Instrukcja do ¢wiczenia Konfiguracja NFS z Kerberosem
Transkrypt
Instrukcja do ¢wiczenia Konfiguracja NFS z Kerberosem
Instrukcja do ¢wiczenia Administracja usªugami domenowymi Konguracja NFS z Kerberosem Krzysztof Boryczko Remigiusz Górecki 1 czerwca 2010 Data wykonania Skªad Grupy Ocena Podczas wykonywania ¢wiczenia odznaczaj wykonane podpunkty Przed przyst¡pieniem do wykonania ¢wiczenia sprawd¹ obecno±¢ i stan sprz¦tu. Wszelkie nieprawidªowo±ci nale»y natychmiast zgªosi¢ prowadz¡- cemu. Wprowadzenie Na stanowisku znajduj¡ si¦ trzy komputery. Wszystkie z systemem operacyjnym Linux Fedora 11. Jeden z komputerów b¦dzie peªni¢ rol¦ serwera odpowiedzialnego za uwierzytelnianie i autoryzacj¦ u»ytkowników. Zainstalowana na nim b¦dzie usªuga KDC . Kerberos i LDAP . W dalszej cz¦±ci opisu zwany b¦dzie po prostu serwerem Drugi z komputerów b¦dzie natomiast peªni¢ rol¦ serwera NFS i tak te» b¦dzie nazywany. Trzeci z kolei b¦dzie stacj¡ klienck¡. Wszystkie trzy komputery musz¡ by¢ we wspólnej sieci o adresie zgodnym z numerem stanowiska oraz nale»e¢ do tej samej domeny DNS. 1 . Ich adresy IP mog¡ zatem by¢ dowolne, lecz musz¡ znajdowa¢ si¦ w obr¦bie wykorzystywanej sieci. Podobnie ich nazwy si¦ w obr¦bie kongurowanej domeny DNS. FQDN mog¡ mie¢ dowoln¡ posta¢, aczkolwiek musz¡ znajdowa¢ W praktyce powinna by¢ jeszcze skongurowana usªuga tªumaczyªaby adresy domenowe (w postaci FQDN) DNS oraz reverse DNS dla zarz¡dzanej sieci, która na adresy IP wszystkich hostów i odwrotnie. Jednak z powodu zbyt maªych ram czasowych ¢wiczenia ograniczymy si¦ do rozwi¡zywania nazw i adresów wszystkich trzech komputerów na podstawie zawarto±ci pliku /etc/hosts na ka»dym z nich. Konguracja adresów IP i nazw komputerów wchodz¡cych w skªad stanowiska 21 Konguracja nazwy i ustawie« sieci na komputerze peªni¡cym rol¦ 2a KDC : Zgodnie z numerem stanowiska i przyj¦tym standardem adresacji w laboratorium zdeniuj odpowiedni adres IP; 2b Nadaj mu nazw¦ w postaci kdc.miasto lemon.wszib.edu.pl (zgodn¡ z domen¡ przyporz¡dkowan¡ do stanowiska); 2c Ustaw odpowiedni¡ dla Twojej sieci bram¦ domy±ln¡ oraz adres serwera 192.168.5.10 ; DNS mo»e by¢ przykªadowo 2d Konguracj¦ zapisz we wªa±ciwych plikach, aby nie ulegªa zmianie po restarcie systemu; 2e Dokonaj restartu systemu w celu sprawdzenia poprawno±ci wykonanej konguracji. 22 W analogiczny sposób skonguruj pozostaªe dwa komputery na stanowisku nadaj¡c im dowolne nazwy. 23 Na wszystkich trzech komputerach w pliku nazwy zarówno w peªnej 24 FQDN /etc/hosts wpisz adresy IP wszystkich trzech komputerów i ich jak i skróconej postaci. Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. 1 Przyporz¡dkowanie konguracja_sieci.pdf adresów i nazw domen do stanowisk laboratoryjnych zostaªo opisane w dokumencie o nazwie znajduj¡cym si¦ w systemie SAKE 1 Konguracja, uruchomienie i testowanie serwera KDC . Ze wzgl¦du na przygotowane na potrzeby ¢wiczenia pliki z bazami u»ytkowników dla poszczególnych stanowisk, nazwy deniowanych królestw musz¡ by¢ zgodne z tymi, które s¡ w utworzonych plikach. Przyj¦ta zostaªa zasada, DNS (pisana oczywi±cie wielkimi literami). »e nazwa królestwa jest taka sama jak nazwa domeny 21 KDC : Instalacja i konguracja 2a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety krb5-server i krb5-workstation. W razie ich braku doinstaluj je; 2b KDC W pliku konguracyjnym /var/kerberos/krb5kdc/kdc.conf okre±l odpowiedni¡ nazw¦ swojego króle- stwa. 2c Dokonaj równie» wpisania królestwa w pliku deniuj¡cym uprawnienia dla u»ytkowników korzystaj¡cych z usªugi 2d kadmin /var/kerberos/krb5kdc/kadm5.acl Konieczne jest tak»e podanie nazwy królestwa dla uruchamianych usªug ±ciej mo»na to zrobi¢ przypisuj¡c j¡ atrybutowi i 2e . /etc/sysconfig/kadmin KRB5REALM krb5kdc oraz kadmin. zawartemu w plikach Najpro- /etc/sysconfig/krb5kdc . kdb5_util Za pomoc¡ programu Jako hasªo nale»y poda¢ utwórz podstawow¡ zawarto±¢ bazy danych dla swojego królestwa. root123 , poniewa» takim hasªem zaszyfrowana jest dostarczona do ¢wiczenia baza. 22 Zaimportowanie zawarto±ci bazy 2a Przy pomocy polecenia KDC kdb5_util i uruchomienie go: z odpowiedniego dla Twojego królestwa pliku (z dostarczonego ar- chiwum) zaimportuj caª¡ baz¦ nadpisuj¡c aktualn¡. Nazwa pliku zgodna jest z nazw¡ królestwa. 2b 23 Poleceniem service uruchom usªug¦ Testowanie pracy stworzonego krb5kdc i kadmin. KDC : Do komputera peªni¡cego rol¦ serwera usªug Kerberos i LDAP u»ytkownicy nie powinni mie¢ mo»liwo±ci podª¡czania si¦. Dlatego te» nale»y skongurowa¢ mo»liwo±¢ uwierzytelniania si¦ u»ytkowników z wykorzystaniem 2a kerberosa na pozostaªych dwóch komputerach wchodz¡cych w skªad stanowiska. Sprawd¹ czy na komputerze zainstalowany jest pakiet krb5-workstation, a w razie jego braku doinstaluj go; konguracji uwierzytelniania, a nast¦pnie w uwierzytelnianie wybierz kerbeKDC ; 2c Poleceniem kinit za»¡daj biletu dla jednego z u»ytkowników zdeniowanych w bazie KDC (wszyscy maj¡ ustawione hasªo Ala_1234; 2d Sprawd¹ za pomoc¡ polecenia klist zawarto±¢ cache'a u»ytkownika, a co za tym idzie otrzymany bilet TGT. 2e Powy»sze czynno±ci przeprowad¹ na obydwu pozostaªych (nie b¦d¡cych KDC ) komputerach. 2b 24 Uruchom na program rosa setup i w i wpisz nazw¦ królestwa oraz adres serwera Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. Konguracja, uruchomienie i testowanie serwera LDAP . 21 Instalacja i konguracja serwera 2a openLDAP na tym samym komputerze co usªuga Sprawd¹ czy w systemie zostaªy zainstalowane pakiety openldap-servers i KDC : openldap-clients . W razie ich braku doinstaluj je; 2b W pliku konguracyjnym serwera LDAP /etc/openldap/slapd.conf ustal przyrostek domeny odpowiada- j¡cy nazwie domeny przyporz¡dkowanej do stolika. Zdeniuj równie» nazw¦ wyró»niaj¡c¡ administratora jako 2c Admin i ustaw mu hasªo w postaci root123; Wypakuj z dostarczonego do ¢wiczenia archiwum plik zawieraj¡cy baz¦ u»ytkowników zapisan¡ w formacie ldif ; 2d Za pomoc¡ polecenia 2e Wªa±cicielem powstaªych plików bazy (znajduj¡ si¦ one w katalogu root. slapadd zaimportuj z dostarczonego pliku caª¡ zawarto±¢ bazy; Zmie« ich wªa±ciciela na u»ytkownika ldap; 2 /var/lib/ldap ) b¦dzie u»ytkownik 2f 22 service Poleceniem uruchom usªug¦ ldap; LDAP Na pozostaªych dwóch komputerach skonguruj wykorzystanie protokoªu do autoryzacji u»ytkow- ników: Sprawd¹ czy zainstalowane s¡ pakiety 2b Uruchom program setup i w wpisz w odpowiedniej postaci 2c i Przetestuj poprawno±¢ wykonanej konguracji wy±wietlaj¡c dane o u»ytkownikach za pomoc¡ polecenia 23 openldap-clients i nss_ldap, a w razie potrzeby doinstaluj je; konguracji uwierzytelniania w informacjach o u»ytkowniku wybierz LDAP przyrostek swej domeny oraz adres serwera usªugi LDAP ; 2a figer zwró¢ uwag¦ na posta¢ ±cie»ki do katalogu domowego u»ytkowników. W celu przetestowania zarówno poprawno±ci konguracji uwierzytelnienie jak i autoryzacji zaloguj si¦ jako dowolny istniej¡cy u»ytkownik na obu komputerach. 24 Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. Konguracja NFSv3 po stronie serwera jak i klienta. 21 Instalacja i konguracja serwera 2a NFS na drugim serwerze (nie na Sprawd¹ czy w systemie zostaªy zainstalowane pakiety KDC ): nfs-utils i rpcbind . W razie ich braku doinstaluj je; rpcbind 2b Uruchom usªug¦ 2c Utwórz katalog /home/zarzad 2d Utwórz katalog /home/pracownicy 2e 750; W utworzonym katalogu rpcinfo i sprawd¹ jej dziaªanie za pomoc¡ polecenie , uczy« jego wªa±cicielem grupowym grup¦ zarzad , uczy« jego wªa±cicielem grupowym grup¦ /home/pracownicy zaªó» katalogi domowe franio i ; i nadaj mu prawa pracownicy wacek 750; i nadaj mu prawa i zmie« ich wªa±cicieli na odpowiednich u»ytkowników; 2f W katalogu /home/zarzad zaªó» katalogi domowe zocha i zyzio i zmie« ich wªa±cicieli na odpowiednich u»ytkowników; 2g W pliku /etc/exports zdeniuj oba udziaªy czyni¡c je dost¦pne w sieci przyporz¡dkowanej do stolika; ustaw im tylko opcj¦ 22 23 rw ; Uruchomienie i testowanie usªugi NFS na serwerze: 2a Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi 2b Za pomoc¡ polecenia rpcinfo p 2c Za pomoc¡ polecenia showmount e nfslock i nfs ; sprawd¹ stan usªug zarz¡dzanych przez mechanizm RPC ; wy±wietl udost¦pniane przez serwer udziaªy; Konguracja komputera klienckiego i podmontowanie zdalnego systemu plików: 2a Sprawd¹ czy w systemie zostaªy zainstalowane pakiety nfs-utils i rpcbind , a w razie potrzeby doinstaluj je; 2b Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi 2c Utwórz katalogi 2d Za pomoc¡ polecenia /home/zarzad i /home/pracownicy mount t nfs rpcbind i nfslock ; ; dokonaj montowania obydwu zdalnych systemów plików do utwo- rzonych katalogów; 24 2e Sprawd¹ poleceniem 2f Polecenie nfsstat nfsstat m z jakimi opcjami zostaªy podmontowane oba udziaªy; wykorzystaj równie» do wy±wietlenia statystyk na serwerze B¦d¡c podª¡czonym jako u»ytkownik root przeª¡cz si¦ (polecenie su ) na dowolnego u»ytkownika i sprawd¹ dost¦p do jego katalogu domowego i do katalogów innych u»ytkowników. 25 NFS . Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. 3 Konguracja i wykorzystanie NFSv4 . 21 Przygotowanie serwera 2a NFS /etc/idmapd.conf W pliku do udost¦pniania udziaªów protokoªem w wersji czwartej: ustaw warto±¢ atrybutu nazw¦ konta u»ytkownika i grupy anonimowej 2b Utwórz katalog 2c W pliku 2d W analogiczny sposób dokonaj wpisu na przemontowanie katalogu 2e Poleceniem 2f mount 2g nfs4exp /etc/fstab , a w nim katalogi pracownicy bind ustaw montowanie typu mount a i zarzad domeny DNS. Zmie« równie» ; katalogu /home/pracownicy do katalogu /home/zarzad nfs4exp/pracownicy ; ; wykonaj montowanie zdeniowanych systemów plików i za pomoc¡ polecenia sprawd¹ poprawno±¢ przeprowadzonej operacji; W pliku NFSv4 /exc/expors nfs4exp dokonaj wpisu oznaczaj¡cego udost¦pnienie w sieci lokalnej katalogu gªównego dla . Pami¦taj o ustawieniu dla niego opcji fsid=0 ; Zdeniuj równie» udost¦pnienie w sieci lokalnej pozostaªych dwóch katalogów: nfs4exp/zarzad 22 Domain na nazw¦ swojej na nfsnobody ; (nie ustawiaj opcji 2h Wykonaj restart usªug: 2i Poleceniem showmount e nfs4exp/pracownicy i fsid ); rpcbind , rpcidmapd , nfslock i nfs ; sprawd¹ czy udziaªy zostaªy poprawnie udost¦pnione. Konguracja komputera klienckiego oraz podmontowanie zdalnego systemu plików z wykorzystaniem protokoªu NFSv4 : 2a W analogiczny sposób jak na serwerze skonguruj plik 2b Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim ¢wiczeniu; 2c Ponownie uruchom usªugi: 2d Za pomoc¡ polecenia /etc/idmapd.conf ; rpcbind , rpcidmapd i nfslock ; mount t nfs4 dokonaj montowania obydwu zdalnych systemów plików do utwo- rzonych katalogów pami¦taj by podawa¢ takie ±cie»ki na zdalny system plików jak widoczne przez wykorzystanie polecenia 23 2e Sprawd¹ poleceniem 2f Polecenie nfsstat showmount e adres_serwera nfsstat m ; z jakimi opcjami zostaªy podmontowane oba udziaªy; wykorzystaj równie» do wy±wietlenia statystyk na serwerze B¦d¡c podª¡czonym jako u»ytkownik NFS . root przeª¡cz si¦ (polecenie su ) na dowolnego u»ytkownika i sprawd¹ dost¦p do jego katalogu domowego i do katalogów innych u»ytkowników. 24 Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. Konguracja uwierzytelniania u»ytkownika dla NFSv4 za pomoc¡ kerberosa. 21 Zdeniowanie w bazie KDC odpowiednich u»ytkowników do wspóªpracy z NFS : kerberosa za pomoc¡ polecenia kadmin.local dodaj u»ytkownika o nazwie root/admin; 2b Do bazy kerberosa dodaj u»ytkownika dla usªugi NFS o nazwie nfs/nazwa_serwera. Nazwa serwera NFS musi by¢ w peªnej postaci domenowej FQDN; 2c W analogiczny sposób dodaj drugiego u»ytkownika reprezentuj¡cego usªug¦ nfs na komputerze klienc2a Do bazy kim; 2d Wyeksportuj klucze u»ytkownika reprezentuj¡cego usªug¦ polecenie kadmin -q ktadd nfs/nazwa_serwera 2e W ten sam sposób wyeksportuj odpowiednie klucze do 2f Poleceniem 2g Zmie« denicje wyeksportowanych katalogów w pliku klist ke nfs na serwerze do pliku /etc/krb5.keytab ; keytaba na komputerze klienckim; wy±wietl na obu komputerach zawarto±¢ pliku /etc/exports /etc/krb5.keytab ; zamieniaj¡c adresy sieci lokalnej na kerberosa warto±¢ gss/krb5 ; 2h Wª¡cz wykorzystanie bezpiecznego NFSa ustawienie atrybutu SECURE_NFS=yes wpis oznaczaj¡cy wykorzystanie 2i Wykonaj restart usªug: rpcbind , rpcidmapd , rpcgssd , rpcsvgssd ,nfslock i nfs ; 4 w pliku /etc/sysconfig/nfs ; 22 Konguracja komputera klienckiego do wykorzystania NFSv4 z kerberosem: 2a Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim ¢wiczeniu; 2b W analogiczny sposób jak na serwerze skonguruj plik 2c Ponownie uruchom usªugi: 2d Za pomoc¡ polecenia /etc/sysconfig/nfs ; rpcbind , rpcidmapd , rpcgssd , rpcsvgssd i nfslock ; mount t nfs4 -o sec=krb5 dokonaj montowania obydwu zdalnych systemów plików do utworzonych katalogów pami¦taj by podawa¢ takie ±cie»ki na zdalny system plików jak widoczne przez wykorzystanie polecenia 23 2e Sprawd¹ poleceniem 2f Polecenie nfsstat nfsstat m showmount e adres_serwera ; z jakimi opcjami zostaªy podmontowane oba udziaªy; wykorzystaj równie» do wy±wietlenia statystyk na serwerze B¦d¡c podª¡czonym jako u»ytkownik NFS . root przeª¡cz si¦ (polecenie su ) na dowolnego u»ytkownika i sprawd¹ dost¦p do jego katalogu domowego i do katalogów innych u»ytkowników. 24 Poleceniem kinit pobierz klucz danego u»ytkownika i ponownie sprawd¹ dost¦pno±¢ jego katalogu domo- wego; 25 Za pomoc¡ polecenia 26 Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania. nfs . klist wy±wietl bilety, które otrzymaª u»ytkownik. Zwró¢ uwag¦ na bilet na usªug¦ 5