Sieciowe systemy operacyjne Zarządzanie serwerami sieciowymi, cz. 2 Hubert Kołodziejski i Rafał Wojciechowski
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Domena Windows Domena Windows Domena Windows- podstawowa jednostka organizacyjna sieci Microsoft Windows
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Zadania domen Przechowywanie informacji- centralnym elementem domeny jest kontroler serwer przechowujący informację o użytkownikach sieci i ich uprawnieniach(w najnowszych wersjach systemu przechowywane jest znacznie więcej informacji ) Autoryzacja- w obrębie domeny możliwe jest logowanie użytkowników na wszystkich stacjach roboczych Organizacja- w sieciach systemów Windows 2000 i Windows Server 2003 domeny są zorganizowane hierarchicznie(drzewa i lasy). Struktura domen może odzwierciedlać podział terytorialny lub funkcjonalny instytucji
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klasyfikacja domen Domeny Windows zmieniały się wraz z rozwojem systemów operacyjnych Windows Obecnie rozróżnia się 2 typy domen: domenatypunt4 domenaactivedirectory
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Domeny vs grupy robocze W przypadku grupy roboczej lista kont użytkowników, uprawnienia, zabezpieczenia przechowywane są na lokalnych komputerach. Każdy komputer jest jednostką autonomiczną. Aby zalogować się na dowolnym z komputerów należących do grupy roboczej, należy znać nazwę i hasło do lokalnego konta W przypadku domeny, komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która znajduje się w jednym lub kilku kontrolerach domeny na systemie z rodziny Microsoft Windows.Net Server, Windows 2000 Server albo Windows NT Server. Możliwe jest również uruchomienie kontrolera domeny na systemie Linux
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Relacje zaufania Relacja zaufania- mechanizm pozwalający na dzielenie się informacjami pomiędzy serwerami. Jeśli domeny są zaufaneuprawnienia użytkowników odnoszą się do obydwu domen Drzewo domen- grupa domen tworzących wspólny obszar nazw i powiązanych relacjami zaufania. W drzewie występują domeny podrzędne i nadrzędne Las domen- Nieshierarchizowana, o nieciągłym obszarze nazw grupa drzew domen. Istnieje możliwość ustalania między nimi relacji zaufania.
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Drzewo domen
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Las domen
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Kreator instalacji usługi
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Wybór typy domeny
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Określenie nazwy domeny
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Określenie nazwy NetBIOS domeny
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Zarządzanie kontrolerem domeny
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Dodanie użytkownika
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Dodanie użytkownika
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Ustawianie folderów użytkowników
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Konfiguracja domeny podrzędnej
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Konfiguracja domeny podrzędnej
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klient domeny, konfiguracja Dodanie komputera
Mechanizmy domen Windowsowych Konfiguracja serwera domeny NT Konfiguracja klienta domeny Klient domeny, konfiguracja Logowanie do domeny
Mechanizmy Konfiguracja serwera Konfiguracja klienta - usługa przechowująca informacje o obiektach znajdujących się w sieci oraz umożliwiająca administratorom i użytkownikom łatwe znajdowanie tych informacji i korzystanie z nich. Używa magazynu danych( katalog) o określonej strukturze jako podstawy dla logicznej i hierarchicznej organizacji informacji katalogowych. Usługą są zintegrowane zabezpieczenia polegające na uwierzytelnianiu logowania i kontroli dostępu do obiektów w katalogu
Mechanizmy Konfiguracja serwera Konfiguracja klienta Domeny NT - następca domen systemu Windows NT Płaska struktura domen NT pozbawiona podziału na kontenery- wszytkie obiekty położone na jednym poziomie Przechowywanie informacji w domenie NT o ograniczonej stałej ilości typów obiektów(konto użytkownika lub komputera, grupie) z ograniczoną stałą ilością atrybutów przypisanych do konkretnych typów obiektów- brak możliwości rozszerzenia schematu domeny o dodatkowe atrybuty lub typy obiektów, które można przechowywać
Mechanizmy Konfiguracja serwera Konfiguracja klienta Domeny NT Technologiczne ograniczenie ilości możliwych do przechowywania obiektów domen NT(do ok. 40 tys. obiektów w jednej domenie) BrakotwartegoprotokołudladostępudodomenNT-brak możliwości dostępu z aplikacji innych producentów bez wykorzystania bibliotek pochodzących od Microsoftu
Mechanizmy Konfiguracja serwera Konfiguracja klienta W implementacji usunięto największe wady domen NT wprowadzając: hierarchicznośćprzechowywaniainformacji wyższelimityprzechowywaniainformacji(powyżej1miliona obiektów w domenie ) rozszerzalnośćschematuzawierającegodefinicjeobiektów Dwie wersje - pełna, zintegrowana z systemem Windows, niezbędna dla zarządzania kontami oraz wersja aplikacyjna instalowana w systemie Windows, jednak nie powiązana z domenami Windows ADAM(ang. Application Mode)
Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład usługi Zestawreguł schemat Wykaz globalny zawierający informacje o każdym obiekcie w katalogu Mechanizm przeszukiwania i indeksowania, który umożliwia użytkownikom i aplikacjom w sieci publikowanie i znajdowanie obiektów i ich właściwości Usługa replikacji, która dystrybuuje dane katalogowe w sieci Oprogramowania klienta usługi
Mechanizmy Konfiguracja serwera Konfiguracja klienta Schemat usługi Schemat usługi Schemat usługi - definicje wszystkich obiektów znajdujących się w katalogu. Każdy nowoutworzony obiekt katalogu przed zapisaniem go w katalogu jest porównywany z odpowiednią definicją obiektu w celu sprawdzenia jego poprawności
Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład schematu Klasyobiektu-definiująobiekty,któremogąpojawićsięw katalogu oraz ich atrybuty Dziedziczenie klas- definiuje metodę tworzenia nowych klas obiektów na podstawie istniejących klas Atrybuty obiektu- definiują dostępne atrybuty. Określają również działania, które mogą być wykonywane na klasach obiektu
Mechanizmy Konfiguracja serwera Konfiguracja klienta Skład schematu Zasady strukturalne- określają możliwość zarządzania drzewem katalogu. Definiują w jakich kontenerach moga znaleźć się określone obiekty Zasady składni- określają typ wartości atrybutu, która może być przechowywana w katalogu Zasady zawartości- określają atrybuty, które mogą być związane z daną klasą
Mechanizmy Konfiguracja serwera Konfiguracja klienta Jednostki organizacyjne
Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konfiguracji - przystawki MMC Użytkownicy i komputery usługi Domeny i relacje zaufania usługi Lokacje i usługi
Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konsolowe Dodanie obiektów do katalogu dsadd Wyświetlenie właściwości obiektów w katalogu dsget Modyfikacja wybranych atrybutów istniejącego obiektu w katalogu dsmod
Mechanizmy Konfiguracja serwera Konfiguracja klienta Narzędzia konsolowe Znalezienie obiektów w katalogu zgodnie z określonymi kryteriami wyszukiwania dsquery Przeniesienie obiektu z bieżącej lokalizacji do nowej lokalizacji nadrzędnej dsmove Usunięcie obiektu, pełnego poddrzewa znajdującego się poniżej obiektu w katalogu lub obydwu tych elementów dsrm
Mechanizmy Konfiguracja serwera Konfiguracja klienta Inne narzędzia administracyjne Przystawka Schemat usługi umożliwiająca modyfikację schematu katalogu schmmgmt.dll Konserwacja bazy danych ntdsutil.exe Przeglądanie i modyfikacja zawartości usługi katalogowej poprzez protokół ADSIEdit.msc
Mechanizmy Konfiguracja serwera Konfiguracja klienta Inne narzędzia administracyjne, ADSIEdit
Mechanizmy Konfiguracja serwera Konfiguracja klienta Klienci Zdalne uwierzytelnianie i rozpoznawanie umiejscowienia w sieci- użytkownik może zalogować się do kontrolera domeny, który znajduje sie najbliżej danego klienta w sieci, dostepne jest także uwierzytelnianie Interfejsy usługi (ADSI)- zapewnienie wspólnego interfejsu API programistom tworzącym aplikacje dla usługi oraz skryptów korzystających z usług katalogowych
Mechanizmy Konfiguracja serwera Konfiguracja klienta Klienci Rozproszony system plików(dfs)- możliwość dostępu do zasobów udostępnionych systemu DFS znajdujących się na serwerach z systemem Windows 2000 lub Windows Server 2003 Książka adresowa oraz programy pocztowe- udostępnianie informacji, takich jak numery telefonów i adresy, umożliwienie również modyfikacji Możliwości wyszukiwania(drukarek, osób,...)
Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka
Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka
Mechanizmy Konfiguracja serwera Konfiguracja klienta Konfiguracja Outlooka
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Network Information Service/ Yellow Pages -systembazującynatechnologiirpcitechnologii klient/ serwer, który pozwala maszynom znajdującym się w tej samej domenie co NIS dzielić wspólne ustawienia plików konfiguracyjnych, pozwala administratorowi ustawić kliencki system NIS z minimalną konfiguracją oraz dodawać, usuwać lub modyfikować dane konfiguracyjne z pojedynczej lokalizacji. Rozwiązanie podobne do systemu domen Windows NT, choć wewnętrzna implementacja nie jest jednakowa, podstawowa funkcjonalność może być porównywalna. System stworzony przez Sun Microsystems w celu centralizacji administracji systemami Uniksowymi
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Podstawowa struktura... Nazwa domenowa NIS(konieczna do zdefiniowania na głównym serwerze NIS i na wszystkich jego klientach)- brak powiązania z domeną DNS Serwer NIS- serwer podstawowy(master) oraz serwery pomocnicze(slave) przechowujące kopię baz danych NIS otrzymaną od serwerów głównych
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Podstawowa struktura... BazadanychNIS-przechowywanawformacieDBMna podstawie baz danych ASCII(konwersja plików/etc/passwd oraz/etc/group na DBM; serwer główny winien przechowywać zarówno postaci ASCII oraz DBM bazy). Serwery slave zostają powiadamiane o każdej zmianie w mapach NIS i automatycznie uaktualniają owe zmiany aby zsynchronizować swoje bazy danych KlientNIS
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS portmap- demon portmappera RPC zamieniający numery programowe RPC na numery portów protokołu TCP lub UDP (konieczny w celu użycia odwołań RPC do serwerów RPC informujących przy starcie portmapa o portach nasłuchujących i serwowanych numerach programowych RPC); klient odwołujący się przez RPC do danego numeru programowego, kontaktuje się z portmapem na maszynie serwerowej w celu określenia numeru portu, do którego należy wysłać pakiety RPC
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS ypbind- demon podłączający klienta NIS do serwera, pobierający z systemu nazwę domenową i używający RPC przy podłączeniu do serwera; podstawa komunikacji pomiędzy klientem a serwerem w środowisku NIS; nieuruchomiony ypbind uniemożliwia dostęp do serwera NIS
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Składniki systemu NIS ypserv- demon uruchamiany jedynie na serwerze umożliwiający udzielanie odpowiedzi na zapytania rpc.yppasswdd- demon uruchamiany na serwerze NIS master pozwalający stacjom klienckim na zmianę ich haseł NIS; brak uruchomienia wymusza konieczność zalogowania się użytkownika do serwera i podmiany hasła
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Pliki konfiguracyjne serwera NIS/ YP /var/yp/makefile /var/yp/securenets /var/yp/ypservers /etc/ypserv.conf
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Wybrane pliki danych serwera NIS/ YP /etc/passwd- dane użytkowników, przez NIS udostępniani są użytkownicy o UIDzie powyżej 100(w najprostszej konfiguracji NIS zaszyfrowane hasła użytkowników dołączane sąmapypasswd,mimożeznajdująsięwpliku/etc/shadow) /etc/group- dane grup, poprzez NIS udostępniane są dane grup o GIDzie powyżej 500
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Wybrane pliki danych serwera NIS/ YP /etc/hosts- powiązanie nazw komputerów i adresów IP, rodzaj lokalnej usługi DNS(wszystkie wpisy udostępniane są przez NISa) /etc/netgroup- grupy użytkowników, hostów lub domen, dane w nim zawarte upraszczają konfigurację klientów /etc/shadow /etc/publickey
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Uruchomienie portmapa: /etc/init.d/portmap start Ustawienie nazwy domenowej: domainname[nazwa domeny NIS] Uruchomienie ypserv: /etc/init.d/ypserv start Sprawdzenie czy działają: rpcinfo-p localhost Zbudowanie bazy danych /usr/lib/yp/ypinit-m
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Generacja bazy na serwerze pomocniczym(po uprzednim sprawdzeniu uruchomienia klienta): ypwhich-m /usr/lib/yp/ypinit-s[nazwa głównego serwera NIS] Uaktualnienie mapy(/var/yp): make
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja Uruchomienie rpc.yppasswdd z wymuszeniem katalogu konfiguracji oraz możliwością modyfikacji shella oraz informacji: rpc.yppasswdd-d[katalog konfiguracji]-e[chfn chsh] Uruchomienie rpc.yppasswdd z wymuszeniem lokalizacji pliku shadow oraz passwd: rpc.yppasswdd-s/etc/yp/shadow-p/etc/yp/passwd... Uruchomienie skryptu startowego rpc.yppasswdd (konfiguracja w pliku/etc/conf.d/rpc.yppasswdd): /etc/init.d/rpc.yppasswdd start
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Serwer NIS/ YP, konfiguracja/etc/netgroup Format wpisów grupa(host1, user1, domena1),(host2, user2, domena2),... Wpisy nie muszą być kompletne: users(,user1,)(,user2,)(,user3,) hosts(host1,,)(host2,,) domains(,,domain1)
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja Definicja serwera NIS w pliku konfiguracyjnym ypbinda /etc/yp.conf Uruchomienie portmapa: /etc/init.d/portmap start Ustawienie nazwy domenowej: domainname[nazwa domeny NIS]
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja Uruchomienie ypbind: /etc/init.d/ypbind start Sprawdzenie czy ypbind zarejestrował swój serwis u portmappera: rpcinfo-p localhost Korzystanie z narzędzi klienckich NIS ypcat passwd.byname...
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP,/etc/host.conf,/etc/nsswitch.conf /etc/nsswitch.conf,/etc/host.conf- określenie kolejności w jakiej odbywa się sprawdzanie, kiedy pojawi się żądanie pewnej informacji /etc/host.conf- określenie kolejności sprawdzania adresów hostów(poniższa linia- najpierw szukanie w lokalnym pliku /etc/hosts,potemwbazienisinakońcuwdnsie) hosts: files nis dns
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP,/etc/host.conf,/etc/nsswitch.conf /etc/nsswitch.conf: passwd: compat group: compat shadow: compat netgroup: nis
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, konfiguracja/etc/passwd Dodanie wszystkich użytkowników do NISa +::::::: Format wpisów +miquels::::::: +ed::::::: +dth::::::: +@sysadmins::::::: -ftp +:*::::::/etc/noshell
Mechanizmy NIS/ YP Konfiguracja serwera NIS/ YP Konfiguracja klienta NIS/ YP Klient NIS/ YP, wybrane narzędzia Pobranie danych z serwera ypcat[mapa] Pobranie dostępnych map ypcat-x Sprawdzenieczydanywpisznajdujesiewbazie ypmatch[obiekt][mapa] --> ypmatch[userid] passwd Zmiana hasła na serwerze yppasswd[nazwa użytkownika] Logowanie... login
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Usługa katalogowa Usługa katalogowa- baza danych zawierająca różnorodne obiekty: użytkowników, aplikacje, urządzenia i inne zasoby sieciowe Usługa katalogowa musi być przynajmniej częściowo obiektową bazą danych reprezentującą użytkowników sieci i zasoby, co pomaga zarządzać relacjami między ludźmi a sieciami, urządzeniami sieciowymi, aplikacjami sieciowymi i zawartymi w sieci informacjami
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Usługa katalogowa Usługa katalogowa zapewnia administratorom jeden, logiczny i precyzyjny sposób opisu wszystkich urządzeń i usług sieciowych oferując dostęp za pośrednictwem bezpiecznego logowania i organizując hierarchicznie zasoby sieciowe Wszystkie wpisy zorganizowane sa w postaci struktury drzewa katalogowego, najczęściej bazującego na strukturze politycznej, geograficznej, organizacyjnej lub domenowej Każdy obiekt jest jednoznacznie identyfikowany poprzez swoje położenie na drzewie(dn, distinguished name)
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Struktura terytorialna
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Struktura domenowa
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zastosowanie usług katalogowych Scentralizowane zarządzanie kontami użytkowników Zarządzanie infrastrukturą kluczy publicznych Wspólny harmonogram Wspólna książka adresów Przechowywanie informacji DHCP i DNS
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Lightweight Directory Access Protocol - protokół przeznaczony do dostępu do usług katalogowych, szczególnie do tych bazujących na usługach katalogowych X.500. pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Organizacja a Informacje w katalogu sa przechowywane w postaci wpisów (Entries) Każdywpisjestobiektemjednejlubwieluklas Klasy mogą byc dziedziczone, każda klasa składa się z jednego lub wielu atrybutów, które mogą być opcjonalne lub obowiązkowe Istnieje wiele podstawowych typów atrybutów, które mogą mieć więcej niż jedną wartość
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Organizacja a Zestaw klas i składających się na nie atrybutów nazywamy schematem Typowe schematy dostarczane są wraz z serwerem Istnieje możliwość modyfikowania schematów i definiowania własnych Dostęp do wpisu chroniony jest poprzez listy kontroli dostępu (ACL, Access Control List). Można tworzyć uprawnienia dla kontekstów, wpisów oraz poszczególnych atrybutów
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Przykładowe atrybuty UID(User Identifier)- identyfikator użytkownika RID(Relative Identifier)- względny identyfikator użytkownika CN(CommonName)-nazwa SN(Surename)- nazwisko OU(Organizational Unit)- jednostka organizacyjna O(Organization)- jednostka DC(Domain Component)- składnik nazwy domenowej C(Country)-państwo
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja Uruchomienie serwera (skrypty startowe, konfiguracja w /etc/conf.d/slapd) /etc/init.d/slapd start Uruchomienie ręczne serwera /usr/lib/openldap/slapd-f[plik konfiguracyjny] -u[uzytkownik]-g[grupa] -d[ilosc logowanych komunikatow] Logi systemowe tail/var/log/messages
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja/etc/openldap/slapd.conf Dołączenie potrzebnych schematów include/etc/openldap/schema/core.schema include/etc/openldap/schema/cosine.schema include/etc/openldap/schema/inetorgperson.schema include/etc/openldap/schema/nis.schema include/etc/openldap/schema/misc.schema Wymagane przez skrypty uruchomieniowe pidfile/var/run/openldap/slapd.pid argsfile/var/run/openldap/slapd.args Wymuszenie metody kodowania haseł password-hash[md5]
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, wybór bazy danych bdb-bazaberkleydb ldbm-bazalightweightdbm passwd- dostęp do pliku/etc/passwd(tylko odczyt) sql-bazasql...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, konfiguracja/etc/openldap/slapd.conf Przykładowa konfiguracja database ldbm suffix"dc=sso,dc=kis" rootdn"cn=admin,dc=sso,dc=kis" rootpw{md5}cy9rzuyh03pk3k6djie09g== directory/var/lib/openldap-ldbm index objectclass eq Generacja hasła slappasswd-s[haslo]-h[md5]
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, pliki danych LDIF Wpisy w katalogu mogą być eksportowane/ importowane do / z plików tekstowych w specjalnym formacie LDIF( Data Interchange Format) wymiany danych protokołu zawierającym instrukcje manipulujące informacjami katalogowymi dn: dc=sso,dc=kis dc: sso objectclass: domain dn: ou=people,dc=sso,dc=kis ou: People objectclass: organizationalunit...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, pliki danych LDIF...... dn: uid=barakuda,ou=people,dc=sso,dc=kis uid: barakuda cn: barakuda sn: barakuda description: To ja mailroutingaddress: barakuda@angband.pl mailhost: mail.angband.pl objectclass: inetlocalmailrecipient objectclass: person objectclass: inetorgperson
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Serwer, użycie LDIF Dodanie LDIFa do katalogu ldapadd-f test.ldif-d"cn=admin, dc=sso, dc=kis"-w Wyczyszczenie katalogu ldapdelete-r-d"cn=admin, dc=sso, dc=kis" -W dc=sso,dc=kis
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia (Open) ldapadd-dodajewpisydokatalogu ldapcompare- porównuje wartość atrybutu ze ścieżką ldapdelete- usuwa wpisy z katalogu ldapmodify- modyfikuje wpisy w katalogu ldapmodrdn- zmienia nazwę(dn) wpisu ldappasswd- zmienia hasło użytkownika ldapsearch- wyszukuje informacji w katalogu ldapwhoami- sprawdza domyślnego użytkownika...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia do administracji serwerem slapadd- wprowadzenie do katalogu dane wyeksportowane programem slapcat slapcat-pobraniedanychzkataloguwpostaciplikuldif slapdn-sprawdzenieczynazwa(dn)jestzgodnazbieżącym schematem slapindex- odbudowanie indeksu katalogu slappasswd- generacja hasła w używanych przez serwer formatach slaptest- sprawdzenie poprawności pliku slapd.conf...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Narzędzia graficzne GQ Luma jxplorer Directory Administrator kldap KDirAdm...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Prawa dostępu Open,/etc/openldap/slapd.conf Definicje praw dostępu accessto* by dn="uid=root,ou=people,dc=sso,dc=kis" write by users read by anonymous auth access to attrs=userpassword,gecos,description,loginshell by self write
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Prawa dostępu Open,/etc/openldap/slapd.conf Definicje praw dostępu access to attrs="userpassword" by dn="uid=root,ou=people,dc=sso,dc=kis" write by dn="uid=john,ou=people,dc=sso,dc=kis" write by anonymous auth by self write by*none accessto* by dn="uid=root,ou=people,dc=sso,dc=kis" write by*search
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/openldap/ldap.conf Dołączenie potrzebnych schematów BASE dc=sso, dc=kis URI ldap://localhost:389/ Poprawność konfiguracji można sprawdzić za pomocą jednego z narzędzi a(komunikacja z serwerem) ldapsearch-d cn=admin,dc=sso,dc=kis -W
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, konfiguracja serwera- /usr/share/migrationtools Konfiguracja migrate common.ph- skrypty generujące pliki LDIF $DEFAULT_BASE ="dc=sso,dc=kis"; $EXTENDED_SCHEMA = 1; #$DEFAULT_MAIL_DOMAIN ="sso.kis"; #$DEFAULT_MAIL_HOST ="mail.sso.kis";
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, eksport danych Wykonanie skryptów eksportujących export ETC_SHADOW=/etc/shadow cd/usr/share/migrationtools./migrate_base.pl >/tmp/base.ldif./migrate_group.pl/etc/group >/tmp/group.ldif./migrate_hosts.pl/etc/hosts >/tmp/hosts.ldif./migrate_passwd.pl/etc/passwd >/tmp/passwd.ldif
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Zdalna autoryzacja, import danych Dodanie plików do katalogów ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/base.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/group.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/passwd.ldif ldapadd-d"cn=manager,dc=sso,dc=kis"-w-f/tmp/hosts.ldif
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/pam.d/system-auth Zdalna autoryzacja auth required pam_env.so auth sufficient pam_unix.so likeauth nullok shadow auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so... session required pam_limits.so session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0066 session optional pam_ldap.so
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/ldap.conf Zdalna autoryzacja... suffix"dc=sso,dc=kis" uri ldaps://10.10.1.1/ pam_password exop ldap_version 3 pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=people,dc=sso,dc=kis nss_base_shadow ou=people,dc=sso,dc=kis nss_base_group ou=group,dc=sso,dc=kis nss_base_hosts ou=hosts,dc=sso,dc=kis...
Mechanizmy Konfiguracja serwera Konfiguracja klienta Zdalna autoryzacja Klient, konfiguracja/etc/nsswitch.conf Zdalna autoryzacja passwd: files ldap group: files ldap shadow: files ldap
Co już umiemy? Konfigurować serwer oraz klienta domeny NT Konfigurować serwer oraz klienta Konfigurować serwer oraz klienta NISa Konfigurować serwer oraz klienta a
Koniec Dziękujęzauwagę...