2011

Proyecto 1

Estudiantes: Rafael Salazar Masis Melissa Angulo Chacn Daniel Aguilar Campos Universidad de Costa Rica 29/09/2011

Tabla de Contenidos

Introduccin ................................................................................................................................................... 3 Descripcin del problema .......................................................................................................................... 4 Diseo de la Solucin planteada ............................................................................................................ 8 Configuracin del Servidor de Ubuntu 1 Grupo 1 .......................................................................... 8 Paso 1: Configuracin de interfaces virtuales ............................................................................. 8 Paso 2: Configuracin Servicio DNS ........................................................................................... 10 Paso 3: Configurar archivo DHCP ................................................................................................ 15 Paso 4: Configuracin del servicio NFS ................................................................................... 18 Paso 5: Configuracin MRTG ....................................................................................................... 20 Configuracin del Servidor de Ubuntu 2 Grupo 1 ....................................................................... 23 Paso 1: Configuracin de interfaces virtuales ........................................................................... 23 Paso 2: Conectar el Servidor con el DNS del Servidor 1: ....................................................... 25 Paso 3: Configuracin Servicio HTPPS ...................................................................................... 25 Paso 4: Configuracin servicio para clientes Windows (LDAP y Samba) ...................... 29 Paso 5: Configuracin servicio Postfix ........................................................................................49 Paso 6: Configuracin servicio Dovecot ..................................................................................... 53 Paso 7 Configuracin del servicio FTP ...................................................................................... 54 Configuracin del Roouter 1 .............................................................................................................. 57 Configuracin del Router 2 ............................................................................................................... 62 Configuracin del Switch A ................................................................................................................ 65 Configuracin del Switch B ................................................................................................................ 67 Conclusiones .................................................................................................................................................69 Puntos concluidos y pendientes ........................................................................................................69 Recomendaciones ..................................................................................................................................69 Distribucin de la carga de trabajo entre los integrantes del grupo....................................69

Introduccin
El siguiente documento tiene el fin de fundamentar el desarrollo del Primer Proyecto del Curso Redes en los Negocios, dicho proyecto consiste en instalar dos redes de rea local con una estacin Linux y dos servidores Linux Ubuntu 10.04. Otra red con solo una estacin Windows 7. En el primer servidor se deben instalar los servicios: DHCP, DNS, NFS, y MRTG y en el segundo OPENLDAP, SAMBA, POSTFIX, DEVOCOT, FTP y HTTPS. Entre los contenidos de este escrito se incluir la descripcin del problema, la solucin adoptada, scripts de instalacin, procedimiento de instalacin, instructivo para el usuario, conclusiones y algunos otros temas de inters durante el desarrollo del mismo.

Descripcin del problema

El proyecto consiste en instalar dos redes de rea local con una estacin Linux y dos servidores Linux Ubuntu 10.04. Otra red con solo una estacin Windows 7. En el primer servidor se deben instalar los servicios: DHCP, DNS, NFS, y MRTG y en el segundo OPENLDAP, SAMBA, POSTFIX, DEVOCOT, FTP y HTTPS. El esquema de la red a instalar es la siguiente:

Especificaciones para la instalacin del servidor:

Nombre del servidor: grupoXX Nombre del dominio: redes.net Direcciones IP para los servidores: 172.17.20.3 y 172.17.20.4.

Servicio DHCP: mbitos para la subred A: 172.17.20.100 254 172.18.20.100--254 mbito para la subred B: 172.16.10.100 -- 254

Parmetros para las estaciones: servidor DNS enrutador mascara de red 255.255.255.0 sufijo dns

Servicio FTP: Definir el usuario ftpgrupoXX, con derechos para transferir archivos en el directorio /ftp. Servicio DNS: Subred: 172.17.20.0/24 Subred: 172.18.20.0/24 Subred: 172.16.10.0/24 Zona: profesores.redes.net Zona: estudiantes.redes.net Zona: laboratorio.redes.net

El servicio DNS debe actualizar sus archivos conforme las estaciones se integran a la red. Servicio Samba: Dominio: redes.net Grupo de trabajo: redes

Servicio NFS: Publicar el directorio: /utilitarios para que pueda ser acezado por cualquier usuario que sea autenticado con LDAP. Servicio http

El debe permitir una conexin segura desde las estaciones utilizando el esquema de llave pblica y privada.

Todas las estaciones debern tener asignacin dinmica de parmetros para su tarjeta de red. La asignacin de direcciones IP para los dispositivos es la siguiente: o enrutador 1 sub interfaces a la subred A: 172.17.20.1, y 172.18.20.1 interface enlace serial: 200.20.20.1 o enrutador 2 interface a la subred B: 172.17.20.1 interface enlace serial: 200.20.20.2 o servidores: 172.17.20.3 y 172.17.20.4. Establezca la siguiente estructura de directorio:

Realice las siguientes tareas: permita acceso al directorio buzn de solo lectura asocie la unidad f al subdirectorio /sys y permita a cada usuario modificar, grabar y borrar en su directorio.

Se deben definir como usuarios del dominio cada miembro del grupo. El nombre a utilizar estar conformado del nombre y las dos primeras letras del apellido. Cada usuario deber tener asignado un perfil que le permita acceso a su directorio de trabajo en la unidad lgica f del servidor. Cada grupo deber respaldar la configuracin del enrutador en un archivo de texto para su revisin. Utilizar la instruccin nslookup o dig para validar el servicio DNS. Para la conexin de las estaciones Windows al dominio se deber configurar los servicios openLDAP y SAMBA. Se debe configurar el servicio de correo en el segundo servidor Linux y configurar un software cliente sobre las estacin Windows (OUTLOOK) y la estacin Ubuntu (Evolution u otro) para que lo utilicen. Se deben programar las interfaces de los enrutadores con los datos del diagrama mostrado en la figura No. 1, y definiendo como protocolo de enrutamiento EIGRP. La VLAN nativa de la subred A tendr como integrantes los equipos de comunicacin de esa subred, as como los dos puertos utilizados por los servidores. El bloque de direcciones a utilizar es el 172.17.20.0/24. Adicionalmente, se deber definir una VLAN 2 que tendr asignado el puerto de la estacin Ubuntu, la cual deber tener acceso al servidor DHCP. El bloque de direcciones a utilizar ser el: 172.18.20.0/24. Se debe implantar un servicio de SYSLOG, en el segundo servidor dentro de la VLAN de profesores con el fin de que despliegue cualquier cambio en el estado de los switchs o enrutadores de la red.

Diseo de la Solucin planteada

Configuracin del Servidor de Ubuntu 1 Grupo 1
Paso 1: Configuracin de interfaces virtuales Es necesario estar configurando las interfaces virtuales ya que nos permite configurar y probar los servicios. Aspectos importantes: 1. Configuracin. Algunos servicios requieren que se configure la interface de manera que obtenga el acceso a internet de la maquina host para ello debemos seguir los siguientes rutinas: a) Abrir la terminal de Ubuntu e ingresar los siguientes comandos sudosu seguido del comando nautilos eso me permite tener acceso al navegador de archivos. b) Procedemos a abrir el FileSystem seleccionamos->carpeta etc->carpeta network->archivo interface. c) Ahora se deben modificar algunas instrucciones del archivo interface como se muestra en la imagen.

Habilitar internet con IP automtica

d) Abrir la terminal de Ubuntu y digitamos el comando para reiniciar el servicio.

sudo etc/init.d/networking restart

2. Prueba. Algunos servicios requieren que se configure la interface de manera que se tenga un puente entre la mquina y el exterior y que esta funcione tal como se va a aplicar en la prctica, eso s sobre la maquina host. Abrir la terminal de Ubuntu e ingresar los siguientes comandos sudosu seguido del comando nautilos eso me permite tener acceso al navegador de archivos. a) Procedemos a abrir el FileSystem seleccionamos->carpeta etc->carpeta network->archivo interface. b) Ahora se deben modificar algunas instrucciones del archivo interface como se muestra en la imagen.

Habilitar

IP esttica

c) Abrir la terminal de Ubuntu y digitamos el comando para reiniciar el servicio.

sudo etc/init.d/networking restart

Paso 2: Configuracin Servicio DNS 1. Abrir la terminal de Ubuntu para instalar el servicio con el comando:
sudo aptitude install bind9

2. Abrimos el navegador de archivos con el comando:

sudo nautilus

3. Continuamos creando los archivos de las zonas y sus respectivas inversas. Para ello se debe configurar el archivo llamado named.conf.local el cual se encuentra en el directorio filesystem/etc/bind y en este se deben definir las zonas con la direccin del archivo en el cual se guardarn y sus detalles para el correcto funcionamiento de cada zona, cada una tiene un archivo de configuracin para la bsqueda sencilla y un archivo de configuracin para cumplir solicitudes de forma inversa a esta. A continuacin se muestran las instrucciones que contiene el archivo named.conf.local, en el cual se indican las configuraciones de cada zonas. Zona redes.net
zone "redes.net" { type master; file "/etc/bind/redes.net"; allow-update {key "rndc-key";}; notify yes;};

Zona profesores.net
zone "profesores.redes.net" { type master; file "/etc/bind/profesores.redes.net"; allow-update {key "rndc-key";}; notify yes;};

10

Zona estudiantes.net
zone "estudiantes.redes.net" { type master; file "/etc/bind/estudiantes.redes.net"; allow-update {key "rndc-key";}; notify yes;};

Zona laboratorio.net
zone "laboratorio.redes.net" { type master; file "/etc/bind/laboratorio.redes.net"; allow-update {key "rndc-key";}; notify yes;};

Inversas de las Zonas

zone "20.17.172.in-addr.arpa" { type master; file "/etc/bind/rev.20.17.172.inaddr.arpa"; allow-update {key "rndc-key";}; notify yes;}; zone "10.16.172.in-addr.arpa" { type master; file "/etc/bind/rev.10.16.172.inaddr.arpa"; allow-update {key "rndc-key";}; notify yes;};

zone "20.18.172.in-addr.arpa" { type master; file "/etc/bind/rev.20.18.172.inaddr.arpa"; allow-update {key "rndc-key";}; notify yes;};

La ltima instruccin del archivo es:

include "/etc/bind/rndc.key";

11

4. El siguiente paso es construir los archivos correspondientes a cada una de las zonas. Dirigindose a la carpeta fileSystem/etc/bin para crear: a) El archivo redes.net(clic derecho nuevo archivo), dicho archivo contendr las siguientes indicaciones.

$ORIGIN . $TTL 604800 ; 1 week redes.net IN SOA grupo01.redes.net. root.localhost. ( 9 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) NS grupo01.redes.net. NS grupo01b.redes.net. A 172.17.20.3 A 172.17.20.4 MX 0 grupo01b.redes.net. $ORIGIN redes.net.

b) El archivo profesores.net (clic derecho nuevo archivo), dicho archivo contendr las siguientes indicaciones.

; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA grupo01.profesores.redes.net. root.localhost. ( 6 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS grupo01.profesores.redes.net. @ IN A 172.17.20.3

12

c) El archivo estudiantes.net (clic derecho contendr las siguientes indicaciones.

nuevo archivo), dicho archivo

; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA grupo01.estudiantes.redes.net. root.localhost. ( 6 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS grupo01.estudiantes.redes.net. @ IN A 172.17.20.3 grupo01 IN A 172.17.20.3

Archivos para las Inversas.

d) El archivo rev.10.16.172.in-addr (clic derecho nuevo archivo), dicho archivo contendr las siguientes indicaciones.

; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA grupo01.laboratorio.redes.net. root.localhost. ( 7 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS grupo01.laboratorio.redes.net. 3 IN PTR

13

e) El archivo rev.10.17.172.in-addr (clic derecho nuevo archivo), dicho archivo contendr las siguientes indicaciones.

$ORIGIN . $TTL 604800 ; 1 week 20.17.172.in-addr.arpa IN SOA grupo01.profesores.redes.net. root.localhost. ( 9 serial 604800 refresh (1 week) 86400 (1 day) 2419200 expire (4 weeks) 604800 minimum (1 week) ) NS grupo01.profesores.redes.net. NS grupo01b.profesores.redes.net. $ORIGIN 20.17.172.in-addr.arpa. 3 PTR grupo01.profesores.redes.net. 4 PTR

; ; ; retry ; ;

f)

El archivo rev.10.18.172.in-addr (clic derecho archivo contendr las siguientes indicaciones.

nuevo archivo), dicho

; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA grupo01.estudiantes.redes.net. root.localhost. ( 6 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800) ; Negative Cache TTL ; @ IN NS grupo01.estudiantes.redes.net. 3 IN PTR grupo01.estudiantes.redes.net.

14

Paso 3: Configurar archivo DHCP 1. Abrir la terminal de Ubuntu para instalar el servicio con el comando:
sudo apt-get install dhcp3-server

2. Abrimos el navegador de archivos con el comando:

sudo nautilus

#configuracion general del dhcp server-identifier 172.17.20.3 ; ddns-updates on; ddns-update-style interim; ddns-domainname "redes.net"; ddns-rev-domainname "in-addr.arpa."; allow client-updates; option domain-name "redes.net"; option domain-name-servers 172.17.20.3; default-lease-time 600; max-lease-time 7200; log-facility local7; include "/etc/bind/rndc.key"; zone redes.net.{ primary 127.0.0.1; key rndc-key; } subnet 172.17.20.0 netmask 255.255.255.0{ range 172.17.20.100 172.17.20.254; option subnet-mask 255.255.255.0; option broadcast-address 172.17.20.255; option routers 172.17.20.1; option domain-name "profesores.redes.net."; option domain-name-servers 172.17.20.3; option netbios-name-servers 172.17.20.4; option netbios-node-type 8; zone 20.17.172.in-addr.arpa. { primary 172.17.20.3; key rndc-key; } zone localdomain. { primary 172.17.20.3; key rndc-key; }

15

subnet 172.18.20.0 netmask 255.255.255.0{ range 172.18.20.100 172.18.20.254; option subnet-mask 255.255.255.0; option broadcast-address 172.18.20.255; option routers 172.18.20.1; option domain-name "estudiantes.redes.net."; option domain-name-servers 172.17.20.3; option netbios-name-servers 172.17.20.4; option netbios-node-type 8; zone 20.18.172.in-addr.arpa. { primary 172.17.20.3; key rndc-key; } } zone localdomain. { primary 172.17.20.3; key rndc-key; }

subnet 172.16.10.0 netmask 255.255.255.0{ range 172.16.10.100 172.16.10.254; option subnet-mask 255.255.255.0; option broadcast-address 172.16.10.255; option routers 172.16.10.1; option domain-name "laboratorio.redes.net."; option domain-name-servers 172.17.20.3; option netbios-name-servers 172.17.20.4; option netbios-node-type 8; zone 10.16.172.in-addr.arpa. { primary 172.17.20.3; key rndc-key; } zone localdomain. { primary 172.17.20.3; key rndc-key; } }

16

3. Abrimos la terminal para reiniciar el servicio con el comando: sudo /etc/init.d/dhcp3-server restart 4. Si genera algn error con el rndc.key entonces ponemos esta instruccin sudo chown root:bind /etc/bind/rndc.key

5. Antes de continuar debemos actualizar el DNS con los siguientes comandos_ a) Editar /etc/apparmor.d/usr.sbin.dhcpd3 y agregarle: /etc/bind/ rw, /etc/bind/** rw,

b) Editar /etc/apparmor.d/usr.sbin.named y agregarle:

/etc/bind/ rw, /etc/bind/** rw, c) Meter en la consola: chmod 2775 /etc/bind/ sudo chown root:bind /etc/bind/rndc.key sudo chmod 644 /etc/bind/rndc.key 8. Una vez actualizado el DNS se debe abrir la terminal y ejecutar el comando
chmod 777 /etc/bind/rndc.key

El cual permite la administracin de lnea de comandos del demonio named desde el host local o desde un host remoto

17

9. Para terminar la configuracin del DHCP ingresamos los siguientes comandos:

/etc/init.d/apparmor restart /etc/init.d/apparmor reload /etc/init.d/dhcp3-server restart

Paso 4: Configuracin del servicio NFS En el servidor para la instalacin ejecutamos

aptitude install nfs-kernel-server nfs-common portmap

En el cliente podemos instalar NFS de la siguiente forma:

aptitude install nfs-common portmap

Exportando directorios en el servidor Del lado del servidor, me gustara hacer que los directorios /home y /var/nfs sean accesibles al cliente; por consiguiente debemos exportar esos directorios en el servidor. El directorio /var/nfs no existe, as que vamos a empezar por crearlo y asociarle un propietario acorde a lo ya indicado (nobody:nogroup) de la siguiente forma:

mkdir /utilitarios chown nobody:nogroup /utilitarios

Ahora comenzamos con la configuracin. Vamos a modificar el fichero /etc/exports que es donde exportamos nuestros recursos compartidos mediante NFS. Vamos a indicar /home y /var/nfs como recursos compartidos NFS y vamos a decirle a NFS que el acceso a /home sea como root.

18

vi /etc/exports # /etc/exports: the access control list for filesystems which may be exported # to NFS clients. See exports(5). # # Example for NFSv2 and NFSv3: # /srv/homes hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,no_subtree_check) # # Example for NFSv4: # /srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree _check) # /srv/nfs4/homes gss/krb5i(rw,sync,no_subtree_check) # /home Ubuntu.redes.net(rw,sync,no_root_squash,no_s ubtree_check)

Hostname del Ubuntu cliente

(La opcin no_root_squash indica que /home deber ser accedido mediante root). Cada vez que modifiquemos el fichero de configuracin /etc/exports, debemos ejecutar exportfs -a para que los cambios tengan efecto.

19

Montando los recursos compartidos NFS en el cliente Bien, lo primero que debemos hacer en el cliente es crear los directorios donde vamos a querer montar los compartidos NFS, por ejemplo:
mkdir -p /mnt/nfs/utilitarios mkdir -p /mnt/nfs/var/nfs

Ahora del lado del cliente, podemos realizar el montaje de la siguiente forma:
mount 172.17.20.3:/home /mnt/nfs/utilitarios

Ahora ya deberamos ser capaces de ver los dos recursos NFS, tanto en el servidor como en el cliente Paso 5: Configuracin MRTG 1. Instalar el servidor web Apache2, snmpd, y MRTG
~$ sudo apt-get install apache2 snmpd mrtg

2. Crear el directorio de pginas web Apache residen

~$ sudo mkdir /var/www/mrtg

3. MRTG ajustes de configuracin

~$ sudo nano /etc/mrtg.cfg # Global configuration RunAsDaemon: yes EnableIPv6: no WorkDir: /var/www/mrtg Options[_]: bits,growright WriteExpires: Yes Title[^]: Traffic Analysis for

20

4. Establecimiento de CRON para ejecutar cada 5 minutos

~$ sudo nano /etc/cron.d/mrtg 0-55/5 * * * * root if [ ! -d /var/lock/mrtg ]; then mkdir /var/lock/mrtg; fi; if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg.cfg ]; then env LANG=C /usr/bin/mrtg /etc/mrtg.cfg 2>&1 | tee -a /var/log/mrtg/mrtg.log ; fi

5. Asignar el nombre de comunidad SNMP

~$ sudo nano /etc/snmp/snmpd.conf #### # First, map the community name (COMMUNITY) into a security name # (local and mynetwork, depending on where the request is coming # from): # sec.name source community #com2sec paranoid default com2sec readonly default #com2sec readwrite default private

public public

6. Reiniciar el servicio SNMP

~$ sudo /etc/init.d/snmpd restart

7. Crear archivo de configuracin de MRTG

~$ sudo su #cfgmaker public@localhost > /etc/mrtg.cfg

8. Creacin de archivo de ndice para el servidor web utilizando

#indexmaker /etc/mrtg.cfg > /var/www/mrtg/index.html

21

Realizado el ajuste, es necesario reiniciar la PC y te espere cinco minutos para procesar. Ahora puede acceder a travs de un navegador en MRTG http://localhost/mrtg URL.

22

Configuracin del Servidor de Ubuntu 2 Grupo 1

Paso 1: Configuracin de interfaces virtuales Es necesario estar configurando las interfaces virtuales ya que nos permite configurar y probar los servicios. Aspectos importantes: 1. Configuracin. Algunos servicios requieren que se configure la interface de manera que obtenga el acceso a internet de la maquina host para ello debemos seguir los siguientes rutinas: e) Abrir la terminal de Ubuntu e ingresar los siguientes comandos sudosu seguido del comando nautilos eso me permite tener acceso al navegador de archivos. f) Procedemos a abrir el FileSystem seleccionamos->carpeta etc->carpeta network->archivo interface. g) Ahora se deben modificar algunas instrucciones del archivo interface como se muestra en la imagen.

Habilitar internet con IP automtica

h) Abrir la terminal de Ubuntu y digitamos el comando para reiniciar el servicio.

sudo etc/init.d/networking restart

23

2. Prueba. Algunos servicios requieren que se configure la interface de manera que se tenga un puente entre la mquina y el exterior y que esta funcione tal como se va a aplicar en la prctica, eso s sobre la maquina host. Abrir la terminal de Ubuntu e ingresar los siguientes comandos sudosu seguido del comando nautilos eso me permite tener acceso al navegador de archivos. d) Procedemos a abrir el FileSystem seleccionamos->carpeta etc->carpeta network->archivo interface. e) Ahora se deben modificar algunas instrucciones del archivo interface como se muestra en la imagen.

Habilitar

IP esttica

f) Abrir la terminal de Ubuntu y digitamos el comando para reiniciar el servicio.

sudo etc/init.d/networking restart

24

Paso 2: Conectar el Servidor con el DNS del Servidor 1: 1. Abrimos el terminal del Servidor 2 e ingresamos el siguiente comando:
sudo nano /etc/resolv.conf

2. Introducimos el DNS en una lnea del fichero NameServer 172.17.20.3 Paso 3: Configuracin Servicio HTPPS 1. Abrir la terminal de Ubuntu para instalar el servicio con el comando:
sudo apt-get install apache2

2. Instalar openssl con el siguiente comando

# Apt-get install openssl ssl-cert

3. Instalar PHP5 apoyo a apache2 en Debian Etch

# Apt-get install libapache2-mod-php5 php5-cli php5-common php5-cgi

4. A continuacin se debe generar un certificado para proteger el trfico

intercambiado entre el cliente y el servidor con el siguiente comando: # Openssl req $ @-nueva-x509-days 365-nodos-out / etc/apache2/apache.pem-keyout / etc/apache2/apache.pem

25

5. Ingresar los datos para realizar la peticin del certificado.

Country Name (2 letter code) [AU]: Ingresamos State or Province Name (full name) [Some-State]:Ingresamos Locality Name (eg, city) []: Ingresamos Organization Name (eg, company) [Internet Widgits Pty Ltd]: Ingresamos Organizational Unit Name (eg, section) []:Ingresamos Common Name (eg, YOUR name) []:Ingresamos Email Address []:Ingresamos

6.

Establecer los permisos correctos con el siguiente comando.

# Chmod 600 / etc/apache2/apache.pem

Por defecto, el servidor escuchar las peticiones HTTP en el puerto 80 y las conexiones no SSL en el puerto 443.Por lo que necesita habilitar el soporte SSL introduciendo la siguiente entrada en el archivo / etc/apache2/ports.conf.

7. Habilitar el soporte SSL para el servidor web Apache con el siguiente comando. #A2enmod ssl 8. Ejecutamos para permitir SSL con el comando / etc/init.d/apache2 force-reload 9. Ahora es necesario reiniciar el servidor apache2 con el siguiente comando # / Etc/init.d/apache2 restart

26

10. Se debe configurar los certificados SSL para las mquinas virtuales en Apache2 Lo Primero que hay que editar el archivo: /etc/apache2/sites-available/default NameVirtualHost a) Sustituimos el NameVirtualHost*80 por NameVirtualHost*=443 b) Configurar las mquinas virtuales utilizando el puerto 443 con las siguientes lneas para cada hosts SSL.
SSLEngine on SSLCertificateFile / etc/apache2/apache.pem

El archivo queda como se muestra a continuacin.

11. Ahora tiene que reiniciar su servidor web apache con el siguiente comando:
# / Etc/init.d/apache2 reload

27

Certificado Creado:

Servicio HTTPS funcionando:

28

Paso 4: Configuracin servicio para clientes Windows (LDAP y Samba)

LDAP
Para iniciar con la instalacin son necesarios los siguientes paquetes:
slapd ldap-utils db4.2-util samba-doc

Se deben descargar e instalar con el comando: apt-get slapd -util apt-get ldap-utils apt-get db4.2 apt-get samba-doc

1. Preparar el sistema
a)

Crear el directorio principal en este caso /Sys , Abra una nueva ventana de terminal y digite el siguiente comando: mkdir / Sys

b)

Dar los permisos al Directorio. chmod 777 / r-Sys

29

2. Configurar slapd a) El primer paso es eliminar completamente el directorio slapd.d. Para ello abra una ventana de terminal con privilegios de root y escriba el siguiente comando.
rm-r / etc / ldap / slapd.d

b) Editar el archivo slapd principal.

gedit / etc / default / slapd

c) Alrededor de la lnea sexta usted debe ver: SLAPD_CONF = cambie esa lnea

por:
SLAPD_CONF = / etc / ldap / slapd.conf

Como se muestra en la siguiente imagen:

30

3. Agregue el esquema de samba ldap para ello introduzca los siguientes comandos en una ventana de terminal con privilegios de root. gunzip / usr / share / doc / samba-doc / examples / LDAP / samba.schema.gz

cp-v / usr / share / doc / samba-doc / examples / LDAP / samba.schema / etc / ldap esquema /

4. Creamos una contrasea para de administrador LDAP

sudo slappasswd -s grupo01

Eso genera una lnea como: {} SSHA LQFFfwELK3few56afcsdaDSADS135w 5. Crear un archivo init.lidf con el comando: gedit / etc / ldap / init.ldif 6. Archivo init.ldif ubicado en / etc/ldap/ acordarse primer dc=redes y el segundo dc=net para efectos de este proyecto. Y adems la contrasea cifrada ponerla donde dice userPassword como lo muestra la siguiente imagen:

31

7. Crea el archivo slapd.conf, ya que el archivo slapd.conf en realidad no existe todava. Para crearlo ingrese el siguiente comando.
gedit / etc / ldap / slapd.conf

8. Editamos el archivo slapd.conf y tenemos cuidado de cambiar en dc= redes, dc=net y

rootpw por la contrasea cifrada generada. Como se muestra a continuacin.

32

# Remember to replace suffix "dc=example,dc=local" with your domain name # Change the rootpw entry with the results from slappaswd (Must match the same you pasted on init.ldif) # /etc/ldap/slapd.conf # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ######################################################################## #Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/samba.schema include /etc/ldap/schema/misc.schema # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible valuesloglevel 0 # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_bdb # The maximum number of entries that is returned for a search operation sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for bdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend bdb #checkpoint 512 30 ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend <other> ####################################################################### # Specific Directives for database #1, of type bdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database bdb # The base of your directory in database #1 suffix "dc=redes,dc=net" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn "cn=admin,dc=redes,dc=net" rootpw {SSHA}J24Mw+ziqt03r4KQIeyETNuHP2BsFHA3 # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # For the Debian package we use 2MB as default but be sure to update this # value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 # Sven Hartge reported that he had to set this value incredibly high # to get slapd running at all. See http://bugs.debian.org/303057 # for more information. # Number of objects that can be locked at the same time. dbconfig set_lk_max_objects 1500 # Number of locks (both requested and granted) dbconfig set_lk_max_locks 1500 # Number of lockers dbconfig set_lk_max_lockers 1500 # Indexing options for database #1 #index objectClass eq, pres index ou,cn,sn,mail,givenname eq,pres,sub index uidNumber,gidNumber,memberUid eq,pres index loginShell eq,pres index uniqueMember eq,pres index uid pres,sub,eq index displayName pres,sub,eq index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq

33

index default sub #index uid pres,eq,sub # Save the time that the entry gets modified, for database #1 lastmod on # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword by dn="cn=admin,dc=redes,dc=net" write by anonymous auth by self write by * none # Ensure read access to the base for things like # supportedSASLMechanisms. Without this you may # have problems with SASL not knowing what # mechanisms are available and the like. # Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="cn=admin,dc=redes,dc=net" write by * read # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=redes,dc=ch" write # by dnattr=owner write ###################################################################### # Specific Directives for database #2, of type 'other' (can be bdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database <other> # The base of your directory for database #2 #suffix "dc=debian,dc=org"

9. Inicialice la base de datos LDAP

sudo /etc/init.d/slapd stop sudo rm -rf /var/lib/ldap/* sudo slapadd -v -l /etc/ldap/init.ldif

34

Si todo va bien debera ver una lnea final que se parece a esto:
#################### 100.00% eta none elapsed none fast!

10. Asegrese de que LDAP tiene los privilegios adecuados para acceder a su propio directorio chown-R openldap: openldap / var / lib / ldap

11. Iniciar el servicio slapd una copia de seguridad con el comando:

/etc/init.d/slapd start

12. Hacer el siguiente test para ver si todo est funcionando.

ldapsearch -xLLL -b "dc=redes, dc=net"

SAMBA
1. Abrir la Terminal e instalar las herramientas de samba con el comando.

apt-get --yes install smbpass smbldap-tools

samba

libpam-

2. Configurar Samba para usar con LDAP a) Crear carpetas Samba que no se han creado automticamente.

sudo mkdir -v /var/lib/samba/profiles sudo chmod 777 /var/lib/samba/profiles sudo mkdir -v -p

35

b) Creamos y editamos el archivo smb.conf

sudo gedit /etc/samba/smb.conf

c) Eliminar todo lo que est ah y sustituirlo por el siguiente.

[global] # Domain name .. workgroup = redes # Server name - as seen by Windows PCs .. netbios name = redes # Be a PDC .. domain logons = Yes domain master = Yes # Be a WINS server .. wins support = true obey pam restrictions = Yes dns proxy = No os level = 35 log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d pam password change = Yes # Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del unix password sync = no ldap passwd sync = yes # Printing from PCs will go via CUPS .. load printers = yes printing = cups printcap name = cups # Use LDAP for Samba user accounts and groups .. passdb backend = ldapsam:ldap://localhost # This must match init.ldif .. ldap suffix = dc=redes,dc=net # The password for cn=admin MUST be stored in /etc/samba/secrets.tdb # This is done by running 'sudo smbpasswd -w'. ldap admin dn = cn=admin,dc=redes,dc=net # 4 OUs that Samba uses when creating user accounts, computer accounts, etc. # (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.) ldap machine suffix = ou=Computers ldap user suffix = ou=Users ldap group suffix = ou=Groups ldap idmap suffix = ou=Idmap # Samba and LDAP server are on the same server in this example. ldap ssl = no # Scripts for Samba to use if it creates users, groups, etc. add user script = /usr/sbin/smbldap-useradd -m '%u' delete user script = /usr/sbin/smbldap-userdel %u add group script = /usr/sbin/smbldap-groupadd -p '%g' delete group script = /usr/sbin/smbldap-groupdel '%g' add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g' delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g' set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u' # Script that Samba users when a PC joins the domain .. # (when changing 'Computer Properties' on the PC) add machine script = /usr/sbin/smbldap-useradd -w '%u' # Values used when a new user is created .. # (Note: '%L' does not work properly with smbldap-tools 0.9.4-1)

36

logon script = logon.bat logon path = \\%L\profiles\%U logon drive = F: logon home = \\%L\%U # This is required for Windows XP client .. server signing = auto server schannel = Auto [homes] comment = Home Directories valid users = %S read only = No browseable = No [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon admin users = root guest ok = Yes browseable = No [Profiles] comment = Roaming Profile Share # would probably change this to elsewhere in a production system .. path = /var/lib/samba/profiles read only = No profile acls = Yes browsable = No [printers] comment = All Printers path = /var/spool/samba use client driver = Yes create mask = 0600 guest ok = Yes printable = Yes browseable = No public = yes writable = yes admin users = root write list = root [print$] comment = Printer Drivers Share path = /var/lib/samba/printers write list = root create mask = 0664 directory mask = 0775 admin users = root

d) Abrir la terminal e ingresar el comando:

sudo smbpasswd W

Este comando nos solicitara una contrasea y confirmacin.

37

e) Reiniciamos el servicio
service smbd restart

3. Configurar smbldap-tools a) Ejecutamos los comandos:

sudo cd /usr/share/doc/smbldaptools/examples/ sudo cp smbldap_bind.conf /etc/smbldaptools/ sudo cp smbldap.conf.gz /etc/smbldaptools/

b) Esto devolver un id del servidor que es importante guardarlo. c) Edite su archivo smbldap.conf
gedit /etc/smbldap-tools/smbldap.conf

A continuacin se muestra como debe quedar el archivo.

# $Source: $ # $Id: smbldap.conf,v 1.18 2005/05/27 14:28:47 jtournier Exp $ # # smbldap-tools.conf : Q & D configuration file for smbldap-tools # This code was developped by IDEALX (http://IDEALX.org/) and # contributors (their names can be found in the CONTRIBUTORS file). # # Copyright (C) 2001-2002 IDEALX # # This program is free software; you can redistribute it and/or # modify it under the terms of the GNU General Public License # as published by the Free Software Foundation; either version 2 # of the License, or (at your option) any later version. # # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the # GNU General Public License for more details. # # You should have received a copy of the GNU General Public License # along with this program; if not, write to the Free Software # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, # USA. # Purpose : # . be the configuration file for all smbldap-tools scripts ########################################################################### #

38

General Configuration # ############################################################################## # Put your own SID. To obtain this number do: "net getlocalsid". # If not defined, parameter is taking from "net getlocalsid" return SID="S-1-5-21-4097895232-1690665193-4185829980" # Domain name the Samba server is in charged. # If not defined, parameter is taking from smb.conf configuration file # Ex: sambaDomain="IDEALX-NT" sambaDomain="redes" ############################################################################## # # LDAP Configuration # ############################################################################## # Notes: to use to dual ldap servers backend for Samba, you must patch # Samba with the dual-head patch from IDEALX. If not using this patch # just use the same server for slaveLDAP and masterLDAP. # Those two servers declarations can also be used when you have # . one master LDAP server where all writing operations must be done # . one slave LDAP server where all reading operations must be done # (typically a replication directory) # Slave LDAP server # Ex: slaveLDAP=127.0.0.1 # If not defined, parameter is set to "127.0.0.1" slaveLDAP=127.0.0.1 # Slave LDAP port # If not defined, parameter is set to "389" slavePort="389" # Master LDAP server: needed for write operations # Ex: masterLDAP=127.0.0.1 # If not defined, parameter is set to "127.0.0.1" masterLDAP=127.0.0.1 # Master LDAP port # If not defined, parameter is set to "389" #masterPort="389" masterPort="389" # Use TLS for LDAP # If set to 1, this option will use start_tls for connection # (you should also used the port 389) # If not defined, parameter is set to "0" ldapTLS="0" # Use SSL for LDAP # If set to 1, this option will use SSL for connection # (standard port for ldaps is 636) # If not defined, parameter is set to "0" ldapSSL="0" # How to verify the server's certificate (none, optional or require) # see "man Net::LDAP" in start_tls section for more details verify="require"45 # CA certificate # see "man Net::LDAP" in start_tls section for more details cafile="/etc/smbldap-tools/ca.pem" # certificate to use to connect to the ldap server # see "man Net::LDAP" in start_tls section for more details clientcert="/etc/smbldap-tools/smbldap-tools.iallanis.info.pem" # key certificate to use to connect to the ldap server # see "man Net::LDAP" in start_tls section for more details clientkey="/etc/smbldap-tools/smbldap-tools.iallanis.info.key" # LDAP Suffix # Ex: suffix=dc=IDEALX,dc=ORG suffix="dc=redes,dc=net" # Where are stored Users # Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG" Warning: if 'suffix' is not set here, you must set the full dn for usersdn usersdn="ou=Users,${suffix}"

39

Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG" # Warning: if 'suffix' is not set here, you must set the full dn for computersdn computersdn="ou=Computers,${suffix}" # Where are stored Groups # Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG" # Warning: if 'suffix' is not set here, you must set the full dn for groupsdn groupsdn="ou=Groups,${suffix}" # Where are stored Idmap entries (used if samba is a domain member server) # Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG" # Warning: if 'suffix' is not set here, you must set the full dn for idmapdn idmapdn="ou=Idmap,${suffix}" # Where to store next uidNumber and gidNumber available for new users and groups # If not defined, entries are stored in sambaDomainName object. # Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" # Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" sambaUnixIdPooldn="sambaDomainName=redes,${suffix}" # Default scope Used scope="sub" # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) hash_encrypt="SSHA" # if hash_encrypt is set to CRYPT, you may set a salt format. # default is "%s", but many systems will generate MD5 hashed # passwords if you use "$1$%.8s". This parameter is optional! crypt_salt_format="%s" ############################################################################## # # Unix Accounts Configuration # ############################################################################## # Login defs # Default Login Shell # Ex: userLoginShell="/bin/bash" userLoginShell="/bin/bash" # Home directory # Ex: userHome="/home/%U" userHome="/ldaphome/%U" # Default mode used for user homeDirectory userHomeDirectoryMode="700" # Gecos userGecos="System User" # Default User (POSIX and Samba) GID defaultUserGid="513" # Default Computer (Samba) GID defaultComputerGid="515" # Skel dir skeletonDir="/etc/skel" # Default password validation time (time in days) Comment the next line if # you don't want password to be enable for defaultMaxPasswordAge days (be # careful to the sambaPwdMustChange attribute's value) defaultMaxPasswordAge="45" ############################################################################## # # SAMBA Configuration # ############################################################################## # The UNC path to home drives location (%U username substitution) # Just set it to a null string if you want to use the smb.conf 'logon home' # directive and/or disable roaming profiles # Ex: userSmbHome="\\PDC-SMB3\%U" userSmbHome=

40

# Just set it to a null string if you want to use the smb.conf 'logon path' # directive and/or disable roaming profiles # Ex: userProfile="\\PDC-SMB3\profiles\%U" userProfile= # The default Home Drive Letter mapping # (will be automatically mapped at logon time if home directory exist) # Ex: userHomeDrive="H:" userHomeDrive= # The default user netlogon script name (%U username substitution) # if not used, will be automatically username.cmd # make sure script file is edited under dos # Ex: userScript="startup.cmd" # make sure script file is edited under dos userScript= # Domain appended to the users "mail"-attribute # when smbldap-useradd -M is used # Ex: mailDomain="idealx.com" mailDomain="redes.net" ############################################################################## # # SMBLDAP-TOOLS Configuration (default are ok for a RedHat) # ############################################################################## # Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but # prefer Crypt::SmbHash library with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" # Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm) # but prefer Crypt:: libraries with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" # comment out the following line to get rid of the default banner # no_banner="1"

d) Abra el archivo / etc / smbldap-tools / archivo smbldap_bind.conf y edtelo con el comando: gedit / etc / smbldap_bind.conf smbldap-tools /

e) Editar el archivo de modo que el siguiente es correcto de acuerdo a su configuracin:

############################ # Credential Configuration # ############################ # Notes: you can specify two differents configuration if you use a # master ldap for writing access and a slave ldap server for reading access # By default, we will use the same DN (so it will work for standard Samba # release) slaveDN="cn=admin,dc=redes,dc=net" slavePw="grupo01" masterDN="cn=admin,dc=redes,dc=net" masterPw="grupo01"

41

f) Ajuste el permiso correcto para estos dos archivos

chmod 0644 / etc / smbldap-tools / smbldap.conf chmod 0600 / etc / smbldap-tools / smbldap_bind.conf

g) Populate la base de datos LDAP con las entradas esenciales Samba. Esto incluye la creacin de grupos de estndares, como los administradores y usuarios del dominio.
smbldap-populate

h) Aparecer algo como esto

Populating LDAP directory for domain EXAMPLE(S-1-5-212899629268-4176875250-2352135513)

i) Al final se le pedir que introduzca una contrasea para seguir adelante y digitar la misma contrasea que utiliza con el comando slappasswd-s7 j) Detener el servicio LDAP ejecute slapindex y reiniciar el servicio LDAP.
/etc/init.d/slapd stop slapindex chown openldap:openldap /var/lib/ldap/* /etc/init.d/slapd start

4. Agregar un usuario a) Creamos usuarios para el samba y ldap Sudo smbldap-useradd -a -m aliG3 smbldap-passwd aliG3

42

Nos pide contrasea sudo /usr/sbin/smbldap-groupmod -m aliG3'Administrators' sudo /usr/sbin/smbldap-groupmod -m 'root' 'Administrators'

5. Configurar la autenticacin sudo apt-get --yes install ldap-authclient a) Se responden las preguntas de la siguiente manera LDAP server Uniform Resource Identifier:ldap://127.0.0.1 Distinguished name of the search base:dc=redes,dc=net LDAP version to use: 3 Make local root Database admin:Yes Does the LDAP database require login?No LDAP account for root:cn=admin,dc=redes,dc=net LDAP root account password: grupo01

b) Creamos y editamos el archivo ldap.conf gedit /etc/ldap.conf

43

###DEBCONF### ## ## Configuration of this file will be managed by debconf as long as the ## first line of the file says '###DEBCONF###' ## ## You should use dpkg-reconfigure to configure this file via debconf ## # # @(#)$Id: ldap.conf,v 1.38 2006/05/15 08:13:31 lukeh Exp $ # # This is the configuration file for the LDAP nameservice # switch library and the LDAP PAM module. # # PADL Software # http://www.padl.com # # Your LDAP server. Must be resolvable without using LDAP. # Multiple hosts may be specified, each separated by a # space. How long nss_ldap takes to failover depends on # whether your LDAP client library supports configurable # network or connect timeouts (see bind_timelimit). host 127.0.0.1 # The distinguished name of the search base. base dc=redes,dc=net # Another way to specify your LDAP server is to provide an #uri ldap://127.0.0.1 # Unix Domain Sockets to connect to a local LDAP Server. uri ldap://127.0.0.1/ #uri ldaps://127.0.0.1/ #uri ldapi://%2fvar%2frun%2fldapi_sock/ # Note: %2f encodes the '/' used as directory separator # The LDAP version to use (defaults to 3 # if supported by client library) ldap_version 3 # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. #binddn cn=proxyuser,dc=padl,dc=com # The credentials to bind with. # Optional: default is no credential. #bindpw secret # The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) rootbinddn cn=admin,dc=redes,dc=net # The port. # Optional: default is 389. #port 389 # The search scope. #scope sub #scope one #scope base # Search timelimit #timelimit 30 # Bind/connect timelimit #bind_timelimit 30 # Reconnect policy: hard (default) will retry connecting to # the software with exponential backoff, soft will fail # immediately. bind_policy soft # Idle timelimit; client will close connections # (nss_ldap only) if the server has not been contacted # for the number of seconds specified below. #idle_timelimit 3600 # Filter to AND with uid=%s #pam_filter objectclass=account

44

# The user ID attribute (defaults to uid) #pam_login_attribute uid # Search the root DSE for the password policy (works # with Netscape Directory Server) #pam_lookup_policy yes # Check the 'host' attribute for access control # Default is no; if set to yes, and user has no # value for the host attribute, and pam_ldap is # configured for account management (authorization) # then the user will not be allowed to login. #pam_check_host_attr yes # Check the 'authorizedService' attribute for access # control # Default is no; if set to yes, and the user has no # value for the authorizedService attribute, and # pam_ldap is configured for account management # (authorization) then the user will not be allowed # to login. #pam_check_service_attr yes # Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com # Group member attribute #pam_member_attribute uniquemember # Specify a minium or maximum UID number allowed #pam_min_uid 0 #pam_max_uid 0 # Template login attribute, default template user # (can be overriden by value of former attribute # in user's entry) #pam_login_attribute userPrincipalName #pam_template_login_attribute uid #pam_template_login nobody # HEADS UP: the pam_crypt, pam_nds_passwd, # and pam_ad_passwd options are no # longer supported. # # Do not hash the password at all; presume # the directory server will do it, if # necessary. This is the default. pam_password md5 # Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. #pam_password crypt # Remove old password first, then update in # cleartext. Necessary for use with Novell # Directory Services (NDS) #pam_password clear_remove_old #pam_password nds # RACF is an alias for the above. For use with # IBM RACF #pam_password racf # Update Active Directory password, by # creating Unicode password and updating # unicodePwd attribute. #pam_password ad # Use the OpenLDAP password change # extended operation to update the password. #pam_password exop # Redirect users to a URL or somesuch on password # changes. #pam_password_prohibit_message Please visit http://internal to change your password. # RFC2307bis naming contexts # Syntax:

45

#nss_base_rpc ou=Rpc,dc=padl,dc=com?one #nss_base_ethers ou=Ethers,dc=padl,dc=com?one #nss_base_netmasks ou=Networks,dc=padl,dc=com?ne #nss_base_bootparams ou=Ethers,dc=padl,dc=com?one #nss_base_aliases ou=Aliases,dc=padl,dc=com?one #nss_base_netgroup ou=Netgroup,dc=padl,dc=com?one # attribute/objectclass mapping # Syntax: #nss_map_attribute rfc2307attribute mapped_attribute #nss_map_objectclass rfc2307objectclass mapped_objectclass # configure --enable-nds is no longer supported. # NDS mappings #nss_map_attribute uniqueMember member # Services for UNIX 3.5 mappings #nss_map_objectclass posixAccount User #nss_map_objectclass shadowAccount User #nss_map_attribute uid msSFU30Name #nss_map_attribute uniqueMember msSFU30PosixMember #nss_map_attribute userPassword msSFU30Password #nss_map_attribute homeDirectory msSFU30HomeDirectory #nss_map_attribute homeDirectory msSFUHomeDirectory #nss_map_objectclass posixGroup Group #pam_login_attribute msSFU30Name #pam_filter objectclass=User #pam_password ad # configure --enable-mssfu-schema is no longer supported. # Services for UNIX 2.0 mappings #nss_map_objectclass posixAccount User #nss_map_objectclass shadowAccount user #nss_map_attribute uid msSFUName #nss_map_attribute uniqueMember posixMember #nss_map_attribute userPassword msSFUPassword #nss_map_attribute homeDirectory msSFUHomeDirectory #nss_map_attribute shadowLastChange pwdLastSet #nss_map_objectclass posixGroup Group #nss_map_attribute cn msSFUName #pam_login_attribute msSFUName #pam_filter objectclass=User #pam_password ad # RFC 2307 (AD) mappings #nss_map_objectclass posixAccount user #nss_map_objectclass shadowAccount user #nss_map_attribute uid sAMAccountName #nss_map_attribute homeDirectory unixHomeDirectory #nss_map_attribute shadowLastChange pwdLastSet #nss_map_objectclass posixGroup group #nss_map_attribute uniqueMember member #pam_login_attribute sAMAccountName #pam_filter objectclass=User #pam_password ad # configure --enable-authpassword is no longer supported # AuthPassword mappings #nss_map_attribute userPassword authPassword # AIX SecureWay mappings #nss_map_objectclass posixAccount aixAccount #nss_base_passwd ou=aixaccount,?one #nss_map_attribute uid userName #nss_map_attribute gidNumber gid #nss_map_attribute uidNumber uid #nss_map_attribute userPassword passwordChar #nss_map_objectclass posixGroup aixAccessGroup #nss_base_group ou=aixgroup,?one #nss_map_attribute cn groupName #nss_map_attribute uniqueMember member #pam_login_attribute userName #pam_filter objectclass=aixAccount #pam_password clear # Netscape SDK LDAPS #ssl on # Netscape SDK SSL options #sslpath /etc/ssl/certs # OpenLDAP SSL mechanism

46

#ssl start_tls #ssl on # OpenLDAP SSL options # Require and verify server certificate (yes/no) # Default is to use libldap's default behavior, which can be configured in # /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for # OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes". #tls_checkpeer yes # CA certificates for server certificate verification # At least one of these are required if tls_checkpeer is "yes" #tls_cacertfile /etc/ssl/ca.cert #tls_cacertdir /etc/ssl/certs # Seed the PRNG if /dev/urandom is not provided #tls_randfile /var/run/egd-pool # SSL cipher suite # See man ciphers for syntax #tls_ciphers TLSv1 # Client certificate and key # Use these, if your server requires client authentication. #tls_cert #tls_key # Disable SASL security layers. This is needed for AD. #sasl_secprops maxssf=0 # Override the default Kerberos ticket cache location. #krb5_ccname FILE:/etc/.ldapcache # SASL mechanism for PAM authentication - use is experimental # at present and does not support password policy control #pam_sasl_mech DIGEST-MD5 nss_initgroups_ignoreusers avahi,avahiautoipd,backup,bin,couchdb,daemon,dovecot,ftp,games,gdm,gnats,haldaemon,hplip,irc,kernoo ps,landscape,libuuid,list,lp,mail,man,messagebus,news,openldap,postfix,proxy,pulse,root, rtkit,saned,speech-dispatcher,sync,sys,syslog,usbmux,uucp,www-data

c) Abrimos la terminal e ingresamos los siguientes comandos: sudo cp /etc/ldap.conf /etc/ldap/ldap.conf

d) Creamos y editamos el archivo open_ldap sudo gedit /etc/auth-clientconfig/profile.d/open_ldap

Como se muestra a continuacin:

47

[open_ldap] nss_passwd=passwd: compat ldap nss_group=group: compat ldap nss_shadow=shadow: compat ldap nss_netgroup=netgroup: nis pam_auth=auth required pam_env.so auth sufficient pam_unix.so likeauth nullok auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so pam_account=account sufficient pam_unix.so account sufficient pam_ldap.so account required pam_deny.so pam_password=password sufficient pam_unix.so nullok md5 shadow use_authtok password sufficient pam_ldap.so use_first_pass password required pam_deny.so pam_session=session required pam_limits.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 session required pam_unix.so session optional pam_ldap.so

e) Abrir la Terminal
sudo auth-client-config -a -p open_ldap sudo auth-client-config -a -p open_ldap

f) Reiniciamos los servicios

service smbd restart /etc/init.d/slapd restart

48

Ahora nos dirigimos a Windows 7 1. Samba 3.4 debe estar instalado 2. Usted necesita para hacer el registro siguientes ediciones: Ir a: [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters] y aadir dos nuevos valores DWORD: "DomainCompatibilityMode" (establecido en 1)"DNSNameResolutionRequired" (a 0) Hay que aadir para permitir la unin para trabajar continuacin, vaya a: [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters] Y asegrese de que los dos valores se establece en 1 (que ya debe existir) "RequireSignOrSeal" " RequireStrongKey " Paso 5: Configuracin servicio Postfix Para enviar correo se ocupa un MTA, instalamos postfix con los comandos: Sudo aptitude intall postix Sudo dpkg-recofigure postfix Y responde las siguientes preguntas:
General type of mail configuration: internet site None doesnt apper to be requestion in current config System mail name: redes.net

Root and postmaster mail recipient: root

Other destination for mail: redes.net; grupo01b.redes.net; localhost.redes, localhost. Fprce synchrous updates on mail queue? No Local Networks: 127.0.0.0/8 Yes Doesnt aper to be requestes in current config Mail box size limit(bytes):0 Local address extension character:+ Internet protocols to use: all

49

Y ahora se configura Posfix:

Sudo postconf e home_mailbox= Maildir/ Sudo postconf e mailbox_command = Sudo postconf e smtpd_sasl_local_domain= Sudo postconf e smtpd_sasl_auth_enable= yes Sudo postconfe smtpd_sasl_security_options= noanonymous Sudo postconf e broken_sasl_auth_clients = yes Sudo postconf e smtpd_recipient_restrictions= permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination Sudo postconf e inet_interfaces= all

Ahora se hace el archivo /etc/posfix/sasl/smtpd.config y se ingresa lo siguiente.

Pwcheck_method:saslauthd Mech_list: plain login

Ahora se hacen los certificados y se configura Posfix para que utilice TLS

Touch smtpd.key
Chmod 600 smtp.key Openssl genrsa 1024 > smtpd.key Openssl req new key smtpd.key -x509 days 3650 out smtp.crt # has prompts Openssl req -new x509 extensions v3_ca keyout cakey.pem outcacert.pem days 3650 # has prompts

50

Sudo mv smtpd.key /etc/ssl/private/ Sudo mv smtpd.crt /etc/ssl/certs/ Sudo mv cakey.pem /etc/ssl/private/ Sudo mv cacert.pem /etc/ssl/certs/

Sudo postconf e smtd_tls_security_level= may

Sudo postconf e smtpd_tls_security_level= may Sudo postconf e smtpd_tls_auth_only= no Sudo postconf e smtp_tls_note_starttls_offer=yes Sudo postconf e smtp_tls_key_file=/etc/ssl/private/smtpd.key Sudo postconf e smtp_tls_cert_file=/etc/ssl/certs/smtpd.crt Sudo postconf e smtp_tls_cafile_file=/etc/ssl/certs/cacert.pem Sudo postconf e smtp_tls_loglevel=1 Sudo postconf e smtp_tls_received_header=yes Sudo postconf e smtp_tls_sessions_cache_timeout=3600s Sudo postconf e tls_random_source=dev:/dev/urandom Sudo postconf e myhostname=grupo01b.redes.net

Y se reinicie el demonio Sudo/etc/init.d/postfix.restart Ahora se instaka libsasl y sasl2- bin y se hace un link simblico de sasl al home de posfix, ya que este funciona con chroot.

51

This needs to be uncommented before saslauthd will be run automatically Start= yes Pwdir=/var/spool/postfix/var/run/saslauthd PARAMS= -m ${PWDIR} PIDFILE= ${PWDIR}/saslauthd.pid

#You must specify the authentication mechanisms you wish to use.

# This defaults to pam for PAM support, but may also include #MECHANISMS= am shadow MECHANISMS= pam #Other options (default:-c) #See the saslauthd man page for information about these options.

#Example for postfix users: -c m /var/spool/postfix/var/run/saslauthd

#Note: See/usr/share/do/sasl2-bin/READE. Debian #Options= -c #make sure you set the options here otherwise it ignores params above and will not work OPTIONS= -c m/ var/spool/postfix/var/run/saslauthd

Ahora actualizaremos el estado del paquete e iniciamos el demonio. Sudo dpkg-statoverride forxw update add root sasl 755 /var/spool/postfix/var/run/saslauthd Sudo /etc/init.d/saslauthd start

52

Paso 6: Configuracin servicio Dovecot Dovecot lo vamos a instalar para que implemente tanto POP3 como IMAP simple, sin seguridad. Se instala con el siguiente comando:
Sudo aptitude instal Dovecot-imapd Dovecot- pop3d

Ahora se configura el archivo /etc/Dovecot/Dovecot.config y se editan las siguientes lneas.

Protocols= ppop3 pop3s imap imaps Pop3_uidl_format=%08Xu%08Xv Mail_location= maildir: ~/Maildir Disable_plaintext_auth= no

Ssl_disable= yes
Listen= * Protocol imap { Login_greeting_capability=yes Imap_client_workarounds= tb extra-mailbox sep }

Ahora se crea el Maidir para usuarios futuros:

Sudo maildirmake.dovecot /etc/skel/Maildir Sudo maildirmake.dovecot /etc/skel/Maildir/. Drafts Sudo maildirmake.dovecot /etc/skel/Maildir/.Sent Sudo maildirmake.dovecot /etc/skel/Maildir./Trash Sudo maildirmake.dovecot /etc/skel/Maildir/.Templates

53

Y se reinicia el demonio con el comando: Sudo/etc/init.d/Dovecot start Squirrelmail Instalamos y configuramos Squirrelmail para utilizar el servicio Sudo apt-get install squiiremmail Sudo squirrelmail-configure Ingresamos al men 4 y habilitamos la opcin 11(server-side sorting) Ahora se configura el apache para que habilite el sqirremail Sudo cp/etc/squirremail/ apache.conf/ etc/apache2/sites-available/sqirremail

Sudo a2ensite squrrelmail

Sudo /etc/init.d/apache2 force- reload

54

Paso 7 Configuracin del servicio FTP Abrimos la terminal e Instalamos el servicio sudo apt-get install vsftpd

Archivo vsftpd.conf ubicado en /etc/ listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES idle_session_timeout=600 data_connection_timeout=120 ftpd_banner=Welcome to blah FTP service. chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list pam_service_name=vsftpd pasv_enable=YES pasv_min_port=40000 pasv_max_port=4020 max_clients=5 max_per_ip=3 vsftpd_log_file=/var/log/vsftpd.log log_ftp_protocol=YES

Creamos archivo vsftpd.chroot_list ubicado en /etc y lo editamos e ingresamos grupo01b Creamos archivo vsftpd.user_list ubicado en /etc/ ftp Abrir la Terminal y Adherimos un grupo para usar ftp con el comando:
sudo groupadd usuariosftp

55

Cambiamos permisos a la carpeta que queremos que actu de recipiente (debemos crear dicha carpeta) sudo chmod 755 /home/ftp sudo chown root:usuariosftp /home/ftp

Creamos un usuario y proporcionamos su contrasea

sudo useradd -g usuariosftp -d /home/ftp -s /bin/false ftpgrupo01

sudo passwd ftpgrupo01

Reiniciamos el servicio con el comando

sudo service vsftpd restart

Paso 8: Configuracin del Syslog En el servidor ingresamos los siguientes comandos: En Debian Lenny debemos instalar el paquete Syslogd, ya que este no viene por defecto, entonces en una consola con privilegios de root escribimos lo siguiente: # apt-get install syslogd

Al terminar el proceso de instalacin nos vamos a editar el archivo /etc/Syslog.conf En la parte superior escribimos *.* @IP_KIWI_SYSLOG_SERVER

Ip del Windows 7

56

Guardamos y reiniciamos el demonio, para que tengan efecto los cambios: # /etc/init.d/sysklogd stop # /etc/init.d/sysklogd start

Instalacin del Kiwi Syslog en Windows 7 Para comenzar nos iremos a este link http://www.kiwisyslog.com/, all descargaremos el trial, solo basta con dejar nuestros datos personales. Damos clic en Download Now y bajamos el instalador que pesa solo 28.1 MB. Descomprimimos el paquete e instalamos el que dice Kiwi_syslog_server_9.0.3, con este instalamos el servicio en Windows, cabe decir que kiwi Syslog server est disponible en su instalacin como servidor solo para Windows, pero captura todos los logs de la red, incluyendo los de los equipos activos. Y comenzamos la instalacin. Automticamente se empieza a descomprimir el ejecutable

Y seguimos el wizzard de instalacin hasta llegar a su finalizacin. Nota: Se deben tener instalados la siguiente lista aplicaciones, en caso de que no estn el proceso de instalacin las descarga: Windows Installer 3.1. - .Net Framework 2. - Visual C++ 2008. - Una versin bsica de SQL server. - ASP.NET Ajax. - UltiDev Cassini Web Server Explorer. - UltiDev cassini Web Server

57

El Syslog ejecutndose debera de verse de la siguiente manera:

58

Configuracin del Roouter 1

version 12.3 service timestamps debug datetime msec service timestamps log datetime msec

no service password-encryption
hostname Router_1 boot-start-marker boot-end-marker enable password cisco no network-clock-participate slot 1

no network-clock-participate wic 0
no aaa new-model ip subnet-zero ip cef no ip domain lookup no ftp-server write-enable

59

interface Loopback0 no ip address interface FastEthernet0/0 no ip address

duplex auto
speed auto interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 172.17.20.1 255.255.255.0 no cdp enable interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 172.18.20.1 255.255.255.0 ip helper-address 172.17.20.3 no cdp enable interface Serial0/0 bandwidth 512 ip address 200.20.20.1 255.255.255.252 encapsulation ppp clockrate 512000

60

interface FastEthernet0/1 no ip address shutdown duplex auto speed auto

interface Serial0/1
description Interface Serial Turialba no ip address no ip redirects no ip unreachables no ip proxy-arp

no ip route-cache cef
no ip route-cache no fair-queue router eigrp 100 network 172.17.20.0 0.0.0.255 network 172.18.20.0 0.0.0.255

network 200.20.20.0 0.0.0.3

no auto-summary ip classless ip http server

61

line con 0 password cisco login line aux 0 line vty 0 4

password cisco
login end

Configuracin del Router 2

Current configuration : 1036 bytes version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname Router_2

boot-start-marker
boot-end-marker enable password 7 110A1016141D no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model

62

ip subnet-zero ip cef no ip domain lookup no ftp-server write-enable interface Loopback0 no ip address interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0 ip helper-address 172.17.20.3 duplex auto speed auto interface Serial0/0 bandwidth 512 ip address 200.20.20.2 255.255.255.252 encapsulation ppp interface FastEthernet0/1 no ip address duplex auto speed auto interface Serial0/1 description Router San Pedro directamente conectado a Turrialba no ip address no fair-queue

63

router eigrp 100 network 172.16.10.0 0.0.0.255 network 200.20.20.0 0.0.0.3 no auto-summary ip classless ip http server line con 0 login line aux 0 line vty 0 4 password 7 060506324F41 login end

64

Configuracin del Switch A

Current configuration : 1363 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname SwitchA enable secret $1$AWrL$yDelTMhZb8cFIPL00I04n. enable password redes ip subnet-zero ip ssh time-out 120 ip ssh authentication-retries 3 spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id interface FastEthernet0/1 interface FastEthernet0/2 interface FastEthernet0/3 switchport access vlan 2 interface FastEthernet0/4 5

65

interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 interface FastEthernet0/11 interface FastEthernet0/12 interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16 interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 interface FastEthernet0/22 interface FastEthernet0/23 interface FastEthernet0/24 switchport mode trunk

66

interface Vlan1 ip address 172.17.20.2 255.255.255.0 no ip route-cache ip default-gateway 172.17.20.1 ip http server

line con 0
exec-timeout 0 0 line vty 0 4 password redes login line vty 5 15

password redes
login --More-00:15:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, chan ged sta! end n

Configuracin del Switch B

67

Current configuration: port-channel mode on vtp domain "redes" hostname "SwitchB" multicast-store-and-forward

ip address 172.16.10.2 255.255.255.0

ip default-gateway 172.16.10.1 enable secret $1$FMFQ$kIM22pHKpzUK2rvyIDoHq0 interface Ethernet 0/1 interface Ethernet 0/2 interface Ethernet 0/3 interface Ethernet 0/4 interface Ethernet 0/5 interface Ethernet 0/6 interface Ethernet 0/7 interface Ethernet 0/8 interface Ethernet 0/9 interface Ethernet 0/10 interface Ethernet 0/11 interface Ethernet 0/25 interface FastEthernet 0/26 interface FastEthernet 0/27 5

line console
end

68

Conclusiones
Puntos concluidos y pendientes
Se desarrollaron todas las especificaciones del proyecto por lo que no quedaron puntos pendientes

Recomendaciones
Trabajar con Ubuntu 10.04 LTS(Lucid Lynx) para la solucin de este proyecto ya que la versin Ubuntu 11.04 ( Natty Narwhal ) presenta error de kernel y actualmente existe muy poca documentacin.

Distribucin de la carga de trabajo entre los integrantes del grupo

Servicio DNS DHCP NFS MTRG OPENLAP SAMBA POSTFIX DEVOCOT FTP HTTPS Encargado Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa Rafael-Daniel-Melissa

69