Zasady laboratorium

Transkrypt

Zasady laboratorium

Zasady laboratorium
Witaj na laboratorium z systemów SSO pod linuxem. Do Twojej dyspozycji są trzy maszyny
wirtualne pod linuxem (X = numer Twojej grupy).
-
kdc.labX.radkowski.pro (serwer MIT Kerberos v5)
server.labX.radkowski.pro (server uslug kerberosowych)
client.labX.radkowski.pro (klient uslug kerberosowych)
W poniższym tekście znajdziesz polecenia do wykonania oraz wskazówki, jak je wykonać.
Wszystkie komendy wprowadzane są z konsoli. Lab zbudowany jest w oparciu o sieć IPv6
(IPv4 będzie używana tylko na początku w celu zalogowania się do maszyn i ustawienia
poprawnej adresacji IPv6.
1. Zadanie 1: Konfiguracja sieci
W tym zadaniu należy zalogować się na wszystkie trzy maszyny, sprawdzić poprawność
konfiguracji IPv4/IPv6 i (w razie jakichkolwiek problemów) przeprowadzić ponowną,
poprawna konfigurację.
Tabela adresacji znajduje się poniżej:
Grupa
FQDN
IPv4
DNS v4
IPv6
DNS v6
1
kdc.lab1.radkowski.pro
10.0.97.111/24
10.0.97.200
2001:4070:11:3080::111/64
2001:4070:11:3080::cafe
1
server.lab1.radkowski.pro
10.0.97.112/24
10.0.97.200
2001:4070:11:3080::112/64
2001:4070:11:3080::cafe
1
client.lab1.radkowski.pro
10.0.97.113/24
10.0.97.200
2001:4070:11:3080::113/64
2001:4070:11:3080::cafe
2
10.0.97.121/24
10.0.97.200
2001:4070:11:3080::121/64
2001:4070:11:3080::cafe
2
10.0.97.122/24
10.0.97.200
2001:4070:11:3080::122/64
2001:4070:11:3080::cafe
2
10.0.97.123/24
10.0.97.200
2001:4070:11:3080::123/64
2001:4070:11:3080::cafe
3
10.0.97.131/24
10.0.97.200
2001:4070:11:3080::131/64
2001:4070:11:3080::cafe
3
10.0.97.132/24
10.0.97.200
2001:4070:11:3080::132/64
2001:4070:11:3080::cafe
3
10.0.97.133/24
10.0.97.200
2001:4070:11:3080::133/64
2001:4070:11:3080::cafe
4
10.0.97.141/24
10.0.97.200
2001:4070:11:3080::141/64
2001:4070:11:3080::cafe
4
10.0.97.142/24
10.0.97.200
2001:4070:11:3080::142/64
2001:4070:11:3080::cafe
4
10.0.97.143/24
10.0.97.200
2001:4070:11:3080::143/64
2001:4070:11:3080::cafe
5
10.0.97.151/24
10.0.97.200
2001:4070:11:3080::151/64
2001:4070:11:3080::cafe
5
10.0.97.152/24
10.0.97.200
2001:4070:11:3080::152/64
2001:4070:11:3080::cafe
5
10.0.97.153/24
10.0.97.200
2001:4070:11:3080::153/64
2001:4070:11:3080::cafe
6
10.0.97.161/24
10.0.97.200
2001:4070:11:3080::161/64
2001:4070:11:3080::cafe
6
10.0.97.162/24
10.0.97.200
2001:4070:11:3080::162/64
2001:4070:11:3080::cafe
6
10.0.97.163/24
10.0.97.200
2001:4070:11:3080::163/64
2001:4070:11:3080::cafe
7
10.0.97.171/24
10.0.97.200
2001:4070:11:3080::171/64
2001:4070:11:3080::cafe
7
10.0.97.172/24
10.0.97.200
2001:4070:11:3080::172/64
2001:4070:11:3080::cafe
7
10.0.97.173/24
10.0.97.200
2001:4070:11:3080::173/64
2001:4070:11:3080::cafe
8
10.0.97.181/24
10.0.97.200
2001:4070:11:3080::181/64
2001:4070:11:3080::cafe
8
10.0.97.182/24
10.0.97.200
2001:4070:11:3080::182/64
2001:4070:11:3080::cafe
8
10.0.97.183/24
10.0.97.200
2001:4070:11:3080::183/64
2001:4070:11:3080::cafe
9
10.0.97.191/24
10.0.97.200
2001:4070:11:3080::191/64
2001:4070:11:3080::cafe
9
10.0.97.192/24
10.0.97.200
2001:4070:11:3080::192/64
2001:4070:11:3080::cafe
9
10.0.97.193/24
10.0.97.200
2001:4070:11:3080::193/64
2001:4070:11:3080::cafe
10
10.0.97.211/24
10.0.97.200
2001:4070:11:3080::211/64
2001:4070:11:3080::cafe
10
server.lab10.radkowski.pr
o
10.0.97.212/24
10.0.97.200
2001:4070:11:3080::212/64
2001:4070:11:3080::cafe
10
10.0.97.213/24
10.0.97.200
2001:4070:11:3080::213/64
2001:4070:11:3080::cafe
Sprawdzenie poprawności konfiguracji interfejsu wykonuje się poleceniem:
[student@kdc ~]$ sudo ip a
Zmiana nazwy hosta dokonuje się poleceniem:
[student@kdc ~]$ sudo hostnamectl set-hostname <nazwa_hosta>
Zmiana konfiguracji interfejsów wykonuje się za pomocą polecenia nmcli:
[student@kdc ~]$ sudo nmcli connection modify <nazwa_interfejsu> \
ipv6.method.manual ipv6.address <adres/maska> ipv6.dns <dns_v6>
Aby sprawdzic poprawnosc wykonania zadania, nalezy wykonac ping6 z wszystkich trzech
maszyn wirtualnych na maszyne infra.radkowski.pro:
ping6 infra.radkowski.pro
Zadanie 2 konfiguracja serwera Kerberos
W tym zadaniu nalezy skonfigurowac server MIT Kerberos (wszystkie zadania wykonywane
sa na hoscie kdc.labX.radkowski.pro
a. Zainstaluj serwer MIT Kerberos przy pomocy polecenia yum:
sudo yum install krb5-server
b. wyedytuj/dodaj następujące linie do pliku /etc/krb5.conf Pamiętaj, aby za X
podstawić numer swojej grupy. Wielkość liter ma znaczenie !!!
default_realm = LABX.RADKOWSKI.PRO
[realms]
LABX.RADKOWSKI.PRO = {
kdc = kdc.labX.radkowski.pro
admin_server = kdc.labX.radkowski.pro
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
.labX.radkowski.pro = LABX.RADKOWSKI.PRO
labX.radkowski.pro = LABX.RADKOWSKI.PRO
c. Wyedytuj plik /var/kerberos/krb5kdc/kadm5.acl wprowadzając w nim odpowiednie
ACLe (pamiętaj o poprawnym numerze grupy)
*/[email protected] *
*/[email protected]
*
d. Wyedytuj plik /var/kerberos/krb5kdc/kdc.conf i ustaw w nim poprawny parametr
REALM
(...)
[realms]
EXAMPLE.COM = {
LAB1.RADKOWSKI.PRO = {
#master_key_type = aes256-cts
(...)
e. Za pomocą polecenia sudo kdb5_util stworz plik bazy danych Kerberosa i plik stash.
System poprosi o podanie Master Password. Wprowadź: 1
23456
[student@kdc ~]$ sudo kdb5_util create -s
Loading random data
Initializing database '/var/kerberos/krb5kdc/principal' for realm 'LAB1.RADKOWSKI.PRO',
master key name 'K/[email protected]'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:
Re-enter KDC database master key to verify:
[student@kdc ~]$
f.
Jeżeli wszystko zostało skonfigurowane poprawnie, powinieneś być w stanie
uruchomić server Kerberosa oraz server umożliwiający zdalne administrowanie
Kerberosem
[student@kdc ~]$ sudo systemctl start krb5kdc
[student@kdc ~]$ sudo systemctl start kadmin
g. Ustaw, aby obydwa demony uruchamiały się automatycznie podczas startu systemu
[student@kdc ~]$ sudo systemctl enable krb5kdc
[student@kdc ~]$ sudo systemctl enable kadmin
h. Za pomocą polecenia systemctl status <usługa> sprawdź, stan usług
[student@kdc ~]$ sudo systemctl status krb5kdc
(...)
krb5kdc.service - Kerberos 5 KDC
Loaded: loaded (/usr/lib/systemd/system/krb5kdc.service; enabled; vendor preset:
disabled)
Active: active (running) since Thu 2016-12-29 12:45:58 GMT; 11min ago
(...)
[student@kdc ~]$ sudo systemctl status kadmin
i.
Za pomocą polecenia kadmin.local, dodaj uprzywilejowane konto root/admin do
systemu Kerberos. Ustaw dla niego haslo: k
erberosadmin
[student@kdc ~]$ sudo kadmin.local
Authenticating as principal root/[email protected] with password.
kadmin.local: addprinc root/admin
WARNING: no policy specified for root/[email protected]; defaulting to no
policy
Enter password for principal "root/[email protected]":
Re-enter password for principal "root/[email protected]":
Principal "root/[email protected]" created.
kadmin.local: quit
[student@kdc ~]$
Zadanie 3: Tworzenie kont użytkowników
Na maszynach server.labX.radkowski.pro oraz client.labX.radkowski.pro zostaly
skonfigurowane dwa konta uzytkownikow: tom i jane (z haslem: haslo). W niniejszym
zadaniu stworzymy dla nich odpowiednie pryncypia w strukturze kerberosa. Do tego celu
wykorzystywać będziemy serwer zdalnego zarządzania kadmin, uruchomiony w poprzednich
zadaniach. Uwaga - zadania to wykonujemy na hoscie client, sprawdzamy z pozycji hosta
server
a. zaloguj się do hosta za pomocą ssh
ssh client.labX.radkowski.pro -l student
b. Za pomocą polecenia yum, zainstaluj niezbędne pakiety:
sudo yum install krb5-workstation pam_krb5
c. Wyedytuj plik klienta /etc/krb5.conf zgodnie z poniższymi wytycznymi.Pamiętaj, aby
za X podstawić numer swojej grupy. Wielkość liter ma znaczenie !!!
[realms]
}
[domain_realm]
d. Za pomocą polecenia kadmin, zaloguj się zdanie do serwera MIT Kerberos (hasło:
kerberosadmin) i dodaj dwóch użytkowników (tom, jane). Dla każdego z
użytkowników podaj hasło: k
erberos
[student@client ~]$ sudo kadmin
Password for root/[email protected]:
kadmin: addprinc tom
WARNING: no policy specified for [email protected]; defaulting to no policy
Enter password for principal "[email protected]":
Re-enter password for principal "[email protected]":
Principal "[email protected]" created.
kadmin: addprinc jane
WARNING: no policy specified for [email protected]; defaulting to no policy
Enter password for principal "[email protected]":
Re-enter password for principal "[email protected]":
Principal "[email protected]" created.
kadmin: quit
[student@client ~]$
e. za pomocą polecenia authconfig-tui zmodyfikuj uwierzytelnianie na kliencie zgodnie
z poniższymi screenami:
[student@client ~]$ sudo authconfig-tui
Na następnym screenie należy wprowadzić poprawny realm oraz nazwy hosta kdc.
Pamiętaj, że w swojej nazwie zawierają on numer grupy (poniższy screen pokazuje
poprawne ustawienia dla grupy pierwszej):
UWAGA - dalsza czesc cwiczenia wykonywana jest na hoscie
server.labX.radkowski.pro
f.
zaloguj się na server
[student@client ~]$ ssh server
student@server's password:
Last login: Thu Dec 29 20:24:41 2016 from client.lab1.radkowski.pro
[student@server ~]$
g. zaloguj się na hosta client, użytkownikiem t om z haslem h
aslo. Następnie przy
pomocy polecenia klist wylistuj tickety kerberosowe
[student@server ~]$ ssh client -l tom
tom@client's password:
Last login: Thu Dec 29 20:39:18 2016 from server.lab1.radkowski.pro
[tom@client ~]$ klist
klist: Credentials cache keyring 'persistent:1001:krb_ccache_D24dBuw' n
ot found
[tom@client ~]$ exit
logout
Connection to client closed.
[student@server ~]$
h. zaloguj się jeszcze raz na hosta client, tym razem używając hasła kerberos
(użytkownik tom). Zaobserwuj różnice w poleceniu klist i postaraj ją skomentować.
Na koniec usuń ticket za pomocą polecenia k
destroy i wyloguj się z hosta
[student@server ~]$ ssh client -l tom
tom@client's password:
Last login: Thu Dec 29 20:39:32 2016 from server.lab1.radkowski.pro
Ticket cache: KEYRING:persistent:1001:krb_ccache_Akdx1ra
Default principal: [email protected]
Valid starting
Expires
Service principal
29/12/16 20:41:00 30/12/16 20:41:00
krbtgt/[email protected]
[tom@client ~]$ kdestroy
[tom@client ~]$ exit
logout
Connection to client closed.
[student@server ~]$
Zadanie 4 Tworzenie host principals
Principals można tworzyć nie tylko dla użytkowników (jak w zadaniu powyższym, ale również
dla hostów i usług. W niniejszym zadaniu zajmiemy się drugim przypadkiem.
a. zaloguj się do hosta server za pomocą ssh
ssh server.labX.radkowski.pro -l student
b. Za pomocą polecenia yum, zainstaluj niezbędne pakiety:
sudo yum install krb5-workstation pam_krb5
c. Wyedytuj plik klienta /etc/krb5.conf zgodnie z poniższymi wytycznymi.Pamiętaj, aby
za X podstawić numer swojej grupy. Wielkość liter ma znaczenie !!!
[realms]
}
[domain_realm]
d. za pomocą polecenia authconfig-tui zmodyfikuj uwierzytelnianie na kliencie zgodnie
z poniższymi screenami:
[student@client ~]$ sudo authconfig-tui
Na następnym screenie należy wprowadzić poprawny realm oraz nazwy hosta kdc.
Pamiętaj, że w swojej nazwie zawierają on numer grupy (poniższy screen pokazuje
poprawne ustawienia dla grupy pierwszej):
e. W celu sprawdzenia poprawności kroków a-e należy zalogować się na server z
clienta używając użytkownika jane i hasła kerberos. Polecenie klist powinno pokazać
poprawny i ważny ticket
[student@client ~]$ ssh server -l jane
jane@server's password:
[jane@server ~]$ klist
Ticket cache: KEYRING:persistent:1002:krb_ccache_Q4YUslD
Valid starting
Expires
Service principal
29/12/16 20:57:51 30/12/16 20:57:51
[jane@server ~]$ kdestroy
[jane@server ~]$ exit
logout
Connection to server closed.
[student@client ~]$
f.
zaloguj sie na server
[student@client ~]$ ssh server
g. Za pomoca narzedzia kadmin utworz principal dla hosta server.labX.radkowski.pro a
nastepnie wyeksportuj go do lokalnego pliku keytab
[student@server ~]$ sudo kadmin
[sudo] password for student:
kadmin: addprinc -randkey host/server.lab1.radkowski.pro
WARNING: no policy specified for
host/[email protected]; defaulting to no policy
Principal "host/[email protected]" created.
kadmin: ktadd host/server.lab1.radkowski.pro
Entry for principal host/server.lab1.radkowski.pro with kvno 2, encryption type
aes256-cts-hmac-sha1-96 added to keytab FILE:/etc/krb5.keytab.
des3-cbc-sha1 added to keytab FILE:/etc/krb5.keytab.
Entry for principal host/server.lab1.radkowski.pro with kvno 2, encryption type arcfour-hmac
added to keytab FILE:/etc/krb5.keytab.
camellia256-cts-cmac added to keytab FILE:/etc/krb5.keytab.
des-hmac-sha1 added to keytab FILE:/etc/krb5.keytab.
Entry for principal host/server.lab1.radkowski.pro with kvno 2, encryption type des-cbc-md5
kadmin: exit
[student@server ~]$
Zadanie 5 Konfiguracja usług - ssh
a. Na hoscie client, wyedytuj plik klienta ssh /etc/ssh/ssh_config oraz zmodyfikuj dwie
poniższe opcje:
(...)
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
(...)
b. Zaloguj się na klienta jako użytkownik tom z hasłem kerberos. Po zalogowaniu
sprawdź poleceniem klist czy posiadasz ważny ticket
[student@client ~]$ ssh ::1 -l tom
tom@::1's password:
Last login: Thu Dec 29 21:08:17 2016 from localhost
Ticket cache: KEYRING:persistent:1001:krb_ccache_Akdx1ra
Valid starting Expires
Service principal
29/12/16 21:08:25 30/12/16 21:08:25
[tom@client ~]$
c. Zaloguj się przez ssh na server jako użytkownik tom posiadając poprawny ticket.
Zauważ, że system nie poprosi o hasło - zadziała mechanizm SSO
[tom@client ~]$ ssh server
[tom@server ~]$
Zadanie 6 Konfiguracja usług - serwer plików nfs
a. Zaloguj się na server i za pomocą polecenia kadmin dodać principal dla usługi nfs.
Następnie wyeksportuj go go lokalnego keytab’a (pamiętaj aby poprawnie podać
numer grupy w nazwie domenowej hosta)
[student@server ~]$ sudo kadmin
kadmin: addprinc -randkey nfs/nfs.lab1.radkowski.pro
WARNING: no policy specified for nfs/[email protected];
defaulting to no policy
Principal "nfs/[email protected]" created.
kadmin: ktadd nfs/nfs.lab1.radkowski.pro
Entry for principal nfs/nfs.lab1.radkowski.pro with kvno 2, encryption type
Entry for principal nfs/nfs.lab1.radkowski.pro with kvno 2, encryption type des3-cbc-sha1
Entry for principal nfs/nfs.lab1.radkowski.pro with kvno 2, encryption type arcfour-hmac
Entry for principal nfs/nfs.lab1.radkowski.pro with kvno 2, encryption type des-hmac-sha1
Entry for principal nfs/nfs.lab1.radkowski.pro with kvno 2, encryption type des-cbc-md5
kadmin: exit
[student@server ~]$
b. Aby udostępnić zasob /exports, dodaj następujące linie w pliku /etc/exports
/exports *(rw,sec=krb5p)
c. zresetuj server nfs za pomocą polecenia s
ystemctl restart. Mozesz rowniez
sprawdzic czy usługa działa poleceniem s
ystemctl status:
[student@server ~]$ sudo systemctl restart nfs
[student@server ~]$ sudo systemctl status nfs
● nfs-server.service - NFS server and services
Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled; vendor preset:
disabled)
Active: active (exited) since Thu 2016-12-29 23:35:48 GMT; 5s ago
(...)
d. Zaloguj się do hosta client, uruchom k
admin i dodaj principal typu host:
[student@client ~]$ sudo kadmin
kadmin: addprinc -randkey nfs/client.lab1.radkowski.pro
kadmin: ktadd nfs/client.lab1.radkowski.pro
kadmin: exit
e. Na kliencie zresetuj usługę n
fs-secure
[student@client ~]$ sudo systemctl restart nfs-secure
f.
Zamontuj zasob przy pomocy komendy mount
[student@client ~]$ sudo mount -o sec=krb5p nfs.lab1.radkowski.pro:/exports /exports/
g. Sprawdź poleceniem mount, czy zasób został poprawnie zamontowany (montowanie
powinno odbyć się z użyciem nfs w wersji 4.0 lub wyzszej z opcja sec=krb5p.
Komunikacja za pomocą IPv6)
[student@client ~]$ sudo mount | grep export
nfs.lab1.radkowski.pro:/exports on /exports type n
fs4 \
(rw,relatime,vers=4.0,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp6,port=0,\
timeo=600,retrans=2,sec=krb5p,clientaddr=2001:db8::203,local_lock=none,\
addr=2001:db8::202)
h. Zaloguj się do hosta client jako użytkownik tom. Użyj hasła haslo aby nie dostać
ticketu. Jeśli posiadasz jakiś, usuń go za pomocą polecenia kdestroy. Próba
dostępu do zasobu /exports powinna zakończyć się niepowodzeniem (Permission
denied). Po niepowodzeniu nie zamykaj sesji - przejdź do kolejnego punktu
tom@::1's password:
klist: Credentials cache keyring 'persistent:1002:1002' not found
[tom@client ~]$ cd /exports
-bash: cd: /exports: Permission denied
[tom@client ~]$
i.
Uruchom polecenie kinit aby uzyskać ticket (wprowadź hasło kerberos). Mozesz
rowniez sprawdzic rezultat poprzedniego polecenia za pomocą klist. Następnie
wejdź do katalogu /exports i załóż plik. Tym razem operacja ta powinna zakończyć
się sukcesem
[jane@client ~]$ kinit
Password for [email protected]:
[jane@client ~]$ klist
Ticket cache: KEYRING:persistent:1002:1002
Service principal
29/12/16 23:50:28 30/12/16 23:50:28
[jane@client ~]$ cd /exports/
[jane@client exports]$ touch plik
[jane@client exports]$ ls -l
total 0
-rw-rw-r-- 1 jane
jane 0 Dec 29 23:50 plik
[jane@client exports]$
Zadanie 7 Konfiguracja dostępu do demona kadmin
a. Zaloguj się do hosta client jako tom/kerberos
tom@::1's password:
Last login: Mon Jan 2 14:48:04 2017
Ticket cache: KEYRING:persistent:1001:krb_ccache_gu73yEr
Service principal
02/01/17 15:04:19 03/01/17 15:04:19
[tom@client ~]$
b. Następnie zaloguj się do demona kadmind za pomocą polecenia kadmin oraz
użytkownika tom. Wykonaj polecenie getprinc jane aby wylistować detale na temat
użytkownika jane. System powinien poinformować o braku wystarczających praw do
tej operacji.
[tom@client ~]$ kadmin -p tom
Authenticating as principal tom with password.
kadmin: getprinc jane
get_principal: Operation requires ``get'' privilege while retrieving
"[email protected]".
kadmin:
c. zamknij sesje kadmin, zaloguj się do serwera kdc i dodaj następujące linie do pliku
konfiguracyjnego ACLe demona kadmind (/var/kerberos/krb5kdc/kadm5.acl)
[email protected]
il
d. Zresetuj demona kadmind poleceniem systemctl reload
[student@kdc ~]$ sudo systemctl restart kadmin
e. Z hosta client zaloguj się ponownie do kadmin, używając tak jak poprzednio konta
tom. Tym razem polecenie g
etprinc jane powinno zwrócić informacje na temat jane
[tom@client ~]$ kadmin -p tom
Authenticating as principal tom with password.
kadmin: getprinc jane
Principal: [email protected]
Expiration date: [never]
Last password change: Fri Dec 30 21:37:41 GMT 2016
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 0 days 00:00:00
Last modified: Fri Dec 30 21:37:41 GMT 2016 (root/[email protected])
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 8
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
Key: vno 1, des3-cbc-sha1
Key: vno 1, arcfour-hmac
Key: vno 1, camellia256-cts-cmac
Key: vno 1, camellia128-cts-cmac
Key: vno 1, des-hmac-sha1
Key: vno 1, des-cbc-md5
MKey: vno 1
Attributes:
Policy: [none]
kadmin: quit
[tom@client ~]$

Zasady laboratorium

Transkrypt

Podobne dokumenty

Eurogol. Salon piłkarski. Nowicki J.

Stojak do oczyszczacza AeraMax™ Pro II

pobierz

Pro`s Pro Strategem 8 1,25

Pro`s Pro Piłka do koszykówki

Pro`s Pro Hot Stuff

Koszty jakości w zarządzaniu przeds

Wypowiedzenie umowy - wzór -

Pro`s Pro ELECTRONIC P-501

[DULOWY ai N pl subst dulow(e). Sł stp , Cn, Linde brak . Wykonany