Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
tomas@dec.usc.es
ndice
1. Introduccin 2. Ejecucin remota y transferencia de cheros
2.1. 2.2. Servicio de telnet y ftp . . . . . . . . . . . . . . . . . . . . . . SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 3
3 6
3. Servicio de tiempo
3.1. 3.2. Funcionamiento bsico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicaciones NTP en Linux
10
10 11
12
13 14 17
5. Comparticin de la conguracin
5.1. Concepto de dominio . . . . . . . . . . . . . . . . . . . . . . .
18
19
19
20 21 22 23
GetGnetgroup
24
25 26 28 31 35 36 38
Migracin desde cheros o NIS . . . . . . . . . . . . . . . . . . Conguracin de LDAP con mltiples servidores . . . . . . . . Herramientas de administracin de LDAP . . . . . . . . . . .
39
39 40 41 43 43
1. Introduccin
Dos tipos de servicios: 1. Servicios de Internet: Servicios de ejecucin remota: telnet, ssh Servicios de transferencia de cheros: ftp, sftp Servicio de DNS Servicio de Proxy Servicio de correo electrnico: SMTP, POP, . . . Servicio Web 2. Servicios de intranet Sistemas de archivos de red (NFS) Servicio de informacin de red (NIS) Servicio de directorio (LDAP) Comparticin Windows/Linux (Samba) Los servicios de DNS, Proxy, e-mail y Web se tratan en la asignatura Conguracin e Administracin de Servizos en Internet
telnety ftp
se desaconseja
Reemplazarlos por 1.
2.
sp, sftp
tada
sp
similar a
sftp
similar a
ftp
inetd
(o
xinetd) GetGinetdFonf
telnet
cuando
strem
tp
nowit
telnetd
GusrGsinGinFtelnetd
inetd reciba una peticin al puerto telnet abre un socket tipo stream y ejecutar fork@A y exe@A del programa GusrGsinGinFtelnetd, bajo la identidad del usuario telnetd
indica que el servidor puede continuar procesando conexiones en el socket
nowit
Versin mejorada de
inetd: xinetd
3
TCP Wrapper
(programa
tpd)
GetGhostsFllow
GetGhostsFdeny
Servicio de telnet
Instalacin de un servidor telnet Descargar el paquete
telnetd GetGinetdFonf
El paquete actualiza el
Desinstalar el paquete
telnetd,
GetGinetdFonf
Servicio de FTP
Transere cheros a/desde un host remoto Permite usuarios registrados o annimos (
anonymous )
Utiliza dos puertos: 21 (conexin de control) y 20 (conexin de datos) Dos modos de funcionamiento: 1. Activo (modo por defecto en el comando ftp)
El servidor inicia la conexin de datos desde su puerto 20 a un puerto > 1023 del cliente Problema con los rewalls en el cliente
2. Pasivo (modo recomendable, por defecto en navegadores) El cliente inicia las conexiones de control y datos No se utiliza el puerto 20 No tiene problema con los rewall
ftpd GetGinetdFonf
El paquete actualiza el
Por defecto usa TCP wrappers Podemos denegar el acceso ftp a ciertos usuarios incluyndolos en el chero
GetGftpusers
standalone
Servidores FTP virtuales (varios servidores de FTP annimos en el mismo host) Usuarios FTP virtuales (cuentas ftp diferentes de las cuentas del sistema) Facilidades para registro y monitorizacin de accesos Facilidades para controlar y limitar accesos Comunicacin encriptada
Prcticas
1. En el sistema servidor instala los paquetes
telnetd
ftpd
GetGinetdFonf
Accede va telnet y ftp desde el sistema cliente al servidor 2. En el servidor instala el Instala el paquete
uEph GhomeGftp
wuEftpd:
a)
b)
inoming
GetGinetdFonf (en la lnea de ftp debe referirse al programa GusrGsinGwuEftpd El) y reinicia inetd (pkill Er inetd)
Comprueba si se ha modicado correctamente el chero Chequea los cheros de conguracin en
GetGwuEftpdG
a) b)
GhomeGftpGpu y descrGhomeGftpGpuGinoming
2.2. SSH
SSH: Shell seguro Permite comunicarnos de forma segura con un servidor remoto
sftp)
rlogin, telnet
ftp
Paquetes Debian:
Ciente:
opensshElient opensshEserver
Servidor:
GetGshostsFequiv
Mtodo absolutamente desaconsejado 2. Igual que el anterior pero la clave pblica del host remoto debe aparecer en
GetGsshknownhosts
~GFsshGknownhosts
6
No demasiado seguro (si el host remoto se ve comprometido, el servidor local queda comprometido) 3. La clave pblica del usuario remoto debe estar en
~GFsshGuthorizedkeys
El usuario remoto debe tener acceso a su clave privada Mtodo ms seguro, pero un poco incomodo 4. Acceso mediante contrasea (modo por defecto) Menos seguro que el anterior
Opcin
M
2 2 2 2 3 3 4
Dfto. Signicado
no no yes no yes yes yes no
S S
~GFshosts
Ignora el chero Autenticacin Autenticacin usuario (SSH-1)
~GFrhosts
~GFsshGknownhosts
clave clave pblica pblica de de
de de
usuario (SSH-2) Autenticacin mediante contrasea Usa PAM para autenticacin 2,3,4
GetGsshGsshdonfig
Opcin
Port Protocol ListenAddress PermitRootLogin X11Forwarding Para ms opciones
Dfto. Signicado
22 2,1 Todas Puerto (puede ser interesante cambiarlo a >1024) Protocolo aceptado (ms seguro slo 2) Direccin local por la que escucha Permite acceder al root Permite forwarding X11
yes no
mn sshdonfig
7
sftp
cutar el comando, p.e.
Opcin
Hosts Port Protocol Cipher[s] ForwardX11
Dfto. Signicado
22 2,1
implica todos) Puerto por defecto Protocolo usado por defecto Mecanismos de cifrado usados Reenvo X11 y
no
Para ms opciones
mn sshonfig
mn ssh
Otros comandos
sshEkeygen generacin y gestin de claves pblicas/privadas para SSH
Permite claves RSA o DSA (DSA slo SSH-2, por defecto RSA-2) Ficheros (para SSH-2)
passphrase
Ep
de longitud arbitraria
sshEgent
passphrase
reqixsh
Uso:
sshEdd opciones Et life fichero Por defecto aade los cheros ~GFsshGidrs, ~GFsshGidds y ~GFsshGidentity, pidiendo las correspondientes passphrases Pueden aadirse mltiples claves En una conexin se prueban las diferentes claves hasta que
coincide
Algunas opciones:
de la identidad
Prcticas
1. Utilizar clave pblica para acceder a un servidor ssh
a) b) c) d)
En el chero estn a
yes1
sshEkeygen para crear la clave pblica/privada Copiar la clave pblica ~GFsshGidrsFpu desde el cliente al chero ~GFsshGuthorizedkeys en el servidor
En el cliente, usar Comprobar que podemos acceder al servidor desde el cliente usando la clave pblica
2. Probar
sshEgent sshEgent
se est ejecutando
a) b) c)
1 Si
sshEdd
Probar que nos podemos conectar al servidor sin introducir ninguna contrasea
UsePAM
no
9
PasswordAuthentication
3. Servicio de tiempo
NTP (Network Time Protocol ): protocolo para sincronizar los relojes de los
sistemas en redes con latencia variable Permiten tener los sistemas sincronizados con elevada precisin Importante para diversas aplicaciones (p.e. NFS) y para gestin de logs Versin actual NTPv4; en desarrollo NTPv5 Utiliza transporte UDP, puerto 123 Para ms informacin: http://ntp.isc.org
stratum levels )
ntpdte:
Normalmente se usa en el arranque del sistema Puede meterse en un cron para obtener sincronizacin, pero no obtiene una precisin elevada Ejemplo:
5 ntpdte poolFntpForg
2.
dores NTP, y proporciona servicio NTP Elevada precisin y bajo consumo de recursos Necesita que el error en el reloj sea pequeo (sincronizacin en el arranque o con
Fichero de conguracin: 3.
ntpq:
monitoriza el demonio
Prcticas
1. En el servidor instala el paquete
ntp
a)
Modica
GetGntpFonf
b)
11
c)
ntpq Ep
ntpdte
ntpdte contra el servidor para poner en hora el cliente Cambia en GetGdefultGntpdte para jar el servidor como
fuente NTP Cambia la hora del cliente y reincialo para ver si se sincroniza
Introducido por Sun MicroSystems en 1985, y soportado por todos los Unices Versiones principales: NFSv2 y NFSv3
servidor en espacio de usuario: ms lento y con problemas servidor en modo kernel: ms rpido, menos caractersticas (versin por defecto)
nistration Handbook (3a ed.), Evi Nemeth et.al. Linux NFS-HOWTO nfs.sourceforge.net
12
Procesos implicados
NFS se basa en RPC ( el servicio activo
portmap
convierte nmeros de programas RPC en nmeros de puertos utiliza el puerto 111 necesario para aplicaciones que usen RPC el comando
rpinfo
en Debian, paquete
portmp
rpFnfsd:
y resolver las peticiones de acceso del cliente a archivos situados en el directorio remoto)
rpFmountd:
te NFS y chequea para mirar si coincide con un sistema de cheros actualmente exportado, y si el cliente tiene permisos sucientes para montar dicho directorio
rpFrquotd:
13
rpFsttd:
proporciona un servicio de noticacin de reinicio, cuando NFS cae; lo usa el servicio de bloqueo de cheros
lockd
portmp,
ni los demonios
rpFmountd
rpFsttd
rpcsec_gss
(cliente
rpFgssd,
servidor
rpFsvgssd):
autentica-
GproGfilesystems
Si no est tendramos que recompilar el kernel activando el soporte NFS Veremos como instalar un servidor y con cliente NFS en Debian
Servidor NFS
1. Instalar el paquete
nfsEkernelEserver
nfsEommon
y para
nfsEkernelEserver proporciona rpFnfsd, rpFmountd, NFSv4 rpFsvgssd nfsEommon proporciona rpFlokd, rpFsttd, rpFgssd y rpFidmpd
14
y para NFSv4
GetGexports
Gprojets
projBFusFes
rwGro
lectura
rootsqush
usuario
annimo
nobody,
con UID/GID
norootsqush no mapea root al usuario annimo llsqush mapea todos los usuarios al usuario annimo squshuidsGsqushgids especica una lista de UIDs
GIDs que se deberan trasladar al usuario annimo
del usuario
annimo
(por
sutreehekGnosutreehek
si se exporta un subdi-
rectorio (no un lesystem completo) el servidor comprueba que el chero solicitado est en el rbol de directorios exportado
syn modo sncrono: requiere que todas las escrituras se completen antes de continuar; es opcin por defecto
seure
debajo de 1024
inseure
puerto
Para ms opciones
mn exports
exportfs
15
5 exportfs Er
ver
mn exportfs
3. Iniciar el demonio:
5 GetGinitFdGnfsEkernelEserver strt
4. Comprobar los directorios exportados con
showmount
nfsstt
Cliente NFS
El cliente NFS en Linux est integrado en el nivel del Sistema de Ficheros Virtual (VFS) del kernel no necesita un demonio particular de gestin (en otros UNIX, demonio
biod )
Instalacin: 1. Instalar (si no est ya instalado) el paquete 2. Montar los directorios remotos con en
nfsEommon
fst
IWQFIRRFVRFHXGhome
Automount se usa frecuentemente con NFS (ver la parte de Autofs en Tema 4: Montado de los sistemas de cheros) Opciones particulares de montado con NFS:
rsizean /wsizean
los clientes NFS cuando realizan peticiones de lectura/escritura (pueden ajustarse para optimizar)
16
hrd
cuando el servidor falle; cuando el servidor est disponible, el programa continuar como si nada (opcin ms recomendable)
soft cuando una peticin no tiene respuesta del servidor en un tiempo jado por timeoat el cliente devuelve un cdigo de error al proceso
que realiz la peticin (puede dar problemas) Para ver ms opciones, ver
nfs@SA
Prcticas
1. En el sistema servidor instalar un servidor de NFS y exportar el lesystem
Ghome
usar
showmount
GmntGhome
del servidor desde
a) b)
Comprobar que un usuario (con el mismo UID en cliente y servidor) puede acceder (leer y escribir) a su el cliente Comprobar como el torio remoto: cambiar las opciones de exportacin para darle permisos
home
root
Un usuario con acceso a root en un cliente podra acceder a los cheros de cualquier usuario en el servidor (no a los de root, si se usa la opcin
rootsqush)
Precauciones bsicas:
17
1. Usar NFS slo en Intranets seguras, donde los usuarios no tengan acceso de administrador en sus sistemas 2. Evitar el acceso a NFS desde fuera de la Intranet Bloquear los puertos TCP/UDP 111 ( 3. Usar NFSv4 con
4. Usar versiones seguras de NFS (Secure NFS) o otros sistemas de cheros (Self-certifying File System, SFS) Ver NFS howto y UNIX Security Checklist
Prcticas
1. Leer los puntos mostrados en:
httpXGGwwwFertForgGtehtipsGusPHfullFhtml5IIFI
5. Comparticin de la conguracin
Necesidad de mantener una conguracin nica a travs de mltiples sistemas Comparticin de los cheros de conguracin Ficheros a compartir:
etc.
rdist
rsyn
18
p.e. un usuario se conecta en un sistema cliente y este valida las credenciales del usuario en el servidor
En Windows 2000, la implementacin del concepto de dominio se realiza mediante el denominado Directorio Activo (
Active directory )
Yellow Pages
Muy popular como sistema de administracin de dominios en UNIX A principios de los aos 90, versin NIS+ para Solaris 2.x
muy diferente de NIS incorpora soporte para encriptacin y autenticacin de datos complejo y poco soportado
Para ms informacin:
The Linux NIS(YP)/NYS/NIS+ HOWTO Debian NIS HOWTO Introduccin a NIS y NFS
19
mapas
taBase Management )
las DBM
Da-
en una red debe haber al menos una mquina actuando como un servidor NIS maestro
Los clientes hablan directamente con el servidor NIS para leer la informacin almacenada en sus bases de datos DBM Pueden existir servidores NIS esclavos:
tienen copias de las bases de datos NIS reciben estas copias del servidor NIS maestro cada vez que se realizan cambios a las bases de datos maestras
una red puede tener mltiples servidores NIS, cada uno sirviendo a un dominio NIS diferente
20
ypserv ypind
descarga un mapa desde servidor maestro (en los esclavos) ejecutado en el maestro, hace que los esclavos actualicen sus
yppush
ypwhih ypt
cambia el campo GECOS en la base de datos de NIS cambia el login shell en la base de datos de NIS
21
Servidor maestro
1. Instalar el paquete
nis
a) b)
Indicar un nombre de dominio NIS (que no tiene que corresponder con el dominio de RED) El nombre de dominio puede cambiarse con
dominnme
La conguracin puede tardar, ya que intenta iniciarse como cliente NIS y se queda buscando un servidor
2. Cambiar el chero
GetGdefultGnis xsiiamster
aadir el nmero de la red
GetGypservFseurenets
PSSFPSSFPSSFH
4. Ejecutar
IWPFITVFHFH
para iniciar el servidor
GusrGsinGypserv
GvrGypGwkefile
permite congurar caractersticas generales as como las tablas a partir de las cuales se crean los mapas NIS haciendo en
mke en ese directorio se crean los mapas que se guardan GvrGypGdominio mke
para actualizar los mapas NIS
cada vez que se modique alguna tabla (p.e. aadiendo un nuevo usuario), debemos hacer 6. Ejecutar
mo servidor maestro no aadir ningn servidor NIS ms (gtrlEh) 7. Podemos comprobar que funciona bien haciendo un de los mapas (p.e.
ypt psswd)
ypt
de alguno
8. Por ltimo, el servidor debe congurarse tambin como cliente seguir los pasos de la siguiente seccin
22
Cliente NIS
1. Eliminar de los cheros locales los usuarios, grupos y otra informacin que queramos que sea accesible por NIS (slo en los clientes) 2. Instalar el paquete
nis
GetGypFonf
group
shdow
psswd,
por NIS:
El formato y opciones de ese chero lo vimos en el Tema 5: Ficheros de conguracin de red Alternativamente, se puede dejar el modo nal de los cheros indicar que vamos a usar NIS este mtodo permite incluir/excluir determinados usuarios ver NIS-HOWTO: Setting up a NIS Client using Traditional NIS
netgroups
grupos de usuarios, mquinas y redes que pueden ser referenciadas como un conjunto se denen en el chero NIS maestro Formato de una entrada en
host
23
xsdomin
Pueden dejarse entradas en blanco o con un guin: Una entrada en blanco implica cualquier valor, p.e.
@doIWD D A
doIW
Una entrada con un guin (E) implica campo sin valor, p.e.
@ED pepeD A
Ejemplo de un chero
indica el usuario
pepe
y nada ms
GetGnetgroup
@EDpepeDA @EDheidisDA @EDjnguyenDA @EDmphmDA @numrkDEDA @vestxDEDA @denonDEDA @tehnisDEDA @mtxDEDA @EDosonDA @EDjyomDA @EDwelsDA @EDjffeDA sysdmins reserh servers lients
pueden usarse en varios cheros del sistema para denir
netgroups
ompt, p.e. aadiendo Cdsysdminds en GetGpsswd permiso de acceso a los usuarios denidos como sysdmins GetGexports, para indicar grupos de mquinas a las que llhosts@rwDrootsqushDsynA GetGhostsFllow
y
en el chero
Ghome
en los cheros Wrappers etc.
GetGhostsFdeny
de los TCP
24
X.500: Estndares de la ITU-T para servicios de directorio Dene, entre otros, un protocolo de acceso a directorios llamado DAP (
Opera directamente sobre TCP/IP Actualmente, la mayora de servidores de directorio X.500 incorporan LDAP como uno de sus protocolo de acceso
Microsoft Server 2003 Active Directory Novell eDirectory Sun Java System Directory Server IBM Tivoli Directory Server Apache Directory Server Fedora Directory Server Red Hat Directory Server OpenLDAP
Ms informacin sobre LDAP 1. LDAP Linux HOWTO 2. IBM RedBooks: Understanding LDAP - Design and Implementation 3. Recursos, ayudas, . . . : ldapman.org
7.1. OpenLDAP
Implementacin
open source
25
slurpd - demonio de replicacin y actualizacin de LDAP libreras que implementan el protocolo LDAP utilidades, herramientas, y clientes bsicos
Ms informacin sobre la conguracin de OpenLDAP: 1. OpenLDAP Administrator's Guide 2. Integracin de redes con OpenLDAP, Samba, CUPS y PyKota
component ), etc.
los diferentes atributos de un nodo estn determinados por la clase a la que pertenece las clases permiten denir entradas con diferente informacin: clases para personas, para equipos, administrativas, etc. las clases se denen mediante cheros de
esquema (schema )
26
distinguished name )
el
nombre distinguido
dn
dn
cada nodo puede tener varios atributos, p.e. el nodo los siguientes atributos:
pepe
podra tener
dnX natose enDouaeopleDdamidominioDdaom ojetglssX ount uidX pepe snX en desriptionX lumno milX pepedmidominioFom
el formato en el que se muestran los atributos del objeto se denomina LDIF (
27
ldpserh, ldpdd
slpt
ldpserh
a)
Fichero
GetGldpGldpFonf
Fichero de conguracin global para los clientes LDAP Permite especicar la base por defecto, el servidor LDAP, etc. (cambiarlo para poner nuestra conguracin, comprobar que tiene permisos 644) Para ms info, ver
mn ldpFonf slpd
b)
Fichero
GetGldpGsldpFonf
En principio, no es necesario cambiarlo (comprobar que tiene permisos 600) 3. Crear la estructura de la base de datos: crearemos los nodos de y
qroup
eople
a)
estruturFldif
en formato LDIF:
28
dnX ouaeopleDdamidominioDdaom ojetglssX top ojetglssX orgniztionlnit ouX eople dnX ouaqroupDdamidominioDdaom ojetglssX top ojetglssX orgniztionlnit ouX qroup
b)
5 ldpdd Ex Eh 9nadminDdamidominioDdaom9 E Ef estruturFldif Ex autenticacin simple sin SASL (Simple Authentication and Eh E Ef
nombre distinguido con el que nos conectamos a LDAP
Security Layer )
a)
Crear un chero como este, que tiene la informacin para un usuario y un grupo (no useis acentos!):
dnX natose enDouaeopleDdamidominioDdaom ojetglssX top ojetglssX ount ojetglssX posixeount ojetglssX shdoweount uidX pepe nX tose en uidxumerX PHHH gidxumerX PHHH homehiretoryX GhomeGpepe loginhellX GinGsh geosX tose enD hespho PPDD dnX napepeDouaqroupDdamidominioDdaom ojetglssX top
29
pepe
y un grupo
informacin si-
b)
c) d)
5 ldpserh Ex uidapepe
Aadir una contrasea al usuario: puede hacerse directamente metiendo un campo ferible hacerlo
Get
o NIS a LDAP
6. Por ltimo, tambin podemos querer instalar el servidor como cliente, por lo que debemos seguir los pasos indicados en la seccin de instalacin de un cliente
slpd
nisFshem
oreFshem
osineFshem
30
inetorgpersonFshem
sonal para los usuarios
sujo,
d,
Berkeley Database)
a) b)
puede indicarse todo el directorio mediante un asterisco (*) un subconjunto de entradas cuyo nombre distinguido contiene un cierto sujo (por ejemplo,
self el propietario de la entrada dna4FFF4 el usuario representado por el nombre users cualquier usuario acreditado nonymous cualquier usuarios no acreditado B cualquier usuario none sin acceso uth utilizar la entrada ompre comparar serh bsqueda red lectura write modicacin
distinguido
`essontrolb
para validarse
31
Name Service Switch (chero GetGnsswithFonf) Congurar el mdulo de autenticacin (PAM, Pluggable Authentication Modules )
Los mdulos necesarios para esta conguracin pueden descargarse de la pgina de PADL (www.padl.com) o directamente como paquetes Debian En algunas distros (RedHat) existe la herramienta facilita esta conguracin
uthonfig
que
Congurar el Name
Service Switch
El NSS se encarga, entre otras, de realizar la correspondencia entre los nmeros y nombres de usuario permite gestionar los permisos de acceso de usuarios a cheros se congura a travs del chero
GetGnsswithFonf
la conguracin de ese chero la vimos en el tema 5 Pasos (hacerlos en un sistema diferente del servidor): 1. Instalar el paquete
linssEldp
GetGlinssEldpFonf
esto indica al NSS que busque la informacin primero en los cheros y, si no la encuentra, en el servidor LDAP 3. Probar que funciona:
a)
Hacer un
finger
32
b) c)
GhomeGpepe
y cambiarle el propietario a
pepe
pepe
su E pepe
en el cliente
PAM (Pluggable
genrica que cualquier aplicacin puede utilizar para validar usuarios, utilizando por debajo mltiples esquemas de autenticacin alternativos (cheros locales, Kerberos, LDAP, etc.) permite aadir nuevos mecanismos de autenticacin (Kerberos, LDAP,. . . ) sin tener que modicar los servicios de entrada al sistema como
Authentication Module )
biblioteca de autenticacin
etc.
PAM utiliza mdulos que proporcionan autenticacin en los servicios de entrada al sistema: Mdulos de autenticacin (uth): comprobacin de contraseas (utilizado por el proceso de son correctas)
login
credenciales tecleadas por el usuario (nombre y contrasea) Mdulos de cuentas (ount): controlan que la autenticacin sea permitida (que la cuenta no haya caducado, que el usuario tenga permiso de iniciar sesiones a esa hora del da, etc.) Mdulos de contrasea (pssword): permiten cambiar contraseas Mdulos de sesin (session): conguran y administran sesiones de usuarios (tareas adicionales que son necesitadas para permitir acceso, como el montaje de directorios, actualizacin del chero
lstlog,
etc.)
33
GliGseurity y los cheros de GetGpmFdG (en versiones viejas, se conguraba chero GetGpmFonf)
Existe un chero de conguracin para cada servicio que usa PAM Tambin existen cheros comunes que son incluidos por los cheros de conguracin: y
lipmEldp
al DN del administrador LDAP
GetGpmldpFonf pmldpFonf
NOTA sobre la conguracin: en el ltimo paso de la instalacin nos pide la clave del administrador de LDAP esta clave se guarda en plano en el chero y se usa para que el las contraseas de los usuarios si no se quiere tener ese chero con la clave, dejar vaco el campo clave y en el chero empieza por
GetGpmldpFonf rootinddn
<mdulo>
cambiando da 3. En el chero
pmldpFso
<mdulo>
esto evita que a los usuarios no-LADP se les pida la contrasea dos veces
34
session
a) b)
nsd
Prcticas
1. Seguir los pasos indicados para congurar un sistema como servidor NIS y otro como cliente los usuarios deben autenticarse contra LDAP
shdow,
etc.)
MigrationTools
GetGpsswd
a LDAP
migrtiontools GusrGshreGmigrtiontoolsGmigrteommonFph
GusrGshreGmigrtiontools
migrteseFpl
tenemos)
etc. (ya lo
Script
migrate_passwd.pl migrate_group.pl migrate_hosts.pl migrate_fstab.pl ... /etc/hosts /etc/fstab
Migra
/etc/passwd y /etc/shadow /etc/group
Estos scripts generan cheros LDIF que podemos aadir a la base LDAP con
ldpdd
noody,
2
etc.)
Prcticas
1. Usar las
MigrationTools
mos denidos
2 Puede
36
cada vez que se produce un cambio en el directorio del maestro, el servicio log el demonio
dicacin correspondientes en todos los esclavos Para congurarlo debemos hacer que el maestro y los esclavos partan de un estado de directorio comn copiar manualmente la base de datos LDAP del maestro a todos los esclavos En el maestro y en los esclavos debemos modicar el chero Maestro:
GetGldpGslpdFonf
repli
el nombre del esclavo y una cuenta con permiso de escrtitura en el LDAP del esclavo (indn)
replogfile
Esclavo:
GvrGliGldpGreplog
slurpd
updtedn
esa cuenta debe tener permisos de escritura en la base de datos del esclavo, y debe coindidir con la indicada en el campo del maestro
inddn
updteref
cualquier peticin directa de modicacin que venga de un cliente debe ser redireccionada al servidor maestro
37
userdd/userdel
Prcticas
1. Probar alguna de las herramientas comentadas Por ejemplo, para el y ejecutamos
gq
gq
pile Ebreferenes Ebervers seleccionamos lolhost y idit En qenerl ponemos el fsehx y en hetils ponemos dn del administrador LDAP en findhx
En
38
Server Message Block ): permite a los sistemas Windows compartir cheros e impresoras (llamado Common Internet File System, CIFS
por Microsoft) Samba ofrece los siguientes servicios Servicios de acceso remoto a cheros e impresoras Autenticacin y autorizacin Servicio de resolucin de nombres
39
Demonios Samba
Samba utiliza dos demonios:
smd
nmd
smd
SMB, y proporciona autenticacin y autorizacin de acceso para clientes SMB; ofrece los dos modos de comparticin de recursos existentes en Windows
modo basado en usuarios o modo Windows NT o 2000) modo basado en recursos o modo 3.11/95)
user
shre
(propio de Windows
nmd permite que el sistema Unix participe en los mecanismos de resolucin de nombres propios de Windows (WINS), lo que incluye
anuncio en el grupo de trabajo gestin de la lista de ordenadores del grupo de trabajo contestacin a peticiones de resolucin de nombres anuncio de los recursos compartidos
smlient
40
sm
testprm
smfs
sm
smEommon
GetGsmGsmFonf
establece las caractersticas del servidor Samba, as como los recursos que sern compartidos en la red Ejemplo sencillo:
GetGsmGsmFonf
zados por una palabra entre corchetes En cada seccin guran opciones de conguracin, de la forma
a vlor,
la seccin
etiquet
41
Existen tres secciones predenidas: Otras secciones (como para compartir Secciones predenidas:
glol, homes
printers
glol
ejemplo, el programa utilizado para que un usuario pueda cambiar su clave (psswd
progrm)
homes
dene automticamente un recurso de red por cada usuario conodel usuario en el ordenador en el que Samba est instalado dene un recurso compartido por cada nombre de impresora
cido por Samba; este recurso, por defecto, est asociado al directorio
home
printers
Niveles de Seguridad
Samba ofrece dos modos de seguridad, correspondientes a los dos modos de comparticin de recursos ya vistos Modo
por Samba, debe suministrar una contrasea de acceso asociada a dicho recurso Modo
user :
diante usuario y contrasea); una vez Samba valida al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba El nivel de seguridad se especica con la opcin a la seccin
glol
user, server, domin y eh corresponden todos ellos al modo de user user: el encargado de validar al usuario es el sistema Unix donde
Nivel
Samba se ejecuta; es necesario que existan los mismos usuarios y con idnticas contraseas en los sistemas Windows y en el servidor Samba Nivel
42
Nivel
Controlador de Dominio (DC), o una lista de DCs; el sistema Samba acta como miembro de un dominio Nivel
eh:
user
testprm net
smFonf
net
de DOS
smpsswd
si se ejecuta como root tambin permite aadir y borrar usuarios del chero de contraseas de Samba
smsttus smlient
muestra las conexiones Samba activas permite a un usuario de un sistema Unix conectarse a re-
8.5. Prcticas
Instalar Samba en Linux y acceder a los directorios de usuario desde Windows 2000 1. En el sistema Linux:
a) b)
Instalar los paquetes de Samba Examinar el chero de conguracin por defecto, y modicarlo: jar el nivel de seguridad a
c)
rio al chero de contraseas de Samba y ponerle una contrasea 2. En el sistema Windows 2000
a)
43
b) c)
Crear usuarios con el mismo nombre y contrasea que el usado en Samba Acceder como ese usuario y ver que podemos ver y crear cheros en el HOME del sistema Linux
44