Tema 6pre

Tema 6: Administracin de servidores o
Administracin de Sistemas e Redes I o

Toms Fdez. Pena a
tomas@dec.usc.es
Indice Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . . Comparticin . . . o
Pgina www a Pgina inicial a
Pgina 1 de 108 a Regresar Pantalla completa Cerrar Abandonar
Indice
Introduccin o Ejecucin remota y transferencia de cheros o Servicio de tiempo (NTP) Sistemas de archivos de red (NFS) Comparticin de la conguracin o o Servicio de Informacin de Red NIS o Comparticin Linux-Windows: Samba o
Pgina www a
Pgina inicial a
Pgina 2 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
1. Introduccin o
Indice
Dos tipos de servicios: 1. Servicios de Internet: Servicios de ejecucin remota: telnet, ssh o Servicios de transferencia de cheros: ftp, sftp Servicio de DNS Servicio de Proxy Servicio de correo electrnico: SMTP, POP, . . . o Servicio Web
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . . Comparticin . . . o
Pgina www a
2. Servicios de intranet Sistemas de archivos de red (NFS) Servicio de informacin de red (NIS) o Servicio de directorio (LDAP) Comparticin Windows/Linux (Samba) o
Pgina inicial a
Pgina 3 de 108 a
Regresar
Los servicios de DNS, Proxy, e-mail y Web se tratan en la asignatura Conguracin e Administracin de Servizos en Internet o o
Pantalla completa
Cerrar
Abandonar
2. Ejecucin remota y transferencia de cheros o

Indice
Permiten acceder a un sistema remoto y transferir cheros de/hacia este sistema Aplicaciones clsicas a 1. telnet (TELetype NETwork ) permite conectarnos a otros ordenadores de la red como terminal remoto 2. ftp (File Transfer Protocol permite intercambiar cheros entre distintos ordenadores de la red Problema: la informacin se transere en claro o El uso de telnety ftp se desaconseja Reemplazarlos por ssh, scp, sftp 1. ssh (Secure Shell ) permite conectarnos a otro sistema encriptando toda la informacin o 2. scp, sftp permiten la transferencia de cheros de forma encriptada scp similar a cp y sftp similar a ftp
Pgina www a
Pgina inicial a
Pgina 4 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Servicio de telnet y ftp

Indice
Los servicios TCP (telnet, ftp, talk, nger, etc.) son normalmente lanzados por el superdemonio de red inetd (o xinetd) El chero de conguracin es el /etc/inetd.conf o Ejemplo de l nea telnet stream tcp nowait telnetd
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o
/usr/sbin/in.telnetd Servicio de . . .
Servicio de . . . Comparticin . . . o
Pgina www a
cuando inetd reciba una peticin al puerto telnet abre o un socket tipo stream y ejecutar fork() y exec() del programa /usr/sbin/in.telnetd, bajo la identidad del usuario telnetd nowait indica que el servidor puede continuar procesando conexiones en el socket Versin mejorada de inetd: xinetd o Para mayor control usar TCP Wrapper (programa tcpd) Permite conceder/denegar acceso a determinados hosts/redes mediante los chero /etc/hosts.allow y /etc/hosts.deny
Pgina inicial a
Pgina 5 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Servicio de telnet
Indice
Instalacin de un servidor telnet o Descargar el paquete telnetd El paquete actualiza el /etc/inetd.conf Por defecto usa TCP wrappers El servidor escucha el puerto 23 Desistalar el servicio telnet Desinstalar el paquete telnetd, o Comentar la l nea correspondiente en /etc/inetd.conf
Pgina www a
Pgina inicial a
Pgina 6 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Servicio de FTP
Indice
Transere cheros a/desde un host remoto Permite usuarios registrados o annimos (anonymous) o Utiliza dos puertos: 21 (conexin de control) y 20 (conexin o o de datos) Dos modos de funcionamiento: 1. Activo (modo por defecto en el comando ftp) El servidor inicia la conexin de datos desde su puerto o 20 a un puerto > 1023 del cliente Problema con los rewalls en el cliente 2. Pasivo (modo recomendable, por defecto en navegadores) El cliente inicia las conexiones de control y datos No se utiliza el puerto 20 No tiene problema con los rewall
Pgina www a
Pgina inicial a
Pgina 7 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin de un servidor ftp bsico o a

Indice
1. Instalar el paquete ftpd El paquete actualiza el /etc/inetd.conf Por defecto usa TCP wrappers Podemos denegar el acceso ftp a ciertos usuarios incluyndolos en el chero /etc/ftpusers e
Pgina www a
Pgina inicial a
Pgina 8 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Servicio de FTP avanzado

Indice
Servidores avanzados de FTP Proporcionan numerosas facilidades, tanto para ftp normal cono annimo o Existen numerosos servidores comerciales u open source: Wu-FTPD, Pure-FTPd, ProFTPD, wzdftpd, vsftpd Estos servidores proporcionan normalmente: Operacin a travs de inetd o standalone o e Servidores FTP virtuales (varios servidores de FTP annimos o en el mismo host) Usuarios FTP virtuales (cuentas ftp diferentes de las cuentas del sistema) Facilidades para registro y monitorizacin de accesos o Facilidades para controlar y limitar accesos Comunicacin encriptada o
Pgina www a
Pgina inicial a
Pgina 9 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
1. En el sistema servidor instala los paquetes telnetd y ftpd Comprueba como se ha modicado el archivo /etc/inetd.conf Accede v telnet y ftp desde el sistema cliente al servia dor 2. En el servidor instala el Wu-FTPD
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . .
Servicio de . . . Instala el paquete wu-ftpd: Comparticin . . . o (a) Permite acceso annimo al directorio /home/ftp o Pgina www a (b) Permite la subida annima de cheros al directorio o Pgina inicial a incoming Comprueba si se ha modicado correctamente el chero /etc/inetd.conf (en la l nea de ftp debe referirse al programa /usr/sbin/wu-ftpd -l) y reinicia inetd (pkill -HUP inetd) Pgina 10 de 108 a Chequea los cheros de conguracin en /etc/wu-ftpd/ o Regresar Prueba el acceso annimo desde el cliente o Pantalla completa (a) En el servidor, pon algn chero en /home/ftp/pub u y descrgalo desde el cliente a Cerrar
Abandonar
(b) Sube algn chero del cliente al directorio /home/ftp/pub/incoming u Indice del servidor
Pgina www a
Pgina inicial a
Pgina 11 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
SSH
Indice
SSH: Shell seguro Permite comunicarnos de forma segura con un servidor remoto Permite abrir sesiones o transferir cheros (scp o sftp) Reemplazo de rlogin, telnet o ftp Todos los datos viajan encriptados Dos versiones SSH-1 y SSH-2: Recomendable SSH-2 Versin open-source OpenSSH o Paquetes Debian: Ciente: openssh-client Servidor: openssh-server
Pgina www a
Pgina inicial a
Pgina 12 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Modos de autenticacin mediante SSH o

Indice
SSH soporta 4 modos de autenticacin: o 1. Si el nombre del host remoto desde el cual un usuario se conecta al servidor esta listado en ~/.rhosts, ~/.shosts, /etc/hosts.equiv o /etc/shosts.equiv el usuario remoto puede entrar sin contrasea n Mtodo absolutamente desaconsejado e 2. Igual que el anterior pero la clave pblica del host remoto u debe aparecer en /etc/ssh known hosts o ~/.ssh/known hosts No demasiado seguro (si el host remoto se ve comprometido, el servidor local queda comprometido)
Pgina www a
Pgina inicial a
3. La clave pblica del usuario remoto debe estar en ~/.ssh/authorized keys u El usuario remoto debe tener acceso a su clave privada Mtodo ms seguro, pero un poco incomodo e a 4. Acceso mediante contrasea (modo por defecto) n Menos seguro que el anterior
Pgina 13 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Opciones para autenticacin o

Indice
Fichero de conguracin del servidor ssh: /etc/ssh/sshd config o Opcin o M Dfto. Signicado RhostsRSAAuthentication 2 no S yes permite autenticacin por o host (SSH-1) HostbasedAuthentication 2 no S yes permite autenticacin por o host (SSH-2) IgnoreRhosts 2 yes No usa los cheros ~/.rhosts y ~/.shosts IgnoreUserKnownHosts 2 no Ignora el chero ~/.ssh/known hosts RSAAuthentication 3 yes Autenticacin de clave pblica o u de usuario (SSH-1) PubkeyAuthentication 3 yes Autenticacin de clave pblica o u de usuario (SSH-2) PasswordAuthentication 4 yes Autenticacin mediante cono trasea n UsePAM 2,3,4 no Usa PAM para autenticacin o
Pgina www a
Pgina inicial a
Pgina 14 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Otras opciones de conguracin del servidor o

Indice
Otras opciones en /etc/ssh/sshd config Opcin o Port Dfto. Signicado 22 Puerto (puede ser interesante cambiarlo a >1024) Protocol 2,1 Protocolo aceptado (ms seguro slo 2) a o ListenAddress Todas Direccin local por la que escucha o PermitRootLogin yes Permite acceder al root X11Forwarding no Permite forwarding X11
Pgina www a
Para ms opciones man sshd config a
Pgina inicial a
Pgina 15 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Opciones para el cliente

Indice
Fichero de conguracin del cliente ssh: /etc/ssh/ssh config o o ~/.ssh/config En este chero se especican opciones para los comandos ssh, scp o sftp Algunas de estas opciones se pueden especicar en el momento de ejecutar el comando, p.e. $ ssh -p port servidor # Indica otro puerto Algunas opciones: Opcin o Hosts Dfto. Signicado Host para los que se aplican las opciones (* implica todos) Port 22 Puerto por defecto Protocol 2,1 Protocolo usado por defecto Cipher[s] Mecanismos de cifrado usados ForwardX11 no Reenv X11 o
Pgina www a
Pgina inicial a
Pgina 16 de 108 a
Regresar
Pantalla completa
Para ms opciones man ssh config y man ssh a
Cerrar
Abandonar
Otros comandos
Indice
ssh-keygen generacin y gestin de claves pblicas/privadas o o u para SSH Permite claves RSA o DSA (DSA slo SSH-2, por deo fecto RSA-2) Ficheros (para SSH-2)
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . .
Clave privada: ~/.ssh/id rsa o ~/.ssh/id dsa (~/.ssh/identity. . Servicio de . para SSH-1) Comparticin . . . o Clave pblica: ~/.ssh/id rsa.pub o ~/.ssh/id dsa.pub u Pgina www a (~/.ssh/identity.pub para SSH-1)
Pgina inicial a
La clave privada debe tener una passphrase de longitud arbitraria Puede cambiarse con la opcin -p o
Pgina 17 de 108 a Regresar
Pantalla completa
Cerrar
Abandonar
ssh-agent Agente de autenticacin o

Indice
Mantiene en memoria la clave privada Evita tener que escribir la passphrase cada vez que usemos ssh Habitualmente, si entramos en X11 se activa automticamente a Opcin use-ssh-agent de /etc/X11/Xsession.options o (ver man xsession.options) Para activarlo en consola usar (como usuario) eval $(ssh-agent) Dene las variables SSH AUTH SOCK y SSH AGENT PID
Pgina www a
Pgina inicial a
Pgina 18 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
ssh-add Aade las claves privadas al agente n

Indice
Uso: ssh-add [opciones ] [-t life ] [fichero ] Por defecto aade los cheros ~/.ssh/id rsa, ~/.ssh/id dsa n y ~/.ssh/identity, pidiendo las correspondientes passphrases Pueden aadirse mltiples claves n u En una conexin se prueban las diferentes claves o hasta que coincide Algunas opciones: -l Muestra las identidades aadidas n -t life Especica un tiempo de vida de la identidad
Pgina www a
Pgina inicial a
Pgina 19 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
1. Utilizar clave pblica para acceder a un servidor ssh u (a) En el chero /etc/ssh/sshd config del sistema servidor comprobar que las opciones RSAAuthentication y PubkeyAuthentication estn a yes1 a (c) Copiar la clave pblica ~/.ssh/id rsa.pub desde el u cliente al chero ~/.ssh/authorized keys en el servidor (d) Comprobar que podemos acceder al servidor desde el cliente usando la clave pblica u 2. Probar ssh-agent (a) En el cliente comprobar que el ssh-agent se est ejea cutando
Si no queremos permitir el acceso por contrasea, poner PasswordAuthentication y n UsePAM a no
1
Pgina www a
(b) En el cliente, usar ssh-keygen para crear la clave pblica/privada u
Pgina inicial a
Pgina 20 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
(b) Usar el ssh-add para aadir nuestra clave privada al n agente (c) Probar que nos podemos conectar al servidor sin introducir ninguna contrasea n
Pgina www a
Pgina inicial a
Pgina 21 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
3. Servicio de tiempo
Indice
NTP (Network Time Protocol ): protocolo para sincronizar los relojes de los sistemas en redes con latencia variable Permiten tener los sistemas sincronizados con elevada precisin o Importante para diversas aplicaciones (p.e. NFS) y para gestin de logs o Versin actual NTPv4; en desarrollo NTPv5 o Utiliza transporte UDP, puerto 123 Para ms informacin: http://ntp.isc.org a o
Pgina www a
Pgina inicial a
Pgina 22 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Funcionamiento bsico a
Indice
Usa un sistema jerrquico (stratum levels) a
Pgina www a
Pgina inicial a
Pgina 23 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Stratum 0: relojes de alta precisin (atmicos) o o

Indice
Stratum 1: ordenadores conectados directamente a los relojes Stratum 0, p.e. v conexin RS-232) a o Stratum 2: env solicitudes NTP a los sistemas Straan tum 1 a travs de Internet; pueden comunicarse con varios e Stratum 1 y tambin entre ellos e Stratum 3 o superior: se sincronizan usando los de Stratum inferior
Pgina www a
Pgina inicial a
Pgina 24 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Aplicaciones NTP en Linux

Indice
Dos aplicaciones bsicas: a 1. ntpdate: obtiene la hora de un servidor NTP Normalmente se usa en el arranque del sistema Puede meterse en un cron para obtener sincronizacin, o pero no obtiene una precisin elevada o Ejemplo: # ntpdate pool.ntp.org 2. ntpd (demonio NTP ): mantiene sincronizado el sistema con los servidores NTP, y proporciona servicio NTP Elevada precisin y bajo consumo de recursos o Necesita que el error en el reloj sea pequeo (sincronizacin n o en el arranque o con ntpdate) Fichero de conguracin: /etc/ntp.conf o 3. ntpq: monitoriza el demonio ntpd
Pgina www a
Pgina inicial a
Pgina 25 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
1. En el servidor instala el paquete ntp (a) Modica /etc/ntp.conf para establecer como servidor NTP el servidor de la Universidad: hora.usc.es server hora.usc.es iburst (b) Cambia la hora al servidor y rein cialo para comprobar que se sincroniza (c) Usa el comando ntpq -p para ver los sistemas a los que est conectado a 2. En el cliente, instala el paquete ntpdate Ejecuta ntpdate contra el servidor para poner en hora el cliente Cambia en /etc/default/ntpdate para jar el servidor como fuente NTP Cambia la hora del cliente y rein cialo para ver si se sincroniza
Pgina www a
Pgina inicial a
Pgina 26 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
4. Sistemas de archivos de red (NFS)

NFS (Network File System) permite compartir sistemas de cheros en la red Introducido por Sun MicroSystems en 1985, y soportado por todos los Unices Versiones principales: NFSv2 y NFSv3 NFSv4 en desarrollo (incluido en kernel 2.6, ver www.citi.umich.edu/projects/nfsv4/) NFSv2 y 3: protocolo sin estado: no hay prdida de infore macin si el servidor cae o NFSv4 incorpora estado: mecanismo complejo de recuperacin de ca o das
Pgina www a
Pgina inicial a
Pgina 27 de 108 a
Comunicacin mediante TCP o UDP o

Regresar
normalmente UDP (NFSv4 usa TCP)
Pantalla completa
Cerrar
Abandonar
Dos tipos de servidores en Linux:

Indice
servidor en espacio de usuario: ms lento y con problea mas servidor en modo kernel: ms rpido, menos caraca a ter sticas (versin por defecto) o Para ms informacin: a o cap tulo 17 (The Network File System) del libro UNIX System Administration Handbook (3a ed.), Evi Nemeth et.al. Linux NFS-HOWTO nfs.sourceforge.net
Pgina www a
Pgina inicial a
Pgina 28 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Caracter sticas principales

Indice
Ejemplo de funcionamiento
Pgina www a
Pgina inicial a
Pgina 29 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Procesos implicados
Indice
NFS se basa en RPC (Remote Procedure Call ) el servicio portmap (tambin llamado rpcbind ) debe estar e disponible y activo convierte nmeros de programas RPC en nmeros de u u puertos utiliza el puerto 111 necesario para aplicaciones que usen RPC el comando rpcinfo nos muestra informacin RPC o en Debian, paquete portmap
Pgina www a
Pgina inicial a
Pgina 30 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Otros demonios necesarios:

Indice
rpc.nfsd: implementa la parte de usuario del servidor NFS (atender y resolver las peticiones de acceso del cliente a archivos situados en el directorio remoto) rpc.mountd: proceso que recibe la peticin de montaje desde o un cliente NFS y chequea para mirar si coincide con un sistema de cheros actualmente exportado, y si el cliente tiene permisos sucientes para montar dicho directorio rpc.rquotad: proporciona informacin de cuotas a usuarios o remotos rpc.statd: implementa el protocolo NSM (Network Status Monitor ); proporciona un servicio de noticacin de reinio cio, cuando NFS cae; lo usa el servicio de bloqueo de cheros lockd rpc.lockd: servicio de bloqueo de cheros (NFS lock manager, NLM); no necesario en kernels modernos (>= 2.4) en los que el boqueo es realizado por el kernel
Pgina www a
Pgina inicial a
Pgina 31 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
NFSv4 no usa portmap, ni los demonios rpc.mountd y rpc.statd

Indice
Usa autenticacin basada en Kerberos mediante los siguieo ntes servicios: rpcsec gss (cliente rpc.gssd, servidor rpc.svcgssd): autenticacin de la conexin cliente-servidor o o rpc.idmapd: mapeo entre UIDs (o GIDs) y nombres de usuario (o nombres de grupos)
Pgina www a
Pgina inicial a
Pgina 32 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin de NFS en Debian o

Indice
Antes de utilizar NFS, ya sea como servidor o como cliente, el kernel debe tener compilado el soporte NFS
Introduccin o Ejecucin remota y . . . o
Servicio de tiempo podemos comprobarlo consultando los tipos de lesystems soportados por el sistema de cheros virtual (VFS) en /proc/filesystemsde . . . Sistemas
# cat ext2 nodev nodev nodev
/proc/filesystems proc devpts nfs
Comparticin de la . . . o Servicio de . . . Servicio de . . . Comparticin . . . o

Pgina www a
Si no est tendr a amos que recompilar el kernel activando el soporte NFS Veremos como instalar un servidor y con cliente NFS en Debian
Pgina inicial a
Pgina 33 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Servidor NFS
Indice
1. Instalar el paquete nfs-kernel-server y nfs-common nfs-kernel-server proporciona rpc.nfsd, rpc.mountd, y para NFSv4 rpc.svcgssd nfs-common proporciona rpc.lockd, rpc.statd, y para NFSv4 rpc.gssd y rpc.idmapd 2. Congurar los directorios a exportar: chero /etc/exports Ejemplo de chero /etc/exports
/projects /home /pub (ro) proj*.usc.es(rw) 193.144.84.0/24(rw,root_squash,sync) (ro,all_squash)
Pgina www a
Pgina inicial a
exporta /projects de slo lectura para todo el mundo o y lectura/escritura para los sistemas proj*.usc.es
Pgina 34 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Algunas opciones de la exportacin: o rw/ro exporta el directorio en modo lectura/escritura o slo lectura o root squash mapea los requerimientos del UID/GID 0 al usuario annimo (por defecto usuario nobody, o con UID/GID 65534); es la opcin por defecto o no root squash no mapea root al usuario annimo o all squash mapea todos los usuarios al usuario annimo o squash uids/squash gids especica una lista de UIDs o GIDs que se deber trasladar al usuario annimo an o squash uids=0-15,20,25-50 anonuid/anongid ja el UID/GID del usuario annimo o (por defecto 65534) subtree check/no subtree check si se exporta un subdirectorio (no un lesystem completo) el servidor comprueba que el chero solicitado est en el rbol e a de directorios exportado
Pgina www a
Pgina inicial a
Pgina 35 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
sync modo s ncrono: requiere que todas las escrituras se completen antes de continuar; es opcin por o defecto async modo as ncrono: no requiere que todas las escrituras se completen; ms rpido, pero puede provoa a car prdida de datos en una ca e da secure los requerimientos deben provenir de un puerto por debajo de 1024 insecure los requerimientos pueden provenir de cualquier puerto Para ms opciones man exports a Cada vez que se modica este chero se debe ejecutar el comando exportfs para actualizar el servidor # exportfs -ra ver man exportfs para opciones del comando
Pgina www a
Pgina inicial a
Pgina 36 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
3. Iniciar el demonio:
Indice
# /etc/init.d/nfs-kernel-server start 4. Comprobar los directorios exportados con showmount # showmount --exports localhost showmount muestra informacin de un servidor NFS: o directorios que exporta, directorios montados por algn u cliente y clientes que montan los directorios 5. Podemos ver las estad sticas del servidor NFS con nfsstat
Pgina www a
Pgina inicial a
Pgina 37 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Cliente NFS
Indice
El cliente NFS en Linux est integrado en el nivel del Sistema de a Ficheros Virtual (VFS) del kernel no necesita un demonio particular de gestin (en otros UNIX, o demonio biod ) Instalacin: o 1. Instalar (si no est ya instalado) el paquete nfs-common a 2. Montar los directorios remotos con mount -t nfs o aadir n una entrada en fstab (ver Tema 4: Montado de los sistemas de cheros) Ejemplo de uso con mount: # mount -t nfs 193.144.84.0:/home /mnt/home Ejemplo de entrada en fstab
193.144.84.0:/home /mnt/home nfs rw 0 0
Pgina www a
Pgina inicial a
Pgina 38 de 108 a
Regresar
Automount se usa frecuentemente con NFS (ver la parte de Autofs en Tema 4: Montado de los sistemas de cheros)
Pantalla completa
Cerrar
Abandonar
Opciones particulares de montado con NFS:

Indice
rsize=n /wsize=n especican el tamao del datagrama utin lizado por los clientes NFS cuando realizan peticiones de lectura/escritura (pueden ajustarse para optimizar) hard el programa accediendo al sistema de cheros remoto se colgar cuando el servidor falle; cuando el servidor est a e disponible, el programa continuar como si nada (opcin a o ms recomendable) a soft cuando una peticin no tiene respuesta del servidor en o un tiempo jado por timeo=t el cliente devuelve un cdigo o de error al proceso que realiz la peticin (puede dar probo o lemas) Para ver ms opciones, ver nfs(5) a
Pgina www a
Pgina inicial a
Pgina 39 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
1. En el sistema servidor instalar un servidor de NFS y exportar el lesystem /home en modo lectura/escritura usar showmount para ver que est exportado a 2. Desde el cliente, montar el directorio remoto en /mnt/home (a) Comprobar que un usuario (con el mismo UID en cliente y servidor) puede acceder (leer y escribir) a su home del servidor desde el cliente (b) Comprobar como el root del cliente no tiene permisos en el directorio remoto: cambiar las opciones de exportacin para darle pero misos
Pgina www a
Pgina inicial a
Pgina 40 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Consideraciones de seguridad en NFS

Indice
NFS no fue diseado pensando en la seguridad: n Los datos se transmiten en claro Usa el UID/GID del usuario en el cliente para gestionar los permisos en el servidor: El usuario con UID n en el cliente obtiene permisos de acceso a los recursos del usuario con UID n en el servidor (aunque sean usuarios distintos) Un usuario con acceso a root en un cliente podr aca ceder a los cheros de cualquier usuario en el servidor (no a los de root, si se usa la opcin root squash) o
Pgina www a
Pgina inicial a
Pgina 41 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Precauciones bsicas: a
Indice
1. Usar NFS slo en Intranets seguras, donde los usuarios no o tengan acceso de administrador en sus sistemas 2. Evitar el acceso a NFS desde fuera de la Intranet Bloquear los puertos TCP/UDP 111 (portmap) y 2049 (nfs) 3. Usar NFSv4 con RPCSEC GSS , que incluye autenticacin o 4. Usar versiones seguras de NFS (Secure NFS) o otros sistemas de cheros (Self-certifying File System, SFS) Ver NFS howto y UNIX Security Checklist
Pgina www a
Pgina inicial a
Pgina 42 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
1. Leer los puntos mostrados en: http://www.cert.org/tech tips/usc20 full.html#11.1
Pgina www a
Pgina inicial a
Pgina 43 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
5. Comparticin de la conguracin o o
Indice
Necesidad de mantener una conguracin unica a travs de mltiples o e u sistemas Comparticin de los cheros de conguracin o o Ficheros a compartir: /etc/passwd, /etc/shadow, /etc/group, etc. Mecanismos de comparticin: o Copia de cheros de un servidor central al resto de los equipos mediante rdist o rsync Utilizacin de un servidor de dominio, que centralice esa o informacin o NIS: Network Information Service LDAP: Lightweight Directory Access Protocol
Pgina www a
Pgina inicial a
Pgina 44 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Concepto de dominio
Indice
Dominio conjunto de equipos interconectados que comparten informacin administrativa (usuarios, grupos, contraseas, o n etc.) centralizada Necesidad de uno (o varios) servidores que almacenen f sicamente dicha informacin y que la comunique al resto cuando sea o necesario Normalmente se usa un esquema cliente/servidor p.e. un usuario se conecta en un sistema cliente y este valida las credenciales del usuario en el servidor En Windows 2000, la implementacin del concepto de doo minio se realiza mediante el denominado Directorio Activo (Active directory)
Pgina www a
Pgina inicial a
Pgina 45 de 108 a
Basado en LDAP y DNS

Regresar
En UNIX, el servicio clsico de gestin de dominios es NIS a o NIS se considera bastante obsoleto
Pantalla completa
Cerrar
Abandonar
Existen implementaciones libre del protocolo LDAP para Unix (openLDAP) ms potente y escalable que NIS para la implementacin a o de dominios
Pgina www a
Pgina inicial a
Pgina 46 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
6. Servicio de Informacin de Red NIS o

Indice
Desarrollado por Sun Microsystem en los aos 80 n Nombre original Yellow Pages (modicado por razones legales) Muy popular como sistema de administracin de dominios o en UNIX A principios de los aos 90, versin NIS+ para Solaris 2.x n o muy diferente de NIS incorpora soporte para encriptacin y autenticacin de o o datos complejo y poco soportado Para ms informacin: a o The Linux NIS(YP)/NYS/NIS+ HOWTO Debian NIS HOWTO Introduccin a NIS y NFS o
Pgina www a
Pgina inicial a
Pgina 47 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Funcionamiento bsico de NIS a

Indice
Base de datos distribuida Un servidor (master ) mantiene los cheros de conguracin o de los sistemas (/etc/passwd, /etc/group, etc.) cada archivo de conguracin se convierte en una o ms o a tablas (mapas NIS) de una base de datos esos mapas se guardan en un formato binario llamado DBM (DataBase Management) el servidor NIS maestro deber tener ambas, las tablas a ASCII y las DBM en una red debe haber al menos una mquina actuando a como un servidor NIS maestro Los clientes hablan directamente con el servidor NIS para leer la informacin almacenada en sus bases de datos DBM o
Pgina www a
Pgina inicial a
Pgina 48 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Pueden existir servidores NIS esclavos:

Indice
tienen copias de las bases de datos NIS reciben estas copias del servidor NIS maestro cada vez que se realizan cambios a las bases de datos maestras Un servidor maestro y sus servidores esclavos y clientes constituyen un dominio NIS una red puede tener mltiples servidores NIS, cada uno u sirviendo a un dominio NIS diferente
Pgina www a
Pgina inicial a
Pgina 49 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Esquema de un dominio NIS

Pgina www a
Pgina inicial a
Pgina 50 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Comandos bsicos de NIS a

Indice
NIS incluye un conjunto amplio de comandos y demonios, algunos de los cuales son: ypserv demonio de servidor ypbind demonio de cliente domainname establece el nombre del dominio ypinit congura un servidor como maestro o esclavo ypxfr descarga un mapa desde servidor maestro (en los esclavos) yppush ejecutado en el maestro, hace que los esclavos actualicen sus mapas ypwhich muestra el sombre del servidor NIS ypcat muestra las entradas de un mapa yppasswd cambia la contrasea en la base de datos de NIS n
Pgina www a
Pgina inicial a
Pgina 51 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
ypchfn cambia el campo GECOS en la base de datos de NIS

Indice
ypchsh cambia el login shell en la base de datos de NIS
Pgina www a
Pgina inicial a
Pgina 52 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin de NIS en Debian o

Indice
El proceso de puesta en marcha de NIS depende de la distribucin o veremos como instalar un servidor maestro y un cliente en Debian
Servidor maestro
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . .
1. Instalar el paquete nis (a) Indicar un nombre de dominio NIS (que no tiene que corresponder con el dominio de RED) El nombre de dominio puede cambiarse con domainname (b) La conguracin puede tardar, ya que intenta iniciarse o como cliente NIS y se queda buscando un servidor 2. Cambiar el chero /etc/default/nis debemos poner NISSERVER=master
Comparticin . . . o
Pgina www a
Pgina inicial a
Pgina 53 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
3. En el chero /etc/ypserv.securenets aadir el nmero n u de la red local, para permitir acceso exclusivo a los sistemas de esa red 255.255.255.0 192.168.0.0
Indice Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o
4. Ejecutar /usr/sbin/ypserv para iniciar el servidor 5. Editar (si es necesario) el chero /var/yp/Makefile permite congurar caracter sticas generales as como las tablas a partir de las cuales se crean los mapas NIS haciendo make en ese directorio se crean los mapas que se guardan en /var/yp/dominio cada vez que se modique alguna tabla (p.e. aadiendo n un nuevo usuario), debemos hacer make para actualizar los mapas NIS
Servicio de . . . Servicio de . . . Comparticin . . . o

Pgina www a
Pgina inicial a
Pgina 54 de 108 a
6. Ejecutar /usr/lib/yp/ypinit -m para que el sistema se congure como servidor maestro no aadir ningn servidor NIS ms (Ctrl-D) n u a
Regresar
Pantalla completa
Cerrar
Abandonar
7. Podemos comprobar que funciona bien haciendo un ypcat de alguno de los mapas (p.e. ypcat passwd) 8. Por ultimo, el servidor debe congurarse tambin como cliente e seguir los pasos de la siguiente seccin o
Pgina www a
Pgina inicial a
Pgina 55 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Cliente NIS
Indice
1. Eliminar de los cheros locales los usuarios, grupos y otra informacin que queramos que sea accesible por NIS (slo o o en los clientes) 2. Instalar el paquete nis e indicar el nombre del dominio NIS 3. Si se desea, cambiar /etc/yp.conf para especicar el servidor NIS concreto por defecto, busca el servidor mediante un broadcast 4. Modicar el archivo /etc/nsswitch.conf para que busque passwd, group y shadow por NIS:
passwd: group: shadow: files nis files nis files nis
Pgina www a
Pgina inicial a
Pgina 56 de 108 a
El formato y opciones de ese chero lo vimos en el Tema 5: Ficheros de conguracin de red o
Regresar
Pantalla completa
Cerrar
Abandonar
Alternativamente, se puede dejar el modo compat aadiendo n al nal de los cheros passwd, shadow y group del cliente un +, para indicar que vamos a usar NIS este mtodo permite incluir/excluir determinados usuare ios ver NIS-HOWTO: Setting up a NIS Client using Traditional NIS
Pgina www a
Pgina inicial a
Pgina 57 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Fichero /etc/netgroup
Indice
NIS introduce el concepto de netgroups grupos de usuarios, mquinas y redes que pueden ser refea renciadas como un conjunto se denen en el chero /etc/netgroup, en principio, slo en o el servidor NIS maestro Formato de una entrada en netgroup netgroup name (host, user, NIS domain), ... host nombre de una mquina en el grupo a user nombre de login de un usuario de la mquina host a NIS domain dominio NIS nombre del dominio NIS
Pgina www a
Pgina inicial a
Pgina 58 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Pueden dejarse entradas en blanco o con un guin: o

Indice
Una entrada en blanco implica cualquier valor, p.e. (doc19, , ) indica todos los usuarios del host doc19 Una entrada con un guin (-) implica campo sin valor, p.e. o (-, pepe, ) indica el usuario pepe y nada ms a Ejemplo de un chero /etc/netgroup
sysadmins servers clients research allusers allhosts (-,pepe,) (-,heidis,) (-,jnguyen,) (-,mpham,) (numark,-,) (vestax,-,) (denon,-,) (technics,-,) (mtx,-,) (-,boson,) (-,jyom,) (-,weals,) (-,jaffe,) sysadmins research servers clients
Pgina www a
Pgina inicial a
Pgina 59 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Estos netgroups pueden usarse en varios cheros del sistema para denir permisos: con NIS en modo compat, p.e. aadiendo +@sysadminds n en /etc/passwd dar amos permiso de acceso a los usuarios denidos como sysadmins en el chero /etc/exports, para indicar grupos de mquinas a a las que exportar un directorio por NFS /home allhosts(rw,root squash,sync)
Pgina www a
en los cheros /etc/hosts.allow y /etc/hosts.deny de los TCP Wrappers etc.
Pgina inicial a
Pgina 60 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
7. Servicio de directorio: LDAP

Indice
LDAP: Protocolo Ligero de Acceso a Directorios (Lightweight Directory Access Protocol ) Protocolo de red para consulta y modicacin de datos de o directorios X.500 X.500: Estndares de la ITU-T para servicios de dia rectorio Dene, entre otros, un protocolo de acceso a directorios llamado DAP (Directory Access Protocol ) DAP denido sobre la pila completa de niveles OSI: costoso y complejo LDAP es una alternativa ligera al protocolo DAP Opera directamente sobre TCP/IP Actualmente, la mayor de servidores de directorio X.500 a incorporan LDAP como uno de sus protocolo de acceso
Pgina www a
Pgina inicial a
Pgina 61 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Diferentes implementaciones del protocolo LDAP

Indice
Microsoft Server 2003 Active Directory Novell eDirectory Sun Java System Directory Server IBM Tivoli Directory Server Apache Directory Server Fedora Directory Server Red Hat Directory Server OpenLDAP Ms informacin sobre LDAP a o 1. LDAP Linux HOWTO 2. IBM RedBooks: Understanding LDAP - Design and Implementation 3. Recursos, ayudas, . . . : ldapman.org
Pgina www a
Pgina inicial a
Pgina 62 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
OpenLDAP
Indice
Implementacin open source del protocolo LDAP o Basado en software desarrollado en la Universidad de Michigan Incluye cuatro componentes principales slapd - demonio LDAP stand-alone (servidor) slurpd - demonio de replicacin y actualizacin de LDAP o o librer que implementan el protocolo LDAP as utilidades, herramientas, y clientes bsicos a Ms informacin sobre la conguracin de OpenLDAP: a o o 1. OpenLDAP Administrators Guide 2. Integracin de redes con OpenLDAP, Samba, CUPS y o PyKota
Pgina www a
Pgina inicial a
Pgina 63 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Modelo de datos de LDAP

Indice
Un directorio es una base de dato optimizada para lectura, navegacin y bsqueda o u la informacin se almacena de manera jerrquica o a generalmente no se soportan transacciones complejas ni sistemas de recuperacin o las actualizaciones son cambios simples proporcionan respuestas rpidas a grandes volmenes de a u bsquedas u el directorio puede estar replicado y/o distribuido entre varios sistemas (p.e. DNS)
Pgina www a
Pgina inicial a
Pgina 64 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
LDAP organiza el directorio como una estructura jerrquica de a entradas (nodos) en forma de rbol a Cada entrada posee un conjunto de atributos, que pueden ser de diferentes tipos cada atributo se identica por su tipo y uno o ms vaa lores los tipos son normalmente palabras nemotcnicas, como e uid (identicador de usuario), cn (common name), c (country), dc (domain component), etc. los diferentes atributos de un nodo estn determinados a por la clase a la que pertenece las clases permiten denir entradas con diferente informacin: clases para personas, para equipos, administrao tivas, etc. las clases se denen mediante cheros de esquema (schema)
Pgina www a
Pgina inicial a
Pgina 65 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Cada nodo debe poseer un nombre unico: nombre distin guido o dn (distinguished name) el dn identica de forma un voca cada objeto en la base de datos Ejemplo: rbol de usuarios y grupos en LDAP, basado en noma bres de dominios de Internet:
Pgina www a
Pgina inicial a
Pgina 66 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
cada nodo puede tener varios atributos, p.e. el nodo pepe podr tener los siguientes atributos: a dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: account uid: pepe sn: Pena description: alumno mail: pepe@midominio.com el formato en el que se muestran los atributos del objeto se denomina LDIF (LDAP Data Interchange Format) formato de intercambio de datos para importar y exportar datos a un servidor LDAP
Pgina www a
Pgina inicial a
Pgina 67 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin de un servidor LDAP o

Indice
Describiremos como montar un servidor LDAP simple que nos permita la gestin de usuarios y grupos o el servidor mantendr la lista de usuarios y grupos del doa minio en los clientes la autenticacin de usuarios y los permisos se o basar en el servidor LDAP a
Pasos para la instalacin del servidor en Debian o
Pgina www a
1. Instalar los siguientes paquetes:

Pgina inicial a
(a) slapd: servidor OpenLDAP (b) ldap-utils: utilidades del paquete OpenLDAP incluye comandos como ldapsearch, ldapadd
Pgina 68 de 108 a
El comando slapcat permite ver la estructura creada Podemos hacer bsquedas sencillas con ldapsearch u # ldapsearch -x -b dc=midominio,dc=com (cn=admin)
Regresar
Pantalla completa
Cerrar
Abandonar
2. Ficheros de conguracin: o
Indice
(a) Fichero /etc/ldap/ldap.conf Fichero de conguracin global para los clientes LDAP o Permite especicar la base por defecto, el servidor LDAP, etc. (cambiarlo para poner nuestra conguracin, comprobar que tiene permisos 644) o Para ms info, ver man ldap.conf a (b) Fichero /etc/ldap/sldap.conf Fichero de conguracin del demonio slapd o En principio, no es necesario cambiarlo (comprobar que tiene permisos 600)
Pgina www a
Pgina inicial a
Pgina 69 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
3. Crear la estructura de la base de datos: crearemos los nodos de People y Group del rbol LDAP a (a) Crear el siguiente chero estructura.ldif en formato LDIF:
dn: ou=People,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: People dn: ou=Group,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: Group
Pgina www a
(b) Aadir los nodos a la base de datos: n

# ldapadd -x -D cn=admin,dc=midominio,dc=com -W -f estructura.ldif
Pgina inicial a
-x autenticacin simple sin SASL (Simple Autheno tication and Security Layer ) -D nombre distinguido con el que nos conectamos a LDAP (ponemos el del administrador) -W pide la contrasea de forma interaciva n -f chero a cargar
Pgina 70 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
4. Aadir un usuario y un grupo a la base de datos n

Indice
(a) Crear un chero como este, que tiene la informacin o para un usuario y un grupo (no useis acentos!):
dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount uid: pepe cn: Jose Pena uidNumber: 2000 gidNumber: 2000 homeDirectory: /home/pepe loginShell: /bin/bash gecos: Jose Pena, Despacho 22,, dn: cn=pepe,ou=Group,dc=midominio,dc=com objectClass: top objectClass: posixGroup cn: pepe gidNumber: 2000
Pgina www a
Pgina inicial a
Pgina 71 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
dene un usuario pepe y un grupo pepe con infor Indice macin similar a la aparece en el chero /etc/passwd o Introduccin o puede aadirse ms informacin, como la que aparece n a o Ejecuci en el chero /etc/shadow: campos shadowMax, shadowExpire, on remota y . . . Servicio de tiempo shadowWarning, etc. (b) Aadir el chero con: n # ldapadd -x -D cn=admin,dc=midominio,dc=com -W -f user-group.ldif (c) Probarlo haciendo bsquedas, tipo: u # ldapsearch -x uid=pepe (d) Aadir una contrasea al usuario: puede hacerse direcn n tamente metiendo un campo userPassword en el chero anterior, pero es preferible hacerlo mediante el comando ldappasswd
Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . . Comparticin . . . o
Pgina www a
Pgina inicial a
Pgina 72 de 108 a
# ldappasswd -x cn=Jose Pena,ou=People,dc=midominio,dc=com Regresar -D cn=admin,dc=midominio,dc=com -W -S

Pantalla completa Cerrar
Abandonar
5. Si queremos migrar la informacin de los cheros /etc o o NIS a LDAP podemos usar el paquete MigrationTools (ver www.padl.com/OSS/MigrationTools.html) 6. Por ultimo, tambin podemos querer instalar el servidor e como cliente, por lo que debemos seguir los pasos indicados en la seccin de instalacin de un cliente o o
Pgina www a
Pgina inicial a
Pgina 73 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Fichero de conguracin slapd.conf o

Indice
Fichero de conguracin del demonio slapd o Tiene dos partes: 1. Directivas globales: distintos tipos de opciones del servidor, entre ellas los esquemas que el directorio debe conocer: nis.schema dene los atributos de objetos para las cuentas de usuario, grupos, etc. se basa en los esquemas bsicos core.schema y cosine.schema a inetorgperson.schema aade objetos con ms inforn a macin personal para los usuarios o 2. Directivas espec cas para las distintas bases de datos Incluye el sujo, directorio donde guardar la base, y el tipo de database a usar (por defecto bdb, Berkeley Database) Tambin un conjunto de reglas de acceso de la forma: e access to <what> [by <who> <access control>]+
Pgina www a
Pgina inicial a
Pgina 74 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
<what> es una expresin que especica a qu datos del o e directorio se aplica la regla. Tres opciones:
Indice Introduccin o
(a) puede indicarse todo el directorio mediante un asEjecucin remota y . . . o terisco (*) Servicio de tiempo (b) un subconjunto de entradas cuyo nombre distinguido Sistemas de . . . contiene un cierto sujo (por ejemplo, dn=".*,dc=midominio,dc=com") Comparticin de la . . . o (c) un atributo concreto de dichos objetos (por ejemplo, Servicio de . . . dn=".*,ou=People,dc=midominio,dc=com" attr=userPassword)
Servicio de . . .
<who> indica a quin (a qu usuario(s)) se especica la e e regla; puede tomar diferentes valores, siendo los ms a comunes los siguientes: self el propietario de la entrada dn="..." el usuario representado por el nombre distinguido users cualquier usuario acreditado anonymous cualquier usuarios no acreditado * cualquier usuario
Comparticin . . . o
Pgina www a
Pgina inicial a
Pgina 75 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
<access control> indica qu operacin concede la regla: e o none sin acceso auth utilizar la entrada para validarse compare comparar search bsqueda u read lectura write modicacin o Por ejemplo, la regla por defecto para userPassword permite que los usuarios puedan autenticarse y cambiar sus propias contraseas y el administrador las de todos n
Pgina www a
Pgina inicial a
Pgina 76 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin de un cliente LDAP o

Indice
Describiremos como como congurar un cliente para que acceda a la informacin almacenada en el directorio de LDAP del servidor o Dos pasos:
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . .
1. Congurar el Name Service Switch (chero /etc/nsswitch.conf) Comparticin de la . . . o 2. Congurar el mdulo de autenticacin (PAM, Pluggable o o Authentication Modules) Los mdulos necesarios para esta conguracin pueden descaro o garse de la pgina de PADL (www.padl.com) o directamente a como paquetes Debian En algunas distros (RedHat) existe la herramienta authconfig que facilita esta conguracin o
Pgina 77 de 108 a

Pgina www a
Pgina inicial a
Regresar
Pantalla completa
Cerrar
Abandonar
Congurar el Name Service Switch

Indice
El NSS se encarga, entre otras, de realizar la correspondencia entre los nmeros y nombres de usuario u permite gestionar los permisos de acceso de usuarios a cheros se congura a travs del chero /etc/nsswitch.conf e la conguracin de ese chero la vimos en el tema 5 o Pasos (hacerlos en un sistema diferente del servidor): 1. Instalar el paquete libnss-ldap En la conguracin indicar la IP del servidor LDAP y o el DN de la base del directorio LDAP
Pgina www a
Pgina inicial a
esa conguracin se guarda en el chero /etc/libnss-ldap.conf o

Pgina 78 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
2. Modicar las l neas de passwd, group y shadow del chero nsswitch.conf passwd: group: shadow: files ldap files ldap files ldap
Indice Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . .
esto indica al NSS que busque la informacin primero o en los cheros y, si no la encuentra, en el servidor LDAP 3. Probar que funciona: (a) Hacer un finger al usuario denido en LDAP
# finger pepe Login: pepe Directory: /home/pepe ... Name: Jose Pena Shell: /bin/bash
Comparticin . . . o
Pgina www a
Pgina inicial a
(b) Crear el directorio /home/pepe y cambiarle el propietario a pepe (c) Hacer un su - pepe para ver que podemos cambiar al usuario pepe en el cliente
Pgina 79 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Congurar el mdulo de autenticacin o o

Indice
Aunque el usuario es vlido en el cliente, todav no podemos a a autenticarnos (entrar en la cuenta) Debemos congurar el servicio PAM PAM (Pluggable Authentication Module) biblioteca de autenticacin genrica que cualquier aplicacin puede utilizar o e o para validar usuarios, utilizando por debajo mltiples esqueu mas de autenticacin alternativos (cheros locales, Kero beros, LDAP, etc.) permite aadir nuevos mecanismos de autenticacin n o (Kerberos, LDAP,. . . ) sin tener que modicar los servicios de entrada al sistema como login, ftp, ssh, etc.
Pgina www a
Pgina inicial a
Pgina 80 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
PAM utiliza mdulos que proporcionan autenticacin o o en los servicios de entrada al sistema: Mdulos de autenticacin (auth): comprobacin o o o de contraseas (utilizado por el proceso de login n para averiguar si las credenciales tecleadas por el usuario (nombre y contrasea) son correctas) n Mdulos de cuentas (account): controlan que la auo tenticacin sea permitida (que la cuenta no haya o caducado, que el usuario tenga permiso de iniciar sesiones a esa hora del d etc.) a, Mdulos de contrasea (password): permiten camo n biar contraseas n Mdulos de sesin (session): conguran y adminiso o tran sesiones de usuarios (tareas adicionales que son necesitadas para permitir acceso, como el montaje de directorios, actualizacin del chero lastlog, etc.) o
Pgina www a
Pgina inicial a
Pgina 81 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Las librer de PAM estn en /lib/security y los as a cheros de conguracin en /etc/pam.d/ (en versiones o viejas, se conguraba a travs del chero /etc/pam.conf) e Existe un chero de conguracin para cada servicio que o usa PAM Tambin existen cheros comunes que son incluidos por e los cheros de conguracin: common-auth, common-account, o common-password y common-session
Pgina www a
Pgina inicial a
Pgina 82 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Conguracin de PAM para usar LDAP o
en el cliente seguimos
Indice Introduccin o
los siguientes pasos: 1. Instalar el paquete libpam-ldap Cambiar el Root login account al DN del administrador LDAP El resto de opciones dejarlas por defecto La conguracin es en el chero /etc/pam ldap.conf o
Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . .
Para ms informacin, ver la pgina de manual de pam ldap.conf a o a Comparticin . . . o NOTA sobre la conguracin: en el ultimo paso de la instao lacin nos pide la clave del administrador de LDAP o esta clave se guarda en plano en el chero /etc/pam ldap.secret, y se usa para que el root del sistema pueda modicar directamente las contraseas de los usuarios n si no se quiere tener ese chero con la clave, dejar vac o el campo clave y en el chero /etc/pam ldap.conf comentar la l nea que empieza por rootbinddn
Pgina 83 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
2. Cambiar los cheros common-auth, common-account y common-password, Indice aadiendo la siguiente l n nea:
Introduccin o
<mdulo> o
sufficient
pam ldap.so
Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o
cambiando <mdulo> por auth, account o password segn o u corresponda e 3. En el chero common-auth aadir use first pass despus n de pam unix.so esto evita que a los usuarios no-LADP se les pida la contrasea dos veces n 4. Podemos crear directorios home al vuelo: aadir lo sin guiente al principio de common-session
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

Pgina www a
Pgina inicial a
Pgina 84 de 108 a
al entrar el usuario en la cuenta, si no existe su HOME, se crea
Regresar
Pantalla completa
Cerrar
Abandonar
5. Probar que funciona:

Indice
(a) Entrar en la cuenta como un usuario LDAP (b) Cambiar la contrasea del usuario n una vez que todo funciona, en el cliente podemos instalar el paquete nscd
Instalacin del paquete nscd o
Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . .
Name Service Cache Daemon Hace cach para los nombres leidos del servidor LDAP e
Prcticas a
Comparticin . . . o
Pgina www a
Pgina inicial a
1. Seguir los pasos indicados para congurar un sistema como servidor NIS y otro como cliente los usuarios deben autenticarse contra LDAP
Pgina 85 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Migracin desde cheros o NIS o

Indice
Si tenemos un sistema congurado mediante cheros (passwd, shadow, etc.) o NIS, migrar a LDAP puede ser laborioso los scripts del paquete MigrationTools son de gran ayuda
Migracin desde cheros o
Pasos para migrar los usuarios denidos en /etc/passwd a LDAP 1. Instalar el paquete migrationtools
2. Modicar el chero /usr/share/migrationtools/migrate common.ph Pgina www a para indicar el dominio y la base LDAP
Pgina inicial a
$DEFAULT MAIL DOMAIN = "midominio.com" $DEFAULT BASE = "dc=midominio,dc=com" 3. Utilizar los diferentes scripts del directorio /usr/share/migrationtools Pgina 86 de 108 a para incorporar la informacin del sistema al directorio o migrate base.pl genera entradas correspondientes a las unidades organizativas por defecto: People, Group, Hosts, etc. (ya lo tenemos)
Regresar Pantalla completa
Cerrar
Abandonar
Otros scripts generan cheros del sistema Script migrate passwd.pl migrate group.pl migrate hosts.pl migrate fstab.pl ...
entradas asociadas a diferentes

Indice
Migra /etc/passwd y /etc/shadow /etc/group /etc/hosts /etc/fstab
Pgina www a
Estos scripts generan cheros LDIF que podemos aadir n a la base LDAP con ldapadd Ejemplo: migracin de los usuarios o # ./migrate passwd.pl /etc/passwd ./passwd.ldif debemos editar el chero generado para eliminar los usuarios del sistema (root, nobody, etc.) luego, lo aadimos con2 : n # ldapadd -x -D cn=admin,dc=midominio,dc=com -W -f ./passwd.ldif
2
Pgina inicial a
Pgina 87 de 108 a
Regresar
Pantalla completa
Puede dar problemas con los nombres acentuados

Cerrar Abandonar
Prcticas a
Indice
1. Usar las MigrationTools para migrar los usuarios y grupos que tengamos denidos
Pgina www a
Pgina inicial a
Pgina 88 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Conguracin de LDAP con m ltiples servidores o u

Indice
Podemos congurar varios servidores LDAP que mantengan imgenes a sincronizadas de la informacin del directorio o equilibran la carga de las consultas, y mejora la tolerancia a fallos Esquema de maestro unico y mltiples esclavos u el maestro mantiene la copia principal sobre la que se hacen los cambios si un cliente intenta hacer un cambio en un esclavo, este lo redirige automticamente al maestro a cada vez que se produce un cambio en el directorio del maestro, el servicio slapd escribe dicho cambio, en formato LDIF, en un chero de log el demonio slurpd lee dichos cambios e invoca las operaciones de modicacin correspondientes en todos los esclavos o
Pgina www a
Pgina inicial a
Pgina 89 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Para congurarlo debemos hacer que el maestro y los esclavos partan de un estado de directorio comn u copiar manualmente la base de datos LDAP del maestro a todos los esclavos En el maestro y en los esclavos debemos modicar el chero /etc/ldap/slapd.conf Maestro: aadir una directiva replica por cada esclavo, donde se n indique el nombre del esclavo y una cuenta con permiso de escrtitura en el LDAP del esclavo (bindn)
replica uri=ldap://esclavo.midominio.com:389 binddn="cn=Replicator,dc=midominio,dc=com" bindmethod=simple credentials=CONTRASE~A_PLANA N
Pgina www a
Pgina inicial a
indicar el chero de log donde se guardan los cambios

replogfile /var/lib/ldap/replog
Pgina 90 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Esclavo:
Indice
aadir una l n nea updatedn indicando la cuenta con la que el servicio slurpd del servidor maestro va a realizar las modicaciones en la rplica del esclavo e esa cuenta debe tener permisos de escritura en la base de datos del esclavo, y debe coindidir con la indicada en el campo binddn del maestro aadir una l n nea updateref para indicar al servidor esclavo que cualquier peticin directa de modicacin que o o venga de un cliente debe ser redireccionada al servidor maestro
updatedn updateref "cn=Replicator,dc=midominio,dc=com" ldap://maestro.midominio.com
Pgina www a
Pgina inicial a
Para ms detalles ver: OpenLDAP Administrators Guide: Replia cation with slurpd
Pgina 91 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Herramientas de administracin de LDAP o

Indice
Administrar LDAP desde l nea de comandos resulta muy engorroso Existen numerosas herramientas visuales que facilitan la gestin de LDAP o Algunas de ellas son: 1. phpldapadmin - interfaz basada en web para administrar servidores LDAP 2. gosa - herramienta de administracin, basada en PHP, o para gestin de cuentas y sistemas en LDAP o 3. directory-administrator - herramienta grca de gestin a o de directorios LDAP 4. ldap-account-manager - webfrontend para gestin de cueno tas en un directorio LDAP 5. gq - cliente LDAP basado en GTK+/GTK2 (bastante simple)
Pgina www a
Pgina inicial a
Pgina 92 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
6. cpu - herramientas de gestin para consola: proporciona o comandos tipo useradd/userdel para usar con LDAP
Prcticas a
Pgina www a
1. Probar alguna de las herramientas comentadas Por ejemplo, para el gq instalamos el paquete del mismo nombre y ejecutamos gq En File -> Preferences -> Servers seleccionamos localhost y Edit En General ponemos el BaseDN y en Details ponemos dn del administrador LDAP en BindDN Probar a aadir un nuevo usuario a partir de uno ya n existente
Pgina inicial a
Pgina 93 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
8. Comparticin Linux-Windows: Samba o

Indice
Samba permite a un sistema UNIX conversar con sistemas Windows a travs de la red de forma nativa e el sistema Unix aparece en el Entorno de red de Windows los clientes Windows pueden acceder a sus recursos de red e impresoras compartidas el sistema UNIX puede integrarse en un dominio Windows, bien como Controlador Primario del Dominio (PDC) o como miembro del dominio
Pgina www a
Pgina inicial a
Pgina 94 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Veremos una conguracin bsica de Samba; para saber ms: o a a

Indice
1. The Samba Homepage 2. The Ocial Samba-3 HOWTO and Reference Guide 3. The Unocial Samba HOWTO 4. The Linux Samba-OpenLDAP Howto 5. Using Samba, 2nd Edition, OReilly & Associates 6. Integracin de redes con OpenLDAP, Samba, CUPS y PyKota o 7. Curso de Integracin de Sistemas Linux/Windows o
Pgina www a
Pgina inicial a
Pgina 95 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Funcionamiento de Samba
Indice
Samba implementa los protocolos NetBIOS y SMB NetBIOS: protocolo de nivel de sesin que permite estableo cer sesiones entre dos ordenadores SMB (Server Message Block ): permite a los sistemas Windows compartir cheros e impresoras (llamado Common Internet File System, CIFS por Microsoft) Samba ofrece los siguientes servicios Servicios de acceso remoto a cheros e impresoras
Pgina www a
Pgina inicial a
Autenticacin y autorizacin o o Servicio de resolucin de nombres o

Pgina 96 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Demonios Samba
Indice
Samba utiliza dos demonios: smbd y nmdb smdb permite la comparticin de archivos e impresoras sobre o una red SMB, y proporciona autenticacin y autorizacin o o de acceso para clientes SMB; ofrece los dos modos de comparticin de recursos existentes en Windows o modo basado en usuarios o modo user (propio de los dominios Windows NT o 2000) modo basado en recursos o modo share (propio de Windows 3.11/95) nmbd permite que el sistema Unix participe en los mecanismos de resolucin de nombres propios de Windows (WINS), o lo que incluye anuncio en el grupo de trabajo gestin de la lista de ordenadores del grupo de trabajo o contestacin a peticiones de resolucin de nombres o o anuncio de los recursos compartidos
Pgina www a
Pgina inicial a
Pgina 97 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Otras utilidades Samba

Indice
Adicionalmente a los dos programas anteriores, Samba ofrece varias utilidades; algunas de las ms relevantes son: a smbclient interfaz que permite a un usuario de un sistema Unix conectarse a recursos SMB y listar, transferir y enviar cheros swat (Samba Web Administration Tool ) utilidad para congurar Samba de forma local o remota utilizando un navegador web smbfs sistema de cheros SMB para Linux: permite montar un recurso SMB ofrecido por un servidor SMB (un sistema Windows o un servidor Samba) en un directorio local winbind permite al sistema UNIX resolver nombres y grupos desde un servidor Windows
Pgina www a
Pgina inicial a
Pgina 98 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Instalacin bsica de Samba o a

Indice
Veremos una instalacin bsica de Samba en nuestro sistema Deo a bian: permitir desde un Windows acceder a los directorios de a usuarios
Instalacin de los paquetes o
Pgina www a
El paquete bsico a instalar es samba que incluye los demonios a de Samba instala tambin el paquete samba-common, que incluye utie lidades como smbpasswd y testparm Otros paquetes de Samba son: smbclient herramientas para el cliente Samba
Pgina inicial a
Pgina 99 de 108 a
smbfs comandos para montar y desmontar smbfs

Regresar
swat Samba Web Administration Tool winbind
Pantalla completa
Cerrar
Abandonar
Slo instalaremos samba y samba-common o

Indice
la instalacin nos pide un nombre de Grupo de Trabajo/Dominio o indicar un nombre, que debemos usar en el sistema Windows
Pgina www a
Pgina inicial a
Pgina 100 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Conguracin de Samba o
Indice
La conguracin de Samba se realiza en el chero /etc/samba/smb.conf o establece las caracter sticas del servidor Samba, as como los recursos que sern compartidos en la red a Ejemplo sencillo:
[global] workgroup = MIGRUPO [homes] comment = Home Directories [pub] path = /espacio/pub
Pgina www a
Pgina inicial a
Pgina 101 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Estructura del archivo smb.conf

Indice
El chero /etc/samba/smb.conf se encuentra divido en secciones, encabezados por una palabra entre corchetes En cada seccin guran opciones de conguracin, de la o o forma etiqueta = valor, que determinan las caracter sticas del recurso exportado por la seccin o Existen tres secciones predenidas: global, homes y printers Otras secciones (como pub en el ejemplo anterior) denen otros recursos para compartir
Pgina www a
Pgina inicial a
Pgina 102 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Secciones predenidas:
Indice
[global] dene los parmetros de Samba a nivel global del servia dor, por ejemplo, el programa utilizado para que un usuario pueda cambiar su clave (passwd program) [homes] dene automticamente un recurso de red por cada a usuario conocido por Samba; este recurso, por defecto, est a asociado al directorio home del usuario en el ordenador en el que Samba est instalado a [printers] dene un recurso compartido por cada nombre de impresora conocida por Samba
Pgina www a
Pgina inicial a
Pgina 103 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Niveles de Seguridad
Indice
Samba ofrece dos modos de seguridad, correspondientes a los dos modos de comparticin de recursos ya vistos o Modo share: cada vez que un cliente quiere utilizar un recurso ofrecido por Samba, debe suministrar una contrasea n de acceso asociada a dicho recurso Modo user : el cliente establece una sesin con el servidor o Samba (mediante usuario y contrasea); una vez Samba valin da al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba El nivel de seguridad se especica con la opcin security, la o cual pertenece a la seccin [global] o security = share | user | server | domain | ADS
Pgina www a
Pgina inicial a
Pgina 104 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Los niveles user, server, domain y ADS corresponden todos ellos al modo de seguridad user Nivel user: el encargado de validar al usuario es el sistema Unix donde Samba se ejecuta; es necesario que existan los mismos usuarios y con idnticas contraseas en los sistemas e n Windows y en el servidor Samba Nivel server: Samba delega la validacin del usuario en otro o ordenador, normalmente un sistema Windows 2000 (mtodo e no recomendado) Nivel domain: el ordenador en el que se delega la validacin o debe ser un Controlador de Dominio (DC), o una lista de DCs; el sistema Samba acta como miembro de un dominio u Nivel ADS: en Samba-3 permite unirse a un dominio basado en Active Directory como miembro nativo El modo por defecto es user
Pgina www a
Pgina inicial a
Pgina 105 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Otros comandos Samba

Indice
La suite Samba incluye otros comandos, como son: testparm permite chequear el chero smb.conf para ver si es correcto net herramienta bsica para administrar Samba y servidores a SMB remotos; funciona de forma similar al comando net de DOS smbpasswd permite cambiar la contrasea usada en las sen siones SMB; si se ejecuta como root tambin permite aadir e n y borrar usuarios del chero de contraseas de Samba n smbstatus muestra las conexiones Samba activas smbclient permite a un usuario de un sistema Unix conectarse a recursos SMB y listar, transferir y enviar cheros
Pgina www a
Pgina inicial a
Pgina 106 de 108 a
Regresar
Pantalla completa
Cerrar
Abandonar
Prcticas a
Indice
Instalar Samba en Linux y acceder a los directorios de usuario desde Windows 2000 1. En el sistema Linux: (a) Instalar los paquetes de Samba (b) Examinar el chero de conguracin por defecto, y modio carlo: jar el nivel de seguridad a user permitir leer y escribir en los los HOME de los usuarios (c) Para algn usuario existente, usar smbpasswd para aadir u n el usuario al chero de contraseas de Samba y ponerle n una contrasea n
Pgina www a
Pgina inicial a
Pgina 107 de 108 a
2. En el sistema Windows 2000

Regresar
(a) Poner el grupo de trabajo al mismo que el indicado en Samba
Pantalla completa
Cerrar
Abandonar
(b) Crear usuarios con el mismo nombre y contrasea que n el usado en Samba (c) Acceder como ese usuario y ver que podemos ver y crear cheros en el HOME del sistema Linux
Pgina 108 de 108 a Regresar Pantalla completa Cerrar Abandonar

Tema 6pre

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 6pre

Uploaded by

Copyright:

Available Formats

Tema 6: Administracin de servidores o

Administracin de Sistemas e Redes I o

Pgina 1 de 108 a Regresar Pantalla completa Cerrar Abandonar

2. Ejecucin remota y transferencia de cheros o

Servicio de telnet y ftp

Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o

Instalacin de un servidor ftp bsico o a

Servicio de FTP avanzado

Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . .

Modos de autenticacin mediante SSH o

Opciones para autenticacin o

Otras opciones de conguracin del servidor o

Para ms opciones man sshd config a

Opciones para el cliente

Para ms opciones man ssh config y man ssh a

Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . .

ssh-agent Agente de autenticacin o

ssh-add Aade las claves privadas al agente n

(b) En el cliente, usar ssh-keygen para crear la clave pblica/privada u

Usa un sistema jerrquico (stratum levels) a

Stratum 0: relojes de alta precisin (atmicos) o o

Aplicaciones NTP en Linux

4. Sistemas de archivos de red (NFS)

Comunicacin mediante TCP o UDP o

normalmente UDP (NFSv4 usa TCP)

Dos tipos de servidores en Linux:

Caracter sticas principales

Otros demonios necesarios:

NFSv4 no usa portmap, ni los demonios rpc.mountd y rpc.statd

Instalacin de NFS en Debian o

Introduccin o Ejecucin remota y . . . o

# cat ext2 nodev nodev nodev

/proc/filesystems proc devpts nfs

Comparticin de la . . . o Servicio de . . . Servicio de . . . Comparticin . . . o

Opciones particulares de montado con NFS:

Consideraciones de seguridad en NFS

1. Leer los puntos mostrados en: http://www.cert.org/tech tips/usc20 full.html#11.1

Basado en LDAP y DNS

6. Servicio de Informacin de Red NIS o

Funcionamiento bsico de NIS a

Pueden existir servidores NIS esclavos:

Esquema de un dominio NIS

Comandos bsicos de NIS a

ypchfn cambia el campo GECOS en la base de datos de NIS

ypchsh cambia el login shell en la base de datos de NIS

Instalacin de NIS en Debian o

Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o Servicio de . . . Servicio de . . .

Indice Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . . Comparticin de la . . . o

Servicio de . . . Servicio de . . . Comparticin . . . o

El formato y opciones de ese chero lo vimos en el Tema 5: Ficheros de conguracin de red o

Pueden dejarse entradas en blanco o con un guin: o

en los cheros /etc/hosts.allow y /etc/hosts.deny de los TCP Wrappers etc.

7. Servicio de directorio: LDAP

Diferentes implementaciones del protocolo LDAP

Modelo de datos de LDAP

Instalacin de un servidor LDAP o

1. Instalar los siguientes paquetes:

(b) Aadir los nodos a la base de datos: n

4. Aadir un usuario y un grupo a la base de datos n

# ldappasswd -x cn=Jose Pena,ou=People,dc=midominio,dc=com Regresar -D cn=admin,dc=midominio,dc=com -W -S

Fichero de conguracin slapd.conf o

Instalacin de un cliente LDAP o

Introduccin o Ejecucin remota y . . . o Servicio de tiempo Sistemas de . . .