Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Se necesitarán 3 equipos (o máquinas virtuales) con Linux Ubuntu 10.04 (Lucid) instalado, que se
configurarán de la siguiente manera:
• Se conformará un dominio llamado kn.org por cada grupo de tres equipos.
• Uno de los equipos, kservidor.kn.org, funcionará como el servidor DNS y el KDC de la
solución.
• El segundo equipo, kcliente1.kn.org, se comportará como cliente de uso general y
servidor Telnet.
• El tercer equipo, kcliente2.kn.org, se comportará como cliente de uso general y servidor
FTP.
Como primera medida, deberá configurarse la interfaz de red de todos los equipos involucrados, a
travás del menú System → Preferences → Network Connections. Configure los datos de las
interfaces de red, según el plan de direcciones que el profesor consignará en el tablero. En el
nombre de dominio (search domains) poner kn.org, donde n es el número de su grupo.
Lo siguiente que se debe hacer es configurar, en todos los equipos, el sistema administrador de
paquetes de Ubuntu (APT), para que efectúe todas las actualizaciones desde un servidor caché
que está en el laboratorio. De esta manera, todo el software a actualizar se podrá bajar muchísimo
más rápido. Esto se hace creando un archivo de configuración, de la siguiente manera:
NOTA: Si está realizando la práctica en un computador por fuera del laboratorio, por favor omita la
creación del archivo de configuración antes citado.
Cree ahora, en kcliente1 y kcliente2, usuarios para los miembros de su grupo. Para ello,
emplee la herramienta System → Administration → Users and Groups.
Con esto, quedarán instalados varios módulos de soporte de PERL y de SSL, necesarios para la
operación de Webmin.
• Dar el comando:
Webmin install complete. You can now login to https://localhost:10000/ as root with your root
password, or as any user who can use sudo to run commands as root.
Por seguridad, cambie la contraseña del usuario root de Webmin con el siguiente comando:
Un servidor DNS bien configurado es indispensable para que Kerberos funcione sin problemas. El
proceso para configurar el servicio DNS empleando Webmin es el siguiente:
• El sistema informará que el servidor no está instalado, y ofrecerá instalarlo. Se debe hacer clic
entonces en el enlace que permite la instalación. Una vez instalado, hacer clic sobre el enlace
Return to BIND DNS Server (al final de la pantalla que describe todos los paquetes
instalados).
• En la parte de la ventana donde dice "Existing DNS zones", hacer clic en "Create Master Zone"
• Ahora, deben crearse registros para los tres equipos de su dominio, especificando las
direcciones IP correctas.
• Una vez creados todos los registros, verificar las direcciones en la lista que aparece en la parte
inferior de la pantalla. Luego, usar el enlace Return to zone list.
... por
... para evitar que Kerberos tenga confictos con el manejo de los nombres de los equipos.
Una vez configurado el DNS, se configura a kservidor como KDC, de la siguiente manera:
Revise ahora el archivo /etc/krb5.conf. Los siguientes parámetros deberían existir; en caso
contrario, agréguelos:
[libdefaults]
default_realm = Kn.ORG
[realms]
Kn.ORG = {
kdc = kservidor.kn.org:88
admin_server = kservidor.kn.org
default_domain = kn.org
}
[kdcdefaults]
kdc_ports = 750,88
[realms]
k1.org = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-
sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm
des:afs3
default_principal_flags = +preauth
}
Ejecutar ahora, como superusuario, el comando krb5_newrealm, para inicializar la base de datos
del dominio Kerberos. En este paso, debe suministrarse la clave que se empleará para cifrar y
descifrar la base de datos de Kerberos. Dicha clave queda almacenada en un archivo denominado
ARCHIVO DE STASH.
De acuerdo con los archivos de configuración, ¿en qué sitio queda almacenado el archivo de
stash?
*/admin *
Esto permitirá a cualquier principal cuyo nombre termine en “/admin” administrar la base de datos
de Kerberos con todos los privilegios.
Ahora, deben reiniciarse los servicios de Kerberos (servidor de administración y KDC) para que los
cambios entren en vigor:
/etc/init.d/krb5-admin-server restart
/etc/init.d/krb5-kdc restart
Se crearán a continuación los principales de Kerberos. Los principales designan a los usuarios, y
a los servicios que se prestarán en la red.
Para ello, debe invocarse la interfaz local de administración de Kerberos, en kservidor. Ejecutar
como superusuario el comando:
kadmin.local
addprinc jmadrid/admin
OJO: Reemplace jmadrid por cada uno de los miembros del equipo de trabajo. Asigne a cada
usuario un password que se pueda recordar fácilmente.
Con el siguiente comando, se pueden listar los principales que hay en la base de datos de
Kerberos hasta ahora:
listprincs
Ahora, se intentará acceder al kadmin empleando uno de los principales administrativos que se
crearon en el paso anterior. Para esto, es necesario autenticarse contra Kerberos.
Ahora, iniciar kadmin. Si todo va bien, el sistema solicitará de nuevo el password de Kerberos para
el principal administrativo creado anteriormente, y aparecerá el prompt de kadmin.
addprinc jmadrid
ktadd host/kcliente1.k1.org
ktadd ftp/kcliente2.k1.org
Por último, antes de finalizar sesión y salir del equipo, ¿qué debería hacer el usuario por
razones de seguridad?