Руководство FreeBSD

         

Если что-то пошло не так


Существует пять категорий проблем, которые могут возникнуть при сборке собственного ядра. Вот они:

Не удаётся отработать команде config:

Если команда не может отработать, то, скорее всего, вы допустили где-нибудь маленькую ошибку. К счастью config(8) выведет номер проблемной строки, поэтому вы можете быстро найти строку, содержащую ошибку. Например, если вы видите:

config: line 17: syntax error

Убедитесь, что опция введена верно путём сравнения с файлом GENERIC или другим источником.

Не удаётся отработать команде make:

Если не удаётся отработать команде make, обычно это означает ошибку в описании конфигурации ядра, которая не достаточно тривиальна для того, чтобы config(8) мог обнаружить её. Опять-таки, просмотрите файл конфигурации и, если вы все еще не можете решить проблему, напишите письмо в Список рассылки, посвящённый вопросам и ответам пользователей FreeBSD включив в письмо файл конфигурации ядра. Скорее всего проблема будет решена быстро.

Не удаётся установить новое ядро:

Если ядро собралось без проблем, но не удалось его установить (команда make install или make installkernel

сообщила об ошибке), первое, что необходимо проверить, не запущена ли ваша система с уровнем безопасности 1 или выше (обратитесь к init(8)). Процедура установки пробует снять флаг неизменяемости с текущего ядра и установить этот флаг для нового ядра. Так как на уровне безопасности 1 и выше запрещено снятие флага неизменяемости для всех файлов в системе, установка должна производиться на уровне безопасности 0 и ниже.

Линия выше применима только к FreeBSD 4.X и более ранним версиям. FreeBSD 5.X, как и более поздние версии, не устанавливает этот флаг на ядро и ошибка при установке ядра возможно указывает на более фундаментальную проблему.

Ядро не загружается:

Если ваше новое ядро не загружается или ему не удаётся обнаружить ваши устройства - не паникуйте! К счастью, в FreeBSD существует отличный механизм для восстановления после установки несовместимого ядра. Просто выберите ядро, которое хотите загрузить в загрузчике FreeBSD.
К нему вы можете получить доступ, когда система делает обратный отсчёт от 10 в меню загрузки. Нажмите любую клавишу, кроме Enter, введите unload и наберите boot /boot/kernel.old/kernel, или используйте любое другое ядро, которое загрузится без проблем. Во время переконфигурирования ядра всегда полезно оставлять копию ядра, о котором известно, что оно рабочее.

После загрузки с рабочим ядром вы можете проверить ваш файл конфигурации и попробовать собрать ядро опять. Очень полезным в данном случае окажется файл /var/log/messages, в котором, среди других записей, имеются сообщения ядра от каждой успешной загрузки. Также, команда dmesg(8) выведет сообщения ядра от текущей загрузки.

Замечание: Если у вас возникли проблемы со сборкой ядра, убедитесь, что вы сохранили ядро GENERIC или другое рабочее ядро под другим именем, чтобы оно не было удалено при следующей сборке. Вы не можете использовать kernel.old, потому что при установке нового ядра kernel.old перезаписывается последним установленным ядром, которое может оказаться нерабочим. Также, как можно скорее переместите рабочее ядро в /boot/kernel, так как некоторые команды, такие как ps(1) будут работать некорректно. Для этого просто переместите каталог, содержащий работоспособное ядро:

# mv /boot/kernel /boot/kernel.bad

mv /boot/kernel.good /boot/kernel

В версиях FreeBSD до 5.X, для восстановления работоспособного ядра используйте команду:



# chflags noschg /kernel

Если вы обнаружите, что не можете этого сделать, скорее всего вы работаете на уровне безопасности (securelevel(8)) большем нуля. Отредактируйте переменную kern_securelevel в файле /etc/rc.conf, установите её в -1 и перезагрузитесь. Вы можете установить её в предыдущее состояние когда будете довольны своим новым ядром.

И, если вы захотите ``закрыть'' ваше новое ядро или любой другой файл, таким образом, что он не сможет быть перемещен или изменен, используйте следующую команду:

# chflags schg /kernel

Ядро работает, но ps(1) больше не работает:

Если вы установили версию ядра отличную от той, с которой были собраны ваши системные утилиты, например, ядро от 5.X на системе 4.X, большая часть системных команд, таких как и vmstat(8) не будут больше работать.Вам потребуется той же версии исходных текстов, что и ядро. Это одна из причин, по которой не следует использовать версию ядра, отличную от версии всей остальной системы.


Использование других команд


В примере выше мы создали запись (principal) jane с доступом к root (instance). Она основана на пользователе с таким же именем, как и идентификатор, что принято Kerberos по умолчанию; <principal>.<instance> в форме <username>.root позволяет использовать для доступа к root, если соответствующие записи находятся в файле .klogin домашнего каталога root:

# cat /root/.klogin

jane.root@EXAMPLE.COM

Подобно этому, если в файле .klogin из домашнего каталога пользователя есть строки в форме:

% cat ~/.klogin

jane@EXAMPLE.COM jack@EXAMPLE.COM

это позволит любому с идентификатором EXAMPLE.COM, кто аутентифицировался как jane или jack

(с помощью команды kinit, см. выше) получить доступ к учетной пользователя jane или файлам этой системы (grunt) через rlogin(1), rsh(1) или rcp(1).

Например, jane может входить в другую систему используя Kerberos:

% kinit

MIT Project Athena (grunt.example.com) Password:

% rlogin grunt

Last login: Mon May 1 21:14:47 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved.

FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995

Или jack входит в учетную запись jane's на этом же компьютере (файл .klogin jane настроен как показано выше, и в Kerberos настроена учетная запись jack):

% kinit

% rlogin grunt -l jane

MIT Project Athena (grunt.example.com) Password:

Last login: Mon May 1 21:16:55 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995



История


Kerberos был создан MIT

в качестве решения проблем с безопасностью сети. Протокол Kerberos использует стойкую криптографию, так что клиент может идентифицироваться на сервере (и обратно) через незащищенное сетевое соединение.

Kerberos это и имя сетевого протокола аутентификации и общий термин для описания программ, где он реализован (например, Kerberos telnet). Текущая версия протокола 5 описана в RFC1510.

Доступно несколько свободных реализаций этого протокола, работающих на множестве операционных систем. Massachusetts Institute of Technology (MIT), где Kerberos был первоначально разработан, продолжает разрабатывать собственный пакет Kerberos. Он обычно использовался в США как криптографический продукт, и в этом качестве попадал под действие ограничений на экспорт. MIT Kerberos доступен в виде порта (security/krb5). Heimdal Kerberos это другая реализация версии 5, которая разрабатывалась исключительно вне США для обхода экспортных ограничений (и поэтому часто включалась в некоммерческие реализации UNIX®). Heimdal Kerberos доступен в виде порта (security/heimdal), его минимальный комплект включен в базовую установку FreeBSD.

В целях получения наибольшей аудитории, в этих инструкциях предполагается использование Heimdal включаемого в FreeBSD.



Kerberos это все или ничего


Каждый сервис, работающий в сети, должен быть модифицирован для работы с Kerberos (или другим способом защищен от атак по сети) или удостоверения пользователей могут быть украдены или использованы повторно. В качестве примера может быть приведено использование Kerberos версий оболочек для удаленной работы (например через rsh и telnet), при наличии POP3

сервера, получающего пароли в незашифрованном виде.



Kerberos предназначен для однопользовательских рабочих станций


В многопользовательской среде Kerberos менее безопасен. Это потому, что он хранит билеты в каталоге /tmp, которая доступна для чтения всем. Если пользователь работает с несколькими другими пользователями одновременно на одном компьютере (т.е. в многопользовательской среде), возможна кража (копирование) билета другим пользователем.

Решить проблему можно с помощью параметра командной строки -c или (предпочтительно) с помощью переменной окружения KRB5CCNAME, но это делается редко. Для преодоления ограничения достаточно сохранять билет в домашнем каталоге пользователя и использовать простые ограничения на доступ к файлам.



Предоставил Tillman Hodgson. Оригинальный материал


Предоставил Tillman Hodgson. Оригинальный материал предоставил Mark Murray.

Все релизы FreeBSD после FreeBSD-5.1 включают поддержку только Kerberos5. Таким образом, Kerberos5

это единственная включаемая в поставку версия и его конфигурация похожа на KerberosIV во многих аспектах. Эта информация применима только к Kerberos5 из релизов после FreeBSD-5.0. Пользователи, желающие использовать пакет KerberosIV, могут установить его из порта .

Kerberos это дополнительная сетевая система/протокол, позволяющая пользователям авторизоваться через защищенные сервисы на защищенном сервере. Такие сервисы как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми.

Kerberos может быть описана как прокси система идентификации-проверки. Она также может быть описана как защищенная внешняя система аутентификации. Kerberos предоставляет только одну функцию -- защищенную аутентификацию пользователей сети. Он не предоставляет Он не предоставляет функций авторизации (что разрешено делать пользователям) или функций аудита (какой пользователь что делает). После того, как клиент и сервер использовали Kerberos для идентификации, они могут зашифровать все соединения для гарантирования собственной безопасности и целостности данных.

Следовательно крайне рекомендуется использовать Kerberos с другими методами безопасности, предоставляющими сервисы авторизации и аудита.

Последующие инструкции могут использоваться в качестве руководства по настройке Kerberos, поставляемого с FreeBSD. Тем не менее, вам потребуется обратиться к соответствующим страницам справочника за полным описанием.

В целях демонстрации установки Kerberos, будут применены следующие обозначения:

DNS домен (``зона'') example.org.

Уникальный идентификатор Kerberos EXAMPLE.ORG.

Замечание: Используйте действующие имена доменов при настройке Kerberos даже если вы будете использовать его во внутренней сети. Это позволит избежать проблем с DNS и гарантирует возможность связи с Kerberos под другими идентификаторами.


KerberosIV


Предоставил Mark Murray. Оригинальный текст предоставил Mark Dapoz.

Kerberos это сетевая дополнительная система/протокол, которая делает возможной аутентификацию пользователей через сервисы на защищенном сервере. Такие сервисы, как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми.

Последующие инструкции могут использоваться в качестве руководства по настройке поставляемого с FreeBSD Kerberos. Тем не менее, вам могут потребоваться страницы справочника полного дистрибутива.



Клиент Kerberos с Heimdal


Настройка клиентского компьютера почти тривиально проста. Как только настройка Kerberos закончена, вам потребуется только файл настройки Kerberos, /etc/krb5.conf. Просто скопируйте его безопасным способом на клиентский компьютер с KDC.

Протестируйте клиентский компьютер, попытавшись использовать kinit, klist, и kdestroy для получения, отображения и удаления списка доступа. Соединитесь с Kerberos севером используя клиент Kerberos, если соединение не работает и получение доступа является проблемой, это скорее всего проблема сервера, а не клиента или KDC.

При тестировании приложения вроде telnet, попробуйте использовать программу перехвата пакетов (такую как tcpdump(1)), чтобы убедиться, что ваш пароль не передается незашифрованным. Попробуйте использовать telnet с параметром -x, чтобы зашифровать весь поток данных (подобно ssh).

Основные клиентские приложения Kerberos (традиционно называющиеся kinit, klist, kdestroy, и kpasswd) находятся в базовой установке FreeBSD. Обратите внимание, что в FreeBSD версий до 5.0 они были переименованы в k5init, k5list, k5destroy, k5passwd, и k5stash (хотя их обычно использовали лишь однократно).

Различные неосновные клиентские приложения Kerberos также устанавливаются по умолчанию. Здесь проявляется ``минимальность'' базовой установки Heimdal: telnet это единственное приложение, поддерживающее Kerberos.

Порт Heimdal добавляет некоторые отсутствующие клиентские приложения: поддерживающие Kerberos версии ftp, rsh, rcp, rlogin, и некоторые другие реже используемые программы. Порт MIT также содержит полный пакет клиентских приложений Kerberos.



Конфигурации с большим количеством оперативной памяти (PAE)


Машины с большим количеством оперативной памяти, в которых требуется более 4 гигабайт в пользовательском адресном пространстве и адресном пространстве ядра (User+Kernel Virtual Address, KVA) в обычном случае не смогут использовать более 4 гигабайт. Для решения этой проблемы Intel добавили поддержку 36-битной адресации в Pentium® Pro и более поздних моделях процессоров.

Расширение физического адресного пространства (PAE) в процессорах Intel® Pentium Pro и более поздних позволяет использовать до 64 гигабайт оперативной памяти. FreeBSD имеет поддержку для этой возможности посредством опции ядра PAE, доступной в FreeBSD 4.9-RELEASE и FreeBSD 5.1-RELEASE и более поздних. В связи с ограничениями архитектуры Intel, не делается никакого различия между памятью ниже или выше 4 гигабайт. Память, размещенная выше 4 гигабайт, просто добавляется к доступной памяти.

Для того, чтобы включить PAE в ядре, просто добавьте приведенную строку в конфигурационный файл ядра:

options PAE

Замечание: Поддержка PAE в FreeBSD существует только для процессоров Intel IA-32. Также следует заметить, что PAE в FreeBSD не было полностью протестировано и должно считаться находящимся в состоянии бета-тестирования по сравнению с другими, стабильными возможностями FreeBSD.

Поддержка PAE в FreeBSD имеет следующие ограничения:

Процесс не может получить доступ к более, чем 4 гигабайтам пространства VM.

KLD модули не могут быть загружены в ядро с включенной поддержкой PAE из-за разницы в окружении для сборки модулей и самого ядра.

Драйверы устройств, которые не используют интерфейс bus_dma(9) приведут к повреждению информации в ядре с включенным PAE. Не рекомендуется использовать такие драйвера. По этой причине в FreeBSD 5.X включен конфигурационный файл ядра PAE, из которого удалены все драйверы, о которых известно, что они не работают при включенной поддержке PAE.

Некоторые системные переменные определяют использование ресурсов памяти по количеству доступной физической памяти. Такие переменные могут привести к ненужному чрезмерному выделению памяти из-за особенностей работы системы PAE. Один из таких примеров - переменная kern.maxvnodes, которая управляет максимальным количеством vnode разрешенных в ядре. Рекомендуется установить такую и подобные ей переменные вручную в адекватные значения.

Возможно, понадобится увеличить пространство виртуальных адресов ядра (KVA) или уменьшить какую-либо переменную (см. выше), значение которой было неоправданно велико и могло привести к исчерпанию KVA. Для этого может быть использована опция ядра KVA_PAGES.

В случае сомнений относительно производительности и стабильности рекомендуется обратиться к странице руководства tuning(7). Страница руководства содержит свежую информацию о поддержке PAE в FreeBSD.



Конфигурационный файл


Обновил для FreeBSD 5.X Joel Dahl.

Формат конфигурационного файла достаточно прост. Каждая строка представляет собой ключевое слово и один или более аргументов. Для простоты большинство строк содержат только один аргумент. Всё, что следует за символом # является комментарием и игнорируется. Следующие разделы описывают каждый параметр, в основном в порядке, в котором они появляются в GENERIC, хотя некоторые родственные параметры сгруппированы вместе в одном разделе (например Работа с сетью), даже если на самом деле они разбросаны по всему файлу GENERIC. За полным списком архитектурно-зависимых параметров и устройств обратитесь к файлу NOTES в том же каталоге, что и GENERIC. Архитектурно независимые параметры находятся в /usr/src/sys/conf/NOTES.

Замечание: NOTES не существует в FreeBSD4.X. Детальное описание параметров и устройств из GENERIC находится в файле LINT. В 4.X LINT служит двум целям: предоставить справочное руководство для выбора параметров ядра при сборке ядра по умолчанию и предоставить конфигурацию ядра с параметрами, установленными в значения, отличные от значений по умолчанию (настолько много параметров, насколько это возможно). Это было сделано по той причине, что такая конфигурация хорошо помогала (и все еще помогает) при тестировании нового кода и изменений в существующем коде, поскольку этот код и изменения могут конфликтовать с другими частями ядра. Однако, инфраструктура конфигурации ядра в 5.X прошла через множество серьезных изменений; Одно из таких изменений - перемещение параметров конфигурации драйверов в hints, и теперь они могут быть изменены и загружены динамически во время загрузки системы, а в LINT их больше нет. По этой и другим причинам LINT был переименован в NOTES и в основном по-прежнему соответствует своему назначению: информирование пользователей о доступных параметрах.

В FreeBSD 5.X и более поздних версиях вы все еще можете создать собираемый LINT, выполнив:

# cd /usr/src/sys/i386/conf && make LINT

Это пример конфигурационного файла ядра GENERIC с различными дополнительными комментариями, которые могут понадобиться для ясности.
Этот пример должен совпадать с вашей копией в /usr/src/sys/i386/conf/GENERIC практически полностью.

# # GENERIC -- Generic kernel configuration file for FreeBSD/i386 # # For more information on this file, please read the handbook section on # Kernel Configuration Files: # # http://www.FreeBSD.org/doc/en_US.ISO8859-1/books # /handbook/kernelconfig-config.html # # The handbook is also available locally in /usr/share/doc/handbook # if you've installed the doc distribution, otherwise always see the # FreeBSD World Wide Web server (http://www.FreeBSD.org/) for the # latest information. # # An exhaustive list of options and more detailed explanations of the # device lines is also present in the ../../conf/NOTES and NOTES files. # If you are in doubt as to the purpose or necessity of a line, check first # in NOTES. # # $FreeBSD: /repoman/r/ncvs/src/sys/i386/conf/GENERIC,v 1.413 2004/08/11 # 01:34:18 rwatson Exp $

Следующие параметры обязательны для любого ядра, которое вы будете собирать:

machine i386

Это архитектура машины. Она должна быть одной из следующих: alpha, amd64, i386, ia64, pc98, powerpc, или sparc64.

cpu I486_CPU cpu I586_CPU cpu I686_CPU

Эта опция указывает тип процессора, который используется в вашей системе. В конфигурационном файле может быть несколько вхождений этой опции (например, если вы не уверены, какой из типов процессора необходимо использовать -- I586_CPU или I686_CPU), но для собственного ядра лучше указывать только тот тип процессора, который установлен в вашей системе. Если вы не уверены, какой тип необходимо использовать вам, вы можете воспользоваться файлом /var/run/dmesg.boot, чтобы увидеть протокол загрузки системы.

Поддержка типа I386_CPU все ещё существует в исходных текстах FreeBSD, но по умолчанию отключена в ветках -STABLE и -CURRENT. Это означает, что для того, чтобы установить FreeBSD на систему с процессором i386, вы можете использовать следующие способы:

Установить более раннюю версию FreeBSD и пересобрать систему из исходных текстов в соответствии с .



Собрать мир и ядро на более новой машине и установить на 386 используя уже собранные файлы в /usr/obj (за дополнительной информацией можете обратиться к ).

Сделать собственный релиз FreeBSD, который включает поддержку I386_CPU в ядре установочного CD-ROM.

Первый из этих способов, возможно, наиболее простой из всех предложенных, но вам понадобится много дискового пространства, что может быть затруднительно для систем класса 386.

ident GENERIC

Этот параметр определяет ``метку'' ядра. Необходимо, чтобы она соответствовала названию файла конфигурации ядра, например MYKERNEL, если вы следовали инструкциям в предыдущих примерах. Значение, которое вы присвоите параметру ident будет выводиться в процессе загрузки, поэтому полезно давать новым ядрам другие имена для того, чтобы отличать их от обычного ядра (например, если вы хотите собрать экспериментальное ядро).

maxusers n

Параметр maxusers определяет размеры многих важных системных таблиц. Это число должно быть приблизительно равно количеству пользователей, одновременно использующих вашу систему.

Начиная с FreeBSD 4.5, система автоматически настроит этот параметр если в конфигурационном файле вы установили его в значение 0[1]. В FreeBSD 5.X и выше, maxusers по умолчанию равен 0, если не установлено другое значение. Если вы используете FreeBSD версии более ранней, чем 4.5 или хотите самостоятельно управлять этим значением, рекомендуется устанавливать значение maxusers равным минимум 4, особенно если вы используете X Window System или компиляторы. Причина этого кроется в том, что одной из основных таблиц, размер которой определяет maxusers, является максимальное количество процессов, которое устанавливается равным 20 + 16 * maxusers, таким образом, если вы установите maxusers равным 1, то получите возможность выполнять максимум 36 одновременных процессов, включая 18 или около того процессов, которые система запускает при загрузке, и 15 или около того вы создадите, когда запустите X Window System. Даже такая простая задача, как чтение страницы справочной системы (man(1)), потребует запуска девяти процессов, для того, чтобы использовать фильтры, распаковать и просмотреть её.


Установка maxusers в значение 64 позволит запускать до 1044 одновременных процессов, что должно быть достаточно для большинства применений. Однако, если вы видите ошибку proc table full, когда пытаетесь запустить программу или поддерживаете сервер с большим количеством пользователей (таким как ftp.FreeBSD.org), вы всегда можете увеличить это число и пересобрать ядро.

Замечание: maxusers не ограничивает количество пользователей, которые могут зайти на вашу машину. Он просто устанавливает размеры различных таблиц в разумные значения, учитывая максимальное количество пользователей, которое будет у вас в системе и как много процессов будет запускать каждый из них. Параметр ядра, который действительно ограничивает количество одновременных удалённых сессий и окон X терминала, это . С FreeBSD 5.X, вам не нужно беспокоиться об этом номере, поскольку драйвер pty(4)

``автоклонируемый''; используйте в файле конфигурации строку device pty.

# Floating point support - do not disable. device npx

npx - это интерфейс к модулю операций с плавающей точкой в FreeBSD, который может использовать как аппаратный сопроцессор, так и программную эмуляцию. Этот параметр является обязательным.

# Pseudo devices device loop # Network loopback

Стандартное устройство обратной связи для TCP/IP. Если вы запускаете telnet или FTP на localhost (он же 127.0.0.1), то соединение пройдёт через это устройство. Этот параметр обязателен. В FreeBSD 4.X вам потребуется использовать pseudo-device loop.

Все остальные параметры более или менее опциональны. Обращайте внимание на информацию о каждой опции, которая размещается рядом с ней.

#To statically compile in device wiring instead of /boot/device.hints #hints "GENERIC.hints" # Default places to look for devices.

В FreeBSD 5.X и более поздних

device.hints(5)


используются для настройки параметров драйверов устройств. Путь по умолчанию, который loader(8) будет проверять при загрузке - /boot/device.hints. Используя опцию hints вы можете вкомпилировать эти параметры статически в ваше ядро.


В этом случае не требуется создавать файл device.hints в каталоге /boot.

#makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols

Обычный процесс сборки FreeBSD не включает генерацию отладочной информации при сборке ядра и удаляет большую часть вспомогательной информации (symbols) после того как ядро слинковано для того, чтобы сэкономить немного места. Если вы собираетесь проводить тестирование ядер в ветви -CURRENT или разрабатывать собственные правки для ядра FreeBSD, возможно вам будет нужно раскомментировать эту строку. Тем самым вы включите использования опции -g, которая включает генерацию отладочной информации . Того же самого эффекта можно добиться используя опцию config(8) -g, в случае, если вы используете ``традиционный'' способ сборки ядра (обратитесь к за дополнительной информацией).

options SCHED_4BSD # 4BSD scheduler

Традиционный планировщик FreeBSD. В зависимости от загруженности системы, вы можете повысить производительность системы, используя новый планировщик FreeBSD ULE, который был специально разработан для SMP, но отлично работает также и на однопроцессорных системах. Если вы хотите попробовать этот планировщик, замените SCHED_4BSD на SCHED_ULE в файле конфигурации ядра.

options INET # InterNETworking

Поддержка сетевых возможностей. Оставьте эту опцию включенной, даже если вы не планируете подключаться к сети. Большинство программ требуют, чтобы работал хотя бы интерфейс обратной связи (loopback) (т.е. создание сетевых соединений внутри вашего ПК), так что эта опция в принципе является обязательной.

options INET6 # IPv6 communications protocols

Включает поддержку коммуникационных протоколов IPv6.

options FFS # Berkeley Fast Filesystem

Включает поддержку основной файловой системы. Не удаляйте эту опцию, если вы планируете загружаться с жесткого диска.

options UFS_ACL # Support for access control lists

Этот параметр, присутствующий только в FreeBSD 5.X, включает в ядре поддержку списков управления доступом (ACL). Основывается на использовании расширенных атрибутов и UFS2, детальное описание вы сможете найти в Разд. 14.12.


ACL включены по умолчанию и не должны выключаться в случае если они ранее использовались на файловой системе, так как это удалит списки управления доступом и изменит то, как защищены файлы, непредсказуемым образом.

options UFS_DIRHASH # Improve performance on big directories

Эта опция включает функциональность, которая повышает скорость дисковых операций на больших каталогах в обмен на использование дополнительной памяти. Для большого сервера или рабочей станции рекомендуется оставить ее включенной, и выключить для системы, для которой более приоритетна память, чем скорость доступа к дискам, например сетевой экран (firewall).

options SOFTUPDATES # Enable FFS Soft Updates support

Этот параметр включает в ядре технологию Soft Updates, которая повышает скорость записи на диски. Несмотря на то, что эта технология включена в ядре, она должна быть включена для отдельных дисков. Просмотрите вывод команды mount(8) чтобы определить, включены ли Soft Updates для дисков вашей системы. Если вы не увидите параметр soft-updates, вам будет необходимо активировать его при помощи команды tunefs(8) (для существующих файловых систем) или команды newfs(8) (для новых файловых систем).

options MD_ROOT # MD is a potential root device

Этот параметр включает поддержку использования дисков в памяти для корневой файловой системы.

options NFSCLIENT # Network Filesystem Client options NFSSERVER # Network Filesystem Server options NFS_ROOT # NFS usable as /, requires NFSCLIENT

Сетевая файловая система. Если вы не планируете монтировать разделы с файлового сервера UNIX® через TCP/IP, вы можете исключить этот параметр из конфигурационного файла ядра.

options MSDOSFS # MSDOS Filesystem

Файловая система MS-DOS®. Если вы не собираетесь монтировать форматированный в DOS раздел жесткого диска в момент загрузки, вы можете безопасно закомментировать этот параметр. Необходимый модуль будет автоматически загружен когда вы в первый раз смонтируете раздел DOS, так, как это описано ниже. Также, замечательный пакет emulators/mtools позволяет получить доступ к DOS дискетам без необходимости монтировать и размонтировать их (и не требует наличия MSDOSFS).



options CD9660 # ISO 9660 Filesystem

Файловая система ISO 9660 для компакт-дисков. Если у вас нет привода CDROM или вы будете лишь изредка монтировать компакт-диски с данными, закомментируйте эту строку, так как необходимый модуль будет загружен автоматически при первом монтировании компакт-диска с данными. Для использования звуковых компакт-дисков эта файловая система не потребуется.

options PROCFS # Process filesystem

Файловая система процессов. Это ``виртуальная'' файловая система монтируемая в /proc, которая позволяет таким приложениям, как ps(1) выдавать вам больше информации о запущенных процессах. В FreeBSD 5.X и выше, использование PROCFS не требуется, так как большинство мониторинговых и отладочных инструментов было адаптировано для работы без PROCFS: в отличие от FreeBSD 4.X, новые системы FreeBSD 5.X по умолчанию не монтируют файловую систему процессов. Более того, ядра 6.X-CURRENT, которые используют PROCFS, должны также включать поддержку PSEUDOFS:

options PSEUDOFS # Pseudo-filesystem framework

PSEUDOFS недоступна в FreeBSD 4.X.

options GEOM_GPT # GUID Partition Tables.

Этот параметр делает возможным наличие большого количества разделов на одном диске.

options COMPAT_43 # Compatible with BSD 4.3 [KEEP THIS!]

Совместимость с 4.3BSD. Не выключайте эту опцию; некоторые приложения будут вести себя странно, если этой опции не будет в ядре.

options COMPAT_FREEBSD4 # Compatible with FreeBSD4

Эта опция требуется в FreeBSD 5.X для платформ i386™ и Alpha для поддержки приложений, собранных на более старых версиях FreeBSD, которые используют старые интерфейсы вызовов. Рекомендуется использовать данную опцию на всех системах на платформах i386 и Alpha, на которых могут запускаться старые приложения; платформы, поддержка которых появилась только в FreeBSD 5.X, например ia64 и Sparc64®, не требуют этой опции.

options SCSI_DELAY=15000 # Delay (in ms) before probing SCSI

Этот параметр заставляет ядро приостановиться на 15 секунд перед тем, как идентифицировать каждое устройство SCSI в вашей системе.


Если у вас установлены только жесткие диски IDE, вы можете игнорировать эту опцию, в противном случае, возможно, вы захотите уменьшить это число, например до 5 секунд, для того, чтобы ускорить загрузку. Естественно, что если вы сделаете это, а у FreeBSD появятся проблемы с распознанием ваших устройств SCSI, необходимо будет увеличить этот параметр.

options KTRACE # ktrace(1) support

Включает поддержку трассировки процессов, что удобно при отладке.

options SYSVSHM # SYSV-style shared memory

Этот параметр предоставляет поддержку разделяемой памяти System V. Наиболее распространенное применение этого - расширение XSHM в X, которое многие приложения, интенсивно работающие с графикой, будут автоматически использовать для повышения скорости работы. Если вы используете X, эта опция будет необходима.

options SYSVSEM # SYSV-style semaphores

Поддержка семафоров System V. Не настолько часто используемая возможность, но в ядро добавляет всего несколько сотен байт.

options SYSVMSG # SYSV-style message queues

Поддержка сообщений System V. Опять-таки, этот параметр добавляет в ядро всего лишь несколько сотен байт.

Замечание: Команда ipcs(1) с параметром -p покажет все процессы, которые используют любую из этих возможностей System V.

options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions

Расширения реального времени, добавленные 1993 POSIX®. Определенные приложения из коллекции используют их, например StarOffice™.

options KBD_INSTALL_CDEV # install a CDEV entry in /dev

Этот параметр относится к клавиатуре. Он добавляет CDEV в /dev.

options AHC_REG_PRETTY_PRINT # Print register bitfields in debug # output. Adds ~128k to driver. options AHD_REG_PRETTY_PRINT # Print register bitfields in debug # output. Adds ~215k to driver.

Распечатка регистров для облегчения отладки.

options ADAPTIVE_GIANT # Giant mutex is adaptive.

Этот параметр включает Giant в набор адаптивных мьютексов.

# To make an SMP kernel, the next two are needed options SMP # Symmetric MultiProcessor Kernel device apic # I/O APIC



Обе эти опции являются необходимыми для поддержки симметричной мультипроцессорности (SMP), их можно оставить включенными и на однопроцессорной системе.

device isa

Все компьютеры, поддерживаемые FreeBSD, имеют хотя бы одно устройство ISA. Не удаляйте эту строку, даже если в вашем компьютере нет слотов ISA. Для архитектуры IBM PS/2 (Микроканальная Архитектура (MCA)), FreeBSD предоставляет ограниченную поддержку данной шины. За дальнейшей информацией о поддержке MCA обратитесь к файлу /usr/src/sys/i386/conf/NOTES.

device eisa

Включите эту опцию если у вас материнская плата EISA. Это включает автоопределение и конфигурирование поддержки всех устройств на шине EISA.

device pci

Включите этот параметр, если у вас материнская плата с поддержкой PCI. Это включит автоопределение карт PCI и проксирование из шины PCI в шину ISA.

device agp

Включите эту опцию, если у вас есть AGP карта в системе. Это включит поддержку AGP и AGP GART для тех карт, которые поддерживают эту возможность.

# Floppy drives device fdc

Контроллер флоппи-диска.

# ATA and ATAPI devices device ata

Этот драйвер поддерживает все устройства ATA и ATAPI. Вам необходима только одна строка device ata в ядре для того, чтобы обнаружить все PCI устройства ATA/ATAPI в современных машинах.

device atadisk # ATA disk drives

Эта строка необходима вместе с device ata для поддержки дисков ATA.

device ataraid # ATA RAID drives

Эта строка необходима вместе с device ata для поддержки дисков ATA RAID.



device atapicd # ATAPI CDROM drives

Поддержка приводов ATAPI CDROM. Используется вместе с device ata.

device atapifd # ATAPI floppy drives

Поддержка флоппи-приводов ATAPI. Используется вместе с device ata.

device atapist # ATAPI tape drives

Поддержка ленточных приводов ATAPI (стримеров). Используется вместе с device ata.

options ATA_STATIC_ID # Static device numbering

Заставляет драйвер нумеровать устройства статически; в противном случае происходит динамическая нумерация.

# SCSI Controllers device ahb # EISA AHA1742 family device ahc # AHA2940 and onboard AIC7xxx devices device ahd # AHA39320/29320 and onboard AIC79xx devices device amd # AMD 53C974 (Teckram DC-390(T)) device isp # Qlogic family device mpt # LSI-Logic MPT-Fusion #device ncr # NCR/Symbios Logic device sym # NCR/Symbios Logic (newer chipsets) device trm # Tekram DC395U/UW/F DC315U adapters



device adv # Advansys SCSI adapters device adw # Advansys wide SCSI adapters device aha # Adaptec 154x SCSI adapters device aic # Adaptec 15[012]x SCSI adapters, AIC-6[23]60. device bt # Buslogic/Mylex MultiMaster SCSI adapters

device ncv # NCR 53C500 device nsp # Workbit Ninja SCSI-3 device stg # TMC 18C30/18C50

Контроллеры SCSI. Закомментируйте те, которых у вас в системе нет. Если у вас в системе исключительно IDE устройства, вы можете удалить все эти строки.

# SCSI peripherals device scbus # SCSI bus (required for SCSI) device ch # SCSI media changers device da # Direct Access (disks) device sa # Sequential Access (tape etc) device cd # CD device pass # Passthrough device (direct SCSI access) device ses # SCSI Environmental Services (and SAF-TE)

Периферийные устройства SCSI. Опять-таки, закомментируйте те, которых у вас в системе нет или, если у вас в наличии исключительно IDE, можете удалить все.

Замечание: USB umass(4) драйвер (и некоторые другие драйверы) используют подсистему SCSI, хотя и не являются настоящими SCSI устройствами. Следовательно, вам необходимо сохранить поддержку SCSI, если какой-либо из этих драйверов включен в конфигурацию ядра.

# RAID controllers interfaced to the SCSI subsystem device amr # AMI MegaRAID device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID device ciss # Compaq Smart RAID 5* device dpt # DPT Smartcache III, IV - See NOTES for options device iir # Intel Integrated RAID device ips # IBM (Adaptec) ServeRAID device mly # Mylex AcceleRAID/eXtremeRAID device twa # 3ware 9000 series PATA/SATA RAID

# RAID controllers device aac # Adaptec FSA RAID device aacp # SCSI passthrough for aac (requires CAM) device ida # Compaq Smart RAID device mlx # Mylex DAC960 family device pst # Promise Supertrak SX6000 device twe # 3ware ATA RAID

Поддерживаемые RAID-контроллеры. Если у вас нет таковых, можете их закомментировать или удалить эти строки.

# atkbdc0 controls both the keyboard and the PS/2 mouse device atkbdc # AT keyboard controller



Контроллер клавиатуры (atkbdc) предоставляет средства ввода/вывода для клавиатуры AT и PS/ 2 устройств. Этот контроллер необходим драйверу клавиатуры (atkbd) и PS/2 устройств (psm).

device atkbd # AT keyboard

Драйвер atkbd вместе с контроллером atkbdc предоставляет доступ к клавиатуре AT 84 или улучшенной клавиатуре AT, которая подключена к контроллеру AT клавиатуры.

device psm # PS/2 mouse

Используйте это устройство, если ваша мышь включается в порт PS/2.

device vga # VGA video card driver

Драйвер видеокарты.

# splash screen/screen saver device splash # Splash screen and screen saver support

Заставка при загрузке. Хранители экрана также требуют этого устройства. В FreeBSD 4.X используйте строку pseudo-device splash.

# syscons is the default console driver, resembling an SCO console device sc

sc - это драйвер консоли по умолчанию, который имитирует консоль SCO. Так как большая часть консольных полноэкранных приложений обращаются к консоли через терминальную библиотеку termcap, вас не должно волновать, будете ли вы использовать этот драйвер, либо драйвер vt, который является VT220-совместимым драйвером консоли. Если у вас возникнут какие-либо проблемы с приложениями, работающими с этим драйвером консоли, установите переменную окружения TERM в значение scoansi.

# Enable this for the pcvt (VT220 compatible) console driver #device vt #options XSERVER # support for X server on a vt console #options FAT_CURSOR # start with block cursor

VT220-совместимый драйвер консоли, обратно совместимый с VT100/102. Он работает лучше на некоторых лэптопах, у которых возникают проблемы несовместимости с sc. Также, установите переменную окружения TERM в значение vt100 или vt220. Этот драйвер также может быть полезен в случаях подключения к большому количеству различных машин через сеть, на которых параметры для устройства sc для termcap или terminfo могут отсутствовать -- vt100

присутствует практически на любой платформе.

# Power management support (see NOTES for more options) #device apm



Поддержка Advanced Power Management. Чаще всего используется в лэптопах, хотя в ядре GENERIC FreeBSD 5.X и выше отключена по умолчанию.

# Add suspend/resume support for the i8254. device pmtimer

Устройство таймера для управления энергопотреблением, APM и ACPI.

# PCCARD (PCMCIA) support # PCMCIA and cardbus bridge support device cbb # cardbus (yenta) bridge device pccard # PC Card (16-bit) bus device cardbus # CardBus (32-bit) bus

Поддержка PCMCIA. Включите ее, если вы используете лэптоп.

# Serial (COM) ports device sio # 8250, 16[45]50 based serial ports

Четыре последовательных порта, которые известны как COM

порты в мире MS-DOS/Windows®

Замечание: Если у вас есть внутренний модем на COM4

и последовательный порт COM2, вам понадобится поменять IRQ модема на 2 (по непонятным техническим причинам IRQ2 = IRQ9) для того, чтобы получить к нему доступ из FreeBSD. Если у вас есть многопортовая карта с последовательными портами, ознакомьтесь с чтобы узнать корректные значения для добавления в /boot/device.hints. Некоторые видеокарты (в частности те, что используют чипы S3) используют адреса ввода/вывода в форме 0x*2e8 и, так как многие дешевые последовательные карты не полностью раскодируют шестнадцатибитное пространство адресов ввода/вывода, они конфликтуют с этими картами, в итоге COM4

оказывается практически недоступным.

Каждый последовательный порт требует уникального IRQ (кроме тех случаев, когда вы используете мультипортовую карту, которая поддерживает совместное использование прерываний), поэтому значения IRQ по умолчанию для COM3 и COM4 не могут быть использованы.

# Parallel port device ppc

Интерфейс параллельного порта на шине ISA.

device ppbus # Parallel port bus (required)

Поддержка шины параллельного порта.

device lpt # Printer

Поддержка принтеров на параллельном порту.

Замечание: Все три последних устройства необходимы для поддержка принтеров на параллельном порту.

device plip # TCP/IP over parallel

Драйвер TCP/IP через параллельный порт.



device ppi # Parallel port interface device

Поддержка ввода/вывода общего назначения (``geek port'') + IEEE1284 ввода/вывода.

#device vpo # Requires scbus and da

Драйвер привода Iomega Zip. Требует наличия scbus и da. Наилучшая производительность достигается с портами в режиме EPP 1.9.

#device puc

Раскомментируйте это устройство, если у вас есть ``простая'' последовательная или параллельная PCI карта, поддерживаемая драйвером puc(4).

# PCI Ethernet NICs. device de # DEC/Intel DC21x4x (``Tulip'') device em # Intel PRO/1000 adapter Gigabit Ethernet Card device ixgb # Intel PRO/10GbE Ethernet Card device txp # 3Com 3cR990 (``Typhoon'') device vx # 3Com 3c590, 3c595 (``Vortex'')

Драйвера сетевых карт PCI. Закомментируйте или удалите драйвера тех карт, которые отсутствуют в вашей системе.

# PCI Ethernet NICs that use the common MII bus controller code. # NOTE: Be sure to keep the 'device miibus' line in order to use these NICs! device miibus # MII bus support

Поддержка шины MII требуется для некоторых PCI 10/100 Ethernet карт, которые используют MII-совместимые передатчики или реализовывают интерфейс управления передатчиком, который имитирует MII. Добавление device miibus

в конфигурационный файл ядра включает поддержку стандартный API miibus и все драйверы PHY, включая стандартный для тех PHY, которые не обрабатываются специфическим образом конкретным драйвером.

device dc # DEC/Intel 21143 and various workalikes device miibus # MII bus support device bfe # Broadcom BCM440x 10/100 Ethernet device bge # Broadcom BCM570xx Gigabit Ethernet device dc # DEC/Intel 21143 and various workalikes device fxp # Intel EtherExpress PRO/100B (82557, 82558) device pcn # AMD Am79C97x PCI 10/100 (precedence over 'lnc') device re # RealTek 8139C+/8169/8169S/8110S device rl # RealTek 8129/8139 device sf # Adaptec AIC-6915 (``Starfire'') device sis # Silicon Integrated Systems SiS 900/SiS 7016 device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet device ste # Sundance ST201 (D-Link DFE-550TX) device ti # Alteon Networks Tigon I/II gigabit Ethernet device tl # Texas Instruments ThunderLAN device tx # SMC EtherPower II (83c170 ``EPIC'') device vr # VIA Rhine, Rhine II device wb # Winbond W89C840F device xl # 3Com 3c90x (``Boomerang'', ``Cyclone'')



Драйвера, которые используют контроллер шины MII.

# ISA Ethernet NICs. pccard NICs included. device cs # Crystal Semiconductor CS89x0 NIC # 'device ed' requires 'device miibus' device ed # NE[12]000, SMC Ultra, 3c503, DS8390 cards device ex # Intel EtherExpress Pro/10 and Pro/10+ device ep # Etherlink III based cards device fe # Fujitsu MB8696x based cards device ie # EtherExpress 8/16, 3C507, StarLAN 10 etc. device lnc # NE2100, NE32-VL Lance Ethernet cards device sn # SMC's 9000 series of Ethernet chips device xe # Xircom pccard Ethernet

# ISA devices that use the old ISA shims #device le

Драйвера сетевых карт ISA. Ознакомьтесь с файлом /usr/src/sys/i386/conf/NOTES, чтобы узнать, какие сетевые карты поддерживаются каким драйвером.

# Wireless NIC cards device wlan # 802.11 support device an # Aironet 4500/4800 802.11 wireless NICs. device awi # BayStack 660 and others device wi # WaveLAN/Intersil/Symbol 802.11 wireless NICs. #device wl # Older non 802.11 Wavelan wireless NIC.

Поддержка различных беспроводных карт.

device mem # Memory and kernel memory devices

Устройства системной памяти.

device io # I/O device

Этот параметр позволяет процессу получение привилегий ввода/вывода. Он полезен для написания пользовательских программ, работающих с оборудованием непосредственно. Необходим для работы X Window system.

device random # Entropy device

Генератор случайных чисел для криптографической защиты.

device ether # Ethernet support

ether необходим лишь в случае, если у вас есть сетевая карта. Он включает поддержку стандартного кода протокола Ethernet. В FreeBSD 4.X используйте строку pseudo-device ether.

device sl # Kernel SLIP

sl - это поддержка SLIP. SLIP был практически вытеснен PPP, который легче настраивается, лучше подходит для соединений модем-модем и имеет больше возможностей. В FreeBSD 4.X используйте строку pseudo-device sl.

device ppp # Kernel PPP

Поддержка PPP в ядре для соединений dial-up. Также существует версия PPP, реализованного как приложение использующее tun и предлагает большую гибкость и большее количество возможностей, как, например, соединение при необходимости (наличии обращения к сети).


В FreeBSD 4.X используйте строку pseudo-device ppp.

device tun # Packet tunnel.

Используется пользовательским программным обеспечением PPP. Ознакомьтесь с разделом PPP этой книги за дальнейшей информацией. В FreeBSD 4.X используйте строку pseudo-device tun.



device pty # Pseudo-ttys (telnet etc)

``псевдо-терминал'' или имитированный порт для входа. Используется входящими telnet и rlogin-сессиями, приложением xterm и некоторыми другими приложениями, такими как Emacs.

Замечание: В FreeBSD 4.X используйте строку pseudo-device pty number. Число после pty определяет количество pty, которое необходимо создать. Если вам необходимо более, чем стандартное (16) количество окон xterm

и/или удаленных входов, увеличьте это число в соответствии с вашими потребностями, но не более чем до 256.

device md # Memory ``disks''

Псевдоустройства дисков в памяти. В FreeBSD 4.X используйте строку pseudo-device md

device gif # IPv6 and IPv4 tunneling

Поддержка туннелирования IPv6 через IPv4, IPv4 через IPv6, IPv4 через IPv4 и IPv6 через IPv6. Начиная с FreeBSD 4.4 устройство gif является ``автоклонируемым'' и вы должны использовать строку pseudo-device gif. Более ранним версиям FreeBSD 4.X требуется номер, например pseudo-device gif 4.

device faith # IPv6-to-IPv4 relaying (translation)

Это псевдоустройство захватывает пакеты, которые были посланы ему и перенаправляет их демону трансляции IPv4/IPv6. В FreeBSD 4.X используйте строку pseudo-device faith 1

# The `bpf' device enables the Berkeley Packet Filter. # Be aware of the administrative consequences of enabling this! device bpf # Berkeley packet filter

Фильтр пакетов Berkeley. Это псевдоустройство позволяет переводить сетевые интерфейсы в ``неразборчивый'' (promiscuous) режим, в котором перехватывается любой пакет в широковещательной сети (например ethernet). Эти пакеты могут быть сохранены на диск и/или исследованы при помощи tcpdump(1). В FreeBSD 4.X используйте строку pseudo-device bpf.



Замечание: Устройство bpf(4) также используется программой dhclient(8) для того, чтобы получить адрес шлюза по умолчанию и т.п. Если вы используете DCHP, не удаляйте эту опцию.

# USB support #device uhci # UHCI PCI->USB interface #device ohci # OHCI PCI->USB interface device usb # USB Bus (required) #device udbp # USB Double Bulk Pipe devices device ugen # Generic device uhid # ``Human Interface Devices'' device ukbd # Keyboard device ulpt # Printer device umass # Disks/Mass storage - Requires scbus and da device ums # Mouse device urio # Diamond Rio 500 MP3 player device uscanner # Scanners # USB Ethernet, requires mii device aue # ADMtek USB Ethernet device axe # ASIX Electronics USB Ethernet device cue # CATC USB Ethernet device kue # Kawasaki LSI USB Ethernet device rue # RealTek RTL8150 USB Ethernet

Поддержка различных USB устройств.

# FireWire support device firewire # FireWire bus code device sbp # SCSI over FireWire (Requires scbus and da) device fwe # Ethernet over FireWire (non-standard!)

Поддержка различных устройств Firewire.

За дальнейшей информацией о дополнительных устройствах, поддерживаемых FreeBSD, обратитесь к файлу /usr/src/sys/i386/conf/NOTES.


Краткий обзор


Ядро - это основная часть операционной системы FreeBSD. Оно ответственно за управление памятью, параметры безопасности, работу с сетью, доступ к дискам и многое другое. Несмотря на то, что FreeBSD становится всё более динамически конфигурируемой, иногда приходится собирать собственное ядро.

После прочтения этой главы вы узнаете:

Почему вам может понадобиться сборка собственного ядра.

Как написать файл конфигурации ядра или изменить существующий.

Как использовать файл конфигурации ядра для того, чтобы создать и собрать новое ядро.

Как установить новое ядро.

Как создать записи в /dev, которые могут оказаться необходимы.

Что делать, если что-то не работает или работает не так, как должно.

Все команды, приводимые в этой главе в качестве примера, должны выполняться от пользователя root.



Настройка Heimdal KDC


Центр распространения ключей (Key Distribution Center, KDC) это централизованный сервис аутентификации, предоставляемый Kerberos -- это компьютер, который предоставляет доступ через Kerberos. KDC считается доверяемым всеми другими компьютерами с определенным идентификатором Kerberos и поэтому к нему предъявляются высокие требования безопасности.

Имейте ввиду, что хотя работа сервера Kerberos требует очень немного вычислительных ресурсов, из соображений безопасности для него рекомендуется отдельный компьютер, работающий только в качестве KDC.

Перед началом настройки KDC, убедитесь что в файле /etc/rc.conf содержатся правильные настройки для работы в качестве KDC (вам может потребоваться изменить пути в соответствии с собственной системой):

kerberos5_server_enable="YES" kadmind5_server_enable="YES" kerberos_stash="YES"

Замечание: Параметр kerberos_stash существует только в FreeBSD 4.X.

Затем приступим к редактированию файла настройки Kerberos, /etc/krb5.conf:

[libdefaults] default_realm = EXAMPLE.ORG [realms] EXAMPLE.ORG = { kdc = kerberos.example.org } [domain_realm] .example.org = EXAMPLE.ORG

Обратите внимание что в файле /etc/krb5.conf подразумевается наличие у KDC полного имени kerberos.example.org. Вам потребуется добавить CNAME (синоним) к файлу зоны, если у KDC другое имя.

Замечание: Для больших сетей с правильно настроенным сервером BIND DNS пример выше может быть урезан до:

[libdefaults] default_realm = EXAMPLE.ORG

Со следующими строками, добавленными в файл зоны example.org:

_kerberos._udp IN SRV 01 00 88 kerberos.example.org. _kerberos._tcp IN SRV 01 00 88 kerberos.example.org. _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. _kerberos IN TXT EXAMPLE.ORG.

Создадим теперь базу данных Kerberos. Эта база данных содержит ключи всех основных хостов, зашифрованных с помощью главного пароля. Вам не требуется помнить этот пароль, он хранится в файле (/var/heimdal/m-key).
Для создания главного ключа запустите kstash и введите пароль.

Как только будет создан главный ключ, вы можете инициализировать базу данных с помощью программы kadmin с ключом -l

(означающим ``local''). Этот ключ сообщает kadmin обращаться к файлам базы данных непосредственно вместо использования сетевого сервиса kadmind. Это помогает решить ``проблему курицы и яйца'', когда обращение идет к еще не созданной базе данных. Как только вы увидите приглашение kadmin, используйте команду init для создания базы данных идентификаторов.

Наконец, оставаясь в приглашении kadmin, создайте первую запись с помощью команды add. Оставьте неизменными параметры по умолчанию, вы всегда сможете изменить их позже с помощью команды modify. Обратите внимание, что вы всегда можете использовать команду ? для просмотра доступных параметров.

Пример создания базы данных показан ниже:

# kstash

Master key: xxxxxxxx

Verifying password - Master key: xxxxxxxx

# kadmin -l

kadmin> init EXAMPLE.ORG

Realm max ticket life [unlimited]: kadmin> add tillman

Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: Password: xxxxxxxx

Verifying password - Password: xxxxxxxx

Теперь пришло время запустить сервисы KDC. Выполните команды /etc/rc.d/kerberos start и /etc/rc.d/kadmind start для запуска сервисов. Ни один из поддерживающих Kerberos даемонов на этот момент запущен не будет, но у вас должна быть возможность убедиться в том, что KDC функционирует путем получения списка доступа для пользователя, которого вы только что самостоятельно создали из командной строки самого KDC:

% k5init tillman

tillman@EXAMPLE.ORG's Password:

% k5list

Credentials cache: FILE:/tmp/krb5cc_500

Principal: tillman@EXAMPLE.ORG

Issued Expires Principal Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG


Недостатки Kerberos


Kerberos позволяет пользователям, хостам и сервисам производить аутентификацию друг друга. В нем нет механизма аутентификации KDC для пользователей, хостов или сервисов. Это означает, что поддельный kinit (например) может записывать все имена пользователей и паролей. Помочь решить проблему может security/tripwire или другой инструмент проверки целостности файловой системы.



От KDC зависит вся система


Архитектура системы такова, что KDC должен быть максимально защищен, поскольку главный пароль базы данных содержится в нем. На KDC не должно быть запущено никаких других сервисов и он должен быть защищен физически. Опасность велика, поскольку Kerberos

хранит все пароли зашифрованными одним ключом (``главным'' ключом), который хранится в файле на KDC.

Хорошей новостью является то, что кража главного ключа не станет такой проблемой, как может показаться. Главный ключ используется только для шифрования базы данных Kerberos и в качестве seed для генератора случайных чисел. Поскольку доступ к KDC защищен, атакующий мало что сможет сделать с главным ключом.

Кроме того, если KDC станет недоступен (возможно по причине атак DoS или проблем в сети) сетевые сервисы будет невозможно использовать, поскольку аутентификация не может быть выполнена. Уменьшить последствия можно при наличии нескольких KDC (один главный и один или несколько резервных) и с аккуратно реализованной резервной аутентификацией (отлично подойдет PAM).



Отличия от порта MIT


Основное различие между установками MIT и Heimdal относится к программе kadmin, которая имеет другой (но эквивалентный) набор команд и использует другой протокол. Если ваш KDC работает на MIT, вы не сможете использовать kadmin для удаленного администрирования KDC (и наоборот, по этой же причине).

Опции командной строки клиентов также могут немного отличаться для одинаковых задач. Рекомендуется следование инструкциям на MIT Kerberos веб сайте (). Будьте внимательны при определении PATH: порт MIT устанавливается по умолчанию в /usr/local/, и если в PATH вначале указаны системные каталоги, вместо приложений MIT могут быть запущены системные приложения.

Замечание: С портом MIT security/krb5, предоставляемым FreeBSD, убедитесь что файл /usr/local/share/doc/krb5/README.FreeBSD установлен портом, если вы хотите понять почему вход через telnetd и klogind иногда происходит так странно. Наиболее важно, исправление ``incorrect permissions on cache file'' требует использования бинарного файла login.krb5 для аутентификации, чтобы права на переданное удостоверение передавались правильно.



Подсказки, советы и решение проблем с Kerberos


При использовании портов как Heimdal так и MIT Kerberos убедитесь, что в PATH версии Kerberos клиентов указаны перед их версиями в базовой системе.

Синхронизировано ли время? Вы уверены? Если время не синхронизировано (обычно в пределах пяти минут) аутентификация завершится неудачно.

MIT и Heimdal успешно взаимодействуют. За исключением kadmin, протокол для которого не стандартизован.

Если вы изменяете hostname, потребуется также изменить учетную запись host/ и обновить keytab. Это также необходимо для специальных записей в keytab, таких как www/ запись модуля Apache www/mod_auth_kerb.

Все хосты под общим идентификатором должны разрешаться DNS (прямое и обратное разрешение), или как минимум через /etc/hosts. Записи CNAME будут работать, но записи A и PTR должны быть корректны и находиться на своем месте. Сообщение об ошибке не всегда интуитивно понятно: ``Kerberos5 refuses authentication because Read req failed: Key table entry not found''.

Некоторые операционные системы, способные работать в качестве клиентов KDC не устанавливают права для ksu в setuid root. Это означает, что ksu не работает, что хорошо является хорошей идеей для безопасности, но неудобно. Это не ошибка KDC.

С MIT Kerberos, если вы хотите продлить действие доступа до значения большего, чем десять часов по умолчанию, используйте команду modify_principal в kadmin для изменения maxlife доступа к самой учетной записи и к учетной записи krbtgt. Затем возможно использование kinit с параметром -l для запроса доступа с большим временем действия.

Замечание: Если вы запускаете перехватчик пакетов на KDC для разрешения проблем, а затем запускаете kinit с рабочей станции, то увидите, что TGT посылается непосредственно при запуске kinit -- даже до того, как вы введете пароль! Объяснение в том, что сервер Kerberos свободно распространяет TGT (Ticket Granting Ticket) на каждый неавторизованный запрос; однако, каждый TGT зашифрован ключом, полученным из пароля пользователя. Следовательно, когда пользователь вводит свой пароль, он не отправляется на KDC, а используется для расшифровка TGT, который уже получен kinit.
Если в процессе расшифровки получается правильный билет с правильным значением времени, у пользователя есть действующее ``удостоверение''. Это удостоверение содержит ключ сессии для установления безопасного соединения с сервером Kerberos, как и действующий TGT, зашифрованный ключом сервера Kerberos. Второй уровень шифрования недоступен пользователю, но позволяет серверу Kerberos проверять правильность каждого TGT.

Вам необходимо поддерживать время синхронизированным на всех компьютерах внутри одного идентификатора. NTP прекрасно подходит для этой задачи. За дополнительной информацией по NTP

обратитесь к .

Если вы хотите установить большое время жизни доступа (например, неделю), и используете OpenSSH для соединения с компьютером, где хранится ``билет'', убедитесь, что параметр Kerberos TicketCleanup установлен в no в файле sshd_config, или билеты будут уничтожены при выходе из сеанса.

Запомните, что время жизни билетов хостов больше. Если время жизни билета для учетной записи пользователя составляет неделю, а время жизни учетной записи хоста, к которому вы подсоединяетесь девять часов, учетная запись хоста в кэше устареет и кэш билетов будет работать не так, как ожидается.

При настройке файла krb5.dict на предотвращение использования определенных плохих паролей (страница справочника для kadmind кратко рассказывает об этом), запомните, что это применимо только к учетным записям, для которых действует политика паролей. Формат файла krb5.dict прост: одно слово на строку. Может помочь создание символической ссылки на /usr/share/dict/words.


Пользовательские файлы настройки: .k5login и .k5users


Учетные записи пользователя в Kerberos (например tillman@EXAMPLE.ORG) обычно связаны с локальными учетными записями (например с локальной учетной записью6 tillman). Клиентские приложения, такие как telnet, обычно не требуют указания имени пользователя или учетной записи.

Тем не менее, время от времени вам может потребоваться дать доступ к локальной учетной записи кому-то, у кого нет соответствующей учетной записи Kerberos. Например, пользователю tillman@EXAMPLE.ORG может потребоваться доступ к локальной учетной записи webdevelopers. Другим учетным записям также может потребоваться доступ к этой локальной учетной записи.

Файлы .k5login и .k5users, помещенные в домашний каталог пользователя, могут быть использованы подобно действенной комбинации .hosts и .rhosts для решения этой проблемы. Например, файл .k5login со следующим содержанием:

tillman@example.org jdoe@example.org

помещен в домашний каталог локального пользователя webdevelopers, то обе упомянутые учетные записи получат доступ к этой учетной записи без необходимости наличия общего пароля.

Рекомендуется прочитать страницу справочника по этим командам. Обратите внимание, что страница справочника о ksu содержит информацию по .k5users.



Пополнение базы данных


Теперь необходимо добавить в базу данных пользователей. Во-первых, создадим запись для пользователя jane. Используйте команду kdb_edit:

# kdb_edit

Opening database...

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value.

Principal name: jane

Instance:

<Not found>, Create [y] ? y

Principal: jane, Instance: , kdc_key_ver: 1 New Password: <---- enter a secure password here Verifying password

New Password: <---- re-enter the password here Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?

Max ticket lifetime (*5 minutes) [ 255 ] ?

Attributes [ 0 ] ?

Edit O.K. Principal name: <---- null entry here will cause an exit



Сборка и установка собственного ядра


Во-первых, давайте сделаем краткий обзор каталога, в котором будет происходить сборка ядра. Все каталоги, которые будут упоминаться, будут относительными по отношению к основному каталогу /usr/src/sys, который также доступен как каталог /sys. Этот каталог содержит множество подкаталогов, представляющих собой различные части ядра, но наиболее важным для нас будет каталог arch/conf, в котором вы будете редактировать конфигурационный файл ядра и в котором находится каталог compile, где будет собираться ваше ядро. arch может быть i386, alpha, amd64, ia64, powerpc, sparc64 или pc98 (альтернативная ветвь аппаратного обеспечения, популярная в Японии). Все, что находится внутри каталога определенной архитектуры, относится только к этой архитектуре; остальной код является машинно независимым и общим для всех платформ, на которые FreeBSD может быть потенциально портирована. Обратите внимание на логическую структуру каталогов, в которой каждое поддерживаемое устройство, каждая файловая система и каждая опция размещается в своём собственном каталоге. Версии FreeBSD до 5.X поддерживали только архитектуры i386, alpha и pc98.

В примерах этой главы подразумевается, что вы используете архитектуру i386. Если это не так, измените каталоги, указанные в примерах, в соответствии с архитектурой вашей системы.

Замечание: Если в вашей системе отсутствует каталог /usr/src/sys, это означает, что исходные тексты ядра не были установлены. Наиболее простой способ установить их - запустить /stand/sysinstall как root, выбрать Configure, потом Distributions, потом src, потом sys. Если вы испытываете отвращение к sysinstall и у вас есть доступ к ``официальному'' FreeBSD CDROM, вы также можете установить исходные тексты при помощи командной строки:

# mount /cdrom

# mkdir -p /usr/src/sys

# ln -s /usr/src/sys /sys

# cat /cdrom/src/ssys.[a-d]* | tar -xzvf -

Затем, перейдите в каталог arch/conf и скопируйте файл конфигурации GENERIC в в файл с выбранным вами именем. Например:

# cd /usr/src/sys/i386/conf


# cp GENERIC MYKERNEL

По традиции имя состоит из букв в верхнем регистре, и если вы поддерживаете несколько компьютеров FreeBSD на различном оборудовании, хорошая идея добавлять это имя к имени хоста. Мы назвали ядро MYKERNEL в этом примере.

Подсказка: Помещение файла конфигурации ядра в /usr/src может быть плохой идеей. Если вы испытываете проблемы, их можно решить удалив /usr/src и начав все с начала. После этого обычно требуется несколько секунд, чтобы понять, что вы удалили собственный файл настройки ядра. Не редактируйте непосредственно GENERIC, он может быть также перезаписан и при следующем , и изменения ядра будут потеряны.

Вы можете сохранить файл конфигурации ядра в другом месте, а затем создать символическую ссылку на этот файл в каталоге i386.

Например:

# cd /usr/src/sys/i386/conf

# mkdir /root/kernels

# cp GENERIC /root/kernels/MYKERNEL # ln -s /root/kernels/MYKERNEL

Теперь отредактируйте файл MYKERNEL в своём любимом текстовом редакторе. Если вы только начинаете, единственным доступным редактором скорее всего будет vi, который слишком сложен для того, чтобы объяснить, как им пользоваться, здесь, но в перечислено множество книг, в которых его использование хорошо освещено. Однако FreeBSD предоставляет более простой редактор ee, который, если вы - новичок, подойдёт вам больше всего. Не стесняйтесь изменять строки комментариев в начале файла, с тем, чтобы отобразить вашу конфигурацию или изменения, которые вы сделали по сравнению с GENERIC.

Если вам приходилось собирать ядро для SunOS™ или какой-либо другой операционной системы типа BSD, многое из того, что содержится в этом файле будет очень знакомо вам. Если же вы, напротив, использовали другую операционную систему, такую как DOS, файл конфигурации GENERIC может показаться вам крайне сложным, поэтому следуйте инструкциям в разделе Конфигурационный файл медленно и внимательно.

Замечание: Если вы с деревом проекта FreeBSD, не забудьте свериться с файлом /usr/src/UPDATING перед обновлением. В этом файле описаны все важные вопросы и области исходного кода, требующие особого внимания. /usr/src/UPDATING всегда соответствует версии ваших исходных текстов FreeBSD, поэтому является более актуальным источником информации, чем это руководство.



Теперь вы должны скомпилировать ядро. Существует два способа, которые позволяют это сделать. Какой из них выбрать, зависит от того, почему вам понадобилось пересобирать ядро и версии FreeBSD, которую вы используете.

Если вы установили только

исходные тексты ядра, используйте способ 1.

Если вы используете FreeBSD версии более ранней, чем 4.0 и вы не обновляете систему до FreeBSD 4.0 или выше, используя make world, используйте способ 1.

Если вы собираете новое ядро, не обновляя исходные тексты (возможно, для того, чтобы добавить новую опцию, например IPFIREWALL), вы можете использовать любой способ.

Если вы пересобираете ядро как часть процесса make world, используйте способ 2.

Если вы не обновляли дерево исходных текстов с момента последнего успешного завершения цикла buildworld-installworld, (то есть не запускали CVSup, CTM, или не использовали anoncvs), возможно использование последовательности config, make depend, make, make install.

Способ 1. Сборка ядра ``традиционным'' способом

Запустите для того, чтобы сгенерировать исходные тексты ядра.

# /usr/sbin/config MYKERNEL

Перейдите в каталог, в котором будет собираться ядро. Запущенный как показано выше config(8) выведет имя этого каталога.

# cd ../compile/MYKERNEL

Для FreeBSD версий более ранних, чем 5.0, вместо этого используйте:

# cd ../../compile/MYKERNEL

Соберите ядро.

# make depend

# make

Установите новое ядро.

# make install

Способ 2. Сборка ядра ``новым'' способом.

Перейдите в каталог /usr/src.

# cd /usr/src

Соберите ядро.

# make buildkernel KERNCONF=MYKERNEL

Установите новое ядро.

# make installkernel KERNCONF=MYKERNEL

Замечание: В FreeBSD 4.2 и в более ранних, вам будет необходимо заменить KERNCONF= на KERNEL=. 4.2-STABLE, исходные тексты которой были обновлены до 2 февраля 2001 года, не понимает параметра KERNCONF=.

Новое ядро будет скопировано в каталог /boot/kernel как /boot/kernel/kernel, а старое ядро будет перемещено в /boot/kernel.old/kernel.


Теперь перезагрузите систему для того, чтобы использовать новое ядро. Если что-то пойдёт не так, вы можете обратиться к разделу в конце этой главы, который может оказаться полезен. Не забудьте прочитать раздел, который объясняет как исправить то, что ядро .

Замечание: В FreeBSD 4.X и более ранних, ядро устанавливается в /kernel, модули в /modules, а старое ядро сохраняется в /kernel.old. Другие файлы, относящиеся к процессу загрузки, такие как загрузчик (loader(8)) и его конфигурационные файлы, размещаются в /boot. Модули сторонних производителей могут быть помещены в /modules, хотя пользователи должны знать, что очень важно, чтобы модули были синхронизированы с собранным ядром. Модули, не рассчитанные на работу с собранным ядром, могут вызвать нестабильность и некорректность работы.

Замечание: Если вы добавили новые устройства (такие, как звуковая карта) и используете FreeBSD 4.X или более ранние версии, то, возможно, вам понадобится создать некоторые файлы устройств в каталоге /dev перед тем, как вы сможете их использовать. За дополнительной информацией вы можете обратиться к разделу далее в этой главе.


Сервер Kerberos с сервисами Heimdal


Для начала нам потребуется копия файла настройки Kerberos, /etc/krb5.conf. Просто скопируйте его с KDC на клиентский компьютер безопасным способом (используя сетевые утилиты, такие как scp(1), или физически, с помощью дискеты).

Затем вам понадобится файл /etc/krb5.keytab. Это основное различие между сервером, поддерживающим Kerberos и рабочими станциями -- на сервере должен быть файл keytab. В этом файле находится центральный ключ сервера, который позволяет KDC проверять все другие идентификаторы. Он должен быть помещен на сервер безопасным способом, поскольку безопасность сервера может быть нарушена, если ключ станет общедоступен. Это означает, что его передача через незашифрованный канал, такой как FTP -- очень плохая идея.

Обычно перенос файла keytab на сервер производится с помощью программы kadmin. Это удобно, поскольку вам потребуется также создать запись хоста (KDC часть krb5.keytab) с помощью kadmin.

Обратите внимание, что должны быть уже зарегистрированы в системе и необходимо наличие прав на использование интерфейса kadmin в файле kadmind.acl. Обратитесь к разделу ``Remote administration'' в info страницах Heimdal (info heimdal) за деталями по составлению списка доступа. Если вы не хотите включать удаленный доступ kadmin, можете просто подключиться к KDC через защищенное соединение (локальную консоль, ssh(1) или Kerberos telnet(1)) и выполнять администрирование локально с помощью kadmin -l.

После добавления файла /etc/krb5.conf, вы можете использовать kadmin с сервера Kerberos. Команда add --random-key

позволит вам добавить запись для сервера, а команда ext позволит перенести эту запись в собственный keytab файл сервера. Например:

# kadmin

kadmin> add --random-key host/myserver.example.org

Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: kadmin> ext host/myserver.example.org

kadmin> exit

Обратите внимание, что команда ext (сокращение от ``extract'') сохраняет полученный ключ в файле /etc/krb5.keytab

по умолчанию.


Если на KDC не запущен kadmind (возможно по соображениям безопасности) и вы не можете получить доступ к kadmin удаленно, возможно добавление записи хоста (host/myserver.EXAMPLE.ORG) непосредственно на KDC с последующим извлечением ее во временный файл (и перезаписью /etc/krb5.keytab на KDC) примерно так:

# kadmin

kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org

kadmin> exit

Затем вы можете скопировать keytab на сервер защищенным способом (например, используя scp или дискету). Убедитесь, что используемое имя keytab не совпадает с именем по умолчанию во избежание перезаписывания keytab на KDC.

Теперь ваш сервер может связываться с KDC (добавлен файл krb5.conf) и идентифицировать себя (добавлен файл krb5.keytab). Теперь вы готовы к включению некоторых сервисов Kerberos. В этом примере мы включим сервис telnet, поместив в /etc/inetd.conf

нижеприведенную строку и перезапустив сервис inetd(8) командой /etc/rc.d/inetd restart:

telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user

Очень важно установить ключ -a (тип аутентификации) в user. Обратитесь к странице справочника telnetd(8) за подробной информацией.


Создание базы данных


Это необходимо сделать только на сервере Kerberos. Во-первых, убедитесь что не осталось старой базы данных Kerberos. Войдите в каталог /etc/kerberosIV и убедитесь, что в нем находятся только эти файлы:

# cd /etc/kerberosIV

# ls

README krb.conf krb.realms

Если присутствуют еще какие-то файлы (такие как principal.*

или master_key), используйте команду kdb_destroy для удаления старой базы данных Kerberos, или, если Kerberos не запущен, просто удалите эти файлы.

Затем отредактируйте файлы krb.conf и krb.realms, введя ваши данные. В этом примере уникальный идентификатор EXAMPLE.COM, сервер grunt.example.com. Отредактируем или создадим файл krb.conf:

# cat krb.conf

EXAMPLE.COM EXAMPLE.COM grunt.example.com admin server CS.BERKELEY.EDU okeeffe.berkeley.edu ATHENA.MIT.EDU kerberos.mit.edu ATHENA.MIT.EDU kerberos-1.mit.edu ATHENA.MIT.EDU kerberos-2.mit.edu ATHENA.MIT.EDU kerberos-3.mit.edu LCS.MIT.EDU kerberos.lcs.mit.edu TELECOM.MIT.EDU bitsy.mit.edu ARC.NASA.GOV trident.arc.nasa.gov

В этом примере другие идентификаторы введены для иллюстрации настройки c несколькими хостами. С целью упрощения настройки вы можете не включать их.

Первая строка содержит идентификатор, под которым работает эта система. Остальные строки связывают идентификаторы с именами хостов. Сначала указывается идентификатор, затем хост под этим идентификатором, работающий как ``центр распространения ключей''. Слова admin server с последующим именем хоста означают, что этот хост также является сервером администрирования базы данных. За дальнейшей информацией об этих терминах обратитесь к страницам справочника по Kerberos.

Мы добавили grunt.example.com к идентификатору EXAMPLE.COM и кроме того сопоставили всем хостам в домене .example.com идентификатор EXAMPLE.COM. Файл krb.realms будет выглядеть так:

# cat krb.realms

grunt.example.com EXAMPLE.COM .example.com EXAMPLE.COM .berkeley.edu CS.BERKELEY.EDU .MIT.EDU ATHENA.MIT.EDU .mit.edu ATHENA.MIT.EDU

Как и в предыдущем примере, другие идентификаторы добавлены только для примера.
С целью упрощения настройки вы можете не включать их.

В первой строке определенная

система сопоставляется с идентификатором. В остальных строках показано, сопоставить идентификатору остальные системы определенного поддомена.

Теперь мы готовы к созданию базы данных. Потребуется всего лишь запустить сервер Kerberos (или центр распространения ключей). Используйте для этого kdb_init:

# kdb_init

Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM

You will be prompted for the database Master Password. It is important that you NOT FORGET this password.

Введите главный ключ Kerberos:

Теперь мы должны сохранить ключ, чтобы сервера на локальных компьютерах могли его взять. Используйте для этого команду kstash:

# kstash

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE!

Этой командой зашифрованный главный пароль сохранен в /etc/kerberosIV/master_key.


Создание файла настройки сервера


Теперь необходимо создать все записи сервисов, которые были определены для каждого компьютера. Используем для этого команду ext_srvtab. Будет создан файл, который должен быть скопирован или перемещен безопасным способом в каталог /etc/kerberosIV каждого Kerberos клиента. Этот файл должен присутствовать на каждом сервере и клиенте, он необходим для работы Kerberos.

# ext_srvtab grunt

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE! Generating 'grunt-new-srvtab'....

Эта команда создаст временный файл, который должен быть переименован в srvtab, чтобы серверы смогли обратиться к нему. Используйте команду для перемещения его в исходной системе:

# mv grunt-new-srvtab srvtab

Если файл предназначен для клиентской системы, и сеть не безопасна, скопируйте client-new-srvtab на съемный носитель и перенесите файл с его помощью. Убедитесь, что переименовали его в srvtab в каталоге /etc/kerberosIV

клиента, и что режим доступа к нему 600:

# mv grumble-new-srvtab srvtab

# chmod 600 srvtab



Создание файлов устройств


Если вы работаете с FreeBSD 5.0 или старше, вы можете пропустить эту секцию. Эти версии используют

devfs(5) для выделения файлов устройств прозрачно для пользователя.

Практически все устройства в ядре имеют соответствующий файл, называемый ``node'' в каталоге /dev. Они выглядят как обычные файлы, но на самом деле это специальные ``точки входа'' в ядро, которые необходимы приложениям для доступа к устройствам. Скрипт для /bin/sh /dev/MAKEDEV, который выполняется при первой установке операционной системы, создает практически все поддерживаемые файлы устройств. Однако он не создаёт их все, таким образом, когда вы добавляете поддержку нового устройства, следует убедиться, что соответствующие файлы есть в /dev, и если их там нет, создать их. Вот простой пример:

Предположим, вы добавили поддержку привода IDE CD-ROM в ядро. Строка, которую вы добавили:

device acd0

Это означает, что вам необходимо проверить наличие файлов, название которых начинаются строкой acd0 в каталоге /dev, за которой, возможно, следует буква, например c, или предшествует r, что означает, что это ``сырое'' (raw) устройство, которое используется для прямого доступа к аппаратному устройству. Если оказывается, что таких файлов в каталоге нет, вы должны перейти в каталог /dev и набрать:

# sh MAKEDEV acd0

Когда скрипт завершит работу, вы увидите, что файлы acd0c и racd0c созданы, соответственно скрипт отработал корректно.

Для звуковых карт нижеследующая команда создает необходимые файлы:

# sh MAKEDEV snd0

Замечание: Если вы создаете файлы устройств для таких устройств, как звуковые карты и если другие люди имеют доступ к вашей машине, было бы не лишним защитить их от использования извне при помощи добавления их в файл /etc/fbtab. За дальнейшей информацией обратитесь к странице руководства fbtab(5).

Следуйте этой простой процедуре для любых других устройств, которые отсутствуют в ядре GENERIC и которые не имеют соответствующих файлов в /dev.

Замечание: Все контроллеры SCSI используют одинаковый набор файлов в /dev, поэтому вам не нужно создавать их. Также, сетевые карты и псевдоустройства SLIP и PPP не имеют вхождений в /dev, поэтому и о них вы не должны беспокоиться.



Тестирование всей системы


Во-первых, запустите даемоны Kerberos. При правильном редактировании файла /etc/rc.conf они запустятся автоматически при перезагрузке. Это необходимо только на сервере Kerberos. Клиенты Kerberos получат все необходимые данные из каталога /etc/kerberosIV.

# kerberos &

Kerberos server starting Sleep forever on error Log file is /var/log/kerberos.log Current Kerberos master key version is 1.

Master key entered. BEWARE!

Current Kerberos master key version is 1 Local realm: EXAMPLE.COM # kadmind -n &

KADM Server KADM0.0A initializing Please do not use 'kill -9' to kill this job, use a regular kill instead

Current Kerberos master key version is 1.

Master key entered. BEWARE!

Теперь для получения доступа через созданного пользователя jane используйте kinit:

% kinit jane

MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane" Password:

Попробуйте просмотреть имеющиеся данные с помощью klist:

% klist

Ticket file: /tmp/tkt245 Principal: jane@EXAMPLE.COM

Issued Expires Principal Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM

Теперь попробуйте изменить пароль с помощью passwd(1), чтобы убедиться, что даемон kpasswd может получить информацию из базы данных Kerberos:

% passwd

realm EXAMPLE.COM Old password for jane:

New Password for jane:

Verifying password New Password for jane:

Password changed.



Установка KerberosIV


Kerberos это опциональный компонент FreeBSD. Простейший способ установки этой программы это выбор krb4 или krb5

из sysinstall во время первой установки FreeBSD. Будет установлен ``eBones'' (KerberosIV) или ``Heimdal'' (Kerberos5) вариант Kerberos. Включение этих реализаций объясняется тем, что они разработаны вне США/Канады и доступны вне этих стран, поскольку на них не влияют ограничения на экспорт криптографического кода из США.

Кроме того, реализация MIT Kerberos доступна из коллекции портов в виде пакета security/krb5.



Включение su


Kerberos позволяет назначить каждому пользователю, который нуждается в привилегиях root, свой собственный пароль su(1). Необходимо добавить учетную запись, которой разрешено получать root доступ через . Это делается путем связывания учетной записи root с пользовательской учетной записью. Создадим в базе данных Kerberos запись jane.root с помощью kdb_edit:

# kdb_edit

Opening database...

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value.

Principal name: jane

Instance: root

<Not found>, Create [y] ? y

Principal: jane, Instance: root, kdc_key_ver: 1 New Password: <---- enter a SECURE password here Verifying password

New Password: <---- re-enter the password here

Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?

Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! Attributes [ 0 ] ?

Edit O.K. Principal name: <---- null entry here will cause an exit

Теперь проверим работоспособность этой записи:

# kinit jane.root

MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane.root" Password:

Необходимо добавить пользователя к root файлу .klogin:

# cat /root/.klogin

jane.root@EXAMPLE.COM

Теперь попробуйте выполнить su(1):

% su

Password:

и посмотрите на имеющиеся данные:

# klist

Ticket file: /tmp/tkt_root_245 Principal: jane.root@EXAMPLE.COM

Issued Expires Principal May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM



Зачем собирать собственное ядро?


Традиционно в FreeBSD использовалось так называемое ``монолитное'' ядро. Это означает, что ядро - это одна большая программа, которая поддерживает фиксированный набор устройств и в случае, если необходимо изменить его поведение, требуется сборка нового ядра и перезагрузка компьютера уже с новым ядром.

На сегодняшний день FreeBSD быстро продвигается к модели, в которой большая часть функциональности содержится в модулях, которые могут быть при необходимости динамически загружены и выгружены из ядра. Это позволяет ядру использовать устройства, которые ``внезапно'' появились в системе (например, устройства PCMCIA в лэптопе) или добавлять новую функциональность в ядро, которая не была необходима в момент первоначальной сборки ядра. Такой подход известен как модульность ядра.

Несмотря на это, всё ещё иногда бывает необходимо, чтобы некоторая функциональность была вкомпилирована в ядро статически. В некоторых случаях это продиктовано тем, что эта функциональность настолько сильно привязана к ядру, что не может быть динамически загружаемой. В других случаях это может быть просто потому, что никто не уделил время написанию динамически загружаемого модуля для этой функциональности.

Сборка собственного ядра - один из наиболее важных ритуалов, через который должен пройти практически любой пользователь BSD. Несмотря на длительность этого процесса, ваша FreeBSD останется только в выигрыше. В отличие от ядра GENERIC, которое должно поддерживать широкий спектр аппаратного обеспечения, собственное ядро содержит поддержку аппаратного обеспечения только вашего компьютера. Это может давать следующие плюсы:

Меньшее время загрузки. Поскольку ядро будет пытаться определить только то аппаратное обеспечение, которое установлено в вашем компьютере, время, которое потребуется системе для загрузки, может значительно уменьшиться.

Уменьшение использования памяти. Собственное ядро часто использует меньше памяти, чем ядро GENERIC, что очень важно, поскольку ядро всегда находиться в физической памяти. Именно по этой причине собственное ядро особенно полезно при использовании систем с малым объемом оперативной памяти.

Поддержка дополнительного аппаратного обеспечения. Собственное ядро позволяет вам добавить поддержку таких устройств, поддержка которых отсутствует в ядре GENERIC.



Запуск Kerberos


Для каждой системы, защищаемой Kerberos, в базу данных должны быть добавлены две записи. Это kpasswd и rcmd. Они добавляются вместе с именем системы.

Эти даемоны, kpasswd и rcmd

позволяют другим системам изменять пароли Kerberos и запускать такие команды как rcp(1), rlogin(1), rsh(1).

Теперь добавим эти записи:

# kdb_edit

Opening database...

Enter Kerberos master key:

Current Kerberos master key version is 1.

Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value.

Principal name: passwd

Instance: grunt

<Not found>, Create [y] ? y

Principal: passwd, Instance: grunt, kdc_key_ver: 1 New Password: <---- enter RANDOM here Verifying password

New Password: <---- enter RANDOM here

Random password [y] ? y

Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?

Max ticket lifetime (*5 minutes) [ 255 ] ?

Attributes [ 0 ] ?

Edit O.K. Principal name: rcmd

Instance: grunt

<Not found>, Create [y] ?

Principal: rcmd, Instance: grunt, kdc_key_ver: 1 New Password: <---- enter RANDOM here Verifying password

New Password: <---- enter RANDOM here

Random password [y] ?

Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?

Max ticket lifetime (*5 minutes) [ 255 ] ?

Attributes [ 0 ] ?

Edit O.K. Principal name: <---- null entry here will cause an exit



Что такое I18N/L10N?


Разработчики сократили интернационализацию в термин I18N, по числу символов между первым и последним символом интернационализации. В названии L10N используется тот же принцип от ``локализации''. Совместно используемые I18N/L10N методы, протоколы и приложения позволяют пользователям использовать языки по своему выбору.

I18N приложения написаны с применением набора I18N посредством библиотек. Это позволяет разработчикам писать простые файлы и переводить отображаемые меню и надписи на разные языки. Мы настоятельно рекомендуем программистам следовать этому соглашению.



Дополнительные сведения


Если вы интересуетесь, как работает Linux эмуляция, этот раздел для вас. Большинство материала взято из электронного письма, адресованного Список рассылки, посвящённый неформальным беседам о FreeBSD by Terry Lambert tlambert@primenet.com> (ID письма: <199906020108.SAA07001@usr09.primenet.com>).



Как установить дополнительные совместно используемые библиотеки


Что, если при установленном linux_base порте ваше приложение все равно сообщает об отсутствии необходимой библиотеки? Как узнать, какая именно нужна библиотека и где ее взять? В принципе, есть два способа. Вам необходимо иметь привилегии суперпользователя для их осуществления.

Если у вас есть доступ к машине, на которой установлен Linux, узнайте, какие библиотеки использует Linux приложение, и просто скопируйте из на свою машину. Например:

Допустим, вы скачали по FTP Linux версию Doom (на Linux машине). Вы можете узнать, какие разделяемые библиотеки нужны Doom при помощи команды ldd linuxdoom:

% ldd linuxdoom

libXt.so.3 (DLL Jump 3.1) => /usr/X11/lib/libXt.so.3.1.0 libX11.so.3 (DLL Jump 3.1) => /usr/X11/lib/libX11.so.3.1.0 libc.so.4 (DLL Jump 4.5pl26) => /lib/libc.so.4.6.29

Вам потребуются все файлы, перечисленные в последней колонке. Скопируйте их в директорию /compat/linux на вашей системе, а также создайте символические ссылки на эти файлы, с именами ссылок из первой колонки соответственно. В итоге у вас на машине должны быть следующие файлы:

/compat/linux/usr/X11/lib/libXt.so.3.1.0 /compat/linux/usr/X11/lib/libXt.so.3 -> libXt.so.3.1.0 /compat/linux/usr/X11/lib/libX11.so.3.1.0 /compat/linux/usr/X11/lib/libX11.so.3 -> libX11.so.3.1.0 /compat/linux/lib/libc.so.4.6.29 /compat/linux/lib/libc.so.4 -> libc.so.4.6.29

Замечание: Заметьте, что если у вас уже есть какая-либо из перечисленных библиотек, то ее не нужно копировать заново. Однако, у вас может быть более старая версия. В этом случае, лучше все-таки скопировать библиотеку поздней версии, изменив соответственно ссылку на нее. Предыдущую версию библиотеки можно удалить. Например, пусть у вас есть следующие библиотеки:

/compat/linux/lib/libc.so.4.6.27 /compat/linux/lib/libc.so.4 -> libc.so.4.6.27

и какое-либо приложение требует библиотеку более поздней версии, судя по команде ldd:

libc.so.4 (DLL Jump 4.5pl26) -> libc.so.4.6.29

Если подверсии немного отличаются, копировать /lib/libc.so.4.6.29 необязательно, так как программа, скорее всего, будет нормально работать и с устаревшей версией. Тем не менее, вы можете заменить libc.so:

/compat/linux/lib/libc.so.4.6.29 /compat/linux/lib/libc.so.4 -> libc.so.4.6.29

Замечание: Символические ссылки важны только для Linux программ. Runtime-компоновщик FreeBSD самостоятельно подберет правильные номера версий библиотек, и вам не нужно об этом беспокоиться.



Как все это устроено?


FreeBSD поддерживает абстракцию, называемую ``загрузчик исполнимых классов'', который фактически является первой стадией системного вызова execve(2).

На самом деле, FreeBSD имеет несколько загрузчиков вместо одного, который, в случае неудачи, выполняет программу как сценарий (скрипт).

Исторически сложилось, что единственный загрузчик в UNIX® системах проверял ``магическое число'' (чаще всего первые 4 или 8 байт файла), чтобы определить, известен ли формат исполняемого файла системе, и если да, то вызвал соответствующий загрузчик.

Если файл не опознавался системой как исполнимый, execve(2) возвращал ошибку, и текущий командный интерпретатор начинал выполнять файл как скрипт.

Позднее, был модифицирован, так, чтобы проверять первые два символа в файле, и если они оказывались :\n, то файл выполнялся как сценарий для csh(1) (утверждается, что SCO были первыми, кто сделал эту модификацию).

FreeBSD ведет себя по-другому: пробегает по списку загрузчиков, включая специальный #! загрузчик, который вызывает нужный интерпретатор или /bin/sh, если не нашел подходящего.

Формат исполняемого файла FreeBSD определяет по ``магическому числу''. На этой стадии пока не различается, для какой операционной системы предназначен файл (Linux, Solaris™, или любой другой, использующей ELF-формат исполняемых файлов).

Далее, ELF-загрузчик определяет ``марку'' (специальный комментарий; отсутствует в исполняемых файлах SVR4/Solaris) исполняемого файла, то есть для какой операционной системы он предназначен.

Соответственно, Linux программы должны быть ``маркированы'' для Linux (например, с помощью утилиты brandelf(1)):

# brandelf -t Linux file

Когда ELF-загрузчик находит ``марку'' Linux, он заменяет соответствующий указатель в структуре proc. Все системные вызовы индексируются через этот указатель (в традиционной UNIX системе это массив sysent[], содержащий системные вызовы). Некоторые особые ситуации и системные вызовы обрабатываются специальным модулем ядра поддержки Linux.

Плюс ко всему, Linux эмулятор динамически ``изменяет корень'' файловой системы при поиске файлов; фактически так же, как и параметр union при монтировании файловых систем (не путать с unionfs!).
Сперва, файл ищется в каталоге /compat/linux/original-path и только затем, в случае неудачи, в /original-path. Это дает возможность Linux программам выполнять FreeBSD команды, если не найдется соответствующих Linux команд. Например, скопировав FreeBSD uname(1) в каталог /compat/linux/bin/, можно ``заставить'' Linux программы сообщать, что они запускаются под FreeBSD.

На самом деле, ядра FreeBSD и Linux во многом похожи: системные операции, виртуальная память, система сигналов и сообщений, межпроцессное взаимодействие и прочее. Разница в том, что FreeBSD программы обращаются к системным вызовам FreeBSD, Linux программы соответственно к системным вызовам Linux. Во многих операционных системах прошлого адреса системных вызовов были зашиты в статический глобальный массив sysent[], вместо обращения по указателю в структуре proc, который инициализируется динамически, позволяя таким образом запускать программы, написанные для разных операционных систем.

В чем же разница между системными вызовами Linux и FreeBSD? Фактически никакой. Единственное различие (на данный момент, в будущем все может и, вероятно, изменится), пожалуй, в том, что функции системных вызовов FreeBSD зашиты в ядро, а для Linux они могут быть либо в ядре, либо в динамически загружаемом модуле.

Можно ли назвать это эмуляцией? Нет. Это реализация ABI, а не эмуляция. Как таковой, эмулятор (или симулятор) отсутствует.

В таком случае, почему же тогда говорят ``Linux эмуляция''? Чтобы ``насолить'' FreeBSD?!. На самом деле, это вопрос терминологии: не существовало слова, которое бы точнее описывало этот процесс. Нельзя сказать, что FreeBSD запускает приложения Linux (без перекомпиляции или загрузки соответствующего модуля ядра). Поэтому и придумали термин ``Linux эмуляция''.


Какие языки поддерживаются в проекте I18N?


I18N и L10N не являются специфичными для FreeBSD. На текущий момент у вас есть выбор между самыми распространенными языками мира, включая, но не ограничиваясь: китайский, немецкий, японский, корейский, французский, русский, вьетнамский и др.



Компиляция I18N программ


Многие порты FreeBSD были созданы с поддержкой I18N. Некоторые из них помечены символами -I18N в имени порта. Эти и многие другие программы имеют встроенную поддержку I18N и не нуждаются в специальной настройке.

Однако, некоторые приложения, такие как MySQL, требуют указания кодировки в Makefile. Это обычно делается правкой Makefile или передачей параметров configure при сборке из исходных текстов.



Краткий обзор


FreeBSD - это очень распределенный проект, пользователи и контрибьюторы которого находятся в самых разных частях света. В этой главе рассказывается о возможностях интернационализации и локализации FreeBSD, которые позволяют не-англоговорящим пользователям делать свою работу. Существует много подходов в i18n реализации - как на системном уровне, так и на уровне приложений, так что, где это возможно, мы будем давать читателю ссылки на более углубленные источники документации.

После прочтения этой главы, вы будете знать:

Как разные языки и региональные настройки кодируются в современных операционных системах.

Как установить региональные настройки для вашей оболочки.

Как настроить вашу консоль для отличных от английского языков.

Как эффективно использовать X Window System с разными языками.

Где найти дополнительную документацию по созданию i18n-совместимых приложений.

Перед чтением этой главы вам следует::

Знать как установить дополнительные приложения сторонних разработчиков (Гл. 4).


FreeBSD предоставляет бинарную совместимость с несколькими другими UNIX® подобными операционными системами, включая Linux. Возможно, Вы спрашиваете себя, зачем FreeBSD нужно уметь работать с приложениями, написанными для Linux. Ответ на этот вопрос достаточно прост: многие компании и разработчики производят программное обеспечение только для Linux, так как эта операционная система очень быстро завоевала огромную популярность в компьютерном мире. Пользователям же FreeBSD приходится обращаться к этим компаниям и разработчикам с просьбами выпустить версии своих программ специально для FreeBSD. Проблема в том, что большинство производителей программного обеспечения не осознают, насколько бы увеличился их рынок сбыта, выпускай они FreeBSD версии наряду с Linux версиями, и продолжают разрабатывать только под Linux. Что же делать пользователям FreeBSD? В этой ситуации на помощь приходит Linux эмуляция.

Вкратце, FreeBSD позволяет Вам работать с 90% приложений для Linux без каких-либо модификаций последних. Среди них: StarOffice™, Linux версия Netscape®, Adobe® Acrobat®, RealPlayer® 5 и 7, VMware™, Oracle®, WordPerfect®, Doom, Quake, и многие другие. Есть сведения, что в некоторых ситуациях эти Linux программы показывали более высокую производительность при работе под FreeBSD, чем под Linux.

Конечно, существует некоторые особенности Linux, которые не поддерживаются в полной мере FreeBSD. Например, так обстоят дела с приложениями Linux, использующими файловую систему /proc, так как реализация последней сильно отличается от файловой системы /proc в FreeBSD. Существуют также системные вызовы, специфичные для i386™, как, например, переключение в виртуальный режим 8086.

При чтении этой главы вы узнаете:

Как включить бинарную совместимость с Linux в вашей системе.

Как установить дополнительные совместно используемые библиотеки Linux.

Как установить приложения Linux в систему FreeBSD.

Детали реализации совместимости с Linux в FreeBSD.

Перед прочтением этой главы вам потребуется:

Узнать как устанавливать дополнительное программное обеспечение сторонних разработчиков ().



Локализация на японский и корейский языки


За информацией по японской локализации, обратитесь к http://www.jp.FreeBSD.org/, а за информацией о корейской локализацией к .



Локализация на немецкий язык (для всех ISO 8859-1 языков)


Slaven Rezic eserte@cs.tu-berlin.de> написал учебник по использованию umlauts в FreeBSD. Учебник написан на немецком и доступен по адресу .



Локализация на традиционном китайском для Тайваня


У проекта FreeBSD-Taiwan есть Chinese HOWTO для FreeBSD по адресу http://netlab.cse.yzu.edu.tw/~statue/freebsd/zh-tut/, в котором используются многие порты на китайском. На данный момент редактором FreeBSD Chinese HOWTO является Shen Chuan-Hsing statue@freebsd.sinica.edu.tw>.

Chuan-Hsing Shen statue@freebsd.sinica.edu.tw>

создал , используя FreeBSD-Taiwan zh-L10N-tut. Пакеты и скрипты доступны по адресу ftp://freebsd.csie.nctu.edu.tw/pub/taiwan/CFC/.



Модификация genclntsh


Скрипт genclntsh используется для того, чтобы создать единую совместно используемую клиентскую библиотеку, которая используется для создания демонстраций. Приложите следующий патч, чтобы закомментировать определение переменной PATH:

*** bin/genclntsh.orig Wed Sep 30 07:37:19 1998 --- bin/genclntsh Tue Dec 22 15:36:49 1998 *************** *** 32,38 **** # # Explicit path to ensure that we're using the correct commands #PATH=/usr/bin:/usr/ccs/bin export PATH ! PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin export PATH # # each product MUST provide a $PRODUCT/admin/shrept.lst --- 32,38 ---- # # Explicit path to ensure that we're using the correct commands #PATH=/usr/bin:/usr/ccs/bin export PATH ! #PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin export PATH # # each product MUST provide a $PRODUCT/admin/shrept.lst



Модификация исполняемых файлов


Исполняемые файлы пакета Mathematica находятся в директории Unix на компакт диске с дистрибутивом. Скопируйте эту директорию (вместе со всеми подкаталогами) на ваш жесткий диск, чтобы модифицировать (утилитой brandelf(1)) исполняемые файлы перед инсталляцией:

# mount /cdrom

# cp -rp /cdrom/Unix/ /localdir/

# brandelf -t Linux /localdir/Files/SystemFiles/Kernel/Binaries/Linux/*

# brandelf -t Linux /localdir/Files/SystemFiles/FrontEnd/Binaries/Linux/*

# brandelf -t Linux /localdir/Files/SystemFiles/Installation/Binaries/Linux/*

# brandelf -t Linux /localdir/Files/SystemFiles/Graphics/Binaries/Linux/*

# brandelf -t Linux /localdir/Files/SystemFiles/Converters/Binaries/Linux/*

# brandelf -t Linux /localdir/Files/SystemFiles/LicenseManager/Binaries /Linux/mathlm

# cd /localdir/Installers/Linux/

# ./MathInstaller

Вы также можете установить ELF brand по умолчанию для всех приложений Linux, которым это требуется, с помощью команды:

# sysctl kern.fallback_elf_brand=3

FreeBSD будет считать, что все программы, не обработанные brandelf(1) используют Linux ABI и вы сможете запустить MathInstaller прямо с CDROM.



Модификация root.sh


При установке Oracle

необходимо выполнить некоторые действия (имея при этом привилегии суперпользователя). Фактически это сводится к выполнению скрипта root.sh, который находится в директории orainst. Перед запуском, приложите к нему следующий патч (исправляет местонахождение утилиты chown), либо запускайте его в командном интерпретаторе Linux.

*** orainst/root.sh.orig Tue Oct 6 21:57:33 1998 --- orainst/root.sh Mon Dec 28 15:58:53 1998 *************** *** 31,37 **** # This is the default value for CHOWN # It will redefined later in this script for those ports # which have it conditionally defined in ss_install.h ! CHOWN=/bin/chown # # Define variables to be used in this script --- 31,37 ---- # This is the default value for CHOWN # It will redefined later in this script for those ports # which have it conditionally defined in ss_install.h ! CHOWN=/usr/sbin/chown # # Define variables to be used in this script

Если вы устанавливаете Oracle не с компакт диска, можно модифицировать исходный файл root.sh. Он называется rthd.sh и находится в каталоге orainst.



MS-DOS® FS и русские имена файлов


Следующий пример записи в fstab(5) включает поддержку русских имен файлов при монтировании файловых систем MS-DOS®:

/dev/ad0s2 /dos/c msdos rw,-Wkoi2dos,-Lru_RU.KOI8-R 0 0

Параметр -L выбирает имя используемой локализации, а параметр -W задает таблицу перекодировки. При использовании параметра -W убедитесь, что раздел /usr смонтирован перед разделом MS-DOS, поскольку таблицы перекодировки расположены в каталоге /usr/libdata/msdosfs. За более подробной информацией обращайтесь к странице справочника mount_msdos(8).



Настройка ядра


Как описывается в руководстве по установке Oracle, необходимо установить максимальный размер разделяемой памяти. Не используйте SHMMAX под FreeBSD. SHMMAX высчитывается, исходя из SHMMAXPGS и PGSIZE. Следовательно, нужно задавать SHMMAXPGS. За информацией о прочих опциях обратитесь к фирменному руководству. Пример настроек:

options SHMMAXPGS=10000 options SHMMNI=100 options SHMSEG=10 options SEMMNS=200 options SEMMNI=70 options SEMMSL=61

Установите эти опции в зависимости от того, как и для чего вы будете использовать Oracle.

Не забудьте добавить следующие строки в файл конфигурации ядра:

options SYSVSHM # разделяемая память SysV options SYSVSEM # семафоры SysV options SYSVMSG # межпроцессное взаимодействие SysV



Настройка консоли


Для FreeBSD версий до 5.0 добавьте к файлу настройки ядра следующую строку:

options SC_MOUSE_CHAR=0x03

Для FreeBSD версий 4.4 и выше вставьте следующую строку в /etc/rc.conf:

mousechar_start=3

Используйте в /etc/rc.conf такие настройки:

keymap="ru.koi8-r" scrnmap="koi8-r2cp866" font8x16="cp866b-8x16" font8x14="cp866-8x14" font8x8="cp866-8x8"

Для каждого устройства ttyv* в файле /etc/ttys, используйте cons25r в качестве типа терминала.

Обратитесь к вышеизложенному материалу этой главы за примерами настройки консоли.



Настройка Linux окружения


Удостоверьтесь, что порты emulators/linux_base и devel/linux_devtools установлены на вашей системе. Если у вас возникнут трудности с этими портами, воспользуйтесь более ранней их версией.

Если вы хотите использовать intelligent agent, также понадобится TCL пакет от Red Hat: tcl-8.0.3-20.i386.rpm. Для этого воспользуйтесь следующей командой RPM (archivers/rpm):

# rpm -i --ignoreos --root /compat/linux --dbpath /var/lib/rpm пакет

Установка этого пакета должна пройти без каких-либо ошибок.



Настройка локализации


Поместите в ~/.login_conf следующие строки:

me:My Account:\ :charset=KOI8-R:\ :lang=ru_RU.KOI8-R:

Обратитесь к вышеизложенному материалу этой главы за соответствующей информацией.



Настройка окружения Oracle


Прежде чем вы сможете установить Oracle, вам необходимо обеспечить соответствующее окружение. Ниже дана информация, что именно

нужно сделать, чтобы успешно запускать Oracle для Linux под FreeBSD, а не то, что написано в фирменном руководстве по установке Oracle.



Настройка принтера


Большинство принтеров для России поставляются с аппаратной кодовой страницей CP866, требуется специальный выходной фильтр для перекодировки из KOI8-R в CP866. Такой фильтр устанавливается по умолчанию в /usr/libexec/lpr/ru/koi2alt. Запись для принтера в /etc/printcap должна выглядеть приблизительно так:

lp|Russian local line printer:\ :sh:of=/usr/libexec/lpr/ru/koi2alt:\ :lp=/dev/lpt0:sd=/var/spool/output/lpd:lf=/var/log/lpd-errs:

Обратитесь к printcap(5) за подробным описанием.



R может не работать со


Выполните сначала .

Замечание: Локализация KOI8- R может не работать со старыми релизами XFree86™ (ниже 3.3). На настоящий момент в FreeBSD в качестве системы X Window по умолчанию используется XFree86 4.X. Поэтому если только вы не используете старые версии FreeBSD, это не должно стать проблемой.

Зайдите в каталог russian/X.language и выполните следующую команду:

# make install

Вышеуказанный порт установит последнюю версию KOI8-R шрифтов. В XFree86 3.3 уже есть некоторые KOI8-R шрифты, но эти масштабируются лучше.

Проверьте раздел "Files" в файле /etc/XF86Config. Следующие строки должны быть добавлены перед всеми записями FontPath:

FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/misc" FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/75dpi" FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/100dpi"

Если вы используете видеорежим с высоким разрешением, поменяйте местами строки для 75 dpi и 100 dpi.

Для настройки ввода на русском языке, добавьте нижеприведенные строки в раздел "Keyboard" файла XF86Config.

Для XFree86 3.X:

XkbLayout "ru" XkbOptions "grp:caps_toggle"

Для XFree86 4.X:

Option "XkbLayout" "ru" Option "XkbOptions" "grp:caps_toggle"

Убедитесь, что XkbDisable отключен (закомментирован) в этом разделе.

Переключателем RUS/LAT служит CapsLock. Прежняя функция CapsLock все еще доступна в комбинации Shift+CapsLock (только в режиме LAT).

Если на вашей клавиатуре есть клавиши ``Windows®'', и некоторые не-алфавитные клавиши работают неправильно в режиме RUS, добавьте следующую строку в файл XF86Config.

Для XFree86 3.X:

XkbVariant "winkeys"

Для XFree86 4.X:

Option "XkbVariant" "winkeys"

Замечание: Ввод на русском языке может может не работать со старыми версиями XFree86, прочтите предупреждение выше с более подробной информацией. Ввод на русском языке может также не работать с нелокализованными приложениями. Минимально локализованные приложения должны вызывать функцию XtSetLanguageProc (NULL, NULL, NULL); в начале программы. Обратитесь к за дальнейшими инструкциями по локализации приложений X11.


Не-англоязычная документация FreeBSD


Отдельные контрибьюторы FreeBSD перевели части документации FreeBSD на другие языки. Эти переводы доступны на или из каталога /usr/share/doc.



Пароль к пакету Mathematica


Вам необходимо зарегистрировать свою копию пакета Mathematica и получить от Wolfram специальный пароль, соответствующий ``идентификатору машины''.

После того, как вы установили необходимые библиотеки и распаковали файлы Mathematica, получите ``идентификатор машины'', запустив программу mathinfo в инсталляционной директории. Идентификатор машины зависит от MAC-адреса вашей первой Ethernet-карты.

# cd /localdir/Files/SystemFiles/Installation/Binaries/Linux

# mathinfo

disco.example.com 7115-70839-20412

При регистрации, либо по телефону или факсу, либо по электронной почте, вы сообщаете ``идентификатор машины'', а в ответ получаете пароль, состоящий из нескольких чисел. Введите этот пароль при первом запуске Mathematica, как и для любой другой платформы.



Переменные окружения


Кроме стандартных переменных окружения Oracle, таких как ORACLE_HOME и ORACLE_SID, вам нужно будет установить следующие дополнительные переменные:

Переменная

Значение

LD_LIBRARY_PATH $ORACLE_HOME/lib
CLASSPATH $ORACLE_HOME/jdbc/lib/classes111.zip
PATH /compat/linux/bin

/compat/linux/sbin

/compat/linux/usr/bin

/compat/linux/usr/sbin

/bin /sbin /usr/bin

/usr/sbin

/usr/local/bin

$ORACLE_HOME/bin

Желательно устанавливать их в файле .profile. Вот реальный пример:

ORACLE_BASE=/oracle; export ORACLE_BASE ORACLE_HOME=/oracle; export ORACLE_HOME LD_LIBRARY_PATH=$ORACLE_HOME/lib export LD_LIBRARY_PATH ORACLE_SID=ORCL; export ORACLE_SID ORACLE_TERM=386x; export ORACLE_TERM CLASSPATH=$ORACLE_HOME/jdbc/lib/classes111.zip export CLASSPATH PATH=/compat/linux/bin:/compat/linux/sbin:/compat/linux/usr/bin PATH=$PATH:/compat/linux/usr/sbin:/bin:/sbin:/usr/bin:/usr/sbin PATH=$PATH:/usr/local/bin:$ORACLE_HOME/bin export PATH



Почему я должен использовать I18N/L10N?


I18N/L10N используется всегда, когда вы хотите просмотреть, ввести или обработать данные на отличных от английского языках.



Подключение интерфейс Mathematica через сеть


Mathematica использует специальные шрифты для отображения некоторых символов, которые отсутствуют в стандартных шрифтах (символы интегралов, сумм, греческий алфавит и другие). Протокол X требует, чтобы эти шрифты были установлены локально. Это означает, что вы должны скопировать эти шрифты с компакт диска или сетевого узла Mathematica на ваш жесткий диск. Обычно, все шрифты должны находиться в каталоге /cdrom/Unix/Files/SystemFiles/Fonts

компакт диска или /usr/local/mathematica/SystemFiles/Fonts на винчестере. Собственно файлы со шрифтами находятся в подкаталогах Type1 и X. О том, как их использовать, читайте ниже.

Можно просто скопировать их в один из существующих подкаталогов в директории /usr/X11R6/lib/X11/fonts. В этом случае, вам потребуется отредактировать файл fonts.dir, добавив в него названия шрифтов и изменив число шрифтов в первой строке. Или вы можете запустить программу

mkfontdir(1), находясь в том каталоге, куда вы скопировали шрифты.

Есть альтернативный способ: скопировать директории в каталог /usr/X11R6/lib/X11/fonts:

# cd /usr/X11R6/lib/X11/fonts

# mkdir X

# mkdir MathType1

# cd /cdrom/Unix/Files/SystemFiles/Fonts

# cp X/* /usr/X11R6/lib/X11/fonts/X

# cp Type1/* /usr/X11R6/lib/X11/fonts/MathType1

# cd /usr/X11R6/lib/X11/fonts/X

# mkfontdir

# cd ../MathType1

# mkfontdir

Теперь добавьте каталоги с новыми шрифтами в путь к шрифтам:

# xset fp+ /usr/X11R6/lib/X11/fonts/X

# xset fp+ /usr/X11R6/lib/X11/fonts/MathType1

# xset fp rehash

Если вы используете XFree86™, то можно просто прописать эти каталоги в файле XF86Config.

Если на вашем компьютере нет

каталога /usr/X11R6/lib/X11/fonts/Type1, замените MathType1 на Type1 в предыдущем примере.



Распознавание доменных имен


Если DNS не настроен или недоступен, или вы получаете это сообщение:

resolv+: "bind" is an invalid keyword resolv+: "hosts" is an invalid keyword

то вам нужно создать (модифицировать) файл /compat/linux/etc/host.conf, содержащий:

order hosts, bind multi on

Таким образом, вы указываете, то сначала производится поиск в файле /etc/hosts, а только затем запрашивается DNS. Когда файл /compat/linux/etc/host.conf отсутствует, Linux приложения находят файл /etc/host.conf для FreeBSD и сообщают о несовместимом синтаксисе. Если вы не настраивали сервер имен (/etc/resolv.conf), уберите bind из файла /compat/linux/etc/host.conf.



Руководство FreeBSD(FreeBSD Handbook)


Проект Русской Документации FreeBSD

Распространение и использование исходных (SGML DocBook) и 'скомпилированных' форм (SGML, HTML, PDF, PostScript, RTF и прочих) с модификацией или без оной, разрешены при соблюдении следующих соглашений:

Распространяемые копии исходного кода (SGML DocBook) должны сохранять вышеупомянутые объявления copyright, этот список положений и сохранять следующий отказ от права в первых строках этого файла немодифицированным.

Распространяемые копии скомпилированных форм (преобразование в другие DTD, конвертированные в PDF, PostScript, RTF и другие форматы) должны повторять вышеупомянутые объявления copyright, этот список положений и и следующий отказ в документации и/или других материалах, поставляемых с дистрибьюцией.

Важно: ЭТА ДОКУМЕНТАЦИЯ ПОСТАВЛЯЕТСЯ ПРОЕКТОМ ДОКУМЕНТАЦИИ FREEBSD "КАК ЕСТЬ" И ЛЮБЫЕ ЯВНЫЕ ИЛИ НЕЯВНЫЕ ГАРАНТИИ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ НЕЯВНЫМИ ГАРАНТИЯМИ, КОММЕРЧЕСКОЙ ЦЕННОСТИ И ПРИГОДНОСТИ ДЛЯ КОНКРЕТНОЙ ЦЕЛИ ОТРИЦАЮТСЯ. НИ В КОЕМ СЛУЧАЕ РЕГЕНТЫ ИЛИ УЧАСТНИКИ НЕ ДОЛЖНЫ БЫТЬ ОТВЕТСТВЕННЫМИ ЗА ЛЮБОЙ ПРЯМОЙ, КОСВЕННЫЙ, СЛУЧАЙНЫЙ, СПЕЦИАЛЬНЫЙ, ОБРАЗЦОВЫЙ ИЛИ ПОСЛЕДУЮЩИЙ УЩЕРБЫ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ПОСТАВКОЙ ТОВАРОВ ЗАМЕНЫ ИЛИ УСЛУГ; ПОТЕРЮ ДАННЫХ ИЛИ ИХ НЕПРАВИЛЬНУЮ ПЕРЕДАЧУ ИЛИ ПОТЕРИ; ПРИОСТАНОВЛЕНИЕ БИЗНЕСА), И ТЕМ НЕ МЕНЕЕ ВЫЗВАННЫЕ И В ЛЮБОЙ ТЕОРИИ ОТВЕТСТВЕННОСТИ, НЕЗАВИСИМО ОТ КОНТРАКТНОЙ, СТРОГОЙ ОТВЕТСТВЕННОСТИ, ИЛИ ПРАВОНАРУШЕНИИ (ВКЛЮЧАЯ ХАЛАТНОСТЬ ИЛИ ИНЫМ СПОСОБОМ), ВОЗНИКШЕМ ЛЮБЫМ ПУТЕМ ПРИ ИСПОЛЬЗОВАНИИ ЭТОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ДАЖЕ ЕСЛИ БЫ БЫЛО СООБЩЕНО О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА.

FreeBSD это зарегистрированная торговая марка Wind River Systems, Inc. Ожидается, что в скором времени это изменится.

3Com и HomeConnect это зарегистрированные торговые марки 3Com Corporation.

3ware и Escalade это зарегистрированные торговые марки 3ware Inc.

ARM это зарегистрированная торговая марка ARM Limited.

Adaptec это зарегистрированная торговая марка Adaptec, Inc.

Adobe, Acrobat, Acrobat Reader, и PostScript это или зарегистрированные торговые марки или торговые марки Adobe Systems Incorporated в Соединенных Штатах и/или других странах.


Netscape и Netscape Navigator это зарегистрированные торговые марки Netscape Communications Corporation в США и других странах.

GateD и NextHop это зарегистрированные и незарегистрированные торговые марки NextHop в США и других странах.

Motif, OSF/1, и UNIX это зарегистрированные торговые марки, а IT DialTone и The Open Group это торговые марки Open Group в Соединенных Штатах и других странах.

Oracle это зарегистрированная торговая марка Oracle Corporation.

PowerQuest и PartitionMagic это зарегистрированные торговые марки PowerQuest Corporation в Соединенных Штатах и/или других странах.

RealNetworks, RealPlayer, и RealAudio это зарегистрированные торговые марки RealNetworks, Inc.

Red Hat, RPM, это торговые марки или зарегистрированные торговые марки Red Hat, Inc. в Соединенных Штатах и других странах.

SAP, R/3, и mySAP это торговые марки или зарегистрированные торговые марки SAP AG в Германии и нескольких других странах по всему миру.

Sun, Sun Microsystems, Java, Java Virtual Machine, JavaServer Pages, JDK, JSP, JVM, Netra, Solaris, StarOffice, Sun Blade, Sun Enterprise, Sun Fire, SunOS, и Ultra это торговые марки или зарегистрированные торговые марки Sun Microsystems, Inc. в Соединенных Штатах и других странах.

Symantec и Ghost это зарегистрированные торговые марки Symantec Corporation в Соединенных Штатах и других странах.

MATLAB это зарегистрированная торговая марки MathWorks, Inc.

SpeedTouch это торговая марка Thomson

U.S. Robotics и Sportster это зарегистрированные торговые марки U.S. Robotics Corporation.

VMware это торговая марка VMware, Inc.

Waterloo Maple и Maple это торговые марки или зарегистрированные торговые марки Waterloo Maple Inc.

Mathematica это зарегистрированная торговая марки Wolfram Research, Inc.

XFree86 это торговая марка XFree86 Project, Inc.

Ogg Vorbis и Xiph.Org это торговые марки Xiph.Org.

Многие из обозначений, используемые производителями и продавцами для обозначения своих продуктов, заявляются в качестве торговых марок.Когда такие обозначения появляются в этом документе, и Проекту FreeBSD известно о торговой марке, к обозначению добавляется знак ``™'' или ``®''.


Русский язык (кодировка KOI8-R)


Первоначально предоставил Andrey A. Chernov.

За дополнительной информацией о кодировке KOI8-R, обращайтесь к странице KOI8-R References (Russian Net Character Set).



Учетная запись Oracle


Создайте специальную учетную запись oracle, как и любую другую учетную запись. Единственное отличие в том, что для oracle необходимо указать командный интерпретатор Linux. Добавьте /compat/linux/bin/bash в /etc/shells

и установите для oracle командный интерпретатор /compat/linux/bin/bash.



Установка


Бинарная совместимость с Linux не включена по умолчанию. Простейший способ включения этой функциональности заключается в загрузке KLD объекта linux

(``Kernel LoaDable object''). Вы можете загрузить этот модуль, просто набрав linux в командной строке.

Если вы хотите, чтобы совместимость с Linux была включена постоянно, необходимо добавить в /etc/rc.conf следующую строку:

linux_enable="YES"

Для проверки того, загружен ли KLD, может быть использована команда kldstat(8):

% kldstat

Id Refs Address Size Name 1 2 0xc0100000 16bdb8 kernel 7 1 0xc24db000 d000 linux.ko

Если по какой-либо причине вы не хотите или не можете загрузить KLD, то вы можете статически включить поддержку Linux в ядро посредством опции options COMPAT_LINUX в файле конфигурации ядра. Затем соберите и проинсталлируйте новое ядро, следуя описанию в .



Установка библиотек вручную


Если у вас нет установленной коллекции портов, можно установить требуемые библиотеки вручную. Вам понадобятся разделяемые библиотеки для Linux, которые нужны программам, и runtime-компоновщик. Вам также потребуется создать ``теневой корень'': директорию /compat/linux, где будут расположены Linux библиотеки. Если нужно загрузить какую-либо разделяемую библиотеку, FreeBSD сперва будет пытаться найти ее в этом дереве. Так, если программа загружает, например, /lib/libc.so, FreeBSD попытается открыть /compat/linux/lib/libc.so, и если такого файла не существует, будет пытаться открыть /lib/libc.so. Разделяемые библиотеки должны находиться в теневом дереве, а не в пути, сообщаемым командой Linux ld.so.

По мере работы с различными Linux программами, у вас будет накапливаться некий базовый набор библиотек, которого будет достаточно для большинства существующих Linux приложений.



Установка Linux ELF исполняемых файлов


Для ELF программ иногда требуется сделать так называемый ``branding''. Если при попытке запустить ELF-файл, Вы получаете следующее сообщение об ошибке:

% ./linux-elf-программа

ELF binary type not known Abort

то нужно изменить тип исполняемого файла, чтобы ядро FreeBSD правильно определило, что это Linux программа. Это можно сделать при помощи утилиты brandelf(1):

% brandelf -t Linux linux-elf-программа

В настоящее время GNU toolchain помещает необходимую информацию в исполняемые файлы ELF автоматически, поэтому необходимость в этом действии случается все реже и реже, и в недалеком будущем вы вряд ли прибегнете к нему вообще.



Установка Mathematica®


Обновил для Mathematica 4.X Murray Stokely. Объединено с работой Bojan Bistrovic.

Ниже описано, как установить Linux версию пакета Mathematica® 4.X на систему FreeBSD.

Linux версия Mathematica

отлично работает под FreeBSD, однако исполняемые файлы, поставляемые Wolfram, должны быть модифицированы утилитой brandelf(1), чтобы FreeBSD знала о необходимости использования Linux ABI для их выполнения.

Linux версия пакета Mathematica или Mathematica для студентов может быть заказана непосредственно через Wolfram по адресу .



Установка необходимых Linux библиотек


Установить все требуемые библиотеки можно двумя путями: либо используя порт linux_base, либо установив их вручную.



Установка Oracle


Из-за небольшой несовместимости с Linux эмулятором, вам нужно будет создать подкаталог .oracle в каталоге /var/tmp прежде, чем можно будет начать установку. Либо сделайте ее владельцем пользователя oracle, либо поставьте права на запись для всех. Если вы все сделали правильно, то установка Oracle должна пройти без проблем. Если какие-либо трудности все же возникли, проверьте еще раз все конфигурационные файлы и/или целостность дистрибутива Oracle. После окончания установки Oracle

приложите патчи (смотрите следующие два раздела).

Одна из часто возникающих проблем -- неправильно установленный TCP адаптер. В результате, невозможно запустить TCP сервисы. Вот решение проблемы:

# cd $ORACLE_HOME/network/lib

# make -f ins_network.mk ntcontab.o

# cd $ORACLE_HOME/lib

# ar r libnetwork.a ntcontab.o

# cd $ORACLE_HOME/network/lib

# make -f ins_network.mk install

Не забудьте повторно запустить root.sh!



Установка с помощью порта linux_base


Этот метод является самым простым, и мы рекомендуем воспользоваться именно им. Процесс аналогичен установке любого другого порта из . Просто выполните следующие команды:

# cd /usr/ports/emulators/linux_base

# make install distclean

Теперь Вы можете работать с приложениями для Linux. Некоторые программы, возможно, будут сообщать о несоответствии подверсий некоторых системных библиотек. Однако, практически, это не вызывает каких-либо неудобств.

Замечание: Возможно наличие нескольких версий порта emulators/linux_base, соответствующих различным версиям разных дистрибутивов Linux. Вы должны установить порт, наиболее близко соответствующий требованиям приложений Linux, которые будут установлены.



Enterprise Edition для Linux


Ниже описан процесс установки Oracle® 8.0.5 и Oracle 8.0.5. 1 Enterprise Edition для Linux на систему FreeBSD.

Запуск Oracle


Теперь, если вы все сделали правильно, то можете использовать Oracle так же, как и в системе Linux.