Создание и конфигурирование рабочей станции сети предприятия

chown user_2 /home/user_2

chown user_3 /home/user_3

chown user_4 /home/user_4

chown user_5 /home/user_5

 

4. Создание групп пользователей:

addgroup group_1

addgroup group_2

5. Добавление  пользователей в группы:

usermod –G group_1 user_1

usermod –G group_1 user_2

usermod –G group_1 user_3

usermod –G group_2 user_4

usermod –G group_2 user_5

Чтобы удостоверится  в добавлении можно посмотреть файл /etc/group.

6. Создаем скриптовый  файл пользователем user_5 в его  домашней директории

touch /home/user_5/testscript.sh

7. В файл добавляем скрипт:

echo Hello, World!

8. Добавляем  право запуска файла всем пользователям  группы group2

chmod a-x /home/user_5/testscript.sh

9. Теперь пользователи  группы group_1 не могут запускать  этот скрипт, а пользователи group_2 могут.

2.2 Настройка DNS и LDAP серверов

DNS — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая  база данных DNS поддерживается с помощью  иерархии DNS-серверов, взаимодействующих  по определённому протоколу.

Основой DNS является представление об иерархической  структуре доменного имени и  зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения - другой организации или человеку), что позволяет возложить ответственность за актуальность информации на сервера различных организаций (людей), отвечающих только за "свою" часть доменного имени.

LDAP — это  сетевой протокол для доступа  к службе каталогов X.500, разработанный  IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP — относительно  простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем (DN — англ. Distinguished Name). Уникальное имя может выглядеть, например, следующим образом: «cn=Иван Петров, ou=Сотрудники, dc=example, dc=com». Уникальное имя состоит из одного или нескольких относительных уникальных имен (RDN — англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение. На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева.

Запись может  состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы (schema). В схеме определено, одни атрибуты являются для данного класса обязательными, а другие — необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

2.2.1 Установка  и настройка DNS сервера bind9

Основное назначение DNS сервера – перевод доменных имен в ip адреса. А так же хранение информации о домене: поддоменах, почтовых серверах и многом другом.

На сегодня  в среде Linux реализовать DNS сервер можно  при помощи утилиты Bind 8й или 9й  версии. Основное отличие в версиях  заключается в том, что при  ошибке в файле named.conf Bind9 запишет  информацию об ошибке в файл лога и  продолжит работу, а Bind8 запишет информацию об ошибке и остановится (перестанет обрабатывать запросы).

Установим сам DNS сервер bind9.

apt-get install bind9

Теперь нам  надо его настроить. В случае использования bind9 в качестве корпоративного (кэширующего) сервера есть смысл настроить форвардинг запросов на DNS сервер провайдера. Делается это так :

vi /etс/bind/named.conf.option

И включаем опцию forwarders (удаляем комментарии) :

forwarders {

44.44.44.44;

};

В данном случае 44.44.44.44 – DNS сервер провайдера. Если планируется поддержка только интернет сайтов, то этого делать нет смысла.

В конфигурационный файл bind запишем информацию о наших  зонах, как прямого имя – айпи, так и обратного айпи – имя  преобразования.

vi /etc/bind/named.conf.local

Содержимое файла named.conf.local :

zone "work.com" {

type master;

file "/etc/bind/work.com";

};

zone "1.168.192.in-addr.arpa" {

type master;

notify no;

file "/etc/bind/db.192";

};

Теперь нам  надо создать файлы зон.

Создадим файл прямого  преобразования :

touch /etc/bind/work.com

Отредактируем наш файл конфигурации:

vim /etc/bind/work.com

и пропишем туда необходимые конфиги :

$TTL    604800

@ IN   SOA  ubuntu.kurswork.ru. root.example.com. (

2010090901 ; serial

604800        ; Refresh

86400         ; Retry

2419200       ; Expire

604800 )      ; Negative Cache TTL

;

@  IN  NS  ubuntu.kurswork.ru.

@  IN  A   192.168.0.2

@  IN  AAAA  ::1

ns IN  A  192.168.0.2

Пропишем в  файл необходимые конфигурации указав в параметре ; Serial текущую дату и  количество обновлений зоны за день (в данном случае в конце прописано 01, это значит обновление зоны 1 раз в сутки).

Создадим файл обратного преобразования :

touch /etc/bind/ 1.168.192.in-addr.arpa

Отредактируем наш файл конфигурации :

vim /etc/bind/ 1.168.192.in-addr.arpa

и пропишем туда необходимые конфиги :

$ORIGIN 0.168.192.in-addr.arpa.

$TTL 86400 ; 1 day

@ IN SOA ubuntu.kurswork.ru. root.localhost. (

2010110401 ; serial

10800 ; refresh (3 hours)

900 ; retry (15 minutes)

604800 ; expire (1 week)

86400 ; minimum (1 day)

)

IN NS ubuntu.kurswork.ru.

2 IN PTR work.com.

Для того что-бы использовать наш локальный DNS нам необходимо прописать в файл /etc/resolv.conf следующее:

nameserver 192.168.0.2

Это ip – адрес моего интерфейса . В файле resolv.conf содержатся адреса серверов имен, к которым имеет доступ данная система. В этом файле можно создавать три типа записей, каждая из которых предваряется одним из трех ключевых слов: domain, nameserver, search. В записи domain вводится доменное имя локальной системы. В записи search приводится список доменов на тот случай, если задается только хост-имя. Если к какой-либо системе пользователь обращается часто, он может ввести имя ее домена в запись search, а затем использовать в качестве адреса только хост-имя. Определитель попытается найти полное доменное имя по имени домена, указанному в записи search. После записей search идут записи nameserver, если таковые имеются. Для каждого сервера имен, к которому имеет доступ данная система, вводиься ключевое слово nameserver и IP-адрес. Таких серверов может быть несколько, и порядок их следования в списке очень важен. Во многих сетях имеется основной сервер имен и несколько вспомогательных. Основной сервер должен запрашиваться первым. Для этого его IP-адрес должен быть введен в первую запись nameserver.

Теперь обновим конфигурацию, для этого выполним в консоле :

rndc reload

Теперь проверим работает ли наш dns сервер, для этого  пропишем в консоле:

nslookup work.com

Мы должны увидеть  следующее (рисунок 2.2.1):

Рисунок 2.2.1

При возникновении  каких либо проблем в работе DNS сервера и других серверов, полезным может оказаться просмотр логов , которые находятся в директории /var/log/syslog и /var/log/messages .

2.2.2 Установка  и настройка LDAP сервера

Сервер LDAP (Lightweight Directory Access Protocol) позволяет централизовать управление пользователями, группами, доменами, аутентификацией, хранением инфомации . Перед установкой самого сервера , выполним вход под root , чтоб не заморачиваться с записью sudo и выполним проверку и установку новых пакетов приложений :

sudo su

apt-get update

apt-get upgrade

Устанавливаем OpenLdap :

apt-get install slapd ldap-utils migrationtools

migrationtools — необходим, если предстоит перенести много пользователей и групп собственно из UNIX.

slapd - это пакет, который предоставляет сервер OpenLDAP в Ubuntu. 
ldap-utils - программы-клиенты для этого сервера.

Настраиваем OpelLdap

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ netorgperson.ldif

ldapadd – добавление записи .

Ключ -Y mech - указывает какой SASL-механизм использовать для аутентификации. Если не указан, программа выберет  лучший механизм из тех, что знает  сервер.

EXTERNAL - один из множества  SASL механизмов , суть которого заключается в том ,что клиент посылает первый ответ, содержащий идентификатор клиента. Сервер использует внешние средства для аутентификации клиента в соответствии с этим идентификатором. Используется, если прикладной протокол работает поверх IPSec или TLS.

Ключ -H ldapuri - указывает URI LDAP-сервера; допускаются только поля протокол/хост/порт; в качестве аргумента ожидается  список URI, разделённых пробелами  или запятыми.

Ключ -f file - считает множество DN из файла, по одному на строку; выполняет удаление для каждой записи .

Пользователи (да и не только пользователи, а вообще всё : юзеры , компьютеры , серверы ; но для краткости буду использовать слово пользователи) в LDAP добавляются следующим образом ;

Во-первых, все данные о пользователях заносятся в ldif-файлы, такие файлы специального формата . Во-вторых , сам этот файл импортируется в LDAP .

Итак , создаем  папку для хранения ldif файлов

mkdir /ldap_ldif

Создадим в  ней файлик backend.example.com.ldif (этот файлик является аналогом файлика slapd.conf в других версиях Ubuntu, в версии 10.04 создатели решили изменить старый добрый способ конфигурации LDAP через файлик slapd.conf)

nano /ldap_ldif/backend.example.com.ldif

Содержание файла :

# Load dynamic backend modules

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulepath: /usr/lib/ldap

olcModuleload: back_hdb

# Database settings

dn: olcDatabase=hdb,cn=config

objectClass: olcDatabaseConfig

objectClass: olcHdbConfig

olcDatabase: {1}hdb

olcSuffix: dc=example,dc=com

olcDbDirectory: /var/lib/ldap

olcRootDN: cn=admin,dc=example,dc=com

olcRootPW: 12345

olcDbConfig: set_cachesize 0 2097152 0

olcDbConfig: set_lk_max_objects 1500

olcDbConfig: set_lk_max_locks 1500

olcDbConfig: set_lk_max_lockers 1500

olcDbIndex: objectClass eq

olcLastMod: TRUE

olcDbCheckpoint: 512 30

olcAccess: to attrs=userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

olcAccess: to attrs=shadowLastChange by self write by * read

olcAccess: to dn.base="" by * read

olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read

Это учетная  запись для доступа к ldap дереву admin . Выходим и сохраняем файлик .

Выполняем :

ldapadd -Y EXTERNAL -H ldapi:/// -f ldap_ldif/backend.example.com.ldif   

Теперь, можно  создать собственно записи в БД о  корне домена и об админе . Создадим файл frontend.example.com.ldif в папке /ldap_ldif.

nano /ldap_ldif/frontend.example.com.ldif

Содержание файла :

# Create top-level object in domain

dn: dc=example,dc=com

objectClass: top

objectClass: dcObject

objectclass: organization

o: Example Organization

dc: Example

description: LDAP Example

# Admin user.

dn: cn=admin,dc=example,dc=com

objectClass: simpleSecurityObject

objectClass: organizationalRole

cn: admin

description: LDAP administrator

userPassword: 12345

dn: ou=people,dc=example,dc=com

objectClass: organizationalUnit

ou: people

dn: ou=groups,dc=example,dc=com

objectClass: organizationalUnit

ou: groups

dn: uid=john,ou=people,dc=example,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: john

sn: Doe

givenName: John

cn: John Doe

displayName: John Doe

uidNumber: 1000

gidNumber: 10000

userPassword: password

gecos: John Doe

loginShell: /bin/bash

homeDirectory: /home/john

shadowExpire: -1

shadowFlag: 0

shadowWarning: 7

shadowMin: 8

shadowMax: 999999

shadowLastChange: 10877

mail: john.doe@example.com

postalCode: 31000

l: Toulouse

o: Example

mobile: +33 (0)6 xx xx xx xx

homePhone: +33 (0)5 xx xx xx xx

title: System Administrator

postalAddress:

initials: JD

dn: cn=example,ou=groups,dc=example,dc=com

objectClass: posixGroup

cn: example

gidNumber: 10000

Учетная запись для доступа к ldap дереву admin . Здесь мы создаем 2 сущности - people и groups, в которых мы будем добавлять соотвественно людей и группы, и затем создаем пользователя John Doe и группу example. Выходим и сохраняем файлик .