Sieciowe systemy operacyjne

Transkrypt

1 Sieciowe systemy operacyjne Zarządzanie serwerami sieciowymi, cz. 2 Hubert Kołodziejski i Rafał Wojciechowski

2 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Domena Windows Domena Windows Domena Windows- podstawowa jednostka organizacyjna sieci Microsoft Windows

3 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Zadania domen Przechowywanie informacji- centralnym elementem domeny jest kontroler serwer przechowujący informację o użytkownikach sieci i ich uprawnieniach(w najnowszych wersjach systemu przechowywane jest znacznie więcej informacji ) Autoryzacja- w obrębie domeny możliwe jest logowanie użytkowników na wszystkich stacjach roboczych Organizacja- w sieciach systemów Windows 2000 i Windows Server 2003 domeny są zorganizowane hierarchicznie(drzewa i lasy). Struktura domen może odzwierciedlać podział terytorialny lub funkcjonalny instytucji

4 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klasyfikacja domen Domeny Windows zmieniały się wraz z rozwojem systemów operacyjnych Windows Obecnie rozróżnia się 2 typy domen: domenatypunt4 domenaactivedirectory

5 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Domeny vs grupy robocze W przypadku grupy roboczej lista kont użytkowników, uprawnienia, zabezpieczenia przechowywane są na lokalnych komputerach. Każdy komputer jest jednostką autonomiczną. Aby zalogować się na dowolnym z komputerów należących do grupy roboczej, należy znać nazwę i hasło do lokalnego konta W przypadku domeny, komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która znajduje się w jednym lub kilku kontrolerach domeny na systemie z rodziny Microsoft Windows.Net Server, Windows 2000 Server albo Windows NT Server. Możliwe jest również uruchomienie kontrolera domeny na systemie Linux

6 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Relacje zaufania Relacja zaufania- mechanizm pozwalający na dzielenie się informacjami pomiędzy serwerami. Jeśli domeny są zaufaneuprawnienia użytkowników odnoszą się do obydwu domen Drzewo domen- grupa domen tworzących wspólny obszar nazw i powiązanych relacjami zaufania. W drzewie występują domeny podrzędne i nadrzędne Las domen- Nieshierarchizowana, o nieciągłym obszarze nazw grupa drzew domen. Istnieje możliwość ustalania między nimi relacji zaufania.

7 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Drzewo domen

8 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Las domen

9 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Kreator instalacji usługi

10 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Wybór typy domeny

11 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Określenie nazwy domeny

12 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Określenie nazwy NetBIOS domeny

13 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Zarządzanie kontrolerem domeny

14 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Dodanie użytkownika

15 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Dodanie użytkownika

16 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Ustawianie folderów użytkowników

17 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Konfiguracja domeny podrzędnej

18 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Konfiguracja domeny podrzędnej

19 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klient domeny, konfiguracja Dodanie komputera

20 Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klient domeny, konfiguracja Logowanie do domeny

21 Mechanizmy Konfiguracja serwera Konfiguracja klienta - usługa przechowująca informacje o obiektach znajdujących się w sieci oraz umożliwiająca administratorom i użytkownikom łatwe znajdowanie tych informacji i korzystanie z nich. Używa magazynu danych( katalog) o określonej strukturze jako podstawy dla logicznej i hierarchicznej organizacji informacji katalogowych. Usługą są zintegrowane zabezpieczenia polegające na uwierzytelnianiu logowania i kontroli dostępu do obiektów w katalogu

22 Mechanizmy Konfiguracja serwera Konfiguracja klienta Domeny NT - następca domen systemu Windows NT Płaska struktura domen NT pozbawiona podziału na kontenery- wszytkie obiekty położone na jednym poziomie Przechowywanie informacji w domenie NT o ograniczonej stałej ilości typów obiektów(konto użytkownika lub komputera, grupie) z ograniczoną stałą ilością atrybutów przypisanych do konkretnych typów obiektów- brak możliwości rozszerzenia schematu domeny o dodatkowe atrybuty lub typy obiektów, które można przechowywać

23 Mechanizmy Konfiguracja serwera Konfiguracja klienta Domeny NT Technologiczne ograniczenie ilości możliwych do przechowywania obiektów domen NT(do ok. 40 tys. obiektów w jednej domenie) BrakotwartegoprotokołudladostępudodomenNT-brak możliwości dostępu z aplikacji innych producentów bez wykorzystania bibliotek pochodzących od Microsoftu

24 Mechanizmy Konfiguracja serwera Konfiguracja klienta W implementacji usunięto największe wady domen NT wprowadzając: hierarchicznośćprzechowywaniainformacji wyższelimityprzechowywaniainformacji(powyżej1miliona obiektów w domenie ) rozszerzalnośćschematuzawierającegodefinicjeobiektów Dwie wersje - pełna, zintegrowana z systemem Windows, niezbędna dla zarządzania kontami oraz wersja aplikacyjna instalowana w systemie Windows, jednak nie powiązana z domenami Windows ADAM(ang. Application Mode)

25 Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład usługi Zestawreguł schemat Wykaz globalny zawierający informacje o każdym obiekcie w katalogu Mechanizm przeszukiwania i indeksowania, który umożliwia użytkownikom i aplikacjom w sieci publikowanie i znajdowanie obiektów i ich właściwości Usługa replikacji, która dystrybuuje dane katalogowe w sieci Oprogramowania klienta usługi

26 Mechanizmy Konfiguracja serwera Konfiguracja klienta Schemat usługi Schemat usługi Schemat usługi - definicje wszystkich obiektów znajdujących się w katalogu. Każdy nowoutworzony obiekt katalogu przed zapisaniem go w katalogu jest porównywany z odpowiednią definicją obiektu w celu sprawdzenia jego poprawności

27 Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład schematu Klasyobiektu-definiująobiekty,któremogąpojawićsięw katalogu oraz ich atrybuty Dziedziczenie klas- definiuje metodę tworzenia nowych klas obiektów na podstawie istniejących klas Atrybuty obiektu- definiują dostępne atrybuty. Określają również działania, które mogą być wykonywane na klasach obiektu

28 Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład schematu Zasady strukturalne- określają możliwość zarządzania drzewem katalogu. Definiują w jakich kontenerach moga znaleźć się określone obiekty Zasady składni- określają typ wartości atrybutu, która może być przechowywana w katalogu Zasady zawartości- określają atrybuty, które mogą być związane z daną klasą

29 Mechanizmy Konfiguracja serwera Konfiguracja klienta Jednostki organizacyjne

30 Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konfiguracji - przystawki MMC Użytkownicy i komputery usługi Domeny i relacje zaufania usługi Lokacje i usługi

31 Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konsolowe Dodanie obiektów do katalogu dsadd Wyświetlenie właściwości obiektów w katalogu dsget Modyfikacja wybranych atrybutów istniejącego obiektu w katalogu dsmod

32 Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konsolowe Znalezienie obiektów w katalogu zgodnie z określonymi kryteriami wyszukiwania dsquery Przeniesienie obiektu z bieżącej lokalizacji do nowej lokalizacji nadrzędnej dsmove Usunięcie obiektu, pełnego poddrzewa znajdującego się poniżej obiektu w katalogu lub obydwu tych elementów dsrm

33 Mechanizmy Konfiguracja serwera Konfiguracja klienta Inne narzędzia administracyjne Przystawka Schemat usługi umożliwiająca modyfikację schematu katalogu schmmgmt.dll Konserwacja bazy danych ntdsutil.exe Przeglądanie i modyfikacja zawartości usługi katalogowej poprzez protokół ADSIEdit.msc

34 Mechanizmy Konfiguracja serwera Konfiguracja klienta Inne narzędzia administracyjne, ADSIEdit

35 Mechanizmy Konfiguracja serwera Konfiguracja klienta Klienci Zdalne uwierzytelnianie i rozpoznawanie umiejscowienia w sieci- użytkownik może zalogować się do kontrolera domeny, który znajduje sie najbliżej danego klienta w sieci, dostepne jest także uwierzytelnianie Interfejsy usługi (ADSI)- zapewnienie wspólnego interfejsu API programistom tworzącym aplikacje dla usługi oraz skryptów korzystających z usług katalogowych

36 Mechanizmy Konfiguracja serwera Konfiguracja klienta Klienci Rozproszony system plików(dfs)- możliwość dostępu do zasobów udostępnionych systemu DFS znajdujących się na serwerach z systemem Windows 2000 lub Windows Server 2003 Książka adresowa oraz programy pocztowe- udostępnianie informacji, takich jak numery telefonów i adresy, umożliwienie również modyfikacji Możliwości wyszukiwania(drukarek, osób,...)

37 Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka

38 Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka

39 Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka

40 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Network Information Service/ Yellow Pages -systembazującynatechnologiirpcitechnologii klient/ serwer, który pozwala maszynom znajdującym się w tej samej domenie co NIS dzielić wspólne ustawienia plików konfiguracyjnych, pozwala administratorowi ustawić kliencki system NIS z minimalną konfiguracją oraz dodawać, usuwać lub modyfikować dane konfiguracyjne z pojedynczej lokalizacji. Rozwiązanie podobne do systemu domen Windows NT, choć wewnętrzna implementacja nie jest jednakowa, podstawowa funkcjonalność może być porównywalna. System stworzony przez Sun Microsystems w celu centralizacji administracji systemami Uniksowymi

41 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Podstawowa struktura... Nazwa domenowa NIS(konieczna do zdefiniowania na głównym serwerze NIS i na wszystkich jego klientach)- brak powiązania z domeną DNS Serwer NIS- serwer podstawowy(master) oraz serwery pomocnicze(slave) przechowujące kopię baz danych NIS otrzymaną od serwerów głównych

42 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Podstawowa struktura... BazadanychNIS-przechowywanawformacieDBMna podstawie baz danych ASCII(konwersja plików/etc/passwd oraz/etc/group na DBM; serwer główny winien przechowywać zarówno postaci ASCII oraz DBM bazy). Serwery slave zostają powiadamiane o każdej zmianie w mapach NIS i automatycznie uaktualniają owe zmiany aby zsynchronizować swoje bazy danych KlientNIS

43 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS portmap- demon portmappera RPC zamieniający numery programowe RPC na numery portów protokołu TCP lub UDP (konieczny w celu użycia odwołań RPC do serwerów RPC informujących przy starcie portmapa o portach nasłuchujących i serwowanych numerach programowych RPC); klient odwołujący się przez RPC do danego numeru programowego, kontaktuje się z portmapem na maszynie serwerowej w celu określenia numeru portu, do którego należy wysłać pakiety RPC

44 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS ypbind- demon podłączający klienta NIS do serwera, pobierający z systemu nazwę domenową i używający RPC przy podłączeniu do serwera; podstawa komunikacji pomiędzy klientem a serwerem w środowisku NIS; nieuruchomiony ypbind uniemożliwia dostęp do serwera NIS

45 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS ypserv- demon uruchamiany jedynie na serwerze umożliwiający udzielanie odpowiedzi na zapytania rpc.yppasswdd- demon uruchamiany na serwerze NIS master pozwalający stacjom klienckim na zmianę ich haseł NIS; brak uruchomienia wymusza konieczność zalogowania się użytkownika do serwera i podmiany hasła

46 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Pliki konfiguracyjne serwera NIS/ YP /var/yp/makefile /var/yp/securenets /var/yp/ypservers /etc/ypserv.conf

47 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Wybrane pliki danych serwera NIS/ YP /etc/passwd- dane użytkowników, przez NIS udostępniani są użytkownicy o UIDzie powyżej 100(w najprostszej konfiguracji NIS zaszyfrowane hasła użytkowników dołączane sąmapypasswd,mimożeznajdująsięwpliku/etc/shadow) /etc/group- dane grup, poprzez NIS udostępniane są dane grup o GIDzie powyżej 500

48 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Wybrane pliki danych serwera NIS/ YP /etc/hosts- powiązanie nazw komputerów i adresów IP, rodzaj lokalnej usługi DNS(wszystkie wpisy udostępniane są przez NISa) /etc/netgroup- grupy użytkowników, hostów lub domen, dane w nim zawarte upraszczają konfigurację klientów /etc/shadow /etc/publickey

49 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Uruchomienie portmapa: /etc/init.d/portmap start Ustawienie nazwy domenowej: domainname[nazwa domeny NIS] Uruchomienie ypserv: /etc/init.d/ypserv start Sprawdzenie czy działają: rpcinfo-p localhost Zbudowanie bazy danych /usr/lib/yp/ypinit-m

50 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Generacja bazy na serwerze pomocniczym(po uprzednim sprawdzeniu uruchomienia klienta): ypwhich-m /usr/lib/yp/ypinit-s[nazwa głównego serwera NIS] Uaktualnienie mapy(/var/yp): make

51 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Uruchomienie rpc.yppasswdd z wymuszeniem katalogu konfiguracji oraz możliwością modyfikacji shella oraz informacji: rpc.yppasswdd-d[katalog konfiguracji]-e[chfn chsh] Uruchomienie rpc.yppasswdd z wymuszeniem lokalizacji pliku shadow oraz passwd: rpc.yppasswdd-s/etc/yp/shadow-p/etc/yp/passwd... Uruchomienie skryptu startowego rpc.yppasswdd (konfiguracja w pliku/etc/conf.d/rpc.yppasswdd): /etc/init.d/rpc.yppasswdd start

52 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja/etc/netgroup Format wpisów grupa(host1, user1, domena1),(host2, user2, domena2),... Wpisy nie muszą być kompletne: users(,user1,)(,user2,)(,user3,) hosts(host1,,)(host2,,) domains(,,domain1)

53 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja Definicja serwera NIS w pliku konfiguracyjnym ypbinda /etc/yp.conf Uruchomienie portmapa: /etc/init.d/portmap start Ustawienie nazwy domenowej: domainname[nazwa domeny NIS]

54 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja Uruchomienie ypbind: /etc/init.d/ypbind start Sprawdzenie czy ypbind zarejestrował swój serwis u portmappera: rpcinfo-p localhost Korzystanie z narzędzi klienckich NIS ypcat passwd.byname...

55 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP,/etc/host.conf,/etc/nsswitch.conf /etc/nsswitch.conf,/etc/host.conf- określenie kolejności w jakiej odbywa się sprawdzanie, kiedy pojawi się żądanie pewnej informacji /etc/host.conf- określenie kolejności sprawdzania adresów hostów(poniższa linia- najpierw szukanie w lokalnym pliku /etc/hosts,potemwbazienisinakońcuwdnsie) hosts: files nis dns

56 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP,/etc/host.conf,/etc/nsswitch.conf /etc/nsswitch.conf: passwd: compat group: compat shadow: compat netgroup: nis

57 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja/etc/passwd Dodanie wszystkich użytkowników do NISa +::::::: Format wpisów +miquels::::::: +ed::::::: +dth::::::: -ftp +:*::::::/etc/noshell

58 Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, wybrane narzędzia Pobranie danych z serwera ypcat[mapa] Pobranie dostępnych map ypcat-x Sprawdzenieczydanywpisznajdujesiewbazie ypmatch[obiekt][mapa] --> ypmatch[userid] passwd Zmiana hasła na serwerze yppasswd[nazwa użytkownika] Logowanie... login

59 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Usługa katalogowa Usługa katalogowa- baza danych zawierająca różnorodne obiekty: użytkowników, aplikacje, urządzenia i inne zasoby sieciowe Usługa katalogowa musi być przynajmniej częściowo obiektową bazą danych reprezentującą użytkowników sieci i zasoby, co pomaga zarządzać relacjami między ludźmi a sieciami, urządzeniami sieciowymi, aplikacjami sieciowymi i zawartymi w sieci informacjami

60 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Usługa katalogowa Usługa katalogowa zapewnia administratorom jeden, logiczny i precyzyjny sposób opisu wszystkich urządzeń i usług sieciowych oferując dostęp za pośrednictwem bezpiecznego logowania i organizując hierarchicznie zasoby sieciowe Wszystkie wpisy zorganizowane sa w postaci struktury drzewa katalogowego, najczęściej bazującego na strukturze politycznej, geograficznej, organizacyjnej lub domenowej Każdy obiekt jest jednoznacznie identyfikowany poprzez swoje położenie na drzewie(dn, distinguished name)

61 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Struktura terytorialna

62 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Struktura domenowa

63 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zastosowanie usług katalogowych Scentralizowane zarządzanie kontami użytkowników Zarządzanie infrastrukturą kluczy publicznych Wspólny harmonogram Wspólna książka adresów Przechowywanie informacji DHCP i DNS

64 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Lightweight Directory Access Protocol - protokół przeznaczony do dostępu do usług katalogowych, szczególnie do tych bazujących na usługach katalogowych X.500. pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu

65 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Organizacja a Informacje w katalogu sa przechowywane w postaci wpisów (Entries) Każdywpisjestobiektemjednejlubwieluklas Klasy mogą byc dziedziczone, każda klasa składa się z jednego lub wielu atrybutów, które mogą być opcjonalne lub obowiązkowe Istnieje wiele podstawowych typów atrybutów, które mogą mieć więcej niż jedną wartość

66 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Organizacja a Zestaw klas i składających się na nie atrybutów nazywamy schematem Typowe schematy dostarczane są wraz z serwerem Istnieje możliwość modyfikowania schematów i definiowania własnych Dostęp do wpisu chroniony jest poprzez listy kontroli dostępu (ACL, Access Control List). Można tworzyć uprawnienia dla kontekstów, wpisów oraz poszczególnych atrybutów

67 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Przykładowe atrybuty UID(User Identifier)- identyfikator użytkownika RID(Relative Identifier)- względny identyfikator użytkownika CN(CommonName)-nazwa SN(Surename)- nazwisko OU(Organizational Unit)- jednostka organizacyjna O(Organization)- jednostka DC(Domain Component)- składnik nazwy domenowej C(Country)-państwo

68 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja Uruchomienie serwera (skrypty startowe, konfiguracja w /etc/conf.d/slapd) /etc/init.d/slapd start Uruchomienie ręczne serwera /usr/lib/openldap/slapd-f[plik konfiguracyjny] -u[uzytkownik]-g[grupa] -d[ilosc logowanych komunikatow] Logi systemowe tail/var/log/messages

69 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja/etc/openldap/slapd.conf Dołączenie potrzebnych schematów include/etc/openldap/schema/core.schema include/etc/openldap/schema/cosine.schema include/etc/openldap/schema/inetorgperson.schema include/etc/openldap/schema/nis.schema include/etc/openldap/schema/misc.schema Wymagane przez skrypty uruchomieniowe pidfile/var/run/openldap/slapd.pid argsfile/var/run/openldap/slapd.args Wymuszenie metody kodowania haseł password-hash[md5]

70 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, wybór bazy danych bdb-bazaberkleydb ldbm-bazalightweightdbm passwd- dostęp do pliku/etc/passwd(tylko odczyt) sql-bazasql...

71 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja/etc/openldap/slapd.conf Przykładowa konfiguracja database ldbm suffix"dc=sso,dc=kis" rootdn"cn=admin,dc=sso,dc=kis" rootpw{md5}cy9rzuyh03pk3k6djie09g== directory/var/lib/openldap-ldbm index objectclass eq Generacja hasła slappasswd-s[haslo]-h[md5]

72 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, pliki danych LDIF Wpisy w katalogu mogą być eksportowane/ importowane do / z plików tekstowych w specjalnym formacie LDIF( Data Interchange Format) wymiany danych protokołu zawierającym instrukcje manipulujące informacjami katalogowymi dn: dc=sso,dc=kis dc: sso objectclass: domain dn: ou=people,dc=sso,dc=kis ou: People objectclass: organizationalunit...

73 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, pliki danych LDIF dn: uid=barakuda,ou=people,dc=sso,dc=kis uid: barakuda cn: barakuda sn: barakuda description: To ja mailroutingaddress: mailhost: mail.angband.pl objectclass: inetlocalmailrecipient objectclass: person objectclass: inetorgperson

74 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, użycie LDIF Dodanie LDIFa do katalogu ldapadd-f test.ldif-d"cn=admin, dc=sso, dc=kis"-w Wyczyszczenie katalogu ldapdelete-r-d"cn=admin, dc=sso, dc=kis" -W dc=sso,dc=kis

75 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia (Open) ldapadd-dodajewpisydokatalogu ldapcompare- porównuje wartość atrybutu ze ścieżką ldapdelete- usuwa wpisy z katalogu ldapmodify- modyfikuje wpisy w katalogu ldapmodrdn- zmienia nazwę(dn) wpisu ldappasswd- zmienia hasło użytkownika ldapsearch- wyszukuje informacji w katalogu ldapwhoami- sprawdza domyślnego użytkownika...

76 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia do administracji serwerem slapadd- wprowadzenie do katalogu dane wyeksportowane programem slapcat slapcat-pobraniedanychzkataloguwpostaciplikuldif slapdn-sprawdzenieczynazwa(dn)jestzgodnazbieżącym schematem slapindex- odbudowanie indeksu katalogu slappasswd- generacja hasła w używanych przez serwer formatach slaptest- sprawdzenie poprawności pliku slapd.conf...

77 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia graficzne GQ Luma jxplorer Directory Administrator kldap KDirAdm...

78 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Prawa dostępu Open,/etc/openldap/slapd.conf Definicje praw dostępu accessto* by dn="uid=root,ou=people,dc=sso,dc=kis" write by users read by anonymous auth access to attrs=userpassword,gecos,description,loginshell by self write

79 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Prawa dostępu Open,/etc/openldap/slapd.conf Definicje praw dostępu access to attrs="userpassword" by dn="uid=root,ou=people,dc=sso,dc=kis" write by dn="uid=john,ou=people,dc=sso,dc=kis" write by anonymous auth by self write by*none accessto* by dn="uid=root,ou=people,dc=sso,dc=kis" write by*search

80 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/openldap/ldap.conf Dołączenie potrzebnych schematów BASE dc=sso, dc=kis URI ldap://localhost:389/ Poprawność konfiguracji można sprawdzić za pomocą jednego z narzędzi a(komunikacja z serwerem) ldapsearch-d cn=admin,dc=sso,dc=kis -W

81 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, konfiguracja serwera- /usr/share/migrationtools Konfiguracja migrate common.ph- skrypty generujące pliki LDIF $DEFAULT_BASE ="dc=sso,dc=kis"; $EXTENDED_SCHEMA = 1; #$DEFAULT_MAIL_DOMAIN ="sso.kis"; #$DEFAULT_MAIL_HOST ="mail.sso.kis";

82 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, eksport danych Wykonanie skryptów eksportujących export ETC_SHADOW=/etc/shadow cd/usr/share/migrationtools./migrate_base.pl >/tmp/base.ldif./migrate_group.pl/etc/group >/tmp/group.ldif./migrate_hosts.pl/etc/hosts >/tmp/hosts.ldif./migrate_passwd.pl/etc/passwd >/tmp/passwd.ldif

83 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, import danych Dodanie plików do katalogów ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/base.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/group.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/passwd.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/hosts.ldif

84 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/pam.d/system-auth Zdalna autoryzacja auth required pam_env.so auth sufficient pam_unix.so likeauth nullok shadow auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so... session required pam_limits.so session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0066 session optional pam_ldap.so

85 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/ldap.conf Zdalna autoryzacja... suffix"dc=sso,dc=kis" uri ldaps:// / pam_password exop ldap_version 3 pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=people,dc=sso,dc=kis nss_base_shadow ou=people,dc=sso,dc=kis nss_base_group ou=group,dc=sso,dc=kis nss_base_hosts ou=hosts,dc=sso,dc=kis...

86 Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/nsswitch.conf Zdalna autoryzacja passwd: files ldap group: files ldap shadow: files ldap

87 Co już umiemy? Konfigurować serwer oraz klienta domeny NT Konfigurować serwer oraz klienta Konfigurować serwer oraz klienta NISa Konfigurować serwer oraz klienta a

88 Koniec Dziękujęzauwagę...