Zadania finałowe

I OGÓLNOPOLSKI KONKURS
„POTYCZKI MŁODYCH ADMINÓW”
CZERWIEC 2014
Uwaga!!!
ZANIM PRZYSTĄPISZ DO ROZWIĄZANIA ZADAŃ ZAPOZNAJ SIĘ Z NOTATKĄ
INFROMACYJNĄ PONIŻEJ:
Notatka:
Zadania można rozwiązać w różny sposób, ale najwyżej punktowane są zadania wykonanie
ściśle z instrukcją.
Co to oznacza, w momencie kiedy nie poradzisz sobie z np. założeniem kont w usłudze
katalogowej LDAP, załóż konta lokalne i wykonuj dalsze instrukcje zadania lub jak nie utworzysz
partycji LVM, zbuduj partycje podstawowe etc...
Powodzenia!!!
Opis sytuacji w której znajdujecie się jako zespół:
Wyposażenie stanowiska zespołu:
- komputer 1. pełniący rolę serwera głównego z przeinstalowanym systemem SLES sp3, jest
domyślnym systemem na którym pracujecie jako administratorzy
- komputer 2. pełniący rolę klienta w sieci Microsoft Windows – Windows 7
- komputer 3. pełniący rolę serwera pomocniczego z przeinstalowanym systemem na maszynie
wirtualnej SLES sp3 hostowanym na Windows 7
- urządzenie typu router w topologii sieci:
---internet----<--tcp,udp:all-->---router-------------SLESsp3
\
Windows 7 (VM:bridge:SLESsp3)
Podpowiedź:
Jako zespół podzielcie się na role wykonywane podczas pracy, to może skrócić czas wykonywania zadań.
Zadanie konkursowe:
Pracujecie jako administratorzy sieci firmy hostingowej. Ponieważ jesteście małą firmą która
zaczyna swoją pracę na rynku, musicie zaplanować strukturę przestrzeni dyskowej. Oczekuje się
aby była możliwość skalowalności przestrzeni dyskowej. Na początek wasz pracodawca
zaproponował użycie całej wolnej przestrzeni dostępnych dysków jako przestrzeni dla domen
którymi będziecie administrować, nie wolno wam zapomnieć o zapewnieniu bezpieczeństwa przed
utratą danych np. stosując mechanizm LVM na macierzy RAID1 podłączonej do systemu jako
/lvm/raid1/www/, pracodawca również chciałby aby klienci firmy mieli ograniczoną przestrzeń
dyskową.
Przewidziany jest szybki rozwój firmy a tym samym ilość kont, dostaliście zadanie konfiguracji
serwera jako usługi katalogowej realizowanej poprzez protokół LDAP, która będzie główną funkcją
realizacji logowania do usług. Oczekuje się od administratora serwera realizacji w urzędzie
certyfikacji CA własnych certyfikatów, certyfikat wspólny serwera, indywidualny certyfikat dla
serwera, indywidualny dla każdego klienta korzystającego z usług.
Na start, w firmie z serwera będą korzystać następujące osoby w ramach przygotowania go w beta
testów:
- dyrektor
- klientbiznesowy
- klient1
- klient2
- webdeveloper
W celu uproszczenia procedur logowania domyślnym hasłęm jest słowo: novell
- nie może zostać zmienione na żadnym z kont :
Podpowiedź:
Jeśli jakiś katalog nie istnieje a jest podany w konfiguracji, należy go utworzyć.
Zaplanuj rodzaj kont i ich realizację odpowiednio w systemie SLESsp3:
Prekonfiguracja:
- zmodyfikuj szkielet katalogu profilu domyślnego użytkownika w systemie tak żeby wszyscy nowo
tworzeni użytkownicy mieli w nim folder o nazwie: public_html, private_html, private_graph
Konta:
- dyrektor – uprawnienia administratora systemu, katalog domowy w /lvm/raid1/users/dyrektor
- klientbiznesowy – uprawnienia użytkownika z możliwością dostępu do zasobów FTP, WWW
znajdującym się na przestrzeni serwera /lvm/raid1/www/klientbiznesowy i przestrzenią dyskową
rzędu do 10GiB, grupa: kliencibiznesowi.
- klient1, klient2 – uprawnienia użytkownika z możliwością dostępu do zasobów FTP, WWW
znajdującym
się
na
przestrzeni
serwera
odpowiednio
/lvm/raid1/www/klient1,
/lvm/raid1/www/klient2 i przestrzenią dyskową 1GiB dla każdego z klientów, grupa
kliencistandardowi.
- webdeveloper – użytkownika z możliwością zarządzania modułem i funkcjami usług FTP, WWW,
oraz zarządzania użytkownikami.
Info: *GiB = 1000MB
W ramach beta testu serwera:
Prekonfiguracja:
Utwórz dla całej firmy hostingowej prostą stornę www (wystarczy sam plik index.html z dowolną
treścią) , pod nazwą domeny digitalairlines.com, w celu poprawnej weryfikacji pracy serwera www
i domeny, nadaj nazwę serwera „webhost1”, sprawdz czy po wydaniu komendy ping
„webhost1.digitalairlines.com” odpowiada żądany adres ip serwera. W konfiguracji sieci przypisz
nazwę komputera do lokalnego interfejsu pętli. Sprawdź czy w plikach odpowiedzialnych za
poprawne przeszukiwanie nazw domeny są właściwe wpisy, zabiegi te mają na celu wykluczenie
błędnego wyszukiwania domen. Pamiętaj też o poprawnym skonfigurowaniu wyszukiwania hostów
innych niż żadane w domenie.
Test:.
Dla klientów klientbiznesowy, klient1 i klient2 utwórz odpowiednio subdomeny wykorzystując
dowolny serwer www, który współpracuje z usługą katalogową i ma możliwość tworzenia
vhostów. Odpowiednio dla klienta1 vhost (subdomena) firmaklient1.digitalairlines.com, dla
klienta2 firmaklient2.digitalairlines.com, dla klientbiznesowy firma3biznes.digitalairlines.com.
Oczekiwane jest aby po wpisaniu w przeglądarkę z dowolnego komputera w sieci w której
wykonujesz administrację tj. konfigurację usług po wpisaniu w przeglądarkę zadanych domen
wyświetlała się strona odpowiednio przygotowana dla danej firmy, wykorzystaj w tym celu pliku
index.html z wpisem nazwy domeny vhosta w postaci np. <h1> firmaklient1.digitalairlines.com
</h1>. Każdy z tych klientów ma mieć możliwość połączenia się do danej subdomeny do konta
poprzez usługę ftp, która po zalogowani się użytkownika zamyka go w jego katalogu domowym,
dając mu możliwość pełnej kontroli nad plikami, dostęp do tych folderów również musi
być zagwarantowany poprzez usługę samby dla sieci MS Windows z poziomu Windows 7 i ścieżek
UNC, po wpisaniu nazwy \\webhost1 komputer ma zażądać loginu i hasła dostępu do zasobu,
podając login i hasło użytkownika uzyskujemy dostęp do katalogu domowego użytkownika z
pełnymi prawami modyfikacji.
Zlecenie dyrektora:
Podczas twojej pracy przyszedł dyrektor, i zażądał abyś utworzył zasób www o nazwie vhosta
data.firma3biznes.digitalairlines.com dla klienta biznesowego, do której ma być dostęp poprzez
login i hasło to samo co w usłudze katalogowej lub innej metody uwierzytelniania, tj. w momencie
wpisania nazwy w dowolnej przeglądarki internetowej w sieci w której pracujesz przeglądarka
powinna poprosić o login i hasło, umieść przykładowe pliki do pobrania i nadaj możliwość
pobrania plików.
Uprzejmy kolega:
Kiedy uporałeś się już z powyższymi zadaniami twój kolega webdeveloper zażądał od ciebie
podniesienia poziomu bezpieczeństwa całego systemu, stwierdzając że nie możliwym jest
określenie w jakim stanie jest zapora typu firewall, tak więc zarzucił wam , że jeśli w momencie 30
minut nie poprawisz poziomu bezpieczeństwa usług, raport z jakości obsługi twojej pracy trafi do
dyrektora. Masz za zadanie podnieść poziom bezpieczeństwa pracy systemów www, ftp, samby,
zamieniając domyślne żądania serwera www na protokole HTTP na HTTPS, certyfikat wygeneruj
w CA lub poprzez funkcje openssl, ftp możesz zamienić na sftp lub inną korzystającą z certyfikacji,
LDAP na LDAPS, wyłącznie odpowiedniej funkcji w serwerze LDAP, oraz zezwalając tylko i
wyłącznie na dostęp do tych usługi i z sieci wewnętrznej i zewnętrznej, (włącz firewall dla
wszystkich stref) i zezwól na zadane usługi, pamiętaj że dostęp po ssh również będzie ci potrzebny.
Podpowiedź:
Pamiętaj, że każda usługa zazwyczaj posiada nasłuchiwanie na portach bezpiecznych z certyfikatem lub bez np. LDAP
389, LDAPS 686, gdzie blokując LDAP na firewall, również zwiększamy bezpieczeństwo.
W trakcie pracy serwera w ramach testów:
Niestety jako administratorzy sieci, musicie pracować w środowiskach hybrydowych, mając na
myśli pracę w środowiskach nie tylko wirtualnych, ale z rodziny różnych producentów
oprogramowania. Taka sytuacja zdarzyła się ponieważ dyrektor zatrudnił nowego pracownika,
Panią
Beatkę, która jest grafikiem komputerowym. Zażądała, aby jej komputer był z
preinstalowanym systemem Windows 7, i ona również chce mieć dostęp do zasobów systemowych
które przechowywane są na serwerze, a ponieważ jest grafikiem, musi mieć również możliwość
realizacji zadań powierzonych od klientów. Oczekiwania jakie stawiane są w takiej sytuacji przed
administratorami to podłączenie komputera z Windows 7 do domeny PDC realizowanej w usłudze
SAMBY w SLES. Utworzenie konta beatka w SLES i dodaniu go do użytkowników PDC lub
wykonaniu integracji istniejących kont. Katalog domowy użytkownika beatka przechowywany jest
w /lvm/raid1/users/beatka i posiada linki symboliczne do katalogów klientów
$homedir/private_graph.
Zadano wam pytanie po wykonaniu wszystkich testów i raportowaniu, czy aby na pewno
dane nie będą utracone nawet w momencie uszkodzenia dwóch dysków RAID1 w tym samym
czasie, użyjcie systemu SLES na wirtualnej maszynie jako serwera backup'ów w katalogu serwera
kopii /raid1-backup/ robiąc synchronizację raz dziennie.
Okazało się również, że dyrektor żąda od was raz dziennie raportu z logowań klientów do
systemu SLESsp3 serwera głównego w katalogu /raporty/%data-dnia-wykonania-backup'u%
Po czasie testów i sprawdzania jakości obsługi serwera, klient biznesowy poprosił o
wykupienie usługi przekierowania strony www, na inną stronę w sieci internet. Macie za zadanie
wykonać
przekierowanie
domeny
klienta
biznesowego
pod
nazwą
vhosta
onet.firma3biznes.digitalairlines.com na serwis informacyjny http://onet.pl.
Jeśli udało się Wam skończyć przed czasem wykonanie wszystkich zadań, możecie być z siebie
dumni!!!! Proszę zgłoście to prowadzącemu konkurs poprzez podniesienie ręki.
KONIEC ZADAŃ KONKURSU