ports/mail/spamprobe
# make -s install clean
одна из которых содержит черный спи-
сок слов, а другая – белый. При анали- После установки создаем базу, где
зе письма подсчитывается количество SpamProbe будет хранить базу данных
совпадений каждого отдельного слова токенов (слов или словосочетаний, ко-

50

торые с определенной долей вероятности могут присутство-
вать в письме, содержащем или не содержащем спам):
# spamprobe -d /var/lib/spamprobe create-db
где /var/lib/spamprobe – путь к папке базы данных.
Изучение документации на предмет сопряжения
SpamProbe и Exim в виде одного-единственного файла
README.txt не дало ровным счетом ничего. Продолжи-
тельные поиски в Интернете вывели на блог, где был опи-
сан один из способов, который я, в свою очередь, с неко-
торыми доработками и комментариями предлагаю ваше-
му вниманию.
В конфигурационный файл Exim добавляем следую-
щие строки:
system_filter = /usr/local/etc/spamprobe/exim.filter
# system_filter_user = mailnull
# system_filter_group = mail
#########################################################
# ACL CONFIGURATION
# Specifies access control lists for incoming SMTP mail #
#########################################################
Проблема в том, что я так и не смог заставить полно-
ценно работать системный фильтр не от привилегирован-
ного пользователя (root).
Комментарии приведены только для того, чтобы вы мог-
ли сориентироваться, в какое именно место конфигурацион-
ного файла Exim вставлять ссылку на системный фильтр.
Теперь создаем непосредственно сам файл системно-
го фильтра /usr/local/etc/spamprobe/exim.filter:
# Exim filter
# Ни в коем случае не удаляйте верхнюю строку
# Путь к лог-файлу
logfile /var/log/exim/spam-filter.log
# Указываем максимальный размер письма, которое будет
# подвержено анализу (Кб).
# Число взял из конфигурационного файла DSPAM
add 307200 to n0
# Проверяем письмо только один раз, даже если Exim
# с первого раза его не сможет доставить.
# Нечего плодить заголовки X-SpamProbe:
if first_delivery
then
if $message_size is above $n0
then
# Если не нужно вести лог-файл, закомментируйте строку
# ниже
logwrite "SPAM FILTER: Размер письма от $return_path ↵
превышает $n0 Kb ; Письмо не будет проходить проверку"
else
headers add "X-SpamProbe: ↵
${run {/usr/local/etc/spamprobe/msgscore.sh ↵
${message_id} ${quote:${message_headers}}} ↵
{$value} {expansion failed} }"
# Если не нужно вести лог-файл, закомментируйте строку
# ниже
logwrite "SPAM FILTER: Письмо от $return_path ↵
успешно прошло проверку; $value"
endif
endif
И наконец скрипт msgscore.sh:
#!/bin/sh
# Путь к месту, где почта хранится до момента доставки
spooldir=/var/spool/exim/input
№5, май 2008
администрирование
# Путь к базе, где SpamProb хранит токены
dbdir=/var/lib/spamprobe
# Полный путь к программе SpamProbe
path_spamprobe=/usr/local/bin/spamprobe
# Находим полный путь к нашему письму.
# Если бы не опция " split_spool_directory = true "
# в конфигурационном файле Exim он бы соответствовал
# переменной ‘$spooldir/$1-D’
path_file=`/usr/bin/find $spooldir -name $1-D -print`
echo "$2" > $spooldir/$1-M
sed '1 s/.*//' $path_file >> $spooldir/$1-M
$path_spamprobe -8 -d $dbdir score $spooldir/$1-M
rm $spooldir/$1-M
exit 0
После этого можно сказать, что основная часть рабо-
ты выполнена, но не будем торопиться. Проверить рабо-
ту фильтра просто, для этого необходимо пропустить пару
писем через ваш сервер и посмотреть сначала лог-файл,
а потом – появился ли в исходном тексте письма заголо-
вок следующего вида:
#
X-SpamProbe: GOOD 0.9999999 a1c5e42b21f4e60f55596ca70ae48e7f
где GOOD – говорит о том, что ваше письмо с вероятностью
0,9999999 не является спамом. Набор из 32 букв и цифр –
уникальный идентификатор письма.
Еще один момент. Пока вы не начнете обучать SpamProbe,
все письма будут промаркированы как GOOD.
Если все прошло удачно, приступаем к следующе-
му этапу. Настроим в Exim обработку промаркирован-
ных SpamProbe писем. Для этого в секцию ROUTERS
CONFIGURATION добавим следующее:
#########################################################
# ROUTERS CONFIGURATION #
# Specifies how addresses are handled #
begin routers
# SpamProbe start #############
SP_spam_router:
driver = accept
domains = +local_domains
local_part_prefix = spam
transport = SP_spam_transport
SP_no-spam_router:
driver = accept
domains = +local_domains
local_part_prefix = no-spam
transport = SP_no-spam_transport
# SpamProbe end ###############
dnslookup:
driver = dnslookup
domains = ! +local_domains
transport = remote_smtp
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
no_more
# SpamProbe start #############
SP_check_router:
driver = accept
domains = +local_domains
local_parts = lsearch;/usr/local/etc/spamprobe/users
condition = ${if and {{match{$h_X-SpamProbe:}{SPAM}} ↵
{!match_address{$sender_address} ↵
{lsearch;/usr/local/etc/spamprobe/whitelist}}}}
transport = SP_check_transport
no_more
# SpamProbe end ###############
Здесь очень важно соблюсти последовательность
при добавлении новых роутеров.
51
 администрирование
Пожалуй, стоит разъяснить некоторые строки кода. log_output = true
return_path_add
Роутеры SP_spam_router и SP_no-spam_router необходи- # headers_remove = X-SpamProbe
мы для обучения нашего спам-фильтра. «Не ошибается тот,
SP_spam_transport:
кто ничего не делает» – гласит пословица, так и в нашем driver = pipe
случае. Если фильтр допустил ошибку и вместо того, чтобы command = "/usr/local/bin/spamprobe ↵
–d /var/lib/spamprobe spam"
пометить письмо как SPAM, пометил его GOOD, перешли- return_path_add = false
те это письмо как вложение на адрес spam@(ваш домен), return_fail_output = true
log_output = true
и вы увидите, что в следующий раз это письмо будет про- user = mailnull
маркировано правильно. Аналогично поступаем в обрат- group = mail
ной ситуации, но пересылать письмо теперь будем на ад- SP_no-spam_transport:
рес no-spam@(ваш домен). driver = pipe
command = "/usr/local/bin/spamprobe ↵
Роутер SP_check_router собственно выполняет провер- –d /var/lib/spamprobe good"
ку и дает оценку письму путем добавления в тело заголов- return_path_add = false
return_fail_output = true
ка X-SpamProbe: log_output = true
user = mailnull
local_parts = lsearch;/usr/local/etc/spamprobe/users group = mail
# SpamProbe end #############

Определяет список пользователей, для которых будет В этом разделе последовательность при добавле-
работать спам-фильтр. В моем случае не требовалось филь- нии не имеет такого значения, как в разделе ROUTERS
тровать письма абсолютно всех пользователей, это обус- CONFIGURATION.
лавливалось личными предпочтениями каждого. Поэтому Как мы можем наблюдать, письма, отмеченные
было принято решение создать специальный файл, содер- как SPAM, отправляются в папку .INBOX.Spam. В моем
жащий имена тех пользователей, кому это действительно случае с помощью программы deliver из пакета dovecot.
было необходимо. Причем у каждого пользователя существует своя папка
Синтаксис файла users такой: .INBOX.Spam, поэтому в случае ошибки спам-фильтра поль-
зователь всегда может заглянуть в нее и поискать пропав-
# Список пользователей, письма которых анализируются шее письмо.
# антиспамом
admin Хочу отметить, что мною приведен пример, который яв-
maxim ляется базовым, но ни в коем случае не окончательным.
hostmaster
oleg Если у вас есть желание, то не поленитесь, прочитайте до-
gl_sten кументацию по Exim (http://www.exim.org) (перевод можно
найти по адресу http://www.lissyara.su/?id=1200). Вам впол-
Примечание: никаких регулярных выражений, только не по силам будет добавить, а может, и улучшить вышео-
точное соответствие. писанный способ фильтрации спама.
Теперь по поводу строки: Ну и напоследок несколько полезных скриптов:
Первый – для обучения spamprobe в ручном режиме:
condition = ${if and {{match{$h_X-SpamProbe:}{SPAM}} ↵
{!match_address{$sender_address} ↵
{lsearch;/usr/local/etc/spamprobe/whitelist}}}} #!/bin/bash

spamprobe -d /var/lib/spamprobe spam ./spam/*

с первым условием, я думаю, все понятно, а второе условие –
это своеобразная попытка сделать белый список адресов,
почта с которых априори не является спамом. Синтаксис
файла whitelist аналогичен синтаксису файла users:
# Список адресов, которым можно доверять,
# и не анализировать почту, приходящую от них
murzilka@ukr.net
meren@mail.ru
office@predpriyatie.com
info@rambler.ku
А в секции TRANSPORTS CONFIGURATION непосредс-
твенно сам транспорт:
spamprobe -d /var/lib/spamprobe good ./nonspam/*
Этот скрипт вам, возможно, понадобится на начальном
этапе работы спам-фильтра.
И второй для cron:
0 3 * * * * root find /var/mail/*/*/.INBOX.Spam/new/* ↵
-ctime +30 -exec rm -f {} \;
Этот скрипт проверяет все папки .INBOX.Spam у всех
пользователей на наличие в них писем старше 30 дней
и удаляет их.
Вот, пожалуй, и все.

######################################################### P.S.: Хочу выразить благодарность:

# TRANSPORTS CONFIGURATION #
n Михаилу Позднякову за статью «Фильтрация СПА-
# SpamProbe start ############# Ма с помощью SpamProbe» – http://www.ru-clc.org/
SP_check_transport:
driver = pipe node/102.
command = "/usr/local/libexec/dovecot/deliver ↵ n Виталию Захарову за статью «DSPAM extension to exim» –
-d $local_part@$domain -m INBOX.Spam"
user = mailnull http://www.lissyara.su/?id=1301.
group = mail n Алексею Кеда за проект www.lissyara.su.

52
 администрирование «1С»

Хитрости и тонкости работы,

позволяющие экономить время

Андрей Луконькин
В версии 8.х «1С:Предприятие» появилось много нового и отличного от версии 7.7, поэтому
возникают самые неожиданные вопросы. Вот несколько подобных вопросов, которые часто
задают на форумах как новички, так и старожилы.

При преобразовании числа из 4 мер, параметр «Группировка» устано- кнопку «М+» (или сочетание клавиш
цифр в строку количество символов вить в «0»). <Shift + <Num> + <+>). При этом встро-
в строке равно 5. Почему? Для получения строкового пред- енный калькулятор «1С:Предприятие»
В стандартных региональных настрой- ставления года следует не получать просуммирует все выделенные значе-
ках для русского языка при приведе- числовое значение года, а использо- ния и сохранит в своей памяти. Для то-
нии числа к строке между группами вать функцию «Формат». Например: го чтобы увидеть получившийся итог,
разрядов чисел вставляется нераз- нужно открыть этот калькулятор (на па-
рывный пробел (Символы.НПП, код Строка1 = Формат(ТекущаяДата(), ↵ нели управления или с помощью соче-
"ДФ=yyyy");
символа – 160). тания клавиш <Ctrl> + <F2>) и в поле
Например: «М=» будет видна интересующая нас
Как быстро посчитать итог по сум- сумма, равная итоговой по всем отоб-
Год = 2003; мам документов в журнале за вы- ражаемым в журнале документам.
Строка1 = Строка(Число1);
бранный интервал?
В результате выполнения неболь- Конечно, настоящий программист на- Как получить модуль числа?
шого кода получаем результат: пишет отчет. Но есть и стандартный ва- Среди стандартных функций работы
риант решения, который по силам аб- с числами нет функции получения мо-
Строка1 = "2 003"
солютно всем. дуля числа. Поэтому приходится обхо-
То есть длина строки – 5 символов, В открытом журнале документов диться тем, что имеется в наличии.
включая неразрывный пробел. (или форме списка документа опре- Используя функцию «Макс», нахо-
Чтобы преобразовать число к стро- деленного вида) нужно нажать пра- дим максимум положительного и отри-
ке без вставки символа-разделителя вую кнопку мыши для вызова контекст- цательного значений переменной:
групп (неразрывного пробела), нужно ного меню и выбрать пункт «Вывести
применить функцию «Формат» с пара- список». Весь представленный на эк- Мод = Макс(А, -А);
метром ЧГ=0: ране журнал документов получится
в виде табличного документа. Важ- С помощью этой же функции мож-
Строка1 = Формат(Число1,"ЧГ=0"); но, чтобы там присутствовала колон- но производить замену отрицательных
ка «Сумма», итог по которой мы и хо- значений на ноль:
Чтобы изменить преобразование тим узнать. Колонку «Сумма» выде-
чисел к строке по умолчанию, нужно ляем мышкой или с помощью клави- Неотр = Макс(А, 0);
для информационной базы устано- атуры (кто как привык), затем навер-
вить региональные настройки (напри- ху на панели инструментов нажимаем На этом все. Удачи!

№5, май 2008 53

 человек номера

Открытия Николая Новожилова

Педагог, который не учит, руководитель, который не отдает приказы, отец, который

не навязывает детям свою точку зрения. Это все о нем.

М
не нравится писать про учи- Дар управленца тов! «Мы учим системных админист-
телей. Знаете почему? Эти В 2006 году Николай Леонидович Но- раторов, программистов, они повы-
люди, может быть, из-за того, вожилов попал на Кубок Москвы по уп- шают свою квалификацию, – расска-
что постоянно общаются с детьми, са- равленческой борьбе и открыл для се- зывает Николай Леонидович. – Че-
ми начинают немного по-детски смот- бя мир управленческих поединков. рез некоторое время становятся на-
реть на мир. Не все, конечно, но луч- Вскоре Николай Новожилов получил чальниками, возвращаются: «А мы не
шие перенимают исключительно ребя- лицензию Таллиннской школы менед- умеем управлять... Как заставить ра-
чье качество характера – умение каж- жеров Владимира Константиновича ботать подчиненных?» Многие из тех,
дый день делать открытие. Даже если Тарасова и теперь сам преподает ис- кто учится у нас управленческой борь-
оно состоит всего лишь в увиденной кусство управленческой борьбы, про- бе, – это наши выпускники. Начальни-
впервые радуге... Как ни странно, кан- водит тренировочные управленческие ки отделов приходят учиться, руково-
дидат наук, директор Академии кор- поединки, циклы семинаров по управ- дители IT-компаний. Причем проходят
поративных систем Николай Новожи- ленческому искусству. Слушатели Ака- длительные тренировочные поедин-
лов, взрослый, солидный человек, то- демии корпоративных систем совсем ки, регулярно тренируются, получают
же умеет делать открытия! И это очень не против нового увлечения директо- обратную связь». Интересуюсь: «Нуж-
ему помогает и в профессиональной ра академии, образовательная про- но постоянно тренироваться, чтобы
деятельности, и в семейной жизни. грамма «Искусство управленческой не потерять форму?» – «Я бы не ска-
Не верите? Сейчас убедитесь… борьбы» востребована на сто процен- зал «нужно», я бы сказал – «хочется».

54
 человек номера
Причем заметно, что с течением вре-
мени люди меняются. У нас есть один
активный участник, который работает
в IT-компании руководителем проек-
та. Первоначально, когда он выступал
в управленческих поединках, он очень
жестко отстаивал свою позицию, ни
шагу назад, входил в жесткий конф-
ликт. С течением времени манера из-
менилась, он стал играть с противни-
ком, уходить в сторону».
Вообще-то Николай начинал про-
фессиональную деятельность в ка-
честве научного сотрудника в Инсти-
туте радиотехники и электроники Ака-
демии наук СССР. И кандидатскую за-
щитил на тему, весьма далекую от уп-
равления, информационных техноло-
гий, – по организации вычислитель-
ных процессов. В 25 лет Новожилов,
по его собственному признанию, по-
нял, что его возможности роста в этой
области исчерпаны, и в 30 лет ушел
в компьютерный бизнес, чтобы за-
явить о себе достаточно громко и яр-
ко на постах руководителя различ-
ных компаний, в том числе «Радома»,
учебного центра СофтЛайн. Станов-
ление Николая Новожилова как руко-
водителя шло успешно. «Через какое- жешь». «На следующий день, – говорит В судейской коллегии три секто-
то время пришло понимание, что уп- знакомая, – я иду по коридору и вижу – ра. Первый – нанимающиеся на рабо-
равление – это долгосрочный процесс. бумажка валяется. Я кидаюсь к теле- ту, они смотрят за диалогом двух сто-
На нижнем уровне надо просто управ- фону, звоню в хозяйственную часть, го- рон, выбирают, к кому бы из них пошли
лять людьми, чтобы они понимали, ка- ворю: «Уберите срочно!» Сколько лет на работу и голосуют. Вторая судейс-
кие у них функции, а на верхнем уровне я потом там работала, реакция у всех кая коллегия решает, кого из двоих они
ты должен становиться учителем, вос- была абсолютно одинаковая. Все сле- бы отправили на переговоры. Не обя-
питателем». Что дала Николаю Леони- дили за порядком». Он воспитал всех зательно того, кто выиграл. И третья
довичу школа Тарасова? Понимание, за два часа. Он мог прочитать лек- коллегия выбирает, кому бы они до-
что управление – это не рациональ- цию, воздействовать на рациональ- верили собственность. Разные колле-
ный процесс, когда все идет по зара- ном уровне, и вряд ли бы это сработа- гии голосуют по-разному. Чаще все-
нее придуманному плану. Новожилов ло. Это особый дар – совершить пос- го собственники за одного, нанима-
вспоминает: «Ученица Тарасова при- тупок, который потом будет управлять ющиеся – за другого. Один сильный,
вела из своей жизни такой пример. другими людьми. Это технология. Во- всех подавляет, собственник ему до-
Она работала в большом многофунк- обще, управленец – очень тяжелая верил, но работать у него очень слож-
циональном бизнес-центре. И в какой- профессия…» но. Обратная связь дается на несколь-
то момент руководитель этого бизнес- Поединки по управленческой борь- ких уровнях. Первый – это восприятие.
центра собирал топ-менеджеров и го- бе для Николая Новожилова больше, Второй – как ты понимаешь ситуацию,
ворит: «У нас в компании беда про- чем захватывающее зрелище, больше, за что борешься: за конкретную выго-
изошла». 18 человек прилетели на со- чем часть бизнеса. Это важная часть ду или власть? Третий уровень связан
вещание: «Что произошло?» – «Я под- жизни. Он и рассказывает о них с лю- с ценностями и убеждениями. В этих
хожу к лифту, и там, где клавиши на- бовью, подробно, интересно: поединках человек проявляет себя
жимать, жирное пятно». Он поднимает «Огромный зал. Больше 100 чело- очень ярко. Многие люди сами себя ог-
финансового директора: «Вы видели? век зрителей и участников, судейс- раничивают, а на деле они могут сде-
Как вы отреагировали, как вы к этому кая коллегия. Свет юпитеров. Диало- лать гораздо больше и претендовать
относитесь?» Два часа он по очереди ги двух управленцев, которые пыта- на гораздо большее».
беседовал с каждым. Все время пы- ются выяснить, кто из них самый-са-
тался встать человек, который отвеча- мый. Причем главное даже не выиг- Семь Я
ет за хозяйственную службу. Руководи- рать поединок, а воздействовать на ок- Может быть, это и не открытие. А по-
тель говорил: «Ты сиди, ты потом ска- ружающих. моему – самое настоящее и самое

№5, май 2008 55

 человек номера
чем особо не увлекался. А потом заин-
тересовался хоккеем, стал занимать-
ся в любительской команде «Буревес-
тник». И несмотря на высокие нагруз-
ки, тренировки четыре раза в неделю
и постоянные самостоятельные заня-
тия, мальчик вдруг стал хорошо учить-
ся. «Думаю, отличником станет», – сме-
ется Николай Леонидович. Он дово-
лен успехами сына, ему очень нравит-
ся команда, за которую играет млад-
ший Новожилов: «Два года они выиг-
рывают «Золотую шайбу» в Москве по
двум возрастным категориям. Это по-
казатель! Настоящая школа. Очень та-
лантливый тренер. Нашелся бы кто-то,
кто поддержал…»
Спортивные успехи сына заставили
его отца вспомнить молодость. Когда-
то Николай Новожилов увлекался хок-
кеем. Почему? Женщине это трудно по-
нять. Мужчина объясняет: «Во-первых,
важное. Николай Новожилов расска- шие дети совсем взрослые люди. Не- это коллективная игра плечом к плечу.
зывает, как недавно проводил с кол- смотря на то что жизненный опыт ро- Во-вторых, она характер воспитывает,
легой сеанс нейролингвистического дителей по идее дает им право учить достаточно жесткая. Если у тебя нет
программирования, который позво- своих отпрысков, указывать, как жить характера, невозможно себя проявить.
ляет с помощью специальной техно- и действовать… Нет, иногда бывает Здесь недостаточно просто хорошо бе-
логии узнать глубинные устремления наоборот – молодые люди дают урок гать и знать технику. Это спорт для на-
человека. Настоящие, а не те, которые папе с мамой. стоящих мужчин. Посмотрите, круп-
у человека, что называется, «на язы- Николай Новожилов рассказыва- ные банки играют в хоккей… Они хо-
ке». «Я сначала сказал, что моя цель – ет: «Старший сын стал бизнесменом, тят в себе сохранить боевые, бойцовс-
школа по управленческому искусству. ведет бизнес. Мы ему говорим: пойди кие черты, без них бизнес невозможен.
А когда меня раскрутили, понял, что в крупную компанию, поучись, опыта Конечно, тяжелый спорт, бывают трав-
для меня самое главное – единство наберись. Ведь он закончил Финан- мы, все, что угодно… Но все, кто зани-
с семьей, чтобы мы вместе жили, раз- совую академию, в любом банке его мается хоккеем, к этому готовы».
вивались...» Семья у Николая Леонидо- взяли бы без проблем. Но он решил,
вича – дай Бог каждому. Жена мудрая, что откроет свое дело. Сейчас очень Сила левого века
как в сказке, – дом ведет, детей воспи- интересные перспективы открыва- Еще одно открытие связано опять-та-
тывает, супругу не перечит. Она, кста- ются. Хотят его компанию купить на ки с НЛП. Не случайно, конечно. Де-
ти, тоже очень неплохой руководитель. рынке, при этом оставить его руково- ло в том, что есть планы объединения
Как-то просматривал Николай дома дителем. Безусловно, в большой ком- школы управленческой борьбы и НЛП.
видеозапись курса Владимира Тара- пании можно получить опыт, там все Идея Тарасова – это «скелет», а «мыш-
сова, где тот рассказывает о приемах процессы налажены. С другой сторо- цы» на него наращиваются с помощью
управления. Жена Новожилова гляну- ны, теряется творчество, поиск, пред- нейролингвистического программиро-
ла и промолвила: «Так ведь я все вре- принимательство. Похоже, у старшего вания… Но вернемся к открытию. Ему
мя это использую…» Но никакой под- предпринимательская жилка есть, мо- предшествовало знакомство с НЛП,
коверной борьбы… ни-ни! Семья друж- жет быть, действительно ему не стоило к которому, как известно, в обществе
ная, веселая, любит шумно, с родс- идти в большую компанию…» отношение весьма настороженное. Ни-
твенниками, отмечать праздники, дни Радует и дочь, она архитектор, колай Новожилов считает – напрасно:
рождения. Руководит такими семей- еще школьницей ходила в художест- «Настораживает название «Програм-
ными мероприятиями дедушка – ака- венную студию при Доме архитекто- мирование». Меня сейчас начнут про-
демик, Герой Социалистического Тру- ра, там в ней заметили талант, разви- граммировать! Но на самом деле мы
да, генеральный конструктор. Восхити- ли. Сейчас работает в крупной архи- всегда программируем друг друга сво-
тельно – дедушке за 70 лет, а он полон тектурной компании, строит торговые ими поступками, взглядами. Мы дела-
энергии, оптимизма, объединяет всех комплексы. ем это по наитию. А здесь это выстрое-
вокруг себя. Совместное общение за- Но самый большой сюрприз, пожа- но в систему. И потом, имеется в виду
ряжает! А еще больше заряжают Нико- луй, преподнес младший сын. Несколь- программирование прежде всего са-
лая трое его детей. И тут уже открытия ко лет назад он был типичным скучаю- мого себя. Вы меняете себя либо чело-
каждый день, несмотря на то что стар- щим школяром, приносил тройки, ни- века, который хочет измениться. Фак-

56
 человек номера
тически в основе НЛП лежит модели- системами офисе может быть очень то, что не противоречит их внутренним
рование успешной деятельности. Как неуютно, может возникнуть абсолют- убеждениям, когда они хотят сами это
оно создавалось? Был успешный пси- но нерабочая атмосфера. Я спраши- сделать». Смеюсь: «Не могу предста-
хотерапевт Милтон Эриксон, который ваю у Николая Новожилова, что та- вить, что вы кому-то даете приказы ка-
замечательно владел гипнозом. Его кое для него комфортные условия ра- тегоричным тоном…» – «Иногда нужно
вклад в мировую науку оценивается на боты? «Для меня прежде всего важ- и рявкнуть, зависит от ситуации. Си-
уровне Фрейда. Самое фантастичес- но, чтобы были комфортные условия туация может быть связана с экстре-
кое – с чего он начинал, меня это по- для коллектива, для тех, кто здесь ра- мальными условиями, когда некогда
разило. В 18 лет у него был полиомие- ботает. Все говорят, что обстановка в объяснять. А в нормальных услови-
лит, полный паралич, он лежал, не дви- нашей академии способствует работе, ях человек сам должен понять зада-
гаясь. Потом понял, что у него двига- между людьми выстроены нормальные чу, я стараюсь выстроить вокруг него
ется единственная мышца – левое ве- отношения, все стараются друг другу систему, которая подтолкнет его к по-
ко. Через несколько часов ему удалось помочь, что-то сделать друг для дру- ниманию».
привлечь к этому внимание окружаю- га. А уже это дает возможность сде- Хорошая вещь – открытия. Если
щих, он установил с ними контакт, на- лать нормальные условия для тех, кто бы все учителя понимали, как важ-
чал передавать информацию, еще че- у нас учится». – «А что такое комфорт но не орать на ребенка, а мягко под-
рез несколько часов попросил, чтобы для вас лично?..» – «Комфортные ус- вести его к правильному ответу… Ес-
его передвинули к окну, и его поня- ловия – это когда у тебя ни с кем нет ли бы понимали, что гораздо интерес-
ли! От этого человека ничего не оста- жестких противоречий. Конечно, конф- нее не учить, а делиться открытия-
лось, тем не менее стал великим пси- ликты периодически возникают. Важ- ми… Тогда не было бы несчастных де-
хотерапевтом за счет своей силы во- но, как вы из них выходите. Если я чем- тей и скучных школ. Вот я прикосну-
ли. Мне кажется, болезнь способству- то недоволен – я могу заявить: «Делай лась к открытиям Николая Новожило-
ет профессиональному росту челове- так-то, и баста!» А могу подойти и ска- ва. А теперь с ним прикоснулись и вы.
ка. Она заставляет тебя концентриро- зать: «Давай обсудим проблему, пои- Такая цепная реакция…
ваться. Я недавно к этому пришел. Од- щем пути решения. Я хочу, чтобы че-
нако, думаю, не надо ждать, пока мы ловек пришел сам к тому, чего я хочу. Текст Оксаны Родионовой,
заболеем. Жаль, что мы, здоровые лю- Это комфортно – когда люди делают фотографии Владимира Лукина
ди, тратим свои силы подчас не очень
рационально».
Такие открытия, конечно, не дают-
ся просто так. Это не озарение – ус-
лышал и сразу все понял, как надо
правильно жить… Человек готовит-
ся к ним всю жизнь. Николай Леони-
дович размышляет, и нельзя с ним не
согласится: «Мы сейчас очень часто
хотим стерильной жизни – чтобы все
было чисто, аккуратно, но мы не гото-
вы отстаивать ее, если придут новые
люди и попытаются у нас ее отобрать.
Об этом часто не задумывались вели-
кие цивилизации. А ведь это аксиома:
если ты доволен, сыт – значит у тебя
очень скоро все отберут. Мы должны
быть сильными. Хорошо, что сейчас
формируется уважительное отноше-
ние к армии. Мы забыли, что они за-
нимаются очень тяжелым, очень нуж-
ным для всех делом».
В проспектах академии слуша-
телям обещан, и это чистая прав-
да, «бескомпромиссно высокий уро-
вень сопутствующего сервиса» – пи-
тание, внимательный персонал, кон-
диционеры… Это привлекает клиен-
тов, и только самые мудрые понима-
ют – это не главное. Известно ведь,
что даже в самом современном, напич-
канном современной техникой и сплит-

№5, май 2008 57

 безопасность
Правда об идентификаторах
безопасности
Для многих идентификатор безопасности – это темный лес. На самом деле все гораздо проще.
Эта статья поможет превратить его в прекрасную цветущую поляну.
В
настоящее время в Windows пов-
сюду используются идентифи-
каторы безопасности: в правах
доступа, в реестре, в Active Directory.
Понимать, откуда берутся эти иден-
тификационные номера, очень важ-
но, поскольку это значительно облег-
чит жизнь как системным админист-
раторам, так и специалистам систем-
ной поддержки.
В Windows широко используется
несколько видов различных иденти-
58
фикаторов безопасности: GUID, SID,
UUID (CLSID).
Виды идентификаторов
безопасности
n GUID (Globally Unique Identifier) –
представляет собой уникальный
128-битный идентификатор. Его
главная особенность – уникаль-
ность. Общее количество уни-
кальных ключей настолько вели-
ко (2128 или 3,4028x10 38), что веро-
Иван Коробко
ятность генерации двух совпадаю-
щих ключей ничтожно мала. GUID –
это частная реализация (компани-
ей Microsoft) стандарта, имеющего
название Universally Unique Identifier
(UUID).
n SID (Security Identifier) – уникаль-
ная бинарная структура данных пе-
ременной длины, однозначно иден-
тифицирующая объект: учетную за-
пись пользователя, группы, домена,
компьютера и т. д.
 безопасность
n U U I D ( U n i v e r s a l l y U n i q u e Таблица 1. Структура GUID Таблица 2. Расшифровка значения первого байта
последнего блока GUID
Identifier) – это стандарт иденти- Бит Байт Часть Количество
фикации, используемый в созда- символов в блоке Значение Описание

нии программного обеспечения, 32 4 1 8 0 NCS Совместимость с Networking Computing

System
стандартизированный Фондом сво- 16 2 2 4
10 Стандарт
бодного программного обеспече- 16 2 3 4
ния (FSF). UUID описан в RFC1422 110 Microsoft COM. Сюда также относится очень
64 8 4 4 важный GUID – unknown-устройства
«A Universally Unique IDentifier (UUID)
12 111 Зарезервировано
URN Namespace».

Рассмотрим каждый тип идентифи-

каторов безопасности подробнее.

Идентификатор Рисунок 1. GUID в Active Directory

безопасности GUID
GUID нашел широкое применение
в Active Directory. Совместно с другим
идентификатором безопасности, о ко-
тором речь пойдет позже (SID), он од-
нозначно определяет объект.
При создании новой учетной запи-
си пользователя или группы в Active
Directory новому объекту присваива-
ется уникальный в глобальном мас-
штабе идентификатор (GUID) не толь-
ко в домене, но и во всем мире. Кроме
объектов-пользователей и объектов-
является ли он стандартным или сге- Значение SID в бинарном виде хранит-
нерирован каким-либо программным ся в параметре ObjectSID.
обеспечением. Подводя итог, перечис-
лим особенности глобального иденти- Особенности SID
фикатора (GUID): Идентификатор имеет несколько очень
n генерируемое значение GUID уни- важных особенностей:
кально во всем мире;
n идентификатор не изменяется Таблица 3. Версии GUID
на протяжении всего времени су- Версия Описание
ществования объекта. 1 GUID созданный на основе временного
штампа (time based GUID)
Генерация GUID 2 DCE Security version (with POSIX UIDs)

групп, GUID есть у всех объектов, со-
здающихся в Active Directory. Значение
GUID хранится в бинарном виде в па-
раметре ObjectGUID (см. рис. 1).
Структура GUID
GUID – это 16-байтный (128-битный)
идентификатор, описанный в стандар-
те «A Universally Unique IDentifier (UUID)
URN Namespace» (RFC 1422). Условно
идентификатор разбивают на 4 части
Для генерации GUID можно воспользо-
ваться либо одним из on-line-генерато-
ров в Сети, либо встроенной в Windows
стандартной библиотекой с помощью
сценариев (см. листинг 1).
Листинг 1. Генерация GUID (V‑Script)
Set TypeLib = ↵
CreateObject("Scriptlet.TypeLib")
wscript.Echo TypeLib.Guid
Set TypeLib = Nothing
3 GUID основанный на имени (MD5 hash)
4 Произвольный GUID
5 GUID основанный на имени(SHA-1 hash)
Таблица 4. Расшифровка значений
параметра «уровень идентификации» SID
Идентификатор Значение
SECURITY_NULL_SID_AUTHORITY 0
SECURITY_WORLD_SID_AUTHORITY 1
SECURITY_LOCAL_SID_AUTHORITY 2
SECURITY_CREATOR_SID_AUTHORITY 3

(см. таблицу 1), а при записи в тесто- SECURITY_NON_UNIQUE_AUTHORITY 4

вом виде последнюю часть разбивают Идентификатор SECURITY_NT_AUTHORITY 5
дополнительно еще на две. Это дела- безопасности SID
ется для упрощения определения типа Этот идентификатор широко известен
идентификатора: первый байт послед- не только опытным системным адми-
него, 64-битного раздела (в текстовомнистраторам и специалистам систем-
виде это как раз 4 символа) определя-ной поддержки, но и обычным пользо-
вателям, настраивающим доступ к пап-
ет тип GUID (см. таблицу 2). В тексто-
вом виде GUID записывается следу- ке между двумя компьютерами. Открыв
ющим образом: d50b151a-02c0-4dd0- вкладку «Безопасность» свойств обыч-
a59e-f1fb61614d6b. ной папки (см. рис. 2), пользователь ви-
дит объекты: группы и пользователи,
Определение типа GUID которым назначен индивидуальный на-
В настоящее время существует 5 вер- бор прав. На самом деле там указаны
сий GUID (см. таблицу 3). Номер вер- SID, а для упрощения восприятия отоб-
сии GUID – первое число третьей ражаются понятные всем имена объек-
части GUID: c9802770-e0af-11dc-95ff- тов. SID имеет сложную структуру, ко-
0016368d1a02. Как видно из табли- торая будет рассмотрена позже.
цы 3 – этот GUID сгенерирован на ос- SID присваивается пользователю
нове временного штампа. Зная тип при создании учетной записи поль-
Рисунок 2. Параметры безопасности
идентификатора, легко определить, зователя или группы в Active Directory. объекта

№5, май 2008 59

 безопасность
При взаимодействии между объектами в Active Directory
и Windows идентификация объектов осуществляется с по-
мощью SID.
При переименовании объекта идентификатор безопас-
ности остается прежним. При создании объекта ему при-
сваивается новый SID.
Таким образом, если созданная доменная учетная за-
пись пользователя User1 переименована в User2, то с точ-
ки зрения Active Directory у объекта изменено только свойс-
тво, поскольку SID остался неизменным.
Если же пользователь был удален, а затем создан зано-
Рисунок 3. Структура SID во с тем же именем, то с точки зрения Active Directory поя-
вился новый объект. Старый безвозвратно удален.
n Каждый объект (группа безопасности или пользователь) Если же учетная запись была удалена, а затем восста-
имеет персональный идентификатор. новлена из резервной копии Active Directory, то SID учет-
n Изменить SID объекта в пределах одного домена невоз- ной записи пользователя после восстановления будет
можно. При переходе в другой домен пользователь по- прежним
лучает дополнительный SID.
n Идентификаторы удаленных объектов никогда более Структура SID
не используются. SID состоит из нескольких частей (см. рис. 3). Выражение
n SID в учетных записях домена или Windows одни и те же, SID можно записать формулой:
вне зависимости от версии продукта (см. таблицу 6).
n Если контроллер домена по какой-либо причине недо- S-R-X-Y1-Y2-…-Yn-1-Yn (1)
ступен, то имя объекта не подставляется и отобража-
ется его SID. Второй причиной, по которой может отоб- Каждая из букв несет в себе смысловую нагрузку:
ражаться, – некорректное удаление объекта. n S – идентифицирует SID. Идентификатор всегда начи-
нается с этой буквы.
Таблица 5. Поэтапное преобразование SID n R – указывает на версию структуры
Бинарный вид Канонический Положение Комментарий идентификатора. Поскольку SID ни-
(строковый) вид в бинарной записи
когда не может быть изменен, этот
01 S-1 1-й байт (1 байт) К идентификатору добавляется признак
SID – S
параметр всегда равен 1.
n X – показывает наивысший уровень
05 5 разделов (5=0x5) 2-й байт (1 байт) Не участвует в формуле SID.
Несет информационную нагрузку идентификации, которым обладает
о количестве идентификационных групп созданный объект. Значение это-
00 00 00 00 00 05 05 (0x00000005) 3-8 байты (6 байт) Смотри таблицу 6. Расшифровка го параметра варьируется от 0 до 5
значений параметра «уровень
идентификации» SID (см. таблицу 4). Например, пара-
15 00 00 00 21 (0x00000015) 9-12 байты (4 байта) Перед преобразованием из 16‑ричной
метр Х в SID любой группы безо-
системы записывают байты в обратном пасности или учетной записи поль-
2C 8F EC FB 4226584364 (0xFBEC8F2C) 13-16 байты (4 байта) порядке
зователя в домене имеет значение
E5 F2 48 01 21557989 (0x0148F2E5) 17-20 байты (4 байта)
5, а группа EveryOne (все) – 0.
35 A6 99 55 1436132917 (0x5599A635) 21-24 байты (4 байта) n Y1-Y2-Yn-1 – идентификатор доме-
26 1B 00 00 6950 (0x00001B26) 25-28 байты (4 байта) на.
n Yn – относительный идентифика-
тор (RID, relative IDs), который пока-
зывает порядковый номер объекта
с момента создания Active Directory.
Для встроенных объектов зарезер-
вирован диапазон RID от 0 до 999.
Например, для администратора –
500, для гостя – 501. Первой учет-
ной записи, созданной в любой ло-
кальной системе или домене NT/2k,
присваивается RID 1000, а каждо-
му последующему объекту – сле-
дующий за ним порядковый номер
(1001, 1002, 1003 и т. д.), причем при
удалении объекта его номер уже ни-
когда не используется при создании
Рисунок 4. SID в Active Directory новых объектов.

60
 безопасность
Чтение SID из Active Directory
В Active Directory SID хранится в пе-
ременной objectSID как массив, со-
стоящий из бинарных элементов
(см. рис. 1). Размер любого SID в Active
Directory – 28 байт. Рассмотрим про-
цесс преобразования бинарной записи Рисунок 5. Определение SID пользователя с помощью утилиты GetSID.exe
идентификатора безопасности в тра-
диционный (строковый) вид. лены нестандартным образом (выделенны красным цве-
В бинарной форме идентификатор безопасности мож- том и подчеркнуты). Остальная информация разделе-
но записать в общем виде так: на на группы по 4 байта (выделенны фиолетовым цветом
и подчеркнуты)). В формуле составления идентификато-
A-B-C-Z1-Z2-…-Zn-1-Zn (2) ра не участвует.
В следующих 6 байтах (48 битах) хранится значение на-
Рассмотрим преобразование идентификатора безо- ивысшего уровня идентификации.
пасности из бинарного вида в строку на примере домен-
ной учетной записи TEST (см. рис. 4). 01 05 00 00 00 00 00 05 15 00 00 00 2C 8F EC FB
Каждый элемент массива – это 1 байт или 8 бит. E5 F2 48 01 35 A6 99 55 26 1B 00 00 (4)
Для преобразования идентификатор (формула 3) разбива-
ют на группы по 4 байта. Исключение составляют первые Преобразование осуществляется по следующему прин-
8 байт. Они разбиваются на три группы: первые две по бай- ципу. Каждая группа перезаписывается с конца в шестнад-
ту, последняя – 6 байт. Такое разбиение обусловлено фор- цатеричной форме (формула 5).
матом традиционной формы записи (формула 1).
S — 0x1 — 0x5 — 0 x 00 00 00 00 00 05 —
0 x 00 00 00 15 — 0 x FB EC 8F 2C — 0 x
01 05 00 00 00 00 00 05 15 00 00 00 2C 8F EC FB 01 48 F2 E5 — 0 x 55 99 A6 35 — 0 x 00 00 1B 26 (5)
E5 F2 48 01 35 A6 99 55 26 1B 00 00 (3)

В первом байте (см. таблицу 4) хранится версия струк- Перед записью добавляют символ S, свидетельствую-
туры идентификатора. В формуле 1 это параметр R, в фор- щий о том, что это идентификатор безопасности. А 2-й байт
муле 2 – A. Как уже отмечалось ранее, он всегда равен 1. исключают, поскольку он несет информационную нагрузку.
Во втором байте (см. таблицу 5) хранится количест- Далее полученные числа преобразуются из 16-ричной сис-
во групп по 4 байта, которые следуют за первыми тре- темы исчисления в 10-ричную (формула 6). На этом преоб-
мя группами (формула 4, в ней первые 8 байт, распреде- разование закончено.
Таблица 6. Широко известные идентификаторы

SID Объект Комментарий

S-1-1-0 Everyone Группа, в которую входят все пользователи, даже анонимные пользователи и гости. Принадлежность контролируется ОС
S-1-3-0 Creator Owner Замещающий элемент в наследуемой записи управления доступом (ACE). При наследовании ACE система замещает этот SID
идентификатором SID создателя объекта
S-1-5-18 Local System Учетная запись службы, используемая операционной системой
S-1-5-domain-501 Guest Учетная запись для лиц, не имеющих индивидуальной учетной записи. Для данной учетной записи пароль не требуется.
По умолчанию учетная запись Guest отключена
S-1-5-domain-512 Domain Admins Глобальная группа, членам которой разрешено управлять доменом. По умолчанию группа Domain Admins является членом
группы Administrators на всех компьютерах, входящих в домен, включая контроллеры доменов. Группа Domain Admins
по умолчанию является владельцем любого объекта, созданного любым членом группы
S-1-5-domain-513 Domain Users Глобальная группа, в которую по умолчанию входят все учетные записи домена. При создании учетной записи в домене
она по умолчанию добавляется в эту группу
S-1-5-domain-515 Domain Computers Глобальная группа, в которую входят все клиенты и серверы, входящие в домен
S-1-5-root domain-519 Enterprise Admins Универсальная группа в домене с основным режимом; глобальная группа в домене со смешанным режимом. Данной группе
разрешено вносить изменения на уровне леса в Active Directory, например добавлять дочерний домен. По умолчанию
единственным членом группы является учетная запись Administrators для корневого домена леса
S-1-5-32-544 Administrators Встроенная группа. После первоначальной установки операционной системы единственным членом этой группы является учетная
запись Administrators. Когда компьютер присоединяется к домену, группа Domain Admins добавляется к группе Administrators.
Когда сервер становится контроллером домена, группа Enterprise Admins также добавляется к группе Administrators
S-1-5-32-545 Users Встроенная группа. После первоначальной установки операционной системы единственным членом этой группы является группа
«Прошедшие проверку». Когда компьютер присоединяется к домену, группа Domain Users добавляется к группе Users на этом
компьютере
S-1-5-32-546 Guests Встроенная группа. По умолчанию единственным членом группы является учетная запись Guest. Группа Guests предоставляет
возможность пользователям периодически или однократно входить в систему с ограниченными правами встроенной
в компьютер учетной записи Guest
S-1-5-32-547 Power Users Встроенная группа. По умолчанию в этой группе нет членов. Членам группы Power Users разрешено создавать локальных
пользователей и группы; изменять и удалять созданные ими учетные записи; удалять пользователей из групп Power Users,
Users и Guests. Также членам группы Power Users разрешается устанавливать программы; создавать, удалять локальные
принтеры и управлять ими; создавать и удалять общие файловые ресурсы

№5, май 2008 61

 безопасность
S — 1 — 5 — 21 — 4226584364 — 21557989 — Таблица 7. Некоторые стандартизованные UUID
1436132917 — 6950 (6)
UUID Объект
{4e1-3957-11d2-a40b-0c5020524153} Administrative Tools
Определение SID пользователя {85bbd92o-42a0-1o69-a2e4-08002b30309d} Briefcase
с помощью утилиты GetSID
{21ec2o2o-3aea-1o69-a2dd-08002b30309d} Control Panel
Чтобы узнать SID пользователя, можно воспользоваться
утилитой GetSID, входящей в состав Windows 2000 Resource {d20ea4e1-3957-11d2-a40b-0c5020524152} Fonts

Kit Tools. Утилиту можно загрузить с сайта Microsoft: http:// {ff393560-c2a7-11cf-bff4-444553540000} History
download.microsoft.com/download/win2000platform/Getsid/1.0/ {00020d75-0000-0000-c000-000000000046} Inbox
NT5/EN-US/getsid.exe. В первую очередь GetID.exe предна- {00028b00-0000-0000-c000-000000000046} Microsoft Network
значена для сравнения SID разных пользователей, однако {20d04fe0-3aea-1069-a2d8-08002b30309d} My Computer
она может с успехом использоваться для получения SID кон-
{450d8fba-ad25-11d0-98a8-0800361b1103} My Documents
кретного пользователя. После завершения работы масте-
{208d2c60-3aea-1069-a2d7-08002b30309d} My Network Places
ра утилиту и сопутствующую документацию можно найти
{1f4de370-d627-11d1-ba4f-00a0c91eedba} Network Computers
в каталоге C:\Program Files\Resource Kit.
Утилита GetSID.exe запускается из командной строки {7007acc7-3202-11d1-aad2-00805fc1270e} Network Connections
и имеет следующий синтаксис: {2227a280-3aea-1069-a2de-08002b30309d} Printers and Faxes
{7be9d83c-a729-4d97-b5a7-1b7313c39e0a} Programs Folder
GetSID.exe \\server1 account \\server2 account
{645ff040-5081-101b-9f08-00aa002f954e} Recycle Bin
{e211b736-43fd-11d1-9efb-0000f8757fcd} Scanners and Cameras
Для определения SID рекомендуется задать две одина-
{d6277990-4c6a-11cf-8d87-00aa0060f5bf} Scheduled Tasks
ковые пары параметров: сервер и имя учетной записи в се-
{48e7caab-b918-4e58-a94d-505519c795dc} Start Menu Folder
ти. Если необходимо определить SID доменной учетной за-
писи, то в качестве сервера необходимо указать либо имя {7bd29e00-76c1-11cf-9dd0-00a0c9034933} Temporary Internet Files

контроллера домена, либо имя домена в сокращенной фор- {bdeadf00-c265-11d0-bced-00a0c90ab50f} Web Folders
ме. Например, необходимо определить SID пользователя
test в домене MSK. Для этого выполним команду: мых в данном компьютере, можно найти в реестре в ветви
HKEY_CLASSES_ROOT\CLSID (см. рис. 6).
GetSID.exe \\MSK test \\MSK test Каждая UUID-папка имеет внутреннюю структуру, в ко-
торой находятся параметры, определяющие местоположе-
В результате выполнения этой команды на экран будет ние объекта, контекстное меню, значок объекта и другие
выведено сообщение, показанное на рис. 5. свойства. В таблице 7 приведены стандартизованные UUID
объектов, которые во всех версиях Windows одинаковы.
Широко известные идентификаторы SID
Под хорошо известными SID понимают группу идентифи- Генерация UUID
каторов безопасности, идентифицирующую общих пользо- При создании какого-либо приложения с помощью Microsoft
вателей и общие группы безопасности. Их значения одина- Visual Studio .NET, GUID объектов формируется автомати-
ковы во всех операционных системах. чески. Если необходимо сгенерировать идентификаторы
явным образом воспользовавшись одним из оn-line гене-
Идентификатор безопасности UUID раторов: http://www.famkruithof.net/uuid/uuidgen.
Универсальный уникальный идентификатор активно ис-
пользуется для создания программного обеспечения. Все Заключение
объекты Windows имеют свой уникальный идентифика- В заключение хочется сказать: несмотря на то, что пред-
тор – UUID. Перечень всех идентификаторов, используе- ложенные знания не являются самыми необходимыми, они
важны. Понимание процесса образо-
вания SID и других идентификаторов
безопасности поможет решить мно-
жество проблем, возникающих в про-
цессе эксплуатирования сети. Мно-
гие «чудеса» станут вполне объясни-
мыми.

1. КВ 288900 «How To Use Visual Basic

to Construct a Well-Known SID».
2. RFC 4122 «A Universally Unique IDentifier
(UUID) URN Namespace».
3. CLSID List. Windows Class Identifiers –
http://www.autohotkey.com/docs/misc/
Рисунок 6. Папка CLSID CLSID-List.htm.

62
Реклама
безопасность

Новые возможности Heimdal

Объединение открытых ключей и Kerberos

Михаил Кондрин

Проект Heimdal-Kerberos, в прошлом году отметивший 10-летний юбилей выпуском «круглой»

версии 1.0 и переездом на новый сайт, позволяет объединить возможности инфраструктуры
публичных ключей (Public Key Infrastructure – PKI) и Kerberos в рамках единой регистрационной
системы. Об этом, а также других новинках этого программного пакета будет сегодня
рассказано.

64

Центральное
правительство, или
Групповая солидарность?
Прежде чем заняться практической
демонстрацией новых возможностей
Heimdal-Kerberos, хотелось бы напом-
нить историю возникновения Kerberos
и систем PKI, в частности стандар-
та X.509, используемого в том чис-
ле и в таком популярном и известном
в мире Linux продукте, как OpenSSL.
Эта история поможет понять досто-
инства и недостатки каждого из ре-
шений.
Протокол Kerberos и идея публич-
ных ключей, представленная в прото-
коле X.509, появились почти одновре-
менно в середине 80-х годов, и оба
пытались решить одну и ту же зада-
чу обеспечения сетевой безопаснос-
ти. Под сетевой безопасностью нужно
понимать не только шифрование пере-
дачи данных и дистанционной провер-
ки паролей, но и возможность как сер-
веру, так и клиенту удостовериться
в идентичности друг друга. Оба про-
екта решали эту проблему примерно
одинаковым способом – введением
третьей trusted-стороны, авторитету
которой доверяли бы обе стороны се-
тевого взаимодействия.
На этом их сходство заканчивалось.
Kerberos возник всё же несколько ра-
нее и идеологически он был постро-
ен более просто. Использование ал-
горитма симметричного шифрования,
когда третья сторона (KDC – контрол-
лер сервера Kerberos) владеет пароля-
ми как клиента, так и сервера, поэтому
может обеспечить обе стороны общим
ключом, пригодным как для идентифи-
кации друг друга, так и для шифрова-
ния пересылаемых данных, позволяет
более экономно использовать вычис-
лительные ресурсы.
В то же время протокол работал
в онлайновом режиме – выпуск сес-
сионных ключей (билетиков, tickets)
всегда выполняется сервером KDC
и по специальному протоколу пере-
сылается клиенту. Не вдаваясь в под-
робности (которые, однако, можно най-
ти в статье [1]), идентичность клиента
и сервера удостоверяется тем, что им
удалось расшифровать сессионный
ключ, который получен от KDC, буду-
чи зашифрованным паролями клиен-
та (пользователя) и сервера. А успеш-
ность расшифровки сессионного клю-
№5, май 2008
безопасность
ча проверяется тем, что обеим сторо- например, в виде полей subject (субъ-
нам удалось установить сетевой об- ект) и issuer (гарант) сертификатов, ко-
мен, который они при желании могут торые представляют по своему форма-
шифровать, используя все тот же сес- ту типичный Distinguished Name (DN),
сионный ключ. хорошо известный сетевым админис-
Относительная слабость симмет- траторам, знакомым с LDAP.
ричных шифровальных алгоритмов Главным достоинством PKI являет-
компенсируется тем, что все паро- ся использование более сильных (хо-
ли, пересылаемые по сети, коротко- тя одновременно и более требователь-
живущие, и срок их действия истека- ных к вычислительным ресурсам) алго-
ет, прежде чем их бы удалось сломать ритмов несимметричного шифрования,
злоумышленнику. что позволяет иметь более долгоживу-
Авторы Kerberos не особо заботи- щие сертификаты и ключи.
лись о масштабируемости своего про- Подробнее с форматом сертифика-
токола, поскольку их целью являлись тов можно познакомиться из многочис-
университетские сети с большим чис- ленных руководств по OpenSSL/SSL/
лом не слишком мощных компьюте- TLS, например из статей [2, 3].
ров (поскольку в эти сети входили В то же самое время большинс-
и компьютеры студенческих кампусов), тво недостатков X.509 (в первую оче-
но все же не сопоставимых по раз- редь претензия на универсальность –
меру с сетями масштаба целой стра- «один инструмент на все случаи жиз-
ны. Но по мере развития этого прото- ни») связаны именно с тем, что стан-
кола (переходу от версии Kerberos 4 дарт X.500 никогда не был реализо-
к Kerberos 5) происходило одновре- ван в полном объёме. (Несмотря на
менно и добавление в него дополни- свою утопичность, идея глобальной
тельной функциональности, позволя- информационной службы имеет пра-
ющей с помощью трастов объединять во на существование. В конце концов
несколько секторов (realms) Kerberos существует же глобальная система
в общую сеть. доменных имён, и кто знает, если бы
История PKI шла совсем иным стек протоколов OSI не был бы вытес-
путём. Хотя постепенно она эволюцио- нен стеком TCP, может быть, и стан-
нировала примерно к тому же, чем сей- дарт X.500 получил бы практическое
час является Kerberos, но изначально воплощение.)
она задумывалась как глобальная цен- Подробное обсуждение недостат-
трализованная система. X.509 возник ков PKI можно найти в статье Петера
как стандарт OSI, организации, кото- Гутмана [4], а также в наборе слайдов
рая первой попыталась стандартизо- его же авторства [5] с более язвитель-
вать сетевые протоколы (ей же при- ной, но одновременно более смеш-
надлежит стандарт на знаменитый ной критикой PKI (эта подборка, кста-
8‑уровневый стек сетевых протоколов ти, цитируется в английской Википе-
OSI, в настоящее время вытесненный дии в статье [6]). Читать слайды до-
более простым TCP). вольно трудно, но если вы восстано-
В частности, X.509 возник как стан- вите канву его аргументов, используя
дарт аутентификации и авторизации статью [4], то пара часов непрерывно-
для доступа к X.500 (Directory Access го смеха вам гарантирована.
Protocоl/DAP), интересного проекта, В самом деле, единственным усло-
но тоже в настоящее время вытес- вием, позволяющим клиенту и серве-
ненного своим более лёгким потом- ру удостовериться в идентичности друг
ком – LDAP. Х.500 предполагал созда- друга, – это наличие ключей, сертифи-
ние глобального каталога, где иден- цированных (подписанных) третьей
тичность двух узлов каталога удосто- стороной. Но вне привязки к глобаль-
верялась бы специальными сертифи- ному иерархическому дереву возни-
катами, «подписанными» Certification кают естественные вопросы – «Кто та-
Authority (CA), привязанной к узлу, ко- кая это третья сторона и чью идентич-
торый является для них, во-первых, об- ность она сертифицирует?». То есть
щим предком, а во-вторых, доверенной в рамках директории DAP сертифи-
третьей стороной. кат X.509 имеет прозрачный смысл –
Собственно, отголоски этой идеи это средство авторизации доступа
до сих пор наблюдаются в OpenSSL, к какому-то из узлов каталога, а иерар-
65
 безопасность
Закладка «Your Certificates» в Mozilla Firefox
хия CA естественным образом следует
из иерархии самого каталога. В отсут-
ствие же глобального каталога поля
subject и issuer никакого смысла не не-
сут, а выдумывание смешных и фан-
тастических значений для этих полей
уже превратилось в особый жанр ком-
пьютерного фольклора.
С сертификацией ситуация точ-
но такая же – внутри организации ис-
пользуются или самоподписанные сер-
тификаты, или же (при необходимос-
ти выйти во внешний мир) покупают-
ся подписанные сертификаты у спе-
циализированных компаний, которые
являются своего рода нотариальными
конторами цифрового мира.
Но, во-первых, удовольствие это
не из дешёвых, подписанный сертифи-
кат считается одним из самых дорогих
последовательностей битов (компания
Thawte, которая принесла миллиарды
Марку Шаттлворту, просила за 2 Кб
сертификат для веб‑сервера сроком
на год до 160 долларов), а во-вторых,
у компании, его подписавшей, нет тех-
нических средств гарантировать его
достоверность (в отличие от обычных
нотариусов, у которых такое средство
есть – суд).
Это вытекает из другого основно-
го недостатка X.509 – это стандарт,
а не протокол. Именно поэтому компа-
66
ния Verisign (фактически монополист
на рынке цифровых сертификатов) мо-
жет продать вам последовательность
бит, но она не может забрать у вас эти
данные, если срок их действия истёк
или у вас их украли злоумышленники.
В самом деле, стандарт регламентиру-
ет только ведение чёрных списков CRL
(certificate revocation list), поэтому если
вы обратитесь в компанию с просьбой
аннулировать утерянный вами серти-
фикат, то она, конечно же, внесёт этот
сертификат в CRL.
Однако это не гарантирует, что ка-
кой-нибудь из сетевых сервисов бу-
дет консультироваться с этим списком,
когда он получит от клиента украден-
ный у вас сертификат. Даже при усло-
вии добросовестности поставщика се-
тевых услуг у злоумышленника есть
большой временной интервал, преж-
де чем запрос на аннулирование будет
обработан, CRL пополнен, а пополнен-
ный CRL дойдёт до сетевого постав-
щика. Не говоря уже о том, что сверка
сервером каждого полученного серти-
фиката с многомиллионным «чёрным»
списком выглядит устрашающей опе-
рацией.
Таким образом, всё что нам нужно
от PKI – это ключ («Bring me the keys of
Alfredo Garcia!», как это сформулиро-
вано в статье [4]).
Семантика же этого ключа опре-
деляется уже внутренней политикой
организации, т.е., например, привяз-
ка ключа и CA может осуществлять-
ся к внутреннему LDAP-каталогу ор-
ганизации.
В этом смысле интересно реше-
ние, предложенное Heimdal, – привяз-
ка ключей к принципалам Kerberos,
а Certification Authority к KDC. В этом
случае проблема аннулирования клю-
чей решается простыми средствами –
ликвидацией соответствующего прин-
ципала. То есть сертификат (или же
smart-card) в данном случае высту-
пает в роли ключа, который открыва-
ет пользователю доступ к супербиле-
ту (TGT), а дальнейшее обеспечение
сетевой безопасности решается уже
средствами Kerberos.
Собственно, это техническое реше-
ние мы и будем рассматривать в этой
статье.
hxtool
Установка и конфигурирование секто-
ра Kerberos описаны в статье [7]. Луч-
ше всего брать последнюю версию
Heimdal-Kerberos с их нового узла [8],
или же использовать пакет, уже име-
ющийся в вашем дистрибутиве (но-
мер версии должен быть больше 0.8).
Так же как и в статье [7], предполага-
ется, что сектор Kebreros называет-
ся MYREALM.RU, а контроллер секто-
ра расположен на компьютере с име-
нем kdc.myrealm.ru. Теперь можно при-
ступать к изготовлению PKI-сертифи-
катов.
Как вы уже поняли из предыдущих
аргументов, нас интересуют только са-
моподписанные сертификаты, которые
предполагается использовать исклю-
чительно внутри сетевой структуры ор-
ганизации. Их можно изготовить с по-
мощью консольной утилиты openssl
(можно посмотреть, как это сделано
в пакете heimdal, с помощью скрипта
lib/hx509/data/gen-req.sh в исходниках
Heimdal). Но для решения поставлен-
ной нами задачи проще использовать
аналогичную утилиту hxtool, реализо-
ванную средствами Heimdal.
OpenSSL строилась с расчётом
на использование сертификатов, под-
писанных внешним центром сертифи-
кации, поэтому, скажем, операция из-
готовления своего сертификата рас-
падается на три этапа:

n изготовление частного ключа; Есть определённые соглашения по расширениям, при-
n оформление запроса на подпись сертификата (кото- писываемым сертификатам различного типа. Расшире-
рый может быть адресован внешней доверенной ком- ние .pem означает, что сертификат закодирован в фор-
пании);
n подписывание сертификата.
Понятно, что все эти сложности не нужны, если вы со- кат с публичным ключом, но без приватного, а .key – толь-
бираетесь изготовлять самоподписанные сертификаты. ко приватный ключ без сертификата. Кроме того, встреча-
Как, например, изготовление своего CA:
hxtool issue-certificate \
--self-signed \
--issue-ca \
--subject="CN=CA,DC=myrealm,DC=ru" \
--lifetime=10years \
--generate-key=rsa \
--certificate=FILE:ca.pem
Справку по программе hxtool и её командам можно полу-
чить с помощью «hxtool help» и «hxtool <command> -help».
В данном случае выдаётся самоподписанный сертифи-
кат Certificate Authority сроком на 10 лет, выданный пользо-
вателю с DN CN=CA,DC=myrealm,DC=ru c использованием
алгоритма шифрования RSA.
Минимальную информацию о сертификате можно по-
лучить с помощью команды:
#hxtool print FILE:ca.pem
cert: 0
private key: yes
issuer: "CN=CA,DC=myrealm,DC=ru"
subject: "CN=CA,DC=myrealm,DC=ru"
serial: 2460E08A177846F035AE02841F995F341D0E4557
keyusage: cRLSign, keyCertSign, keyEncipherment, digitalSignature
Если открыть сертификат с помощью текстового ре-
дактора, легко заметить, что он состоит из двух Base64-
encoded-частей:
n собственно сертификата;
n приватного ключа.
Из‑за наличия в cертификате этого ключа его нуж-
но хранить, как Кащееву смерть, поскольку если он по-
падёт в руки злоумышленникам, то ничего хорошего вас
не ждёт. Так что лучше всего создать каталог рядом с ба-
зами Heimdal: /var/heimdal/secure, ограничив к нему дос-
туп, насколько это возможно, и поместить его туда. Все
дальнейшие сертификаты будут генерироваться с помо-
щью этого файла.
Чтобы клиент и сервер могли удостовериться в иден-
тичности друг друга, оба они должны иметь копию серти-
фиката СA, который, однако, уже сгенерирован и закоди-
рован в первой секции сертификата. Так что этот сертифи-
кат нужно или вырезать из файла и сохранить с помощью
текстового редактора в отдельном файле или же восполь-
зоваться командой:
openssl x509 -in ca.pem -text > ca.crt
Файл можно будет выдавать по мере надобности служ-
бам и пользователям, заинтересованным в подключении
к вашему PKI.
№5, май 2008
безопасность
мате Base64, и как правило состоит из двух частей, вклю-
чающих в себя приватный ключ и собственно сертифи-
кат. Файлы с расширением .crt содержат только сертифи-
ются ещё .csr (Certificate Signing Request), но в данной ста-
тье они не используются.
Например, для создания защищённых страниц на веб-
сервере Apache вам понадобится cгенерировать серти-
фикаты для сервера и клиента, одновременно подписав
их c помощью приватного CA-ключа:
hxtool issue-certificate \
--subject="CN=www.myrealm.ru,DC=myrealm,DC=ru" \
--type="https-server" \
--hostname="www.myrealm.ru" \
--generate-key=rsa \
--ca-certificate=FILE:ca.pem \
--certificate=FILE:https.pem
hxtool issue-certificate \
--subject="CN=www.myrealm.ru,DC=myrealm,DC=ru" \
--type="https-client" \
--generate-key=rsa \
--ca-certificate=FILE:ca.pem \
--certificate=FILE:https-client.pem
Чтобы сервер заработал, необходимо будет перемес-
тить ключи https.pem и ca.crt подальше от посторонних глаз,
но так, чтобы httpd-сервер мог найти их, и отредактировать
конфигурационный файл /etc/httpd/extra/httpd-ssl.conf, ука-
зав там их расположение:
SSLCertificateFile "/etc/httpd/ssl/https.pem"
SSLCertificateChainFile "/etc/httpd/ssl/ca.crt"
SSLCACertificateFile "/etc/httpd/ssl/ca.crt"
Затем можно будет импортировать в браузер CA-серти-
фикат, что позволяет избавиться от надоедливых вопросов
о неизвестной идентичности защищенного узла.
Для Firefox это делается выбором пункта меню «Edit →
Prefernces», затем в диалоге настроек выбором заклад-
ки «Advanced → Encryption», а затем уже в следующем
диалоговом окне с помощью кнопки «Import» на закладке
«Authorities» осуществляется загрузка файла сертификата.
Такая процедура позволяет устанавливать шифрованное
соединение (https) между сервером и клиентом.
Клиентский сертификат требуется, если сервер содер-
жит страницы, специальным образом защищенные с помо-
щью директив вида:
<Directory /var/www/StrongerSSL>
SSLVerifyClient require
SSLVerifyDepth 1
</Directory>
Для доступа к таким страницам браузерам нужно предъ-
явить клиентский сертификат, наподобие того, что был на-
ми создан ранее. Однако не всё так просто.
Большинство браузеров требуют, чтобы сертифика-
ты этого типа были в бинарном PKCS12-формате и защи-
щены с помощью пароля, что делает их хранение на дис-
ке более безопасным. Хотя утилита hxtool поддерживает
67
 безопасность
и этот формат, но не вполне, поскольку ею нельзя зашиф- chmod -R 600 /home/mike/secure
ровать сертификат. Поэтому придётся прибегнуть к ко-
манде openssl: Собственно, после этого можно приступать к конфигу-
рированию Heimdal, что включает в себя правку двух фай-
openssl pkcs12 -export \ лов – /etc/krb5.conf, ответственного за настройку клиент-
-in https-client.pem \
-name HTTPS-Client \ ской библиотеки и приложений, и /var/heimdal/kdc.conf, ко-
-out https-client.p12 торый отвечает за работу сервера KDC.
Начнём с последнего, где необходимо поправить сек-
В процессе выполнения команда попросит вас ввести цию [kdc], указав там расположение приватного ключа kdc
и подтвердить пароль, который потом будет использован и сертификата CA:
при импорте сертификата https-client.p12 в браузер. Дела-
ется это в том же диалоговом окне, что и выше, но только [kdc]
enable-pkinit=yes
в этот раз кнопка «Import» будет располагаться на заклад- pkinit_identity = FILE:/var/heimdal/secure/kdc.pem
ке «Your Certificates» (см. рисунок). pkinit_anchors=FILE:/etc/ssl/ca.crt
Можно сравнить, как та же процедура осуществляется
средствами только команды openssl в статье [3] или в из- Сертификат CA должен быть доступен и клиентской
вестном mini-howto [9]. Как видите, использование hxtool части Kerberos, поэтому его лучше выложить в общедо-
существенно сокращает дистанцию. Таким образом, если ступный каталог (убедившись предварительно, что из фай-
не выдвигать слишком высоких требований, типа защищён- ла удалена секция приватного ключа) и отредактировать
ных паролем сертификатов и ключей, или использования /etc/krb5.conf
алгоритма DSA для шифрования, то утилиты hxtool доста-
точно, чтобы управлять PKI предприятия. [appdefaults]
pkinit_anchors = FILE:/etc/ssl/ca.crt
[kinit]
pkinit MYREALM.RU = {
pkinit_anchors = FILE:/etc/ssl/ca.crt
Как вы могли заметить, пока речь не шла о Kerberos. Объ- }
единение PKI и Kerberos обычно обозначают термином pkinit
(это слово можно расшифровать как public key init), что поз- Кроме того, можно создать дополнительный файл
воляет получать доступ к сектору Kerberos с помощью отк- /var/heimdal/pki-mapping, где хранится таблица соответс-
рытых ключей, smart-card, биометрических средств и др. твий между принципалами Kerberos и субъектами (поле
Следует иметь в виду, однако, что стандарт в наcтоящее subject) PKI-сертификатов. На самом деле в данном слу-
время не устоялся, и возможно будет меняться в будущем. чае эта таблица нам не нужна, поскольку соответству-
Спецификации на него находятся в разработке у Kerberos ющий принципал записан в поле subjectAltName выдан-
Working Group [10]. ных нами сертификатов благодаря использованию клю-
Посмотрим, как можно организовать такой доступ с по- ча --pkinit-principal при их создании. В этом можно легко
мощью нашего самодельного Certification Authority. Напо- убедиться:
добие того как в предыдущей части это было продела-
но для httpd-сервера и клиента, cгенерируем сертификат #hxtool print FILE:ca.pem
для KDC, точнее сервиса, ответственного за выдачу супер- private key: yes
билетов, и для любого принципала из базы Heimdal: issuer: "CN=CA,DC=myrealm,DC=ru"
subject: "UID=mike,DC=myrealm,DC=ru"
serial: 51DBAEA05A82924AAA2DFFEE173B922872AA7E48
keyusage: keyEncipherment, digitalSignature
hxtool issue-certificate \ subject name: UID=mike,DC=myrealm,DC=ru
--type="pkinit-kdc" \
--pk-init-principal="krbtgt/MYREALM.RU@MYREALM.RU" \ issuer name: CN=CA,DC=myrealm,DC=ru
--subject="uid=kdc,DC=myrealm,DC=ru" \ Validity:
--generate-key=rsa \ notBefore 2008-04-11 20:29:22
--ca-certificate=FILE:ca.pem \ notAfter 2009-04-12 20:29:22
--certificate=FILE:kdc.pem checking extention: keyUsage
hxtool issue-certificate \ checking extention: extKeyUsage
--type="pkinit-client" \ checking extention: subjectAltName
--pk-init-principal="mike@MYREALM.RU" \ subjectAltName otherName pk-init: mike@MYREALM.RU
--subject="uid=mike,DC=myrealm,DC=ru" \ checking extention: authorityKeyIdentifier
--generate-key=rsa \ authority key id: B53226CCEA74AC84A4F88624E09D77EC270FEA15
--ca-certificate=FILE:ca.pem \ checking extention: subjectKeyIdentifier
--certificate=FILE:mike.pem
subject key id: 9F096F50AC6000E11AB82E075A3434FC951B7069
Поскольку все сгенерированные файлы содержат при- checking extention: basicConstraints
ватные ключи, то не стоит их разбрасывать где попало. is NOT a CA
Ключ kdc.pem прячем в уже имеющейся директории /var/ Not a CA nor PROXY and doesn't haveCRL Dist Point
heimdal/secure, а mike.pem выдаём пользователю, соот-
ветствующему принципалу mike@MYREALM.RU, и строго Но файл /var/heimdal/pki-mapping может оказаться по-
предупреждаем его, чтобы он спрятал этот ключ в своём лезным для «нестандартных» сертификатов. (Хотя что тут
домашнем каталоге (например, в подкаталоге /home/mike/ считать стандартом?) Его формат выглядит примерно так
secure) и никому его не показывал: (обратите внимание на обратный порядок полей в DN):

68

mike@MUREALM.RU:DC=ru,DC=myrealm,UID=mike
Теперь осталось только перезапустить KDC, чтобы поль-
зователь mike мог получать свой супербилет командой:
#kinit \color{red}--pk-user=FILE:mike.pem ↵
\color{black} mike
#klist -v
Credentials cache: FILE:/tmp/krb5cc_P23967
Principal: mike@MYREALM.RU
Cache version: 4
Server: krbtgt/MYREALM.RU@MYREALM.RU
Client: mike@MYREALM.RU
Ticket etype: des3-cbc-sha1, kvno 1
Ticket length: 364
Auth time: Apr 16 13:00:29 2008
End time: Apr 17 13:00:29 2008
Ticket flags: forwardable, initial, pre-authenticated
Addresses: addressless
Heimdal также позволяет использовать сертификаты
в формате PKCS11 – одного из стандартов, получившего
распространение при работе со smart-card. Его практи-
ческое применение зависит от оборудования для чтения
пластиковых карт, установленного на вашем компьюте-
ре, но в демонстрационных целях можно поэксперимен-
тировать с программным модулем soft-pkcs11, разрабо-
танным одним из основных авторов Heimdal – Лав Эрнк-
вист Острандом [11].
В данном случае модуль позволяет более длинным
путём добраться до того же самого сертификата. В пос-
ледних версиях Heimdal (выше 1.0) этот модуль входит в со-
став Heimdal в виде библиотеки libhx509.so, так что можно
поэкспериментировать с ним, не устанавливая дополни-
тельных библиотек. Конфигурация модуля осуществляет-
ся с помощью rc-файла, на который указывает перемен-
ная окружения SOFTPKCS11RC.
Для наших целей этот файл должен выглядеть таким
образом (заметьте, что разделителем полей является та-
буляция!):
certificate Certificate Mike ↵
FILE:/home/mike/secure/mike.pem
То есть в нем указано расположение на жёстком диске
pem-сертификата. После этого запуск:
kinit \color{red}--pk-user=PKCS11:libhx509.so ↵
\color{black} mike
позволяет получить супербилет. Понятно, что это имеет
смысл в тестовых целях, в реальных «полевых» условиях
вместо динамической библиотеки необходимо указать мо-
дуль, который управляет устройством для считывания ин-
формации со smart-card, установленного в компьютере.
В качестве более или менее практического примера
применения этих возможностей Heimdal попробуем от-
крыть доступ к некоей рабочей станции под управлением
Linux только для обладателей pem-сертификатов, запи-
санных на сменный носитель (USB флешку). То есть сер-
тификат сбрасывается на неформатированный usb-носи-
тель обычной командой cat:
cat mike.pem > /dev/usb/sda1
№5, май 2008
безопасность
После чего сертификат на жёстком диске стирается,
и в дальнейшем доступ к компьютеру разрешается только
пользователям, которые правильно указали имя принципа-
ла, находящегося в базе Heimdal, и предъявили на флешке
соответствующий сертификат.
Хотя возможности pkinit ещё не задействованы в про-
грамму login из состава Heimdal, но эту задачу можно ре-
шить либо с помощью PAM-модуля pam-krb5 [12], либо
в тестовых целях можно обойтись простым bash-скрип-
том login.sh:
#!/usr/bin/bash
echo -n "Insert pem-certificate and hit enter when ready!"
read
/usr/bin/kinit -C FILE:/dev/sda1 $2 && \
/usr/bin/kgetcred host/$(hostname -f) && \
/usr/bin/login -f $2
который запускается из /etc/inittab, сконфигурированного
следующим образом:
...
c1:1235:respawn:/sbin/agetty -l ↵
/usr/local/bin/login.sh 38400 tty6 linux
c2:1235:respawn:/sbin/agetty -l ↵
/usr/local/bin/login.sh 38400 tty6 linux
...
Этот скрипт просит пользователя вставить сменный но-
ситель в usb-slot, после чего запускает kinit. При безоши-
бочном получении супербилет он пытается получить билет
для доступа к рабочей станции, как к принципалу host/<имя
компьютера> (хотя это не обязательно, но именно таким об-
разом работает стандартный Kerberized login), а после этого
уже запускается программа login из пакета Heimdal в «поль-
зователь-уже-зарегистрирован» режиме (ключ -f в вызове
login). Дёшево, но сердито!
Таким образом, новые версии Heimdal позволяют объ-
единить сильные криптографические алгоритмы, исполь-
зуемые в инфраструктуре публичных ключей, и гибкость
настроек Kerberos для контроля доступа к сетевым ресур-
сам.
1. Кондрин М. Изучаем принципы работы Heimdal Kerberos. //Сис-
темный Администратор, №6, 2005 г. – С. 56-59.
2. Стахов В. Теория и практика OpenSSL. //Системный Админист-
ратор, №1, 2003 г. – С. 17-26.
3. Стахов В. Практика OpenSSL. //Системный Администратор,
№2, 2003 г. – С. 32-36.
4. Peter Gutman. PKI: It’s Not Dead, Just Resting. Computer, 35(8),
41‑49, 2002 – http://www.cs.auckland.ac.nz/ pgut001/pubs/
notdead.pdf.
5. Peter Gutman. Everything you never wanted to know about pki but
were forced to find out. – http://www.cs.auckland.ac.nz/ pgut001/
pubs/pkitutorial.pdf.
6. http://en.wikipedia.org/wiki/Public_key_infrastructure.
7. Кондрин М. Развертываем Heimdal Kerberos. //Системный Ад-
министратор, №7, 2005 г. – С. 20-25
8. http://www.h5l.org/dist/src/heimdal-1.1.tar.gz.
9. http://www.vanemery.com/Linux/Apache/apache-SSL.html.
10. http://www.ietf.org/html.charters/krb-wg-charter.html.
11. http://people.su.se/ lha/soft-pkcs11.
12. http://www.eyrie.org/ eagle/software/pam-krb5.
69
 безопасность

Изучаем теневое
копирование

Роман Васильев
Теневое копирование файлов, записываемых на внешние носители, стало практически
обязательным инструментом в арсенале корпоративных хранителей секретов. Разберемся
в особенностях реализации и работы этой технологии.

IT
-отделы и службы безопас-
ности современных предпри-
ятий уже хорошо знают, ка-
кую опасность для конфиденциаль-
ных данных представляют портатив-
ные USB-устройства с возможностью
хранения данных, например, флешки,
MP3-плееры, цифровые камеры и т. д.
Если в организации отсутствует какой-
либо контроль использования этих ус-
тройств, с их помощью нелояльный
или просто невнимательный пользо-
ватель может стать причиной утечки
существенных объемов конфиденци-
альной информации. Именно поэто-
му программные продукты, реализу-
ющие контроль использования таких
устройств в масштабах предприятия,

70
 безопасность
стали обязательным средством в ар- Таблица 1. Измерение времени копирования файлов
сенале борьбы за сохранение конфи- Без теневого копирования DeviceLock Zlock
денциальности информации. Один большой файл 125 c. 150 c. (+20 %) 175 c. (+40%)
На сегодняшний день известно Множество маленьких файлов 760 c. 880 c. (+15 %) 935 c. (+23 %)
множество программных продуктов,
которые реализуют не только базовый мации, это создаст повышенную на- n русскоязычный интерфейс;
функционал по разграничению досту- грузку на сеть. n документация на русском языке.
па, но и дополнительные возможнос- Во-вторых, для того чтобы анали-
ти, такие как журналирование и мони- зировать всю эту информацию, нужно Очевидно, что для средних и круп-
торинг действий пользователей, цен- большое количество людей или какие- ных компаний, для которых наиболее
трализованное администрирование, либо интеллектуальные автоматизиро- актуальна защита от утечек инфор-
управление через групповые полити- ванные средства, при том что задача мации через внешние устройства, не-
ки Active Directory и т. д. В число этих их поиска, закупки, настройки и интег- выполнение перечисленных условий
возможностей у большинства продук- рации с системой разграничения дос- делает внедрение системы довольно
тов включено так называемое «тене- тупа далеко не тривиальна. рискованным.
вое копирование». Данная функция В связи с этим более оправданным Приведенные ниже тесты прово-
при условии разрешенного доступа может быть выборочное использова- дились на ноутбуке IBM ThinkPad T43p
к внешнему носителю на запись обес- ние теневого копирования на компью- с процессором Pentium M 1.8 МГц и 1 Гб
печивает копирование всей информа- терах отдельных сотрудников. Прин- RAM, операционная система Windows
ции, которую пользователь записывает цип выбора таких сотрудников может XP SP2. В качестве внешнего носителя
на внешний носитель, сначала на ло- быть различным, например, для новых использовалась флешка Transcend JF
кальный жесткий диск, а потом пере- сотрудников во время испытательного V60 с файловой системой FAT32.
нос ее на сервер для последующего срока, для сотрудников, в отношении
анализа. Это может быть очень удоб- которых имеются какие-либо подозре- Копируем файлы
но в случае, если по каким-либо при- ния, для каждого сотрудника одну не- Наиболее распространенная операция
чинам сотруднику необходимо иметь делю в году и т. д. с внешними носителями – копирова-
возможность записывать информацию Итак, попробуем разобраться, ние файлов с жесткого диска ПК или
на внешний носитель, поскольку поз- что представляет собой теневое ко- из сети. Проведем два теста: копиро-
воляет провести расследование воз- пирование с технической точки зре- вание большого файла (418 Мб) и мно-
можного инцидента и сохранить конт- ния и как оно на самом деле рабо- жества маленьких файлов (1 072 фай-
роль над ситуацией. тает на примере двух продуктов: ла общим размером 393 Мб) на флеш-
Данная функция реализована DeviceLock 6.3 (Build 14161) от ком- накопитель. Без теневого копирова-
во многих современных продуктах, на- пании SmartLine Inc. и Zlock 2.0.1.597 ния время записи составило соответ-
пример, Safend от одноименной компа- от компании SecurIT. ственно 125 и 760 секунд. Теневое ко-
нии, Sanctuary Device Control компании Выбор для сравнения этих продук- пирование Zlock увеличило время за-
Lumension, Smartline DeviceLock и Zlock тов был обусловлен тем, что именно писи большого файла до 175 секунд
компании SecurIT. они в наибольшей степени представ- (на 40%) и множества маленьких фай-
Принцип работы теневого копиро- лены на российском рынке, тогда как лов до 935 секунд (на 23%). DeviceLock
вания довольно прост: при записи фай- другие упомянутые системы при всех показал немного лучшие результаты –
лов на внешний носитель копия запи- их достоинствах не имеют какого-либо 150 (+20%) секунд для крупного файла
сываемых данных вместе с дополни- одного, а чаще всего нескольких из пе- и 880 (+15%) секунд для набора мелких
тельной информацией (имя пользова- речисленных ниже атрибутов: файлов (см. таблицу 1).
теля, приложение, дата, время) сохра- n представительство на территории Н о н а м н е о бхо д и м о о ц е н и т ь
няется на жестком диске компьютера РФ; не только скорость записи данных,
и в дальнейшем переносится на сер- n наличие технической поддержки но и корректность работы теневого ко-
вер. Затем сотрудник службы безопас- на территории РФ; пирования. При копировании неболь-
ности может обратиться к базе данных
теневых копий и просмотреть подозри-
тельные файлы.
Очевидно, что использование
данной функции имеет ряд ограни-
чений, поскольку массовое внедре-
ние этой функции в крупной органи-
зации с большим числом пользова-
телей может создать существенные
проблемы.
Во-первых, если все пользовате-
ли будут копировать на внешние но-
Рисунок 1. В консоли DeviceLock сохраненный файл «Секретный документ.doc»
сители большое количество инфор- отображается как «~WRD0002.tmp»

№5, май 2008 71

 безопасность
Windows. В случае с большим файлом
Закон суров, но он закон роля информации по крайней мере не был при теневом копировании DeviceLock
Следует обратить внимание на один важ- негласным. Для этого, во-первых, надо в локальном хранилище обнаружи-
ный момент, про который часто забывают. приказом руководителя предприятия при- лась теневая копия размером всего
В настоящее время Законом РФ «Об опера- нять регламент использования корпора- лишь 30 Мб, а это 7% от общего объ-
тивно-розыскной деятельности» всем, кро- тивных средств обработки и передачи ин- ема файла. А что, если не пользовать-
ме специально уполномоченных организа- формации (телефон, компьютер, сети пе- ся процедурой завершения Windows,
ций, запрещается негласное получение ин- редачи данных и т. д.), который должен за- а нажать RESET сразу после оконча-
формации с использованием специальных прещать их использование для обработ- ния записи на носитель? Рассмотрим
технических средств (ст. 6). При этом в ка- ки личной информации. Во-вторых, на- это в конце статьи, а пока продолжим
честве негласного получения информа- до включить в этот регламент положение изучать работу теневого копирования
ции может иметься в виду не только конт- о том, что компания имеет право прослуши- в штатных ситуациях.
роль телефонных переговоров сотрудников вать, просматривать, архивировать и ана-
и их электронной почты, но и рассматрива- лизировать всю информацию, которая хра- Работа приложений
емый в данной статье контроль файлов, ко- нится, передается и обрабатывается с ис- В качестве набора тестовых приложе-
пируемых на внешние носители. Это озна- пользованием корпоративных средств. На- ний был взят широко распространен-
чает, что руководитель предприятия и/или конец, необходимо у каждого сотрудни- ный пакет MS Office 2003. Для каждо-
другие должностные лица, пытаясь обеспе- ка получить письменное подтверждение о го приложения из списка было прове-
чить свои законные права по обеспечению том, что он знаком с этим регламентом и дено два теста: сохранение документа
конфиденциальности информации, могут согласен с ним. Как известно, незнание за- на флешку с помощью команды «Со-
сами стать нарушителями закона и близ- кона не освобождает от ответственности, хранить как» и модификация сущес-
ко познакомиться со статьей 138 Уголов- поэтому, чтобы не иметь лишних неприят- твующего файла на носителе.
ного кодекса, которая запрещает наруше- ностей и не оказаться крайним, надо все
ние тайны переписки, телефонных разго- эти вопросы задать руководителю компа- Word
воров и иных сообщений граждан. нии или своему начальнику, желательно Как при создании нового файла, так
Для того чтобы этого не произошло, необ- также в письменном виде, и настоять на и при модификации имеющегося до-
ходимо, чтобы процесс получения и конт- их разрешении. кумента с именем «Секретный доку-
мент.doc», при просмотре теневых ко-
ших файлов в теневой копии все фиксируется корректно, а пий в консоли DeviceLock отображались файлы с именем
с файлом в 418 Мб поджидал сюрприз. Итак, в локальном вида «~WRD0002.tmp» (см. рис. 1), в то время как в кон-
каталоге Zlock теневая копия этого файла появилась сра- соли Zlock имена документов отображались корректно
зу же при начале копирования, и ее размер увеличивался (см. рис. 2).
одновременно с процессом записи на накопитель. В случае
с DeviceLock такого не произошло. Даже после окончания Excel
записи на флешку система продолжала активно работать с У DeviceLock ситуация с Excel не сильно отличается от Word:
жестким диском, и копия полностью сформировалась толь- теневые копии с именем вроде «FBAD1000» могут сущес-
ко через 135 секунд после окончания записи. твенно затруднить анализ журнала теневого копирования.
Теперь представим, что потенциальный злоумышленник При этом в некоторых случаях вместо приложения Excel
сохранит данные на внешний носитель и сразу после это- в журнале теневого копирования был зафиксирован про-
го выключит компьютер, используя процедуру завершения цесс explorer (проводник Windows). С Zlock подобных проб-
лем не наблюдалось.

PowerPoint
Правка находящегося на USB-флешке файла с презента-
цией PowerPoint отобразилась в DeviceLock как изменение
файла ppt1d.tmp, что не соответствует действительности.
У Zlock все в порядке.

Рисунок 2. Консоль Zlock корректно отображает имя
сохраненного файла
Access
Создание базы данных на носителе отображается в обо-
их продуктах, но при изменении БД у DeviceLock возник-
ли серьезные проблемы. Дело в том, что правка каких-ли-
бо таблиц и последующее сохранение документа не фик-
сируется вовсе! В теневых копиях фигурирует только файл
с расширением .ldb – это служебный файл Access. Изме-
ненный mdb-файл, пусть даже с каким-нибудь другим наз-
ванием, в DeviceLock отсутствует. Zlock корректно обраба-
тывает данную ситуацию и корректно фиксирует измене-
ния в обоих файлах.

72

Outlook
Похоже, что Outlook работает ана-
логично Access: при добавлении пи-
сем в pst-хранилища происходит мо-
дификация только части файла. В та-
кой ситуации DeviceLock, в отличие
от Zlock, теневые копии .pst-файлов
не сохраняет.
Следует отметить, что сохранение
файлов из Блокнота Windows (Notepad)
фиксируется обеими системами кор-
ректно, отображается правильное имя
файла и сохраняется все его содержи-
мое. Очевидно, что проблема с име-
нами файлов возникает у DeviceLock
в связи с некорректной обработкой
функции переименования, поскольку
известно, что приложения MS Office
при редактировании создают времен-
ные файлы с такими «неудобовари-
мыми» именами, а потом их переиме-
новывают.
Проблема же с Access и Outlook бо-
лее серьезна. Дело в том, что эти при-
ложения работают с файлами с помо-
щью функций их отображения в па-
мять (memory-mapped files), и, судя
по результатам теста, данные функ-
ции DeviceLock также не обрабатыва-
ет или обрабатывает некорректно. Та-
ким образом, любое приложение, кото-
рое сохраняет данные с использовани-
ем этой технологии, позволяет «обма-
нуть» теневое копирование DeviceLock,
что может быть использовано потенци-
альным нарушителем.
Надежность теневого
копирования
Изучение механизма теневого копи-
рования навело на мысль прервать
работу Windows нажатием на кноп-
ку RESET как во время копирования,
так и сразу после окончания записи
на носитель и посмотреть, что записа-
лось на флешку и что при этом сохра-
нилось в теневой копии.
В рамках данного теста были про-
ведены следующие испытания:
1. Копирование файла размером
18 Мб на флешку. Во время копи-
рования, когда по индикатору про-
гресса было скопировано порядка
60-70% файла, нажатие RESET.
2. Копирование файла размером 1 Мб
на флешку. Сразу после копиро-
вания, когда светодиодный инди-
катор флешки переставал мигать,
№5, май 2008
Таблица 2. Объем данных, записываемых в теневую копию
Вид испытания Расположение файла
RESET в процессе записи файл на флешке
файла размером 18 Мб
теневая копия
RESET сразу после записи файл на флешке
маленького файла (1Мб)
теневая копия
RESET сразу после записи файл на флешке
большого файла (60 Мб)
теневая копия
нажатие RESET. После перезагруз-
ки скопированный файл побитно
сравнивался с оригиналом – утили-
той fc.exe, для того чтобы убедить-
ся, что файл скопировался полно-
стью.
3. Аналогично п. 2, но копировался
файл размером 60 Мб.
Копирование выполнялось про-
водником Windows. Результаты тестов
приведены в таблице 2.
Как видно из результатов, осо-
бенности реализации теневого копи-
рования в системе DeviceLock могут
стать причиной утечки данных. Путем
несложных манипуляций с кнопкой
RESET злоумышленник может «вы-
нести» приличные объемы конфиден-
циальной информации в обход тенево-
го копирования, и служба безопаснос-
ти об этом может только догадываться.
Эта особенность может быть связана
с не очень удачным проектированием
системы – формирование теневой ко-
пии осуществляет системная служба,
выступая в качестве дополнительно-
го звена, что приводит к созданию ко-
пии после записи данных на внешний
носитель.
В Zlock теневое копирование осу-
ществляет драйвер, благодаря чему
можно реализовать превентивное те-
невое копирование – запись теневой
копии производится до записи дан-
ных на внешний носитель. Если обра-
тить внимание на результаты первого
теста, то видно, что в теневую копию
Zlock записалось больше информации,
чем успело скопироваться на флешку.
Правда, разработчикам Zlock удалось
добиться более высокой надежнос-
ти ценой снижения скорости копиро-
вания данных на отслеживаемые уст-
ройства, что может быть критично для
организаций, в которых сотрудники ин-
тенсивно работают с внешними носи-
телями данных.
безопасность
DeviceLock Zlock
10 207 232 байт 12 828 672 байт
отсутствует 12 845 056 байт (100,1% от
объема записанного файла)
записан полностью записан полностью
отсутствует записана полностью
записан полностью записан полностью
3 276 800 байт записана полностью
(5,2% от объема файла)
Выводы
Реализация теневого копирования
в DeviceLock обладает рядом сущест-
венных недостатков, которые не толь-
ко затрудняют анализ деятельности
пользователей службой безопаснос-
ти, но и могут привести к записи дан-
ных на носитель в обход функции те-
невого копирования.
В первую очередь, имеются в ви-
ду некорректная обработка операций
с файлами, отображаемыми в память
(memory-mapped files), и запись тене-
вой копии в локальное хранилище пос-
ле копирования данных.
С другой стороны, DeviceLock поз-
воляет вести теневое копирование
записываемых данных на другие ус-
тройства – порты ввода/вывода, КПК
и CD/DVD-приводы. Кроме того, сис-
тема позволяет фиксировать прямую
запись на диск.
Что касается Zlock, то, несмотря
на более позднее появление тенево-
го копирования, разработчики смог-
ли реализовать эту функциональность
гораздо надежней, но с рядом ограни-
чений, кроме уже упомянутого паде-
ния производительности. В частнос-
ти, в теневых копиях Zlock не фикси-
руется прямая запись на диск. Конеч-
но, она может быть выполнена только
какими-либо специальными утилитами
для работы с диском и только пользо-
вателем с администраторскими приви-
легиями, а, как известно, защищаться
от такого пользователя не имеет смыс-
ла, поскольку он и так может отклю-
чить любую систему, но всегда хочет-
ся стремиться к идеалу.
В заключение хотелось бы выра-
зить надежду, что данная статья ста-
нет источником дополнительной ин-
формации для потенциальных пользо-
вателей теневого копирования и помо-
жет сэкономить время и усилия на эта-
пе выбора решения.
Удачи!
73
 web

XML-native DB. XQuery

Александр Календарев
В прошлом номере был разговор про XML-native DB, в частности описывалась разработка Института
системного программирования XML-native DB Sedna. Для доступа в XML‑ориентированных базах
данных консорциумом W3C рекомендован язык XQuery. Он является такой же неотъемлемой частью
XML-native базы данных, как SQL в реляционных СУБД.

XQuery. Hемного истории
Недавно группа XML консорциума
W3C отпраздновала свое десятиле-
тие. Вскоре, после выхода первой спе-
цификации XML, появилась потреб-
ность в организации хранения инфор-
мации в формате XML, и соответствен-
но появилась потребность в разработ-
ке алгоритмов и методов ее извлече-
ния. Поэтому было предложено разра-
батывать «язык запросов», и уже в сен-
тябре 1998 года появился проект спе-
цификации XQL (XML Query Language,
http://www.w3.org/TR/NOTE-xml-ql) –
языка запросов для XML. Данная ра-
бота шла параллельно с работой груп-
пы XPath, которая занималась разра-
боткой спецификации XPath – языка
позиционирования XML-узлов (http://
www.w3.org/TR/xpath) В связи с тем
что разработка обеих групп пересека-
лась, группа XQL была расформиро-
вана, а сама спецификация XQL была
признана неудачной.
В августе 1999 года была сформи-
рована группа XQuery в составе 39 че-
ловек под руководством Пауля Коттона
(Paul Cotton). А группа XPath впослед-
ствии вошла в состав рабочей группы
XSL (http://www.w3.org/Style/XSL).
Первые требования спецификации
модели данных (Data Model) XQuery вы-
шли в январе 2000 года, а уже в 2001
году опубликовывается проект специ-
фикации описания языка XQuery.
3 ноября 2005 года XQuery 1.0
п о л у ч и л с т а т ус W3 C C a n d i d ate
Recommendation, а 23 января 2007
год а XQ uer y 1.0, од н о в р е м е н н о
с XSLT 2.0 и XPath 2.0, получил ста-
тус официальной рекомендации (W3C
Recommendation).
В настoящее время ведутся рабо-
ты по развитию этого стандарта, с до-
бавлением выражений полнотексто-
вого поиска и для внесения измене-
ний в XML-документы и базы данных
(XQuery Update), а также для проце-
дурных операций.
Группой XQuery консорциума W3C
подготовлены следующие специфи-
кации:
n XML Path Language (XPath) 2.0;
n XQuery and XPath Data Model;
n XQuery and XPath Functions and
Operators;
n XQuery Formal Semantics;
n XML Query Requirements;
n XML Query Use Cases;
n XSLT and XQuery Serialization;
n XML Syntax for XQuery (XQueryX);
n XQ u e r y a n d X P a t h F u l l -Te x t
Requirements;
n XQuery and XPath Full-Text Use
Cases.
Сам язык запросов XQuery не был
бы так интересен, если бы не появи-
лись его практические реализации.
На примере Senda мы и рассмотрим,
как осуществляется работа с NXD.
XQuery. Основные понятия
В основе XQuery лежит Xpath 2.0.
Но с другой стороны, XQuery расширя-
ет абстракцию формирования данных
с помощью FLWOR-выражений. Акро-
ним «выражения FLWOR» был назван
по первым буквам операторов:
n for – связывает одну или более пере-
менных, создавая набор кортежей;

74

n let – связывает переменные с результатом вычисления
выражения;
n where – осуществляет фильтрацию кортежей по задан-
ному условию;
n order by – отвечает за сортировку;
n return – отвечает за создание выходного выражения
для данного кортежа.
XQuery вводит понятие «последовательность». После-
довательность – это список, содержащий множество объ-
ектов или включающий в себя одну или несколько иных
последовательностей.
Каждый объект может представлять либо узел, либо
атомарное значение.
Под списком узлов понимается множество узлов, вы-
бранных по имени, типу или иному критерию. В отли-
чие от представления XML DOM-модели, модель данных
в XQuery представлена в виде дерева узлов. Допускаются
следующие типы узлов: документ, элемент, атрибут, текст,
пространство имен, команда обработки (process-instruction)
и комментарий. Каждый узел считается уникальным, даже
если узлы идентичны.
Узлы можно выбрать по Xpath-выражению, например,
для выбора всех названий регионов демонстрационной БД
аукцион применима следующая конструкция:
Пример 1. Простое использование XPath
doc("auction")/site/regions/*/name()
В результате мы получим следующий список:
africa,asia,australia,europe,namerica,samerica
Использование этого Xpath-выражения аналогично ис-
пользованию простого оператора:
SELECT * FROM TABLE
Можно средствами Xpath наложить фильтр, напри-
мер, выбрать все элементы <item>, которые входят в ре-
гион «asia»:
Пример 2. Усложненное использование XPath
doc("auction")/site/regions/*[ name()='asia']/item
Аналогом фильтра в SQL является конструкция WHERE
в операторе SELECT, т.е. аналогичное SQL-выражение:
SELECT * FROM TABLE regions WHERE name='asia'
Синтаксис XQuery в своем арсенале имеет выраже-
ния FLWOR. Так, пример 1 можно преобразовать следу-
ющим образом:
Пример 3. Использование выражений FLWOR
for $reg in doc("auction")/site/regions/*
return $reg/name()
Мы преобразовали запрос, но при этом сами результа-
ты выполнения запроса изменяться не будут.
№5, май 2008
web
Использовав запрос из примера 2, с помощью операто-
ров FLWOR его можно преобразовать в следующий вид:
Пример 4. Использование выражений FLWOR
for $reg in doc("auction")/site/regions/*
where $reg/name()='asia'
return $reg/item
В примерах 3 и 4 используется оператор for, синтак-
сис которого интуитивно понятен и очень похож на опера-
тор цикла в процедурных языках.
Как упоминалось ранее, XQuery так же, как и XSLT, поз-
воляет осуществлять преобразования результата запроса,
например, чтобы оформить результат примера 1 в следу-
ющий XML-документ:
<region>africa</region>
<region>asia</region>
<region>australia</region>
<region>europe</region>
<region>namerica</region>
<region>samerica</region>
Для этого в выражении return необходимо составить
шаблон выходного выражения:
<region>{$reg/name()}</region>
где выражение, заключенное в фигурные скобки {}, вычис-
ляется и осуществляется подстановка. В результате полу-
чится следующий запрос:
Пример 5. Использование конструктора выражений
for $reg in doc("auction")/site/regions/*
return <region>{$reg/name()}</region>
Пусть нам необходимо результат запроса из примера 5
заключить в теги <regions>{результат}</regions>, тогда дан-
ное преобразование должно принять следующий вид:
Пример 6. Более расширенное использование конструктора
выражений
for $reg in doc("auction")/site/regions
return
<regions>
{
for $r in $reg/*
return <region>{$r/name()}</region>
}
</regions>
Как вы видите, с помощью XQuery можно формировать
структуру XML-документа и производить практически лю-
бую трансформацию выходного документа, наподобие то-
го, как это делается в XSLT. Сам SQL в отличие от XQuery
формирует только набор строк.
Упорядочивание выборки
Рассмотрим более сложный пример:
Пример 7. Выборка и упорядочивание
for $reg in doc("auction")/site/regions/*
return
<region name="{$reg/name()}">
{
for $loc in $reg/item
75
 web
order by $loc/location
return <item location="{$loc/location}" ↵
id="{$loc/@id}"/>
} <country name="United States">
</region>
В примере 7 осуществляется выборка всех лотов по ре-
гионам и упорядочивание лотов по расположению лота (зна-
чение тега <location>, выражение «order by $loc/location»).
Как вы уже догадались, аналогом в SQL является конс-
трукция ORDER BY в операторе SELECT.
Результат выполнения примера 7:
<region name="africa">
<item location="United States" id="item0"/>
</region>
<region name="asia">
<item location="Denmark" id="item2"/>
<item location="United States" id="item1"/>
</region>
<region name="australia">
<item location="United States" id="item4"/>
<item location="Uzbekistan" id="item3"/>
</region>
. . .
Группировка
На следующем примере рассмотрим группировку. Выведем
всех участников аукциона и страну их проживания:
Пример 8. Группировка
let $person := doc("auction")/site/people/person
for $p in $person
return <person country="{$p/address/country}" ↵
>{$p/name/text()}</person>
Первое, на что хочется обратить внимание в приме-
ре 8,  – это использование последовательности, т.е. присво-
ение оператором let переменной $person некой последова-
тельности узлов, значение которой определяется Xpath-вы-
ражением: «(doc("auction")/site/people/person)».
Далее, для того чтобы сгруппировать всех участни-
ков по странам проживания, необходимо выделить после-
довательность, которая содержит узлы с именем назва-
ния стран:
let $country := distinct-values($person/address/country)
Для того чтобы пропустить одноименные узлы, исполь-
зуется функция distinct-values().
Если сравнивать с SQL, то данное выражение анало-
гично оператору «SELECT DISTINCT …».
Далее все очень просто: проходимся оператором for
по всем странам и выбираем имена тех person, которые
проживают в данных странах:
Пример 9. Группировка
let $person := doc("auction")/site/people/person
let $country := distinct-values($person/address/country)
for $c in $country return
<country name="{$c}">
{ for $p in $person[address/country=$c ]
return
<person>{$p/name}</person>
} В противном случае мы получили бы значение всего узла,
</country>
76
Результат:
<person> <name>Huei Demke</name> </person>
<person> <name>Daishiro Juric</name> </person>
. . .
</country>
<country name="Cook Islands">
<person> <name>Shooichi Oerlemans</name> </person>
</country>
<country name="Greenland">
<person> <name>Nestoras Gausemeier</name> </person>
</country>
Конечно, SQL-конструкция:
SELECT name, country FROM table GROUP BY country
выглядит наглядней, но XQuery более гибкий при построе-
нии структур данных.
Пересечения и выборки
XQuery не был бы полным языком, если бы с его помощью
нельзя было бы делать объединения и пересечения мно-
жеств. Пусть нам необходимо выбрать имена всех участ-
ников и сгруппировать их по открытым аукционам. По сути,
это запрос «SELECT INNER JOIN …». Например, данный за-
прос выдает только ссылки на имена участников:
Пример 10. Выборка по одному множеству
let $auc := doc("auction")/site/open_auctions
for $a in $auc/open_auction
return
<auction >{
for $p in $a/bidder/personref/@person
return <person>{$p}</person>
}</auction>
И результат этого запроса необходимо пересечь с за-
просом:
let $person := doc("auction")/site/people/person
В итоге получаем запрос:
Пример 11. Пересечение выборок
let $auc := doc("auction")/site/open_auctions
let $person := doc("auction")/site/people/person
for $a in $auc/open_auction
return
<auction id="{$a/@id}">{
for $p in $person[@id = $a/bidder/personref/@person]
return <person>{$p/name/text()}</person>
}
</auction>
Красным цветом выделены изменения. В данном запросе
связывающей конструкцией WHERE, аналога SQL, являет-
ся Xpath-выражение:
$person[@id=$a/bidder/personref/@person]
Хотелось бы отметить необходимость использования
функции text() в возвращаемом выражении: $p/name/text().
Функция text() возвращает значение текстового узла name.
включая обрамляющие теги:
 web
<person><name>Huei Demke</name></person> языке, состоит из объявления и тела. Для примера опре-
делим функцию inc(), которая увеличивает значение счет-
Функцию text() можно заменить на функцию data(), ко- чика на 1:
торую необходимо уже применять ко всему Xpath-выраже-
нию: data($p/name). Пример 14. Объявление функции
Результаты выполнения нашего запроса (см. при- declare function math:increment($num as xs:decimal) ↵
мер 11): as xs:decimal {
$num + 1
};
<auction id="open_auction0">
<person>Huei Demke</person>
<person>Laurian Grass</person> Следует отметить, что входные и выходные парамет-
. . . ры у функций должны быть типизированы. Допускают-
</auction>
ся как стандартные типы, определенные спецификацией
<auction id="open_auction1">
<person>Jamaludin Kleiser</person> XML Scheme:
<person>Eliana Ruemmler</person> n xs:string
. . .
</auction> n xs:integer
<auction>. . .</auction> n xs:decimal
n xs:float
Из набора FLWOR-выражений было рассмотрено все, n xs:date
кроме выражения IF. Данному выражению трудно найти n xs:QName
аналог в SQL-запросах, хотя его можно сравнить с опера- n xs:anyURI
тором IF, используемым в хранимых процедурах, но с бо-
лее ограниченными возможностями. Так и простые типы:
Пусть нам необходимо выбрать стоимость лотов из всех n element
аукционов, присвоив каждому лоту признак-attribute, в за- n node
висимости от цены – small для лотов меньше $30 и normal n attribute
для всех остальных лотов.
Простейшее решение продемонстрировано в приме- XQuery также еще позволяет определять пользователь-
ре 12: ский тип:

Пример 12. Выборка с условием define type user {

attribute id of xs:ID
let $price := doc("auction")/site/closed_auctions/ ↵ element rating ?
closed_auction/price }
for $p in $price
return
if ( $p < 30 ) then Необходимо отметить, что имя функции должно иметь ра-
<lot type="small" >{data($p)}</lot>
else нее определенный префикс пространства имен (namespace
<lot type="normal" >{data($p)}</lot> prefix). Под пространством имен понимается идентифициру-
емая с помощью ссылки URI (RFC2396) коллекция имен, ис-
Результат выполнения запроса: пользуемых в XML-документах для обозначения типов эле-
ментов и именования атрибутов. В данном случае с помо-
<lot type="normal">62.07</lot>
<lot type="normal">61.60</lot> щью uri будет идентифицироваться набор имен, определя-
<lot type="small">19.59</lot> емых пользователем функций. W3С рекомендовано, чтобы
<lot type="small">9.41</lot>
<lot type="small">21.75</lot>
использовался уникальный домен разработчика, например
http://mycompany.ru/xquery/fn. Определяется пространство
В отличие от своих собратьев XSLT и SQL XQuery, бла- имен выражением:
годаря включению FLWOR-выражений, более приближен
к процедурному языку, и он проще в понимании. Еще боль- declare namespace fn="http://nycompany.ru/Sedna/fn";
ше его приближает наличие в нем функций. Вызов функ-
ции состоит из списка выражений, разделенных запятыми, В случае если пространство имен не объявлено, то дол-
которые являются аргументами функции. В примере 13 жен быть объявлен локальный префикс: local:increment().
показывается обращение к встроенной функции concat() – Спецификация XQuery не определяет операторы изме-
склеивание строк: нения данных в XML-документах. Однако любая БД долж-
на не только извлекать данные из хранилища, но и иметь
Пример 13. Использование встроенных функций возможность манипулировать ими. В DML (Data Manipulation
let $name := doc("auction")/site/regions/*/name() Language), являющимся подмножеством SQL, существу-
for $n in $name ют операторы: INSERT. UPDATE и DELETE, выполняющие
return concat( $n, " is region tag")
функции вставка/изменение/удаление. XML-DB-консорци-
Однако XQuery не был бы мощным средством, если бы ум выступил с инициативой XUpdate и предложил свой син-
не имел функций, определяемых пользователем. Каждая таксис. Данный синтаксис очень похож на синтаксис опе-
пользовательская функция, как и в любом процедурном раторов DML.

№5, май 2008 77

 web
Например, для добавления данных необходимо выпол-
нить следующий запрос:
Пример 15. Выражение Update. Вставка узла
UPDATE
insert <person id="person25">
<name>John Smith</name>
<phone>223-322-223-322</phone>
<creditcard>3454 3656 2344 6767</creditcard>
</person>
into document("auction")/site/people
А для удаления этих же данных необходимо выпол-
нить запрос:
Пример 16. Выражение Update. Удаление узла
UPDATE
delete document("auction")/site/people/ ↵
person[name/text()="John Smith"]
Можно выполнить запрос на замену некоторых узлов:
Пример 17. Выражение Update. Замена узла
UPDATE replace
$g in document("auction")/site/people/ ↵
person[@id="person25"]/name with
<name>Ivanov Ivan</name>
XQuery. Ближе к практике
В одном веб-проекте, который представляет собой интер-
нет-каталог, необходимо собрать информацию с нескольких
XML-источников и опубликовать ее на веб-сайте. Сбором
информации занимается программа-загрузчик XML-доку-
ментов, которая вызывается по расписанию. Далее на ос-
нове собранных документов строится обобщенный XML-до-
кумент. Пусть обобщенная информация имеет следующую
структуру (см. рисунок).
Синим цветом на рисунке изображен иерархический
каталог товаров, который определен тегами:
<category id="12" name="пылесосы" … >
Зеленым цветом представлена иерархия товаров, рас-
пределенная по брендам.
Например, товар «пылесос THOMAS TWNtt». Пылесос
относится к элементу каталога: «Бытовая техника – пыле-
сосы», имеет бренд – марку производителя – THOMAS и яв-
ляется моделью TWNtt. Тег бренда будет:
<brand id="23" name="THOMAS" >
Cтруктура обобщенной информации
78
Каждый бренд – множество моделей, каждая из кото-
рых описывается тегом item:
<item id="34521" name="TWNtt" category="12”>
<description>описание модели</description>
</item>
Тег <item > имеет атрибут category, который ссылает-
ся на элемент каталога (на рисунке это изображено крас-
ной стрелкой). По каждой модели есть набор предложе-
ний от разных магазинов. Каждое предложение описыва-
ется тегом:
<offer price="12500" shop_id="12" ↵
url="http://texnoshock.ru/12343" />
Для выбора всех товаров данной категории достаточно
сделать следующий запрос:
Пример 18. Запрос на выборку товаров по всей категории
«пылесосы»
let $catalog := doc("catalog")/category[@name = "пылесосы"]
let $goods := doc("goods")/brand/item
for $g in $goods
where $catalog/@id = $g/@category
return $g
В нашем примере конструкция WHERE осущест-
вляет связывание элементов документов doc("catalog")
и doc("goods") наподобие конструкции WHERE при «джои-
не» таблиц в SQL. Для поиска конкретного товара по назва-
нию достаточно выполнить следующий запрос:
Пример 19. Запрос на выборку товаров по имени товара
let $goods := doc("items2")/goods/brand/item
for $g in $goods
where @name="TWNtt"
return $
Иногда при поиске мы не знаем точного имени, а зна-
ем только часть, тогда можно использовать встроенные
строковые функции: fn:contains, fn:start-with, fn:ends-with,
fn:substring-before, fn:substring-after:
Пример 20. Запрос на выборку товаров по части имени:
let $goods := doc("items2")/goods/brand/item
for $g in $goods
where fn:contains( $g/@name ,"S80" )
return $g
В заключение хочется отметить, что определенные тех-
нологии надо использовать строго по назначению, для чего
они разрабатывались. Если в проекте большая часть дан-
ных обрабатывается в XML-формате, то и использование
специально адаптированных под XML средств даст поло-
жительный эффект.
XQuery и WEB
В последнее время хоть и растет популярность исполь-
зования XML-технологий, но в ближайшее время массо-
вого использования XML-native DB в WEB, на мой взгляд,
не предвидится. Как говорится, нет спроса – нет и предло-
жения. Соответственно хостеры и не спешат устанавли-
вать XML DB.

Существуют отдельные проекты, которые используют
XML-native DB, и число таких проектов постепенно рас-
тет. Авторы проекта Sedna реализовали поисковую систе-
му WikiXMLDB (http://wikixmldb.dyndns.org), которая вклю-
чает 24 Гб информации, собранной в Википедии (http://
en.wikipedia.org). Поиск информации осуществляется до-
вольно-таки быстро. В данном проекте использован ин-
декс full-text.
Авторы проекта Sedna для использования построения
индекса full-text используют внешний коммерческий компо-
нент dt_search (http://www.dtsearch.com). В ближайшем бу-
дущем авторы проекта обещают внедрить внутренний ме-
ханизм построения индекса full-text.
Использование Sedna в качестве хранилища инфор-
мации целесообразно в случае работы с XML-документа-
ми. Например, в таких проектах, которые интенсивно об-
мениваются XML-документами или SOAP-сообщениями.
Один проект закачивает и обрабатывает из разных источ-
ников 600-700 XML-сообщений. В другом известном мне
проекте сделан импорт базы данных «1С» – склад в элек-
тронный магазин в XML-формате. Но такие проекты – ско-
рее всего исключение, вернее сказать, попытки освоить
новые технологии.
Если зашел разговор о технологиях, то, сравнивая
с наиболее популярной РСБД MySQL, можно сказать, что
по скорости выбора данных Sedna соизмерима с MySQL
и даже на некоторых запросах обгоняет его. Чтобы быть
более объективным, необходимо добавить, что при тести-
ровании не учитывалась загрузка системы, т.е. тестирова-
ние проходило на «чистой» машине.
Надо отметить, что нет методики сравнения XML BD
и реляционных БД, поэтому для сравнения были загруже-
ны в MySQL и Sedna одни и те же данные. Сравнивалась
скорость извлечения однотипных данных.
Скорость выборки данных во многом зависит от пра-
вильной организации структуры данных. Надо отметить,
что простое копирование структуры таблиц РСБД здесь
не подходит и это отдельная тема для статьи. Однако Sedna
имеет небольшой недостаток. Это относительно значитель-
ное время, необходимое на первоначальную загрузку дан-
ных (команда LOAD). Данный недостаток отсекает часть
проектов, в использовании которых необходимо оператив-
но в реальном времени вводить большие объемы XML-дан-
ных и сразу же их обрабатывать.
Если сравнивать проекты, то в MySQL хорошо задейс-
твованы механизмы кэширования запросов. И если первый
запрос выполняется относительно медленно, то все после-
дующие – довольно-таки быстро. Однако механизм кэши-
рования эффективен, если спектр запросов узок. В Sedna
кэширование результатов запроса или его части реализо-
вано менее эффективно. Поэтому при сравнении времени
исполнения выборок одних и тех же запросов результаты
разные, в зависимости от загрузки серверов в данное вре-
мя другими запросами.
Раз затронута тема WEB, то необходимо упомянуть, что
разработчиками проекта был написан модуль mod_sedna
для веб-сервера Apache 2.0. Данный модуль позволяет ис-
пользовать Sedna не только как хранилище, но и как мо-
дуль обработки логики.
№5, май 2008
web
Используются расширения файлов .xqy и .xquery, задан-
ные по умолчанию. Для обработки этих файлов необходи-
мо в htppd.conf добавить следующие строки:
LoadModule sedna_module modules/mod_sedna.so
LoadModule apreq_module modules/mod_apreq.so
AddHandler sedna-handler .xqy .xquery
В .xqy-файле пишется запрос, результаты которого от-
даются сервером веб-клиенту. Раз есть исходный запрос,
то должны быть и параметры запроса. Они передаются как
тело POST-запроса. Например:
<data><person id=”1”>Alexandre</person></data>
Эти данные доступны в теле запроса как элементы до-
кумента request_parameters:
let $id = document("request_parameters")/data/person/@id;
let $name = document("request_parameters")/ ↵
data/person/text();
Пара слов о доступе. Sedna – это полноценная БД с раз-
деленным доступом. Все данные соединения содержат-
ся в следующих HTTP-переменных (могут быть как GET,
так и POST):
n se_url – URL на котором запущена Sedna;
n se_db – имя БД;
n se_login – login;
n se_password – пароль.
Не знаю, из каких принципов исходили разработчики,
но, на мой взгляд, это является не совсем правильным с точ-
ки зрения защиты веб-приложений. Эти данные необходи-
мо прописать либо в конфигурационном файле httpd.conf,
либо в тексте xqy-программы.
Один их вариантов использования Sedna – это форми-
рование SOAP-ответа для веб-служб или формирование не-
посредственно HTML для дальнейшей публикации данных
в WEB, например, с использованием mod_sedna.
Чего не хватает в проекте Sedna, так это хорошего инс-
трумента профилирования. При построении и оптимиза-
ции запросов можно полагаться только на свою интуицию
и здравый смысл. Нет инструмента определения, как быс-
тро исполнилась та или иная часть запроса, какие индек-
сы были задействованы, каково значение промежуточных
переменных.
Остается надеяться, что разработчики будут постоянно
совершенствовать свой продукт и в скором времени дове-
дут его до конкурентоспособного состояния.
1. Официальный сайт проекта Sedna – http://modis.ispras.ru/sedna/
index.htm.
2. Sedna Programmer’s Guide. Документация, входящая в дист-
рибутив.
3. Консорциум W3C. XQuery – http://www.w3.org/TR/xquery.
4. XQuery в Википедии – http://ru.wikipedia.org/wiki/XQuery.
5. XQuery tutorial – http://www.w3schools.com/xquery/default.asp.
6. XUpdate – http://xmldb-org.sourceforge.net/xupdate/xupdate-
wd.html.
7. Говард Кац. XQuery от экспертов. Кудиц-образ. М. 2005 г.
79
 из личного опыта

Бессистемные заметки
о поиске работы за рубежом
ton-rai-plai-dee
(bad beginning good ending)

Тайская пословица

Крис Касперски
Многие люди (особенно IT-специалисты) хотят уехать отсюда, но не знают, как найти хорошую
работу за рубежом. Автор, имея более чем десятилетний опыт удаленной работы, наконец-то
нашел компанию своей мечты, стоящую того, чтобы оторвать свой хвост от кресла и сменить
Северный Кавказ на Сан-Франциско. Хотите и вы найти работу своей мечты?

…Как все начиналось
Обычно, на программистских форумах
в разделе «О работе» постоянно за-
даются одни и те же вопросы: «Какие
языки/технологии наиболее востребо-
ваны здесь и там?», «Что в первую оче-
редь следует изучать?». Начнем с то-
го, что язык – это вообще-то средство
выражения мысли и применительно
к программированию, с одним только
знанием языка на работу берут толь-
ко кодеров, которые тупо кодят то, что
им скажут. Кодер – это не программист.
Это как писарь и писатель, и если пи-
сатель говорит «сократить период пос-
тинга», то писарь так и пишет, а ведь
мог бы слегка оптимизировать текст,
заменив его на «пишите почаще».

80

Программист должен знать не толь-
ко язык, но и определенную предмет-
ную область, решая поставленные за-
дачи, за каждой из которых стоит если
не научное исследование, то по край-
ней мере инновация. Конечно, от ря-
дового программиста не стоит ждать
существенного улучшения «движка»
программы распознавания речи или
машинного перевода. Этим занима-
ются научные работники, результата-
ми которых и «кормятся» программис-
ты, ну а кодерам программисты пере-
дают уже четко сформулированные за-
дачи, реализация которых не требует
специфических познаний. Достаточ-
но разбираться во всем зоопарке гото-
вых библиотек и помнить, какую из них
и когда следует применить.
Вот, скажите, какие банальные
мысли автор высказывает. Это же всем
и так известно! Хм, но ведь на фору-
мах прежде всего спрашивают о язы-
ках, что изначально загоняет челове-
ка в рамки кодера, а «там» наши коде-
ры никому не нужды и гораздо более
востребованы индусы с азиатами, по-
тому что едят мало, кодят много (хоть
и криво), неприхотливы и т. д. Причем
при реорганизации фирмы (а реорга-
низации там не редкость), кодеры (осо-
бенно иноземные) «вылетают» в пер-
вую очередь. Потом, правда, к фирме
приходит понимание, что кодить все-
таки надо, и она вновь открывает ку-
чу вакансий, но… как только индусы
вместе с азиатами (и небольшим ко-
личеством «счастливчиков» из России)
съедают весь бюджет, они снова воз-
вращаются в родные пенаты.
Более того, позиционируя себя, на-
пример, как C#-кодера, вы вынуждены
конкурировать с толпой юниоров, ед-
ва осиливших книжку «C# for dummies»
и соорудивших из кучи готовых компо-
нентов какое-то подобие чего-то как бы
работающего. А сказать, что вы крутой
кодер, имеющий более чем десятилет-
ний опыт работы с C#, вы не можете, по-
тому как платформе .NET еще нет деся-
ти лет, а если говорить об опыте (рабо-
ты), то из этого срока необходимо вы-
бросить несколько лет, ушедших на обу-
чение (чтение книг, стандартов, написа-
ние первых неработающих программ).
Скажите – пять лет и вам поверят
с большой натяжкой. Три года звучат
намного более реалистично, но сколь-
ко еще таких же, как вы? И сколько тех,
№5, май 2008
из личного опыта
кто приврал в резюме? А к тому момен- Узких специалистов всегда не-
ту, когда у вас действительно появится много (и чем уже предметная область,
опыт работы с C#, весьма велика ве- тем их меньше), и стандартные рыноч-
роятность, что мода на него схлынет, ные отношения здесь не работают, ибо
Microsoft забросит .NET (кстати говоря, рынок подразумевает наличие спроса
разные версии которой уже страдают и предложения. А какой спрос на тех,
хронической несовместимостью) и C# кто знает дизассемблер? Даже назва-
станет чем-то вроде MFC. ния для такой профессии не придума-
Это не значит, что учить C# не нуж- но. Кадровые агентства не рассыла-
но. Почему же? Учите себе на здоро- ют резюме об их найме, фирмы не от-
вье. Только вероятность найти работу крывают вакансий. Компания Secunia
выше юниора (особенно за рубежом) (secunia.com) на своем сайте прямо так
достаточно невелика, хотя юниором и пишет, что вакансий нет, но мы всег-
можно устроиться в любой момент про- да рады рассмотреть предложения
странства-времени: от столицы до уез- от специалистов (http://secunia.com/
дного городка. И с возможностью ка- hardcore_disassembler_and_reverse_
рьерного роста. engineer).
Сравнительно большое число лю- И вот неожиданно выяснилось,
дей проскакивает эту стадию, изучая что одной крупной корпорации, имею-
язык дома или параллельно с другой щей десятки филиалов в Европе, Азии
работой, создавая программы, кото- и даже на Украине, требуется чело-
рые реально нужны им самим. А зна- век, умеющий писать скрипты, плаги-
ние языка (не важно какого) в совокуп- ны и процессорные модули для IDA-Pro,
ности с определенной предметной об- то есть как раз то, что у меня получает-
ластью – это уже программист, но ни- ся лучше всего. А фирме (имя которой
как не кодер. Программисты – доволь- вы наверняка знаете, хотя из сообра-
но ценный продукт, подобный винам жений конфиденциальности пусть это
с многолетней выдержкой, и здесь уже будет, хм, ну, например, «Acme Corp»)
можно рассчитывать на индивидуаль- легче (и дешевле) перетащить готово-
ный подход, существенно упрощаю- го специалиста из России в Сан-Фран-
щий процедуру трудоустройства. Рас- циско, чем «вырастить» (то есть обу-
познать программиста можно с перво- чить) своего собственного.
го взгляда: перечень языков програм- В процессе разбирательств с ин-
мирования у него идет в самом конце тервью, резюме, визами, трансфера-
резюме и часто огранивается одним- ми и прочей бюрократической суетой
двумя языками, хотя программист мо- пришлось в срочном порядке приобре-
жет более или менее сносно изъяс- тать новый жизненный опыт, которым
няться на добром десятке из них (на- очень хочется поделиться с читателя-
пример, я указал всего лишь C и x86- ми. И хотя статья носит спорный ха-
ассемблер, поскольку я слишком хоро- рактер, затрагивающий извечные те-
шо знаю C++, чтобы понять, что в дейс- мы «священных войн», она и задумы-
твительно я его не знаю). Зато список валась такой!
предметных областей стоит на первом
месте, и потенциальный наниматель Высшее образование –
сразу видит, с кем он имеет дело. с ним или без него?
Так уж сложилось, что автор этих Прежде чем погружаться в пучину дис-
строк обладает довольно редкой про- куссий и философских рассуждений,
фессией, если не сказать «экзотич- не имеющих отношения к реальности
ной». У меня хорошо получается ди- и лежащих в той же плоскости, в кото-
зассемблировать программы, реконс- рой находятся диспуты о соотношении
труируя исходный алгоритм, чуть хуже бога и церкви, скажу сразу: с опытом
выходит с разработкой защитных ме- работы свыше пяти лет и хотя бы па-
ханизмов, но определенные наработки рой-тройкой коммерчески успешных
в этой области все-таки есть, хотя ком- проектов диплом не спрашивают, а ес-
мерчески успешных проектов (реаль- ли и спрашивают, то только потому, что
но внедренных и действующих) сов- есть такой путь в резюме, но о резюме
сем немного. Казалось бы, на что тут мы еще поговорим.
можно претендовать?! Тем не менее на Высшее образование (при всех
хлеб с маслом хватает. его достоинствах и недостатках) – это
81
 из личного опыта
не банят, а просто молча указывают
Ловим рыбу – маленькую всего именно в мелкой фирме. К тому же… на дверь. «Отмазок» же можно приду-
и большую мелкие фирмы очень любят расплачивать- мать великое множество. Почему у ме-
Какую из двух фирм выбирать: маленькую ся не деньгами, а… акциями, которые вызо- ня нет высшего образования? Не бы-
или большую? И какие принципиальные от- вут смех на бирже и вообще ничего не стоят. ло денег на учебу, например. От нега-
личия между ними? Первое, что приходит Я тоже могу выпускать акции, если сильно тивного слова «самоучка» лучше от-
на ум: план работы крупной фирмы распи- захочу. Ну и что? А то – если мелкая фирма казаться, сказав, что всему научил-
сан менеджерами лет на пять вперед, и по- однажды станет большой и могучей, то все, ся благодаря тому, что бок о бок рабо-
пытка проявить инициативу, как правило, кто был в ней с самого начала (когда акции тал с талантливыми программистами
давится на корню, потому как менеджеры летали налево и направо), автоматически (тут главное, не переврать, иначе могут
страшно не любят брать на себя ответс- превратятся в миллионеров. Естественно, попросить озвучить имена талантов).
твенность и рисковать, а всякая иннова- если фирма свернет свою деятельность, Конечно, врать нехорошо, но нужно
ция – это всегда риск, причем весьма зна- то акции уйдут в мусорное ведро. различать вранье и манипулирование
чительный. И зачем менеджеру создавать Однако чем амбициознее проект, тем фактами. В конечном счете главное –
себе лишние проблемы? Оправдывайся по- больших ресурсов он требует для вопло- вызвать расположение работодателя,
том в случае неудачи. А так всегда можно щения в жизнь (а потом его еще и на ры- а в этом намного больше психологии,
сказать, что задача была спущена сверху нок проталкивать надо). Крупные фирмы чем программирования, хотя хорошие
и мы решили ее надлежащим образом в ус- имеют практически неограниченные ре- работодатели расположены «по умол-
тановленный срок (ну или не совсем в срок, зервы, и очень часто после сдачи одного чанию», а от плохих лучше держаться
но все-таки решили), а то, что задание бы- проекта (когда высвобождается большое подальше. Главное – не отчаиваться
ло изначально бредовым – ну так мы не количество программистов) менеджеры и упорно продвигаться к цели через
уполномочены выносить такие заключе- кидают их на любой, даже заведомо про- тернии и неудачи. Конечно, сейчас мне
ния. Чем вы там наверху думали?! вальный проект просто потому, что людей легко писать эти строки. Сейчас, когда
Небольшие фирмы намного охотнее нужно чем-то занять. Уволить их, а потом у меня, случается, бывает по несколь-
идут на риск и иногда ставят на карту все вновь набрать для очередного проекта – ко человек со степенями в подчине-
имеющиеся у них резервы. Неудача озна- это вообще не вариант, поскольку круп- нии, на вопрос о дипломе можно прос-
чает крах, удача сулит резкий взлет. Ре- ные фирмы подбирают кадры, как алма- то рассмеяться, а при возникновении
ализовать свои амбициозные идеи легче зы в корону. трений даже использовать это как ко-
зырной аргумент: «Вот у вас диплом,
не показатель. Известно большое ко- наличие высшего образования не яв- вы и думайте, а я пока пойду покурю».
личество людей с красным дипломом, ляется обязательным условием, а дип- А что бы изменилось, будь у меня
не написавших после окончания вуза лом (даже красный) вообще ничего диплом? История не знает сослага-
ни одной строки кода и вообще не су- не гарантирует, правда, его отсутствие тельного наклонения, моя жизнь могла
мевших устроиться в жизни. Известно до некоторой степени затрудняет тру- пойти совсем другим путем и отсутс-
и большое количество людей, окончив- доустройство в США, но, во-первых, твие необходимости доказывать (роди-
ших вечернюю школу и занимающихся на США свет клином не сошелся, во- телям, ну и не в последнюю очередь се-
любимым делом, приносящим деньги, вторых, не такое это уж и серьезное бе), что человек без диплома тоже име-
покрывающим все текущие расходы, затруднение, а, в-третьих, програм- ет право на существование с высокой
запросы и потребности. Такие про се- мирование – дисциплина, изначально степенью вероятности, «осадила» бы
бя говорят: мы зарабатываем столько, ориентированная на решение проблем. меня на какой-нибудь работе, вообще
сколько требуется. Работы сейчас – мо- Вот и пусть программист без ВО реша- не связанной с компьютерами (посту-
ре, только успевай. Хочется денег (что- ет задачу: как ему устроиться на ра- пал-то я на радиофизика) и… так бы я
бы слетать на Канары или купить но- боту, не имея диплома, но имея голо- и остался в своем селе, которое очень
вый объектив для камеры) – без проб- ву на плечах. люблю (вот такая любовь к моей ма-
лем! Впряжемся, напряжемся и зара- Несколько советов как следует се- ленькой родине), а говорить о карьере
ботаем. Надоели тропические остро- бя вести, если нет не только диплома, программиста в селе, до которого Ин-
ва с пальмами, а объективы не уме- но и опыта. Ситуация, конечно, крити- тернет докатился только в конце 90‑х…
щаются на полке?! Вольемся в менее ческая, но главное все-таки не диплом это даже несмешно.
прибыльный (бесприбыльный, убыточ- и даже не опыт, а голова. По моим наблюдениям, люди с дип-
ный), но зато по-настоящему интерес- Первое – никогда, ни при каких об- ломами гораздо более спокойны и вы-
ный проект. стоятельствах не нужно критиковать держаны. А вот люди без такового –
А стоит ли вообще поступать в вуз? высшее образование при общении рвутся, мечутся и… рано или поздно
Это очень индивидуальный вопрос, с работодателем, поскольку люди, от- находят свое место в жизни. Или не на-
и ответить на него можно так же, как давшие этому самому образованию ходят. Тут уж как кому повезет.
ответил мудрец, к которому пришел лучшие годы своей жизни, как прави-
юнец, вопрошающий: а не жениться ли ло, убеждены, что вуз – штука полез- Визы и проблемы,
ему?! Нет, не женись, потому что иначе ная, и рьяно отстаивают свои убеж- им сопутствующие
ты бы не спрашивал. Извлечь пользу дения, а всех несогласных… Это вам Ох, уж эти визы… Но без них никуда
из вуза, конечно, можно, но в IT‑сфере не общение на форуме. Тут за флейм из своей страны. Что такое виза? Это

82

документ, обеспечивающий возмож-
ность въезда в страну (для отдыха или
работы), но не дающий никаких гаран-
тий. Грубо говоря, если у вас есть ви-
за, то ваша кандидатура будет рас-
смотрена и в случае положительного
решения соответствующих организа-
ций (во всех странах они разные) дан
«зеленый» свет.
Некоторые страны (например, Ма-
лайзия) не требуют получения ви-
зы (выдают ее автоматом на грани-
це) для непродолжительного отды-
ха и вспоминают о ней только при по-
пытке трудоустройства. Впрочем, про-
цедура выдачи виз упрощена до пре-
дела (достаточно иметь заграничный
паспорт и не быть носителем зараз-
ных заболеваний), лимиты, если та-
ковые и обозначены, обычно никогда
не выжимаются досуха, а срок оформ-
ления виз позволяет паковать чемода-
ны прямо сейчас. В самом деле снача-
ла летим в Малайзию как туристы, там
решаем все вопросы с работодателем,
после чего оформляем рабочую визу
(для получения которой, впрочем, при-
дется временно вернуться в свою род-
ную страну).
Но вот США – совсем другое дело.
С визами там полный кошмар. Хотя их
тоже можно понять. Открой границы –
и на следующий день на одного амери-
канца будет приходиться по меньшей
мере сотня чужестранцев. Количество
желающих работать на звездно-поло-
сатый флаг с каждым годом все рас-
тет, а вот квоты на визы не увеличива-
ются. Кстати, о визах.
Самая популярная виза – H-1B, вы-
даваемая носителям специальных зна-
ний (например, программистам) с пра-
вом работы в США на срок до трех лет
(с возможностью продления до шести).
Желательным (но не обязательным!)
требованием является наличие выс-
шего образования, соответствующе-
го как минимум степени бакалавра. Ес-
ли же высшего образования нет, при-
дется доказывать наличие знаний тем
или иным образом (например, участи-
ем в известных проектах). Кстати, на-
ши дипломы (даже «международного»
образца) все равно необходимо заве-
рять, так что отсутствие «корочки» –
не преграда.
Естественно, коль скоро речь
зашла о «специа льных знаниях»
(цитирую официальный документ:
№5, май 2008
«H‑1B classification applies to persons
in a specialty occupation which requires
the theoretical and practical application
of a body of highly specialized knowledge
requiring completion of a specific course
of higher education»), то кодеры отпада-
ют сразу. Никакая компания не станет
выписывать их в штаты – проще пору-
чить эту работу азиатам или индусам,
на территории стран которых постро-
ено множество техноцентров.
Кстати говоря, запрос на выдачу
визы H-1B оформляет работодатель.
Самостоятельно подать прошение на-
нимаемый работник не может. Сле-
довательно, работодателя необходи-
мо искать, находясь в России или лю-
бой другой стране с облегченным ви-
зовым режимом. И этот работодатель
должен быть настолько заинтересован
в вашей персоне, чтобы заняться нуд-
ной юридической волокитой.
И чем же этих буржуев можно за-
интересовать? Либо теми знаниями/
навыками, в которых они нуждают-
ся и, будучи не в состоянии удовлет-
ворить свою нужду на месте, согла-
шаются принять специалиста из Рос-
сии, а иногда не просто соглашают-
ся, но и предлагают любые условия.
Но чаще всего интерес обусловлива-
ется экономическим фактором. Рус-
скому программисту можно практи-
чески ничего не платить, выжимая из
него все соки, заставляя человека ра-
ботать буквально на износ, подрывая
здоровье, так что после трех лет ра-
боты он с полным психическим и фи-
зическим истощением, расшатанны-
ми нервами становится отработан-
ным жмыхом и выдворяется в Россию,
где вместо поиска работы ищет сана-
торий. Есть ли смысл «валить» в Шта-
ты только затем, чтобы отдать им все,
что ты имеешь, не получив ничего вза-
мен?! Хорошую работу и здесь мож-
но найти…
Итак, первая большая проблема
виз H-1B – необходимость подтверж-
дения своих навыков и поиски рабо-
тодателя, заинтересованного в них.
Кажется, при отсутствии знаний де-
ло – труба, но при большом желании
поработать на дядю Сэма можно от-
правиться в бодишоп (body-shop – до-
словно «магазин тел»), но не чтобы со-
вершить покупку, а… продать самого
себя. В рабство. Владелец бодишопа
берет на себя все заботы по вашему
из личного опыта
Таблица 1. TOP10 High-Tech-компаний
и количество H-1B виз, полученных
ими в 2006 году (по данным
http://en.wikipedia.org/wiki/H-1B)
Компания Количество виз H-1B
полученных в 2006 году
Microsoft 3117
IBM 1130
Oracle Corporation 1022
Cisco 828
Intel 828
Motorola 760
Qualcomm 533
Yahoo 347
Hewlett-Packard 333
Google 328
трудоустройству в обмен на опреде-
ленный процент от зарплаты (иногда
очень даже значительный). Для мно-
гих программистов – это практически
единственный путь, однако… минусов
у него столько, что тут не статью нуж-
но писать, а целую монографию, так
что вдаваться в подробности мы не бу-
дем. Зачем нагонять негатив, когда его
и без того хватает?!
Вторым (и основным) недостатком
виз H-1B являются жестокие квоты, ог-
раничивающие число желающих, при-
чем за последние два года число же-
лающих превысило квоты в первый
же день подачи заявлений (по тради-
ции начинающийся с 1 апреля, в день
смеха), и потому пришлось проводить
лотерею. Кому-то повезло, а кому-то
нет. И хотя есть надежды на измене-
ние ситуации, на данный момент въезд
в США по визе H-1B совершенно бес-
перспективен, т.к. независимо от мо-
мента подачи прошения на выдачу ви-
зы придется ждать 1 апреля, а потом
(если счастливый билет выпал кому-
то другому) держать вакансию откры-
той целый год без всякой гарантии,
что «не повезло в первый раз – пове-
зет в другой». И какой же работода-
тель будет держать вакансию все это
время? Ну Secunia (и подобные ей), мо-
жет, и будут, т.к. все равно официально
открытых вакансий у них нет и они ло-
вят всех специалистов, попавших в по-
ле зрения, но какой специалист (а мы
говорим о специалистах) будет коро-
тать годы в ожидании визы?! Амери-
ка это, конечно, круто, но кушать хо-
чется даже по ночам. Ладно, устраи-
ваемся на временную работу в Рос-
сии (или другой стране, где с визами
83
 из личного опыта
Таблица 2. TOP10 учебных заведений
и количество виз H-1B, полученных
ими в 2006 году (по данным
http://en.wikipedia.org/wiki/H-1B)
Заведение Количество виз H-1B,
полученных в 2006 году
University of Michigan 437
University of Illinois 434
University of Pennsylvania 432
Johns Hopkins University 432
School of Medicine
University of Maryland 404
Columbia University 355
Yale University 316
Harvard University 308
Stanford University 279
University of Pittsburgh 275
все не так жестоко) и… надолго зави-
саем там, ибо, как говорят философы:
ничто так не постоянно, как времен-
ное. Проработав год-другой на одном
месте, так уж захочется вновь играть
в лотерею?!
Впрочем, ограничение на квоту
можно обойти двумя путями. Первое
(самое честное). Устроиться в органи-
зацию, на которую квоты не распро-
страняются и к которым главным об-
разом относятся научно-исследова-
тельские институты и некоммерческие
организации. Касательно институтов –
туда, понятное дело, берут в основном
научных сотрудников различных степе-
ней «тяжести», и простые программис-
ты (особенно без диплома) могут уст-
роиться разве через прочные дружес-
кие или родственные связи.
Некоммерческих организаций
в США столько, что… а скольким
из них требуются программисты?! Да-
же если организация не занимается
разработкой очередного клона Linux,
то ей явно требуется кто-то, кто мо-
жет «нарисовать» сайт, а современ-
ные сайты, как известно, представляют
собой грандиозные сооружения и лег-
че нанять «русского туземца», чем по-
купать готовый «темплейт», выклады-
вая за него чемодан денег, а потом еще
один – за «заточку» сайта под профиль
фирмы. Но некоммерческая организа-
ция потому и называется некоммер-
ческой (non-profit, т.е. не приносящей
прибыли), что балансирует на грани
самоокупаемости, что естественным
образом отражается на уровне за-
рплат, а сменить место работы нель-
зя. Для этого необходимо либо полу-
84
чить грин-карту, которую дают далеко
не всем, или же выиграть «настоящую»
визу H-1B в очередной лотерее, устро-
ившись в коммерческую фирму.
Второй (нечестный) путь обхода.
Устраиваемся на удаленную работу.
Формально устраиваемся, чтобы фир-
ма могла объяснить, за что вам платят
зарплату, а реально вы будете рабо-
тать по туристической визе, которая
не запрещает находиться на террито-
рии коммерческих фирм. А находиться
там все равно придется, поскольку да-
леко не всю работу можно выполнить
удаленно. Выносить исходные тексты
за пределы фирмы – да кто это раз-
решит?! Конечно, работа по туристи-
ческой визе – махинация, граничащая
с нарушением закона, но все-таки ос-
тающаяся в его рамках. Естественно,
крупные фирмы в такие игры не игра-
ют, а мелкие (испытывающие острую
нужду в опытных сотрудниках) могут
разориться прежде, чем успеют рас-
платиться, или банально «кинут», пос-
кольку судиться вы все равно не смо-
жете, а у них нет репутации, которую
можно запятнать.
Кроме визы H-1B еще есть визы
O‑1, предназначенные для людей, об-
ладающих экстраординарными спо-
собностями. Нобелевские лауреаты,
например, или звезды мировой эст-
рады. Или… писатели. В самом деле,
имея признанные публикации в специ-
ализированных областях, вполне ре-
ально претендовать на получение ви-
зы O-1. О квотах (в силу ограниченного
количества экстраординарных людей)
тут, понятное дело, речь не идет.
А еще варианты есть?! Если вы
не играете в азартные игры и не обла-
даете мировой известностью, самый
простой путь – трансфер в США по ви-
зе L-1B, выдаваемой тем, кто за пос-
ледние три года отработал по мень-
шей мере 365 дней в филиале фир-
мы, имеющей штаб-квартиру в США,
или же материнской фирме, имеющей
дочернее подразделение в штатах. По-
нятное дело, что для программистов
первый вариант наиболее предпочти-
телен. Сейчас, в эпоху рассвета аут-
сортинга, практически каждая более
или менее крупная фирма имеет сеть
филиалов в Азии, Индии (т.е. стра-
нах с облеченным визовым режимом).
Отдельные филиалы есть в России
и на Украине.
Из двух вариантов, приемлемых
для меня (O-1 и L-1B), последний выгля-
дит намного более соблазнительным.
Фирма имеет филиал в Азии, к которой
автор этих строк весьма неравнодушен
и совсем не против, выражаясь образ-
ным языком, «потусоваться» там неко-
торое время, расширив сознание свое-
го жизненного опыта и получив массу
впечатлений. С другой стороны, иссле-
довательский центр находится в Сан-
Франциско, и компания весьма заин-
тересована в моем скорейшем появ-
лении. Как говорится, время – деньги,
а в азиатском филиале для меня заня-
тие все равно не найти…
Впрочем, решением обозначенных
вопросов главным образом занимает-
ся наниматель, а нанимаемому остает-
ся только ждать (с правом настаивать
на том или другом варианте, но вот бу-
дет ли его голос принят во внимание
или нет – сложно сказать).
Информацию об остальных визах
можно почерпнуть с официального
сайта: http://travel.state.gov/visa/temp/
types/types_1271.html.
Табель о рангах,
или Цветовая
дифференциация штанов
Слово «программист» в качестве ука-
зателя профессии прижилось толь-
ко в русском языке. В цивилизован-
ном мире принято указывать, кто есть
кто и чем он собирается заниматься.
В грубом приближении «программист-
ские» должности укладываются в сле-
дующую лестницу: Intern/Trainee →
Junior Engineer → Engineer → Senior
Enginee → Expert/Architect.
Что конкретно она означает?
На вершине находятся эксперты (час-
то независимые) и архитекторы. Экс-
перт – понятие растяжимое. Это может
быть, например, «гуру по C++», знаю-
щий все его особенности, консульти-
рующий сотрудников и составляющий
рекомендации по стилю программиро-
вания, которых должны придерживать-
ся кодеры и программисты. Эксперт
не просто владеет языком. Он превос-
ходно знает Стандарт и все (или боль-
шинство) нестандартные расширения
и особенности реализации тех или
иных языковых возможностей в кон-
кретных компиляторах, что позволя-
ет ему оградить программистов от ис-
пользования потенциально опасных

конструкций, превратно понимаемых
некоторыми компиляторами или во-
обще никак не понимаемых.
Архитектор проектирует весь про-
ект или какую-то его часть. Например,
если фирма разрабатывает брандма-
уэр, то тут нужны, как минимум, один
архитектор и три эксперта – первый
знает все сетевые протоколы, второй –
все типы удаленных атак, третий – все-
возможные локальные атаки на бран-
дмауэр со стороны зловредных прило-
жений. Естественно, все три эксперта
(вместе с архитектором) могут соче-
таться в одном лице, но такое быва-
ет редко и не слишком-то приветству-
ется, поскольку локальные и удален-
ные атаки слишком различны по сво-
ей природе.
Понятное дело, что архитекторы –
это выдающиеся конструкторы, име-
ющие богатый практический опыт
и до 35 лет соваться на эту должность…
только людей смешить. Хотя фор-
мальных ограничений по возрасту нет,
и в небольших фирмах архитектором
может быть и 25-летний юнец. С экс-
пертами в этом смысле все намного
проще, поскольку, в отличие от архи-
текторов, им достаточно владеть уз-
кой предметной областью, но владеть
ей очень хорошо.
Senior Engineer – это тот же архи-
тектор только рангом пониже. Ему да-
ют задачу без объяснения, как ее ре-
шать. Естественно, «решать» не как
то на камне, и тут все зависит от спе-
цифики конкретной фирмы, но в об-
щем случае, работа Engineer предпо-
лагает меньшую ответственность и на-
дежду на получение четко формали-
зованной задачи, впрочем, без углуб-
ления в технические детали, которые
Engineer должен решать сам (на то он
и инженер), т.е. Engineer находится на-
много ближе к кодеру, чем к програм-
мисту и во многих случаях действи-
тельно является кодером.
Junior Engineer и особенно Intern/
Trainee – однозначно не программист-
ские должности, это чистые кодеры.
Иногда приходится слышать, что, де-
скать, Junior Engineer – «инженер с
испытательным сроком». Ничего по-
добного! Испытательный срок, конеч-
но, никто не отменял, но если вас бе-
рут как Senior Engineer, то и испыты-
вать будут соответствующим обра-
зом. А на должность юниора иностран-
ца могут взять только разве что из со-
страдания к русскому народу, при уст-
ройстве через бодишоп или из-за хро-
нической нехватки кадров. Все три слу-
чая указывают на отвратительный ме-
неджмент, и потому пользоваться ими
категорически не рекомендуется. Слу-
хи, что в больших компаниях очень
Таблица 3. TOP20 компаний и количество полученных виз L-1B в 2006 году
(по данным http://en.wikipedia.org/wiki/L-1_visa)
Компания Штаб-квартира
из личного опыта
строгая субординация и необходимо
пройти всю эту лестницу от начала
до конца, ничем не обоснованы.
Во-первых, как уже говорилось,
иностранных специалистов (именно
специалистов, а не дешевую рабочую
силу) нанимают на должность от Senior
Engineer и выше. Во-вторых, если че-
ловек от природы кодер (кодит с оше-
ломляющей скоростью и при этом без
ошибок, но не может решить задачу,
пока ему не скажешь, как), то на долж-
ности Senior Engineer ему просто нече-
го делать.
А вот архитектор или эксперт по бе-
зопасности может вообще не уметь
программировать и программу «hello,
world» писать в обнимку со справоч-
ником. Но кого это волнует?! Эти лю-
ди решают совсем другие пробле-
мы. Далеко не все кодеры становят-
ся инженерами, и карьерный рост тут
ни при чем. У каждой профессии за-
пах особый, и должности всякие важ-
ны и нужны!
Резюме, интервью
и все‑все‑все
Прежде чем писать свое резюме, ра-
зумно почитать чужие, которые в наши
дни можно встретить на любом сайте
Основной Количество полученных
дочерний филиал виз L‑1 в 2006 году

в институте. Тут можно не только спра- Tata Mumbai, India India 4887
вочники, библиотеки сторонних разра- Cognizant Technology Solutions New Jersey India 3520
ботчиков, но и целые институты под- IBM Armonk, New York USA 1237
ключить. Теоретически. А практичес- Satyam Hyderabad, India India 950
ки, имеются такие понятия, как бюд-
Wipro Bangalore, India India 839
жет и запрет на использование чужих
Hindustan Computers Ltd. (HCL) Noida, India India 511
продуктов, которые проще и надежнее
Deloitte & Touche LLP New York, New York USA 512
написать самостоятельнее, чем купить.
В принципе, большинство работодате- Patni Computer Systems Mumbai, India India 440

лей, ищущих программистов за пре- Intel Corporation Santa Clara, California USA 394
делами своей страны, ищут именно Kanbay Chicago, Pune, Hyderabad, India 329
and Chennai
Senior Engineer, экспертов и архитекто-
ров. Простых Engineer хватает в Индии, Honeywell International Morristown, New Jersey USA 320

Азии, да и на местах их немало. То есть, Hewlett Packard Palo Alto, California USA 316
если вас спросят, на что вы претендуе- Infosys Bangalore, India India 294
те, называйте по меньшей мере Senior Accenture Hamilton, Bermuda ??? 291
Engineer, впрочем, могут и не спросить, Caritor San Ramon, California India 231
а все решить за вас, по итогам собесе-
Schlumberger Technology Corp Netherlands Antilles? 214
дования/интервью.
Oracle Corporation Redwood Shores, California USA 176
Если же работодатель предлагает
Syntel Troy, Michigan India 171
должность простого Engineer, то это ни-
чего не значит! Различие между прос- PricewaterhouseCoopers New York, New York USA 168

тым Engineer и Senior Engineer не выби- Microsoft Redmond, Washington USA 169

№5, май 2008 85

 из личного опыта
Здесь Русь, здесь русским
духом пахнет!
Мне дают зарплату за то, что хожу
на работу.  Если еще и работаю, то премию.
(c) Юрий Никитин
И какой русский человек не любит обсуж-
дать законы, которые он не читал, читать не
собирается, но совершенно уверен, что за-
коны написаны так, как ему это кажется,
исходя из логики, здравого смысла и веры
в справедливость. Между тем купить КЗоТ
(или взять электронную версию в Интерне-
те) однозначно стоит, потому как, почитав
обозначенный документ, стандарты на язы-
ки программирования (написанные на бур-
жуйском языке) можно прямиком отправ-
лять в топку – за ненадобностью.
Краткий ликбез. Уволить человека,
знающего законы и умеющего отстаивать
свои права, намного дороже, чем терпеть
его присутствие на работе и платить за-
рплату (вместе с премией) за имитацию
бурной деятельности или даже за отсутс-
твие таковой. Если не брать в расчет уп-
равленческий персонал, то рядовые коде-
ры вообще ни за что не отвечают. Вот и пус-
кай кодят как умеют, а работает ли про-
грамма или нет – за это у руководства го-
лова болит. Штрафовать за ошибки в коде
или срыв плана КЗоТ не позволяет. Мож-
но, правда, лишить премии, но! Это необхо-
димо обосновать с учетом кучи подзакон-
ных актов. Кодер всегда может сослать-
ся на плохое руководство, отсутствие чет-
кой постановки задачи и т. д. А знаете ли
вы, что за увольнение беременной жен-
щины в Уголовном кодексе предусмот-
рена специальная статья? Руководители
фирм до сих пор на свободе только пото-
му, что большинство наших граждан зако-
нов не читали, а свои права отставить в су-
де не приучены. О господи, ну где же их
манеры? (Зачем увольнять человека, ког-
да можно создать ему такие условия, что-
бы он ушел «по собственному»? Известен
случай с японским концерном, который,
получив от суда требование восстановить
уволенного на работе, взял и посадил его
в будку у входа на завод со служебным за-
по трудоустройству. Там же обычно ле-
жат и статьи, написанные, по всей ви-
димости, теми, кто только и занимает-
ся, что пишет резюме, но так и не мо-
жет написать то единственное, что дой-
дет до цели и подействует.
Кто-то настоятельно рекомендует
отказаться от страдательного зало-
86
данием «ничего не делать». Зарплата вы-
плачивалась регулярно, но недолго – че-
рез пару месяцев человек слег в больни-
цу с нервным расстройством. Оплачива-
ли ли ему больничный и должны ли были,
по японским законам – этого я не знаю. –
Прим. ред.)
Конечно, если фирма выплачивает со-
труднику минимальный оклад плюс про-
цент от продаж, то теоретически у него со-
здается мотивация работать хорошо и ко-
дить с утра до полуночи, потому как – не бу-
дет продукта, не будет продаж, не будет
и денег, но практически такая схема рабо-
тает только в небольших фирмах, а по ме-
ре роста штатов дает сбой, ибо оценить
вклад каждого сотрудника в общее де-
ло, назначив ему соответствующий про-
цент, нереально сложно, да и плевал он
на фирму и на этот процент. Маленький
винтик большой машины никак не влияет
на объемы продаж. Какая разница, сколь-
ко строк кода он напишет за день и сколь-
ко багов уйдет в релиз?! Успех всего ме-
роприятия в целом зависит в первую оче-
редь от бригады маркетинга, везения и ре-
акции конкурентов.
Другими словами, в России есть реаль-
ная возможность ходить на работу только
затем, чтобы слушать музыку (в наушни-
ках, конечно) и лениво водить пальцами
по клавиатуре. И получать за это зарпла-
ту. Пусть только попробуют не платить или
(страшно сказать) выгнать с работы. Им же
самим дороже выйдет.
А вот «свалив» за рубеж, там… ага!
Правильно! Там наш КЗоТ отдыхает,
и приходится работать, вкалывая по пол-
ной программе, кодируя за троих, а полу-
чая за одного без всякой правовой под-
держки со стороны государства, позво-
лившего вам приехать в «их» страну толь-
ко затем, чтобы улучшить положение сво-
их рабочих и бизнесменов, а потому наде-
яться, что «там» вас ждет райская жизнь,
право, не стоит, а то с разочарования мож-
но и с моста сигануть, до конца жизни рас-
плачиваясь с бригадой спасателей и вра-
чей из «скорой помощи».
га, изобилие которого в английском
языке действительно выглядит проти-
воестественно и напрягает читателя,
которому легче отправить такое ре-
зюме в корзину, чем насиловать моз-
ги. Однако не стоит бросаться и в дру-
гую крайность. Попробуйте избавить-
ся от страдательного залога во фра-
зе «I was born» (естественно, в резю-
ме такое вообще не встречается, а сра-
зу указывается возраст, – если его хо-
чется указать).
Другие странные личности авто-
ритетно заявляют, что американцы
не любят слова «to participate» и, де-
скать, лучший вариант перевода «при-
нимал участие [в проекте]» это «to take
/to have/part in smth». Интересно, с че-
го бы это американцам не любить
«participate», если его можно встретить
даже в титрах американских фильмов –
в смысле «при участии студии такой-
то». Другой вопрос, что понятие «при-
нимал участие» слишком растяжимое.
Автор этих строк вполне может сказать,
что принимал участие в огромном ко-
личестве проектов, включая Windows.
И это правда. Была у меня переписка
с одним парнем из Microsoft, в кото-
рой мы обсуждали загрузчик PE‑фай-
лов и его глюки, часть из которых бы-
ла найдена им, часть – мной, в резуль-
тате чего составленный общими уси-
лиями баг-репорт был передан в нуж-
ный отдел, а мне в качестве награ-
ды возвращен крохотный участок ис-
ходного кода, где исправлена одна из
ошибок и упомянуто мое имя, точнее,
ник. Ну и в чем моя заслуга? Ошибки
в Windows обнаруживаются регулярно.
Особенно много их вылавливают раз-
работчики линкеров, упаковщиков ис-
полняемых файлов, создатели вирусов
и т. д. Дает ли это им право/чувство со-
причастности? Естественно, нет. И по-
тому слова «принимал участие» в ка-
кую форму их ни облеки – это просто
информационный мусор. Если прини-
мал – конкретизируй!
Личные местоимения. Английский
ими вообще грешит, и начинающие пе-
реводчики макула… простите, лите-
ратуры рождают перлы типа «он вы-
тащил из своего кармана…». Ага, бы-
ло бы очень странно, если бы он что-то
вытащил из чужого. Но в английском
личные местоимения играют пример-
но ту же роль, что синонимы в русском
языке – когда не знаем, как правиль-
но пишется такое-то слово, использу-
ем синоним. В английском же артик-
ли представляют проблему не только
для тех, кто знает его со словарем, но и
для самих носителей языка, и потому,
чтобы не напрягать корректора, лучше
избавиться от них, используя личные
местоимения, которые в контексте ан-
 из личного опыта
глийского языка смотрятся вполне ес- мог быть успех, когда длинная колон- тать человек, чтобы решить, каким об-
тественно, а вот обилие «Я» в резюме ка «education» со списком кучи учеб- разом его выгоднее всего использо-
раздражает. Вот на этот случай и су- ных заведений и курсов по сертифика- вать. Лично мне (как уже говорилось
ществуют редуцированные (т.е. сокра- ции ужалась до лаконичного «have no выше) предложили писать скрипты/
щенные) формы и вместо «I have more one». (Кстати, несмотря на успех при- плагины для IDA-Pro, что не требует
than 15 years of software engineering and ложения, едва ли я бы стал рекомендо- глубоких знаний C++ и прочих техно-
reverse engineering experience…» пи- вать такой способ другим. Читать-пи- логий программирования, зато требу-
шите просто «Over 15 years of software сать же вас научили, и, судя по всему, ет знания самой IDA-Pro. И как раз та-
engineering…», а вместо «I was working неплохо. Вот и пишите честно: средняя ких специалистов фирме и не хватает.
for…» просто «Working for», поскольку школа номер №1 с. Малая родина, зо- А по Java, высшей математике и крип-
было бы странно, если бы вы в своем лотая медаль. – Прим. ред.) тографии у них уже имеется полностью
резюме описывали кого-то еще. Каково же было мое удивление, укомплектованный штат, свободных
И самый главный совет. Не пишите когда Senior Recruiter возвратил мне вакансий нет и в обозримом будущем
резюме! Обычно работодатели на сай- существенно переработанный вари- не предвидится. Так что попытка пре-
тах в разделе «Careers» и в постах на ант резюме, полностью переформа- тендовать на владение высшей мате-
специализированных форумах дают тированный и уже не содержащий ни- матикой никак бы не изменила статус-
контактный адрес Senior Recruiter или каких ссылок ни на образование, ни кво (все равно мне предложили бы
другого лица, отвечающего за подбор на что другое, чего у меня нет, и пе- обслуживать IDA-Pro), зато первая же
кадров. Senior Recruiter – это человек, речисляющий только то, что есть. Го- проверка моих «знаний» математики
а не машина, и потому первое письмо ворит, что вот слегка (это он называ- вылилась бы в вопрос «а IDA-Pro вы
можно писать в форме, не имеющей с ет слегка!) исправленный и улучшен- тоже так хорошо знаете?!»
резюме ничего общего. Вот только пу- ный вариант, высланный вам на одоб- И вот телефонное интервью. Про-
гать его не надо. В смысле говорить, рение и утверждение. Мораль: не за- блема в том, что я как Му-Му. Все по-
что вы из России. У меня, например, это нимайтесь чепухой и предоставьте пи- нимаю, но ничего не говорю. Английс-
прозвучало в десятом по счету пись- сать резюме профессионалам. В конце кий со слуха – это у меня без проблем.
ме, когда моей персоной уже заинте- концов это их работа, они умеют ее де- Фильмы без перевода, интернет-ра-
ресовались, но при всей тактичности лать и делают намного лучше тех, кто дио – все это давно пройденный этап.
делового человека Senior Recruiter так пишет резюме от случая к случаю или Но одно дело – знать, как произносят-
и не смог скрыть своей растеряннос- не пишет вообще. ся слова, и совсем другое – уметь их
ти и еще письма три переспрашивал: Но самое интересное впереди. На- произносить. Мы общались с полчаса,
а точно ли из России? Это не шутка?! чали меня спрашивать за языки. А вот обсуждая самые различные и неожи-
Но вообще-то я не лукавил. Письма от- с языками у меня еще хуже, чем с об- данные аспекты: от форматов CD/DVD
правлял со своего домашнего почтово- разованием. Сказал, что знаю только и отличий MPEG-1/MPEG-2/MPEG-4,
го сервера с доменным именем, окан- C и x86-asm (хотя на самом деле, более до виртуальных машин, обфускаторов,
чивающимся на .ru, плюс мой английс- или менее сносно изъясняюсь на C++, особенностей написания драйверов
кий. До сих пор удивляюсь, как он при- Delphi, Perl, начал учить Python и C# под Windows, Linux, BSD и т. д. Свое-
нял меня за американца. А еще кто-то и уже вовсю программирую на них, но… го собеседника я понимал без проб-
говорит, что моим английским только одно дело программировать, исполь- лем, но вот он меня (как выяснилось
пионеров пугать. зуя некоторое подмножество освоен- из дальнейшей переписки), не то что-
Ладно, не в этом дело. Перепис- ных языковых возможностей, а дру- бы совсем не понимал… скорее просто
ка, конечно, хорошее дело, но долж- гое – знать весь язык целиком). Были догадывался, разбирая только отдель-
но быть и резюме. А как его писать?! и другие вопросы, на которые прихо- ные слова и ключевые термины.
Честно говорю Senior Recruiter, что, вы, дилось отвечать: нет, не знаю, не стал- Вывод: не стоит бояться, что вас не
наверное, будете смеяться, но резюме кивался, первый раз слышу, ой, а это поймут или «приговорят» за плохой ан-
никогда не писал и даже не представ- мне реально не по зубам. глийский без суда и следствия (хуже
ляю, как оно должно выглядеть. Про- И что же – по результатам собеседо- своего разговорного английского я ни-
шу дать образец. Дает! Читаю… Серд- вания мне назначают интервью по те- чего представить не могу). Если в че-
це ойкает. Не то! Резюме на 90% состо- лефону с конкретным специалистом, ловеке заинтересованы – все будет ОК.
ит из перечисления предыдущих мест причем довольно крупным специалис- К тому же, как выяснилось, интервью
работы, всяких наград и призов еще том, если даже не сказать широко из- проводится вовсе не для проверки зна-
со времен школьных олимпиад. Мне же вестным (кстати, заочно мы были зна- ний, и оно совсем не похоже на экза-
особо и похвастаться нечем, особенно комы – я исследовал его разработки, мен. Вопросов по существу так и не за-
с учетом того, что большинство проек- а он читал мои книги). Разве не логич- дали, позже объяснив это тем, что го-
тов проходили под NDA, включающим но, что после ~90% негативных отве- раздо важнее определить, как себя ве-
в себя запрет на разглашение самого тов меня следовало похоронить, зако- дет собеседник – погружается ли в глу-
факта проведения такого проекта дан- пав в землю на три метра. Так ведь нет! бокую задумчивость, начинает ли ле-
ной фирмой. В общем, тупик. Напи- Вопросы задавались вовсе не для то- петать: нам такое не задавали, мы та-
сал свой вариант и отослал безо вся- го, чтобы «завалить», а просто выяс- кое не проходили или же не позволяет
кой надежды на успех. Да и какой там нить области, в которых может рабо- застать себя врасплох.

№5, май 2008 87

 ретроспектива

Хакеры: история субкультуры

Часть вторая

Илья Александров
Технологии развивались. Хакеры старой школы с монстрообразными ЭВМ и безумно дорогим
машинным временем оставались в прошлом. Компьютеры становились доступнее, а хакерами
стали называть совсем других, нежели раньше, людей…

Восьмидесятые.
Электронные журналы
и хакерские группы
1981 год. Хакер «Captain Zap», в миру
известный как Иан Мерфи (Ian Murphy),
взламывает компьютерную сеть теле-
фонной компании AT&T. Теперь звон-
ки днем тарифицируются как ночные,
а разговоры ночью оплачиваются как
днем. Взлом был обнаружен сотруд- Holland). Члены «Хаоса» заявляли,
никами компании только спустя не- что занимаются изучением компьютер-
сколько дней. ной безопасности ради знаний и кри-
Начинается эпоха зарождения тиковали тех, кто взламывает систе-
групп компьютерных энтузиастов, ха- мы во вред пользователям.
керских команд. Одной из самых из- В сети Техасского университета
вестных стала немецкая «Computer появляется первая (или якобы пер-
Club Chaos», которую основал про- вая) вредоносная программа, вирус.
граммист из Гамбурга Ву Холланд (Wau К катастрофе систему он не приводил,

88
 ретроспектива
лишь отвлекал пользователя тексто- мен Symbolics.com как предвестник были признаны виновными за взлом
вым сообщением, выводившимся в ко- интернет-бума. компьютерных систем государствен-
мандной строке. Первые вирусы и уголовные про- ных компаний. Следствие утверждало,
1982 год. Шестеро американских цессы. что полученные данные хакеры прода-
несовершеннолетних компьютерщи- 1986 год. После нашумевших взло- вали сотрудникам КГБ СССР. Обвине-
ков, обозначив себя «группой 414», мов к хакерам перестали относиться ние базировалась на показаниях Ган-
взламывают несколько десятков ком- просто как к компьютерным хулига- са Хьюбнера (Hans Huebner), члена ха-
пьютерных сетей. В том числе в уни- нам, теперь они преступники. В США керской группировки, признавшегося
верситете Беркли, в научных лабора- выходит «Закон о мошенничестве с ис- в содеянном.
ториях и медицинских центрах. Ника- пользованием компьютеров», предус- Знаменитая операция американс-
кого вреда они не нанесли, но факт матривающий наказание за электрон- ких спецслужб «Sundevil». Операция
проникновения получил огласку, и сло- ные взломы. была направлена на выявление ха-
во «хакер» впервые появилось на пер- Первая вирусная эпидемия. Пора- керских сообществ. В итоге были изъ-
вых полосах газет. До уголовных пре- жающий загрузочные секторы дискет яты несколько десятков компьютеров,
следований за взломы сетей было вирус «The Brain» распространился закрыты хакерские доски объявле-
еще далеко. по всему миру. Его создали два про- ний, многие арестованы. Некоторые
Ричард Столлман (Richard Stallman) граммиста из Пакистана в исследова- известные компьютерные взломщики
начинает разработку одной из версий тельских целях. Вирус изменял метки прекратили свою деятельность. В от-
операционной системы UNIX. дискет на «(с) Brain. вет на этот рейд была создана право-
1983 год. Год запомнился выходом 1987 год. Первый сбор хакеров в защитная организация, занимающа-
на экраны кинокартины «Wargames». оффлайне. Мероприятие «SummerCon» яся делами в области компьютерных
Фильм рассказывал о юном вундер- посетило около двадцати специалис- преступлений.
кинде, легко обходящем защиту любых тов. Вошедшая в историю фрикерс-
компьютерных систем. По сюжету пос- Набирает рост движение крэке- кая выходка Кевина Поулсена (Kevin
ле одного из его взломов едва не на- ров – взломщиков лицензионного про- Paulsen) и Рона Остина (Ron Austin). Они
чался военный конфликт с использо- граммного обеспечения. Появляется получили контроль над АТС и поучас-
ванием ядерного оружия. Фильм вы- электронный журнал «Decoder». твовали в радиоконкурсе. Сто второ-
звал рост интереса молодежи к ком- 1988 год. Первый приговор. Герберт му дозвонившемуся обещали новень-
пьютерным технологиям. Зин (Herbet Xeen) приговорен к 9 ме- кий автомобиль «Porshe». Естественно,
1984 год . Энд рю Таненебаум сяцам лишения свободы за взлом сто вторым оказался Кевин. Афера рас-
(Andrew Tanenbaum) выпускает пер- компьютеров Министерства оборо- крылась, Поулсена ждал суд.
вую версию ОС Minix, которая впос- ны США.
ледствии окажет огромное влияние на Арманд Мур (Armand Moore) полу- Эпоха Интернета
развитие свободного ПО. чает доступ к компьютерной систе- 1991 год. Линус Торвальдс (Linus
Эммануил Гольдштейн (Emmanuel ме банка Чикаго. Попытка перевести Torvalds) выпускает первую версию
Goldstein) основывает электронный ха- на свой счет в Швейцарии 70 милли- Linux.
керский журнал «2600». Фрикинг, безо- онов долларов закончилась плачевно – Тим Бернерс-Ли (Tim Berners-Lee)
пасность, программирование. «2600» деньги остались в банке, а Мур отпра- начинает разработку гипертекстового
будет лучшим хакерским электронным вился в тюрьму. Интернета – World Wide Web.
изданием. Эпидемия «червя Моррисона». Со- Фил Циммерман (Phil Zimmerman)
В этом году объявлено о созда- зданный по ошибке программиста, представляет публики PGP – самый
нии еще двух хакерских группиро- червь временно приостановил рабо- совершенный криптографический инс-
вок – «Legion of doom» и «Cult of dead ту ARPAnet. трумент для защиты данных.
cow». «Legion» стала самой легендар- 1989 год. Основана хакерская груп- 1992 год. Появление первых конс-
ной и многочисленной хакерской груп- па «Masters of Deception», бросившая трукторов вирусов VCL и PS-MPC. Те-
пой восьмидесятых, а «Cult of…» про- вызов «Legion of Doom». Хакеры обеих перь вредоносный код мог создать лю-
славились созданием многочисленных команд совершают ряд громких взло- бой школьник.
security-программ, самой известной мов, выясняя, кто сильнее. Борьба ин- 1993 год. На свет появляется
из которых стала программа удаленно- теллекта закончилась предсказуемо – Mosaic 1.0, выпущенный центром разра-
го администрирования «Back Orifice». активисты «MoD» были арестованы. ботки для суперкомпьютеров. Первый
1985 год. Выходит «Phrack». Еще The Mentor публикует во «Phrack» веб-браузер, прародитель NetScape.
один электронный журнал по безо- так называемый Манифест Хакера. Па- П а т р и к Ф о л к е р д и н г ( Pa t r i c k
пасности. Как принято говорить, «must фосный документ пропитан хакерской Volkerding) создает свой дистрибутив
read» для администратора. этикой и юношеским романтизмом, но, Linux – Slackware. На основе кода 386
Microsoft завершает эпоху DOS как бы там ни было, «манифест» полу- BSD-разработчики пишут первую вер-
и выпускает релиз Windows 1.0. Пока чает большую известность. сию FreeBSD.
это все тот же DOS, но с графическим 1990 год. Громкий процесс в Гер- Проходит конференция специа-
интерфейсом. мании. Питер Карл (Peter Karl), Маркус листов в области компьютерной безо-
Первый зарегистрированный до- Хесс (Markus Hess), Карл Кох (Karl Cox) пасности DefCon. С тех пор она про-

№5, май 2008 89

 ретроспектива
водится ежегодно и считается самой ки пользователей были засыпаны ты- Microsoft – хакеры продолжают исполь-
авторитетной среди хакеров и анти- сячами однообразных писем. зовать набирающую популярность тех-
хакеров. Появляется первый вирус для нологию DDOS-атак.
1994 год. Дело Кевина Митника Linux – Linux.Bliss. Еще одна вирусная эпидемия, они
(Kevin Mitnick). Кевин прославился сна- Ян Голдберг (Ian Goldberg) лома- теперь идут одна за другой. На этот раз
чала взломом телефонных, а потом ет 40-битный security-код компании электронная зараза носила имя извес-
и компьютерных сетей. Вопреки рас- RSA Data Security. Слово «криптогра- тной теннисистки Анны Курниковой.
пространенному мнению, компьютер- фия» становится модным, а в защиту Процесс против российского про-
ным гением Кевин не был – чаще все- информации инвестируются все боль- граммиста Дмитрия Склярова. Он вы-
го при взломах он использовал чело- шие деньги. ехал в Америку по приглашению, что-
веческий фактор, так называемую со- Хакер Fyodar пишет утилиту NMAP, бы выступить с лекцией об уязвимос-
циальную инженерию. В поимке Кеви- сканер уязвимостей. Программа стала ти защиты электронных книг в форма-
на Митника большую роль сыграл япон- культовой и даже засветилась в филь- те PDF. Склярова арестовали по иску
ский эксперт Цутому Шимомура, ком- ме «Матрица». компании Adobe. Дело вызвало огром-
пьютеры которого также подверглись 1998 год. Хакеров начинают нака- ный резонанс, тюрьмы программисту
взлому. Митник получил 5 лет, но стал зывать в Китае. Наказание за взлом избежать удалось, хотя все свои ра-
самым известным хакером в истории. сети банка – смертная казнь. боты в области изучения безопаснос-
Владимир Левин взламывает ком- В правительстве США обсуждают- ти формата PDF Скляров был вынуж-
пьютерную сеть «City-банк». Хакер ся проблемы компьютерной безопас- ден прекратить.
снял со счетов то ли 400000 долла- ности. В качестве экспертов выступали 2002-2003 годы. Российский сег-
ров, то ли и вовсе 10 миллионов – раз- члены хакерской группы The L0pht. мент Интернета задохнулся от спа-
ные источники называли разную циф- Используя ошибку в ОС Solaris, мерской атаки. Практически каждый
ру. Счета Левина замораживают, а са- израильский хакер Эхуд Таненбаум русский пользователь, имеющий ящик
мого хакера арестовывают в Лондо- (Echud Tanenbaum) проникает в ком- электронной почты, получил письмо
не при попытке обналичить украден- пьютерную сеть Пентагона. Дело по- от центра обучения американскому ан-
ные деньги. лучает огласку, а Эхуд – 6 месяцев глийскому, который становится просто
1995 год. Последняя эпоха фри- тюрьмы. притчей во языцех.
керов. Команда «Phonemasters» про- 1999 год . Йон Йохансен (Jon Вирусные эпидемии становят-
водит ряд взломов сетей AT&T, Bell, Johansen) из Норвегии разрабатыва- ся частью интернет-жизни. SoBig,
British Telecom и других. Несколько не- ет программу DeCSS, взламывающую MSBlast…
дель работа телефонных сетей в ря- защиту лицензионных DVD-дисков. Украден и выложен в свободный
де регионов была затруднена. За де- Эпидемия вируса Melissa. Макрови- доступ в Сеть исходный код компью-
ло взялось ФБР, и лидер группы полу- рус для MS-Word. После своего попа- терной игры Half-Life 2.
чил 5 лет тюрьмы. дания на компьютер он самостоятель-
Тео Де Раадт (Theo De Raadt) вы- но рассылал себя по первым пятидеся- Эпилог
ходит из числа разработчиков NetBSD ти e-mail, найденным в адресной кни- Хакерство – это уже субкультура.
и начинает свой проект. Он делает са- ге Outlook Express. Ущерб от вируса Со своей историей, со своими леген-
мую безопасную систему всех времен составил несколько десятков милли- дами и героями.
и народов – OpenBSD. онов долларов США. Его автор – Дэвид Когда-то это были просто фанатич-
Ха ке р К р и с Л э м п р ех т (C h r i s Смит (David Smith), 31-летний програм- ные студенты технических институтов,
Lamprecht) становится первым в ис- мист из Нью-Джерси, был осужден чья жизнь вертелась вокруг монитора
тории человеком, которому запреще- на 10 лет лишения свободы и штраф и клавиатуры. Потом, в век информа-
но пользоваться Интернетом. Крис за- в 400000 долларов. ционных технологий, с легкой руки таб-
нимался проникновением в сети част- лоидов хакерами назвали взломщиков
ных компаний и продажей украденной Новейшее время компьютерных сетей. Про них снима-
информации. 2000 год. Шестнадцатилетний ха- ли фильмы, писали книжки, слово «ха-
Компьютерному сообществу пред- кер из Канады, известный под ни- кер» стало модным и наделенным ка-
ставлен сверхбезопасный прото - ком Masterboy, устраивает DDOS-ата- ким-то мистическим смыслом. Что же,
кол передачи данных SSH (Secure ку на крупнейшие ресурсы Сети. Сре- пусть читатель сам решает, кто такие
Shell). А на прилавках появляется ди жертв оказались Amazon.com хакеры.
Windows 95… и CNN.com. Многочисленные запросы А они, в свою очередь, дальше бу-
19 9 6 год . Пе р в ы й в и рус д л я с целой сети компьютеров, подчинен- дут писать свою историю. Историю ха-
Windows 95 – он назывался Boza. Ко- ных хакеру с помощью троянского ко- керства.
личество вирусов в этот год выраста- ня, вывели серверы из строя.
ет в разы, а ленты безопасности пере- Запущен исследовательский про- При подготовке статьи использова-
полнены сообщениями о уязвимостях ект Honeynet Лэнса Спитцнера (Lance лись материалы с сайтов:
новой ОС от Microsoft. Spitzner), который стал одним из самых n En.wikipedia.org
1997 год. Хакерская атака на кли- авторитетных security-центров. n Bugtraq.ru
ентов провайдера America Online. Ящи- 2001 год. Два дня не доступен сайт n Viruslist.com

90
 bugtraq

Переполнение буфера Обход ограничений безопасности

в Red Hat Directory Server в Gentoo Linux
Программа: Red Hat Directory Server 7.x, 8.x. Программа: Gentoo Linux 1.x.
Опасность: Средняя. Опасность: Средняя.
Описание: Уязвимость существует из-за ошибки провер- Описание: Уязвимость существует из-за того, что сцена-
ки границ данных в обработчике регулярных выражений. рий /etc/conf.d/firebird устанавливает переменную окруже-
Удаленный пользователь может с помощью специально ния ISC_PASSWORD при запуске Firebird. Удаленный поль-
сформированного регулярного выражения в LDAP-поиске зователь может, не указывая учетные данные, подключить-
вызвать переполнение буфера и выполнить произвольный ся к СУБД с привилегиями SYSDBA.
код на целевой системе. URL производителя: www.gentoo.org.
URL производителя: www.redhat.com/en_us/USA/home/ Решение: Установите исправление с сайта производителя.
solutions/directoryserver.
Решение: Установите исправление с сайта производителя. Обход ограничений безопасности
в IBM WebSphere Application Server
Уязвимость в реализации TCP/IP Программа: IBM WebSphere Application Server 5.0.2.
в Sun Solaris Опасность: Средняя.
Программа: Sun Solaris 8, 9, 10. Описание: Уязвимость существует из-за неизвестной
Опасность: Средняя. ошибки в Java-плагине. Удаленный пользователь может
Описание: Уязвимость существует из-за ошибки в реали- с помощью специально сформированного недоверенного
зации протокола TCP/IP. Удаленный пользователь может апплета повысить свои привилегии на системе.
произвести TCP SYN Flood-атаку и потребить все доступ- URL производителя: www.ibm.com.
ные ресурсы процессора на системе. Для успешной эксплу- Решение: Установите исправление APAR PK65161 с сай-
атации уязвимости ndd(1M) tunable «tcp_conn_req_max_q0» та производителя.
должен быть установлен в значение выше 1024.
URL производителя: www.sun.com. Несколько уязвимостей
Решение: Установите исправление с сайта производителя. в Microsoft Malware Protection Engine
Программа: Microsoft Antigen 9.x; Microsoft Diagnostics and
Обход аутентификации Recovery Toolset 6.x; Microsoft Forefront Client Security 1.x;
в Oracle Application Server Microsoft Forefront Security for Exchange Server; Microsoft
Программа: Oracle Application Server 10g, возможно, дру- Forefront Security for SharePoint; Microsoft Windows Defender;
гие версии. Microsoft Windows Live OneCare.
Опасность: Средняя. Опасность: Средняя.
Описание: Уязвимость существует из-за того, что зло- Описание: 1. Уязвимость существует из-за неизвестной
умышленник может обойти basic аутентификацию в Oracle ошибки при обработке PE-файлов в Malware Protection
Application Server Portal с помощью специально сформиро- Engine (MsMpEng.exe/mpengine.dll). Удаленный пользователь
ванного идентификатора сессии в файле куки, который может с помощью специально сформированного файла вы-
устанавливается при доступе к /pls/portal/%0A. Удаленный звать отказ в обслуживании и перезапустить приложение.
пользователь может получить доступ к содержимому /dav_ 2. Уязвимость существует из-за ошибки при обработке
portal/portal/. PE-файлов в Malware Protection Engine. Удаленный пользо-
URL производителя: www.oracle.com/appserver. ватель может с помощью PE-файла, содержащего специ-
Решение: В настоящее время способов устранения уязви- ально сформированный размер заголовка, занять все до-
мости не существует. ступное дисковое пространство в системе и вызвать отказ
в обслуживании.
Утечка памяти в Cisco Catalyst Content URL производителя: www.microsoft.com.
Switching Module Решение: Установите исправление с сайта производителя.
Программа: CSM 4.2(3), 4.2(3a), 4.2(4), 4.2(5), 4.2(6), 4.2(7)
и 4.2(8); CSM-S 2.1(2), 2.1(3), 2.1(4), 2.1(5), 2.1(6) и 2.1(7). Обход ограничений безопасности
Опасность: Средняя. в Debian Linux и Ubuntu
Описание: Уязвимость существует из-за утечки памяти при Программа: Debian Linux 4.0; Ubuntu 7.04 (Feisty); Ubuntu
обработке TCP-сегментов, содержащих определенные TCP- 7.10 (Gutsy); Ubuntu 8.04 LTS (Hardy).
флаги. Удаленный пользователь может с помощью специ- Опасность: Средняя.
ально сформированного TCP-пакета вызвать отказ в об- Описание: Уязвимость существует из-за того, что OpenSSL
служивании. Для удачной эксплуатации уязвимости на CSM использует предсказуемый генератор случайных чисел
или CSM-S должна быть сконфигурирована балансировка при создании ключей. Удаленный пользователь может по-
нагрузки на 7-м уровне. лучить доступ к зашифрованным данным.
URL производителя: www.cisco.com. Решение: Установите исправление с сайта производителя.
Решение: Установите последнюю версию CSM версии 4.2.9
или CSM-S версии 2.1.8 с сайта производителя. Составил Александр Антипов

№5, май 2008 91

 книжная полка

Настройка Windows Vista.

Перед вами официальное учебное
пособие для самоподготовки к сер-
тификационному экзамену Microsoft
70-620 «Настройка Microsoft Windows
Vista». И если вы собрались полу-
чать сертификат Microsoft Certified
Technology Specialist (MCTS): Windows
Vista, Configuration, то эта книга – для
вас. Данный экзамен также присут-
Учебный курс Microsoft
Йен Маклин, Орин Томас
ствует в качестве одной из возмож- и устранение возникающих при этом
ных опций при получении сертифика- проблем, контроль учетных записей
ции Microsoft Certified IT Professional пользователей, настройку средств
(MCITP): Enterprise Administrator и не- безопасности компьютера при работе
которых других. обозревателя Internet Explorer 7+, на-
Издание подготовлено стандарт- стройку сетевых подключений, конфи-
но для учебников данной серии. Главы гурирование брандмауэра и парамет-
разбиты на отдельные занятия, каж- ров удаленной поддержки, настрой-
дая глава завершается лабораторны- ку коммуникационных программ, пос-
ми работами. тавляемых с Windows Vista, факса, ме-
К книге прилагается CD, на кото- диаприложений, поддержку и оптими-
ром традиционно присутствуют элек- зация Windows Vista, настройку обнов-
тронная версия книги (на английском лений и защиту данных, настройку мо-
языке) и пробный экзамен, содержа- бильных устройств, работу с планшет-
щий около трех сотен демонстраци- ными компьютерами.
онных вопросов .
Книга построена на основе тем, n
Издательство: «Русская Редакция»
входящих в экзамен, и включает в се- n
Год издания: 2008
бя: установку Windows Vista, мигра- n
Количество страниц: 768
цию данных и обновление предыду- n
ISBN: 978-5-7502-0350-5
щих версий, диагностику и изменение n
Цена: ≈ 529 руб.
настроек системы после ее установки, Книга предоставлена интернет-магазином
настройку доступа к Интернету, поиск Books.Ru.

Eclipse: Платформа Web‑инструментов.

Разработка Web-приложений
на языке Java
Нейси Дей, Лоренс Мандел, Артур Райман
языке Java. Авторы предполагают нали- приложений. В третьей части рассмат-
чие у читателя богатого опыта програм- ривается расширение платформы веб-
мирования с использованием Java и не- инструментов: добавление новых сер-
которого знакомства с Eclipse. веров, поддержка новых типов файлов,
Издание состоит из четырех частей. создание расширений WSDL, настрой-
Начинается книга с краткого изложе- ка метода определения местонахож-
ния истории проекта Eclipse Web Tools дения ресурсов. В последней, четвер-
Platform. Далее рассказывается о струк- той части рассмотрены планы проекта
туре и архитектуре проекта WTP, при- на будущее и другие веб-инструменты
водится краткий обзор возможностей на основе Eclipse. Книга описывает вер-
WTP и порядок настройки рабочей сре- сию WTP 1.5.2, так что часть описан-
ды. Во второй части книги авторы уже ных планов наверняка уже реализова-
Eclipse Web Tools Platform (WTP) – это рассказывают о разработке веб-прило- на в текущих версиях проекта.
платформа, используемая в своих инс- жений. Затронуты такие вопросы, как
трументах разработки корпоративных архитектура веб-приложения и принци- n
Издательство: «Кудиц-Пресс»
и веб-приложений такими компаниями пы его проектирования, организация n
Год издания: 2008
как: BEA, IBM, CodeGear, JBoss (теперь проекта разработки. Отдельные гла- n
Количество страниц: 688
уже Red Hat Inc.), SAP и многими други- вы посвящены уровню представления, n
ISBN: 978-5-91136-051-1
ми. Появление книги на русском языке уровню логики бизнес-процессов, уров- n
Цена: ≈ 621 руб.
несомненно, давно ожидаемое событие ню долговременного хранения данных, К н и г а п р е д о с т а в л е н а и з д ат е л ь с т в о м
для разработчиков веб-приложений на веб-сервисам и процессу тестирования «Кудиц‑Пресс».

92

«Подробное руководство» действи-
тельно весьма подробно. На пяти со-
тнях страниц, шаг за шагом авторы
рассматривают все типичные ситуа-
ции, с которыми на практике может
столкнуться системный администра-
тор почтового сервера. В книге поми-
мо достаточного объема теории при-
ведено множество практических со-
Вашему вниманию представляется
книга одного из ведущих специалис-
тов в области технологий .Net и, кро-
ме того, весьма плодовитого писате-
ля, на чьем счету уже несколько книг,
посвященных .Net, и множество жур-
нальных публикаций. Будучи препода-
вателем, Мэтью Мак-Дональд умело
и доходчиво доносит до читателя до-
№5, май 2008
книжная полка
Postfix. Подробное руководство
Ральф Гильдебрандт, Патрик Кеттер
ветов и решений, кристаллизующих ную книгу можно смело рекомендовать
опыт авторов, являющихся активны- всем системным администраторам,
ми и хорошо известными в сообщес- использующим описываемый весьма
тве Postfix фигурами. Книгу отлича- распространенный почтовый сервер,
ет простой и понятный стиль изложе- или тем, кто еще только собирается
ния. Основные темы, затронутые в из- на него переходить. Хотелось бы отме-
дании: архитектура почтового серве- тить, что несмотря на то, что большая
ра Postfix; подготовка окружения и ус- часть материала актуальна, не забы-
тановка сервера; начальная настрой- вайте про документацию и при изуче-
ка и запуск почтового сервера для од- нии Postfix не ограничивайтесь только
ного домена; настройка и использова- чтением книги. Ведь с момента появ-
ние ограничений на передачу сообще- ления этой книги до выхода ее перево-
ний; работа со встроенными фильтра- да прошло более трех лет. Тем не ме-
ми содержимого; настройка и работа нее это, возможно, самая лучшая из су-
с внешними фильтрами содержимого; ществующих книг о почтовом сервере
создание почтового шлюза; настрой- Postfix, и выход этой книги на русском
ка почтового сервера для несколь- языке – отличное событие.
ких доменов; SMTP-аутентификация;
использование протокола TLS; рабо- n Издательство: «Символ-Плюс»
та с Postfix в chroot-окружении; парал- n Год издания: 2008
лелизм удаленных клиентов и огра- n Количество страниц: 512
ничение частоты запросов; настройка n ISBN: 978-5-93286-109-7
производительности; устранение не- n Цена: ≈ 495 руб.
исправностей в конфигурации Postfix; Книга предоставлена интернет-магазином
интеграция с OpenLDAP и MySQL. Дан- Books.Ru.
WPF: Windows Presentation Foundation
в .NET 3.0 для профессионалов
Мэтью Мак-Дональд
статочно сложный материал. Windows нами и классическими элементами уп-
Presentation Foundation (WPF) – это равления, страницами и навигацией,
полностью новая система графичес- работа со стилями и шаблонами эле-
кого отображения для Windows, ис- ментов управления, списками, деревь-
пользующая вместо библиотек User32 ями, панелями инструментов и меню.
и GDI/GDI+ библиотеку DirectX. На- Подробно рассмотрены работа с до-
сколько сложен предмет, настолько кументами, печатью, анимацией, зву-
и велика книга. Почти тысяча страниц ком и видео. Отдельные главы отве-
разбита на двадцать шесть глав. Если дены трехмерной графике, пользова-
читатель только начинает знакомство тельским элементам в WPF, взаимо-
с WPF, то оптимальным будет после- действию с Windows Forms и развер-
довательное чтение, хотя в дальней- тыванию при помощи инсталяционной
шем книгу можно использовать и как модели ClickOne.
справочник.
В книге описана архитектура WPF n
Издательство: «Вильямс»
и основы DirectX, изначально разрабо- n
Год издания: 2008
танного для создания игр, язык XAML n
Количество страниц: 992
(Extensible Application Markup Language), n
ISBN: 978-5-8459-1344-9
предназначенный для определения n
Цена: ≈ 921 руб.
пользовательских интерфейсов, мо- К н и г а п р е д о с т а в л е н а и з д ат е л ь с т в о м
дель приложений в WPF, работа с ок- «Вильямс».
Обзор книжных новинок подготовил Андрей Маркелов
93
 bugtraq
Множественные уязвимости
в Cisco Unified Communications Manager
Программа: Cisco Unified Communications Manager версии
4.1, 4.2, 4.3, 5.x и 6.x.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за ошибки в служ-
бе Certificate Trust List (CTL) Provider. Удаленный пользова-
тель может отправить специально сформированный пакет
на порт 2444/TCP и потребить большое количество сис-
темных ресурсов.
2. Уязвимость существует из-за ошибки в CTL Provider.
Удаленный пользователь может отправить специально
сформированный пакет на порт 2444/TCP и использовать
все доступные ресурсы в системе. Уязвимости подверже-
ны версии 5.x и 6.x.
3. Уязвимость существует из-за ошибки в Certificate
Authority Proxy Function (CAPF). Удаленный пользователь мо-
жет отправить специально сформированный пакет на порт
3804/TCP и вызвать отказ в обслуживании. Уязвимости под-
вержены версии 4.1, 4.2 и 4.3.
4. Уязвимость существует из-за ошибки при обработ-
ке SIP JOIN-сообщений. Удаленный пользователь с по-
мощью специально сформированного SIP JOIN-сообще-
ния может произвести DoS-атаку. Уязвимости подверже-
ны версии 5.x и 6.x.
5. Уязвимость существует из-за ошибок при обработ-
ке SIP INVITE-сообщений. Удаленный пользователь может
с помощью специально сформированного SIP INVITE-сооб-
щения вызвать отказ в обслуживании. Уязвимость обнару-
жена в версиях 4.1, 4.2, 4.3, 5.x и 6.x.
6. Уязвимость существует из-за ошибки в SNMP Trap
Agent. Удаленный пользователь может отправить специ-
ально сформированный UDP-пакет на порт 61441/UDP и вы-
звать отказ в обслуживании. Уязвимости подвержены вер-
сии 4.1, 4.2, 4.3, 5.x и 6.x.
URL производителя: www.cisco.com.
Решение: Установите исправление с сайта производителя.
Переполнение буфера в Novell Client
Программа: Novell Client for Windows NT/2000/XP 4.91 SP4,
возможно, другие версии.
Опасность: Низкая.
Описание: Уязвимость существует из-за ошибки провер-
ки границ данных в LOGINW32.DLL (4.19.6.0) при обработ-
ке имен пользователей и eDirectory «Context» строк в окне
входа в систему в Novell Client. Локальный пользователь
может с помощью слишком длинного имени пользовате-
ля или eDirectory «Context» строки, нажав на ссылку «Did
you forget your password?», вызвать переполнение стека и
выполнить произвольный код на системе в контексте про-
цесса winlogon.exe.
URL производителя: www.novell.com/products/clients/
windows/xp2000/overview.html.
Решение: В настоящее время способов устранения уязви-
мости не существует.
94
Множественные уязвимости
в Symantec Altiris Deployment Solution
Программа: Symantec Altiris Deployment Solution версии
до 6.9.176.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за недостаточ-
ной обработки входных данных в некоторых параметрах
в axengine.exe. Удаленный пользователь может выполнить
произвольные SQL-команды в базе данных приложения
и скомпрометировать целевую систему.
2. Уязвимость существует из-за неизвестной ошибки,
которая позволяет запросить и получить без аутентифи-
кации зашифрованные личные данные Altiris Deployment
Solution-домена.
3. Уязвимость существует из-за неизвестной ошибки,
которая позволяет получить доступ к привилегированной
командной строке посредством пользовательского интер-
фейса в Altiris Deployment Solution Agent.
4. Уязвимость существует из-за неизвестной ошибки,
которая позволяет получить доступ к командной строке
с привилегиями другого пользователя посредством GUI-
элемента (tooltip).
5. Некоторые ключи реестра создаются с некоррект-
ными привилегиями. Злоумышленник может изменить или
удалить эти ключи.
6. Уязвимость существует из-за некорректных привиле-
гий на доступ к файлам в установочной директории прило-
жения. Локальный пользователь может перезаписать фай-
лы и выполнить произвольный код на системе с привиле-
гиями администратора.
URL производителя: www.symantec.com.
Решение: Установите последнюю версию 6.9.176 с сайта
производителя.
Множественные уязвимости
в CA ARCserve Backup
Программа: CA ARCserve Backup r11.5 (formerly BrightStor
ARCserve Backup r11.5); CA ARCserve Backup r11.1 (formerly
BrightStor ARCserve Backup r11.1); CA ARCserve Backup
r11.0 (formerly BrightStor ARCserve Backup r11.0); CA Server
Protection Suite r2; CA Business Protection Suite r2; CA Business
Protection Suite for Microsoft Small Business Server Standard
Edition r2; CA Business Protection Suite for Microsoft Small
Business Server Premium Edition r2.
Опасность: Средняя.
Описание: 1. Уязвимость существует из-за ошибки провер-
ки входных данных в службе журналирования (caloggerd).
Удаленный пользователь может с помощью символов обхо-
да каталога добавить произвольные данные в произволь-
ные файлы на системе.
2. Уязвимость существует из-за ошибок проверки гра-
ниц данных в xdr функциях (например, xdr_rwsstring()) . Уда-
ленный пользователь может вызвать переполнение стека
и выполнить произвольный код на целевой системе.
URL производителя: www.ca.com.
Решение: Установите исправление с сайта производителя.
Составил Александр Антипов

Российская Федерация
n
Подписной индекс: годовой – 20780, полугодовой – 81655
Каталог агентства «Роспечать»
n Подписной индекс: годовой – 88099, полугодовой – 87836
Объединенный каталог «Пресса России»
Адресный каталог «Подписка за рабочим столом»
Адресный каталог «Библиотечный каталог»
n Альтернативные подписные агентства:
Агентство «Интер-Почта» (495) 500-00-60, курьерская
доставка по Москве
Агентство «Вся Пресса» (495) 787-34-47
Агентство «Курьер-Прессервис»
Агентство «ООО Урал-Пресс» (343) 375-62-74
ЛинуксЦентр www.linuxcenter.ru
n Подписка On-line
http://www.arzi.ru
http://www.gazety.ru
http://www.presscafe.ru
СНГ
В странах СНГ подписка принимается в почтовых отделе-
ниях по национальным каталогам или по списку номенк-
латуры «АРЗИ»:
n Азербайджан – по объединенному каталогу россий-
ских изданий через предприятие по распространению
подписка на 2008 год
печати «Гасид» (370102, г. Баку, ул. Джавадхана, 21)
n
Казахстан – по каталогу «Российская Пресса» через
ОАО «Казпочта» и ЗАО «Евразия пресс»
n
Беларусь – по каталогу изданий стран СНГ через РГО
«Белпочта» (220050, г. Минск, пр-т Ф. Скорины, 10)
n
Узбекистан – по каталогу «Davriy nashrlar» российс-
кие издания через агентство по распространению пе-
чати «Davriy nashrlar» (7000029, г. Ташкент, пл. Муста-
киллик, 5/3, офис 33)
n Армения – по списку номенклатуры «АРЗИ» через
ГЗАО «Армпечать» (375005, г. Ереван, пл. Сасунци Да-
вида, д. 2) и ЗАО «Контакт-Мамул» (375002, г. Ереван,
ул. Сарьяна, 22)
n Грузия – по списку номенклатуры «АРЗИ» через АО
«Сакпресса» ( 380019, г. Тбилиси, ул. Хошараульская, 29)
и АО «Мацне» (380060, г. Тбилиси, пр-т Гамсахурдия, 42)
n Молдавия – по каталогу через ГП «Пошта Молдовей»
(МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
по списку через ГУП «Почта Приднестровья» (МD-3300,
г. Тирасполь, ул. Ленина, 17)
по прайс-листу через ООО Агентство «Editil Periodice»
(МД-2012, г. Кишинев, бул. Штефан чел Маре, 134)
n Подписка для Украины:
Киевский главпочтамт
Подписное агентство «KSS», тел./факс (044)464-0220

Подписные
индексы:

20780*
81655**
по каталогу
агентства
«Роспечать»

88099*
87836**
по каталогу
агентства
«Пресса
России»
*
годовой
**
полугодовой

№5, май 2008 95

СИСТЕМНЫЙ АДМИНИСТРАТОР
№5(66), Май, 2008 год

УЧРЕДИТЕЛИ
Частные лица
Вышел DVD-диск с архивом
РЕДАКЦИЯ
Генеральный директор
номеров журнала за 2007 год
Владимир Положевец
Ответственный секретарь Что на диске?  tcpdump 3.9.8;
Наталья Хвостова n Архив 12-ти номеров журнала «Системный ад-  NeTAMS 3.4.1rc1;
sekretar@samag.ru министратор» за 2007 год.  IPStat 0.9.7.2;
Технический редактор n Архив всех выпусков электронного приложе-  Linux kernel 2.6.24.1;
Владимир Лукин
ния «Open Source» за 2007 год.  BIND 9.4.2 (+ win32);
Главный редактор n Программные продукты от партнеров журна-  OpenSSL 0.9.8g;
электронного приложения ла (триальные версии):  OpenSSH 4.7p1;
«Open Source»  Kerio MailServer 6.5;  Samba 3.0.28;
Дмитрий Шурупов  Kaspersky® Internet Security 7.0;  Squid Web Proxy Cache 2.6.STABLE18;
 Антивирус Касперского ® 7.0;  CUPS 1.3.6;
Внештатные редакторы  Система контроля доступа Zlock 2.0;  Clam AntiVirus 0.92.1 (+ Clamwin 0.92);
Алексей Барабанов
Кирилл Сухов  Прокси-сервер UserGate 4.2;  Webmin 1.400;
Андрей Бирюков  Handy Backup 5.8;  Bacula 2.2.8;
Сергей Яремчук  Paragon Drive Backup 8.51 Enterprise Server  Amanda 2.5.2p1;
Валентин Синицын Edition; n Пользовательское ПО:
Олег Щербаков  Network Inventory 1.6.0;  OpenOffice.org 2.3.1 (LinuxIntel, Win32Intel);
Иван Хрипунов  FastReport Server 1.0.10 demo;  Mozilla Firefox 2.0.0.12 (Linux, win32);
 ABBYY Lingvo 12;  Mozilla Thunderbird 2.0.0.12 (Linux, win32);
РЕКЛАМНАЯ СЛУЖБА
тел./факс: (495) 628-8253  WinRar 3.71;  Mozilla Seamonkey (Linux, win32);
Евгения Тарабрина (доб. 119)  Linux-дистрибутив Mandriva One 2008;  Mozilla Sunbird 0.7 (Linux, win32);
reсlama@samag.ru  Linbox Rescue Server 20070703.  Pidgin 2.4.0 (+ win32);
n Серверы/сети/администрирование:  SIM IM 0.9.4.3 (+ win32);
Верстка и оформление  FreeBSD 7.0-RELEASE;  X-Chat 2.8.4 (+ 2.8.5e win32);
maker_up@samag.ru  Apache HTTP Server 2.2.8 (+ win32);  aMule 2.1.3 (+ win32);
 nginx 0.6.26, 0.5.35;  GIMP 2.4.5 (+ 2.4.4 win32);
Дизайн обложки
Дмитрий Репин  lighttpd 1.4.18;  MPlayer 1.0rc2 (+ win32);
Николай Петрочук  ProFTPD 1.3.1;  VLC media player 0.8.6e (+ win32);
 PureFTPd 1.0.21;  WINE 0.9.56;
По вопросам распространения  vsftpd 2.0.6;  DOSBox 0.72 (+ win32);
обращайтесь по телефону:  Sendmail 8.14.2;  DOSEMU 1.4.0;
Светлана Зобова  Postfix 2.5.1, 2.6-20080221 (experimental);  Midnight Commander 4.6.1;
(495) 628-8253 (доб. 121)  Courier Mail Server 0.58.0;  Vim 7.1 (+ gvim71);
107045, г. Москва,  Exim 4.69;  7-Zip 457 (+ win32);
Ананьевский переулок, дом 4/2, стр. 1  SpamAssassin 3.2.4;  GnuPG 2.0.8 (+ w32cli 1.4.8).
тел./факс: (495) 628-8253  DSPAM 3.8.0;
Сайт журнала: www.samag.ru  Policy Daemon 1.82; Как получить диск в подарок?
 SquirrelMail 1.4.13; n Клиенты компании SecurIT, заказавшие Zserver
ИЗДАТЕЛЬ  RoundCube 0.1-rc2; в любой комплектации или более 50 лицензий
ООО «С 13»  MySQL 5.0.51a (+ win32); Zlock, получат диск в подарок.
Отпечатано типографией
ГП «Московская Типография №13»  PostgreSQL 8.3.0 (+ win32);
Тираж 17000 экз.  Firebird 2.0.3.12981 (+ win32); Где можно приобрести диск?
 SQLite 3.5.6 (+ win32); n В редакции ж урна ла «Сис темный а дми-
Журнал зарегистрирован в Министерстве РФ  Perl 5.10.0; нистратор» по адресу: г. Москва, Ананьев-
по делам печати, телерадиовещания и средств  PHP: 5.2.5 (+ win32); ский переулок 4/2, стр. 1, в офисе 13 (мет-
массовых коммуникаций (свидетельство ПИ №  Python 2.5.2 (+ win32); ро «Сухаревская»).
77-12542 от 24 апреля 2002 г.).
 Ruby 1.8.6-p111, 1.9.0-1; n В online-магазине Linuxcenter.ru.
За содержание статьи ответственность несет
 Nmap 4.53 (+ win32); n Для обитателей и посетителей Савеловско-
автор. Мнение редакции может не совпадать  Ettercap 0.7.3.tar.gz (+ win32); го рынка, диск можно купить в точке торговли
с мнением автора. За содержание рекламных  Ethereal 0.99.0 (+ win32); печатными изданиями у главного входа.
материалов ответственность несет рекламо-  Snort 2.8.0.2;
датель. Все права на опубликованные мате-  MRTG 2.16.1; Сколько стоит?
риалы защищены.  NuFW 2.2.9; Цена – 150 рублей.

96