Praca terminalowa

Program Small Business umożliwia zdalne logowanie się użytkowników w sieci wykorzystującej protokół TCP-IP, czyli tzw. pracę terminalową. Do zdalnego łączenia potrzebne są dodatkowe programy: SBTRAY.EXE - po stronie programu (serwera) oraz SBTERM.EXE po stronie klienta.

Na początek kilka pojęć, które często wystąpią w opisie:

TCP-IP – protokół komunikacji pomiędzy komputerami, dosłowne tłumaczenie: protokół sterowania przesyłem - protokół internetowy,

Adres IP – jest to numer, który przydzielony jest danemu komputerowi, po którym jest on rozpoznawany w sieci. Zapisuje się go w postaci czterech członów rozdzielonych kropkami np. 194.169.227.174,

Podsieć – w dużym uproszczeniu jest to grupa numerów, które różnią się między sobą tylko ostatnim członem numeru. Dokładniej określa to maska: ile bitów (częściej członów, a każdy człon to 8 bitów) z początku numeru IP musi być wspólne dla podsieci. Przykładowo maska 255.255.255.0 tworzy grupę 255 numerów różniących się ostatnim członem (może on przybierać wartości od 0 do 254),

Adres DNS – jest to mnemoniczna nazwa adresu IP (np. symplex.eu). Jest ona zarejestrowana w systemie nazw domenowych (serwer DNS), dzięki czemu może ona być zamieniona na odpowiadający jej numer IP (194.169.227.174).


  • INSTALACJA SERWERA

Aby umożliwić zdalny dostęp należy uruchomić program SBTRAY.EXE. Jest to program oczekujący na zgłoszenia użytkowników, którzy chcą podjąć pracę w Small Businessie. Jeżeli możliwość zdalnej pracy ma być stale aktywowana, program ten powinien być uruchomiony wraz ze startem Windows – należy więc umieścić skrót do SBTRAY.EXE w grupie Autostart. Wszystkie te zadania może wykonać instalator INSNASLUCH.EXE.

Działający nasłuch widoczny jest jako ikona na pasku zadań.

Parę słów na temat bezpieczeństwa.

W połączeniu terminal - Small Business informacje są kodowane przy użyciu protokołu TLS 1.3. Aby zapewnić swoim danym bezpieczeństwo, należy:

1. Używać protokołu TLS.

2. Użytkownikom, którzy mają się łączyć terminalem założyć porządne hasła.

3. Pozostałym użytkownikom zakazać łączenia się przez terminal (zakaz 0:22).

  • KONFIGURACJA SERWERA

Opcje sterowania nasłuchem dostępne są z menu kontekstowego, rozwiajanego po kliknięciu ikony programu na pasku zadań.

OPCJA USTAWIENIA

 

  • Wiersz polecenia
    Polecenie uruchamiające program Small Business. Najlepiej skopiować tu zawartość pola „Element docelowy” z właściwości skrótu do programu na pulpicie z zakładki „Skrót”. Przykładowo:
    c:\sb4\ksiegaw.exe "@c:\sb4\opcje.txt"
    Można również sprawdzić, czy wiersz polecenia faktycznie uruchamia program, np. poprzez wklejenie go do polecenia Uruchom w Windows.
  • Nasłuchuj na
    Adres IP interfejsu sieciowego (np. adres IP karty sieciowej), przez który będą łączyć się użytkownicy zdalni. Puste pole oznacza, że to będą to wszystkie dostępne interfejsy sieciowe na danym komputerze.
  • Port TCP
    Port, na którym będzie prowadzony nasłuch zgłoszeń przychodzących. Jest to liczba z zakresu od 0 do 65535. Najlepiej używać wysokich numerów, aby uniknąć „kolizji” ze standardowymi portami używanymi przez inne protokoły sieciowe.
  • Adresy dynamiczne
    Opcja umożliwia łączenie się z serwerem, który nie posiada stałego numeru IP. Łącząc się z internetem, np. przez neostradę, nie znamy z góry naszego adresu IP - zostaje on nam przydzielony dynamicznie przez dostawcę. Program nasłuchujący odczytuje ten numer i zapisuje go wraz z identyfikatorem komputera na serwerze w internecie w miejscu znanym dla siebie i dla terminala. Stąd po podaniu identyfikatora komputera terminal może odnaleźć numer IP komputera z programem Small Business.
  • Włącz obsługę adresów dynamicznych
    Opcja powinna być włączona TYLKO gdy istnieje taka konieczność!
  • Akceptuj zgłoszenia z adresu/podsieci
    Lista adresów, z których można uruchomić program zdalnie.
    Adres IP: adres IP, spod którego użytkownik może połączyć się ze Small Businessem.
    Maska podsieci: maska adresu IP, wyznaczająca grupę adresów, z których logowanie zostanie zaakceptowane.
    Przykładowo:
    255.255.255.255 - oznacza pojedynczy adres IP,
    255.255.255.0 - oznacza grupę adresów różniących się czwartym członem numeru IP (podsieć),
    0.0.0.0 - oznacza akceptowanie zgłoszenia z dowolnego adresu IP (cała sieć).

     

OPCJA HARMONOGRAM

Harmonogram pozwala zwiększyć bezpieczeństwo systemu wprowadzając ograniczenia czasowe w dostępie do serwera poprzez terminal. W sytuacji gdy nie wyłączamy serwera, możemy określić w jakich dniach i w jakich godzinach program nasłuchujący będzie zezwalał na połączenie. Wszystkie próby połączeń są zapisywane w pliku "SBZDALNY.LOG" wraz z opisem przyczyny odmowy akceptacji.

OPCJA NASŁUCHUJ

Aby system przyjmował zgłoszenia, opcja „Nasłuchuj” musi być zaznaczona.  Stan nasłuchu jest również sygnalizowany przez ikonę na pasku zadań:

przekreślona ikona - nasłuch wyłączony lub nie udaje się go włączyć,
ikona z liczbą - nasłuch włączony,  liczba oznacza ilość  połączony użytkowników,
ikona bez dodatków - nasłuch włączony, brak zalogowanych użytkowników.

W niektórych przypadkach zaraz po starcie systemu Windows nasłuch może być wyłączony, chociaż opcja jest zaznaczona. Dzieje się tak dlatego, że Windows nie uzyskał jeszcze pełnej gotowości do pracy. Program nasłuchujący sprawdza co minutę, czy ma być aktywny i czy przyjmuje  zgłoszenia.  W razie potrzeby ponawia próby włączenia nasłuchu.


TEST NASŁUCHU

Po instalacji USTAWIENIA wypełniamy  następująco (rys. „Ustawienia nasłuchu”):

Wiersz polecenia: c:\sb4\ksiegaw.exe "@c:\sb4\opcje.txt"
Nasłuchuj na: (zostawiamy puste).
Port: 12345
Włącz obsługę adresów dynamicznych: WYŁĄCZONE
Akceptuj zgłoszenia z adresu/podsieci: dodajemy numer IP: 127.0.0.1, maska podsieci: 255.255.255.255

Wciskamy OK. Upewniamy się, że nasłuch jest włączony: ikona nie jest przekreślona znakiem 'X'. Jeżeli nasłuch nie działa, klikamy ikonę na pasku, zaznaczamy w menu opcję „Nasłuchuj” i czekamy na włączenie (może to trwać parę sekund). Jeżeli nasłuch nie daje się włączyć, należy sprawdzić ustawienia zapory internetowej oraz programu antywirusowego. W obu przypadkach należy zezwolić programom:

KSIEGAW.EXE
SBTRAY.EXE

na łączenie się z internetem.


  • INSTALACJA TERMINALA (KLIENTA)

Instalację terminala przeprowadzamy przy użyciu programu instalatora InsTerminal.exe.  Na życzenie towrzy on przydatne skróty na pulpicie, menu start oraz pasku szybkiego uruchamiania

 

  • KONFIGURACJA TERMINALA

Po uruchomieniu terminala pojawi się nam okno z listą połączeń:

Możemy tu tworzyć nowe i edytować istniejące połączenia:

Na uwagę zasługuje opcja „Zaawansowane właściwości połączenia”, gdyż umożliwia ona łatwiejszą współpracę z programem puTTY w celu zestawienia szyfrowanego tunelu łączącego terminal z serwerem:

  • Połączenie bezpośrednie (DOPUSZCZALNE JEDYNIE W SIECI LOKALNEJ)
    Tę opcję można wybrać jedynie wtedy, gdy połączenie tunelowe już istnieje (np. w wirtualnej sieci prywatnej)  lub jest niepotrzebne (w sieci lokalnej)
  • Połączenie SSH poprzez puTTY z ustawieniami (NIEKTÓRE SĄ OPCJONALNE)
    Połączenie nastąpi po wcześniejszym zalogowaniu się do serwera SSH poprzez darmowy program puTTY. Powstanie tunel, na który zostanie skierowany ruch pomiędzy Small Businessem a terminalem. Ustawienia dla programu puTTY obejmują poniższe parametry (bardziej złożoną konfigurację oferuje puTTY):
  • Nazwa sesji (opcjonalnie, o ile podano „Port SSH”)
    Nazwa sesji zapisanej w puTTY'm, która ma być załadowana do wykonania połączenia
  • Port SSH (opcjonalnie, o ile podano „Nazwę sesji”)
    Port, przez który puTTY będzie łączył się z serwerem SSH.  Adres serwera SSH jest ustalany automatycznie w następujący sposób:
    — jeśli zaznaczono opcję „adres IP jest zmienny”,  adres jest pobierany na podstawie „Identyfikatora komputera”, zaś adres nasłuchu ustawiany jest na „localhost”
    — jeśli nie podano nazwy sesji, adres jest pobierany z pola „Adres/nazwa komputera”, zaś adres nasłuchu ustawiany jest na „localhost”
    — jeśli podano nazwę sesji, adres jest pobierany z ustawień tejże sesji, zaś adres nasłuchu jest pobierany z pola „Adres/nazwa komputera” (przydatne, gdy nasłuch i serwer SSH w sieci zdalnej pracują na różnych komputerach). Typowo pole to powinno zawierać  „localhost”.
  • Użytkownik (opcjonalnie)
    Nazwa użytkownika, która ma zostać użyta do zalogowania się do serwera SSH
  • Drukuj przez tunel na lokalnej drukarce (włącz przekierowanie portu TCP)
    Włacza przekierowanie portów, wykorzystywanych przez drukarkę oraz serwer TCP wydruków na transmisję przez tunel.
  • Adres drukarki
    Drukarka na serwerze powinna być „podłączona” do portu TCP o adresie „localhost”, by można było skierować ją do tunelu. Może to być również inny interfejs sieciowy na serwerze. Zmiana tego adresu może być konieczna, gdy więcej niż jeden użytkownik terminala zechce korzystać ze swojej lokalnej drukarki.
  • Port (TCP) drukarki
    Port zależny od protokołu sieciowego w jakim pracuje drukarka (serwer wydruków). W przypadku protokołu lpr jest to port 515.

    Uwaga dla użytkowników programu antywirusowego NOD32.
    Dla prawidłowej pracy terminala należy w konfiguracji NOD32 wyłączyć program sbtray.exe ze skanowania.
    Jak to zrobić wyjaśnia niniejszy rysunek.