Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Dominio Linux Centos 389 110307053455 Phpapp02
Dominio Linux Centos 389 110307053455 Phpapp02
Dominio Linux
Manuel Moran Vaquero mmv@edu.xunta.es
Marzo 2011
Introduccion
Material adicional
Indice
Introduccion
Material adicional
Introduccion
Material adicional
Una opcion es crear todas las cuentas de todos los usuarios en todos los clientes (manual, tedioso, costoso) La opcion que usaremos sera tener una base de datos centralizada con las contrasenas y nombres de usuario
Todos los equipos cliente se autenticaran contra dicha BD centralizada Todos los equipos consultaran los UIDs/GIDs en dicha BD, para as ver todos los mismos nombres de grupos y usuarios Dicha BD ha de ser muy rapida en lectura (aunque no nos importa que sea lenta en escritura) y por ello usaremos LDAP
El mismo servidor u otro de la red local almacenaran los archivos que veran los clientes a traves de la red, permitiendo as que los usuarios puedan hacer roaming entre los puestos
Introduccion
Material adicional
Construir un dominio
Para conseguir los objetivos del dominio tenemos que implantar al menos estos dos sistemas:
1
Autenticacion Centralizada (SSO: Single sign-on): se usa una unica contrasena y con ella se accede a todos los servicios sin necesidad de re-autenticarse Carpetas en red: que pueden ser carpetas personales o compartidas por los demas miembros del dominio
En los distintos sistemas operativos esto se consigue con varias tecnolog as (en negrita los que vamos a ver):
Windows GNU/Linux 1 - Autenticacion Centralizada Active Directory OpenLDAP o NIS 2 - Carpetas en red Compartir carpetas NFS o pam mount+sshfs
Introduccion
Material adicional
En el servidor: conguraremos la BD con los usuarios y grupos y permitiremos la comparticion de algunas carpetas para que todos los equipos puedan acceder a los datos En el cliente: conguraremos el sistema de autenticacion para que, en vez de ser contra la BD local, se haga contra el servidor. Ademas, los archivos de usuario (en general, la carpeta /home) estara montada por la red por lo que todos los clientes veran el mismo /home
Introduccion
Material adicional
Primeros pasos
Vamos a usar dos maquinas virtuales CentOS 5: una para el cliente y otra para el servidor, aunque podemos usar tantos clientes como queramos para probar el sistema Estaran conectados como se puede ver en la gura:
Antes de comenzar, asegurate que las maquinas se ven con ping. Deshabilita el rewall para hacer las pruebas pero nunca debes dejarlo deshabilitado en un servidor en produccion
Introduccion
Material adicional
Finalmente acepta los cambios e inicia el servidor de directorio # service dirsrv restart # service dirsrv-admin restart
Introduccion
Material adicional
En este momento ya tienes iniciado el servidor LDAP, aunque aun falta congurarlo para que se comporte como deseemos (para dar contrasenas a varios clientes con UIDs y GIDs comunes a todos ellos) Para abrir la utilidad de administracion del directorio ejecuta # centos-idm-console Tus datos de autenticacion seran
User ID: cn=Directory Manager Password: la especificada en la config. Administration URL: localhost:9830 inicial
Introduccion
Material adicional
Introduccion
Material adicional
conf.ldif
# uids dn: cn=UID numbers,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: UID numbers dnatype: uidNumber dnamagicregen: 99999 dnafilter: (objectclass=posixAccount)) dnascope: dc=miservidor,dc=local dnanextvalue: 1000 # gids dn: cn=GID numbers,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: GID numbers dnatype: gidNumber dnamagicregen: 99999 dnafilter: (|(objectclass=posixAccount)(objectclass=posixGroup)) dnascope: dc=miservidor,dc=local dnanextvalue: 1000
Introduccion
Material adicional
Ejecuta # system-config-authentication Ficha Informacion: Habilitar Soporte LDAP + Congurar LDAP DN base: dc=miservidor,dc=local Servidor LDAP: ldap://172.30.0.1 Ficha autenticacion: Habilitar Soporte LDAP Ficha Opciones: Activar Crear los directorios home al ingresar la primera vez
Introduccion
Material adicional
Ficha Directory miservidor (boton derecho) New Group En primer lugar vamos a crear un grupo usuarios para poderlo asignar como grupo principal de todos los usuarios Una vez que pongamos el nombre del grupo (usuarios) pincharemos en... Advanced Pincha en objectclass Add Value Posixgroup En el campo gidnumber ponemos un GID para el grupo usuarios. Por ejemplo: 600 Los demas grupos se crean de igual forma, y podemos anadir a los usuarios a traves del mismo interfaz graco a dicho grupo
Introduccion
Material adicional
Introduccion
Material adicional
Para que los clientes de tu red puedan montar el /home del servidor hemos de congurar el servicio NFS Edita el chero /etc/exports y escribe en el la siguiente l nea (ojo, respetar la ausencia de espacios antes del parentesis) /home 172.30.0.0/16(rw) Arranca el servicio NFS # service nfs restart
Introduccion
Material adicional
Introduccion
Material adicional
Introduccion
Material adicional
Material adicional
Parte de este material se ha realizado con los tutoriales de
http://www.linuxmail.info/389-directory-server-howto-centos-5/
VirtualBox no te permite insertar dos VDIs con el mismo UUID. Para cambiar el UUID debes usar el siguiente comando: vboxmanage internalcommands sethduuid copiadelhd.vdi El protocolo NFS es inseguro si los usuarios tienen la posibilidad de convertirse en root en las maquinas cliente. En ese caso debe usarse pam mount con sshfs para el montaje de la carpeta /home del usuario bajo demanda Extender este servidor LDAP para que tambien sea servidor de dominio Windows es muy facil, aunque para pocos usuarios podemos usar soluciones out-of-the-box como zentyal