Instrukcja do wiczenia Administracja usªugami domenowymi Konguracja NFS z Kerberosem Krzysztof Boryczko Remigiusz Górecki 1 czerwca 2010 Data wykonania Skªad Grupy Ocena Podczas wykonywania wiczenia odznaczaj wykonane podpunkty Przed przyst pieniem do wykonania wiczenia sprawd¹ obecno± i stan sprz tu. Wszelkie nieprawidªowo±ci nale»y natychmiast zgªosi prowadz - cemu. Wprowadzenie Na stanowisku znajduj si trzy komputery. Wszystkie z systemem operacyjnym Linux Fedora 11. Jeden z komputerów b dzie peªni rol serwera odpowiedzialnego za uwierzytelnianie i autoryzacj u»ytkowników. Zainstalowana na nim b dzie usªuga Kerberos i LDAP. W dalszej cz ±ci opisu zwany b dzie po prostu serwerem KDC. Drugi z komputerów b dzie natomiast peªni rol serwera NFS i tak te» b dzie nazywany. Trzeci z kolei b dzie stacj klienck. Wszystkie trzy komputery musz by we wspólnej sieci o adresie zgodnym z numerem stanowiska oraz nale»e do tej samej domeny DNS. 1. Ich adresy IP mog zatem by dowolne, lecz musz znajdowa si w obr bie wykorzystywanej sieci. Podobnie ich nazwy FQDN mog mie dowoln posta, aczkolwiek musz znajdowa si w obr bie kongurowanej domeny DNS. W praktyce powinna by jeszcze skongurowana usªuga DNS oraz reverse DNS dla zarz dzanej sieci, która tªumaczyªaby adresy domenowe (w postaci FQDN) na adresy IP wszystkich hostów i odwrotnie. Jednak z powodu zbyt maªych ram czasowych wiczenia ograniczymy si do rozwi zywania nazw i adresów wszystkich trzech komputerów na podstawie zawarto±ci pliku /etc/hosts na ka»dym z nich. Konguracja adresów IP i nazw komputerów wchodz cych w skªad stanowiska 1 Konguracja nazwy i ustawie«sieci na komputerze peªni cym rol KDC : a Zgodnie z numerem stanowiska i przyj tym standardem adresacji w laboratorium zdeniuj odpowiedni adres IP; b Nadaj mu nazw w postaci kdc.miastolemon.wszib.edu.pl (zgodn z domen przyporz dkowan do stanowiska); c Ustaw odpowiedni dla Twojej sieci bram domy±ln oraz adres serwera DNS mo»e by przykªadowo 192.168.5.10 ; d Konguracj zapisz we wªa±ciwych plikach, aby nie ulegªa zmianie po restarcie systemu; e Dokonaj restartu systemu w celu sprawdzenia poprawno±ci wykonanej konguracji. 2 W analogiczny sposób skonguruj pozostaªe dwa komputery na stanowisku nadaj c im dowolne nazwy. 3 Na wszystkich trzech komputerach w pliku /etc/hosts wpisz adresy IP wszystkich trzech komputerów i ich nazwy zarówno w peªnej FQDN jak i skróconej postaci. 1 Przyporz dkowanie adresów i nazw domen do stanowisk laboratoryjnych zostaªo opisane w dokumencie o nazwie konguracja_sieci.pdf znajduj cym si w systemie SAKE 1
Konguracja, uruchomienie i testowanie serwera KDC. Ze wzgl du na przygotowane na potrzeby wiczenia pliki z bazami u»ytkowników dla poszczególnych stanowisk, nazwy deniowanych królestw musz by zgodne z tymi, które s w utworzonych plikach. Przyj ta zostaªa zasada,»e nazwa królestwa jest taka sama jak nazwa domeny DNS (pisana oczywi±cie wielkimi literami). 1 Instalacja i konguracja KDC : a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety krb5-server i krb5-workstation. W razie ich braku doinstaluj je; okre±l odpowiedni nazw swojego króle- b W pliku konguracyjnym KDC /var/kerberos/krb5kdc/kdc.conf stwa. c Dokonaj równie» wpisania królestwa w pliku deniuj cym uprawnienia dla u»ytkowników korzystaj cych z usªugi kadmin /var/kerberos/krb5kdc/kadm5.acl. d Konieczne jest tak»e podanie nazwy królestwa dla uruchamianych usªug krb5kdc oraz kadmin. Najpro- ±ciej mo»na to zrobi przypisuj c j atrybutowi KRB5REALM zawartemu w plikach /etc/sysconfig/krb5kdc i /etc/sysconfig/kadmin. e Za pomoc programu kdb5_util utwórz podstawow zawarto± bazy danych dla swojego królestwa. Jako hasªo nale»y poda root123, poniewa» takim hasªem zaszyfrowana jest dostarczona do wiczenia baza. 2 Zaimportowanie zawarto±ci bazy KDC i uruchomienie go: a Przy pomocy polecenia kdb5_util z odpowiedniego dla Twojego królestwa pliku (z dostarczonego archiwum) zaimportuj caª baz nadpisuj c aktualn. Nazwa pliku zgodna jest z nazw królestwa. b Poleceniem service 3 Testowanie pracy stworzonego KDC : uruchom usªug krb5kdc i kadmin. Do komputera peªni cego rol serwera usªug Kerberos i LDAP u»ytkownicy nie powinni mie mo»liwo±ci podª czania si. Dlatego te» nale»y skongurowa mo»liwo± uwierzytelniania si u»ytkowników z wykorzystaniem kerberosa na pozostaªych dwóch komputerach wchodz cych w skªad stanowiska. a Sprawd¹ czy na komputerze zainstalowany jest pakiet krb5-workstation, a w razie jego braku doinstaluj go; b Uruchom na program setup i w konguracji uwierzytelniania, a nast pnie w uwierzytelnianie wybierz kerberosa i wpisz nazw królestwa oraz adres serwera KDC ; c Poleceniem kinit za» daj biletu dla jednego z u»ytkowników zdeniowanych w bazie KDC (wszyscy maj ustawione hasªo Ala_1234; d Sprawd¹ za pomoc polecenia klist zawarto± cache'a u»ytkownika, a co za tym idzie otrzymany bilet TGT. e Powy»sze czynno±ci przeprowad¹ na obydwu pozostaªych (nie b d cych KDC ) komputerach. Konguracja, uruchomienie i testowanie serwera LDAP. 1 Instalacja i konguracja serwera openldap na tym samym komputerze co usªuga KDC : a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety openldap-servers i openldap-clients. W razie ich braku doinstaluj je; b W pliku konguracyjnym serwera LDAP /etc/openldap/slapd.conf ustal przyrostek domeny odpowiadaj cy nazwie domeny przyporz dkowanej do stolika. Zdeniuj równie» nazw wyró»niaj c administratora jako Admin i ustaw mu hasªo w postaci root123; c Wypakuj z dostarczonego do wiczenia archiwum plik zawieraj cy baz u»ytkowników zapisan w formacie ldif ; d Za pomoc polecenia slapadd zaimportuj z dostarczonego pliku caª zawarto± bazy; e Wªa±cicielem powstaªych plików bazy (znajduj si one w katalogu root. Zmie«ich wªa±ciciela na u»ytkownika ldap; /var/lib/ldap ) b dzie u»ytkownik 2
f Poleceniem service uruchom usªug ldap; 2 Na pozostaªych dwóch komputerach skonguruj wykorzystanie protokoªu LDAP do autoryzacji u»ytkowników: a Sprawd¹ czy zainstalowane s pakiety openldap-clients i nss_ldap, a w razie potrzeby doinstaluj je; b Uruchom program setup i w konguracji uwierzytelniania w informacjach o u»ytkowniku wybierz LDAP i wpisz w odpowiedniej postaci przyrostek swej domeny oraz adres serwera usªugi LDAP; c Przetestuj poprawno± wykonanej konguracji wy±wietlaj c dane o u»ytkownikach za pomoc polecenia figer zwró uwag na posta ±cie»ki do katalogu domowego u»ytkowników. 3 W celu przetestowania zarówno poprawno±ci konguracji uwierzytelnienie jak i autoryzacji zaloguj si jako dowolny istniej cy u»ytkownik na obu komputerach. Konguracja NFSv3 po stronie serwera jak i klienta. 1 Instalacja i konguracja serwera NFS na drugim serwerze (nie na KDC ): a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety nfs-utils i rpcbind. W razie ich braku doinstaluj je; b Uruchom usªug rpcbind i sprawd¹ jej dziaªanie za pomoc polecenie rpcinfo ; c Utwórz katalog /home/zarzad, uczy«jego wªa±cicielem grupowym grup zarzad i nadaj mu prawa 750; d Utwórz katalog /home/pracownicy, uczy«jego wªa±cicielem grupowym grup pracownicy i nadaj mu prawa 750; e W utworzonym katalogu /home/pracownicy zaªó» katalogi domowe franio i wacek i zmie«ich wªa±cicieli na odpowiednich u»ytkowników; f W katalogu /home/zarzad zaªó» katalogi domowe zocha i zyzio i zmie«ich wªa±cicieli na odpowiednich u»ytkowników; g W pliku /etc/exports zdeniuj oba udziaªy czyni c je dost pne w sieci przyporz dkowanej do stolika; ustaw im tylko opcj rw; 2 Uruchomienie i testowanie usªugi NFS na serwerze: a Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi nfslock i nfs; b Za pomoc polecenia rpcinfo p sprawd¹ stan usªug zarz dzanych przez mechanizm RPC ; c Za pomoc polecenia showmount e wy±wietl udost pniane przez serwer udziaªy; 3 Konguracja komputera klienckiego i podmontowanie zdalnego systemu plików: a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety nfs-utils i rpcbind, a w razie potrzeby doinstaluj je; b Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi rpcbind i nfslock; c Utwórz katalogi /home/zarzad i /home/pracownicy ; dokonaj montowania obydwu zdalnych systemów plików do utwo- d Za pomoc polecenia mount t nfs rzonych katalogów; 4 B d c podª czonym jako u»ytkownik root przeª cz si (polecenie su ) na dowolnego u»ytkownika i sprawd¹ 5 Wezwij prowadz cego celem sprawdzenia poprawno±ci wykonania zadania. 3
Konguracja i wykorzystanie NFSv4. 1 Przygotowanie serwera NFS do udost pniania udziaªów protokoªem w wersji czwartej: a W pliku /etc/idmapd.conf ustaw warto± atrybutu Domain na nazw swojej domeny DNS. Zmie«równie» nazw konta u»ytkownika i grupy anonimowej na nfsnobody; b Utwórz katalog nfs4exp, a w nim katalogi pracownicy i zarzad ; c W pliku /etc/fstab ustaw montowanie typu bind katalogu /home/pracownicy do katalogu nfs4exp/pracownicy ; d W analogiczny sposób dokonaj wpisu na przemontowanie katalogu /home/zarzad ; e Poleceniem mount a wykonaj montowanie zdeniowanych systemów plików i za pomoc polecenia mount sprawd¹ poprawno± przeprowadzonej operacji; f W pliku /exc/expors dokonaj wpisu oznaczaj cego udost pnienie w sieci lokalnej katalogu gªównego dla NFSv4 nfs4exp. Pami taj o ustawieniu dla niego opcji fsid=0; g Zdeniuj równie» udost pnienie w sieci lokalnej pozostaªych dwóch katalogów: nfs4exp/pracownicy i nfs4exp/zarzad (nie ustawiaj opcji fsid); h Wykonaj restart usªug: rpcbind, rpcidmapd, nfslock i nfs; i Poleceniem showmount e sprawd¹ czy udziaªy zostaªy poprawnie udost pnione. 2 Konguracja komputera klienckiego oraz podmontowanie zdalnego systemu plików z wykorzystaniem protokoªu NFSv4: a W analogiczny sposób jak na serwerze skonguruj plik /etc/idmapd.conf ; b Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim wiczeniu; c Ponownie uruchom usªugi: rpcbind, rpcidmapd i nfslock; d Za pomoc polecenia mount t nfs4 dokonaj montowania obydwu zdalnych systemów plików do utworzonych katalogów pami taj by podawa takie ±cie»ki na zdalny system plików jak widoczne przez wykorzystanie polecenia showmount e adres_serwera ; 3 B d c podª czonym jako u»ytkownik root przeª cz si (polecenie su ) na dowolnego u»ytkownika i sprawd¹ Konguracja uwierzytelniania u»ytkownika dla NFSv4 za pomoc kerberosa. 1 Zdeniowanie w bazie KDC odpowiednich u»ytkowników do wspóªpracy z NFS: a Do bazy kerberosa za pomoc polecenia kadmin.local dodaj u»ytkownika o nazwie root/admin; b Do bazy kerberosa dodaj u»ytkownika dla usªugi NFS o nazwie nfs/nazwa_serwera. Nazwa serwera NFS musi by w peªnej postaci domenowej FQDN; c W analogiczny sposób dodaj drugiego u»ytkownika reprezentuj cego usªug nfs na komputerze klienckim; d Wyeksportuj klucze u»ytkownika reprezentuj cego usªug nfs na serwerze do pliku /etc/krb5.keytab polecenie kadmin -q ktadd nfs/nazwa_serwera ; e W ten sam sposób wyeksportuj odpowiednie klucze do keytaba na komputerze klienckim; f Poleceniem klist ke wy±wietl na obu komputerach zawarto± pliku /etc/krb5.keytab ; g Zmie«denicje wyeksportowanych katalogów w pliku /etc/exports zamieniaj c adresy sieci lokalnej na wpis oznaczaj cy wykorzystanie kerberosa warto± gss/krb5 ; h Wª cz wykorzystanie bezpiecznego NFSa ustawienie atrybutu SECURE_NFS=yes w pliku /etc/sysconfig/nfs ; i Wykonaj restart usªug: rpcbind, rpcidmapd, rpcgssd, rpcsvgssd,nfslock i nfs; 4
2 Konguracja komputera klienckiego do wykorzystania NFSv4 z kerberosem: a Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim wiczeniu; b W analogiczny sposób jak na serwerze skonguruj plik /etc/sysconfig/nfs ; c Ponownie uruchom usªugi: rpcbind, rpcidmapd, rpcgssd, rpcsvgssd i nfslock; d Za pomoc polecenia mount t nfs4 -o sec=krb5 dokonaj montowania obydwu zdalnych systemów plików do utworzonych katalogów pami taj by podawa takie ±cie»ki na zdalny system plików jak widoczne przez wykorzystanie polecenia showmount e adres_serwera ; 3 B d c podª czonym jako u»ytkownik root przeª cz si (polecenie su ) na dowolnego u»ytkownika i sprawd¹ pobierz klucz danego u»ytkownika i ponownie sprawd¹ dost pno± jego katalogu domo- 4 Poleceniem kinit wego; 5 Za pomoc polecenia klist nfs. wy±wietl bilety, które otrzymaª u»ytkownik. Zwró uwag na bilet na usªug 6 Wezwij prowadz cego celem sprawdzenia poprawno±ci wykonania zadania. 5