Instrukcja do ¢wiczenia Konfiguracja NFS z Kerberosem

Transkrypt

Instrukcja do ¢wiczenia
Administracja usªugami domenowymi
Konguracja NFS z Kerberosem
Krzysztof Boryczko
Remigiusz Górecki
1 czerwca 2010
Data wykonania
Skªad Grupy
Ocena
Podczas wykonywania ¢wiczenia odznaczaj wykonane podpunkty Przed przyst¡pieniem do wykonania
¢wiczenia sprawd¹ obecno±¢ i stan sprz¦tu.
Wszelkie nieprawidªowo±ci nale»y natychmiast zgªosi¢ prowadz¡-
cemu.
Wprowadzenie
Na stanowisku znajduj¡ si¦ trzy komputery.
Wszystkie z systemem operacyjnym
Linux Fedora 11.
Jeden z
komputerów b¦dzie peªni¢ rol¦ serwera odpowiedzialnego za uwierzytelnianie i autoryzacj¦ u»ytkowników. Zainstalowana na nim b¦dzie usªuga
KDC .
Kerberos
i
LDAP .
W dalszej cz¦±ci opisu zwany b¦dzie po prostu serwerem
Drugi z komputerów b¦dzie natomiast peªni¢ rol¦ serwera
NFS
i tak te» b¦dzie nazywany. Trzeci z kolei
b¦dzie stacj¡ klienck¡.
Wszystkie trzy komputery musz¡ by¢ we wspólnej sieci o adresie zgodnym z numerem stanowiska oraz nale»e¢
do tej samej domeny
DNS.
1 . Ich adresy IP mog¡ zatem by¢ dowolne, lecz musz¡ znajdowa¢ si¦ w obr¦bie
wykorzystywanej sieci. Podobnie ich nazwy
si¦ w obr¦bie kongurowanej domeny
DNS.
FQDN
mog¡ mie¢ dowoln¡ posta¢, aczkolwiek musz¡ znajdowa¢
W praktyce powinna by¢ jeszcze skongurowana usªuga
tªumaczyªaby adresy domenowe (w postaci
FQDN)
DNS
oraz
reverse DNS
dla zarz¡dzanej sieci, która
na adresy IP wszystkich hostów i odwrotnie.
Jednak z
powodu zbyt maªych ram czasowych ¢wiczenia ograniczymy si¦ do rozwi¡zywania nazw i adresów wszystkich
trzech komputerów na podstawie zawarto±ci pliku
/etc/hosts
na ka»dym z nich.
Konguracja adresów IP i nazw komputerów wchodz¡cych w skªad stanowiska
21
Konguracja nazwy i ustawie« sieci na komputerze peªni¡cym rol¦
2a
KDC :
Zgodnie z numerem stanowiska i przyj¦tym standardem adresacji w laboratorium zdeniuj odpowiedni adres IP;
2b
Nadaj mu nazw¦ w postaci
kdc.miasto lemon.wszib.edu.pl
(zgodn¡ z domen¡ przyporz¡dkowan¡ do
stanowiska);
2c
Ustaw odpowiedni¡ dla Twojej sieci bram¦ domy±ln¡ oraz adres serwera
192.168.5.10 ;
DNS mo»e by¢ przykªadowo
2d
Konguracj¦ zapisz we wªa±ciwych plikach, aby nie ulegªa zmianie po restarcie systemu;
2e
Dokonaj restartu systemu w celu sprawdzenia poprawno±ci wykonanej konguracji.
22
W analogiczny sposób skonguruj pozostaªe dwa komputery na stanowisku nadaj¡c im dowolne nazwy.
23
Na wszystkich trzech komputerach w pliku
nazwy zarówno w peªnej
24
FQDN
/etc/hosts
wpisz adresy IP wszystkich trzech komputerów i ich
jak i skróconej postaci.
Wezwij prowadz¡cego celem sprawdzenia poprawno±ci wykonania zadania.
1 Przyporz¡dkowanie
konguracja_sieci.pdf
adresów i nazw domen do stanowisk laboratoryjnych zostaªo opisane w dokumencie o nazwie
znajduj¡cym si¦ w systemie SAKE
1
Konguracja, uruchomienie i testowanie serwera KDC .
Ze wzgl¦du na przygotowane na potrzeby ¢wiczenia pliki z bazami u»ytkowników dla poszczególnych stanowisk,
nazwy deniowanych
królestw musz¡ by¢ zgodne z tymi, które s¡ w utworzonych plikach. Przyj¦ta zostaªa zasada,
DNS (pisana oczywi±cie wielkimi literami).
»e nazwa królestwa jest taka sama jak nazwa domeny
21
KDC :
Instalacja i konguracja
2a
Sprawd¹ czy w systemie zostaªy zainstalowane pakiety
krb5-server
i
krb5-workstation.
W razie ich
braku doinstaluj je;
2b
KDC
W pliku konguracyjnym
/var/kerberos/krb5kdc/kdc.conf
okre±l odpowiedni¡ nazw¦ swojego króle-
stwa.
2c
Dokonaj równie» wpisania królestwa w pliku deniuj¡cym uprawnienia dla u»ytkowników korzystaj¡cych z usªugi
2d
kadmin
/var/kerberos/krb5kdc/kadm5.acl
Konieczne jest tak»e podanie nazwy królestwa dla uruchamianych usªug
±ciej mo»na to zrobi¢ przypisuj¡c j¡ atrybutowi
i
2e
.
/etc/sysconfig/kadmin
KRB5REALM
krb5kdc oraz kadmin.
zawartemu w plikach
Najpro-
/etc/sysconfig/krb5kdc
.
kdb5_util
Za pomoc¡ programu
Jako hasªo nale»y poda¢
utwórz podstawow¡ zawarto±¢ bazy danych dla swojego królestwa.
root123 , poniewa» takim hasªem zaszyfrowana jest dostarczona do ¢wiczenia
baza.
22
Zaimportowanie zawarto±ci bazy
2a
Przy pomocy polecenia
KDC
kdb5_util
i uruchomienie go:
z odpowiedniego dla Twojego królestwa pliku (z dostarczonego ar-
chiwum) zaimportuj caª¡ baz¦ nadpisuj¡c aktualn¡. Nazwa pliku zgodna jest z nazw¡ królestwa.
2b
23
Poleceniem
service
uruchom usªug¦
Testowanie pracy stworzonego
krb5kdc i kadmin.
KDC :
Do komputera peªni¡cego rol¦ serwera usªug
Kerberos
i
LDAP
u»ytkownicy nie powinni mie¢ mo»liwo±ci
podª¡czania si¦. Dlatego te» nale»y skongurowa¢ mo»liwo±¢ uwierzytelniania si¦ u»ytkowników z wykorzystaniem
2a
kerberosa
na pozostaªych dwóch komputerach wchodz¡cych w skªad stanowiska.
Sprawd¹ czy na komputerze zainstalowany jest pakiet
krb5-workstation, a w razie jego braku doinstaluj
go;
konguracji uwierzytelniania, a nast¦pnie w uwierzytelnianie wybierz kerbeKDC ;
2c Poleceniem kinit za»¡daj biletu dla jednego z u»ytkowników zdeniowanych w bazie KDC (wszyscy
maj¡ ustawione hasªo Ala_1234;
2d Sprawd¹ za pomoc¡ polecenia klist zawarto±¢ cache'a u»ytkownika, a co za tym idzie otrzymany
bilet TGT.
2e Powy»sze czynno±ci przeprowad¹ na obydwu pozostaªych (nie b¦d¡cych KDC ) komputerach.
2b
24
Uruchom na program
rosa
setup
i w
i wpisz nazw¦ królestwa oraz adres serwera
Konguracja, uruchomienie i testowanie serwera LDAP .
21
Instalacja i konguracja serwera
2a
openLDAP
na tym samym komputerze co usªuga
openldap-servers
i
KDC :
openldap-clients .
W razie
ich braku doinstaluj je;
2b
W pliku konguracyjnym serwera
LDAP
/etc/openldap/slapd.conf
ustal przyrostek domeny odpowiada-
j¡cy nazwie domeny przyporz¡dkowanej do stolika. Zdeniuj równie» nazw¦ wyró»niaj¡c¡ administratora jako
2c
Admin
i ustaw mu hasªo w postaci
root123;
Wypakuj z dostarczonego do ¢wiczenia archiwum plik zawieraj¡cy baz¦ u»ytkowników zapisan¡ w
formacie
ldif ;
2d
Za pomoc¡ polecenia
2e
Wªa±cicielem powstaªych plików bazy (znajduj¡ si¦ one w katalogu
root.
slapadd
zaimportuj z dostarczonego pliku caª¡ zawarto±¢ bazy;
Zmie« ich wªa±ciciela na u»ytkownika
ldap;
2
/var/lib/ldap
) b¦dzie u»ytkownik
2f
22
service
Poleceniem
uruchom usªug¦
ldap;
LDAP
Na pozostaªych dwóch komputerach skonguruj wykorzystanie protokoªu
do autoryzacji u»ytkow-
ników:
Sprawd¹ czy zainstalowane s¡ pakiety
2b
Uruchom program
setup
i w
wpisz w odpowiedniej postaci
2c
i
Przetestuj poprawno±¢ wykonanej konguracji wy±wietlaj¡c dane o u»ytkownikach za pomoc¡ polecenia
23
openldap-clients i nss_ldap, a w razie potrzeby doinstaluj je;
konguracji uwierzytelniania w informacjach o u»ytkowniku wybierz LDAP
przyrostek swej domeny oraz adres serwera usªugi LDAP ;
2a
figer
zwró¢ uwag¦ na posta¢ ±cie»ki do katalogu domowego u»ytkowników.
W celu przetestowania zarówno poprawno±ci konguracji uwierzytelnienie jak i autoryzacji zaloguj si¦ jako
dowolny istniej¡cy u»ytkownik na obu komputerach.
24
Konguracja NFSv3 po stronie serwera jak i klienta.
21
Instalacja i konguracja serwera
2a
NFS
na drugim serwerze (nie na
KDC ):
nfs-utils i rpcbind .
W razie ich braku doinstaluj
je;
rpcbind
2b
Uruchom usªug¦
2c
Utwórz katalog
/home/zarzad
2d
Utwórz katalog
/home/pracownicy
2e
750;
W utworzonym katalogu
rpcinfo
i sprawd¹ jej dziaªanie za pomoc¡ polecenie
, uczy« jego wªa±cicielem grupowym grup¦
zarzad
, uczy« jego wªa±cicielem grupowym grup¦
/home/pracownicy
zaªó» katalogi domowe
franio
i
;
i nadaj mu prawa
pracownicy
wacek
750;
i nadaj mu prawa
i zmie« ich wªa±cicieli na
odpowiednich u»ytkowników;
2f
W katalogu
/home/zarzad
zaªó» katalogi domowe
zocha
i
zyzio
i zmie« ich wªa±cicieli na odpowiednich
u»ytkowników;
2g
W pliku
/etc/exports
zdeniuj oba udziaªy czyni¡c je dost¦pne w sieci przyporz¡dkowanej do stolika;
ustaw im tylko opcj¦
22
23
rw ;
Uruchomienie i testowanie usªugi
NFS
na serwerze:
2a
Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi
2b
rpcinfo p
2c
showmount e
nfslock i nfs ;
sprawd¹ stan usªug zarz¡dzanych przez mechanizm
RPC ;
wy±wietl udost¦pniane przez serwer udziaªy;
Konguracja komputera klienckiego i podmontowanie zdalnego systemu plików:
2a
nfs-utils i rpcbind , a w razie potrzeby doinstaluj
je;
2b
Uruchom (lub zrestartuj gdy byªy uruchomione) usªugi
2c
Utwórz katalogi
2d
/home/zarzad
i
/home/pracownicy
mount t nfs
rpcbind i nfslock ;
;
dokonaj montowania obydwu zdalnych systemów plików do utwo-
rzonych katalogów;
24
2e
Sprawd¹ poleceniem
2f
Polecenie
nfsstat
nfsstat m
z jakimi opcjami zostaªy podmontowane oba udziaªy;
wykorzystaj równie» do wy±wietlenia statystyk na serwerze
B¦d¡c podª¡czonym jako u»ytkownik
root przeª¡cz si¦ (polecenie su ) na dowolnego u»ytkownika i sprawd¹
dost¦p do jego katalogu domowego i do katalogów innych u»ytkowników.
25
NFS .
3
Konguracja i wykorzystanie NFSv4 .
21
Przygotowanie serwera
2a
NFS
/etc/idmapd.conf
W pliku
do udost¦pniania udziaªów protokoªem w wersji czwartej:
ustaw warto±¢ atrybutu
nazw¦ konta u»ytkownika i grupy anonimowej
2b
Utwórz katalog
2c
W pliku
2d
W analogiczny sposób dokonaj wpisu na przemontowanie katalogu
2e
Poleceniem
2f
mount
2g
nfs4exp
/etc/fstab
, a w nim katalogi
pracownicy
bind
ustaw montowanie typu
mount a
i
zarzad
domeny
DNS.
Zmie« równie»
;
katalogu
/home/pracownicy
do katalogu
/home/zarzad
nfs4exp/pracownicy
;
;
wykonaj montowanie zdeniowanych systemów plików i za pomoc¡ polecenia
sprawd¹ poprawno±¢ przeprowadzonej operacji;
W pliku
NFSv4
/exc/expors
nfs4exp
dokonaj wpisu oznaczaj¡cego udost¦pnienie w sieci lokalnej katalogu gªównego dla
. Pami¦taj o ustawieniu dla niego opcji
fsid=0 ;
Zdeniuj równie» udost¦pnienie w sieci lokalnej pozostaªych dwóch katalogów:
nfs4exp/zarzad
22
Domain na nazw¦ swojej
na nfsnobody ;
(nie ustawiaj opcji
2h
Wykonaj restart usªug:
2i
Poleceniem
showmount e
nfs4exp/pracownicy
i
fsid );
rpcbind , rpcidmapd , nfslock i nfs ;
sprawd¹ czy udziaªy zostaªy poprawnie udost¦pnione.
Konguracja komputera klienckiego oraz podmontowanie zdalnego systemu plików z wykorzystaniem protokoªu
NFSv4 :
2a
W analogiczny sposób jak na serwerze skonguruj plik
2b
Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim ¢wiczeniu;
2c
Ponownie uruchom usªugi:
2d
/etc/idmapd.conf
;
rpcbind , rpcidmapd i nfslock ;
mount t nfs4
dokonaj montowania obydwu zdalnych systemów plików do utwo-
rzonych katalogów pami¦taj by podawa¢ takie ±cie»ki na zdalny system plików jak widoczne przez
wykorzystanie polecenia
23
2e
Sprawd¹ poleceniem
2f
Polecenie
nfsstat
showmount e adres_serwera
nfsstat m
;
NFS .
24
Konguracja uwierzytelniania u»ytkownika dla NFSv4 za pomoc¡ kerberosa.
21
Zdeniowanie w bazie
KDC
odpowiednich u»ytkowników do wspóªpracy z
NFS :
kerberosa za pomoc¡ polecenia kadmin.local dodaj u»ytkownika o nazwie root/admin;
2b Do bazy kerberosa dodaj u»ytkownika dla usªugi NFS o nazwie nfs/nazwa_serwera. Nazwa serwera
NFS musi by¢ w peªnej postaci domenowej FQDN;
2c W analogiczny sposób dodaj drugiego u»ytkownika reprezentuj¡cego usªug¦ nfs na komputerze klienc2a
Do bazy
kim;
2d
Wyeksportuj klucze u»ytkownika reprezentuj¡cego usªug¦
polecenie
kadmin -q ktadd nfs/nazwa_serwera
2e
W ten sam sposób wyeksportuj odpowiednie klucze do
2f
Poleceniem
2g
Zmie« denicje wyeksportowanych katalogów w pliku
klist ke
nfs
na serwerze do pliku
/etc/krb5.keytab
;
keytaba
na komputerze klienckim;
wy±wietl na obu komputerach zawarto±¢ pliku
/etc/exports
/etc/krb5.keytab
;
zamieniaj¡c adresy sieci lokalnej na
kerberosa warto±¢ gss/krb5 ;
2h Wª¡cz wykorzystanie bezpiecznego NFSa ustawienie atrybutu SECURE_NFS=yes
wpis oznaczaj¡cy wykorzystanie
2i
Wykonaj restart usªug:
rpcbind , rpcidmapd , rpcgssd , rpcsvgssd ,nfslock i nfs ;
4
w pliku
/etc/sysconfig/nfs
;
22
Konguracja komputera klienckiego do wykorzystania
NFSv4
z
kerberosem:
2a
Odmontuj sieciowe systemy plików ewentualne pozostaªo±ci po poprzednim ¢wiczeniu;
2b
W analogiczny sposób jak na serwerze skonguruj plik
2c
Ponownie uruchom usªugi:
2d
/etc/sysconfig/nfs
;
rpcbind , rpcidmapd , rpcgssd , rpcsvgssd i nfslock ;
mount t nfs4 -o sec=krb5
dokonaj montowania obydwu zdalnych systemów plików do
utworzonych katalogów pami¦taj by podawa¢ takie ±cie»ki na zdalny system plików jak widoczne
przez wykorzystanie polecenia
23
2e
Sprawd¹ poleceniem
2f
Polecenie
nfsstat
nfsstat m
showmount e adres_serwera
;
NFS .
24
Poleceniem
kinit
pobierz klucz danego u»ytkownika i ponownie sprawd¹ dost¦pno±¢ jego katalogu domo-
wego;
25
26
nfs .
klist
wy±wietl bilety, które otrzymaª u»ytkownik. Zwró¢ uwag¦ na bilet na usªug¦
5

Instrukcja do ¢wiczenia Konfiguracja NFS z Kerberosem

Transkrypt

Podobne dokumenty

404 Strony nie znaleziono

ćwiczenie nr 6 - politechnika lubelska

Network File System – NFS Produkt SUN służący do rozproszenia