diff --git a/zh_CN.GB2312/books/handbook/kernelconfig/chapter.sgml b/zh_CN.GB2312/books/handbook/kernelconfig/chapter.sgml
index 027087371b..b32a9135b4 100644
--- a/zh_CN.GB2312/books/handbook/kernelconfig/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/kernelconfig/chapter.sgml
@@ -1,1316 +1,1316 @@
Jim
Mock
Updated and restructured by
Jake
Hamby
Originally contributed by
配置FreeBSD的内核
概述
内核
建立一个定制的内核
内核是 &os; 操作系统的核心。 它负责管理内存、 执行安全控制、
网络、 磁盘访问等等。 尽管 &os; 可以动态修改的现在已经越来越多,
但有时您还是需要重新配置和编译您的内核。
读完这章,您将了解:
为什么需要建立定制的内核。
如何编写内核配置文件,或修改已存在的配置文件。
如何使用内核配置文件创建和联编新的内核。
如何安装新内核。
如何处理出现的问题。
这一章给出的命令应该以 root 身份执行,
否则可能会不成功。
为什么需要建立定制的内核?
过去, &os; 采用称作 单片式
的内核。
这句话的意思是说内核是一个大的程序, 支持固定的设备,
如果您希望改变内核的行为则必须编译一个新的,
并重新启动计算机来引导它。
今天, &os; 已经迅速地转移到了一个新的模型,
其重要特征是内核功能可以由能够根据需要动态加载和卸载的模块来提供。
这使得内核能够迅速地适应硬件的调整 (例如笔记本电脑的 PCMCIA),
或为内核增加在最初编译它时所不具备的新的功能。
这一模式成为模块化内核。
尽管如此, 一些功能仍然需要静态地连编进内核。
一些情况是因为这些功能于内核的结合十分紧密,
而不可能将它们做成可以动态加载的。
另一种情况是因为没有人有时间来编写实现那个功能的可以动态加载的内核模块。
建造定制的内核是几乎每一个 BSD 用户所必须经历的一关。
尽管这项工作可能比较耗时, 但它能够为使用 &os; 系统带来很多好处。
与必须支持大量各式硬件的 GENERIC
内核不同, 定制的内核可以只包含对于
您的 PC 硬件的支持。
这有很多好处, 例如:
更快地启动。 因为内核只需要检测您系统上的硬件,
启动时所花费的时间将大大缩短。
使用更少的内存。 定制的内核通常会比
GENERIC 内核使用更少的内存,
由于内核必须时刻处于物理内存中, 因此这就显得更加重要。
基于这样的原因, 对于内存较小的系统来说,
定制内核将发挥更大的作用。
支持更多的硬件。 定制的内核允许您增加类似声卡这样的
GENERIC 内核没有提供内建支持的硬件。
Tom
Rhodes
作者
发现系统硬件
在尝试配置内核以前,比较明智的做法是先获得一份机器硬件的清单。
当 &os; 并不是主操作系统时,通过查看当前操作系统的配置可以很容易的
创建一份机器硬件的配置清单。举例来说, µsoft; 的
设备管理器 里通常含有关于已安装硬件的重要信息。
设备管理器 位于控制面板。
某些版本的 µsoft.windows; 有一个 系统
图标会指明 设备管理器 的位置。
如果机器上并不存在其他的操作系统,
系统管理员只能手动寻找这些信息了。其中的一个方法是使用
&man.dmesg.8; 工具以及 &man.man.1; 命令。&os;
上大多数的驱动程序都有一份手册页(manual page)列出了所支持的硬件,
在系统启动的时候,被发现的硬件也会被列出。举例来说,
下面的这几行表示 psm 驱动找到了一个鼠标:
psm0: <PS/2 Mouse> irq 12 on atkbdc0
psm0: [GIANT-LOCKED]
psm0: [ITHREAD]
psm0: model Generic PS/2 mouse, device ID 0
这个驱动需要被包含在客户制定的内核配置文件里,
或着使用 &man.loader.conf.5; 加载。
有时,dmesg 里只会显示来自系统消息的数据,
而不是系统启动时的检测信息。在这样的情况下,你可以查看文件
/var/run/dmesg.boot。
另一个查找硬件信息的方法是使用 &man.pciconf.8; 工具,
它能提供更详细的输出,比如:
ath0@pci0:3:0:0: class=0x020000 card=0x058a1014 chip=0x1014168c rev=0x01 hdr=0x00
vendor = 'Atheros Communications Inc.'
device = 'AR5212 Atheros AR5212 802.11abg wireless'
class = network
subclass = ethernet
这个片断取自于 pciconf
命令的输出,显示 ath
驱动找到了一个无线以太网设备。输入命令
man ath
就能查阅有关 &man.ath.4; 的手册页(manual page)了。
还可以传给 &man.man.1; 命令 选项,
同样能获得有用的信息。例如:
&prompt.root; man -k Atheros
能得到一份包含特定词语的手册页(manual page):
ath(4) - Atheros IEEE 802.11 wireless network driver
ath_hal(4) - Atheros Hardware Access Layer (HAL)
手头备有一份硬件的配置清单,
那么编译制定内核的过程就显得不那么困难了。
建立并安装一个定制的内核
内核
建立/安装
首先对内核构建目录做一个快速的浏览。
这里所提到的所有目录都在
/usr/src/sys 目录中; 也可以通过
/sys 来访问它。
这里的众多子目录包含了内核的不同部分,
但对我们所要完成的任务最重要的目录是
arch/conf,
您将在这里编辑定制的内核配置; 以及
compile, 编译过程中的文件将放置在这里。
arch 表示
i386、 alpha、
amd64、 ia64、
powerpc、 sparc64, 或
pc98 (在日本比较流行的另一种
PC 硬件开发分支)。 在特定硬件架构目录中的文件只和特定的硬件有关;
而其余代码则是与机器无关的, 则所有已经或将要移植并运行 &os;
的平台上都共享这些代码。
文件目录是按照逻辑组织的, 所支持的硬件设备、
文件系统, 以及可选的组件通常都在它们自己的目录中。
这一章提供的例子假定您使用 i386 架构的计算机。
如果您的情况不是这样, 只需对目录名作相应的调整即可。
如果您的系统中 没有
/usr/src/sys 这样一个目录,
则说明没有安装内核源代码。 安装它最简单的方法是通过以 root 身份运行
sysinstall, 选择
Configure, 然后是
Distributions、
src, 选中其中的
base 和
sys。 如果您不喜欢
sysinstall 并且有一张
官方的
&os; CDROM, 也可以使用下列命令,
从命令行来安装源代码:
&prompt.root; mount /cdrom
&prompt.root; mkdir -p /usr/src/sys
&prompt.root; ln -s /usr/src/sys /sys
&prompt.root; cat /cdrom/src/ssys.[a-d]* | tar -xzvf -
&prompt.root; cat /cdrom/src/sbase.[a-d]* | tar -xzvf -
接下来, 进入 arch/conf
目录下面, 复制 GENERIC 配置文件,
并给这个文件起一个容易辨认的名称, 它就是您的内核名称。例如:
&prompt.root; cd /usr/src/sys/i386/conf
&prompt.root; cp GENERIC MYKERNEL
通常,这个名称是大写的,如果您正维护着多台不同硬件的&os;机器,
以您机器的域名来命名是非常好的主意。我们把它命名为MYKERNEL就是这个原因。
将您的内核配置文件直接保存在
/usr/src 可能不是一个好主意。
如果您遇到问题, 删掉
/usr/src 并重新开始很可能是一个诱人的选择。
一旦开始做这件事,
您可能几秒钟之后才会意识到您同时会删除定制的内核配置文件。
另外, 也不要直接编辑 GENERIC,
因为下次您
更新代码 时它会被覆盖,
而您的修改也就随之丢失了。
您也可以考虑把内核配置文件放到别的地方,
然后再到 i386
目录中创建一个指向它的符号链接。
例如:
&prompt.root; cd /usr/src/sys/i386/conf
&prompt.root; mkdir /root/kernels
&prompt.root; cp GENERIC /root/kernels/MYKERNEL
&prompt.root; ln -s /root/kernels/MYKERNEL
必须以 root 身份执行这些和接下来命令,
否则就会得到 permission denied 的错误提示。
现在就可以用您喜欢的文本编辑器来编辑 MYKERNEL 了。
如果您刚刚开始使用 FreeBSD, 唯一可用的编辑器很可能是
vi, 它的使用比较复杂, 限于篇幅,
这里不予介绍, 您可以在 参考书目 一章中找到很多相关书籍。
不过, &os; 也提供了一个更好用的编辑器,
它叫做 ee, 对于新手来说,
这很可能是一个不错的选择。
您可以修改配置文件中的注释以反映您的配置,
或其他与 GENERIC 不同的地方。
SunOS
如果您在&sunos;或者其他BSD系统下定制过内核,那这个文件中的绝大部分将对您非常熟悉。
如果您使用的是诸如DOS这样的系统,那GENERIC配置文件看起来就非常困难,
所以在下面的 配置文件章节将慢慢地、仔细地进行介绍。
如果您和 &os; project 进行了 代码同步,
则一定要在进行任何更新之前查看
/usr/src/UPDATING。
这个文件中描述了更新过的代码中出现的重大问题或需要注意的地方。
/usr/src/UPDATING 总是和您的
&os; 源代码对应, 因此能够提供比手册更具时效性的新内容。
现在应该编译内核的源代码了。
联编内核
进入 /usr/src 目录:
&prompt.root; cd /usr/src
编译内核:
&prompt.root; make buildkernel KERNCONF=MYKERNEL
安装新内核:
&prompt.root; make installkernel KERNCONF=MYKERNEL
使用这种方法联编内核时, 需要安装完整的 &os; 源代码。
默认情况下, 在联编您所定制的内核时,
全部 内核模块也会同时参与构建。
如果您希望更快地升级内核, 或者只希望联编您所需要的模块,
则应在联编之前编辑 /etc/make.conf:
MODULES_OVERRIDE = linux acpi sound/sound sound/driver/ds1 ntfs
这个变量的内容是所希望构建的模块列表。
WITHOUT_MODULES = linux acpi sound/sound sound/driver/ds1 ntfs
这个变量的内容是在联编过程中将不被编译的模块列表。
如果希望了解更多与构建内核有关的变量, 请参见 &man.make.conf.5;
联机手册。
/boot/kernel.old
新内核将会被复制到 /boot/kernel 目录中成为
/boot/kernel/kernel 而旧的则被移到
/boot/kernel.old/kernel。
现在关闭系统, 然后用新的内核启动计算机。 如果出现问题,
后面的一些 故障排除方法
将帮您摆脱困境。 如果您的内核 无法启动, 请参考那一节。
其他与启动过程相关的文件, 如
&man.loader.8; 及其配置, 则放在
/boot。 第三方或定制的模块也可以放在
/boot/kernel,
不过应该注意保持模块和内核的同步时很重要的,
否则会导致不稳定和错误。
Joel
Dahl
Updated for &os; 6.X by
配置文件
内核
NOTES
NOTES
内核
配置文件
配置文件的格式是非常简单的。
每一行都包括一个关键词, 以及一个或多个参数。
实际上, 绝大多数行都只包括一个参数。
在 # 之后的内容会被认为是注释而忽略掉。
接下来几节, 将以 GENERIC 中的顺序介绍所有关键字。
如果需要与平台有关的选项和设备的详细列表,
请参考与 GENERIC 文件在同一个目录中的那个
NOTES,
而平台无关的选项, 则可以在
/usr/src/sys/conf/NOTES
找到。
如果您需要一份包含所有选项的文件,
例如用于测试目的, 则应以 root 身份执行下列命令:
&prompt.root; cd /usr/src/sys/i386/conf && make LINT
内核
配置文件
下面是一个 GENERIC
内核配置文件的例子, 它包括了一些需要解释的注释。
这个例子应该和您复制的
/usr/src/sys/i386/conf/GENERIC
非常接近。
内核选项
机器
machine i386
这是机器的架构, 他只能是
alpha, amd64,
i386, ia64,
pc98, powerpc, 或
sparc64 中的一种。
内核选项
cpu
cpu I486_CPU
cpu I586_CPU
cpu I686_CPU
上面的选项指定了您系统中所使用的 CPU 类型。
您可以使用多个 CPU 类型 (例如,
您不确定是应该指定
I586_CPU 或 I686_CPU)。
然而对于定制的内核, 最好能够只指定您使用的那种 CPU。
如果您对于自己使用的 CPU 类型没有把握, 可以通过查看
/var/run/dmesg.boot 中的启动信息来了解。
内核选项
ident
ident GENERIC
这是内核的名字。 您应该取一个自己的名字,
例如取名叫 MYKERNEL,
如果您一直在按照前面的说明做的话。
您放在
ident 后面的字符串在启动内核时会显示出来,
因此如果希望能够容易区分常用的内核和刚刚定制的内核,
就应该采取不同的名字 (例如, 您想定制一个试验性的内核)。
#To statically compile in device wiring instead of /boot/device.hints
#hints "GENERIC.hints" # Default places to look for devices.
&man.device.hints.5; 可以用来配置设备驱动选项。
在启动的时候 &man.loader.8; 将会检查缺省位置 /boot/devicehints。
使用 hints 选项您就可以把这些 hints 静态编译进内核。
这样就没有必要在
/boot下创建devicehints。
makeoptions DEBUG=-g # Build kernel with gdb(1) debug symbols
一般的 &os; 联编过程, 在所联编的内核指定了 选项时,
由于此选项将传递给 &man.gcc.1; 表示加入调试信息,
因此会将调试符号也包含进来。
options SCHED_4BSD # 4BSD scheduler
这是 &os; 传统上使用的默认系统调度器。 请保留此选项。
options PREEMPTION # Enable kernel thread preemption
允许内核线程根据优先级的抢占调度。 这有助于改善交互性,
并可以让中断线程更早地执行, 而无须等待。
options INET # InterNETworking
网络支持,即使您不打算连网,也请保留它,大部分的程序至少需要回环网络(就是和本机进行网络连接),所以强烈要求保留它。
options INET6 # IPv6 communications protocols
这将打开IPv6连接协议。
options FFS # Berkeley Fast Filesystem
这是最基本的硬盘文件系统,如果打算从本地硬盘启动,请保留它。
options SOFTUPDATES # Enable FFS Soft Updates support
这个选项会启用内核中的 Soft Updates 支持,
它会显著地提高磁盘的写入速度。 尽管这项功能是由内核直接提供的,
但仍然需要在每个磁盘上启用它。 请检查 &man.mount.8; 的输出,
以了解您系统中的磁盘上是否已经启用了 Soft Updates。
如果没有看到 soft-updates 选项,
则需要使用 &man.tunefs.8; (对于暨存系统)
或 &man.newfs.8; (对于新系统) 命令来激活它。
options UFS_ACL # Support for access control lists
这个选项将启用内核中的访问控制表的支持。
这依赖于扩展属性以及 UFS2,
以及在 中所介绍的那些特性。
ACL 默认是启用的,
并且如果已经在文件系统上使用了这一特性,
就不应再关掉它, 因为这会去掉文件的访问控制表,
并以不可预期的方式改变受保护的文件的访问方式。
options UFS_DIRHASH # Improve performance on big directories
通过使用额外的内存,这个选项可以加速在大目录上的磁盘操作。
您应该在大型服务器和频繁使用的工作站上打开这个选项,而在磁盘操作不是很重要的
小型系统上关闭它,比如防火墙。
options MD_ROOT # MD is a potential root device
这个选项将打开以基于内存的虚拟磁盘作为根设备的支持。
内核选项
NFS
内核选项
NFS_ROOT
options NFSCLIENT # Network Filesystem Client
options NFSSERVER # Network Filesystem Server
options NFS_ROOT # NFS usable as /, requires NFSCLIENT
网络文件系统。 如果您不打算通过 TCP/IP 挂接
&unix; 文件服务器的分区, 就可以注释掉它。
内核选项
MSDOSFS
options MSDOSFS # MSDOS Filesystem
&ms-dos; 文件系统。 只要您不打算在启动时挂接由 DOS 格式化的硬盘分区,
就可以把它注释掉。
如前面所介绍的那样, 在您第一次挂接 DOS 分区时,
内核会自动加载需要的模块。 此外,
emulators/mtools
软件提供了一个很方便的功能,
通过它您可以直接访问 DOS 软盘而无需挂接或卸下它们
(而且也完全不需要 MSDOSFS)。
options CD9660 # ISO 9660 Filesystem
用于 CDROM 的 ISO 9660 文件系统。 如果没有 CDROM
驱动器或很少挂接光盘数据 (因为在首次使用数据 CD 时会自动加载),
就可以把它注释掉。 音乐 CD 并不需要这个选项。
options PROCFS # Process filesystem (requires PSEUDOFS)
进程文件系统。 这是一个挂接在 /proc
的一个 假扮的
文件系统, 其作用是允许类似 &man.ps.1;
这样的程序给出正在运行的进程的进一步信息。 多数情况下,
并不需要使用 PROCFS, 因为绝大多数调试和监控工具,
已经进行了一系列修改, 使之不再依赖
PROCFS: 默认安装的系统中并不会挂接这一文件系统。
options PSEUDOFS # Pseudo-filesystem framework
在 6.X 内核中,
如果希望使用 PROCFS,
就必须加入 PSEUDOFS 的支持。
options GEOM_GPT # GUID Partition Tables.
这个选项提供了在磁盘上使用大量的分区的能力。
options COMPAT_43 # Compatible with BSD 4.3 [KEEP THIS!]
使系统兼容4.3BSD。不要去掉这一行,不然有些程序将无法正常运行。
options COMPAT_FREEBSD4 # Compatible with &os;4
为了支持在旧版本的&os;下编译的程序,该选项在&os; 5.X &i386;和Alpha systems下需要打开。
最好在所有的&i386;和Alpha systems下打开这个选项,因为可能要运行老应用程序。
在5.X才开始支持的平台,比如ia64和&sparc64;,就不需要这个选项。
options COMPAT_FREEBSD5 # Compatible with &os;5
对于 &os; 6.X 和更高版本而言, 如果希望在其上运行为 &os; 5.X
版本联编的、 用到 &os; 5.X 系统调用接口的程序, 则需要使用这个选项。
options SCSI_DELAY=5000 # Delay (in ms) before probing SCSI
这将让内核在探测每个 SCSI 设备之前等待 5 秒。
如果您只有 IDE 硬盘驱动器, 就可以不管它,
反之您可能会希望尝试降低这个数值以加速启动过程。
当然, 如果您这么做之后
&os; 在识别您的 SCSI 设备时遇到问题,
则您还需要再把它改回去。
options KTRACE # ktrace(1) support
这个选项打开内核进程跟踪,在调试时很有用。
options SYSVSHM # SYSV-style shared memory
提供System V共享内存(SHM)的支持,最常用到SHM的应该是X Window的XSHM延伸,
不少绘图相关程序会自动使用SHM来提供额外的速度。如果您要使用X Window,您最好加入这个选项。
options SYSVMSG # SYSV-style message queues
支持 System V 消息。 这只会在内核中增加数百字节的空间占用。
options SYSVSEM # SYSV-style semaphores
支持System V 信号量, 不常用到, 但只在kernel中占用几百个字节的空间。
&man.ipcs.1; 命令的 选项可以显示出任何用到这些
System V 机制的进程。
options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
在 1993 年 &posix; 添加的实时扩展。 在 Ports Collection 中某些应用程序会用到这些
(比如&staroffice;)。
options KBD_INSTALL_CDEV # install a CDEV entry in /dev
这个选项是在 /dev下建立键盘设备节点必需的。
options ADAPTIVE_GIANT # Giant mutex is adaptive.
内核全局锁 (Giant) 是一种互斥机制 (休眠互斥体) 的名字,
它用于保护许多内核资源。 现在, 这已经成为了一种无法接受的性能瓶颈,
它已经被越来越多地使用保护单个资源的锁代替。
ADAPTIVE_GIANT 选项将使得内核全局锁作为一种自适应自旋锁。
这意味着, 当有线程希望锁住内核全局锁互斥体, 但互斥体已经被另一个 CPU
上的线程锁住的时候, 它将继续运行, 直到那个线程释放锁为止。
一般情况下, 另一个线程将进入休眠状态并等待下一次调度。
如果您不确定是否应该这样做的话, 一般应该打开它。
请注意在 &os; 8.0-CURRENT 及以后的版本,所有的互斥体默认都是自适应的,
除非在编译时使用 NO_ADAPTIVE_MUTEXES 选项,
明确的指定为非自适应。因此,内核全局锁(Giant)目前默认也是自适应的,
而且 ADAPTIVE_GIANT 选项已经从内核配置文件中移出。
内核选项
SMP
device apic # I/O APIC
apic 设备将启用使用 I/O APIC 作为中断发送设备的能力。
apic 设备可以被 UP 和 SMP 内核使用, 但 SMP 内核必须使用它。
要支持多处理器, 还需要加上 options SMP。
The apic device exists only on the i386 architecture, this
configuration line should not be used on other
architectures.
device eisa
如果您的主机板上有EISA总线,加入这个设置。使用这个选项可以自动扫描并设置所有连接在EISA总线上的设备。
device pci
如果您的主板有PCI总线,就加入这个选项。使用这个选项可以自动扫描PCI卡,并在PCI到ISA之间建立通路。
# Floppy drives
device fdc
这是软驱控制器。
# ATA and ATAPI devices
device ata
这个驱动器支持所有ATA和ATAPI设备。您只要在内核中加入device ata选项,
就可以让内核支持现代计算机上的所有PCI ATA/ATAPI设备。
device atadisk # ATA disk drives
这个是使用 ATAPI 硬盘驱动器时必须加入的选项。
device ataraid # ATA RAID drives
这个选项需要 device ata, 它用于 ATA
RAID 驱动。
device atapicd # ATAPI CDROM drives
这个是ATAPI CDROM驱动器所必须的。
device atapifd # ATAPI floppy drives
这个是ATAPI 软盘驱动器所必须的。
device atapist # ATAPI tape drives
这个是ATAPI 磁带机驱动器所必须的.
options ATA_STATIC_ID # Static device numbering
这指定对控制器使用其静态的编号; 如果没有这个选项,
则会动态地分配设备的编号。
# SCSI Controllers
device ahb # EISA AHA1742 family
device ahc # AHA2940 and onboard AIC7xxx devices
options AHC_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~128k to driver.
device ahd # AHA39320/29320 and onboard AIC79xx devices
options AHD_REG_PRETTY_PRINT # Print register bitfields in debug
# output. Adds ~215k to driver.
device amd # AMD 53C974 (Teckram DC-390(T))
device isp # Qlogic family
#device ispfw # Firmware for QLogic HBAs- normally a module
device mpt # LSI-Logic MPT-Fusion
#device ncr # NCR/Symbios Logic
device sym # NCR/Symbios Logic (newer chipsets + those of `ncr')
device trm # Tekram DC395U/UW/F DC315U adapters
device adv # Advansys SCSI adapters
device adw # Advansys wide SCSI adapters
device aha # Adaptec 154x SCSI adapters
device aic # Adaptec 15[012]x SCSI adapters, AIC-6[23]60.
device bt # Buslogic/Mylex MultiMaster SCSI adapters
device ncv # NCR 53C500
device nsp # Workbit Ninja SCSI-3
device stg # TMC 18C30/18C50
SCSI控制器。可以注释掉您系统中没有的设备。
如果您只有IDE设备,您可以把这些一起删掉。 *_REG_PRETTY_PRINT
这样的配置, 则是对应驱动程序的调试选项。
# SCSI peripherals
device scbus # SCSI bus (required for SCSI)
device ch # SCSI media changers
device da # Direct Access (disks)
device sa # Sequential Access (tape etc)
device cd # CD
device pass # Passthrough device (direct SCSI access)
device ses # SCSI Environmental Services (and SAF-TE)
SSCSI外围设备。也可以像上面一样操作。
目前系统提供的 USB &man.umass.4; 以及少量其它驱动使用了
SCSI 子系统, 尽管它们并不是真的 SCSI 设备。
因此, 如果在内核配置使用了这类驱动程序, 请务必不要删除
SCSI 支持。
# RAID controllers interfaced to the SCSI subsystem
device amr # AMI MegaRAID
device arcmsr # Areca SATA II RAID
device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID
device ciss # Compaq Smart RAID 5*
device dpt # DPT Smartcache III, IV - See NOTES for options
device hptmv # Highpoint RocketRAID 182x
device rr232x # Highpoint RocketRAID 232x
device iir # Intel Integrated RAID
device ips # IBM (Adaptec) ServeRAID
device mly # Mylex AcceleRAID/eXtremeRAID
device twa # 3ware 9000 series PATA/SATA RAID
# RAID controllers
device aac # Adaptec FSA RAID
device aacp # SCSI passthrough for aac (requires CAM)
device ida # Compaq Smart RAID
device mfi # LSI MegaRAID SAS
device mlx # Mylex DAC960 family
device pst # Promise Supertrak SX6000
device twe # 3ware ATA RAID
支持RAID控制器。如果您没有这些,可以把它们注释掉或是删掉。
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
键盘控制器(atkbdc)提供AT键盘输入以及PS/2指针设备的I/O服务。
键盘驱动程序(atkbd)与PS/2鼠标驱动程序(psm)需要这个控制器,所以不要删除它。
device atkbd # AT keyboard
atkbd驱动程序,与atkbdc控制器一起使用,
提供连接到AT键盘控制器的AT 84键盘与AT加强型键盘的访问服务。
device psm # PS/2 mouse
如果您的鼠标连接到PS/2鼠标端口,就使用这个设备驱动程序。
device kbdmux # keyboard multiplexer
针对键盘多路选择器的基本支持。 如果您不打算使用多个键盘,
则可以放心地删除这一行。
device vga # VGA video card driver
显卡驱动。
device splash # Splash screen and screen saver support
启动时的 splash 画面! 屏幕保护程序也需要这一选项。
# syscons is the default console driver, resembling an SCO console
device sc
sc 是默认的控制台驱动程序, 类似 SCO 控制台。
由于绝大部分全屏幕程序都通过类似
termcap 这样的终端数据库函数库赖访问控制台,
因此无论您使用这个或与 VT220 兼容的
vt 都没有什么关系。
如果您在运行这种控制台时使用全屏幕程序时发生问题, 请在登录之后将
TERM 变量设置为 scoansi。
# Enable this for the pcvt (VT220 compatible) console driver
#device vt
#options XSERVER # support for X server on a vt console
#options FAT_CURSOR # start with block cursor
这是一个兼容 VT220 的控制台驱动, 它同时能够向下兼容
VT100/102。 在同 sc
硬件不兼容的一些笔记本上它能够运行的很好。
当然, 登录系统时请把
TERM 变量设置为 vt100 或
vt220。
此驱动在连接网络上大量不同的机器时也被证明非常有用,
因为此时 termcap 或
terminfo 通常没有可用的
sc 设备 — 而 vt100
则几乎每种平台都支持。
device agp
如果您的机器使用 AGP 卡, 请把上面一行加入配置。
这将启用 AGP, 以及某些卡上的 AGP GART 支持。
APM
# 电源管理支持 (参见 NOTES 了解更多选项)
#device apm
高级电源管理支持。 对笔记本有用,
不过在 &os; 5.X 和更高版本中的
GENERIC 里默认禁用。
# 增加 i8254 的 挂起/恢复 支持。
device pmtimer
用于电源管理事件, 例如 APM 和 ACPI 的时钟设备驱动。
# PCCARD (PCMCIA) support
# PCMCIA and cardbus bridge support
device cbb # cardbus (yenta) bridge
device pccard # PC Card (16-bit) bus
device cardbus # CardBus (32-bit) bus
PCMCIA支持。如果您使用膝上型计算机,您需要这个。
# Serial (COM) ports
device sio # 8250, 16[45]50 based serial ports
这些串口在 &ms-dos;/&windows; 的世界中称为
COM 口。
如果使用内置式的调制解调器, 并占用 COM4
而您另有一个串口在 COM2, 则必须把调制解调器的
IRQ 改为 2 (由于晦涩的技术原因,
IRQ2 = IRQ 9) 才能够在 &os; 中访问它。
如果有多口的串口卡, 请参考 &man.sio.4; 以了解需要在
/boot/device.hints 中进行的设置。
某些显卡 (特别是基于 S3 芯片的卡) 使用形如 0x*2e8
的 IO 地址, 而许多廉价的串口卡不能够正确地对 16-位
IO 地址空间进行解码, 因此它们会产生冲突,
并造成 COM4 实际上无法使用。
每一个串口都需要有一个唯一的 IRQ (除非您使用支持中断分享的串口卡),
因此默认的 COM3
和 COM4 IRQ 是不能使用的。
# Parallel port
device ppc
ISA-bus并行接口。
device ppbus # Parallel port bus (required)
提供并行总线的支持。
device lpt # Printer
提供并口打印机的支持。
要使用并口打印机,就必须同时加入上面三行设置。
device plip # TCP/IP over parallel
这是针对并行网络接口的驱动器。
device ppi # Parallel port interface device
普通用途的I/O (geek port
) + IEEE1284 I/O.
#device vpo # Requires scbus and da
zip drive
这是针对Iomega Zip驱动器的。它要求scbus和da的支持。
最好的执行效果是工作在EPP 1.9模式。
#device puc
如果您有由 &man.puc.4; 支持的 哑
串行或并行 PCI 卡, 则应去掉这一行的注释。
# PCI Ethernet NICs.
device de # DEC/Intel DC21x4x (Tulip
)
device em # Intel PRO/1000 adapter Gigabit Ethernet Card
device ixgb # Intel PRO/10GbE Ethernet Card
device txp # 3Com 3cR990 (Typhoon
)
device vx # 3Com 3c590, 3c595 (Vortex
)
多种PCI网卡驱动器。注释或删除您系统中没有的设备.
# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device miibus # MII bus support
MII总线支持对于一些PCI 10/100 Ethernet NIC来说是必需的。
device bce # Broadcom BCM5706/BCM5708 Gigabit Ethernet
device bfe # Broadcom BCM440x 10/100 Ethernet
device bge # Broadcom BCM570xx Gigabit Ethernet
device dc # DEC/Intel 21143 and various workalikes
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device lge # Level 1 LXT1001 gigabit ethernet
device msk # Marvell/SysKonnect Yukon II Gigabit Ethernet
device nge # NatSemi DP83820 gigabit ethernet
device nve # nVidia nForce MCP on-board Ethernet Networking
device pcn # AMD Am79C97x PCI 10/100 (precedence over 'lnc')
device re # RealTek 8139C+/8169/8169S/8110S
device rl # RealTek 8129/8139
device sf # Adaptec AIC-6915 (Starfire
)
device sis # Silicon Integrated Systems SiS 900/SiS 7016
device sk # SysKonnect SK-984x & SK-982x gigabit Ethernet
device ste # Sundance ST201 (D-Link DFE-550TX)
device stge # Sundance/Tamarack TC9021 gigabit Ethernet
device ti # Alteon Networks Tigon I/II gigabit Ethernet
device tl # Texas Instruments ThunderLAN
device tx # SMC EtherPower II (83c170 EPIC
)
device vge # VIA VT612x gigabit ethernet
device vr # VIA Rhine, Rhine II
device wb # Winbond W89C840F
device xl # 3Com 3c90x (Boomerang
, Cyclone
)
使用MII总线控制器代码的驱动器。
# ISA Ethernet NICs. pccard NICs included.
device cs # Crystal Semiconductor CS89x0 NIC
# 'device ed' requires 'device miibus'
device ed # NE[12]000, SMC Ultra, 3c503, DS8390 cards
device ex # Intel EtherExpress Pro/10 and Pro/10+
device ep # Etherlink III based cards
device fe # Fujitsu MB8696x based cards
device ie # EtherExpress 8/16, 3C507, StarLAN 10 etc.
device lnc # NE2100, NE32-VL Lance Ethernet cards
device sn # SMC's 9000 series of Ethernet chips
device xe # Xircom pccard Ethernet
# ISA devices that use the old ISA shims
#device le
ISA 以太网卡驱动。 参见
/usr/src/sys/i386/conf/NOTES
以了解关于哪个驱动程序能够驱动您的网卡的细节。
# Wireless NIC cards
device wlan # 802.11 support
通用 802.11 支持。 这行配置是无线网络所必需的。
device wlan_wep # 802.11 WEP support
device wlan_ccmp # 802.11 CCMP support
device wlan_tkip # 802.11 TKIP support
针对 802.11 设备的加密支持。 如果希望使用加密和 802.11i 安全协议,
就需要这些配置行。
device an # Aironet 4500/4800 802.11 wireless NICs.
device ath # Atheros pci/cardbus NIC's
device ath_hal # Atheros HAL (Hardware Access Layer)
device ath_rate_sample # SampleRate tx rate control for ath
device awi # BayStack 660 and others
device ral # Ralink Technology RT2500 wireless NICs.
device wi # WaveLAN/Intersil/Symbol 802.11 wireless NICs.
#device wl # Older non 802.11 Wavelan wireless NIC.
用以支持多种无线网卡。
# Pseudo devices
device loop # Network loopback
这是 TCP/IP 的通用回环设备。 如果您 telnet
或 FTP 到 localhost (也就是 127.0.0.1) 则将通过这个设备回到本机。
这个设备是 必需的。
device random # Entropy device
Cryptographically secure random number generator.
device ether # Ethernet support
ether 只有在使用以太网卡时才需要。
它包含了通用的以太网协议代码。
device sl # Kernel SLIP
sl 用以提供 SLIP 支持。
目前它几乎已经完全被 PPP 取代了, 因为后者更容易配置,
而且更适合调制解调器之间的连接, 并提供了更强大的功能。
device ppp # Kernel PPP
这一选项用以提供内核级的 PPP 支持, 用于拨号连接。
也有以用户模式运行的 PPP 实现, 使用
tun 并提供包括按需拨号在内的更为灵活的功能。
device tun # Packet tunnel.
它会被用户模式的 PPP 软件用到。
参考本书的 PPP 以了解更多的细节。
device pty # Pseudo-ttys (telnet etc)
这是一个 pseudo-terminal
或模拟登入端口。
它用来接收连入的 telnet 以及
rlogin 会话、
xterm, 以及一些其它程序如
Emacs 等。
device md # Memory disks
内存盘伪设备。
device gif # IPv6 and IPv4 tunneling
它实现了在 IPv4 上的 IPv6 隧道、 IPv6 上的 IPv4 隧道、
IPv4 上的 IPv4 隧道、 以及IPv6 上的 IPv6隧道。
gif 设备是
自动克隆
的, 它会根据需要自动创建设备节点。
device faith # IPv6-to-IPv4 relaying (translation)
这个伪设备能捕捉发给它的数据包,并把它们转发给
IPv4/IPv6 翻译服务程序。
# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device bpf # Berkeley packet filter
这是 Berkeley 包过滤器。这个伪设备允许网络接口被置于混杂模式,
从而,截获广播网 (例如,以太网) 上的每一个数据包。
截获的数据报可以保存到磁盘上,也可以使用 &man.tcpdump.1; 程序来分析。
&man.bpf.4; 设备也被用于
&man.dhclient.8; 来获取默认路由器(网关)的 IP 地址。如果使用DHCP,就不要注释掉这行。
# USB support
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device ehci # EHCI PCI->USB interface (USB 2.0)
device usb # USB Bus (required)
#device udbp # USB Double Bulk Pipe devices
device ugen # Generic
device uhid # Human Interface Devices
device ukbd # Keyboard
device ulpt # Printer
device umass # Disks/Mass storage - Requires scbus and da
device ums # Mouse
device ural # Ralink Technology RT2500USB wireless NICs
device urio # Diamond Rio 500 MP3 player
device uscanner # Scanners
# USB Ethernet, requires mii
device aue # ADMtek USB Ethernet
device axe # ASIX Electronics USB Ethernet
device cdce # Generic USB over Ethernet
device cue # CATC USB Ethernet
device kue # Kawasaki LSI USB Ethernet
device rue # RealTek RTL8150 USB Ethernet
支持各类 USB 设备。
# FireWire support
device firewire # FireWire bus code
device sbp # SCSI over FireWire (Requires scbus and da)
device fwe # Ethernet over FireWire (non-standard!)
支持各类火线设备。
要了解 &os; 所支持的设备的其他情况, 请参考
/usr/src/sys/i386/conf/NOTES。
大内存支持(<acronym>PAE</acronym>)
物理地址扩展
(PAE)
大内存
大内存配置的机器需要超过4GB的虚拟地址。
因为4GB的限制,Intel在&pentium;及后续的CPUs上增加了36位物理地址的支持。
物理地址扩展 (PAE) 是
&intel; &pentium; Pro和后续的 CPU 提供的一种允许将内存地址扩展到 64GB
的功能, &os; 的所有最新版本均支持此功能, 并通过
选项来启用这个能力。 因为Intel架构的限制,
高于或低于 4GB 都没有什么区别,
超过 4GB 的内存分配只是简单地添加到可用内存池中。
为了让内核支持PAE,只要增加下面这一行到配置文件:
options PAE
PAE在&os;里面现在只能支持 &intel; IA-32处理器。
同时,还应该注意,&os;的PAE支持没有经过广泛的测试,
和其他稳定的特性相比只能当作是beta版。
PAE在&os;下有如下的一些限制:
进程不能接触大于4GB的VM空间。
KLD 模块不能加载到一个打开了PAE支持的内核里面,
这是因为内核模块和内核的建立框架不一样。
没有使用 &man.bus.dma.9; 接口的设备驱动程序在打开了
PAE 支持的内核中会导致数据损坏。
因为这个原因, PAE 内核配置文件
会把所有在打开了 PAE
的内核上不能工作的驱动程序排除在外。
一些系统打开了探测系统内存资源使用能力的功能,因为打开了
PAE支持,这些功能可能会被覆盖掉。
其中一个例子就是内核参数,它是控制
内核能使用的最大vnodes数目的,建议重新调整它及其他类似参数到合适的值。
为了避免KVA的消耗,很有必要增加系统的内核虚拟地址,
或者减少很耗系统资源的内核选项的总量(看上面)。选项
可以用来增加KVA空间。
为了稳定和高性能,建议查看&man.tuning.7;手册页。&man.pae.4;手册页包含
&os;'sPAE支持的最新信息。
如果出现问题怎么办
- 在定制一个内核时,可能会出现五种问题。它们是:
+ 在定制一个内核时,可能会出现四种问题。它们是:
config失败:
如果 &man.config.8; 在给出您的内核描述时失败,
则可能在某些地方引入了一处小的错误。
幸运的是, &man.config.8; 会显示出它遇到问题的行号,
这样您就能够迅速地定位错误。 例如, 如果您看到:
config: line 17: syntax error
可以通过与 GENERIC 或其他参考资料对比,
来确定这里的关键词是否拼写正确。
make失败:
如果 make 命令失败,
它通常表示内核描述中发生了 &man.config.8; 无法找出的的错误。
同样地, 仔细检查您的配置, 如果仍然不能解决问题,
发一封邮件到 &a.questions; 并附上您的内核配置,
则问题应该很快就能解决。
内核无法启动:
如果您的内核无法启动, 或不识别您的设备, 千万别慌!
非常幸运的是, &os; 有一个很好的机制帮助您从不兼容的内核恢复。
在 &os; 启动加载器那里简单地选择一下要启动的内核就可以了。
当系统在引导菜单的 10 秒倒计时时进入它, 方法是选择 Escape to a loader
prompt
选项, 其编号为 6。 输入
unload kernel, 然后输入
boot /boot/kernel.old/kernel,
或者其他任何一个可以正确引导的内核即可。
当重新配置内核时, 保持一个已经证明能够正常启动的内核永远是一个好习惯。
当使用好的内核启动之后您可以检查配置文件并重新尝试编译它。
比较有用的资源是 /var/log/messages 文件,
它会记录每次成功启动所产生的所有内核消息。
此外, &man.dmesg.8; 命令也会显示这次启动时产生的内核消息。
如果在编译内核时遇到麻烦, 请务必保留一个
GENERIC 或已知可用的其他内核,
并命名为别的名字以免在下次启动时被覆盖。
不要依赖 kernel.old
因为在安装新内核时, kernel.old
会被上次安装的那个可能不正常的内核覆盖掉。
另外, 尽快把可用的内核挪到
/boot/kernel
否则类似 &man.ps.1; 这样的命令可能无法正常工作。
为了完成这一点, 需要修改目录的名字:
&prompt.root; mv /boot/kernel /boot/kernel.bad
&prompt.root; mv /boot/kernel.good /boot/kernel
内核工作,但是&man.ps.1;根本不工作:
如果您安装了一个与系统中内建工具版本不同的内核,
例如在 -STABLE 系统上安装了 -CURRENT 的内核, 许多用于检查系统状态的工具如
&man.ps.1; 和 &man.vmstat.8; 都将无法正常使用。
您应该 重新编译一个和内核版本一致的系统。
这也是为什么一般不鼓励使用与系统其他部分版本不同的内核的一个主要原因。
diff --git a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
index df583e762d..d0e2baf4ea 100644
--- a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml
@@ -1,4451 +1,4451 @@
Murray
Stokely
Reorganized by
网络服务器
概要
本章将覆盖某些在 &unix; 系统上常用的网络服务。话题将会涉及
如何安装、配置、测试和维护多种不同类型的网络服务。本章节中将提
供大量配置文件的样例,期望能够对您有所裨益。
在读完本章之后,您将会知道:
如何管理 inetd。
如何设置运行一个网络文件系统。
如何配置一个网络信息服务器以共享用户帐号。
如何通过DHCP自动配置网络。
如何配置一个域名服务器。
如何设置Apache HTTP 服务器。
如何设置文件传输(FTP)服务器。
如何使用Samba为 &windows;
客户端设置文件和打印服务。
如何同步时间和日期,以及如何设置使用NTP协议的时间服务器。
在阅读此章节之前,您应当:
理解有关/etc/rc中脚本的基本知识。
熟悉基本网络术语。
懂得如何安装额外的第三方软件()。
Chern
Lee
Contributed by
为 &os; 6.1-RELEASE 进行了更新, 由
The &os; Documentation Project
<application>inetd</application> <quote>超级服务器</quote>
总览
&man.inetd.8; 有时也被称作 Internet
超级服务器
, 因为它可以为多种服务管理连接。
当 inetd 收到连接时,
它能够确定连接所需的程序, 启动相应的进程,
并把 socket 交给它 (服务 socket 会作为程序的标准输入、
输出和错误输出描述符)。 使用
inetd 来运行那些负载不重的服务有助于降低系统负载,
因为它不需要为每个服务都启动独立的服务程序。
一般说来, inetd 主要用于启动其它服务程序,
但它也有能力直接处理某些简单的服务,
例如 chargen、
auth, 以及
daytime。
这一节将介绍关于如何通过命令行选项, 以及配置文件
/etc/inetd.conf 来对
inetd 进行配置的一些基础知识。
设置
inetd 是通过 &man.rc.8; 系统启动的。
inetd_enable 选项默认设为
NO, 但可以在安装系统时,
由用户根据需要通过 sysinstall 来打开。
将:
inetd_enable="YES"
或
inetd_enable="NO"
写入
/etc/rc.conf 可以启用或禁用系统启动时
inetd 的自动启动。 命令:
&prompt.root; /etc/rc.d/inetd rcvar
可以显示目前的设置。
此外, 您还可以通过
inetd_flags 参数来向 inetd
传递额外的其它参数。
命令行选项
与多数服务程序类似, inetd
也提供了为数众多的用以控制其行为的参数。 完整的参数列表如下:
inetd
这些参数都可以通过
/etc/rc.conf 的
inetd_flags 选项来传给 inetd。
默认情况下,
inetd_flags 设为
-wW -C 60, 者表示希望为
inetd 的服务启用 TCP wrapping,
并阻止来自同一 IP 每分钟超过 60 次的请求。
初学的用户可能会很高兴地发现这些选项通常并不需要进行修改,
前面提到的速率限制选项在您的服务器收到过量请求的连接时,
则会有效地发挥作用。 完整的参数列表,
可以在 &man.inetd.8; 联机手册中找到。
-c maximum
指定单个服务的最大并发访问数量,默认为不限。
也可以在此服务的具体配置里面通过改掉。
-C rate
指定单个服务一分钟内能被单个IP地址调用的最大次数,
默认不限。也可以在此服务的具体配置里面通过
改掉。
-R rate
指定单个服务一分钟内能被调用的最大次数,默认为256。
设为0 则允许不限次数调用。
-s maximum
指定同一 IP 同时请求同一服务时允许的最大值; 默认值为不限制。
您可以通过
参数来以服务为单位进行限制。
<filename>inetd.conf</filename>
对于 inetd 的配置,
是通过 /etc/inetd.conf 文件来完成的。
在修改了
/etc/inetd.conf 之后, 可以使用下面的命令来强制
inetd 重新读取配置文件:
重新加载 <application>inetd</application>
配置文件
&prompt.root; /etc/rc.d/inetd reload
配置文件中的每一行都是一个独立的服务程序。 在这个文件中, 前面有
#
的内容被认为是注释。
/etc/inetd.conf 文件的格式如下:
service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
user[:group][/login-class]
server-program
server-program-arguments
下面是针对 IPv4 的 &man.ftpd.8; 服务的例子:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
service-name
指明各个服务的服务名。其服务名必须与/etc/services中列出的一致。
这将决定inetd会监听哪个port。
一旦有新的服务需要添加,必须先在/etc/services里面添加。
socket-type
可以是stream、dgram、raw或者
seqpacket。 stream
用于基于连接的 TCP 服务;而 dgram 则用于使用 UDP 协议的服务。
protocol
下列之一:
协议
说明
tcp, tcp4
TCP IPv4
udp, udp4
UDP IPv4
tcp6
TCP IPv6
udp6
UDP IPv6
tcp46
Both TCP IPv4 and v6
udp46
Both UDP IPv4 and v6
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
指明从inetd
里头调用的服务是否可以自己处理socket.
socket类型必须使用,
而stream socket daemons, 由于通常使用多线程方式,应当使用
. 通常把多个
socket 丢给单个服务进程, 而 则
会为每个新的 socket 生成一个子进程。
选项能够配置
inetd 能为本服务派生出的最大子进程数量。
如果某特定服务需要限定最高10个实例, 把/10
放到后头就可以了。 指定 /0
表示不限制子进程的数量。
除了 之外,
还有两个选项可以限制来自同一位置到特定服务的最大连接数。
可以限制特定 IP
地址每分钟的总连接数, 例如, 限制任何
IP 地址每分钟最多连接十次。
则可以限制为某一 IP 地址在任何时候所启动的子进程数量。
这些选项对于防止针对服务器有意或无意的资源耗竭和拒绝服务 (DoS)
攻击十分有用。
这个字段中, 必须指定 或
两者之一。 而
、
和
则是可选项。
流式多线程服务, 并且不配置任何
、
或
限制时,
其配置为: nowait。
同一个服务, 但希望将服务启动的数量限制为十个时,
则是: nowait/10。
同样配置, 限制每个 IP 地址每分钟最多连接二十次,
而同时启动的子进程最多十个, 应写作:
nowait/10/20。
下面是 &man.fingerd.8; 服务的默认配置:
finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s
最后这个例子中, 将子进程数限制为
100 个, 而任意 IP 最多同时建立 5 个连接:
nowait/100/0/5。
user
该开关指定服务将以什么用户身份运行。一般而言,服务运行身份是
root。基于安全目的,可以看到有些服务以
daemon身份,或者是最小特权的
nobody身份运行。
server-program
当连接到来时,执行服务程序的全路径。如果服务是由
inetd内置提供的,以代替。
server-program-arguments
当调用到时,该开关
的值通过argv[0]通过传递给服务而工作。
如果命令行为:mydaemon -d,则
mydaemon -d为
开关的值。同样的,如果服务是由inetd
内置提供的,这里还是
。
Security
随安装时所选的模式不同,
许多 inetd 的服务可能已经默认启用。
如果确实不需要某个特定的服务, 则应考虑禁用它。
在 /etc/inetd.conf 中,
将对应服务的那行前面加上 #
,
然后 重新加载
inetd 配置 就可以了。 某些服务, 例如
fingerd, 可能是完全不需要的,
因为它们提供的信息可能对攻击者有用。
某些服务在设计时是缺少安全意识的, 或者有过长或压根没有连接请求的超时机制。
这使得攻击者能够通过缓慢地对这些服务发起连接, 并耗尽可用的资源。
对于这种情况, 设置 、
或 限制,
来制约服务的行为是个好办法。
默认情况下,TCP wrapping 是打开的。参考
&man.hosts.access.5; 手册,以获得更多关于在各种 inetd
调用的服务上设置TCP限制的信息。
杂项
daytime、
time、
echo、
discard、
chargen, 以及
auth 都是由 inetd
提供的内建服务。
auth 服务提供了网络身份服务,
它可以配置为提供不同级别的服务, 而其它服务则通常只能简单的打开或关闭。
参考 &man.inetd.8; 手册获得更多信息。
Tom
Rhodes
Reorganized and enhanced by
Bill
Swingle
Written by
网络文件系统(NFS)
NFS
网络文件系统是FreeBSD支持的文件系统中的一种,
也被称为 NFS。 NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS,用户和程序可以象访问本地文件
一样访问远端系统上的文件。
以下是NFS最显而易见的好处:
本地工作站使用更少的磁盘空间,因为通常的数据可以存放在一
台机器上而且可以通过网络访问到。
用户不必在每个网络上机器里头都有一个home目录。Home目录
可以被放在NFS服务器上并且在网络上处处可用。
诸如软驱,CDROM,和 &iomegazip; 之类的存储设备可以在网络上面被别的机器使用。
这可以减少整个网络上的可移动介质设备的数量。
<acronym>NFS</acronym>是如何工作的
NFS 至少包括两个主要的部分: 一台服务器,
以及至少一台客户机, 客户机远程地访问保存在服务器上的数据。
要让这一切运转起来, 需要配置并运行几个程序。
服务器必须运行以下服务:
NFS
server (服务)
文件服务器
UNIX 客户机
rpcbind
mountd
nfsd
服务
描述
nfsd
NFS,为来自NFS客户端的
请求服务。
mountd
NFS挂载服务,处理&man.nfsd.8;递交过来的请求。
rpcbind
此服务允许
NFS 客户程序查询正在被 NFS 服务使用的端口。
客户端同样运行一些进程,比如
nfsiod。
nfsiod处理来自NFS的请求。
这是可选的,而且可以提高性能,对于普通和正确的操作来说并不是必须的。
参考&man.nfsiod.8;手册获得更多信息。
配置<acronym>NFS</acronym>
NFS
configuration
NFS的配置过程相对简单。这个过程只需要
对/etc/rc.conf文件作一些简单修改。
在NFS服务器这端,确认/etc/rc.conf
文件里头以下开关都配上了:
rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"
只要NFS服务被置为enable,mountd
就能自动运行。
在客户端一侧,确认下面这个开关出现在
/etc/rc.conf里头:
nfs_client_enable="YES"
/etc/exports文件指定了哪个文件系统
NFS应该输出(有时被称为共享
)。
/etc/exports里面每行指定一个输出的文件系统和
哪些机器可以访问该文件系统。在指定机器访问权限的同时,访问选项
开关也可以被指定。有很多开关可以被用在这个文件里头,不过不会在这
里详细谈。您可以通过阅读&man.exports.5; 手册来发现这些开关。
以下是一些/etc/exports的例子:
NFS
export examples
下面是一个输出文件系统的例子, 不过这种配置与您所处的网络环境及其配置密切相关。
例如, 如果要把 /cdrom 输出给与服务器域名相同的三台计算机
(因此例子中只有机器名, 而没有给出这些计算机的域名), 或在
/etc/hosts 文件中进行了这种配置。
标志表示把输出的文件系统置为只读。 由于使用了这个标志,
远程系统在输出的文件系统上就不能写入任何变动了。
/cdrom -ro host1 host2 host3
下面的例子可以输出/home给三个以IP地址方式表示的主机。
对于在没有配置DNS服务器的私有网络里头,这很有用。
此外, /etc/hosts 文件也可以用以配置主机名;参看 &man.hosts.5; 。
标记允许子目录被作为挂载点。
也就是说,客户端可以根据需要挂载需要的目录。
/home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4
下面几行输出 /a ,以便两个来自不同域的客户端可以访问文件系统。
标记授权远端系统上的
root 用户在被输出的文件系统上以root身份进行读写。
如果没有特别指定 -maproot=root 标记,
则即使用户在远端系统上是 root 身份,
也不能修改被输出文件系统上的文件。
/a -maproot=root host.example.com box.example.org
为了能够访问到被输出的文件系统,客户端必须被授权。
请确认客户端在您的 /etc/exports 被列出。
在 /etc/exports 里头,每一行里面,输出信息和文件系统一一对应。
一个远程主机每次只能对应一个文件系统。而且只能有一个默认入口。比如,假设
/usr 是独立的文件系统。这个 /etc/exports 就是无效的:
# Invalid when /usr is one file system
/usr/src client
/usr/ports client
一个文件系统,/usr, 有两行指定输出到同一主机,
client.
解决这一问题的正确的格式是:
/usr/src /usr/ports client
在同一文件系统中, 输出到指定客户机的所有目录, 都必须写到同一行上。
没有指定客户机的行会被认为是单一主机。 这限制了你可以怎样输出的文件系统,
但对绝大多数人来说这不是问题。
下面是一个有效输出列表的例子,
/usr 和 /exports
是本地文件系统:
# Export src and ports to client01 and client02, but only
# client01 has root privileges on it
/usr/src /usr/ports -maproot=root client01
/usr/src /usr/ports client02
# The client machines have root and can mount anywhere
# on /exports. Anyone in the world can mount /exports/obj read-only
/exports -alldirs -maproot=root client01 client02
/exports/obj -ro
在修改了 /etc/exports 文件之后,
就必须让 mountd 服务重新检查它,
以便使修改生效。 一种方法是通过给正在运行的服务程序发送 HUP
信号来完成:
&prompt.root; kill -HUP `cat /var/run/mountd.pid`
或指定适当的参数来运行 mountd &man.rc.8; 脚本:
&prompt.root; /etc/rc.d/mountd onereload
关于使用 rc 脚本的细节, 请参见 。
另外, 系统重启动可以让 FreeBSD 把一切都弄好。 尽管如此,
重启不是必须的。 以 root 身份执行下面的命令可以搞定一切。
在 NFS 服务器端:
&prompt.root; rpcbind
&prompt.root; nfsd -u -t -n 4
&prompt.root; mountd -r
在 NFS 客户端:
&prompt.root; nfsiod -n 4
现在每件事情都应该就绪,以备挂载一个远端文件系统。 在这些例子里头,
服务器名字将是:server ,而客户端的名字将是: client。
如果您只打算临时挂载一个远端文件系统或者只是打算作测试配置正确与否,
只要在客户端以 root 身份执行下面的命令:
NFS
mounting
&prompt.root; mount server:/home /mnt
这条命令会把服务端的 /home 目录挂载到客户端的 /mnt 上。
如果配置正确,您应该可以进入客户端的 /mnt 目录并且看到所有服务端的文件。
如果您打算让系统每次在重启动的时候都自动挂载远端的文件系统,把那个文件系统加到
/etc/fstab 文件里头去。下面是例子:
server:/home /mnt nfs rw 0 0
&man.fstab.5; 手册里有所有可用的开关。
锁
某些应用程序 (例如 mutt)
需要文件上锁支持才能正常运行。 在使用
NFS 时, 可以用 rpc.lockd
来支持文件上锁功能。 要启用它,
需要在服务器和客户机的 /etc/rc.conf 中加入
(假定两端均已配好了 NFS):
rpc_lockd_enable="YES"
rpc_statd_enable="YES"
然后使用下述命令启动该程序:
&prompt.root; /etc/rc.d/nfslocking start
如果并不需要真的在 NFS 客户机和
NFS 服务器间确保上锁的语义,
可以让 NFS 客户机在本地上锁,
方法是使用 &man.mount.nfs.8; 时指定 参数。
请参见 &man.mount.nfs.8; 联机手册以了解更多细节。
实际应用
NFS 有很多实际应用。下面是比较常见的一些:
NFS
uses
多个机器共享一台CDROM或者其他设备。这对于在多台机器中安装软件来说更加便宜跟方便。
在大型网络中,配置一台中心 NFS 服务器用来放置所有用户的home目录可能会带来便利。
这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录。
几台机器可以有通用的/usr/ports/distfiles 目录。
这样的话,当您需要在几台机器上安装port时,您可以无需在每台设备上下载而快速访问源码。
Wylie
Stilwell
Contributed by
Chern
Lee
Rewritten by
通过 <application>amd</application> 自动地挂接
amd
自动挂接服务
&man.amd.8; (自动挂接服务) 能够自动地在访问时挂接远程的文件系统。
如果文件系统在一段时间之内没有活动, 则会被
amd 自动卸下。 通过使用
amd, 能够提供一个持久挂接以外的选择,
而后者往往需要列入
/etc/fstab。
amd 通过将自己以 NFS 服务器的形式,
附加到 /host 和
/net 目录上来工作。
当访问这些目录中的文件时, amd
将查找相应的远程挂接点, 并自动地挂接。
/net 用于挂接远程 IP 地址上导出的文件系统,
而 /host 则用于挂接远程主机名上的文件系统。
访问
/host/foobar/usr 中的文件, 相当于告诉
amd 尝试挂接在主机
foobar 上导出的
/usr。
通过 <application>amd</application> 来挂接导出的文件系统
您可以通过使用 showmount
命令来查看远程主机上导出的文件系统。 例如,
要查看 foobar 上导出的文件系统, 可以用:
&prompt.user; showmount -e foobar
Exports list on foobar:
/usr 10.10.10.0
/a 10.10.10.0
&prompt.user; cd /host/foobar/usr
如同在前面例子中所看到的, showmount 显示了导出的
/usr。 当进入
/host/foobar/usr 这个目录时, amd
将尝试解析主机名 foobar
并自动地挂接需要的文件系统导出。
amd 可以通过启动脚本来启动, 方法是在
/etc/rc.conf 中加入:
amd_enable="YES"
除此之外, 还可以给
amd 通过
amd_flags 选项来传递额外的参数。 默认情况下,
amd_flags 为:
amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"
/etc/amd.map
文件定义了挂接导出文件系统时所使用的默认选项。
/etc/amd.conf 文件, 则定义了更多关于
amd 的高级功能选项。
请参考 &man.amd.8; 和 &man.amd.conf.5; 联机手册,
以了解进一步的情况。
John
Lind
Contributed by
与其他系统集成时的常见问题
某些特定的 ISA PC 系统上的以太网适配器上有一些限制,
这些限制可能会导致严重的网络问题, 特别是与 NFS 配合使用时。
这些问题并非 FreeBSD 所特有的, 但 FreeBSD 系统会受到这些问题的影响。
这样的问题, 几乎总是在当 (FreeBSD) PC 系统与高性能的工作站,
例如 Silicon Graphics, Inc., 和 Sun Microsystems, Inc. 的工作站联网时发生。
NFS 挂接能够正常工作, 而且一些操作也可能成功,
但服务器会很快变得对客户机不太理会,
虽然对其他客户机的请求仍然能够正常处理。
这种情况通常发生在客户端, 无论它是一个 FreeBSD 系统或是终端。
在许多系统上, 一旦发生了这样的问题, 通常没办法正常地关闭客户机。
唯一的办法通常是让终端复位, 因为这一 NFS 状况没有办法被解决。
尽管 正确的
解决办法, 是为
FreeBSD 系统配备一块高性能的、 适用的以太网适配器,
然而也有办法绕过问题并得到相对满意的结果。
如果 FreeBSD 系统是
服务器, 则在客户机挂接时, 应该指定
。 如果
FreeBSD 系统是 客户机,
则应加入 参数。 这些选项可以通过在对应的
fstab 的第四个字段加入,
以便让客户机能够自动地挂接, 或者通过 &man.mount.8; 的
参数在手工挂接时指定。
还需要注意的是另一个问题, 有时会被误认为是和上面一样的问题。
这个问题多见于 NFS 服务器和客户机在不同的网络上时。 如果是这种情况, 一定要
确定 您的路由器确实把必需的 UDP
信息路由到了目的地, 否则您将什么也做不了。
下面的例子中, fastws 是主机
(接口) 的名字, 它是一台高性能的终端, 而
freebox 是另一台主机 (接口) 的名字,
它是一个使用较低性能的以太网适配器的 FreeBSD 系统。 同时,
/sharedfs 将被导出成为 NFS
文件系统 (参见 &man.exports.5;), 而
/project
将是客户机上挂接这一导出文件系统的挂接点。 所有的应用场景中,
请注意附加选项, 例如 或
以及 可能是您的应用所需要的。
关于 FreeBSD 系统 (freebox)
作为客户机的示范 /etc/fstab 文件, 见于
freebox 之上:
fastws:/sharedfs /project nfs rw,-r=1024 0 0
在 freebox 上手工挂接:
&prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project
以 FreeBSD 系统作为服务器的例子, 是 fastws 上的
/etc/fstab:
freebox:/sharedfs /project nfs rw,-w=1024 0 0
在 fastws 上手工挂接的命令是:
&prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project
几乎所有的 16-位 以太网控制器,
都能够在没有上述读写尺寸限制的情况下正常工作。
对于那些关心到底是什么问题的人, 下面是失败如何发生的解释,
同时这也说明了为什么这是一个无法恢复的问题。 典型情况下,
NFS 会使用一个 块
为单位进行操作, 其尺寸是
8 K (虽然它可能会将操作分成更小尺寸的分片)。
由于最大的以太网包尺寸大约是 1500 字节,
因此 NFS 块
会分成多个以太网包,
虽然在更高层的代码看来它仍然是一个完整的单元,
并在接收方重新组装, 作为一个整体来
确认。 高性能的工作站,
可以将构成 NFS 单元的包迅速发出, 其节奏会快到标准允许的最大限度。
在容量较小的卡上, 后来的包会冲掉同一单元内的较早的包,
因而整个单元无法被重建或确认。 其结果是,
工作站将超时并重试, 但仍然是完整的 8 K 单元,
这一过程将无休止地重复下去。
如果将单元尺寸限制在以太网包尺寸之下,
我们就能够确保每一个以太网包都能够被独立地接收和确认,
从而避免了上面的死锁情形。
溢出在高性能工作站将数据库投向 PC 系统时仍会发生,
但在更好的网卡上, 能够保证这类溢出不会在每一个 NFS
单元
上都发生。 当出现溢出时,
被影响的单元被重传, 因而此时有很大的机会它将被正确接收、
重组, 并确认。
Bill
Swingle
Written by
Eric
Ogren
Enhanced by
Udo
Erdelhoff
网络信息服务 (NIS/YP)
它是什么?
NIS
Solaris
HP-UX
AIX
Linux
NetBSD
OpenBSD
NIS,
表示网络信息服务 (Network Information Services),
最初由 Sun Microsystems 开发, 用于 &unix;
(最初是 &sunos;) 系统的集中管理。 目前,
它基本上已经成为了业界标准; 所有主流的类 &unix; 系统
(&solaris;, HP-UX, &aix;, Linux, NetBSD, OpenBSD, FreeBSD,
等等) 都支持 NIS。
黄页 (yellow pages)NIS
NIS
也就是人们所熟知的黄页(Yellow Pages), 但由于商标的问题,
Sun 将其改名为现在的名字。 旧的术语 (以及 yp),
仍然经常可以看到, 并被广泛使用。
NIS
域
这是一个基于 RPC 的客户机/服务器系统,
它允许在一个 NIS 域中的一组机器共享一系列配置文件。
这样, 系统管理员就可以配置只包含最基本配置数据的 NIS 客户机系统,
并在单点上增加、 删除或修改配置数据。
Windows NT
尽管实现的内部细节截然不同, 这和 &windowsnt; 域系统非常类似,
以至于可以将两者的基本功能相互类比。
您应该知道的术语和进程
有一系列术语和重要的用户进程将在您在 FreeBSD
上实现 NIS 时用到, 无论是在创建
NIS 服务器, 或作为 NIS 客户机:
rpcbind
portmap
术语
说明
NIS 域名
NIS 主服务器和所有其客户机
(包括从服务器) 会使用同一 NIS 域名。
和 &windowsnt; 域名类似, NIS 域名与
DNS 无关。
rpcbind
必须运行这个程序, 才能够启用
RPC (远程过程调用, NIS
用到的一种网络协议)。 如果没有运行
rpcbind,
则没有办法运行 NIS 服务器,
或作为 NIS 客户机。
ypbind
绑定(bind)
NIS 客户机到它的 NIS
服务器上。 这样, 它将从系统中获取 NIS 域名,
并使用 RPC 连接到服务器上。
ypbind 是 NIS 环境中,
客户机-服务器通讯的核心; 如果客户机上的
ypbind 死掉的话, 它将无法访问
NIS 服务器。
ypserv
只应在 NIS 服务器上运行它; 这是 NIS 的服务器进程。
如果 &man.ypserv.8; 死掉的话,
则服务器将不再具有响应 NIS 请求的能力 (此时,
如果有从服务器的话, 则会接管操作)。 有一些 NIS
的实现 (但不是 FreeBSD 的这个) 的客户机上,
如果之前用过一个服务器, 而那台服务器死掉的话,
并不尝试重新连接到另一个服务器。 通常,
发生这种情况时, 唯一的办法就是重新启动服务器进程
(或者, 甚至重新启动服务器) 或客户机上的
ypbind 进程。
rpc.yppasswdd
另一个只应在
NIS 主服务器上运行的进程; 这是一个服务程序,
其作用是允许 NIS 客户机改变它们的 NIS 口令。
如果没有运行这个服务, 用户将必须登录到 NIS
主服务器上, 并在那里修改口令。
它是如何工作的?
在 NIS 环境中, 有三种类型的主机:
主服务器, 从服务器, 以及客户机。
服务器的作用是充当主机配置信息的中央数据库。
主服务器上保存着这些信息的权威副本,
而从服务器则是保存这些信息的冗余副本。
客户机依赖于服务器向它们提供这些信息。
许多文件的信息可以通过这种方式来共享。
通常情况下, master.passwd、
group, 以及 hosts
是通过 NIS 分发的。 无论什么时候,
如果客户机上的某个进程请求这些本应在本地的文件中的资料的时候,
它都会向所绑定的 NIS 服务器发出请求, 而不使用本地的版本。
机器类型
NIS
主服务器
一台 NIS 主服务器。
这台服务器, 和 &windowsnt; 域控制器类似,
会维护所有 NIS 客户机所使用的文件。 passwd,
group, 以及许多其他 NIS
客户机所使用的文件, 都被存放到主服务器上。
可以将一台 NIS 主服务器用在多个 NIS 域中。
然而, 本书不打算对这种配置进行介绍,
因为这种配置, 通常只出现在小规模的 NIS 环境中。
NIS
从服务器
NIS 从服务器。 这一概念,
与 &windowsnt; 的备份域控制器类似。 NIS 从服务器,
用于维护 NIS 主服务器的数据文件副本。
NIS 从服务器提供了一种冗余,
这在许多重要的环境中是必需的。 此外,
它也帮助减轻了主服务器的负荷: NIS
客户机总是挂接到最先响应它们的 NIS 服务器上,
而这也包括来自从服务器的响应。
NIS
客户机
NIS 客户机。 NIS 客户机,
和多数 &windowsnt; 工作站类似, 通过
NIS 服务器 (或对于 &windowsnt; 工作站, 则是
&windowsnt; 域控制器) 来完成登录时的身份验证过程。
使用 NIS/YP
这一节将通过实例介绍如何配置 NIS 环境。
规划
假定您正在管理大学中的一个小型实验室。 在这个实验室中,
有 15 台 FreeBSD 机器, 目前尚没有集中的管理点;
每一台机器上有自己的
/etc/passwd 和
/etc/master.passwd。
这些文件通过人工干预的方法来保持与其他机器上版本的同步;
目前, 如果您在实验室中增加一个用户, 将不得不在所有 15
台机器上手工执行 adduser 命令。
毋庸置疑, 这一现状必须改变,
因此您决定将整个实验室转为使用 NIS,
并使用两台机器作为服务器。
因此, 实验室的配置应该是这样的:
机器名
IP 地址
机器的角色
ellington
10.0.0.2
NIS 主服务器
coltrane
10.0.0.3
NIS 从服务器
basie
10.0.0.4
教员工作站
bird
10.0.0.5
客户机
cli[1-11]
10.0.0.[6-17]
其他客户机
如果您是首次配置 NIS, 仔细思考如何进行规划就十分重要。
无论您的网络的大小如何, 都必须进行几个决策。
选择 NIS 域名
NIS
域名
这可能不是您过去使用的 域名(domainname)
。
它的规范的叫法, 应该是
NIS 域名
。 当客户机广播对此信息的请求时,
它会将 NIS 域的名字作为请求的一部分发出。 这样,
统一网络上的多个服务器, 就能够知道谁应该回应请求。
您可以把 NIS 域名想象成以某种方式相关的一组主机的名字。
一些机构会选择使用它们的 Internet
域名来作为 NIS 域名。 并不推荐这样做, 因为在调试网络问题时,
这可能会导致不必要的困扰。 NIS 域名应该是在您网络上唯一的,
并且有助于了解它所描述的到底是哪一组机器。 例如对于 Acme
公司的美工部门, 可以考虑使用
acme-art
这样的 NIS 域名。
在这个例子中, 您使用的域名是
test-domain。
SunOS
然而, 某些操作系统 (最著名的是 &sunos;)
会使用其 NIS 域名作为 Internet 域名。
如果您的网络上存在包含这类限制的机器, 就
必须 使用 Internet 域名来作为您的 NIS 域名。
服务器的物理要求
选择 NIS 服务器时, 需要时刻牢记一些东西。
NIS 的一个不太好的特性就是其客户机对于服务器的依赖程度。
如果客户机无法与其 NIS 域的服务器联系,
则这台机器通常会陷于不可用的状态。 缺少用户和组信息,
会使绝大多数系统进入短暂的冻结状态。 基于这样的考虑,
您需要选择一台不经常重新启动, 或用于开发的机器来承担其责任。
如果您的网络不太忙, 也可以使用运行着其他服务的机器来安放 NIS
服务, 只是需要注意, 一旦 NIS 服务器不可用, 则
所有 的 NIS 客户机都会受到影响。
NIS 服务器
所有的 NIS 信息的正规版本,
都被保存在一台单独的称作 NIS 主服务器的机器上。
用于保存这些信息的数据库, 称为 NIS 映射(map)。
在 FreeBSD 中, 这些映射被保存在
/var/yp/[domainname] 里, 其中
[domainname] 是提供服务的 NIS
域的名字。 一台 NIS 服务器, 可以同时支持多个域,
因此可以建立很多这样的目录, 所支撑一个域对应一个。
每一个域都会有一组独立的映射。
NIS 主和从服务器, 通过 ypserv
服务程序来处理所有的 NIS 请求。
ypserv 有责任接收来自 NIS 客户机的请求,
翻译请求的域, 并将名字映射为相关的数据库文件的路径,
然后将来自数据库的数据传回客户机。
配置 NIS 主服务器
NIS
服务器配置
配置主 NIS 服务器相对而言十分的简单,
而其具体步骤则取决于您的需要。 FreeBSD
提供了一步到位的 NIS 支持。 您需要做的全部事情, 只是在
/etc/rc.conf 中加入一些配置,
其他工作会由 FreeBSD 完成。
nisdomainname="test-domain"
这一行将在网络启动 (例如重新启动) 时, 把 NIS 域名配置为
test-domain。
nis_server_enable="YES"
这将要求 FreeBSD 在网络子系统启动之后立即启动
NIS 服务进程。
nis_yppasswdd_enable="YES"
这将启用 rpc.yppasswdd
服务程序, 如前面提到的,
它允许用户在客户机上修改自己的 NIS 口令。
随 NIS 配置的不同, 可能还需要增加其他一些项目。 请参见 关于 NIS 服务器同时充当 NIS
客户机 这一节, 以了解进一步的情况。
现在, 所需要做的最后的工作是以超级用户身份执行
/etc/netstart 命令。 这将依据
/etc/rc.conf
为您配置好所有的东西。
初始化 NIS 映射
NIS
映射
NIS 映射 是一些数据库文件,
它们位于 /var/yp 目录中。
这些文件基本上都是根据 NIS 主服务器的 /etc
目录自动生成的, 唯一的例外是:
/etc/master.passwd 文件。 一般来说,
您会有非常充分的理由不将 root
以及其他管理帐号的口令发到所有 NIS 域上的服务器上。
因此, 在开始初始化 NIS 映射之前, 我们应该:
&prompt.root; cp /etc/master.passwd /var/yp/master.passwd
&prompt.root; cd /var/yp
&prompt.root; vi master.passwd
这里, 删除掉和系统有关的帐号对应的项 (bin、
tty、 kmem、
games, 等等),
以及其他不希望被扩散到 NIS 客户机的帐号
(例如 root 和任何其他 UID 0
(超级用户) 的帐号)。
确认
/var/yp/master.passwd 这个文件是同组用户,
以及其他用户不可读的 (模式 600)! 如果需要的话, 用
chmod 命令来改它。
Tru64 UNIX
完成这些工作之后, 就可以初始化
NIS 映射了! FreeBSD 提供了一个名为
ypinit 的脚本来帮助您完成这项工作 (详细信息,
请见其联机手册)。 请注意, 这个脚本在绝大多数 &unix;
操作系统上都可以找到, 但并不是所有操作系统的都提供。
在 Digital UNIX/Compaq Tru64 UNIX 上它的名字是
ypsetup。 由于我们正在生成的是 NIS
主服务器的映射, 因此应该使用 ypinit 的
参数。 如果已经完成了上述步骤,
要生成 NIS 映射, 只需执行:
ellington&prompt.root; ypinit -m test-domain
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a <control D>.
master server : ellington
next host to add: coltrane
next host to add: ^D
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct? [y/n: y] y
[..output from map generation..]
NIS Map update completed.
ellington has been setup as an YP master server without any errors.
ypinit 应该会根据
/var/yp/Makefile.dist 来创建
/var/yp/Makefile 文件。
创建完之后, 这个文件会假定您正在操作只有 FreeBSD
机器的单服务器 NIS 环境。 由于 test-domain
还有一个从服务器, 您必须编辑
/var/yp/Makefile:
ellington&prompt.root; vi /var/yp/Makefile
应该能够看到这样一行, 其内容是
NOPUSH = "True"
(如果还没有注释掉的话)。
配置 NIS 从服务器
NIS
从服务器
配置 NIS 从服务器, 甚至比配置主服务器还要简单。
登录到从服务器上, 并按照前面的方法,
编辑 /etc/rc.conf 文件。 唯一的区别是,
在运行 ypinit 时需要使用
参数。
这里的 选项, 同时要求提供 NIS
主服务器的名字, 因此我们的命令行应该是:
coltrane&prompt.root; ypinit -s ellington test-domain
Server Type: SLAVE Domain: test-domain Master: ellington
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred
coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.
现在应该会有一个叫做
/var/yp/test-domain 的目录。
在这个目录中, 应该保存 NIS 主服务器上的映射的副本。
接下来需要确定这些文件都及时地同步更新了。 在从服务器上, 下面的
/etc/crontab 项将帮助您确保这一点:
20 * * * * root /usr/libexec/ypxfr passwd.byname
21 * * * * root /usr/libexec/ypxfr passwd.byuid
这两行将强制从服务器将映射与主服务器同步。
由于主服务器会尝试确保所有其 NIS 映射的变动都知会从服务器,
因此这些项并不是绝对必需的, 尽管如此,
强制更新能够保证这些对依赖于服务器的系统至关重要的口令信息及时地同步。
同时, 在繁忙的网络上, 有时也会出现映射同步更新不完全的情况。
现在, 在从服务器上执行 /etc/netstart,
就可以启动 NIS 服务了。
NIS 客户机
NIS 客户机会通过
ypbind 服务程序来与特定的 NIS
服务器建立一种称作绑定的联系。
ypbind 会检查系统的默认域
(这是通过 domainname 命令来设置的),
并开始在本地网络上广播 RPC 请求。 这些请求会指定
ypbind 尝试绑定的域名。
如果已经配置了服务器, 并且这些服务器接到了广播, 它将回应
ypbind, 后者则记录服务器的地址。
如果有多个可用的服务器 (例如一个主服务器, 加上多个从服务器),
ypbind 将使用第一个响应的地址。
从这一时刻开始, 客户机会把所有的 NIS 请求直接发给那个服务器。
ypbind 偶尔会 ping
服务器以确认其仍然在正常运行。 如果在合理的时间内没有得到响应, 则
ypbind 会把域标记为未绑定, 并再次发起广播,
以期找到另一台服务器。
设置 NIS 客户机
NIS
客户机配置
配置一台 FreeBSD 机器作为 NIS 客户机是非常简单的。
编辑 /etc/rc.conf 文件,
并在其中加上下面几行, 以设置 NIS 域名,
并在网络启动时启动 ypbind:
nisdomainname="test-domain"
nis_client_enable="YES"
要从 NIS 服务器导入所有的口令项,
需要从您的
/etc/master.passwd 文件中删除所有用户,
并使用
vipw 在这个文件的最后一行加入:
+:::::::::
这一行将让 NFS 服务器的口令映射中的帐号能够登录。
也有很多修改这一行来配置 NIS 客户机的办法。
请参见稍后的 netgroups
小节 以了解进一步的情况。
要了解更多信息, 可以参阅 O'Reilly 的
Managing NFS and NIS 这本书。
需要至少保留一个本地帐号 (也就是不通过 NIS 导入) 在您的
/etc/master.passwd 文件中,
而这个帐号应该是
wheel 组的成员。 如果 NIS 发生不测,
这个帐号可以用来远程登录,
成为 root, 并修正问题。
要从 NIS 服务器上导入组信息, 需要在
/etc/group 文件末尾加入:
+:*::
完成这些步骤之后, 就应该可以通过运行
ypcat passwd 来看到 NIS 服务器的口令映射了。
NIS 的安全性
基本上, 任何远程用户都可以发起一个 RPC 到
&man.ypserv.8; 并获得您的 NIS 映射的内容,
如果远程用户了解您的域名的话。
要避免这类未经授权的访问, &man.ypserv.8;
支持一个称为 securenets
的特性,
用以将访问限制在一组特定的机器上。 在启动过程中,
&man.ypserv.8; 会尝试从
/var/yp/securenets
中加载 securenet 信息。
这个路径随
参数改变。 这个文件包含了一些项,
每一项中包含了一个网络标识和子网掩码, 中间用空格分开。
以 #
开头的行会被认为是注释。
示范的 securenets 文件如下所示:
# allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0 255.255.240.0
如果 &man.ypserv.8; 接到了来自匹配上述任一规则的地址的请求,
则它会正常处理请求。 反之, 则请求将被忽略, 并记录一条警告信息。 如果
/var/yp/securenets 文件不存在, 则
ypserv 会允许来自任意主机的请求。
ypserv 程序也支持
Wietse Venema 的 TCP Wrapper 软件包。
这样, 管理员就能够使用
TCP Wrapper 的配置文件来代替
/var/yp/securenets 完成访问控制。
尽管这两种访问控制机制都能够提供某种程度的安全,
但是, 和特权端口检查一样,
它们无法避免 IP 伪造
攻击。 您的防火墙应该阻止所有与
NIS 有关的访问。
使用 /var/yp/securenets 的服务器,
可能会无法为某些使用陈旧的 TCP/IP 实现的 NIS 客户机服务。
这些实现可能会在广播时, 将主机位都设置为 0,
或在计算广播地址时忽略子网掩码。
尽管这些问题可以通过修改客户机的配置来解决,
其他一些问题也可能导致不得不淘汰那些客户机系统,
或者不使用 /var/yp/securenets。
在使用陈旧的 TCP/IP 实现的系统上,
使用 /var/yp/securenets 是一个非常糟糕的做法,
因为这将导致您的网络上的 NIS 丧失大部分功能。
TCP Wrappers
使用 TCP Wrapper
软件包, 会导致您的 NIS 服务器的响应延迟增加。
而增加的延迟, 则可能会导致客户端程序超时,
特别是在繁忙的网络或者很慢的
NIS 服务器上。 如果您的某个客户机因此而产生一些异常,
则应将这些客户机变为 NIS 从服务器,
并强制其绑定自己。
不允许某些用户登录
在我们的实验室中, basie 这台机器,
是一台教员专用的工作站。 我们不希望将这台机器拿出 NIS 域,
而主 NIS 服务器上的 passwd 文件,
则同时包含了教员和学生的帐号。 这时应该怎么做?
有一种办法来禁止特定的用户登录机器, 即使他们身处 NIS 数据库之中。
要完成这一工作, 只需要在客户机的 /etc/master.passwd
文件中加入一些
-username 这样的项,
其中, username 是希望禁止登录的用户名。
一般推荐使用 vipw 来完成这个工作,
因为 vipw 会对您在 /etc/master.passwd
文件上所作的修改进行合法性检查,
并在编辑结束时重新构建口令数据库。 例如, 如果希望禁止用户
bill 登录
basie, 我们应该:
basie&prompt.root; vipw
[在末尾加入 -bill, 并退出]
vipw: rebuilding the database...
vipw: done
basie&prompt.root; cat /etc/master.passwd
root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill
basie&prompt.root;
Udo
Erdelhoff
Contributed by
使用 Netgroups
netgroups
前一节介绍的方法,
在您需要为非常少的用户和/或机器进行特殊的规则配置时还算凑合。
在更大的网络上, 您
一定会 忘记禁止某些用户登录到敏感的机器上,
或者, 甚至必须单独地修改每一台机器的配置, 因而丢掉了 NIS 最重要的优越性:
集中式 管理。
NIS 开发人员为这个问题提供的解决方案, 被称作
netgroups。 它们的作用和语义,
基本上可以等同于 &unix; 文件系统上使用的组。
主要的区别是它们没有数字化的 ID, 以及可以在 netgroup
中同时包含用户和其他 netgroup。
Netgroups 被设计用来处理大的、 复杂的包含数百用户和机器的网络。
一方面, 在您不得不处理这类情形时, 这是一个很有用的东西。
而另一方面, 它的复杂性又使得通过非常简单的例子很难解释 netgroup
到底是什么。 这一节的其余部分的例子将展示这个问题。
假设您在实验室中成功地部署 NIS 引起了上司的兴趣。
您接下来的任务是将 NIS 域扩展, 以覆盖校园中的一些其他的机器。
下面两个表格中包括了新用户和新机器, 及其简要说明。
用户名
说明
alpha, beta
IT 部门的普通雇员
charlie, delta
IT 部门的学徒
echo, foxtrott, golf, ...
普通雇员
able, baker, ...
目前的实习生
机器名
说明
war, death,
famine,
pollution
最重要的服务器。 只有 IT
部门的雇员才允许登录这些机器。
pride, greed,
envy, wrath,
lust, sloth
不太重要的服务器, 所有 IT 部门的成员,
都可以登录这些机器。
one, two,
three, four,
...
普通工作站。 只有
真正的 雇员才允许登录这些机器。
trashcan
一台不包含关键数据的旧机器。
即使是实习生, 也允许登录它。
如果您尝试通过一个一个地阻止用户来实现这些限制,
就需要在每一个系统的 passwd 文件中,
为每一个不允许登录该系统的用户添加对应的
-user 行。
如果忘记了任何一个, 就可能会造成问题。 在进行初始配置时,
正确地配置也许不是什么问题, 但随着日复一日地添加新用户,
总有一天 您会忘记为新用户添加某个行。
毕竟, Murphy 是一个乐观的人。
使用 netgroups 来处理这一状况可以带来许多好处。
不需要单独地处理每一个用户; 您可以赋予用户一个或多个 netgroups
身份, 并允许或禁止某一个 netgroup 的所有成员登录。
如果添加了新的机器, 只需要定义 netgroup 的登录限制。
如果增加了新用户, 也只需要将用户加入一个或多个 netgroup。
这些变化是相互独立的: 不再需要 对每一个用户和机器执行
……
。 如果您的 NIS 配置经过了谨慎的规划,
就只需要修改一个中央的配置文件, 就能够允许或禁止访问某台机器的权限了。
第一步是初始化 NIS 映射
netgroup。 FreeBSD 的 &man.ypinit.8; 默认情况下并不创建这个映射,
但它的 NIS 实现能够在创建这个映射之后立即对其提供支持。
要创建空映射, 简单地输入
ellington&prompt.root; vi /var/yp/netgroup
并开始增加内容。 在我们的例子中, 至少需要四个 nergruop:
IT 雇员, IT 学徒, 普通雇员和实习生。
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
USERS (,echo,test-domain) (,foxtrott,test-domain) \
(,golf,test-domain)
INTERNS (,able,test-domain) (,baker,test-domain)
IT_EMP, IT_APP 等等,
是 netgroup 的名字。 每一个括号中的组中,
都有一些用户帐号。 组中的三个字段是:
在哪些机器上能够使用这些项。 如果不指定主机名,
则项在所有机器上都有效。 如果指定了主机,
则很容易造成混淆。
属于这个 netgroup 的帐号。
帐号的 NIS 域。 您可以从其他 NIS
域中把帐号导入到您的 netgroup 中,
如果您管理多个 NIS 域的话。
每一个字段都可以包括通配符。 参见
&man.netgroup.5; 了解更多细节。
netgroups
Netgroup 的名字一般来说不应超过 8 个字符,
特别是当您的 NIS 域中有机器打算运行其它操作系统的时候。
名字是区分大小写的; 使用大写字母作为 netgroup 的名字,
能够让您更容易地区分用户、 机器和 netgroup 的名字。
某些 NIS 客户程序 (FreeBSD 以外的那些) 可能无法处理含有大量项的
netgroup。 例如, 某些早期版本的 &sunos; 会在 netgroup
中包含多于 15 个 项 时出现问题。
要绕过这个问题, 可以创建多个 子netgroup,每一个中包含少于 15 个用户,
以及一个包含所有 子netgroup 的真正的 netgroup:
BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...]
BIGGRP2 (,joe16,domain) (,joe17,domain) [...]
BIGGRP3 (,joe31,domain) (,joe32,domain)
BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3
如果需要超过 225 个用户, 可以继续重复上面的过程。
激活并分发新的 NIS 映射非常简单:
ellington&prompt.root; cd /var/yp
ellington&prompt.root; make
这个操作会生成三个 NIS 映射, 即
netgroup、
netgroup.byhost 和
netgroup.byuser。 用 &man.ypcat.1;
可以检查这些 NIS 映射是否可用了:
ellington&prompt.user; ypcat -k netgroup
ellington&prompt.user; ypcat -k netgroup.byhost
ellington&prompt.user; ypcat -k netgroup.byuser
第一个命令的输出,
应该与 /var/yp/netgroup 的内容相近。
第二个命令, 如果没有指定本机专有的 netgroup,
则应该没有输出。 第三个命令,
则用于显示某个用户对应的 netgroup 列表。
客户机的设置也很简单。 要配置服务器
war, 只需进入
&man.vipw.8; 并把
+:::::::::
改为
+@IT_EMP:::::::::
现在, 只有 netgroup
IT_EMP 中定义的用户会被导入到
war 的口令数据库中,
因此只有这些用户能够登录。
不过, 这个限制也会作用于 shell 的
~, 以及所有在用户名和数字用户 ID
之间实施转换的函数的功能。 换言之, cd
~user 将不会正常工作, 而
ls -l 也将显示数字的 ID 而不是用户名,
并且 find . -user joe -print
将失败, 并给出 No such user 的错误信息。
要修正这个问题, 您需要导入所有的用户项, 而
不允许他们登录服务器。
这可以通过在
/etc/master.passwd 加入另一行来完成。
这行的内容是:
+:::::::::/sbin/nologin, 意思是
导入所有的项, 但导入项的 shell 则替换为
/sbin/nologin
。
通过在 /etc/master.passwd
中增加默认值, 可以替换掉
passwd 中的任意字段。
务必确认
+:::::::::/sbin/nologin 这一行出现在
+@IT_EMP::::::::: 之后。
否则, 所有从 NIS 导入的用户帐号将以 /sbin/nologin
作为登录 shell。
完成上面的修改之后, 在 IT 部门有了新员工时,
只需修改一个 NIS 映射就足够了。 您也可以用类似的方法,
在不太重要的服务器上, 把先前本地版本的 /etc/master.passwd
中的 +::::::::: 改为:
+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin
相关的用于普通工作站的配置则应是:
+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin
一切平安无事, 直到数周后, 有一天策略发生了变化:
IT 部门也开始招收实习生了。 IT 实习生允许使用普通的终端,
以及不太重要的服务器; 而 IT 学徒, 则可以登录主服务器。
您增加了新的 netgroup IT_INTERN, 以及新的 IT
实习生到这个 netgroup 并开始修改每一台机器上的配置……
老话说得好:牵一发, 动全身
。
NIS 通过 netgroup 来建立 netgroup 的能力,
正可以避免这样的情形。 一种可能的方法是建立基于角色的 netgroup。
例如, 您可以创建称为
BIGSRV 的 netgroup, 用于定义最重要的服务器上的登录限制,
以及另一个成为 SMALLSRV 的 netgroup,
用以定义次重要的服务器, 以及第三个, 用于普通工作站的 netgroup
USERBOX。 这三个 netgroup 中的每一个,
都包含了允许登录到这些机器上的所有 netgroup。
您的 NIS 映射中的新项如下所示:
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
这种定义登录限制的方法,
在您能够将机器分组并加以限制的时候可以工作的相当好。
不幸的是, 这是种例外, 而非常规情况。 多数时候,
需要按机器去定义登录限制。
与机器相关的 netgroup 定义, 是处理上述策略改动的另一种可能的方法。
此时, 每台机器的 /etc/master.passwd 中,
都包含两个 +
开头的行。 第一个用于添加允许登录的 netgroup
帐号, 而第二个则用于增加其它帐号, 并把 shell
设置为 /sbin/nologin。 使用 全大写
的机器名作为 netgroup 名是个好主意。 换言之, 这些行应该类似于:
+@BOXNAME:::::::::
+:::::::::/sbin/nologin
一旦在所有机器上都完成了这样的修改, 就再也不需要修改本地的
/etc/master.passwd 了。
所有未来的修改都可以在 NIS 映射中进行。 这里是一个例子,
其中展示了在这一应用情景中所需要的 netgroup 映射,
以及其它一些常用的技巧:
# Define groups of users first
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
DEPT1 (,echo,test-domain) (,foxtrott,test-domain)
DEPT2 (,golf,test-domain) (,hotel,test-domain)
DEPT3 (,india,test-domain) (,juliet,test-domain)
ITINTERN (,kilo,test-domain) (,lima,test-domain)
D_INTERNS (,able,test-domain) (,baker,test-domain)
#
# Now, define some groups based on roles
USERS DEPT1 DEPT2 DEPT3
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
#
# And a groups for a special tasks
# Allow echo and golf to access our anti-virus-machine
SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain)
#
# machine-based netgroups
# Our main servers
WAR BIGSRV
FAMINE BIGSRV
# User india needs access to this server
POLLUTION BIGSRV (,india,test-domain)
#
# This one is really important and needs more access restrictions
DEATH IT_EMP
#
# The anti-virus-machine mentioned above
ONE SECURITY
#
# Restrict a machine to a single user
TWO (,hotel,test-domain)
# [...more groups to follow]
如果您正使用某种数据库来管理帐号,
应该可以使用您的数据库的报告工具来创建映射的第一部分。
这样, 新用户就自动地可以访问这些机器了。
最后的提醒: 使用基于机器的 netgroup 并不总是适用的。
如果正在为学生实验室部署数十台甚至上百台同样的机器,
您应该使用基于角色的 netgroup, 而不是基于机器的 netgroup,
以便把 NIS 映射的尺寸保持在一个合理的范围内。
需要牢记的事项
这里是一些其它在使用 NIS 环境时需要注意的地方。
每次需要在实验室中增加新用户时,
必须 只 在 NIS 服务器上加入用户,
而且 一定要记得重建 NIS 映射。
如果您忘记了这样做, 新用户将无法登录除 NIS
主服务器之外的任何其它机器。 例如, 如果要在实验室增加新用户
jsmith, 我们需要:
&prompt.root; pw useradd jsmith
&prompt.root; cd /var/yp
&prompt.root; make test-domain
也可以运行 adduser jsmith 而不是
pw useradd jsmith.
将管理用的帐号排除在
NIS 映射之外。 一般来说,
您不希望这些管理帐号和口令被扩散到那些包含不应使用它们的用户的机器上。
确保 NIS 主和从服务器的安全,
并尽可能减少其停机时间。
如果有人攻入或简单地关闭这些机器,
则整个实验室的任也就无法登录了。
这是集中式管理系统中最薄弱的环节。
如果没有保护好 NIS 服务器, 您就有大批愤怒的用户需要对付了!
NIS v1 兼容性
FreeBSD 的 ypserv 提供了某些为 NIS v1
客户提供服务的支持能力。 FreeBSD 的 NIS 实现,
只使用 NIS v2 协议, 但其它实现可能会包含 v1 协议,
以提供对旧系统的向下兼容能力。 随这些系统提供的
ypbind 服务将首先尝试绑定 NIS v1
服务器, 即使它们并不真的需要它 (有些甚至可能会一直广播搜索请求,
即使已经从某台 v2 服务器得到了回应也是如此)。
注意, 尽管支持一般的客户机调用, 这个版本的
ypserv 并不能处理 v1 的映射传送请求;
因而, 它就不能与较早的支持 v1 协议的 NIS 服务器配合使用,
无论是作为主服务器还是从服务器。 幸运的是,
现今应该已经没有仍然在用的这样的服务器了。
同时作为 NIS 客户机的 NIS 服务器
在多服务器域的环境中, 如果服务器同时作为 NIS 客户, 在运行
ypserv 时要特别小心。
一般来说, 强制服务器绑定自己要比允许它们广播绑定请求要好,
因为这种情况下它们可能会相互绑定。 某些怪异的故障,
很可能是由于某一台服务器停机, 而其它服务器都依赖其服务所导致的。
最终, 所有的客户机都会超时并绑定到其它服务器,
但这个延迟可能会相当可观,
而且恢复之后仍然存在再次发生此类问题的隐患。
您可以强制一台机器绑定到特定的服务器, 这是通过
ypbind 的
参数来完成的。 如果不希望每次启动 NIS 服务器时都手工完成这项工作,
可以在 /etc/rc.conf 中加入:
nis_client_enable="YES" # run client stuff as well
nis_client_flags="-S NIS domain,server"
参见 &man.ypbind.8; 以了解更多情况。
口令格式
NIS
口令格式
在实现 NIS 时, 口令格式的兼容性问题是一种最为常见的问题。
假如您的 NIS 服务器使用 DES 加密口令, 则它只能支持使用 DES
的客户机。 例如, 如果您的网络上有
&solaris; NIS 客户机, 则几乎肯定需要使用 DES 加密口令。
要检查您的服务器和客户机使用的口令格式,
需要查看 /etc/login.conf。
如果主机被配置为使用 DES 加密的口令, 则
default class 将包含类似这样的项:
default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[Further entries elided]
其他一些可能的 passwd_format
包括 blf 和 md5
(分别对应于 Blowfish 和 MD5 加密口令)。
如果修改了
/etc/login.conf, 就必须重建登录性能数据库,
这是通过以
root 身份运行下面的程序来完成的:
&prompt.root; cap_mkdb /etc/login.conf
已经在
/etc/master.passwd 中的口令的格式不会被更新,
直到用户在登录性能数据库重建
之后 首次修改口令为止。
接下来, 为了确保所有的口令都按照您选择的格式加密了,
还需要检查 /etc/auth.conf
中 crypt_default 给出的优先选择的口令格式。
要完成此工作, 将您选择的格式放到列表的第一项。 例如,
当使用 DES 加密的口令时, 对应项应为:
crypt_default = des blf md5
在每一台基于 &os; 的 NIS 服务器和客户机上完成上述工作之后,
就可以肯定您的网络上它们都在使用同样的口令格式了。 如果在 NIS
客户机上做身份验证时发生问题, 这也是第一个可能出现问题的地方。
注意: 如果您希望在混合的网络上部署 NIS 服务器,
可能就需要在所有系统上都使用 DES,
因为这是所有系统都能够支持的最低限度的公共标准。
Greg
Sutter
Written by
网络自动配置 (DHCP)
什么是 DHCP?
动态主机配置协议
DHCP
Internet Software Consortium (ISC)
DHCP, 动态主机配置协议, 是一种让系统得以连接到网络上,
并获取所需要的配置参数手段。 FreeBSD 6.0 之前的版本,
采用的是 ISC (Internet Software
Consortium) 的 DHCP 客户端 (&man.dhclient.8;) 实现。
更高版本使用的则是来自 OpenBSD 3.7
的 OpenBSD dhclient。
这里提供的所有关于 dhclient 的信息,
都是以 ISC 或 OpenBSD DHCP 客户端程序为准的。 DHCP
服务器是 ISC 软件包的一部分。
这一节都介绍哪些内容
这一节描述了 ISC 和 DHCP 系统中的客户端,
以及和 ISC DHCP 系统中的服务器端的组件。
客户端程序, dhclient,
是随 FreeBSD 作为它的一部分提供的; 而服务器部分,
则可以通过 net/isc-dhcp3-server port 得到。
&man.dhclient.8;、 &man.dhcp-options.5;、 以及
&man.dhclient.conf.5; 联机手册, 加上下面所介绍的参考文献,
都是非常有用的资源。
它如何工作
UDP
当 DHCP 客户程序, dhclient
在客户机上运行时, 它会开始广播请求配置信息的消息。 默认情况下,
这些请求是在 UDP 端口 68 上。 服务器通过 UDP 67
给出响应, 向客户机提供一个 IP 地址, 以及其他有关的配置参数,
例如子网掩码、 路由器, 以及 DNS 服务器。
所有这些信息都会以 DHCP
lease
的形式给出, 并且只在一段特定的时间内有效
(这是由 DHCP 服务器的维护者配置的)。 这样,
那些已经断开网络的客户机使用的陈旧的 IP 地址就能被自动地回收了。
DHCP 客户程序可以从服务器端获取大量的信息。
关于能获得的信息的详细列表, 请参考
&man.dhcp-options.5;。
FreeBSD 集成
FreeBSD 完全地集成了 ISC 或 OpenBSD 的 DHCP 客户端,
dhclient (取决于您运行的 &os; 版本)。
DHCP 客户端被安装程序直接支持,
并且是基本系统的一部分。
这使得您不再需要去了解那些已经运行了 DHCP 服务器的网络的具体配置参数。
从 FreeBSD 3.2 开始, 每一个发行版中均包含 dhclient。
sysinstall
sysinstall 能够支持 DHCP。 在
sysinstall 中配置网络接口时,
它询问的第二个问题便是: Do you want to try DHCP configuration of
the interface? (您是否希望在此接口上尝试 DHCP 配置?)
。
如果做肯定的回答, 则将运行 dhclient,
一旦成功, 则将自动地填写网络配置信息。
要在系统启动时使用 DHCP, 您必须做两件事:
DHCP
需求
您的内核中, 必须包含 bpf
设备。 如果需要这样做, 需要将
device bpf 添加到内核的编译配置文件中, 并重新编译内核。
要了解关于编译内核的进一步信息, 请参见 。 bpf
设备已经是 FreeBSD 发行版中默认的 GENERIC
内核的一部分了, 因此如果您没有对内核进行定制,
则不用创建一份新的内核配置文件, DHCP 就能工作了。
对于那些安全意识很强的人来说,
您应该知道 bpf
也是包侦听工具能够正确工作的条件之一 (当然,
它们还需要以
root 身份运行才行)。 bpf
是 使用 DHCP 所必须的,
但如果您对安全非常敏感,
则很可能会有理由不把 bpf
加入到您的内核配置中, 直到您真的需要使用 DHCP
为止。
编辑您的 /etc/rc.conf 并加入下面的设置:
ifconfig_fxp0="DHCP"
务必将 fxp0
替换为您希望自动配置的网络接口的名字, 您可以在
找到更进一步的介绍。
如果您希望使用另一位置的
dhclient,
或者需要给 dhclient 传递其他参数,
还可以添加下面的配置 (根据需要进行修改):
dhcp_program="/sbin/dhclient"
dhcp_flags=""
DHCP
服务器
DHCP 服务器, dhcpd,
是作为 net/isc-dhcp3-server port 的一部分提供的。
这个 port 包括了 ISC DHCP 服务器及其文档。
文件
DHCP
配置文件
/etc/dhclient.conf
dhclient 需要一个配置文件,
/etc/dhclient.conf。 一般说来,
这个文件中只包括注释, 而默认值基本上都是合理的。
这个配置文件在 &man.dhclient.conf.5; 联机手册中进行了进一步的阐述。
/sbin/dhclient
dhclient 是一个静态连编的,
它被安装到 /sbin 中。 &man.dhclient.8;
联机手册给出了关于
dhclient 的进一步细节。
/sbin/dhclient-script
dhclient-script 是一个 FreeBSD 专用的
DHCP 客户端配置脚本。 在
&man.dhclient-script.8; 中对它进行了描述,
但一般来说, 用户不需要对其进行任何修改,
就能够让一切正常运转了。
/var/db/dhclient.leases
DHCP 客户程序会维护一个数据库来保存有效的 lease,
它们被以日志的形式保存到这个文件中。 &man.dhclient.leases.5;
给出了更为细致的介绍。
进阶读物
DHCP 协议的完整描述是
RFC 2131。
关于它的其他信息资源的站点
也提供了详尽的资料。
安装和配置 DHCP 服务器
这一章包含哪些内容
这一章提供了关于如何在 FreeBSD 系统上使用 ISC
(Internet 软件协会) 的 DHCP 实现套件来架设 DHCP 服务器的信息。
DHCP 套件中的服务器部分并没有作为 FreeBSD 的一部分来提供,
因此您需要安装
net/isc-dhcp3-server
port 才能提供这个服务。 请参见
以了解关于如何使用 Ports Collection 的进一步详情。
安装 DHCP 服务器
DHCP
安装
为了在您的 FreeBSD 系统上进行配置以便作为 DHCP 服务器来使用,
需要把 &man.bpf.4; 设备编译进内核。 要完成这项工作, 需要将
device bpf 加入到您的内核配置文件中,
并重新联编内核。 要得到关于如何联编内核的进一步信息, 请参见
。
bpf 设备是 FreeBSD 所附带的
GENERIC 内核中已经联入的组件,
因此您并不需要为了让 DHCP 正常工作而特别地定制内核。
如果您有较强的安全意识, 应该注意
bpf 同时也是让听包程序能够正确工作的设备
(尽管这类程序仍然需要以特权用户身份运行)。
bpf
是 使用 DHCP 所必需的,
但如果您对安全非常敏感, 您可能会不希望将
bpf 放进内核,
直到您真的认为 DHCP 是必需的为止。
接下来要做的是编辑示范的
dhcpd.conf, 它由
net/isc-dhcp3-server port
安装。 默认情况下, 它的名字应该是
/usr/local/etc/dhcpd.conf.sample,
在开始修改之前, 您需要把它复制为
/usr/local/etc/dhcpd.conf。
配置 DHCP 服务器
DHCP
dhcpd.conf
dhcpd.conf 包含了一系列关于子网和主机的定义,
下面的例子可以帮助您理解它:
option domain-name "example.com";
option domain-name-servers 192.168.4.100;
option subnet-mask 255.255.255.0;
default-lease-time 3600;
max-lease-time 86400;
ddns-update-style none;
subnet 192.168.4.0 netmask 255.255.255.0 {
range 192.168.4.129 192.168.4.254;
option routers 192.168.4.1;
}
host mailhost {
hardware ethernet 02:03:04:05:06:07;
fixed-address mailhost.example.com;
}
这个选项指定了提供给客户机作为默认搜索域的域名。 请参考
&man.resolv.conf.5; 以了解关于这一概念的详情。
这个选项用于指定一组客户机使用的 DNS 服务器,
它们之间以逗号分隔。
提供给客户机的子网掩码。
客户机可以请求租约的有效期, 而如果没有,
则服务器将指定一个租约有效期, 也就是这个值 (单位是秒)。
这是服务器允许租出地址的最大时长。
如果客户机请求了更长的租期, 则它将得到一个地址,
但其租期仅限于 max-lease-time 秒。
这个选项用于指定 DHCP 服务器在一个地址被接受或释放时是否应对应尝试更新
DNS。 在 ISC 实现中, 这一选项是 必须指定的。
指定地址池中可以用来分配给客户机的 IP 地址范围。
在这个范围之间, 以及其边界的 IP 地址将分配给客户机。
定义客户机的默认网关。
主机的硬件 MAC 地址 (这样 DHCP
服务器就能够在接到请求时知道请求的主机身份)。
指定总是得到同一 IP 地址的主机。
请注意在此处使用主机名是对的, 因为 DHCP
服务器会在返回租借地址信息之前自行解析主机名。
在配制好
dhcpd.conf 之后, 应在
/etc/rc.conf 中启用 DHCP 服务器,
也就是增加:
dhcpd_enable="YES"
dhcpd_ifaces="dc0"
此处的 dc0 接口名应改为 DHCP
服务器需要监听 DHCP 客户端请求的接口 (如果有多个, 则用空格分开)。
接下来, 可以用下面的命令来启动服务:
&prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start
如果未来您需要修改服务器的配置, 请务必牢记发送
SIGHUP 信号给
dhcpd 并 不会
导致配置文件的重新加载, 而这在其他服务程序中则是比较普遍的约定。
您需要发送 SIGTERM 信号来停止进程,
然后使用上面的命令来重新启动它。
文件
DHCP
配置文件
/usr/local/sbin/dhcpd
dhcpd 是静态连接的, 并安装到
/usr/local/sbin 中。 随 port 安装的
&man.dhcpd.8; 联机手册提供了关于
dhcpd 更为详尽的信息。
/usr/local/etc/dhcpd.conf
dhcpd 需要配置文件,
即 /usr/local/etc/dhcpd.conf
才能够向客户机提供服务。 这个文件需要包括应提供给客户机的所有信息,
以及关于服务器运行的其他信息。 此配置文件的详细描述可以在随 port
安装的 &man.dhcpd.conf.5; 联机手册上找到。
/var/db/dhcpd.leases
DHCP 服务器会维护一个它签发的租用地址数据库,
并保存在这个文件中, 这个文件是以日志的形式保存的。
随 port 安装的
&man.dhcpd.leases.5; 联机手册提供了更详细的描述。
/usr/local/sbin/dhcrelay
dhcrelay 在更为复杂的环境中,
可以用来支持使用 DHCP 服务器转发请求给另一个独立网络上的
DHCP 服务器。 如果您需要这个功能, 需要安装 net/isc-dhcp3-relay port。
&man.dhcrelay.8; 联机手册提供了更为详尽的介绍。
Chern
Lee
Contributed by
Tom
Rhodes
Daniel
Gerzo
域名系统 (<acronym>DNS</acronym>)
纵览
BIND
&os; 在默认情况下使用一个版本的 BIND (Berkeley
Internet Name Domain), 这是目前最为流行的 DNS 协议实现。
DNS 是一种协议, 可以通过它将域名同 IP 地址相互对应。
例如, 查询 www.FreeBSD.org
将得到 &os; Project 的 web 服务器的 IP 地址, 而查询 ftp.FreeBSD.org 则将得到响应的 FTP 机器的
IP 地址。 类似地, 也可以做相反的事情。 查询 IP
地址可以得到其主机名。 当然, 完成 DNS
查询并不需要在系统中运行域名服务器。
目前, 默认情况下&os; 使用的是 BIND9
DNS 服务软件。 我们内建于系统中的版本提供了增强的安全特性、
新的文件目录结构, 以及自动的 &man.chroot.8; 配置。
DNS
在 Internet 上的 DNS 是通过一套较为复杂的权威根域名系统,
顶级域名 (TLD), 以及一系列小规模的,
提供少量域名解析服务并对域名信息进行缓存的域名服务器组成的。
目前, BIND 由
Internet Software Consortium
维护。
术语
要理解这份文档, 需要首先了解一些相关的
DNS 术语。
resolver (解析器)
reverse DNS (反向 DNS)
root zone (根域)
术语
定义
正向 DNS
将域名映射到 IP 地址
原点 (Origin)
表示特定域文件所在的域
named, BIND, 域名服务器
在 &os; 中 BIND 域名服务器软件包的常见叫法。
解析器 (Resolver)
计算机用以向域名服务器查询域名信息的一个系统进程
反向 DNS
与正向 DNS 相对; 将 IP 地址映射为主机名
根域
Internet 域层次的起点。 所有的域都在根域之下,
类似文件系统中, 文件都在根目录之下那样。
域 (Zone)
独立的域, 子域, 或者由同一机构管理的 DNS 的一部分。
域
例子
域的例子:
. 是根域。
org. 是根域之下的一个顶级域名
(TLD)。
example.org. 是在
org.
TLD 之下的一个域。
1.168.192.in-addr.arpa 是一个表示所有
192.168.1.*
IP 地址空间中 IP
地址的域。
如您所见, 域名中越细节的部分会越靠左出现。
例如, example.org. 就比
org. 范围更小, 而 org. 又比根域更小。
域名各个部分的格局与文件系统十分类似:
/dev 目录在根目录中,
等等。
运行域名服务器的理由
域名服务器通常会有两种形式: 权威域名服务器,
以及缓存域名服务器。
下列情况需要有权威域名服务器:
想要向全世界提供 DNS 信息,
并对请求给出权威应答。
注册了类似 example.org
的域, 而需要将 IP 指定到其下的主机名上。
某个 IP 地址块需要反向
DNS 项 (IP 到主机名)。
备份服务器, 或常说的从 (slave) 服务器,
会在主服务器出现问题或无法访问时来应答查询请求。
下列情况需要有缓存域名服务器:
本地的 DNS 服务器能够缓存,
并比直接向外界的域名服务器请求更快地得到应答。
当有人查询 www.FreeBSD.org 时,解析器通常会向上级
ISP 的域名服务器发出请求, 并获得回应。 如果有本地的缓存 DNS
服务器, 查询只有在第一次被缓存 DNS 服务器发到外部世界。
其他的查询不会发向局域网外, 因为它们已经有在本地的缓存了。
DNS 如何运作
在 &os; 中, BIND 服务程序被称为
named, 其原因显而易见。
文件
描述
&man.named.8;
BIND 服务程序
&man.rndc.8;
域名服务控制程序
/etc/namedb
BIND 存放域名信息的位置
/etc/namedb/named.conf
域名服务配置文件
随在服务器上配置的域的性质不同, 域的定义文件一般会存放到
/etc/namedb 目录中的 master、 slave, 或 dynamic 子目录里。
这些文件包含了在域名服务器发出回应时所需的 DNS 信息。
启动 BIND
BIND
starting (启动)
由于 BIND 是默认安装的, 因此配置它相对而言很简单。
默认的 named 配置是在
&man.chroot.8; 环境中提供基本的域名解析服务。
如果希望启动一下这种配置, 可以执行下面的命令:
&prompt.root; /etc/rc.d/named forcestart
如果希望 named
服务在每次启动的时候都能够启动, 需要在
/etc/rc.conf 中加入:
named_enable="YES"
当然, 除了这份文档所介绍的配置选项之外, 在
/etc/namedb/named.conf 中还有很多其它的选项。
不过, 如果您需要了解 &os; 中用于启动 named
的那些选项的话, 则可以查看
/etc/defaults/rc.conf 中的
named_* 参数, 并参考
&man.rc.conf.5; 联机手册。 除此之外,
也是一个不错的起点。
配置文件
BIND
configuration files (配置文件)
目前, named 的配置文件存放于
/etc/namedb 目录中,
在使用前需要根据需要进行修改,
除非只打算用它来完成简单的域名解析任务。
同时这个目录也是进行绝大多数配置的地方。
使用 <command>make-localhost</command>
要为 localhost 配置主域, 需要进入
/etc/namedb 目录,
并运行下面的命令:
&prompt.root; sh make-localhost
如果一切正常的话, 在
master 子目录中会增加一组文件。
本地域名对应的文件是 localhost.rev,
而 IPv6 对应的配置则是 localhost-v6.rev。
作为默认配置, 所需的信息已经放到了
named.conf 文件中。
<filename>/etc/namedb/named.conf</filename>
// $FreeBSD$
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works. Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.
options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
listen-on { 127.0.0.1; };
// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver. To give access to the network, specify
// an IPv6 address, or the keyword "any".
// listen-on-v6 { ::1; };
// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
// forward only;
// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below. This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
/*
forwarders {
127.0.0.1;
};
*/
正如注释所言, 如果希望从上级缓存中受益,
可以在此处启用 forwarders。
正常情况下, 域名服务器会逐级地查询
Internet 来找到特定的域名服务器, 直到得到答案为止。
这个选项将让它首先查询上级域名服务器 (或另外提供的域名服务器),
从而从它们的缓存中得到结果。 如果上级域名服务器是一个繁忙的高速域名服务器,
则启用它将有助于改善服务品质。
127.0.0.1
不会 正常工作。
一定要把地址改为您上级服务器的 IP 地址。
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND versions 8 and later
* use a pseudo-random unprivileged UDP port by default.
*/
// query-source address * port 53;
};
// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.
zone "." {
type hint;
file "named.root";
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};
// RFC 3152
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" {
type master;
file "master/localhost-v6.rev";
};
// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries. It can be convenient to become
// a slave at least for the zone your own domain is in. Ask
// your network administrator for the IP address of the responsible
// primary.
//
// Never forget to include the reverse lookup (IN-ADDR.ARPA) zone!
// (This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended.)
//
// Before starting to set up a primary zone, make sure you fully
// understand how DNS and BIND works. There are sometimes
// non-obvious pitfalls. Setting up a slave zone is simpler.
//
// NB: Don't blindly enable the examples below. :-) Use actual names
// and addresses instead.
/* An example master zone
zone "example.net" {
type master;
file "master/example.net";
};
*/
/* An example dynamic zone
key "exampleorgkey" {
algorithm hmac-md5;
secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
type master;
allow-update {
key "exampleorgkey";
};
file "dynamic/example.org";
};
*/
/* Examples of forward and reverse slave zones
zone "example.com" {
type slave;
file "slave/example.com";
masters {
192.168.1.1;
};
};
zone "1.168.192.in-addr.arpa" {
type slave;
file "slave/1.168.192.in-addr.arpa";
masters {
192.168.1.1;
};
};
*/
在 named.conf 中,
还给出了从域、转发域和反解析域的例子。
如果新增了域, 就必需在 named.conf 中加入对应的项目。
例如, 用于
example.org 的域文件的描述类似下面这样:
zone "example.org" {
type master;
file "master/example.org";
};
如 语句所标示的那样,
这是一个主域, 其信息保存在
/etc/namedb/master/example.org
中, 如 语句所示。
zone "example.org" {
type slave;
file "slave/example.org";
};
在从域的情形中, 所指定的域的信息会从主域名服务器传递过来,
并保存到对应的文件中。 当主域服务器发生问题或不可达时,
从域名服务器就有一份可用的域名信息, 从而能够对外提供服务。
域文件
BIND
zone files (域文件)
下面的例子展示了用于 example.org 的主域文件 (存放于
/etc/namedb/master/example.org):
$TTL 3600 ; 1 hour
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum TTL
)
; DNS Servers
IN NS ns1.example.org.
IN NS ns2.example.org.
; MX Records
IN MX 10 mx.example.org.
IN MX 20 mail.example.org.
IN A 192.168.1.1
; Machine Names
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
; Aliases
www IN CNAME @
请注意以 .
结尾的主机名是全称主机名, 而结尾没有
.
的则是相对于原点的主机名。 例如,
www 将被转换为
www.原点.
在这个假想的域信息文件中, 我们的原点是
example.org., 因此 www
将被当作 www.example.org.。
域信息文件的格式如下:
记录名 IN 记录类型 值
DNS
记录
最常用的 DNS 记录:
SOA
域权威开始
NS
权威域名服务器
A
主机地址
CNAME
别名对应的正规名称
MX
邮件传递服务器
PTR
域名指针 (用于反向 DNS)
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
86400 ) ; Minimum TTL of 1 day
example.org.
域名, 同时也是这个域信息文件的原点。
ns1.example.org.
该域的主/权威域名服务器。
admin.example.org.
此域的负责人的电子邮件地址,
其中 @
被换掉了。
(admin@example.org 对应
admin.example.org)
2006051501
文件的序号。 每次修改域文件时都必须增加这个数字。
现今, 许多管理员会考虑使用
yyyymmddrr 这样的格式来表示序号。
2006051501 通常表示上次修改于
05/15/2006, 而后面的
01 则表示在那天的第一次修改。
序号非常重要, 它用于通知从域服务器更新数据。
IN NS ns1.example.org.
这是一个 NS 项。 每个准备提供权威应答的服务器都必须有一个对应项。
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
A 记录指明了机器名。 正如在前面所按倒的,
ns1.example.org 将解析为
192.168.1.2。
IN A 192.168.1.1
这一行把当前原点 example.org
指定为使用 IP 地址
192.168.1.1。
www IN CNAME @
正规名 (CNAME) 记录通常用于为某台机器指定别名。
在这个例子中, 将 www
指定成了 主
机器的一个别名,
后者的名字与域名 example.org 相同
(192.168.1.1)。
CNAME 也可以用来提供主机别名,
或将一个主机名以轮转 (round robin) 方式指定到多台服务器。
MX 记录
IN MX 10 mail.example.org.
MX 记录表示哪个邮件服务器负责接收发到这个域的邮件。
mail.example.org 是邮件服务器的主机名,
而 10 则是它的优先级。
可以有多台邮件服务器, 其优先级分别是 10、
20 等等。 尝试向 example.org 投递邮件的服务器,
会首先尝试优先级最高的 MX (优先级数值最低的记录)、
接着尝试次高的, 并重复这一过程直到邮件递送到达为止。
对于 in-addr.arpa 域名信息文件 (反向 DNS), 使用了同样的格式,
只是 PTR 项代替了 A 或 CNAME 的位置。
$TTL 3600
1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
3600 ) ; Minimum
IN NS ns1.example.org.
IN NS ns2.example.org.
1 IN PTR example.org.
2 IN PTR ns1.example.org.
3 IN PTR ns2.example.org.
4 IN PTR mx.example.org.
5 IN PTR mail.example.org.
这个文件给出了上述假想域中 IP 地址到域名的映射关系。
缓存域名服务器
BIND
缓存域名服务器
缓存域名服务器是对任何域都不提供权威解析的域名服务器。
它自己简单地完成查询, 并记住这些查询以备后续使用。
要建立这样的服务器, 只需像平时一样配置一个域名服务器,
而不配置域就可以了。
安全
尽管 BIND 是最为常用的 DNS 实现, 但它总是有一些安全问题。
时常会有人发现一些可能的甚至可以利用的安全漏洞。
尽管 &os; 会自动将
named 放到 &man.chroot.8;
环境中运行, 但仍有一些其它可用的安全机制来帮助您规避潜在的针对
DNS 服务的攻击。
阅读 CERT 的安全公告,
并订阅 the &a.security-notifications; 是一个有助于帮助您了解最新
Internet 及 &os; 安全问题的好习惯。
如果发现了问题, 确保源代码是最新的,
并重新联编一份 named 不会给您带来任何麻烦。
进一步阅读
BIND/named 联机手册:
&man.rndc.8; &man.named.8; &man.named.conf.5;
官方的 ISC BIND
页面
Official ISC BIND
Forum
BIND FAQ
O'Reilly
DNS 和 BIND 第 5 版
RFC1034
- 域名 - 概念和工具
RFC1035
- 域名 - 实现及其标准
Murray
Stokely
Contributed by
Apache HTTP 服务器
web 服务器
配置
Apache
纵览
&os; 被用于运行许多全球最为繁忙的 web 站点。
大多数 Internet 上的 web 服务器,
都使用 Apache HTTP 服务器。
Apache 软件包可以在您的 FreeBSD
安装盘上找到。 如果没有在首次安装时附带安装
Apache, 则可以通过 www/apache13 或 www/apache22 port 来安装。
一旦成功地安装了 Apache,
就必须对其进行配置。
这一节介绍了 1.3.X 版本的
Apache HTTP 服务器 的配置,
因为它是随 &os; 一同使用的最多的版本。
Apache 2.X 引入了很多新技术,
但在此并不讨论。 要了解关于 Apache 2.X
的更多资料, 请参见 。
配置
Apache
配置文件
主要的 Apache HTTP Server 配置文件,
在 &os; 上会安装为
/usr/local/etc/apache/httpd.conf。
这是一个典型的 &unix; 文本配置文件, 它使用 #
作为注释符。 关于全部配置选项的详尽介绍超出了本书的范围,
这里将只介绍最常被修改的那些。
ServerRoot "/usr/local"
这指定了 Apache
安装的顶级目录。 执行文件被放到服务器根目录 (server root) 的
bin 和
sbin 子目录中,
而配置文件则位于
etc/apache。
ServerAdmin you@your.address
这个地址是在服务器发生问题时应发送电子邮件的地址,
它会出现在服务器生成的页面上, 例如错误页面。
ServerName www.example.com
ServerName 允许您配置发送回客户端的主机名,
如果您的服务器被用户以别的名字访问 (例如, 使用 www
而不是主机本身的真实名字)。
DocumentRoot "/usr/local/www/data"
DocumentRoot: 这个目录是您的文档所在的目录。
默认情况下, 所有的请求都会从这个位置去获取,
但也可以通过符号连接和别名指定其它的位置。
在修改配置之前备份
Apache 的配置文件永远是一个好习惯。
一旦对初始配置满意了, 就可以开始运行 Apache 了。
运行 <application>Apache</application>
Apache
启动和停止
与许多其它网络服务不同, Apache 并不依赖
inetd 超级服务器来运行。
一般情况下会把它配置为一个独立的服务器, 以期在客户的 web
浏览器连入 HTTP 请求时, 能够获得更好的性能。 它提供了一个 shell
脚本来使启动、 停止和重新启动服务器变得尽可能地简单。
首次启动 Apache,
只需执行:
&prompt.root; /usr/local/sbin/apachectl start
可以在任何时候使用下面的命令来停止服务:
&prompt.root; /usr/local/sbin/apachectl stop
当由于某种原因修改了配置文件之后, 需要重启服务器:
&prompt.root; /usr/local/sbin/apachectl restart
要在重启 Apache 服务器时不中断当前的连接,
则应运行:
&prompt.root; /usr/local/sbin/apachectl graceful
更多的信息, 可以在
&man.apachectl.8; 联机手册中找到。
要在系统启动时启动 Apache, 则应在
/etc/rc.conf 中加入:
apache_enable="YES"
或者对于Apache 2.2:
apache22_enable="YES"
如果您希望在系统引导时启动 Apache
httpd 程序并指定其它一些选项,
则可以把下面的行加到
rc.conf:
apache_flags=""
现在 web 服务器就开始运行了, 您可以使用 web 浏览器打开
http://localhost/。 默认显示的 web 页面是
/usr/local/www/data/index.html。
虚拟主机
Apache 支持两种不同类型的虚拟主机。
第一种方法是基于名字的虚拟主机。 基于名字的虚拟主机使用客户机发来的
HTTP/1.1 头来辨别主机名。 这使得不同的域得以共享同一个 IP 地址。
要配置 Apache 来使用基于名字的虚拟主机,
需要把类似下面的项加到您的 httpd.conf 中:
NameVirtualHost *
如果您的 web 服务器的名字是 www.domain.tld,
而您希望建立一个
www.someotherdomain.tld 的虚拟域,
则应在
httpd.conf 中加入:
<VirtualHost *>
ServerName www.domain.tld
DocumentRoot /www/domain.tld
</VirtualHost>
<VirtualHost *>
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
</VirtualHost>
您需要把上面的地址和文档路径改为所使用的那些。
要了解关于虚拟主机的更多信息,
请参考官方的 Apache 文档, 这些文档可以在 找到。
Apache 模块
Apache
模块
有许多不同的 Apache 模块,
它们可以在基本的服务器基础上提供许多附加的功能。 FreeBSD 的
Ports Collection 为安装
Apache
和常用的附加模块提供了非常方便的方法。
mod_ssl
web 服务器
安全
SSL
密码学
mod_ssl 这个模块使用 OpenSSL 库,
来提供通过 安全套接字层 (SSL v2/v3) 和 传输层安全 (TLS v1)
协议的强加密能力。
这个模块提供了从某一受信的证书签署机构申请签名证书所需的所有工具,
您可以藉此在 &os; 上运行安全的 web 服务器。
如果您未曾安装
Apache, 也可以直接安装一份包含了
mod_ssl 的版本的
Apache
1.3.X, 其方法是通过 www/apache13-modssl port 来进行。 SSL
支持已经作为 Apache 2.X 的一部分提供,
您可以通过
www/apache22 port 来安装后者。
语言绑定
Apache对于一些主要的脚本语言都有相应的模块。
这些模块使得完全使用某种脚本语言来写
Apache 模块成为可能。
他们通常也被嵌入到服务器作为一个常驻内存的解释器,
以避免启动一个外部解释器对于下一节将描述的动态网站所需时间和资源上的开销。
动态网站
web servers
dynamic
在过去的十年里,越来越多的企业为了增加收益和暴光率而转向了互联网。
这也同时增进了对于互动网页内容的需求。有些公司,比如 µsoft;
推出了基于他们专有产品的解决方案,开源社区也做出了积极的回应。
比较时尚的选择包括 Django,Ruby on Rails,
mod_perl, and
mod_php.
Django
Python
Django
Django 是一个以 BSD 许可证发布的 framework,
能让开发者快速写出高性能高品质的 web 应用程序。
它提供给一个对象关系映射组件,数据类型可以被当 Python
中的对象,和一组丰富的动态数据库访问 API,
使开发者避免了写 SQL 语句。它同时还提供了可扩展的模板系统,
让应用程序的逻辑部分与 HTML 的表现层分离。
Django 依赖与 mod_python,
- Apache, and 一个可选的 SQL
+ Apache, 和一个可选的 SQL
数据库引擎。 在设置了一些恰当的标志后,FreeBSD 的 Port
系统将会帮助你安装这些必需的依赖库。
安装 Django,Apache2, mod_python3,和 PostgreSQL
&prompt.root; cd /usr/ports/www/py-django; make all install clean -DWITH_MOD_PYTHON3 -DWITH_POSTGRESQL
在安装了 Django 和那些依赖的软件之后,
你需要创建一个 Django 项目的目录,然后配置
Apache,当有对于你网站上应用程序的某些指定的 URL
时调用内嵌的 Python 解释器。
Django/mod_python 有关 Apache 部分的配置
你需要在 Apache 的配置文件
httpd.conf 加入以下这几行,
把对某些 URL 的请求传给你的 web 应用程序:
<Location "/">
SetHandler python-program
PythonPath "['/dir/to/your/django/packages/'] + sys.path"
PythonHandler django.core.handlers.modpython
SetEnv DJANGO_SETTINGS_MODULE mysite.settings
PythonAutoReload On
PythonDebug On
</Location>
Ruby on Rails
Ruby on Rails
Ruby on Rails 是另外一个开源的 web framework,
提供了一个全面的开发框架,能帮助 web
开发者工作更有成效和快速写出强大的应用。
它能非常容易的从 posts 系统安装。
&prompt.root; cd /usr/ports/www/rubygem-rails; make all install clean
mod_perl
mod_perl
Perl
Apache/Perl 集成计划, 将 Perl
程序设计语言的强大功能, 与 Apache
HTTP 服务器 紧密地结合到了一起。
通过 mod_perl 模块,
可以完全使用 Perl 来撰写 Apache 模块。
此外, 服务器中嵌入的持久性解释器, 消除了由于启动外部的解释器为 Perl
脚本的启动所造成的性能损失。
mod_perl 通过多种方式提供。
要使用 mod_perl,
应该注意 mod_perl 1.0
只能配合 Apache 1.3 而
mod_perl 2.0 只能配合
Apache 2.X 使用。
mod_perl 1.0 可以通过
www/mod_perl 安装,
而以静态方式联编的版本, 则可以通过
www/apache13-modperl
来安装。
mod_perl 2.0 则可以通过
www/mod_perl2 安装。
Tom
Rhodes
Written by
mod_php
mod_php
PHP
PHP, 也称为 PHP:
Hypertext Preprocessor
,
是一种特别适合于 Web 开发的通用脚本语言。
它能够很容易地嵌入到 HTML 之中,
其语法接近于 C、 &java;, 以及 Perl, 以期让 web
开发人员的一迅速撰写动态生成的页面。
要获得用于
Apache web 服务器的
PHP5 支持, 可以从安装
lang/php5
port 开始。
在首次安装 lang/php5 port
的时候, 系统会自动显示可用的一系列
OPTIONS (配置选项)。 如果您没有看到菜单,
例如由于过去曾经安装过 lang/php5 port 等等,
可以用下面的命令再次显示配置菜单, 在 port 的目录中执行:
&prompt.root; make config
在配置选项对话框中, 选中
APACHE 这一项, 就可以联编出用于与
Apache web 服务器配合使用的可动态加载的
mod_php5 模块了。
由于各式各样的原因 (例如, 出于已经部署的 web 应用的兼容性考虑),
许多网站仍在使用 PHP4。 如果您需要
mod_php4 而不是
mod_php5, 请使用
lang/php4 port。
lang/php4 port 也支持许多
lang/php5 port 提供的配置和编译时选项。
前面我们已经成功地安装并配置了用于支持动态 PHP 应用所需的模块。
请检查并确认您已将下述配置加入到了
/usr/local/etc/apache/httpd.conf 中:
LoadModule php5_module libexec/apache/libphp5.so
AddModule mod_php5.c
<IfModule mod_php5.c>
DirectoryIndex index.php index.html
</IfModule>
<IfModule mod_php5.c>
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
</IfModule>
这些工作完成之后, 还需要使用
apachectl 命令来完成一次 graceful
restart 以便加载 PHP 模块:
&prompt.root; apachectl graceful
在未来您升级 PHP 时,
make config 这步操作就不再是必需的了;
您所选择的 OPTIONS 会由 &os;
的 Ports 框架自动保存。
在 &os; 中的 PHP 支持是高度模块化的,
因此基本安装的功能十分有限。 增加其他功能的支持非常简单, 只需通过
lang/php5-extensions port
即可完成。 这个 port 提供了一个菜单驱动的界面来帮助完成
PHP 扩展的安装。 另外, 也可以通过对应的 port
来单独安装扩展。
例如, 要将对于
MySQL 数据库服务器的支持加入
PHP5, 只需简单地安装
databases/php5-mysql
port。
安装完扩展之后, 必须重新启动
Apache 服务器,
来令其适应新的配置变更:
&prompt.root; apachectl graceful
Murray
Stokely
Contributed by
文件传输协议 (FTP)
FTP 服务器
纵览
文件传输协议 (FTP) 为用户提供了一个简单的, 与 FTP 服务器交换文件的方法。 &os;
系统中包含了 FTP
服务软件, ftpd。 这使得在 &os;
上建立和管理 FTP 服务器变得非常简单。
配置
最重要的配置步骤是决定允许哪些帐号访问 FTP 服务器。
一般的 &os; 系统包含了一系列系统帐号分别用于执行不同的服务程序,
但未知的用户不应被允许登录并使用这些帐号。
/etc/ftpusers 文件中, 列出了不允许通过
FTP 访问的用户。 默认情况下, 这包含了前述的系统帐号,
但也可以在这里加入其它不应通过 FTP 访问的用户。
您可能会希望限制通过 FTP 登录的某些用户,
而不是完全阻止他们使用 FTP。 这可以通过 /etc/ftpchroot
文件来完成。 这一文件列出了希望对 FTP 访问进行限制的用户和组的表。
而在 &man.ftpchroot.5; 联机手册中, 已经对此进行了详尽的介绍,
故而不再赘述。
FTP
匿名
如果您想要在服务器上启用匿名的 FTP 访问, 则必须建立一个名为
ftp 的 &os; 用户。 这样, 用户就可以使用
ftp 或 anonymous
和任意的口令 (习惯上, 应该是以那个用户的邮件地址作为口令)
来登录和访问您的 FTP 服务器。 FTP 服务器将在匿名用户登录时调用
&man.chroot.2;, 以便将其访问限制在
ftp 用户的主目录中。
有两个文本文件可以用来指定显示在 FTP 客户程序中的欢迎文字。
/etc/ftpwelcome 文件中的内容将在用户连接上之后,
在登录提示之前显示。 在成功的登录之后, 将显示
/etc/ftpmotd 文件中的内容。
请注意后者是相对于登录环境的, 因此对于匿名用户而言,
将显示 ~ftp/etc/ftpmotd。
一旦正确地配置了 FTP 服务器,
就必须在 /etc/inetd.conf 中启用它。
这里需要做的全部工作就是将注释符
#
从已有的
ftpd 行之前去掉:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
如 所介绍的那样,
修改这个文件之后, 必须让 inetd 重新加载它,
才能使新的设置生效。
现在可以通过输入下面的命令来登录您的 FTP 服务器了:
&prompt.user; ftp localhost
维护
syslog
日志文件
FTP
ftpd 服务程序使用
&man.syslog.3; 来记录消息。 默认情况下,
系统日志将把和 FTP 相关的消息记录到
/var/log/xferlog 文件中。 FTP 日志的位置,
可以通过修改
/etc/syslog.conf 中如下所示的行来修改:
ftp.info /var/log/xferlog
FTP
匿名
一定要小心对待在匿名 FTP 服务器中可能遇到的潜在问题。
一般而言, 允许匿名用户上传文件应三思。 您可能发现自己的 FTP
站点成为了交易未经授权的商业软件的论坛, 或发生更糟糕的情况。
如果不需要匿名的 FTP 上传, 可以在文件上配置权限,
使得您能够在其它匿名用户能够下载这些文件之前复查它们。
Murray
Stokely
Contributed by
为 µsoft.windows; 客户机提供文件和打印服务 (Samba)
Samba 服务器
Microsoft Windows
文件服务器
Windows 客户机
打印服务器
Windows 客户机
纵览
Samba 是一个流行的开源软件包,
它提供了针对 µsoft.windows; 客户机的文件和打印服务。
这类客户机可以连接并使用 FreeBSD 系统上的文件空间,
就如同使用本地的磁盘一样, 或者像使用本地打印机一样使用
FreeBSD 上的打印机。
Samba 软件包可以在您的 FreeBSD
安装盘上找到。 如果您没有在初次安装 FreeBSD
时安装 Samba, 则可以通过 net/samba3 port 或 package 来安装。
配置
默认的 Samba 配置文件会以
- /usr/local/share/examples/smb.conf.default 的名字安装。
- 这个文件必须复制为
+ /usr/local/share/examples/samba/smb.conf.default
+ 的名字安装。这个文件必须复制为
/usr/local/etc/smb.conf 并进行定制,
才能开始使用 Samba。
smb.conf 文件中包含了
Samba 的运行时配置信息,
例如对于打印机的定义, 以及希望共享给 &windows;
客户机的 共享文件系统
。
Samba 软件包包含了一个称为
swat 的 web 管理工具,
后者提供了配置 smb.conf 文件的简单方法。
使用 Samba Web 管理工具 (SWAT)
Samba Web 管理工具 (SWAT) 是一个通过
inetd 运行的服务程序。 因此,
需要把 /etc/inetd.conf 中下面几行的注释去掉,
才能够使用 swat
来配置 Samba:
swat stream tcp nowait/400 root /usr/local/sbin/swat swat
如 中所介绍的那样,
在修改了这个配置文件之后, 必须让 inetd
重新加载配置, 才能使其生效。
一旦在 inetd.conf 中启用了
swat, 就可以用浏览器访问
connect to 了。
您将首先使用系统的 root
帐号登录。
只要成功地登录进了
Samba 配置页面,
就可以浏览系统的文档, 或从
Globals(全局) 选项卡开始配置了。
Globals 小节对应于 [global]
小节中的变量, 前者位于
/usr/local/etc/smb.conf 中。
全局配置
无论是使用 swat,
还是直接编辑 /usr/local/etc/smb.conf,
通常首先要配置的 Samba
选项都是:
workgroup
NT 域名或工作组名,
其他计算机将通过这些名字来找到服务器。
netbios name
NetBIOS
这个选项用于设置 Samba 服务器的
NetBIOS 名字。 默认情况下, 这是所在主机的 DNS 名字的第一部分。
server string
这个选项用于设置通过 net view
命令, 以及某些其他网络工具可以查看到的关于服务器的说明性文字。
安全配置
在
/usr/local/etc/smb.conf 中的两个最重要的配置,
是选定的安全模型, 以及客户机上用户的口令存放后端。
下面的语句控制这些选项:
security
最常见的选项形式是
security = share 和 security
= user。 如果您的客户机使用用户名,
并且这些用户名与您的 &os; 机器一致,
一般应选择用户级 (user) 安全。 这是默认的安全策略,
它要求客户机首先登录, 然后才能访问共享的资源。
如果采用共享级 (share) 安全,
则客户机不需要用有效的用户名和口令登录服务器,
就能够连接共享的资源。 这是较早版本的
Samba 中的默认值。
passdb backend
NIS+
LDAP
SQL 数据库
Samba 提供了若干种不同的验证后端模型。
您可以通过 LDAP、 NIS+、 SQL 数据库, 或经过修改的口令文件,
来完成客户端的身份验证。 默认的验证模式是
smbpasswd, 这也是本章将介绍的全部内容。
假设您使用的是默认的 smbpasswd
后端, 则必须首先创建一个
/usr/local/private/smbpasswd 文件,
来允许 Samba 对客户进行身份验证。
如果您打算让 &unix; 用户帐号能够从 &windows;
客户机上登录, 可以使用下面的命令:
&prompt.root; smbpasswd -a username
请参见
官方的 Samba HOWTO
以了解关于配置选项的进一步信息。 按照前面给出的描述,
您应该已经可以启动
Samba 了。
启动 <application>Samba</application>
net/samba3 port
会增加一个新的用于控制
Samba 的启动脚本。 要启用这个脚本,
以便用它来完成启动、 停止或重启
Samba 的任务, 需要在
/etc/rc.conf 文件中加入:
samba_enable="YES"
此外, 也可以进行更细粒度的控制:
nmbd_enable="YES"
smbd_enable="YES"
这也同时配置了在系统引导时启动 Samba。
配置好之后, 就可以在任何时候通过下面的命令来启动
Samba 了:
&prompt.root; /usr/local/etc/rc.d/samba start
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.
请参见 以了解关于使用 rc 脚本的进一步信息。
Samba 事实上包含了三个相互独立的服务程序。
您应该能够看到
nmbd 和 smbd
两个服务程序都是通过 samba 脚本启动的。 如果在
smb.conf 中启用了 winbind 名字解析服务,
则应该可以看到 winbindd
服务被启动起来。
可以在任何时候通过下面的命令来停止运行
Samba:
&prompt.root; /usr/local/etc/rc.d/samba stop
Samba 是一个复杂的软件包,
它提供了用于与 µsoft.windows; 网络进行集成的各式各样的功能。
要了解关于这里所介绍的基本安装以外的其它功能,
请访问 。
Tom
Hukins
Contributed by
通过 NTP 进行时钟同步
NTP
纵览
随着时间的推移, 计算机的时钟会倾向于漂移。
网络时间协议 (NTP) 是一种确保您的时钟保持准确的方法。
许多 Internet 服务依赖、 或极大地受益于本地计算机时钟的准确性。
例如, web 服务器可能会接收到一个请求,
要求如果文件在某一时刻之后修改过才发送它。
在局域网环境中, 共享文件的计算机之间的时钟是否同步至关重要,
因为这样才能使时间戳保持一致。 类似 &man.cron.8;
这样的程序, 也依赖于正确的系统时钟, 才能够准确地执行操作。
NTP
ntpd
FreeBSD 附带了 &man.ntpd.8; NTP 服务器,
它可以用于查询其它的 NTP
服务器, 并配置本地计算机的时钟, 或者为其它机器提供服务。
选择合适的 NTP 服务器
NTP
选择服务器
为了同步您的系统时钟,
需要首先找到至少一个 NTP 服务器以供使用。 网络管理员,
或 ISP 都可能会提供用于这样目的的 NTP
服务器—请查看他们的文档以了解是否是这样。
另外, 也有一个在线的 公开的
NTP 服务器列表, 您可以从中选一个较近的 NTP 服务器。
请确认您选择的服务器的访问策略, 如果需要的话,
申请一下所需的许可。
选择多个相互不连接的 NTP 服务器是一个好主意,
这样在某个服务器不可达, 或者时钟不可靠时就可以有别的选择。
这是因为, &man.ntpd.8;
会智能地选择它收到的响应—它会更倾向于使用可靠的服务器。
配置您的机器
NTP
配置
基本配置
ntpdate
如果只想在系统启动时同步时钟,
则可以使用 &man.ntpdate.8;。 对于经常重新启动,
并且不需要经常同步的桌面系统来说这比较适合,
但绝大多数机器都应该运行 &man.ntpd.8;。
在引导时使用 &man.ntpdate.8; 来配合运行 &man.ntpd.8;
也是一个好主意。 &man.ntpd.8; 渐进地修正时钟,
而 &man.ntpdate.8; 则直接设置时钟,
无论机器的当前时间和正确时间有多大的偏差。
要启用引导时的 &man.ntpdate.8;, 需要把
ntpdate_enable="YES" 加到
/etc/rc.conf 中。 此外,
还需要通过 ntpdate_flags
来设置同步的服务器和选项,
它们将传递给 &man.ntpdate.8;。
NTP
ntp.conf
一般配置
NTP 是通过
/etc/ntp.conf 文件来进行配置的,
其格式在 &man.ntp.conf.5; 中进行了描述。
下面是一个例子:
server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net
driftfile /var/db/ntp.drift
这里, server 选项指定了使用哪一个服务器,
每一个服务器都独立一行。 如果某一台服务器上指定了 prefer
(偏好) 参数, 如上面的 ntplocal.example.com,
则会优先选择这个服务器。
如果偏好的服务器和其他服务器的响应存在显著的差别,
则丢弃它的响应, 否则将使用来自它的响应,
而不理会其他服务器。 一般来说,
prefer 参数应该标注在非常精确的 NTP
时源, 例如那些包含特殊的时间监控硬件的服务器上。
而 driftfile 选项,
则指定了用来保存系统时钟频率偏差的文件。
&man.ntpd.8; 程序使用它来自动地补偿时钟的自然漂移,
从而使时钟即使在切断了外来时源的情况下,
仍能保持相当的准确度。
另外, driftfile
选项也保存上一次响应所使用的 NTP 服务器的信息。
这个文件包含了 NTP 的内部信息, 它不应被任何其他进程修改。
控制您的服务器的访问
默认情况下, NTP 服务器可以被整个 Internet 上的主机访问。
如果在 /etc/ntp.conf 中指定 restrict
参数, 则可以控制允许哪些机器访问您的服务器。
如果希望拒绝所有的机器访问您的 NTP
服务器, 只需在
/etc/ntp.conf 中加入:
restrict default ignore
这样做会禁止您的服务器访问在本地配置中列出的服务器。
如果您需要令 NTP 服务器与外界的 NTP
服务器同步时间, 则应允许指定服务器。 请参见联机手册
&man.ntp.conf.5; 以了解进一步的细节。
如果只希望子网内的机器通过您的服务器同步时钟,
而不允许它们配置为服务器, 或作为同步时钟的节点来时用,
则加入
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
这里, 需要把 192.168.1.0 改为您网络上的
IP 地址, 并把 255.255.255.0 改为您的子网掩码。
/etc/ntp.conf 可能包含多个
restrict 选项。 要了解进一步的细节,
请参见 &man.ntp.conf.5; 的
Access Control Support(访问控制支持)
小节。
运行 NTP 服务器
要让 NTP 服务器在系统启动时随之开启,
需要把 ntpd_enable="YES" 加入到
/etc/rc.conf 中。
如果希望向 &man.ntpd.8; 传递更多参数, 需要编辑
/etc/rc.conf 中的
ntpd_flags。
要在不重新启动机器的前提下启动服务器, 需要手工运行
ntpd, 并带上
/etc/rc.conf
中的 ntpd_flags 所指定的参数。
例如:
&prompt.root; ntpd -p /var/run/ntpd.pid
在临时性的 Internet 连接上使用 ntpd
&man.ntpd.8; 程序的正常工作并不需要永久性的 Internet 连接。
然而, 如果您的临时性连接是配置为按需拨号的,
那么防止 NTP 通讯频繁触发拨号, 或保持连接就有必要了。
如果您使用用户级 PPP, 可以使用 filter
语句, 在 /etc/ppp/ppp.conf 中进行必要的设置。
例如:
set filter dial 0 deny udp src eq 123
# Prevent NTP traffic from initiating dial out
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Prevent incoming NTP traffic from keeping the connection open
set filter alive 1 deny udp dst eq 123
# Prevent outgoing NTP traffic from keeping the connection open
set filter alive 2 permit 0/0 0/0
要了解进一步的信息, 请参考 &man.ppp.8; 的 PACKET
FILTERING(包过滤) 小节, 以及
/usr/share/examples/ppp/ 中的例子。
某些 Internet 访问提供商会阻止低编号的端口,
这会导致 NTP 无法正常工作, 因为响应无法到达您的机器。
进一步的信息
关于 NTP 服务器的文档, 可以在
/usr/share/doc/ntp/ 找到 HTML
格式的版本。
diff --git a/zh_CN.GB2312/books/handbook/printing/chapter.sgml b/zh_CN.GB2312/books/handbook/printing/chapter.sgml
index 2571ac414a..ca8b1e2ec2 100644
--- a/zh_CN.GB2312/books/handbook/printing/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/printing/chapter.sgml
@@ -1,4646 +1,4646 @@
Sean
Kelly
Contributed by
Jim
Mock
Restructured and updated by
打印
概述
LPD spooling system
printing
FreeBSD 可以支持众多种类的打印机,
从最古老的针式打印机到最新的激光打印机以及它们之间所有类型的打印机。
您可以使运行的应用程序产生高质量的打印输出。
FreeBSD 也可以被设置成一个网络上的打印服务器。 它可以从包括
FreeBSD、 &windows; 及 &macos; 在内的多种其他计算机上接收打印任务。
FreeBSD 将保证任务在某时被打印, 并且可以把哪台机器, 哪位用户打印的最多记录在统计表中,
生成 横幅
页, 显示哪份打印输出的是哪位用户的等等。
在读完这章后,您将知道:
怎样配置FreeBSD后台打印。
怎样安装打印过滤器来对特殊的打印任务做特殊的处理,
包括把传来的文档转换成打印机能理解的格式。
怎样在打印输出上开启报头或者横幅页功能。
怎样打印到连接在其他计算机上的打印机。
怎样打印到直接连接在网络上的打印机。
怎样控制打印机的限制, 包括限制打印任务的大小和阻止某些用户打印。
怎样记录打印机统计表和使用情况。
怎样解决打印故障。
在读这章之前, 您应该:
知道怎样配置并安装新内核
()。
介绍
为了在 FreeBSD 中使用打印机,
需要首先配置好伯克利行式打印机后台打印系统即
LPD。
它是 FreeBSD 的标准打印控制系统。 这章介绍 LPD
后台打印系统, 在接下来将简称为 LPD,
并且将指导您完成其配置。
如果您已经熟悉了
LPD 或者其他后台打印系统, 则可以跳到 设置后台打印系统 这部分。
LPD 完全控制一台计算机上的打印机。
它负责许多的事情:
它控制本地和连接在网络上其他计算机上打印机的访问。
print jobs
它允许用户提交要打印的文件;
这些通常被认为是任务。
它为每个打印机维护一个 队列 来防止多个用户在同一时刻访问一台打印机。
它可以打印报头(也叫做banner或者
burst页使用户可以轻松的从一堆打印输出中找到它们打印的任务。
它来设置连接在串口上的打印机的通讯参数。
它能通过网络将任务发送到另外一台计算机的
LPD后台打印队列中。
它可以根据不同种类的打印机语言和打印机的性能运行特殊的过滤器来格式化任务。
它记录打印机的使用情况。
通过配置文件
(/etc/printcap)和提供的特殊过滤程序,
您可以使LPD
系统在众多种类的打印机硬件上完成上面全部的或者一些子集的功能。
为什么要用后台打印
如果您是系统唯一的用户, 您可能会奇怪为什么要在您不需要访问控制,
报头页或者打印机使用统计时为后台打印费心。
它可以设置成允许直接访问打印机, 但您还是应该使用后台打印, 因为:
LPD在后台打印任务; 您不用被迫等待数据被完全副本到打印机的时间。
&tex;
LPD可以可以方便的通过过滤器给任务加上日期/
时间的页眉或者把一种特殊的文件格式 (比如&tex; DVI 文件) 转换成一种打印机可以理解的格式。 您不必去手动做这些步骤。
许多提供打印功能的免费和商业程序想要和您计算机上的的后台打印系统通讯。
通过设置后台打印系统, 您将更轻松的支持其他以后要添加的或者现有的软件。
基本设置
要想在 LPD后台打印系统上使用打印机,
您需要设置打印机硬件和
LPD软件。 这个
文档描述了这两级设置:
参见简单打印机
设置来了解怎样连接一个打印机, 告诉
LPD怎样与
它通讯, 并且打印纯文本到
打印机。
参见 高级打印机设置
来了解怎样打印多种
特殊格式的文件, 怎样打印报头页, 怎样通过网络
打印, 怎样控制打印机的访问权限, 并且学会为打印
作业记帐统计。
简单打印机设置
这部分讲解怎样配置打印机硬件和
LPD使之与打印机配合。
讲解的基础知识有:
硬件
设置部分将讲解怎样把一台打印机连接到
您计算机的一个端口上。
软件
设置部分将讲解怎样配置
LPD后台打印的配置
文件 (/etc/printcap)。
如果您正在设置一台通过网络协议
接收数据来打印而不是通过串口或者并口的打印机,
参见 使用网络数据流界面的打印机。
尽管这部分叫简单打印机
设置
, 但还是相当复杂的。 使打印机
配合 LPD
后台打印系统在计算机上正常运转是最难的
部分。 一旦您的打印机可以正常工作后,那些高级选项, 比如报文页和记帐,
是相当简单的。
硬件设置
这部分讲述了打印机连接到计算机的多种
途径。 主要讨论了多种接口和
连接线, 还有允许 FreeBSD 与打印机通讯所需的
内核配置。
如果您已经连接好了您的打印机而且已经
用它在另外一个操作系统下成功的打印, 您
或许可以跳到这个部分软件设置。
端口和连接电缆
现在所出售的在 PC 上使用的打印机通常至少有
以下三种接口中的一个:
printers
serial
串口, 也叫 RS-232 或者 COM 口,
使用您计算机上的串口来发送数据到打印机。
串口在计算机上已经非常普遍,
而且电缆也非常容易买到且容易制作。
串口有时需要特殊的电缆,
而且可能需要您去配置稍微有点儿复杂的通讯选项。
大多数 PC 的串口的最高传输速度只有 115200 bps,
这使得打印很大的图像需要的时间很长。
printers
parallel
并口
使用计算机上的并口来发送数据到打印机。
并口在计算机上也已经非常普遍,
而且速度高于 RS-232 串口。 电缆非常容易买到,
但很难手工制作。 并口通常没有通讯选项,
这使得配置它相当简单。
centronics
parallel printers
并口按打印机上的接头来命名也叫做
Centronics
接口。
printers
USB
USB 接口, 即通用串行总线,
可以达到比并口和串口高很多的速度。 其电缆既简单又便宜。
USB 用来打印比串口和并口更有优势, 但 &unix;
系统不能很好的支持它。 避免这个问题的方法就是购买一台
像大多数打印机一样的既有 USB 接口又有并口的
打印机。
一般来说并口只提供单向通讯
(计算机到打印机), 而串口和
USB 则可以提供双向通讯。 新的并口 (EPP 和
ECP) 及打印机在使用了
IEEE-1284 标准的电缆之后, 可以在FreeBSD下双向通讯。
PostScript
与打印机通过并口双向通讯通常由这两种方法中的一种来完成。
第一个方法是使用为 FreeBSD
编写的可以通过打印机使用的语言与打印机通讯的驱动程序。
这通常用在喷墨打印机上,
且可以用来报告剩余墨水多少和其他状态信息。
第二种方法使用在支持
&postscript; 的打印机上。
&postscript; 任务事实上由程序发送给打印机;
但它并不进行打印而是直接将结果返回给计算机。
&postscript; 也采取双向通讯来将打印中的问题报告给计算机,
比如 &postscript; 程序中的错误或者打印机卡纸。
这些信息对于用户来说也许是非常有价值的。 此外,
最好的在支持 &postscript;
的打印机上记帐的方法需要双向通讯:
询问打印机打印总页数 (打印机从出厂一共打印过多少页),
然后发送用户的任务, 之后再次查询总打印页数。
将打印前后得到的两个值相减就可以得到该用户要付多少纸钱。
并口
用并口连接打印机需要用 Centronics
电缆把打印机与计算机连接起来。
具体说明指导在打印机, 计算机的说明书上应该有,
或者干脆两个上面都有。
记住您用的计算机上的哪个并口。
第一个并口在 FreeBSD 上叫 /dev/ppc0;
第二个叫 /dev/ppc1, 依此类推。
打印机设备也用同样的方法命名:
/dev/lpt0
是接在第一个并口上的打印机, 依此类推。
串口
用串口连接打印机需要用
合适的串口电缆把打印机与计算机连接起来。 具体
说明指导应该在打印机, 计算机的说明书上有, 或者
同样干脆两个上面都有。
如果您不确定什么样儿的电缆才是 合适的串口
电缆
, 您可以尝试以下几种不同的
电缆:
调制解调器 电缆每一端的
每一根引脚都直接连接到另一端
相应的引脚
上。 这种电缆也叫做
DTE-to-DCE
电缆。
null-modem cable
非调制解调器电缆上每一端的有些引脚
是与另一端相应引脚直接连接的, 而有一些则是交叉连接的 (比如, 发送数据引脚连接到
接收数据引脚 ), 还有一些引脚直接在电缆连接头儿内
短接。 这种电缆也叫做
DTE-to-DTE
电缆。
一些特殊的打印机需要的串口打印机 电缆,
是一种和非调制解调器电缆类似的电缆,
只是一些信号还是送到了另一端, 而
不是直接在连接头儿内短路。
baud rate
parity
flow control protocol
当然, 您还得为打印机设置通讯参数。
一般是通过打印机面板上的按钮或者 DIP
开关进行设置。 在计算机和打印机上都选择它们所支持的最高
波特 (每秒多少比特, 有时也叫
波特率) 的传输速率。
选择7或者8个数据位; 选择不校验,
偶校验或者奇校验; 选择1个或2个停止位。 还要选择流量控制协议:
无, XON/XOFF (也叫做
in-band
或 软件
) 流量控制。
记住您的软件配置中的参数也要设成上面的数值。
软件设置
这部分描述了要使用FreeBSD系统中的
LPD 后台打印系统进行打印所需的软件设置。
包括这几个步骤:
在需要的时候配置内核来允许您连接
打印机的端口; 配置内核 部分会告诉您
需要做什么。
如果您使用并口, 则需要设置一下
并口的通讯模式; 设置
并口通讯模式 部分会告诉您具体的
细节。
测试操作系统是否能够发送数据到打印机。
检测打印机
联机状况 部分会告诉您要怎样
做。
为 LPD 设置与打印机匹配的参数则
通过修改
/etc/printcap 这个文件来完成。 这章后面
的部分将讲解如何来完成设置。
配置内核
操作系统的内核为了使某些特殊设备工作需要重新
编译。 打印机所用的串口、
并口就属于那些特殊设备。 因此, 可能需要
添加对串口或并口的支持,
如果内核并没有配置它们的话。
要想知道您现在使用的内核是否支持串口,
输入:
&prompt.root; grep sioN /var/run/dmesg.boot
其中 N 是串口的
编号, 从0开始。 如果您看到
类似下面的输出:
sio2 at port 0x3e8-0x3ef irq 5 on isa
sio2: type 16550A
则说明您现在使用的内核支持串口。
要想知道您现在使用的内核是否支持并口,
输入:
&prompt.root; grep ppcN /var/run/dmesg.boot
其中 N 是并口的
编号, 同样从0开始。 如果得到类似
下面的输出:
ppc0: <Parallel port> at port 0x378-0x37f irq 7 on isa0
ppc0: SMC-like chipset (ECP/EPP/PS2/NIBBLE) in COMPATIBLE mode
ppc0: FIFO with 16/16/8 bytes threshold
那么您现在使用的内核支持并口。
您可能必须为了使操作系统支持您打印机需要的串口或
并口而
重新配置内核。
要增加对串口的支持, 参见
内核配置这部分。 要增加对并口的支持, 除了参见
上面提到的那部分之外, 还要 参见下面的
部分。
设置并口的通讯模式
在使用并口时, 您可以选择
让 FreeBSD 用中断方式还是轮询方式来
与打印机通讯。 在 FreeBSD 上,
通用的打印机驱动 (&man.lpt.4;) 使用 &man.ppbus.4; 系统,
它利用 &man.ppc.4; 驱动来控制端口芯片。
中断 方式是 GENERIC 核心的默认方式。
在这种方式下, 操作系统占用一条中断请求线来检测打印机是否已经做好接收数据的准备。
轮询
方式是操作系统反复不断的询问打印机是否做好接收数据的准备。
当它返回就绪时, 核心开始发送下面要发送的数据。
中断方式速度通常会快一些,
但却占用了一条宝贵的中断请求线。 一些新出的 HP 打印机
不能正常的工作在中断模式下,
是由于一些定时问题 (还没正确的理解)
造成的。 这些打印机需要使用轮询方式。 您应该使用
任何一种方式, 只要它能正常工作就行。 一些打印机虽然在两种模式下都可以
工作, 但在中断模式下会慢的要命。
您可以用以下两种方法设定通讯模式: 通过
配置内核或者使用 &man.lptcontrol.8;
这个程序。
要通过配置内核的方法设置
通讯模式:
修改内核配置文件。 找到
一个叫 ppc0 的记录。 如果您想要设置的是
第二个并口, 那么用 ppc1
代替。 使用第三个并口的时候用 ppc2 代替,
依此类推。
如果您希望使用中断驱动模式,
则应编辑下面的配置:
hint.ppc.0.irq="N"
它在 /boot/device.hints 这个文件中,
其中 N 用正确的中断
编号代替。 同时, 核心配置文件也必须
包括 &man.ppc.4; 的驱动:
device ppc
如果您想要使用轮询方式, 只需要把
/boot/device.hints
这个文件中的下面这行删除掉:
hint.ppc.0.irq="N"
在 FreeBSD 下, 有时上面的方法并不能使并口工作在轮询方式。
大多数情况是由于 &man.acpi.4; 驱动造成的,
它可以自动侦测到设备并将其挂载到系统上, 但也因此,
它控制着打印机端口的访问模式. 您需要检查 &man.acpi.4;
的配置来解决这个问题。
保存文件。 然后配置, 建立, 并安装刚配置的内核,
最后重新启动。 参见 内核配置 这章来获得更多细节。
使用
&man.lptcontrol.8; 设置通讯模式:
输入:
&prompt.root; lptcontrol -i -d /dev/lptN
将
lptN 设置成中断方式。
输入:
&prompt.root; lptcontrol -p -d /dev/lptN
将
lptN 设置成轮询方式。
您可以把这些命令加入到
/etc/rc.local 这个文件中, 这样每次启动系统
时都会设置成您想要的方式。 参见 &man.lptcontrol.8; 来获得
更多信息。
检测打印机的通讯
在设置后台打印系统之前,
您应该确保您的计算机可以把数据
发送到打印机上。 分别独立调试打印机的通讯和后台打印系统会更简单。
我们为了测试打印机,将发送一些文本给它。 一个叫 &man.lptest.1;
的程序能胜任这项工作, 它可以让打印机立即打印出程序发给它的
字符: 它在每行打出
可以打印的 96 个 ASCII 字符。
PostScript
当我们使用的是一台 &postscript; ( 或者以其他语言为基础的 ) 打印机, 那么
需要更仔细的检测。 一段小小的 &postscript;
程序足以完成检测的任务, 比如下面这段程序:
%!PS
100 100 moveto 300 300 lineto stroke
310 310 moveto /Helvetica findfont 12 scalefont setfont
(Is this thing working?) show
showpage
可以把上面这段 &postscript; 代码写进一个文件里,
并且像下面部分的例子里那样
使用。
PCL
上面的小程序是针对 &postscript; 而不是惠普的 PCL 写的。
由于 PCL 拥有许多其他打印机没有的强大功能,
比如它支持在打印纯文本的同时夹带特殊的命令, 而
&postscript; 则不能直接打印纯文本,
所以需要对这类打印机语言进行特殊的处理。
检测并口打印机
printers
parallel
这部分内容将指导您怎样检测 FreeBSD
是否可以与一台已经连接在并口上的打印机通讯。
要测试并口上的打印机:
用 &man.su.1; 命令转换到 root 用户。
发送数据到打印机。
如果打印机可以直接打印纯文本, 可以用
&man.lptest.1;。 输入:
&prompt.root; lptest > /dev/lptN
其中 N
是并口的编号, 从0开始。
如果打印机支持 &postscript; 或其他打印机语言,
可以发送一段小程序到打印机。 输入:
&prompt.root; cat > /dev/lptN
然后, 一行一行地 输入
输入这段程序。 因为在按下 换行 或者
回车 之后, 这一行就不能再修改了。
当您输入完这段程序之后, 按
CONTROL+D,
或者其他表示文件结束的键。
另外一种办法,
您可以把这段程序写在一个文件里, 并输入:
&prompt.root; cat file > /dev/lptN
其中 file
是包含这您要发给打印机程序的文件名。
之后, 您应该看到打印出了一些东西。
如果打印出的东西看起来并不正确, 请不要着急;
我们将在后面指导您如何解决这类问题。
检测串口打印机
printers
serial
这部分将告诉您如何检测 FreeBSD
是否可以与连接在串口上的打印机通讯。
要测试连接在串口上的打印机:
通过 &man.su.1; 命令转为 root 用户。
修改 /etc/remote 这个文件。
增加下面这些内容:
printer:dv=/dev/port:br#bps-rate:pa=parity
bits-per-second
serial port
parity
其中 port
是串口的设备节点 (ttyd0、
ttyd1, 等等),
bps-rate
是与打印机通讯时使用的速率, 而
parity
是通讯时打印机要求的校验方法 (应该是 even、
odd、 none, 或
zero 之一)。
这儿有一个串口打印机的例子,
它连接在第三个串口上, 速度为 19200 波特,
不进行校验:
printer:dv=/dev/ttyd2:br#19200:pa=none
用 &man.tip.1; 连接打印机。
输入:
&prompt.root; tip printer
如果没能成功, 则要再次修改
/etc/remote 这个文件, 并且试试用
/dev/cuaaN
代替
/dev/ttydN。
发送数据到打印机。
如果打印机可以直接打印纯文本, 则用
&man.lptest.1;。 输入:
&prompt.user; $lptest
如果打印机支持 &postscript; 或者其他
打印机语言, 则发送一段小程序到
打印机。 一行一行的输入程序, 必须
非常仔细 因为像退格
或者其他编辑键也许对打印机来说有它的
意义。 您同样也需要按一个特殊的
文件结束键, 让打印机知道它已经
接收了整个程序。 对于 &postscript;
打印机, 按 CONTROL+D。
或者, 您同样也可以把程序存储在一个文件里
并输入:
&prompt.user; >file
其中 file 是
包含要发送程序的文件名。 在
&man.tip.1; 发送这个文件之后, 按代表
文件结束的键。
您应该看到打印出了一些东西。
如果它们看起来并不正确也不要着急;
我们将在稍后的章节中介绍如何解决这类问题。
启用后台打印: 文件 <filename>/etc/printcap</filename>
目前, 您的打印机应该已经连好了线,
系统内核也为与打印机联机而重新配置好 (如果需要的话),
而且您也已经可以发送一些简单的数据到打印机。 现在,
我们要配置 LPD 来使其控制您的打印机。
配置 LPD 要修改
/etc/printcap 这个文件。 由于
LPD 后台打印系统在每次使用后台打印的时候,
都会读取这个文件, 因此对这个文件的修改会立即生效。
printers
capabilities
&man.printcap.5; 这个文件的格式很简单。
您可以用您最喜欢的文本编辑器来修改
/etc/printcap 这个文件。
这种格式和其他的像
/usr/share/misc/termcap 和
/etc/remote 这类文件是一样的。
要得到关于这种格式的详尽信息,
请参阅联机手册 &man.cgetent.3;。
简单的后台打印配置包括下面的几步:
给打印机起一个名字 (记忆和使用的别名), 然后把它们写进文件
/etc/printcap; 参见
如何为打印机命名
这章来得到更多的关于起名的帮助。
header pages
通过增加 sh 项关掉报头页
(它默认是启用的); 参见
如何禁用报头页
部分来得到更多信息。
建立一个后台打印队列的目录, 并且通过
sd 项目指定它的位置; 您可参见 创建后台打印队列目录
一节了解更多信息。
在 /dev 下设置打印机设备节点,
并且在写在 /etc/printcap
文件中 lp 项目里; 参见 识别打印机设备
这部分可以得到更多信息。 此外, 如果打印机连接在串口上,
通讯参数的设置需要写在
ms# 项中。 这些参数在 配置后台打印通讯参数
这在前面已经讨论过。
安装纯文本过滤器; 详情请参见 安装文本过滤器 小节。
用
&man.lpr.1; 命令来测试设置。 想得到更多信息可以参见
测试 和
故障排除
部分。
使用打印机语言的打印机, 如 &postscript; 打印机,
通常是不能直接打印纯文本的。 前面提到,
并且将在后面继续进行介绍的简单的设置方法,
均假定您正在安装这种只能打印它能识别的文件格式的打印机。
用户通常会希望直接在系统提供的打印机上打印纯文本。 采用
LPD 接口的程序也通常是这样设计的。
如果您正在安装这样一台打印机,
并且希望它不仅能打印使用它支持的打印机语言的任务
而且 还能打印纯文本的任务的话,
那么强烈建议您在上面提到的简单设置的步骤上增加一步:
安装从自动纯文本到 &postscript; (或者其他打印机语言)
的转换程序。 更多的细节, 请参见 在
&postscript; 打印机上打印纯文本。
打印机的命名
第一步 (简单) 就是给打印机起一个名字。
您是按功能起名字还是干脆起个古怪的名字都没有关系,
因为您可以给打印机设置许多的别名。
在
/etc/printcap 里至少有一个打印机必须指定, 别名是
lp。 这是默认的打印机名。
如果用户既没有 PRINTER 环境变量, 也没有在任何
LPD 命令的命令行中指定打印机名,
则 lp 将是默认要使用的打印机。
还有, 我们通常把最后一个别名设置成能完全描述打印机的名字,
包括厂家和型号。
一旦您选好了名字或者一些别名, 把它们放进文件
/etc/printcap 里。
打印机的名字应该从最左边的一列写起。 用竖杠来隔开每个别名,
并且在最后一个别名后面加上一个冒号。
在下面的例子中, 我们从一个基本的
/etc/printcap 开始, 它只定义了两台打印机
(一台 Diablo 630 行式打印机和一台 Panasonic KX-P4455 &postscript;
激光打印机 ):
#
# /etc/printcap for host rose
#
rattan|line|diablo|lp|Diablo 630 Line Printer:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:
在这个例子中, 第一台打印机被命名为
rattan 并且设置了
line, diablo,
lp, 和 Diablo 630 Line
Printer 这几个别名。 因为它被设置了
lp 这个别名, 所以它是默认打印机。 第二台
被命名为 bamboo, 并且设置了
ps, PS,
S, panasonic, 和
Panasonic KX-P4455 PostScript v51.4 这几个别名。
建立后台打印队列目录
printer spool
print jobs
下一步设置就是要建立一个
后台打印队列目录,
也就是在打印任务最终完成之前用于存放这些任务的目录,
这个目录中也会存放后台打印系统用到的其他一些文件。
由于后台打印队列目录的变量本质, 通常
把这些目录安排在
/var/spool 下。 您也没有必要去
备份后台打印队列目录里的内容。
重新建立它们只要简单的使用 &man.mkdir.1; 命令。
通常, 我们习惯将目录名起成和
打印机一样的名字, 像下面
这样:
&prompt.root; mkdir /var/spool/printer-name
然而, 如果您有很多网络打印机,
您可能想要把这些后台打印的队列目录目录放在一个单独的专为使用
LPD 打印而准备的目录里。
我们将用我们的两台打印机
rattan 和
bamboo 作为例子:
&prompt.root; mkdir /var/spool/lpd
&prompt.root; mkdir /var/spool/lpd/rattan
&prompt.root; mkdir /var/spool/lpd/bamboo
如果担心用户任务的保密性,
可能会希望保护相应的后台打印队列目录, 使之不能被其他用户访问。
后台打印的队列目录的属主应该是 daemon 用户,
而 daemon 用户和 daemon 组拥有读写和搜索的权限,
但其他用户没有。 接下来用我们的两台打印机作为例子:
&prompt.root; chown daemon:daemon /var/spool/lpd/rattan
&prompt.root; chown daemon:daemon /var/spool/lpd/bamboo
&prompt.root; chmod 770 /var/spool/lpd/rattan
&prompt.root; chmod 770 /var/spool/lpd/bamboo
最后, 您需要通过/etc/printcap 文件告诉 LPD
这些目录。 您可以用 sd 标记来指定后台打印队列目录的路径:
#
# /etc/printcap for host rose - added spooling directories
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:
注意打印机的名字要从第 1 列开始, 其他记录每行都要用
TAB 键缩进一次, 写不开需要换行在最后加上反斜杠。
如果您没用
sd 标记指定后台打印队列目录, 后台打印系统会将
/var/spool/lpd 目录作为默认目录。
识别打印机设备
在 端口与对应的设备项 章节中, 我们确定了使用
/dev 目录中的哪个节点来让 FreeBSD 与打印机
通讯。 现在, 我们来告诉
LPD 这个
信息。 当后台打印系统有任务需要打印, 它
将为过滤程序(负责传送数据到打印机)打开
指定的设备。
用 lp 标记在 /etc/printcap 里列出 /dev
下的设备节点。
在我们的例子中, 假设打印机
rattan 在第一个并口上, 打印机
bamboo 在第六个串口上; 下面是
要对 /etc/printcap 文件里增加的内容 :
#
# /etc/printcap for host rose - identified what devices to use
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:\
:lp=/dev/ttyd5:
如果您没在您的 /etc/printcap 文件中
用 lp 标记指定设备节点,
LPD 将默认使用 /dev/lp
。
/dev/lp 目前在
FreeBSD 中不存在。
如果您正在安装的打印机是连接在
并口上的, 请跳到 安装文本
过滤器 这章。 如果不是的话, 还是最好按下面介绍的
步骤做。
配置后台打印通讯参数
printers
serial
对于连在串口上的打印机, LPD
可以为发送数据到打印机的过滤程序设置好波特率,
校验, 和其他串口通讯参数
。 这是有利的,
因为:
它可以让您只需简单的修改
/etc/printcap 就能尝试不同的通讯
参数; 您并不需要去重新编译过滤器
程序。
它使得后台打印系统可以在
多台有不同串口通讯设置的打印机上使用
相同的过滤器程序。
下面这个 /etc/printcap 中
用 lp 标记来控制列出设备的
串口通讯参数 :
br#bps-rate
设置设备的通讯速度为
bps-rate, 这里
bps-rate 可以为 50, 75, 110,
134, 150, 200, 300, 600, 1200, 1800, 2400, 4800, 9600,
19200, 38400, 57600, or 115200 比特每秒。
ms#stty-mode
设置已打开的中端设备的选项
。 &man.stty.1; 将详细
讲述可用的选项。
当 LPD 打开
用 lp 指定的设备时, 它会
将设备的特性设置成在
ms# 标记后指定的那样。 特别是
parenb,
parodd, cs5,
cs6, cs7,
cs8, cstopb,
crtscts, 和 ixon
这些模式, 它们在 &man.stty.1;
手册中有详细说明。
我们举个例子来添加我们连在第6个串口上的
打印机。 我们将设波特为38400。 至于模式,
我们将用 -parenb 设置成不校验,
用 cs8 设置成8位字符,
用 clocal 设置成不要调制解调器控制,
用 crtscts 设置成硬件流量控制:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:
安装文本过滤器
printing
filters
我们现在准备告诉 LPD
使用什么文本过滤器
给打印机发送任务。 文本过滤器,
也叫 输入过滤器, 是一个
在 LPD 有一个任务要发给
打印机时运行的程序。 当 LPD
为打印机运行文本过滤器时, 它设置过滤器的
标准输入为要发给打印机的任务, 而标准输出为
用 lp 标记指定的打印机
。 过滤器先从标准输入读取
任务, 为打印机进行一些转换
, 并将结果写到标准输出, 这些结果
将被打印。 想得到更多关于文本过滤器的信息, 见
过滤器
这节。
对于简单的打印机设置, 文本过滤器可以仅仅是一段
执行 /bin/cat 的 shell 脚本来
发送任务到打印机。
FreeBSD 还提供了一个叫做
lpf 的过滤器, 它可以处理退格和下划线来
使那些可能不能很好处理这类字符流的打印机正常工作。
而且, 当然, 您可以用任何其他的
您想用的过滤程序。 lpf 过滤器在
lpf: 一个文本
过滤器 这节将有详细描述。
首先, 我们来写一段叫做
/usr/local/libexec/if-simple 的简单
shell 脚本作为文本过滤器。 用您熟悉的文本编辑器将下面的内容放进
这个文件:
#!/bin/sh
#
# if-simple - Simple text input filter for lpd
# Installed in /usr/local/libexec/if-simple
#
# Simply copies stdin to stdout. Ignores all filter arguments.
/bin/cat && exit 0
exit 2
使这个文件可以被执行:
&prompt.root; chmod 555 /usr/local/libexec/if-simple
然后用
if 标记在
/etc/printcap 里告诉 LPD 使用这个脚本。 我们将仍然为
一直作为例子的这两台打印机在
/etc/printcap 里增加这个标记:
#
# /etc/printcap for host rose - added text filter
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\ :lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:\
:if=/usr/local/libexec/if-simple:
if-simple 脚本的副本可以在 /usr/share/examples/printing
目录中找到。
开启 <application>LPD</application>
&man.lpd.8; 在 /etc/rc 中被运行,
它是否被运行由 lpd_enable 这个变量控制。 这个
变量默认是 NO。 如果您还没有修改
, 那么增加这行:
lpd_enable="YES"
到 /etc/rc.conf 文件当中, 然后既可以重启您的
机器, 也可以直接运行 &man.lpd.8;。
&prompt.root; lpd
测试
现在已经基本完成了
LPD 的基本设置。
但不幸的是, 还不是庆祝的时候,
因为我们还需要测试设置并且修正所有的
问题。 要测试设置, 尝试打印一些东西。 要
用 LPD 系统打印, 您可以
使用 &man.lpr.1; 命令,
它可以提交一个任务来打印。
您可以联合使用 &man.lpr.1; 和 the &man.lptest.1;
程序, 在 检查打印机
通讯 这节介绍怎样生成一些测试文本。
要测试简单 LPD
设置:
输入:
&prompt.root; lptest 20 5 | lpr -Pprinter-name
其中 printer-name 是
在 /etc/printcap 中指定的打印机的一个名字 ( 或者一个别名)
。 要测试默认
打印机, 输入 &man.lpr.1; 不带任何
选项。 同样, 如果您正在测试一台使用
&postscript; 的打印机, 发送一个 &postscript; 程序到打印机而不是
使用 &man.lptest.1;。 您可以把程序放在一个
文件里, 然后输入: lpr
file。
对于一台 &postscript; 打印机, 您应该得到那段程序的
结果。 而如果您使用的 &man.lptest.1;, 则您得到的
结果应该看起来像下面这样:
!"#$%&'()*+,-./01234
"#$%&'()*+,-./012345
#$%&'()*+,-./0123456
$%&'()*+,-./01234567
%&'()*+,-./012345678
要更进一步的测试打印机, 尝试下载一些大的
程序 (为基于特定语言的打印机 ) 或者运行
&man.lptest.1; 并使用不同的参数。 比如,
lptest 80 60 将生成 60 行 每行 80
个字符。
如果打印机不能工作, 参考 故障排除
这节。
高级设置
这部分将描述用来打印特别格式文件,
页眉, 通过网络打印, 以及对打印机使用限制和
记帐。
过滤器
printing
filters
尽管 LPD 处理网络协议,
任务排队, 访问控制,
和打印的其他方面, 但大部分 实际
工作还是由 过滤器。 过滤器是
一种与打印机通讯并且处理设备依赖和特殊需要的
程序。 在简单打印机设置这节里,
我们安装了一个纯文本过滤器 — 一个应该可以用在大多数
打印机上的极简单的过滤器 ( 安装
文本过滤器)。
然而, 为了进行格式转换, 打印
记帐, 适应特殊的打印机, 等等,
您需要明白过滤器是怎样工作的。
在根本上过滤器负责处理这些方面。
但坏消息是大多数时候
您 必须自己提供过滤器。 好消息
是很多过滤器通常都已经有了; 当没有的时候, 它们
通常也是很好写的。
FreeBSD 也提供了一个过滤器,
/usr/libexec/lpr/lpf, 可以让大多数可以打印纯文本的
打印机工作。 ( 它处理文件里的退格和
跳格, 并且进行记帐, 但这基本就是它所有能做的了。 )
这里还有几个过滤器和过滤器组件在 FreeBSD
Ports Collection 里。
这是在这节里您将找到的内容:
在 过滤器是如何工作的
小节中将介绍在打印过程中过滤器的作用。
如果希望了解在 LPD 使用过滤器时,
在 幕后
发生的事情, 便应阅读这一小节。
了解这些知识能够帮助您在为打印机安装过滤器时更快地排查可能会遇到的各种问题。
LPD 假定任何打印机在默认状态下均能打印纯文本内容。
对于不能直接打印纯文本的 &postscript; 打印机 (以及其他基于打印语言的打印机)
而言这会带来问题。 在 在 &postscript; 打印机上使用纯文本任务
这节中将会介绍如何解决这个问题的方法。 如果您使用
&postscript; 打印机, 就应阅读这节内容。
&postscript; 对于许多程序来说都是一个非常受欢迎的输出格式。
一些人甚至直接写 &postscript; 代码。 但不幸的是,
&postscript; 打印机非常昂贵。 模拟 &postscript; 在
非 &postscript; 打印机上 这节将告诉您怎样进一步修改
打印机的文本过滤器, 使得一台 非 &postscript; 打印机接受
并打印 &postscript; 数据。 如果
您没有 &postscript; 打印机, 那么您应该阅读这个小节。
转换过滤器
这节讲述了一个自动把指定格式文件, 比如图像或排版数据,
转换成您打印机可以理解的格式的方法。 在阅读了这节之后,
您就应该可以配置打印机, 让用户可以用 lpr -t
来打印 troff 数据、 用
lpr -d 来打印 &tex; DVI 数据, 或用 lpr
-v 来打印光栅图像数据等工作了。 建议您阅读这节。
输出
过滤器 这节讲述了这个不是经常使用的
LPD:
的功能-输出过滤器。 除非您要打印页眉 (见 页眉 这节 ),
您或许可以完全跳过这节。
lpf: 一个文本
过滤器 描述了 lpf, 一个 FreeBSD 自带的相当
完整而又简单的文本过滤器, 可以使用在行式打印机 (和那些担当行式打印机功能的激光
打印机 ) 上。 如果
您需要一个快速的方法来让打印机统计打印纯文本的工作量
, 或者您有一台遇到退格字符就冒烟的打印机
, 您应该考虑
lpf。
您可以在 /usr/share/examples/printing
目录中找到下面将提到的那些脚本的副本。
过滤器是怎样工作的
前面说过, 过滤器是一个被
LPD 启动, 用来处理与打印机通讯过程中设备依赖的部分
的可执行程序。
当 LPD 想要打印
一个任务中的文件, 它启动一个过滤器
程序。 它把要打印的文件设置成过滤器的标准输入,
标准输出设置成打印机, 并且把错误信息定向到
错误日志文件 (在 lf
标识里指定, 默认在 /etc/printcap, 或者
/dev/console 文件里 )。
troff
过滤器被 LPD 启动, 并且
过滤器的参数依赖于
/etc/printcap 文件中所列出的和
用户为任务用
&man.lpr.1; 命令所指定的。 例如, 如果用户输入
lpr -t, LPD 会
启动 troff 过滤器, 即在
目标打印机的 tf 标签里所列出的过滤器。
如果用户想要打印纯文本, 它将会启动
if ***过滤器 ( 这是通常的情况: 参见 输出过滤器 来得到
细节 )。
在
/etc/printcap 文件中, 您可以指定三种过滤器:
The 文本过滤器 , 在 LPD 文档中也叫做
输入过滤器
, 处理
常规的文本打印。 可以把它想象成默认过滤器。
LPD
假定每台打印机默认情况下都可以打印纯文本,
而文本过滤器的任务就是来搞定退格、 跳格,
或者其他在某种打印机上容易错误的特殊字符。
如果您所在的环境对打印机的使用情况进行记帐,
那么文本过滤器必须也对打印的页数进行统计,
通常是根据打印的行数和打印机在每页上能打印的行数进行计算得出。
文本过滤器的启动命令为:
filter-name
-c
-w width
-l length
-i indent
-n login
-h host
acct-file
这里
当任务用 lpr
-l 这个命令提交时出现
width
这里取您在 /etc/printcap 文件中指定的 pw (页
宽) 标签的值, 默认为 132。
length
这里取您的 pl (页
长) 标签的值, 默认为 66
indent
这里是来自 lpr
-i 命令的总缩进量, 默认为 0
login
这里是正在打印文件的用户名
host
这里是提交打印任务的主机名
acct-file
这里是来自
af 变量中指定的用于记帐的文件名。
printing
filters
转换过滤器 的功能是,
将特定格式的文件转换成打印机能够识别并打印的格式。
例如, ditroff 格式的排版数据就是无法直接打印的,
但您可以安装一个转换过滤器来将 ditroff
文件转换成一种打印机可以识别和打印的形式。 请参见 转换过滤器
这一节来了解更多细节。 如果您需要对打印进行记帐,
那么转换过滤器也必须完成记帐工作。 转换过虑器的启动命令为:
filter-name
-x pixel-width
-y pixel-height
-n login
-h host
acct-file
这其中 pixel-width 的值来自
px 标签 (默认为 0), 而
pixel-height 的值来自
py 标签 (默认为 0)。
输出过滤器 仅在没有文本过滤器时,
或者报头页被打开时使用。 就我们的经验而言,
输出过滤器是很少用到的. 在 输出过滤器 这节中会介绍它们。
启动输出过滤器的命令行只有两个参数:
filter-name
-w width
-l length
它们的作用与文本过滤器的 和
参数是一样的。
过滤器也应该在 退出
时给出下面的几种退出状态:
exit 0
过滤器已经成功的打印了文件.
exit 1
过滤器打印失败了, 但希望
LPD 试着再打印一次。
如果过滤器返回了这个状态, LPD
将重新启动过滤器。
exit 2
过滤器打印失败并且不希望
LPD 重试。 这种情况下
LPD 会放弃这个文件。
文本过滤器随 FreeBSD 一起发布,
文件名为 /usr/libexec/lpr/lpf,
它利用页宽和页长参数来决定何时发送送纸指令,
并提供位打印记帐的方法。 它使用登录名、 主机名,
和记帐文件参数来生成记帐记录。
如果您想购买过滤器, 要注意它是否是与 LPD 兼容。
如果兼容的话, 则它们必须支持前面提到的那些参数。
如果您打算编写普通的过滤器程序,
则同样需要使之支持前面那些参数和退出状态码。
在 &postscript; 打印机上打印纯文本任务
print jobs
如果您是您的计算机和 &postscript; (或其他语言的)
打印机的唯一用户, 而且您不打算发送纯文本到打印机,
并因此不打算从应用程序程序直接将纯文本发到打印机的话,
就完全不需要再关心这节的内容了。
但是, 如果打印机同时需要接收 &postscript; 和纯文本的任务,
就需要对打印机进行设置了。 要完成这项工作,
我们需要一个文本过滤器来检测到达的任务是纯文本的还是 &postscript;
格式的。 所有 &postscript; 的任务必须以
%! (其他打印机语言请参见打印机的文档)
开头。 如果任务的头两个字符是这两个,
就代表这是 &postscript; 格式的, 并且可以直接略过任务剩余的部分。
如果任务开头的两个字符不是这两个, 那么过滤器将把文本转换成
&postscript; 并打印结果。
我们怎样去做?
printers
serial
如果你有一台串口打印机, 一个好办法就是安装
lprps。 lprps
是一个可以与打印机进行双向通信 &postscript;
打印机过滤器。 它用打印机传来的详细信息来更新打印机的状态文件,
所以用户和管理员可以准确的看到打印机处在什么样的状态 (比如
缺墨 或者 卡纸)。
但更重要的是, 它包含了一个叫做 psif
的程序, 它可以检测接收到的文件是否是纯文本的, 并且将使用
textps 命令 ( 也是由
lprps 提供的程序) 转换文本到 &postscript;。 然后它会用
lprps 将任务发送到打印机。
lprps 可以在 FreeBSD Ports Collection
(详见 The Ports Collection) 中找到。
你可以根据页面的尺寸选择安装
print/lprps-a4
和 print/lprps-letter。
在安装了 lprps 之后, 只需指定
psif 这个程序的路径, 这也是包含在
lprps 中的一个程序。 如果您已经用 ports 安装好了
lprps, 将下面的内容添加到
/etc/printcap 文件中 &postscript;
打印机的记录部分中:
:if=/usr/local/libexec/psif:
同时还需要指定 rw 标签来告诉
LPD 使用读-写模式打开打印机。
如果您有一台并口的 &postscript; 打印机 (因此不能与打印机进行
lprps 需要的双向通信), 可以使用下面这段 shell
脚本来充当文本过滤器:
#!/bin/sh
#
# psif - Print PostScript or plain text on a PostScript printer
# Script version; NOT the version that comes with lprps
# Installed in /usr/local/libexec/psif
#
IFS="" read -r first_line
first_two_chars=`expr "$first_line" : '\(..\)'`
if [ "$first_two_chars" = "%!" ]; then
#
# PostScript job, print it.
#
echo "$first_line" && cat && printf "\004" && exit 0
exit 2
else
#
# Plain text, convert it, then print it.
#
( echo "$first_line"; cat ) | /usr/local/bin/textps && printf "\004" && exit 0
exit 2
fi
在上面的脚本中, textps
命令是一个独立安装的程序用来将纯文本转换成 &postscript;。
您可以使用任何您喜欢的文本到 &postscript; 转换程序。
FreeBSD Ports Collection (详见 Ports Collection)
中包含了一个功能非常完整的文本到 &postscript; 的转换程序, 它叫做
a2ps。
模拟 &postscript; 在非 &postscript; 打印机上
PostScript
emulating
Ghostscript
&postscript; 是高质量排版和打印 事实上的
标准。 而 &postscript; 也是一个
昂贵 的标准。 幸好, Aladdin
开发了一个和 &postscript; 类似的叫做
Ghostscript 的程序可以用在 FreeBSD 上。
Ghostscript 可以读取大多数 &postscript;
的文件并处理其中的页面交给多种设备,包括许多品牌的非 &postscript;
打印机。 通过安装 Ghostscript
并使用一个特殊的文本过滤器,则可以使一台非 &postscript;
打印机用起来就像真的 &postscript; 打印机一样。
Ghostscript 被收录在
FreeBSD Ports Collection 中,有许多可用的版本,
比较常用的版本是
print/ghostscript-gpl。
要模拟 &postscript;, 文本过滤器要检测是否要打印一个
&postscript; 文件。 如果不是, 那么过滤器将直接将文件发送到打印机;
否则, 它会用 Ghostscript
先将文件转换成打印机可以理解的格式。
这里有一个例子: 下面的脚本是一个针对
Hewlett Packard DeskJet 500 打印机的文本过滤器。 对于其他打印机,
替换 gs (Ghostscript)
命令中的 参数就可以了。 (输入
gs -h 来获得当前安装的
Ghostscript 所支持的设备列表。)
#!/bin/sh
#
# ifhp - Print Ghostscript-simulated PostScript on a DeskJet 500
# Installed in /usr/local/libexec/ifhp
#
# Treat LF as CR+LF (to avoid the "staircase effect" on HP/PCL
# printers):
#
printf "\033&k2G" || exit 2
#
# Read first two characters of the file
#
IFS="" read -r first_line
first_two_chars=`expr "$first_line" : '\(..\)'`
if [ "$first_two_chars" = "%!" ]; then
#
# It is PostScript; use Ghostscript to scan-convert and print it.
#
/usr/local/bin/gs -dSAFER -dNOPAUSE -q -sDEVICE=djet500 \
-sOutputFile=- - && exit 0
else
#
# Plain text or HP/PCL, so just print it directly; print a form feed
# at the end to eject the last page.
#
echo "$first_line" && cat && printf "\033&l0H" &&
exit 0
fi
exit 2
最后, 需要告知 LPD
所使用的过滤器, 通过 if 标签完成:
:if=/usr/local/libexec/ifhp:
您可以输入 lpr plain.text 和
lpr whatever.ps, 它们都应该可以成功打印。
转换过滤器
在完成了 打印机简单设置 这节中所描述的内容之后, 头一件事
恐怕就是为你喜爱的格式的文件安装转换过滤器了 (除了纯 ASCII 文本)。
为什么安装转换过滤器?
&tex;
printing DVI files
转换过滤器使打印众多格式的文件变得很容易。
比如, 假设我们大量使用 &tex;
排版系统, 并且有一台 &postscript; 打印机。
每次从 &tex; 生成一个 DVI 文件,
我们都不能直接打印它直到我们将 DVI 文件转换成 &postscript;。
转换的命令应该是下面的样子:
&prompt.user; dvips seaweed-analysis.dvi
&prompt.user; lpr seaweed-analysis.ps
通过安装 DVI 文件的转换过滤器, 我们可以跳过每次手动转换这一步, 而让
LPD 来完成这个步骤。
现在, 每次要打印 DVI 文件, 我们只需要一步就可以打印它:
&prompt.user; lpr -d seaweed-analysis.dvi
我们要 LPD 转换 DVI 文件是通过指定
选项完成的。 格式和转换
选项 这一节列出了所有的转换选项。
对于每种想要打印机支持的转换,
首先要安装 转换过滤器 然后在
/etc/printcap 中指定它的路径。
在简单打印设置中, 转换过滤器类似于文本过滤器
(详见 安装文本过滤器 )
不同的是它不是用来打印纯文本,
而是将一个文件转换成打印机能够理解的格式。
我应该安装哪个转换过滤器?
您应该安装您希望使用的转换过滤器。
如果要打印很多 DVI 数据, 就需要 DVI 转换过滤器;
如果有大量的 troff 数据,
就应该安装 troff 过滤器。
下面的表格总结了可以与
LPD配合
工作的过滤器, 以及它们在
/etc/printcap文件中的变量名, 还有如何在
lpr命令中调用它们:
文件类型
在/etc/printcap文件中的变量名
在lpr命令中调用使用的参数
cifplot
cf
DVI
df
plot
gf
ditroff
nf
FORTRAN text
rf
troff
tf
raster
vf
plain text
if
none, , or
在例子中, lpr -d就是指
打印机需要在/etc/printcap文件中
df变量所指的过滤器。
FORTRAN
不管别人怎么说, 像 FORTRAN 的文本
和 plot 这些格式已经基本不用了。 所以在您的机器上,
就可以安装其他的过滤器来替换这些参数原有的意义。
例如, 假设想要能直接打印
Printerleaf 文件 (由 Interleaf desktop
publishing 程序生成), 而且不打算打印 plot 文件,
就可以安装一个 Printerleaf 转换过滤器并且用
gf 变量指定它。 然后就可以告诉您的用户使用
lpr -g 就可以 打印 Printerleaf
文件。
安装转换过滤器
以为安装的转换过滤器不是 FreeBSD 基本系统的一部分,
所以它们可能是在
/usr/local 目录下。 通常目录
/usr/local/libexec 是保存它们的地方,
因为它们通常是通过
LPD 运行的;
普通用户应该并不需要直接运行它们。
要启用一个转换过滤器, 只需要在
/etc/printcap
文件中为目标打印机中合适的变量赋上过滤器所在的路径。
在接下来的例子当中, 我们将为
一台叫做 bamboo 的打印机添加一个转换过滤器。
下面是这个例子的 /etc/printcap 文件,
其中使用新变量 df 来为打印机
bamboo 设置转换过滤器:
#
# /etc/printcap for host rose - added df filter for bamboo
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:rw:\
:if=/usr/local/libexec/psif:\
:df=/usr/local/libexec/psdf:
这里的 DVI 过滤器是一段 shell 脚本, 名字叫做
/usr/local/libexec/psdf。
下面是它的代码:
#!/bin/sh
#
# psdf - DVI to PostScript printer filter
# Installed in /usr/local/libexec/psdf
#
# Invoked by lpd when user runs lpr -d
#
exec /usr/local/bin/dvips -f | /usr/local/libexec/lprps "$@"
这段脚本以过滤器模式运行 dvips (参数
) 并从标准输入读取要打印的任务。
然后运行 &postscript; 文本过滤器
lprps (详见 在
&postscript; 打印机上打印纯文本任务 这一节), 并且带着
LPD
传给脚本的全部参数。 lprps
工具将利用这些参数来为打印进行记帐。
更多转换过滤器应用实例
因为安装转换过滤器的步骤并不是固定的,
所以这节介绍了一些可行的例子。
在以后的安装配置过程中可以以这些例子为参考。
甚至如果合适的话, 可以完全照搬过去。
这段例子中的脚本是一个
Hewlett Packard LaserJet III-Si
打印机的光栅格式数据 (实际上也就是 GIF 文件):
#!/bin/sh
#
# hpvf - Convert GIF files into HP/PCL, then print
# Installed in /usr/local/libexec/hpvf
PATH=/usr/X11R6/bin:$PATH; export PATH
giftopnm | ppmtopgm | pgmtopbm | pbmtolj -resolution 300 \
&& exit 0 \
|| exit 2
它的工作原理就是将 GIF 文件转换成 portable anymap,
再转换成 portable graymap, 然后再转换成
portable bitmap, 最后再转换成 LaserJet/PCL- 兼容的数据。
下面是为打印机配置上上述过滤器的 /etc/printcap
文件:
#
# /etc/printcap for host orchid
#
teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\
:lp=/dev/lpt0:sh:sd=/var/spool/lpd/teak:mx#0:\
:if=/usr/local/libexec/hpif:\
:vf=/usr/local/libexec/hpvf:
下面的脚本是一个在名叫
bamboo 的这台 &postscript;
打印机上打印用 groff 排版软件生成的 troff 数据的打印过滤器:
#!/bin/sh
#
# pstf - Convert groff's troff data into PS, then print.
# Installed in /usr/local/libexec/pstf
#
exec grops | /usr/local/libexec/lprps "$@"
上面这段脚本还是用 lprps
来与打印机进行通讯。 如果打印机是接在并口上的,
那么就应该使用下面的这段脚本:
#!/bin/sh
#
# pstf - Convert groff's troff data into PS, then print.
# Installed in /usr/local/libexec/pstf
#
exec grops
这里是我们要启用过滤器需要在
/etc/printcap 里增加的内容:
:tf=/usr/local/libexec/pstf:
下面的例子也许会让许多 FORTRAN 老手羞愧。
它是一个 FORTRAN- 文本 的过滤器, 能在任意一台
可以打印纯文本的打印机上使用。 我们将为打印机
teak 安装这个过滤器:
#!/bin/sh
#
# hprf - FORTRAN text filter for LaserJet 3si:
# Installed in /usr/local/libexec/hprf
#
printf "\033&k2G" && fpr && printf "\033&l0H" &&
exit 0
exit 2
然后我们要在
/etc/printcap 中为打印机能够
teak 启用这个过滤器添加下面的内容:
:rf=/usr/local/libexec/hprf:
最后, 再给出一个有些复杂的例子。 我们将给以前介绍过的
teak 这台激光打印机添加一个 DVI
过滤器。 首先, 最容易的部分: 更新
/etc/printcap 加入 DVI
过滤器的路径:
:df=/usr/local/libexec/hpdf:
现在, 该困难的部分了: 编写过滤器。 为了实现过滤器, 我们需要一个
DVI-到-LaserJet/PCL 转换程序。 FreeBSD Ports
Collection (详见 Ports Collection 这一节)
中有一个: print/dvi2xx。
安装这个 port 就会得到我们需要的程序,
dvilj2p , 它可以将 DVI 数据转换成 LaserJet IIp,
LaserJet III, 和 LaserJet 2000 兼容的数据。
dvilj2p 工具使得过滤器
hpdf 变得十分复杂, 因为
dvilj2p 不能读取标准输入。
它需要从文件中读取数据。 更糟糕的是, 这个文件的名字必须以
.dvi 结尾。 所以使用
/dev/fd/0 作为标准输入是有问题的。
我们可以通过连接 (符号连接) 来解决这个问题。 连接一个临时的文件名
(一个以 .dvi 结尾的文件名)
到 /dev/fd/0, 从而强制
dvilj2p 从标准输入读取。
现在迎面而来的是另外一个问题, 我们不能使用
/tmp 存放临时连接。 符号连接是被用户和组
bin 拥有的。 而过滤器则是以
daemon 用户运行的。
并且 /tmp 目录设置了 sticky 位。
所以过滤器只能建立符号连接,
但它不能在用完之后清除掉这些连接。
因为它们属于不同的用户。
所以过滤器将在当前工作目录下建立符号连接,
即后台打印队列目录 (用变量
sd 在
/etc/printcap 中指定)。
这是一个非常好的让过滤器完成它工作的地方,
特别还是因为 (有时) 这个目录比起
/tmp 来有更多的可用磁盘空间。
最后, 给出过滤器的代码:
#!/bin/sh
#
# hpdf - Print DVI data on HP/PCL printer
# Installed in /usr/local/libexec/hpdf
PATH=/usr/local/bin:$PATH; export PATH
#
# Define a function to clean up our temporary files. These exist
# in the current directory, which will be the spooling directory
# for the printer.
#
cleanup() {
rm -f hpdf$$.dvi
}
#
# Define a function to handle fatal errors: print the given message
# and exit 2. Exiting with 2 tells LPD to do not try to reprint the
# job.
#
fatal() {
echo "$@" 1>&2
cleanup
exit 2
}
#
# If user removes the job, LPD will send SIGINT, so trap SIGINT
# (and a few other signals) to clean up after ourselves.
#
trap cleanup 1 2 15
#
# Make sure we are not colliding with any existing files.
#
cleanup
#
# Link the DVI input file to standard input (the file to print).
#
ln -s /dev/fd/0 hpdf$$.dvi || fatal "Cannot symlink /dev/fd/0"
#
# Make LF = CR+LF
#
printf "\033&k2G" || fatal "Cannot initialize printer"
#
# Convert and print. Return value from dvilj2p does not seem to be
# reliable, so we ignore it.
#
dvilj2p -M1 -q -e- dfhp$$.dvi
#
# Clean up and exit
#
cleanup
exit 0
自动转换: 一种替代转换过滤器的方法
以上这些转换过滤器基本上建成了您的打印环境,
但也有不足就是必须由用户来指定
(在 &man.lpr.1; 命令行中) 要使用哪一个过滤器。
如果您的用户不是对计算机很在行,
那么选用过滤器将是一件麻烦的事情。
更糟的是, 当过滤器设定的不正确时,
过滤器被用在了不它对应类型的文件上,
打印机也许会喷出上百张纸。
比只安装转换过滤器更好的方法,
就是让文本过滤器 (因为它是默认的过滤器)
来检测要打印文件的类型,
然后自动运行正确的转换过滤器。 像
file 这样的工具可以给我们一定的帮助。 当然,
要区分开
有些 文件的类型还是有困难的 — 但是, 当然,
您可以仅为它们提供转换过滤器。
apsfilter
printing
filters
apsfilter
- FreeBSD Ports Collection 包含了一个可以自动进行转换的文本过滤器,
- 名字叫做 apsfilter。
- 它可以检测出纯文本, &postscript;, 和 DVI 格式的文件,
- 并且运行相应的转换过滤器, 然后打印。
+ FreeBSD 的 Ports 套件提供了一个可以自动进行转换的文本过滤器,
+ 名字叫做 apsfilter (print/apsfilter)。
+ 它可以检测纯文本、 &postscript;、 DVI 以及几乎任何格式的文件,
+ 并在执行相应的转换之后完成打印工作。
输出过滤器
LPD 后台打印系统还支持一种我们还没有讨论过的过滤器:
输出过滤器。
输出过滤器只是用来打印纯文本的, 类似于文本过滤器,
但简化了许多地方。 如果您正在使用输出过滤器而不是文本过滤器,
那么:
LPD 为整个任务启动一个输出过滤器,
而不是为任务中的每个文件都启动一次。
LPD 不会提供任务中文件开始和结束的信息给输出过滤器。
LPD 不会提供用户名或者主机名给过滤器,
所以它是无法做打印记帐的。
事实上它只有两个参数:
过滤器-名字
-w宽度
-l长度
宽度 来自于
pw 变量, 而
length 来自于
pl 变量,
这些值都是实际问题中给打印机设置的。
不要让输出过滤器的简化所耽误。
如果想要输出过滤器完成让任务中的每个文件都重新开始一页打印是
不可能 的。 请使用文本过滤器
(也叫输入过滤器); 详见 安装文本过滤器。
此外, 实际上, 输出过滤器 更复杂 ,
它要检查发给它的字节流中是否有特殊的标志字符,
并且给自己发送信号来代替
LPD 的。
可是, 如果打算要报头页或者需要发送控制字符或者其他的初始化字符串来完成打印报头页,
那么输出过滤器则是 必需的。
(但是它也是
无用的 如果打算对打印的用户计费, 因为
LPD 不会给输出过滤器任何用户或者主机的信息。)
在一台单个的打印机上, LPD
同时允许输出过滤器、 文本过滤器和其他的过滤器。
在某些情况下, LPD 将仅会启动输出过滤器来打印报头页 (详见 报头页)。
然后 LPD 会要求输出过滤器 自己停止运行 ,
它发送给过滤器两个字节: ASCII 031跟着一个
ASCII 001。 当输出过滤器看见这两个字节
(031, 001), 它应该通过发送 SIGSTOP
信号来停止自己的运行。 当
LPD
已经运行好了其他的过滤器, 它会通过给输出过滤器发送 SIGCONT 信号来让输出过滤器重新运行。
如果仅有一个输出过滤器而 没有
文本过滤器, 并且 LPD 正在处理一个纯文本任务,
LPD 会使用输出过滤器来完成这个任务。
像以前运行一样,
输出过滤器会按顺序打印任务中的文件,
而不会插入送纸或其他进纸的命令, 但这也许并
不是 您想要的结果。 在大多数情况下,
您还是需要一个文本过滤器。
lpf 这个我们前面介绍过的文本过滤器程序,
也可以用来做输出过滤器。 如果需要使用快速且混乱的输出过滤器,
但又不想写字节检测和信号发送代码,
那么试试 lpf。
lpf 也可以包含在一个 shell 脚本中来处理任何打印机可能需要的初始化代码。
<command>lpf</command>: 一个文本过滤器
/usr/libexec/lpr/lpf 这个程序包含在
FreeBSD 的二进制程序中, 它是一个文本过滤器 (输入过滤器)。
它可以缩排输出 (用 lpr
-i 命令提交的任务), 可以打印控制字符禁止断页
用 lpr -l 提交的任务),
可以调整任务中退格和制表符打印的位置, 还可以对打印进行记帐。
它同样可以像输出过滤器一样工作。
lpf 适用于很多打印环境。
尽管它本身没有向打印机发送初始化代码的功能,
但写一个 shell
脚本来完成所需的初始化并执行
lpf 是很容易的。
page accounting
accounting
printer
为了让 lpf 可以正确的进行打印记帐,
那么需要 /etc/printcap 中的 pw 和 pl 变量都填入正确的值。
它用这些值来测定一页能打印多少文本,
并计算出任务有多少页。
想得到更多关于打印记帐的信息, 请参见 对打印机使用进行记帐。
网络打印
printers
network
network printing
FreeBSD 支持网络打印: 发送任务给远程打印机。
网络打印通常指两种不同的方式:
访问一台连接在远程主机上的打印机。
在一台主机上安装一台常规的串口或并口打印机。
然后, 设置 LPD
来通过网络访问其他主机上的打印机。
具体见 安装在远程主机上的打印机
这节。
访问一台直接连接在网络上的打印机。
打印机另有一个网络接口 (或者替代常规的串口或者并口)。
这样的打印机可能像下面这样工作:
它或许可以理解 LPD
的协议, 并且甚至可以接收远程主机发来的任务排进队列。
这样, 它就像一个普通的主机运行着
LPD 一样。 做在
安装在远程主机上的打印机
里介绍的步骤, 可以设置好这样的打印机。
它或许支持网络数据流。
这样, 把打印机 接
在一台网络上的主机上,
由这台主机负责安排任务并发送任务到打印机。
参见 带网络数据流接口的打印机
这节来得到更多安装这类打印机的建议。
安装在远程主机上的打印机
LPD 后台打印系统内建了对给其他也运行着
LPD (或者是与
LPD 兼容的) 的主机发送任务的功能。
这个功能使您可以在一台主机上安装打印机,
并让它可以在其他主机上访问。 这个功能同样适用在那些有网络接口并且可以理解
LPD 协议的打印机上。
要开启这种远程打印的功能, 首先在一台主机上安装打印机, 就是
打印服务器, 可以使用在
简单打印机设置
这节中简单设置的方法。 高级的设置可以参考 高级打印机设置 这节中你需要的部分。
一定要测试一下打印机, 看看它是不是所有您开启的
LPD 的功能都正常工作。 此外还需要确认
本地主机 允许使用 远程主机 上的
LPD
服务 (参见 限制远程打印机任务)。
printers
network
network printing
如果您正在使用一台带网络接口并与
LPD 兼容的打印机, 那么我们那下面讨论中的
打印服务器
就是打印机本身, 而
打印机名 就是您为打印机配置的名字。
参考随打印机和/或者打印机-网络接口供给的文档。
如果您正使用惠普的 Laserjet,
则打印机名 text 将自动地为您完成 LF 到
CRLF 的转换, 因而也就不需要
hpif 脚本了。
然后, 在另外一台你想要访问打印机的主机上的
/etc/printcap 文件中加入它们的记录,
像下面这样:
可以随意给这个记录起名字。 简单起见,
您可以给打印服务器使用相同的名字或者别名。
保留 lp 变量为空,
(:lp=:)。
建立一个后台打印队列目录, 并用
sd 变量指明其位置。 LPD
将把任务提交给打印服务器之前,
会把这些任务保存在这里。
在
rm 变量中放入打印服务器的名字。
在
rp 中放入打印服务器上打印机的名字。
就是这样。 不需要列出转换过滤器,
页面大小, 或者其他的一些东西在
/etc/printcap 文件中。
这有一个例子。 主机 rose 有两台打印机,
bamboo 和 rattan。
我们要让主机 orchid 的用户可以使用这两台打印机。
下面是 /etc/printcap 文件, 用在主机
orchid (详见 开启报头页)
上的。 文件中已经有了打印机
teak 的记录; 我们在主机
rose 上增加了两台打印机:
#
# /etc/printcap for host orchid - added (remote) printers on rose
#
#
# teak is local; it is connected directly to orchid:
#
teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\
:lp=/dev/lpt0:sd=/var/spool/lpd/teak:mx#0:\
:if=/usr/local/libexec/ifhp:\
:vf=/usr/local/libexec/vfhp:\
:of=/usr/local/libexec/ofhp:
#
# rattan is connected to rose; send jobs for rattan to rose:
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:lp=:rm=rose:rp=rattan:sd=/var/spool/lpd/rattan:
#
# bamboo is connected to rose as well:
#
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:lp=:rm=rose:rp=bamboo:sd=/var/spool/lpd/bamboo:
然后, 我们只需要在主机
orchid 上建立一个后台打印队列目录:
&prompt.root; mkdir -p /var/spool/lpd/rattan /var/spool/lpd/bamboo
&prompt.root; chmod 770 /var/spool/lpd/rattan /var/spool/lpd/bamboo
&prompt.root; chown daemon:daemon /var/spool/lpd/rattan /var/spool/lpd/bamboo
现在, 主机 orchid 上的用户可以打印到
rattan 和 bamboo 了。 如果,
- 比如, 一个用户在主机 orchid 上输入了
+ 比如, 一个用户在主机 orchid 上输入了:
&prompt.user; lpr -P bamboo -d sushi-review.dvi
- LPD 系统在主机 orchid
+ LPD 系统在主机 orchid
上会复制这个任务到后台打印队列目录
/var/spool/lpd/bamboo 并且记下这是一个
DVI 任务。 当主机 rose 上的打印机
bamboo 的后台打印队列目录有空间的时, 这两个
- LPDs 系统将会传输这个文件到主机
+ LPD 系统将会传输这个文件到主机
rose 上。 文件将排在主机 rose
的队列中知道最终被打印出来。 它将被从 DVI 转换成
&postscript; (因为 bamboo 是一台 &postscript; 打印机) 在主机
rose。
带有网络数据流接口的打印机
通常, 当您为打印机购买了一块网卡,
可以得到两个版本: 一个是模拟后台打印 (贵一些的版本),
或者一个只发送数据给打印机就像在使用串口或者并口一样
(便宜一些的版本)。
这节讲述如何使用这个便宜一些的版本。 要得到贵一些版本的更多信息,
参见前面章节 安装在远程主机上的打印机。
/etc/printcap 文件的格式让您指定使用哪个串口或并口,
并且还要指定 (如果您正在使用串口),
使用多快的波特, 是否使用流量控制,
为制表符延迟, 转换换行, 等等。
但是没有一种方法指定一个连接到一台正在监听 TCP/IP 的或者其他网络接口的打印机。
要发送数据到网络打印机, 就需要开发一个通讯程序,
它可以被文本或者转换过滤器调用。
下面是一些例子: 脚本
netprint 将标准输入的所有数据发送到一个连在网络上的打印机。
我们将打印机的名字作为第一个参数, 端口号跟在后面作为第二个参数, 传给
netprint。
注意它只支持单向通讯 (FreeBSD 到打印机);
很多网络打印机支持双向通讯, 并且这是您可能利用到的
(得到打印机状态, 进行打印记帐, 等等的时候。)。
#!/usr/bin/perl
#
# netprint - Text filter for printer attached to network
# Installed in /usr/local/libexec/netprint
#
$#ARGV eq 1 || die "Usage: $0 <printer-hostname> <port-number>";
$printer_host = $ARGV[0];
$printer_port = $ARGV[1];
require 'sys/socket.ph';
($ignore, $ignore, $protocol) = getprotobyname('tcp');
($ignore, $ignore, $ignore, $ignore, $address)
= gethostbyname($printer_host);
$sockaddr = pack('S n a4 x8', &AF_INET, $printer_port, $address);
socket(PRINTER, &PF_INET, &SOCK_STREAM, $protocol)
|| die "Can't create TCP/IP stream socket: $!";
connect(PRINTER, $sockaddr) || die "Can't contact $printer_host: $!";
while (<STDIN>) { print PRINTER; }
exit 0;
然后我们就可以在多种过滤器里使用这个脚本了。 加入我们有一台
Diablo 750-N 行式打印机联在网络上。 打印机在 5100 端口上接收要打印的数据。
打印机的主机名是 scrivener。
这里是为这个打印机写的文本过滤器:
#!/bin/sh
#
# diablo-if-net - Text filter for Diablo printer `scrivener' listening
# on port 5100. Installed in /usr/local/libexec/diablo-if-net
#
exec /usr/libexec/lpr/lpf "$@" | /usr/local/libexec/netprint scrivener 5100
限制打印机的使用
printers
restricting access to
这节将讲述关于限制打印机使用的问题。
LPD 系统让您可以控制谁可以访问打印机,
无论本地或是远程的,
是否他们可以打印机多份副本, 任务可以有多大,
以及打印队列的尺寸等。
限制多份副本
LPD 系统能够简化用户在打印多份副本时的工作。
用户可以用 lpr -#5
(举例) 来提交打印任务, 则会将任务中每个文件都打印五份副本。
这是不是一件很棒的事情呢。
如果您感觉多份副本会对打印机造成不必要的磨损和损耗,
您可以屏蔽掉 &man.lpr.1; 的 选项,
这可以通过在 /etc/printcap
文件中增加 sc 变量来完成。 当用户用
选项提交任务时, 他们将看到:
lpr: multiple copies are not allowed
注意当为一台远程打印机进行设置时 (参见
安装在远程主机上的打印机 这一节)
您还需要同时在远程主机的 /etc/printcap 文件中
增加sc 变量,
否则用户还是可以从其他主机上提交使用多份副本的任务。
下面是一个例子。 这个是
/etc/printcap 文件在主机
rose 上。 打印机 rattan
非常轻闲, 所以我们将允许多份副本, 但是激光打印机
bamboo 则有些忙, 所以我们禁止多份副本,
通过增加 sc
变量:
#
# /etc/printcap for host rose - restrict multiple copies on bamboo
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:sc:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:rw:\
:if=/usr/local/libexec/psif:\
:df=/usr/local/libexec/psdf:
现在, 我们还需要增机 sc 变量在主机
orchid 的
/etc/printcap 文件中 (顺便我们也禁止打印机
teak 多份打印) :
#
# /etc/printcap for host orchid - no multiple copies for local
# printer teak or remote printer bamboo
teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\
:lp=/dev/lpt0:sd=/var/spool/lpd/teak:mx#0:sc:\
:if=/usr/local/libexec/ifhp:\
:vf=/usr/local/libexec/vfhp:\
:of=/usr/local/libexec/ofhp:
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:lp=:rm=rose:rp=rattan:sd=/var/spool/lpd/rattan:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:lp=:rm=rose:rp=bamboo:sd=/var/spool/lpd/bamboo:sc:
通过使用 sc 变量, 我们阻止了
lpr -# 命令的使用, 但仍然没有禁止用户多次运行
&man.lpr.1; ,
或者多次提交任务中同样的文件,
像下面这样:
&prompt.user; lpr forsale.sign forsale.sign forsale.sign forsale.sign forsale.sign
这里有很多种方法可以阻止这种行为 (包括忽略它),
并且是免费的。
限制对打印机的访问
您可以控制谁可以打印到哪台打印机通过 &unix;
的组机制和文件 /etc/printcap 中的
rg 变量。
只要把可以访问打印机的用户放进适当的组中, 然后在
rg 变量中写上组的名字。
非这组的用户 (包括 root)
将会得到这样的提示:
lpr: Not a member of the restricted group
如果他们试图打印到被限制的打印机。
像使用 sc (禁止多份副本)
变量一样, 您需要指定 rg
在远程同样对打印机有访问限制的主机上,
如果您感觉合适的话 (参考 安装在远程主机上的打印机 这一节)。
比如, 我们将让任何人都可以访问打印机
rattan, 但只有在
artists 组中的人可以使用打印机 bamboo。
这里是类似的主机 rose 上的
/etc/printcap 文件:
#
# /etc/printcap for host rose - restricted group for bamboo
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:rw:\
:if=/usr/local/libexec/psif:\
:df=/usr/local/libexec/psdf:
Let us leave the other example
/etc/printcap file (for the host
orchid) alone. Of course, anyone on
orchid can print to bamboo. It
might be the case that we only allow certain logins on
orchid anyway, and want them to have access to the
printer. Or not.
这里每台仅能有一个限制的组。
控制提交的任务大小
print jobs
如果您有很多用户访问打印机,
可能需要对用户可以提交的文件尺寸设置一个上限。
毕竟, 文件系统中后台打印队列目录的空间是有限的,
您需要保证这里有空间来存放其他用户的任务。
print jobs
controlling
LPD 允许通过使用
mx 变量来限制任务中文件的最大字节数,
方法是指定单位为块的
BUFSIZ 数, 每块表示 1024 字节。
如果在这个变量的值是 0, 则表示不进行限制;
不过, 如果不指定
mx 变量的话,
则会使用默认值 1000 块。
这个限制是对于任务中 文件 的,
而 不是 任务总共的大小。
LPD 不会拒绝比限制大小大的文件。
但它是将限制大小以内的部分排入队列,
并且打印出来的只有这些。 剩下的部分将被丢弃。
这个行为是否正确还需讨论。
让我们来为例子打印机
rattan 和 bamboo 增加限制。
由于那些艺术家的 &postscript; 文件可能会很大,
我们将限制大小为 5 兆字节。 我们将不对纯文本行式打印机做限制:
#
# /etc/printcap for host rose
#
#
# No limit on job size:
#
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:mx#0:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:
#
# Limit of five megabytes:
#
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:mx#5000:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:rw:\
:if=/usr/local/libexec/psif:\
:df=/usr/local/libexec/psdf:
同样, 限制只对本地用户起作用。
如果设置了允许远程用户使用您的打印机, 远程用户将不会受到这些限制。
您也需要指定 mx
变量在远程主机的 /etc/printcap 文件中。
参见 安装在远程主机上的打印机
这一节来得到更多有关远程打印的信息。
除此之外, 还有另一种限制远程任务大小的方法;
参见 限制远程打印机任务。
限制远程打印机任务
LPD 后台打印系统提供了多种方法来限制从远程主机提交的任务:
主机限制
您可以控制本地
LPD 接收哪台远程主机发来的请求,
通过 /etc/hosts.equiv 文件和
/etc/hosts.lpd 文件。
LPD 查看是否到来的任务请求来自被这两个文件中列出的主机。
如果没有, LPD
会拒绝这个请求。
这些文件的格式非常简单: 每行一个主机名。
注意
/etc/hosts.equiv 文件也被
&man.ruserok.3; 协议使用, 并影响着
&man.rsh.1; and &man.rcp.1; 等程序, 所以要小心。
举个例子, 下面是
/etc/hosts.lpd 文件在主机
rose 上:
orchid
violet
madrigal.fishbaum.de
意思是主机 rose 将接收来自
orchid, violet,
和 madrigal.fishbaum.de 的请求。
如果任何其他的主机试图访问主机 rose 的
LPD, 任务将被拒绝。
大小限制
您可以控制后台打印队列目录需要保留多少空间。
建立一个叫做
minfree 的文件在后台打印队列目录下为本地打印机。
在这个文件中插入一个数字来代表多少磁盘块数 (512 字节)
的剩余空间来接收远程任务。
这让您可以保证远程用户不会填满您的文件系统。
您也可以用它来给本地用户一个优先:
他们可以在磁盘剩余空间低于
minfree
文件中的指定值后仍然可以提交任务。
比如, 让我们增加一个 minfree
文件为打印机 bamboo。 我们检查
/etc/printcap 文件来找到这个打印机的后台打印队列目录;
这里是打印机 bamboo
的记录:
bamboo|ps|PS|S|panasonic|Panasonic KX-P4455 PostScript v51.4:\
:sh:sd=/var/spool/lpd/bamboo:sc:rg=artists:mx#5000:\
:lp=/dev/ttyd5:ms#-parenb cs8 clocal crtscts:rw:mx#5000:\
:if=/usr/local/libexec/psif:\
:df=/usr/local/libexec/psdf:
后台打印队列目录在 sd
变量中给出。 我们设置 3 兆字节 (6144 磁盘块)
为文件系统上必须存在的总共剩余空间, 让
LPD 可以接受远程任务:
&prompt.root; echo 6144 > /var/spool/lpd/bamboo/minfree
用户限制
您可以控制哪些远程用户可以打印到本地打印机, 通过指定
rs 变量在
/etc/printcap 文件中。 当
rs 出现在一个本地打印机的记录中时,
LPD 将接收来自远程主机
并 在本地有同样登录名的用户提交的任务。
否则, LPD 会拒绝这个任务。
这个功能在一个 (比如) 有许多部门共享一个网络的环境中特别有用,
并且有些用户可以越过部门的边界。
通过为他们在您的系统上建立帐号,
他们可以他们自己的部门的系统里使用您的打印机。
如果 只 允许他们您的打印机,
而不是您的计算机资源, 您可以给他们
象征
帐户, 不带主目录并且设置一个没用的
shell , 比如 /usr/bin/false。
对打印机使用记帐
accounting
printer
当然, 你需要对打印付费。 为什么不? 纸张和墨水都需要花钱的。
并且这里还有维护的费用 — 打印机是由很多部件组装成的,
并且零件会坏掉。 您可以检查您的打印机,
使用形式, 和维护费用来得出每页
(或者每尺, 每米, 或者每什么) 的费用。 现在,
您怎样启动打印记帐呢?
好了, 坏消息是 LPD
后台打印系统在这个部分没有提供很多帮助。
记帐是一个对使用的打印机的种类,
打印的格式, 和
您的 在对打印机的使用计费的需求依赖性很高的。
要实现记帐, 您必须更改打印机的文本过滤器
(对纯文本任务记费) 和转换过滤器
(对其他格式的文件计费), 要统计页数或者查询打印了多少页的话。
您不可以通过使用简单的输出过滤器来逃脱计费,
因为它不能进行记帐。 参见 过滤器 这节。
通常, 有两种方法来进行记帐:
定期记帐 是更常用的方法,
可能因为它更简单。 无论合适何人打印一个任务,
过滤器都将记录用户名, 主机名, 和打印的页数到一个记帐文件。
每个月, 学期, 年, 或者任何您想设定的时间段,
收集这些不同打印机上的记帐文件,
按用户对打印的页数进行结算, 并对使用进行付费。
然后删掉所有记录文件, 开始一个新的计费周期。
实时记帐 不太常用,
可能因为它比较难。
这种方法让过滤器对用户的打印进行实时的记帐。
像磁盘配额, 记帐是实时的。
您可以组织用户打印当他们的帐户超额的时候,
并且可能提供一种方法让用户检查并调整他们的
打印配额。
但这个方法需要一些数据库代码来跟踪用户和他们的配额。
LPD 后台打印系统对两种方法都支持且很简单:
所以您需要提供过滤器
(大多数时候), 还要提供记帐代码。
但这好的方面是: 您可以有非常灵活的记帐方法。
比如, 您可以选择使用阶段记帐还是实时记帐。
您可以选择记录哪些信息:
用户名, 主机名, 任务类型, 打印页数,
使用了多少平方尺的纸, 任务打印了多长时间, 等等。
您可以通过修改过滤器来存储这些信息。
快速并且混乱的打印记帐
FreeBSD 包含两个可以让您立刻可以建立起简单的阶段记帐的程序。
它们是文本过滤器
lpf, 在 lpf: 一个文本过滤器 这节中描述, 和
&man.pac.8;, 一个收集并统计打印机记帐文件中记录的程序。
像在前面章节提到的过滤器一样
(过滤器),
LPD
启动文本或者转换过滤器并在过滤器命令行里带上记帐文件的名字。
过滤器可以使用这个参数知道该往哪写记帐记录。
这个文件的名字来自于
af 变量在
/etc/printcap 文件里, 并且如果没有指定绝对路径,
则默认是相对于后台打印队列目录的。
LPD 启动 lpf
带着页宽和页长的参数
(通过 pw 和 pl
变量)。 lpf 使用这些参数来判定将使用多少张纸。
在文件发送到打印机之后,
它就会在记帐文件中写入记录。
记录像下面这个样子:
2.00 rose:andy
3.00 rose:kelly
3.00 orchid:mary
5.00 orchid:mary
2.00 orchid:zhang
您应该让每个打印机都使用一个独立的记帐文件, 像
lpf 就没有内建文件锁逻辑,
这样两个 lpf 可能会发生彼此记录混合的情况,
如果它们同时要在同一个文件写入内容的时候。
一个最简单的保证每个打印机都使用一个独立的记帐文件的方法就是将
af=acct 写在 /etc/printcap 文件中。
然后, 每个打印机的记帐文件都会在这台打印机的后台打印队列目录中,
文件的名字叫做 acct。
当您准备对用户的打印进行收费时, 运行
&man.pac.8; 程序。 只要转换到要收集信息的这台打印机的后台打印队列目录,
然后输入 pac。
您将会得到一个美元计费的摘要像下面这样:
Login pages/feet runs price
orchid:kelly 5.00 1 $ 0.10
orchid:mary 31.00 3 $ 0.62
orchid:zhang 9.00 1 $ 0.18
rose:andy 2.00 1 $ 0.04
rose:kelly 177.00 104 $ 3.54
rose:mary 87.00 32 $ 1.74
rose:root 26.00 12 $ 0.52
total 337.00 154 $ 6.74
这些是 &man.pac.8; 需要的参数:
哪台 打印机 要结帐。
这个选项仅在用
af 变量在
/etc/printcap 文件中指定了绝对路径的情况下起作用。
以金额来排序输出来代替以用户名字字母排序。
忽略记帐文件中的主机名。 带上这个选项,
用户 smith 在主机
alpha 上与同样的用户
smith 在主机 gamma 上一样。
不带这个选项的话, 他们则是不同的用户。
使用 price
作为每页或每尺美元的单价来替代
pc 变量指定的单价在
/etc/printcap 文件中, 或者两分 (默认)。
price
可以用一个浮点数来指定。
反向排序。
建立一个记帐摘要文件,
并且截短记帐文件。
名字
…
只打印指定
名字 用户的记帐信息。
在 &man.pac.8; 默认产生的摘要中,
可以看到在不同主机上的每个用户打印了多少页。
如果在您这里, 主机不考虑 (因为用户可以使用任何主机),
运行 pac -m,
来得到下面的摘要:
Login pages/feet runs price
andy 2.00 1 $ 0.04
kelly 182.00 105 $ 3.64
mary 118.00 35 $ 2.36
root 26.00 12 $ 0.52
zhang 9.00 1 $ 0.18
total 337.00 154 $ 6.74
要以美元计算应付钱数,
&man.pac.8; 指定 pc 变量在
/etc/printcap 文件中 (默认是 200, 或者 2 分每页).
这个参数的单位是百分之一分,
在这个变量中指定每页或者每尺的价格。
您可以覆盖这个值当运行 &man.pac.8; 带着参数
的时候。 参数
的单位是美元, 而不是百分之一分。
例如,
&prompt.root; pac -p1.50
设定每页的价格是 1 美元 5 美分。
您可以通过这个选项来达到目标利润。
最终, 运行 pac -s 将存储这些信息在一个记帐文件里,
文件名和打印机帐户的名字相同,
但是带着 _sum
的后缀。 然后截短记帐文件。
当您再次运行 &man.pac.8; 的时候, 它再次读取记帐文件来得到初始的总计,
然后在记帐文件中增加信息。
怎样对打印的页数进行计数?
为了进行远程的精确记帐,
需要判断一个任务将会消耗多少张纸。
这是打印记帐问题的关键。
对于纯文本任务, 这个问题不是太难解决:
对任务中的行数进行计数然后与打印机支持的每页行数进行比较。
别忘了也对添印的行, 或者很长的逻辑上的一行但在打印机上会折成两行的这类进行记帐。
文本过滤器 lpf (在 lpf:一个文本过滤器 这节中介绍)
会在记帐时考虑这些问题。
如果正在编写一个可以进行记帐的文本过滤器,
您可能需要查看 lpf 的源代码。
怎样处理其他格式的文件?
好, 对于 DVI- 到 -LaserJet 或者 DVI- 到 -&postscript; 转换,
可以让您的过滤器输出诊断信息, 关于
dvilj 或者 dvips 命令,
并且看到多少页被转换了。 您也许可以对于其他类型的文件和转换程序进行类似操作。
但是这些方法的弱点就是事实上打印机并不是打印了所有的页。
比如, 卡纸, 缺墨,
或者炸掉了 — 但用户还是要为没有打印的部分付钱。
您该怎样做?
只有一条 肯定 的方法来进行
精确 的记帐。 购买一台可以告诉您它使用了多少纸的打印机,
并且将它连接到串口或者网络上。
几乎所有 &postscript; 打印机都支持这个小功能。
其他制造厂或其他型号也可以有这个功能 (比如 Imagen
激光网络打印机)。 为这些打印机更改过滤器使它在打印完每个任务之后接收纸张用量,
并 仅 基于这个值进行记帐。
不需要计算行数,
也不需要容易出错的文件检查。
当然, 您也总是可以大方的使打印免费。
使用打印机
printers
usage
这节将讲述如何使用在
FreeBSD 下设置好的打印机。 下面是一个用户级命令的总览:
&man.lpr.1;
打印任务
&man.lpq.1;
检查打印队列
&man.lprm.1;
从打印机的队列中移除任务
还有一个管理命令, &man.lpc.8;, 在 管理打印机 一节中有所介绍,
它可以用于控制打印机及其队列。
&man.lpr.1;, &man.lprm.1;, and &man.lpq.1;
这三个命令都接受 选项来指定对哪个打印机 / 队列进行操作,
在
/etc/printcap 文件中列出的打印机。 这允许您提交,
删除, 并检查任务在多个打印机上。 如果您不使用
选项, 那么这些命令会使用在
环境变量 PRINTER 中指定的打印机。
最终, 如果您也没有 PRINTER 这个环境变量,
这些命令的默认值是叫做 lp 的这台打印机。
从此以后, 术语 默认打印机
就是指 PRINTER 环境变量中指定的这台,
或者叫做 lp 的这一台当没有环境变量
PRINTER 的时候。
打印任务
要打印文件, 输入:
&prompt.user; lpr filename ...
printing
这个命令会打印所有列出的文件到默认打印机。
如果没有列出文件, &man.lpr.1; 会从标准输入读取打印数据。
比如, 这个命令打印一些重要的系统文件:
&prompt.user; lpr /etc/host.conf /etc/hosts.equiv
要选择一个指定的打印机, 输入:
&prompt.user; lpr -P printer-name filename ...
这个例子打印一个当前目录的长长的列表到叫做
rattan 的这台打印机:
&prompt.user; ls -l | lpr -P rattan
因为没有为
&man.lpr.1; 命令列出文件, lpr 从标准输入读入数据,
在这里是 ls
-l 命令的输出。
&man.lpr.1; 命令同样可以接受多种控制格式的选项,
应用文件转换, 生成多份副本, 等等。
要得到更多信息, 参考 打印选项 这节。
检查任务
print jobs
当使用 &man.lpr.1; 进行打印时, 您希望打印的所有数据被放在一起打包成了一个
打印任务
, 它被发送到
LPD 后台打印系统。
每台打印机都有一个任务队列,
并且您的任务在队列中等待其他用户的其他任务打印。
打印机按照先来先印的规则打印这些任务。
要显示默认打印机的队列, 输入 &man.lpq.1;。
要指定打印机, 使用 选项。
例如, 命令
&prompt.user; lpq -P bamboo
会显示打印机 bamboo 的队列。
下面是命令 lpq
输出的一个例子:
bamboo is ready and printing
Rank Owner Job Files Total Size
active kelly 9 /etc/host.conf, /etc/hosts.equiv 88 bytes
2nd kelly 10 (standard input) 1635 bytes
3rd mary 11 ... 78519 bytes
这里显示了队列中有三个任务在 bamboo 中。
第一个任务, 用户 kelly 提交的, 标识 任务编号
9。 每个要打印的任务都会获得一个不同的任务编号。
大多时候可以忽略这个任务编号, 但在您需要取消任务时会用到这个号码;
参考 移除任务 这节得到更多信息。
编号为 9 的任务包含了两个文件; 在
&man.lpr.1; 命令行中指定的多个文件被看作是一个单个的任务。
它是当前激活的任务 (注意这个词 激活
在 Rank
这列下面), 意思是打印机当前正在打印那个任务。
第二个任务包含了标准输入传给
&man.lpr.1; 命令的数据。
第三个任务来自用户 mary; ,
它是一个比较大的任务。 她要打印的文件的路径名太长了,
所以 &man.lpq.1; 命令只显示了三个点。
&man.lpq.1; 输出的头一行也很有用:
它告诉我们打印机正在做什么 (或者至少是
LPD 认为打印机应该正在做的)。
&man.lpq.1; 命令同样支持 选项来生成一个详细的长列表。
下面是一个
lpq -l 命令的例子:
waiting for bamboo to become ready (offline ?)
kelly: 1st [job 009rose]
/etc/host.conf 73 bytes
/etc/hosts.equiv 15 bytes
kelly: 2nd [job 010rose]
(standard input) 1635 bytes
mary: 3rd [job 011rose]
/home/orchid/mary/research/venus/alpha-regio/mapping 78519 bytes
移除任务
如果您对一个打印任务改变了主意,
可以用 &man.lprm.1; 将任务从队列中删除。 通常, 您甚至可以用
&man.lprm.1; 命令来移除一个当前激活的任务, 但是任务的一部分或者所有还是可能打印出来。
要从默认打印机中移除一个任务, 首先使用
&man.lpq.1; 找到任务编号。 然后输入:
&prompt.user; lprm job-number
要从指定打印机中删除任务, 增加
选项。 下面的命令会删除编号为
10 的任务从 bamboo 这台打印机:
&prompt.user; lprm -P bamboo 10
&man.lprm.1; 命令有一些快捷方式:
lprm -
删除所有属于您的任务 (默认打印机的)。
lprm user
删除所有属于用户
user 的任务 (默认打印机的)。
超级用户可以删除用户的任务; 您只可以删除自己的任务。
lprm
命令行中不带任务编号, 任务名, 或者
选项, &man.lprm.1; 会删除默认打印机上当前激活的任务,
如果它属于你。 超级用户可以删除任务激活的任务。
使用参数 和上面的快捷方式来用指定打印机替代默认打印机。
例如, 下面的命令会删除当前用户在打印机
rattan 队列中的所有任务:
&prompt.user; lprm -P rattan -
如果您正工作在一个网络环境中, &man.lprm.1;
将只允许在提交任务的主机上删除任务,
甚至是同一台打印机也可以在其他主机上使用时。
下面的命令证明了这个:
&prompt.user; lpr -P rattan myfile
&prompt.user; rlogin orchid
&prompt.user; lpq -P rattan
Rank Owner Job Files Total Size
active seeyan 12 ... 49123 bytes
2nd kelly 13 myfile 12 bytes
&prompt.user; lprm -P rattan 13
rose: Permission denied
&prompt.user; logout
&prompt.user; lprm -P rattan 13
dfA013rose dequeued
cfA013rose dequeued
超越纯文本:打印选项
&man.lpr.1; 支持许多控制文本格式的参数,
转换图形和其他格式文件,
生成多份副本, 处理任务, 等等。
这一节将描述这些选项。
格式与转换选项
下面的 &man.lpr.1; 参数控制任务中文件的格式。
使用这些参数, 如果任务不含纯文本,
或者您想让纯文本通过
&man.pr.1; 格式化。
&tex;
例如, 下面的命令打印一个 DVI 文件 (来自
&tex; 排版系统) 文件名为 fish-report.dvi
到打印 bamboo:
&prompt.user; lpr -P bamboo -d fish-report.dvi
这些选项应用到任务中的每个文件, 所以您不能混合
(说) DVI 和 ditroff 文件在同一个任务中。 替代的方法是,
用独立的任务提交这些文件, 使用不同的转换选项给不同的任务。
所有这些选项除了 和
都需要转换过滤器安装给目标打印机。
例如, 选项需要
DVI 转换过滤器。 参考 转换过滤器
这节得到更多细节。
打印 cifplot 文件。
打印 DVI 文件。
打印 FORTRAN 文本文件。
打印 plot 数据。
缩进 number 列;
如果没有指定 number,
则缩进 8 列。 这个选项仅可以工作在某些过滤器上。
不要在选项 和数字之间加入空格。
打印文字数据,
包括控制字符。
打印 ditroff (无设备依赖 troff) 数据。
-p
打印之前用 &man.pr.1; 格式化纯文本。 参考
&man.pr.1; 得到更多信息。
使用 title 在
&man.pr.1; 上来替代文件名。
这个选项仅在使用
选项时起作用。
打印 troff 数据。
打印 raster 数据。
下面是一个例子: 这个命令打印了一个很好的
&man.ls.1; 联机手册到默认打印机:
&prompt.user; zcat /usr/share/man/man1/ls.1.gz | troff -t -man | lpr -t
&man.zcat.1; 命令解压缩
&man.ls.1; 的手册并且将内容传给 &man.troff.1;
命令, 它将格式化这些内容并且生成 GNU troff
输出给 &man.lpr.1; , 它提交任务到
LPD 后台打印。
因为使用了
选项为 &man.lpr.1; , 后台打印将会转换 GNU
troff 输出到默认打印机可以理解的格式当任务被打印时。
任务处理选项
下面的 &man.lpr.1; 选项告诉
LPD 对任务特殊处理:
-# copies
生成 copies 个副本给任务中的每个文件,
替代每个文件一份副本。
管理员可以禁止这个选项来减少打印机的浪费和鼓励复印机的使用。
参考
限制多份副本。
这个例子打印三份副本的文件
parser.c 跟着三份副本的文件
parser.h 到默认打印机:
&prompt.user; lpr -#3 parser.c parser.h
-m
打印完成后发信。 使用这个选项,
LPD 系统将会发送邮件到您的帐户,
当它完成了处理您的任务后。
在信中, 它将会告诉您任务是否成功完成或者出现了错误,
并且 (通常) 指明是什么错误。
-s
不要复制文件到后台打印队列目录,
要使用符号连接。
如果您正在打印一个很大的任务, 您可能需要这个选项。
它节省后台打印队列目录的空间
(您的任务可能使后台打印队列目录所在的文件系统剩余空间超出)。
它同样也节省了时间, 因为
LPD
将不会副本任务的每个字节到后台打印队列目录。
这也有一个缺点: 因为
LPD 将直接指向源文件,
您不能修改或者删除它们直到它们被打印出来。
如果您打印到一台远程打印机,
LPD
将最终将文件从本地主机副本到远程主机上,
所以选项 只能节省本地后台打印队列目录的空间,
而不是远程的。
虽然如此, 但它还是很有用。
-r
移除任务中的文件在它们被复制到后台打印队列目录之后,
或者在用
选项打印它们之后。
谨慎使用这个选项!
报头页选项
这些 &man.lpr.1; 的选项调整了通常出现在任务报头页上的文本。
如果报头页被跳过了在目标打印机上,
这些选项将不会起作用。 参考
报头页
得到更多关于设置报头页的信息。
-C text
替换报头页上的主机名为
text。
主机名通常都是提交任务的主机名称。
-J text
替换报头页上的任务名为
text。 任务名通常是任务中头一个文件的名字,
或者
stdin 如果您正在打印标准输入。
-h
不打印任何报头页。
在某些地点, 这个选项可能无效,
与报头页的产生方法有关。 参考 报头页
得到详细信息。
管理打印机
作为一个打印机的管理者, 您必须要安装,
设置, 并且测试它们。 使用 &man.lpc.8; 命令,
您可以与打印机以更多的方式交流。 用 &man.lpc.8; ,
您可以
启动或停止打印机
启用或禁止它们的队列
重新安排每个队列中的任务。
首先, 一个关于术语的解释: 如果一个打印机被
停止 了, 它将不会打印它队列中的任何东西。
但用户还是可以提交任务, 它们会在队列中等待直到打印机被
启动 或者队列被清空。
如果一个队列被 禁止, 没有用户 (除了
root) 可以提交任务到打印机。 一个
启用 的队列允许任务被提交。
一个打印机可以被 启动 但它的队列被禁止,
在这种情况下打印机将打印队列中的任务, 直到队列为空。
通常, 您必须有 root 权限来使用
&man.lpc.8; 命令。 普通用户可以使用 &man.lpc.8;
命令来获得打印机状态并且重启一台挂了的打印机。
这里是一个关于 &man.lpc.8; 命令的摘要。 大部分命令带着一个
printer-name 参数来知道要对哪台打印机操作。
您可以用 all
填在 printer-name 的位置来代表所有在
/etc/printcap 文件中列出的打印机。
abort
printer-name
取消当前任务并停止打印机。
用户仍然可以提交任务, 如果队列还是启用的。
clean
printer-name
从打印机的后台打印队列目录移除旧的文件。
有时, 组成任务的文件没有被
LPD 正确的删除,
特别是在打印中出现错误或者管理活动比较多的时候。
这个命令查找不属于后台打印队列目录的文件并删除它们。
disable
printer-name
禁止新任务入队。 如果打印机正在工作,
它将会继续打印队列中剩余的任务。
超级用户 (root) 总是可以提交任务,
甚至提交到一个禁止的队列。
这个命令在测试一台新打印机或者安装过滤器时非常有用:
禁止队列并提交以
root 提交任务。
其他用户将不能提交任务直到您完成了测试并用命令
enable 重新启用了队列的时候。
down printer-name
message
打印机下线。 等于
disable 命令后跟一个 stop 命令。
message 将作为打印机状态,
当用户使用 &man.lpq.1; 或者 lpc status
命令查看打印机队列状态的时候显示出来。
enable
printer-name
为打印机开启队列。
用户可以提交任务到打印机但是在打印机启动之前不会打印出任何东西。
help
command-name
打印关于
command-name 命令的帮助。 不带
command-name,
则打印可用命令的摘要。
restart
printer-name
启动打印机。 普通用户可以使用这个命令,
当一些特别的环境导致
LPD 锁死时, 但他们不能启用一台使用
stop 或者
down 命令停用的打印机。
restart 命令等同于
abort 后跟着一个
start。
start
printer-name
启用打印机。 打印机将开始打印队列中的任务。
stop
printer-name
停止打印机。 打印机将完成当前任务并且将不再打印队列中的任务任务。
尽管打印机被停用,
但用户仍然可以提交任务到一个开启的队列。
topq printer-name
job-or-username
重新以
printer-name 安排队列,
通过将列出的 job 编号或者指定的所属
username 的任务放在队列的最前面。
对于这个命令, 您不可以使用
all 当作
printer-name。
up
printer-name
打印机上线; 相对于
down 命令。 等同于
start 后跟着一个
enable 命令。
&man.lpc.8; 的命令行接受上面的命令。
如果您不输入任何命令, &man.lpc.8; 则进入一个交互模式,
在这里您可以输入命令直到输入 exit,
quit, 或者文件结束符。
替换标准后台打印
如果您已经通读过了这个手册,
那么到现在您应该已经了解了关于 FreeBSD 包含的后台打印系统
LPD
的一切。 您可能发现了它很多的缺点,
它们很自然的让您提出这样的问题:
这里还有什么后台打印系统吗 (并且可以工作在
FreeBSD 上) ?
LPRng
LPRng
LPRng, 它的意思是
LPR: 下一代
,
是一个完全重写的 PLP。 Patrick Powell
和 Justin Mason (PLP 维护的主要负责人) 合作完成了
LPRng。
LPRng 的主站是 。
CUPS
CUPS
CUPS, 通用 UNIX 打印系统,
提供了一个轻便的打印层给 &unix;-基础的操作系统。
它是由 Easy Software
Products 开发的, 并且成为了 &unix;
供应商和用户的标准打印解决方案。
CUPS 使用 Internet 打印协议
(IPP) 作为管理打印任务和队列的基础。
行式打印机守护程序
(LPD) 服务器消息块
(SMB), 和 AppSocket (a.k.a. JetDirect)
协议的部分功能也被支持。 CUPS
增加了基于浏览网络打印机和 PostScript 打印机描述
(PPD) 的打印选项来支持
&unix; 下的真实打印。
CUPS 的主站是 。
疑难问题
在使用 &man.lptest.1; 进行简单的测试之后,
您可能得到了下面的结果,
而不是正确的结果:
过了一会儿, 它工作了; 或者, 它没有退出一整张纸。
打印机进行了打印, 但在这之前它呆了一段而且什么都没做。
事实上, 您可能需要按一下打印机上的
打印剩余 或者 送纸 按钮来让结果出现。
如果这是问题所在, 打印机可能在等待,
看看在打印之前, 您的任务是否还有更多的数据。
要修正这个问题, 您可以让文本过滤器发送一个送纸字符
(或者其他需要的) 到打印机。
这通常足够让打印机立即打印出内部缓存内剩余的文本。
它同样可以用来确保每个任务的结尾都占用一整张纸,
这样下一个任务才不会在前一个任务最后一张纸的中间开始。
接下来的 shell 脚本
/usr/local/libexec/if-simple
的脚本打印了一个送纸符在它发送任务到打印机之后:
#!/bin/sh
#
# if-simple - Simple text input filter for lpd
# Installed in /usr/local/libexec/if-simple
#
# Simply copies stdin to stdout. Ignores all filter arguments.
# Writes a form feed character (\f) after printing job.
/bin/cat && printf "\f" && exit 0
exit 2
它的输出产生了 楼梯效果
。
您可能在纸上得到下面这些:
!"#$%&'()*+,-./01234
"#$%&'()*+,-./012345
#$%&'()*+,-./0123456
MS-DOS
OS/2
ASCII
您也成为了 楼梯效果
的受害者, 这是由对新行的标志字符的解释不一致造成的。
&unix; 风格的操作系统使用一个单个字符:
ASCII 码 10,
即换行 (LF)。 &ms-dos;, &os2;, 和其他的系统使用一对儿字符,
ASCII 码 10 和 ASCII 码
13 (回车 CR)。 许多打印机使用 &ms-dos;
的习惯来代表新行。
当您在 FreeBSD 上打印时, 您的文本仅用了换行字符。
打印机, 打印机看到换行字符后,
走一行纸, 但还光标位置还是在这张纸上要打印的下一个字符处。
这就是回车的作用:
将下一个要打印的字符的位置移到纸张的左边缘。
这里是 FreeBSD 想要打印机做的:
打印机收到 CR
打印机打印 CR
打印机收到 LF
打印机打印 CR + LF
下面有几种完成这个的办法:
使用打印机的配置开关或者控制面板来更改它对这些字符的解释。
查看打印机的手册来找到怎样更改。
如果您引导您的系统到其他除了
FreeBSD 之外的操作系统, 您可能不得不
重新配置 打印机使用
这个操作系统对 CR 和 LF 字符的解释。
您可能更喜欢下面这另一种解决方案。
让 FreeBSD 的串口驱动自动转换 LF 到 CR+LF。
当然, 这 仅仅 工作在串口打印机上。
要开启这个功能,
定义 ms# 变量并
设置 onlcr 模式在
/etc/printcap 文件中相应打印机处。
发送一个 转义码 到打印机来让它临时对 LF 字符做不同的处理。
参考您的打印机手册来了解您的打印机支持哪些转义码。
当您找到合适的转义码,
修改文本过滤器让其先发送这个转义码,
然后再发送打印任务。
PCL
这里是一个为懂得
Hewlett-Packard PCL 转义码的打印机编写的文本过滤器。
这个过滤器使得打印机将 LF 作为一个 LF 和一个 CR 来对待;
然后它发送任务; 最后发送一个送纸符弹出任务的最后一张纸。
它应该可以在几乎所有
Hewlett Packard 打印机上工作。
#!/bin/sh
#
# hpif - Simple text input filter for lpd for HP-PCL based printers
# Installed in /usr/local/libexec/hpif
#
# Simply copies stdin to stdout. Ignores all filter arguments.
# Tells printer to treat LF as CR+LF. Ejects the page when done.
printf "\033&k2G" && cat && printf "\033&l0H" && exit 0
exit 2
下面是一个 /etc/printcap 文件的例子在叫做
orchid 的主机上。 它只有一台打印机连接在第一个并口上,
一台 Hewlett Packard
LaserJet 3Si 名字叫做 teak。 它使用上面那段脚本作为文本过滤器:
#
# /etc/printcap for host orchid
#
teak|hp|laserjet|Hewlett Packard LaserJet 3Si:\
:lp=/dev/lpt0:sh:sd=/var/spool/lpd/teak:mx#0:\
:if=/usr/local/libexec/hpif:
行行覆盖。
打印机从来不进纸换行。
所有的文本都打印在头一行文本的上面。
这个问题是 相反
于楼梯效果,
像上面描述的那样, 并且更少见。
一些地方, LF 这个 FreeBSD 用来结束一行的字符被作为
CR 这个将打印位置返回到纸的左边的字符对待。
而没有向下走纸一行。
使用打印机的配置开关或者控制面板来强制对
LF 和 CR 进行下面的转换:
打印机收到
打印机打印
CR
CR
LF
CR + LF
打印丢掉字符。
当打印时, 每行里打印机都丢掉一些字符没有打。
这个问题可能随着打印的进行越发严重,
丢掉越来越多的字符。
这个问题是由打印机跟不上计算机通过串口发送数据的速度造成的
(这个问题应该不会发生在并口打印机上)。
有两种方法能克服这个问题:
如果打印机支持 XON/XOFF 流量控制,
那就让 FreeBSD 使用它, 通过加入 ixon 模式在
ms# 变量里。
如果打印机支持载波流量控制,
指定 crtscts 模式在
ms# 变量里。
并且要确定连接打印机和计算机的线是支持载波流量控制的。
它打印出垃圾。
打印机打印出的东西看起来是一些随机的字符,
而不是想要打印的东西。
这通常意味着另一种串口打印机通讯参数设置不正确的错误。
复查
br 变量中设定的波特, 和
ms# 中的校验设置; 确定打印机也在使用和
/etc/printcap 文件中相同的设置。
没有反应。
如果没有反应, 问题就可能出在
FreeBSD 而不是硬件上了。 增加日志文件
(lf) 变量到
/etc/printcap 文件里出现问题的打印机的记录处。
比如, 下面是打印机 rattan 的记录, 使用了
lf 变量:
rattan|line|diablo|lp|Diablo 630 Line Printer:\
:sh:sd=/var/spool/lpd/rattan:\
:lp=/dev/lpt0:\
:if=/usr/local/libexec/if-simple:\
:lf=/var/log/rattan.log
然后, 再次打印。 检查日志文件 (在我们的例子当中, 是
/var/log/rattan.log 这个文件) 来看是否有错误信息出现。
根据出现的信息,
试着来修正问题。
如果您没有指定 lf 变量,
LPD 会使用
/dev/console 作为默认值。