Создание и конфигурирование рабочей станции сети предприятия

Выполняем

Ldapadd –x –D cn=admin,dc=example,dc=com –W –f /ldap_ldif/ frontend.example.com.ldif

Ключ -x - использовать простую аутентификацию вместо SASL.

Ключ -D binddn - привязаться  к каталогу от имени binddn. При использовании SASL-аутентификации предполагается, что сервер будет игнорировать это значение.

Ключ -W - спросить пароль в командной строке в ходе простой аутентификации.

Итак, мы создали  нового пользователя в дереве john с  паролем password.

Проверим:

ldapsearch -xLLL -b "dc=example,dc=com" uid=john sn givenName cn

ldapsearch - инструмент для поиска информации в LDAP

Ключ -L - результаты поиска показываются в LDAP Data Intechange Format (LDIF) формате. Подробнее о формате в ldif(5). Одно -L означает, что вывод должен быть в формате LDIFv1. Второе -L отключает комментарии. Третье -L отключает вывод версии. По умолчанию используется расширенная версия LDIF.

Ключ -b searchbase - использовать searchbase в качестве точки начала поиска, вместо стандартной . Результат представлен на рисунке 2.2.2.

Рисунок 2.2.2

2.3 Установка  Samba

Для корректного  сосуществования Linux и Windows в мире Unix существует пакет Samba, предназначенный  для взаимодействия с клиентами  сети Microsoft Windows.

Этот пакет  дает возможность Linux-системе выступать в качестве файлового и принт-сервера в сети Microsoft Windows, а также позволяет компьютеру под управлением Linux выступать в качестве первичного контроллера домена (Primary Domain Controller, PDC) сети Windows. Помимо этого есть Samba-клиент для операционной системы Linux, обеспечивающий подключение Linux-клиента к ресурсам, предоставляемым серверами сети Microsoft Windows[5].

Установка Samba :

sudo apt-get install samba samba-doc smbldap-tools

Smbldap-tools представляет  из себя набор скриптов, обеспечивающий синхронную работу с базами данных пользователей, групп и компьютеров сервера Samba и LDAP каталога. Это инструмент как пользователей, так и администраторов систем Linux. Пользователи могут изменять их пароли так же, как и при использовании стандартной команды passwd.

Настроим сервер Samba на работу с Ldap :

sudo cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz/etc /ldap/schema/

sudo gzip -d /etc/ldap/schema/samba.schema.gz

Gzip уменьшает размер перечисленных файлов, используя кодирование Лемпеля-Зива (LZ77). Там, где это возможно, каждый файл заменяется архивом с расширением .gz, с таким же владельцем, временем доступа и модификации.

Ключ -d --decompress –uncompress - распаковка.

Создадим файлик schema_convert.conf в папке /ldap_ldif :

nano /ldap_ldif/schema_convert.conf

Содержание файла:

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/collective.schema

include /etc/ldap/schema/corba.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/duaconf.schema

include /etc/ldap/schema/dyngroup.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/java.schema

include /etc/ldap/schema/misc.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/openldap.schema

include /etc/ldap/schema/ppolicy.schema

include /etc/ldap/schema/samba.schema

Создадим временную  папку :

mkdir /tmp/ldif_output

Выполним :

Slapcat –f  /ldap_ldif/schema_convert.conf –F /tmp/ldif_output –n0 –s "cn={12}samba,cn=schema,cn=config" > /tmp/cn=samba.ldif

Утилита slapcat выгружает содержимое каталога LDAP в виде LDIF в устройство стандартного вывода или файл (если вы используете параметр -l имя_файла). При желании вы можете использовать параметр -s, чтобы указать начальное имя DN, или параметр -a, чтобы задать фильтр запроса. Утилита работает непосредственно с базой данных и не может быть запущена, пока сервер работает. Поддерживаются только базы данных типа bdb.

В папке  /tmp получим  файлик cn=samba.ldif , откроем его :

nano /tmp/cn=samba.ldif

Поправим первые строки в файле так :

dn: cn=samba,cn=schema,cn=config

...

cn: samba

И удалим в конце  файла строки :

structuralObjectClass: olcSchemaConfig

entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95

creatorsName: cn=config

createTimestamp: 20080827045234Z

entryCSN: 20080827045234.341425Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .

Теперь правим код . Выполняем .

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=samba.ldif

Дальше нужно подключить схему misc.ldif :

Выполняем:

slapcat -f /ldap_ldif/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={8}misc,cn=schema,cn=config" > /tmp/cn=misc.ldif

Восьмерка в  скобках указывает номер ветки, начиная с нуля, в файле  schema_convert.conf .

Откроем его :

nano /tmp/cn=misc.ldif

 

Поправим строки сверху на :

dn: cn=misc,cn=schema,cn=config

...

cn: misc

И удалим в конце  файла строки

structuralObjectClass: olcSchemaConfig

entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95

creatorsName: cn=config

createTimestamp: 20080827045234Z

entryCSN: 20080827045234.341425Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=misc.ldif

Результат наших действий представлен на рисунке 2.3.

Вводим командy:

sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

 

Рисунок 2.3

2.4 Установка Apache2 + phpldapadmin

Apache HTTP-сервер  — свободный веб-сервер.

Apache является кроссплатформенным ПО, поддерживая операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

Основными достоинствами Apache считаются надёжность и гибкость конфигурации. Он позволяет подключать внешние модули для предоставления данных , использовать СУБД для аутентификации пользователей, модифицировать сообщения об ошибках и т. д. Поддерживает IPv6.

phpldapadmin – это веб база LDAP сервера , предоставляет удобнуе и интуитивно понятную возможность управления LDAP деревом.

Установим пакеты:

apt-get install apache2 phpldapadmin

Откроем /etc/apache2/httpd.conf:

vim /etc/apache2/httpd.conf

Добавим строку:

ServerName ubuntu.kurswork.ru

ubuntu.kurswork.ru – доменное имя машины .

Перезапустим Apache как показано на рисунке 2.4:

sudo /etc/init.d/apache2 restart

Рисунок 2.4

Скопируем PHPLDAPAdmin в /var/www/ directory. 

cp –R /usr/share/phpldapadmin/ /var/www/phpldapadmin

Вводим в  браузере :

http://192.168.0.2/phpldapadmin/

Результат наш  должен выглядеть как на рисунке 2.4.1:

 

Рисунок 2.4.1

Имя "cn=admin,dc=example,dc=com" , учетную запись и доменную зону LDAP берем соответственно из файла frontend.example.com . При удачной авторизации можно увидеть примерно следующее :

2.5 DHCP-сервер

DHCP— классический  клиент-серверный протокол. Клиентами выступают компьютеры сети, пытающиеся получить IP-адрес, адрес сетевого шлюза, имя хоста и другие параметры. Сервер DHCP выдает в ответ на запрос клиентов назначаемые им сетевые параметры (IP-адрес, адрес шлюза), контролирует использование IP-адресов, поддерживает пул свободных адресов и ведет собственную базу клиентов.

Установка и настройка DHCP сервера.

Приступаем  к установке. Для начала установим  сам сервер:

apt-get install dhcp3-server

Чтобы узнать какие  интерфейсы у нас есть , можно  воспользоваться утилитой ifconfig , как показано на рисунке 2.5 .

Рисунок 2.5

Сразу определим  интерфейс на котором он будет  работать. Для этого нужно в файле /etc/default/dhcp3-server подправить параметр INTERFACES:

INTERFACES="eth0"

Для настройки DHCP-сервера редактируем файл /etc/dhcp3/dhcpd.conf:

…

option domain-name "ubuntu.kurswork.ru";

option domain-name-servers 192.168.0.2;

…

Эти параметры  указывают домен и адрес DNS .

Добавим в конце  файла секцию для нашей сети:

…

subnet 192.168.0.0 netmask 255.255.255.0 {

option netbios-name-servers 192.168.0.253;

option domain-name-servers 192.168.0.2;

option domain-name "ubuntu.kurswork.ru";

option broadcast-address 192.168.168.255;

option routers 192.168.0.1;

range 192.168.0.100 192.168.0.250;

…

Здесь range - это диапазон из которого будут выдаваться IP-адреса, domain-name-server - это DNS-сервера. Вообще-то, если этот параметр не указан, то будет использован глобальный, но указать тут всё равно не помешает, routers - маршрут по умолчанию. Также указан широковещательный адрес и шлюз по умолчанию.

subnet subnet-number netmask netmask {

[ параметры  ]

[ объявления ]

}

Секция subnet используется для предоставления серверу DHCP дополнительной информации - принадлежит ли данный IP адрес указанной подсети. Еще  эта секция используется для предоставления клиентам специфичных для подсети параметров и для указания диапазонов динамически распределяемых адресов.

Параметр  subnet-number  должен быть IP адресом или доменным именем которое резолвится  в  номер подсети которую он описывает. Параметр netmask должен быть IP адресом или доменным именем которое резолвится в значение соответствующее маске описываемой подсети. Параметры subnet-number и netmask однозначно определяют подсеть и принадлежность IP адреса к этой подсети. Если вам нужно привязать IP-адрес к MAC-адресу карточки, т.е. если какому-то компьютеру нужно постоянно выдавать один и тот же адрес, то нужно добавить примерно такую секцию в конфиг:

host leha{

           hardware ethernet 00:13:77:AF:87:B7;

fixed-address 192.168.0.111;}

}

После настройки перезапустим dhcp-сервер :

sudo /etc/init.d/dhcp3-server restart

2.6 Iptables

Iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Вопреки очень распространённому мнению, ни iptables, ни netfilter не производят маршрутизацию пакетов и никак ей не управляют. Netfilter только фильтрует и модифицирует (в том числе, для NAT) пакеты по правилам, заданным администратором через утилиту iptables. Для использования утилиты iptables требуются привилегии суперпользователя (root).

 

 

Ключевыми понятиями iptables являются:

Критерий/Условие  — логическое выражение, анализирующее  свойства пакета и/или соединения и  определяющее, подпадает ли данный конкретный пакет под действие текущего правила.

Действие —  описание действия, которое нужно  проделать с пакетом и/или соединением  в том случае, если они подпадают  под действие этого правила. О  действиях более подробно будет  рассказано ниже.

Счетчик — компонент  правила, обеспечивающий учет количества пакетов, которые попали под критерий данного правила. Также счетчик учитывает суммарный объем таких пакетов в байтах.

Правило — состоит  из критерия, действия и счетчика. Если пакет соответствует критерию, к  нему применяется действие, и он учитывается счетчиком. Критерия может и не быть — тогда неявно предполагается критерий «все пакеты». Указывать действие тоже не обязательно — в отсутствие действия правило будет работать только как счетчик.

Цепочка — упорядоченная  последовательность правил. Цепочки можно разделить на пользовательские и базовые.

Базовая цепочка  — цепочка, создаваемая по умолчанию  при инициализации таблицы. Каждый пакет, в зависимости от того, предназначен ли он самому хосту, сгенерирован им или  является транзитным, должен пройти положенный ему набор базовых цепочек различных таблиц. Схема следования пакетов приведена на рисунке. Кроме того, базовая цепочка отличается от пользовательской наличием «действия по умолчанию» (default policy). Это действие применяется к тем пакетам, которые не были обработаны другими правилами этой цепочки и вызванных из нее цепочек. Имена базовых цепочек всегда записываются в верхнем регистре (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).

Пользовательская  цепочка — цепочка, созданная пользователем. Может использоваться только в пределах своей таблицы. Рекомендуется не использовать для таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми цепочками и встроенными действиями.

Таблица — совокупность базовых и пользовательских цепочек, объединенных общим функциональным назначением. Имена таблиц (как и модулей критериев) записываются в нижнем регистре, так как в принципе не могут конфликтовать с именами пользовательских цепочек. При вызове команды iptables таблица указывается в формате -t имя_таблицы. При отсутствии явного указания, используется таблица filter [5].

Добавление  правил в таблицу filter

Пример команды  открытия порта по протоколу tcp для http-сервера:

iptables -I INPUT -p tcp --dport 8180 -j ACCEPT

Данное правило пропускает все пакеты приложению http-сервер, проходящие через цепочку INPUT, по протоколу tcp и порту 8180 , говоря проще , можно открывать html-страницы .