Создание рабочей станции для сети предприятия

 

Содержание

Введение

. Создание платформы

1.1 Анализ ТЗ

.2 Установка ОС и ее первоначальная настройка

. Администрирование сервисов рабочей станции

.1 Администрирование пользователей и групп

.2 Настройка DNS и LDAP серверов

.2.1 Установка и настройка DNS сервера bind

.2.2 Установка и настройка LDAP сервера

.3 Установка Samba

.4 Установка apache2+phpldapadmin

2.5 DHCP сервер

2.6 IPtables

. Аудит созданной системы

.1 Автоматизация

.2 Документация

3.3 Поддерживать общение с пользователями

.4 Контролировать ресурсы

.5 Знать потребности пользователей

3.6 Знать деятельность предприятия

.7 Безопасность

Заключение

Список используемых источников

Введение

В процессе выполнения курсового проекта нам необходимо создать и сконфигурировать рабочую станцию сети предприятия. При необходимости она должна подменить любой узел этой сети, как обычную рабочую станцию, так и станцию администрирования. Для этого она должна обладать всем набором инструментов обеспечивающих эти задачи: сетевые сервисы, утилиты для работы с пользователями и группами и т.п. Современная тенденция развития средств администрирования ЛВС такова, что на серверах и на локальных рабочих станциях в качестве операционной системы применяются продукты семейства Unix-подобных, в частности Linux.

Сейчас Linux подходит для использования практически на любом предприятии и может позволить повысить эффективность вложений в информационные технологии. Привлекательность Linux также повышают хорошие показатели его безопасности и масштабируемости, а также многочисленные исследования, говорящие о более низкой по сравнению с альтернативными операционными системами стоимости владения.

Каковы наиболее перспективные направления использования Linux в корпоративных системах? Высокая степень развития Linux сейчас дает возможность предприятиям построить практически всю информационную систему на основе Linux: доступные для этой платформы приложения обеспечивают всю необходимую серверную функциональность.

Согласно исследованиям IBM, самыми перспективными областями внедрения Linux, в которых эта платформа представляет наиболее зрелые решения и более всего востребована, являются инфраструктурные серверы, кластерные решения и решения, обеспечивающие консолидацию нагрузки, а также специализированные прикладные решения, как ERP или приложения для различных отраслей. Кроме того, многие компании уже разрабатывают пользовательские приложения для Linux и продвигают Linux как настольную операционную систему.

Операционная система Linux используется на инфраструктурных серверах практически с момента своего появления, и многие свободно распространяемые продукты для Linux уже давно завоевали бешеную популярность среди системных администраторов и практически стали стандартами де-факто в своей области. К таким продуктам относится веб-сервер Apache, сетевой сервис для организации совместного доступа к файлам и принтерам - Samba, почтовый сервер Sendmail и другие.

Важной особенностью инфраструктурных серверов, построенных на основе Linux, является их успешная работа в гетерогенных сетях, т.к. очень большой процент компаний использует в своих информационных системах компьютеры и серверы, работающие под управлением различных операционных систем.

С технической точки зрения решения на базе Linux предлагают всю необходимую функциональность. Кроме того, возможность выбора среди различных программных продуктов очень широка. С помощью одних только свободно распространяемых приложений, существующих в Linux, можно построить локальную сеть предприятия, включающую Интернет-серверы, серверы печати, данных, web-серверы.

При этом если функциональности свободного программного не хватает, можно использовать коммерческое ПО различных вендоров, среди которых - IBM, Novell и другие компании. К примеру, сервер для организации групповой работы, в зависимости от потребностей вашей компании, можно реализовать как на свободном программном обеспечении, так и на базе программных продуктов Lotus Domino и других.

OpenSUSE - дистрибутив Linux. Изначально разрабатывался в Германии, но сейчас его владельцем является американская корпорация Novell, Inc.. Был основан на дистрибутиве Slackware, однако был значительно переделан и представляет собой обособленный дистрибутив, отличается от последнего форматом пакетов, а также системой настройки и администрирования YaST. Со временем SUSE включила в себя много аспектов Red Hat Linux (использование системы RPM и /etc/sysconfig). Лёгкие для пользователей система настройки YaST и система управления пакетами Zypper. Имеется набор драйверов «из коробки». Большой выбор пакетов, за счёт использования RPM и подключаемых репозиториев. Система сборки OBS.

1. Создание платформы

.1 Анализ ТЗ

В процессе курсового проектирования нам необходимо создать рабочую станцию для сети предприятия. В качестве базовой ОС, согласно заданию, будем использовать Linux Ubuntu 10.4.

Для выполнения задания нам необходимо:

1. установить один из дистрибутивов и познакомится с основными особенностями и принципами работы в *nix системах (на примере Linux Ubuntu 10.4);
2. познакомится с основными утилитами и приложениями дистрибутива;
3. применить утилиты администрирования пользователей и групп, утилиты присвоения прав и владельца объектам;
4. сконфигурировать сетевые сервисы: DNS-сервер, LDAP-сервер, DHCP-служба;
5. сконфигурировать брандмауэр iptables.

1.2 Установка ОС и ее первоначальная настройка

инфраструктурный сервер сеть операционный

В процессе установки Ubuntu 10.04 , пользователю предлагается выбрать основные параметры системы - имя пользователя, пароли, страну, язык, раскладку клавиатуры. Важным пунктом установки системы является разметка дисков.

Данный шаг подразумевает выполнение двух задач: во-первых, подготовка, которая заключается в освобождение места под разделы Linux, а во-вторых, создание разделов Linux. Для начала вам будет предложено несколько опций, в зависимости от того, что в данный момент находится на вашем жёстком диске. Выбираем «Задать разделы вручную» и нажмём «Вперед», не обращая внимания на то, что сейчас есть на диске. Здесь остановлюсь по подробней :

• Если весь диск полностью размечен под Windows, выполняйте указания части А.
• Если диск совершенно пустой, выполняйте указания части В.
• Если на диск установлена операционная система Windows, и есть неразмеченное свободное дисковое пространство, выполняйте указания части С.

Часть А

Если весь диск полностью размечен под Windows , выберите свой раздел Windows и нажмите кнопку «Изменить…», как показано на рисунке 1.2.1 .

Появится диалоговое окно, в нем Вам нужно сократить размер раздела Windows , чтобы появилось свободное место для Ubuntu . В первое поле введите размер (в мегабайтах), до которого вы хотите уменьшить раздел Windows , а во втором поле выберите «не использовать раздел». Нажмите «OK».

Рисунок 1.2.1

Далее следовать пунктам 2 и 3.

Часть В

. Если у вас один жёсткий диск, и он совершено пустой, то первым делом нужно будет создать новую таблицу разделов. Для этого выберите свой пустой диск, который обычно обозначается как HDA (для IDE) или SDA (для SATA, SCSI и USB), и нажмите кнопку «Новая таблица разделов». Если вы устанавливаете Ubuntu на второй жёсткий диск, а на первом у вас установлена Windows , то второй диск, скорее всего, будет обозначен «HDB» или «SDB» (или наоборот, второй диск будет HDA или SDA). Появится предупреждение о возможной потере данных. Если у вас несколько дисков, убедитесь, что вы выбрали нужный, и нажмите «Продолжить».

. Как и в случае с местом, предназначенным для файлов подкачки в Windows , существуют разные мнения по поводу того, каким должен быть размер раздела «swap». Для простоты выделяем под «swap» место, равное объёму оперативной памяти системы. Если у вас 512 Мбайт памяти, то раздел «swap» должен иметь размер 512 Мбайт. Если у вас 4 Гбайт памяти, то и раздел «swap» будет на 4 Гбайт. Будет ли раздел первичным (primary) или логическим (logical), зависит от того, сколько операционных систем вы планируете поставить на этот диск. Максимальное число первичных разделов - четыре на диск. Хотя есть определённая выгода от расположения раздела «swap» в начале или в конце жёсткого диска, в значительной степени это зависит от индивидуальных спецификаций винчестера. Выбираем пункт «свободное пространство» и нажмите кнопку «добавить…». Заполняем все поля, кроме «точки монтирования» и нажимаем «OK».

. Далее нужно создать корневой раздел ( / ). Выберите пункт «свободное пространство» и нажмите кнопку «добавить…». Поскольку корневой раздел будет содержать все точки монтирования , мы должны выделить для него место. Минимум для корневого раздела ( / ) - 4 Гбайт, и этого будет достаточно, если большинство ваших приложений находятся в онлайн (в облаке). Однако если вы планируете установить много приложений локально или приложения будут большими, то нужно выделить для корневого раздела ( / ) больше места. Рекомендуется выделить под корневой раздел от 15 Гбайт и более, в зависимости от того, сколько у вас доступно места. В отличие от Windows, системные файлы Ubuntu можно установить как на первичный, так и на логический раздел. Для данного раздела выберите «Журанлированная файловая система Ext4», точку монтирования - /, затем нажмите «OK».

Часть С

Если на диск установлена операционная система Windows , и есть неразмеченное свободное дисковое пространство, то это должно выглядеть как на рисунке 1.2.2.

Рисунок 1.2.2

Следуем пунктам 2 и 3. Далее все просто, нужно будет указать название компьютера, создать учетную запись, затем появится мастер переноса настроек из других операционных систем , т.е. если есть иная операционная система ,то вы можете перенести файлы и настройки из учетных записей той системы в Ubuntu.

Все , система установлена , теперь можете приступать к русификации , настройке оформления и установки дополнительных приложений .

2. Администрирование сервисов рабочей станции

.1 Администрирование пользователей и групп

В linux-системах есть понятия суперпользователя (Super User). Он называется root. Пользователь root может контролировать каждый процесс, имеет доступ к каждому файлу и может выполнить любую функцию в системе. Ничего не может быть спрятано от root'а. Говоря административным языком, root - это высшее существо. Поэтому очень важно, чтобы учетная запись root была защищена секретным паролем. Не стоит использовать root'а для выполнения обычных задач. Другим пользователям можно дать привилегии суперпользователя, но делать это надо с осторожностью. Обычно вы будете настраивать отдельные программы, чтобы определенные пользователи могли выполнять их как root, вместо того, чтобы предоставлять всем суперпользовательский доступ.

Основные атрибуты пользователя:

<UID> - User Id.

<GID> - Group Id.

<HOME_DIR> - каталог пользователя.

<SHELL> - интерпретатор команд для пользователя.

Основные атрибуты группы:

<GID> - Group Id.

<GROUP_NAME> - имя группы.

<USER_LIST> - список пользователей группы.

Таблица 2.1.1 Основные утилиты работы с пользователями и группами, назначения доступа и прав

Формат командыНазначениеgroupadd group_nameСоздать новую группу с именем group_namegroupdel group_nameУдалить группу group_namegroupmod -n new_group_name old_group_nameПереименовать группу old_group_name в new_group_nameuseradd -c "Nome Cognome" -g admin -d /home/user1 -s /bin/bash user1Создать пользователя user1, назначить ему в качестве домашнего каталога /home/user1, в качестве shell'а/bin/bash, включить его в группу admin и добавить комментарийNome Cognomeuseradd user1Создать пользователя user1userdel -r user1Удалить пользователя user1 и его домашний каталогusermod -c "User FTP" -g system -d /ftp/user1 -s /bin/nologin user1Изменить атрибуты пользователяpasswdСменить парольpasswd user1Сменить пароль пользователя user1 (только root)chage -E 2005-12-31 user1Установить дату окончания действия учётной записи пользователя user1pwckПроверить корректность системных файлов учётных записей. Проверяются файлы /etc/passwd и /etc/shadowgrpckПроверяет корректность системных файлов учётных записей. Проверяется файл /etc/groupnewgrp [-] group_nameИзменяет первичную группу текущего пользователя. Если указать "-", ситуация будет идентичной той, в которой пользователь вышил из системы и снова вошёл. Если не указывать группу, первичная группа будет назначена из/etc/passwdchmodИзменение прав доступа к файлам и каталогам.chownИзменение владельца файлов и каталогов.

. Создание пользователей под учетной записью root:

useradd -d /home/user_1 user_1

passwd user_1

-d /home/user_2 user_2user_2

-d /home/user_3 user_3user_3

-d /home/user_4 user_4user_4

-d /home/user_5 user_5user_5

. Создание каталогов пользователей

/home/user_1/home/user_2/home/user_3/home/user_4/home/user_5

Чтобы удостоверится в добавлении можно посмотреть файл /home.

. Изменение владельцев каталогов пользователей

user_1 /home/user_1user_2 /home/user_2user_3 /home/user_3user_4 /home/user_4user_5 /home/user_5

. Создание групп пользователей:

addgroup group_1group_2

. Добавление пользователей в группы:

-G group_1 user_1-G group_1 user_2-G group_1 user_3-G group_2 user_4-G group_2 user_5

Чтобы удостоверится в добавлении можно посмотреть файл /etc/group.

. Создаем скриптовый файл пользователем user_5 в его домашней директории touch /home/user_5/testscript.sh

. В файл добавляем скрипт: echo Hello, World!

. Добавляем право запуска файла всем пользователям группы group2 chmod a-x /home/user_5/testscript.sh

. Теперь пользователи группы group_1 не могут запускать этот скрипт, а пользователи group_2 могут.

2.2 Настройка DNS и LDAP серверов

- компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу. Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения - другой организации или человеку), что позволяет возложить ответственность за актуальность информации на сервера различных организаций (людей), отвечающих только за "свою" часть доменного имени.- это сетевой протокол для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP - относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем. Уникальное имя может выглядеть, например, следующим образом: «cn=Иван Петров, ou=Сотрудники, dc=example, dc=com». Уникальное имя состоит из одного или нескольких относительных уникальных имен (RDN - англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение. На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева. Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы. В схеме определено, одни атрибуты являются для данного класса обязательными, а другие - необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

2.2.1 Установка и настройка DNS сервера bind9

Основное назначение DNS сервера - перевод доменных имен в ip адреса. А так же хранение информации о домене: поддоменах, почтовых серверах и многом другом.

На сегодня в среде Linux реализовать DNS сервер можно при помощи утилиты Bind 8й или 9й версии. Основное отличие в версиях заключается в том, что при ошибке в файле named.conf Bind9 запишет информацию об ошибке в файл лога и продолжит работу, а Bind8 запишет информацию об ошибке и остановится (перестанет обрабатывать запросы).

Установим сам DNS сервер bind9.get install bind9

Теперь нам надо его настроить. В случае использования bind9 в качестве корпоративного (кэширующего) сервера есть смысл настроить форвардинг запросов на DNS сервер провайдера. Делается это так :

vi /etс/bind/named.conf.option

forwarders {

.44.44.44;

};

В данном случае 44.44.44.44 - DNS сервер провайдера. Если планируется поддержка только интернет сайтов, то этого делать нет смысла.

В конфигурационный файл bind запишем информацию о наших зонах, как прямого имя - айпи, так и обратного айпи - имя преобразования.

vi /etc/bind/named.conf.local

Содержимое файла named.conf.local :"work.com" {master;"/etc/bind/work.com";

};"1.168.192.in-addr.arpa" {master;no;"/etc/bind/db.192";

};

Теперь нам надо создать файлы зон.

Создадим файл прямого преобразования : touch /etc/bind/work.com

Отредактируем наш файл конфигурации: vim /etc/bind/work.com

и пропишем туда необходимые конфиги :

$TTL 604800

@ IN SOA ubuntu.kurswork.ru. root.example.com.

; serial

; Refresh

; Retry

; Expire

) ; Negative Cache TTL

@ IN NS ubuntu.kurswork.ru.

@ IN A 192.168.0.2

@ IN AAAA ::1IN A 192.168.0.2

Пропишем в файл необходимые конфигурации указав в параметре ; Serial текущую дату и количество обновлений зоны за день (в данном случае в конце прописано 01, это значит обновление зоны 1 раз в сутки).

Создадим файл обратного преобразования :/etc/bind/ 1.168.192.in-addr.arpa

Отредактируем наш файл конфигурации :/etc/bind/ 1.168.192.in-addr.arpa

и пропишем туда необходимые конфиги :

$ORIGIN 0.168.192.in-addr.arpa.

$TTL 86400 ; 1 day

@ IN SOA ubuntu.kurswork.ru. root.localhost. (

; serial

; refresh (3 hours)

; retry (15 minutes)

; expire (1 week)

; minimum (1 day)

)NS ubuntu.kurswork.ru.

IN PTR work.com.

Для того что-бы использовать наш локальный DNS нам необходимо прописать в файл /etc/resolv.conf следующее: nameserver 192.168.0.2

Это ip - адрес моего интерфейса . В файле resolv.conf содержатся адреса серверов имен, к которым имеет доступ данная система. В этом файле можно создавать три типа записей, каждая из которых предваряется одним из трех ключевых слов: domain, nameserver, search. В записи domain вводится доменное имя локальной системы. В записи search приводится список доменов на тот случай, если задается только хост-имя. Если к какой-либо системе пользователь обращается часто, он может ввести имя ее домена в запись search, а затем использовать в качестве адреса только хост-имя. Определитель попытается найти полное доменное имя по имени домена, указанному в записи search. После записей search идут записи nameserver, если таковые имеются. Для каждого сервера имен, к которому имеет доступ данная система, вводиься ключевое слово nameserver и IP-адрес. Таких серверов может быть несколько, и порядок их следования в списке очень важен. Во многих сетях имеется основной сервер имен и несколько вспомогательных. Основной сервер должен запрашиваться первым. Для этого его IP-адрес должен быть введен в первую запись nameserver.

Теперь обновим конфигурацию, для этого выполним в консоле : rndc reload

Теперь проверим работает ли наш dns сервер, для этого пропишем в консоле: nslookup work.com

Мы должны увидеть следующее (рисунок 2.2.1):

Рисунок 2.2.1

При возникновении каких либо проблем в работе DNS сервера и других серверов, полезным может оказаться просмотр логов, которые находятся в директории /var/log/syslog и /var/log/messages .

2.2.2 Установка и настройка LDAP сервера

Сервер LDAP (Lightweight Directory Access Protocol) позволяет централизовать управление пользователями, группами, доменами, аутентификацией, хранением инфомации . Перед установкой самого сервера , выполним вход под root , чтоб не заморачиваться с записью sudo и выполним проверку и установку новых пакетов приложений :

sudo suget updateget upgrade

Устанавливаем OpenLdap : apt-get install slapd ldap-utils migrationtools

migrationtools - необходим, если предстоит перенести много пользователей и групп собственно из UNIX.- это пакет, который предоставляет сервер OpenLDAP в Ubuntu.ldap-utils - программы-клиенты для этого сервера.

Настраиваем OpelLdap

-Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif-Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif-Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ netorgperson.ldif- добавление записи .

Ключ -Y mech - указывает какой SASL-механизм использовать для аутентификации. Если не указан, программа выберет лучший механизм из тех, что знает сервер.- один из множества SASL механизмов , суть которого заключается в том ,что клиент посылает первый ответ, содержащий идентификатор клиента. Сервер использует внешние средства для аутентификации клиента в соответствии с этим идентификатором. Используется, если прикладной протокол работает поверх IPSec или TLS.

Ключ -H ldapuri - указывает URI LDAP-сервера; допускаются только поля протокол/хост/порт; в качестве аргумента ожидается список URI, разделённых пробелами или запятыми.

Ключ -f file - считает множество DN из файла, по одному на строку; выполняет удаление для каждой записи . Пользователи (да и не только пользователи, а вообще всё : юзеры , компьютеры , серверы ; но для краткости буду использовать слово пользователи) в LDAP добавляются следующим образом ;

Во-первых, все данные о пользователях заносятся в ldif-файлы, такие файлы специального формата . Во-вторых , сам этот файл импортируется в LDAP .

Итак , создаем папку для хранения ldif файлов mkdir /ldap_ldif

Создадим в ней файлик backend.example.com.ldif (этот файлик является аналогом файлика slapd.conf в других версиях Ubuntu, в версии 10.04 создатели решили изменить старый добрый способ конфигурации LDAP через файлик slapd.conf) nano /ldap_ldif/backend.example.com.ldif

Содержание файла :

# Load dynamic backend modules: cn=module,cn=config: olcModuleList: module: /usr/lib/ldap: back_hdb

# Database settings: olcDatabase=hdb,cn=config: olcDatabaseConfig: olcHdbConfig: {1}hdb: dc=example,dc=com: /var/lib/ldap: cn=admin,dc=example,dc=com: 12345: set_cachesize 0 2097152 0: set_lk_max_objects 1500: set_lk_max_locks 1500: set_lk_max_lockers 1500: objectClass eq: TRUE: 512 30: to attrs=userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none: to attrs=shadowLastChange by self write by * read: to dn.base="" by * read: to * by dn="cn=admin,dc=example,dc=com" write by * read

Это учетная запись для доступа к ldap дереву admin . Выходим и сохраняем файлик .

Выполняем :-Y EXTERNAL -H ldapi:/// -f ldap_ldif/backend.example.com.ldif

Теперь, можно создать собственно записи в БД о корне домена и об админе . Создадим файл frontend.example.com.ldif в папке /ldap_ldif.

Содержание файла :

# Create top-level object in domain

dn: dc=example,dc=com: top: dcObject: organization: Example Organization: Example: LDAP Example

# Admin user.: cn=admin,dc=example,dc=com: simpleSecurityObject: organizationalRole: admin: LDAP administrator: 12345: ou=people,dc=example,dc=com: organizationalUnit: people: ou=groups,dc=example,dc=com: organizationalUnit: groups: uid=john,ou=people,dc=example,dc=com: inetOrgPerson: posixAccount: shadowAccount: john: Doe: John: John Doe: John Doe: 1000: 10000: password: John Doe: /bin/bash: /home/john: -1: 0: 7: 8: 999999: 10877: [email protected]: 31000: Toulouse: Example: +33 (0)6 xx xx xx xx: +33 (0)5 xx xx xx xx: System Administrator:: JD: cn=example,ou=groups,dc=example,dc=com: posixGroup: example: 10000

Учетная запись для доступа к ldap дереву admin . Здесь мы создаем 2 сущности - people и groups, в которых мы будем добавлять соотвественно людей и группы, и затем создаем пользователя John Doe и группу example. Выходим и сохраняем файлик .

Выполняем-x -D cn=admin,dc=example,dc=com -W -f /ldap_ldif/ frontend.example.com.ldif

Ключ -x - использовать простую аутентификацию вместо SASL.

Ключ -D binddn - привязаться к каталогу от имени binddn. При использовании SASL-аутентификации предполагается, что сервер будет игнорировать это значение.

Ключ -W - спросить пароль в командной строке в ходе простой аутентификации.

Итак, мы создали нового пользователя в дереве john с паролем password.

Проверим:-xLLL -b "dc=example,dc=com" uid=john sn givenName cn- инструмент для поиска информации в LDAP

Ключ -L - результаты поиска показываются в LDAP Data Intechange Format (LDIF) формате. Подробнее о формате в ldif(5). Одно -L означает, что вывод должен быть в формате LDIFv1. Второе -L отключает комментарии. Третье -L отключает вывод версии. По умолчанию используется расширенная версия LDIF.

Ключ -b searchbase - использовать searchbase в качестве точки начала поиска, вместо стандартной . Результат представлен на рисунке 2.2.2.

Рисунок 2.2.2

2.3 Установка Samba

Для корректного сосуществования Linux и Windows в мире Unix существует пакет Samba, предназначенный для взаимодействия с клиентами сети Microsoft Windows.

Этот пакет дает возможность Linux-системе выступать в качестве файлового и принт-сервера в сети Microsoft Windows, а также позволяет компьютеру под управлением Linux выступать в качестве первичного контроллера домена (Primary Domain Controller, PDC) сети Windows. Помимо этого есть Samba-клиент для операционной системы Linux, обеспечивающий подключение Linux-клиента к ресурсам, предоставляемым серверами сети Microsoft Windows[5].

Установка Samba : sudo apt-get install samba samba-doc smbldap-tools

Smbldap-tools представляет из себя набор скриптов, обеспечивающий синхронную работу с базами данных пользователей, групп и компьютеров сервера Samba и LDAP каталога. Это инструмент как пользователей, так и администраторов систем Linux. Пользователи могут изменять их пароли так же, как и при использовании стандартной команды passwd.

Настроим сервер Samba на работу с Ldap :

sudo cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz/etc /ldap/schema/

sudo gzip -d /etc/ldap/schema/samba.schema.gz

уменьшает размер перечисленных файлов, используя кодирование Лемпеля-Зива (LZ77). Там, где это возможно, каждый файл заменяется архивом с расширением .gz, с таким же владельцем, временем доступа и модификации.

Ключ -d --decompress -uncompress - распаковка.

Создадим файлик schema_convert.conf в папке /ldap_ldif :/ldap_ldif/schema_convert.conf

Содержание файла:

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/collective.schema/etc/ldap/schema/corba.schema/etc/ldap/schema/cosine.schema/etc/ldap/schema/duaconf.schema/etc/ldap/schema/dyngroup.schema/etc/ldap/schema/inetorgperson.schema/etc/ldap/schema/java.schema/etc/ldap/schema/misc.schema/etc/ldap/schema/nis.schema/etc/ldap/schema/openldap.schema/etc/ldap/schema/ppolicy.schema/etc/ldap/schema/samba.schema

Создадим временную папку : mkdir /tmp/ldif_output

Выполним :-f /ldap_ldif/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/cn=samba.ldif

Утилита slapcat выгружает содержимое каталога LDAP в виде LDIF в устройство стандартного вывода или файл (если вы используете параметр -l имя_файла). При желании вы можете использовать параметр -s, чтобы указать начальное имя DN, или параметр -a, чтобы задать фильтр запроса. Утилита работает непосредственно с базой данных и не может быть запущена, пока сервер работает. Поддерживаются только базы данных типа bdb.

В папке /tmp получим файлик cn=samba.ldif , откроем его : nano /tmp/cn=samba.ldif

Поправим первые строки в файле так :

dn: cn=samba,cn=schema,cn=config

...: samba

И удалим в конце файла строки :

structuralObjectClass: olcSchemaConfig: b53b75ca-083f-102d-9fff-2f64fd123c95: cn=config: 20080827045234Z: 20080827045234.341425Z#000000#000#000000: cn=config: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .

Теперь правим код . Выполняем . sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=samba.ldif

Дальше нужно подключить схему misc.ldif :

Выполняем:-f /ldap_ldif/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={8}misc,cn=schema,cn=config" > /tmp/cn=misc.ldif

Восьмерка в скобках указывает номер ветки, начиная с нуля, в файле schema_convert.conf .

Откроем его : nano /tmp/cn=misc.ldif

Поправим строки сверху на :

: cn=misc,cn=schema,cn=config

...: misc

И удалим в конце файла строки

: olcSchemaConfig: b53b75ca-083f-102d-9fff-2f64fd123c95: cn=config: 20080827045234Z: 20080827045234.341425Z#000000#000#000000: cn=config: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=misc.ldif

Результат наших действий представлен на рисунке 2.3.

Вводим командy: sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

Рисунок 2.3

2.4 Установка Apache2 + phpldapadmin

Apache HTTP-сервер - свободный <#"justify">Установим пакеты:get install apache2 phpldapadmin

Откроем /etc/apache2/httpd.conf:/etc/apache2/httpd.conf

Добавим строку:ubuntu.kurswork.ru.kurswork.ru - доменное имя машины .

Перезапустим Apache как показано на рисунке 2.4:/etc/init.d/apache2 restart

Рисунок 2.4

Скопируем PHPLDAPAdmin в /var/www/ directory.

cp -R /usr/share/phpldapadmin/ /var/www/phpldapadmin

Вводим в браузере :

<#"350" src="doc_zip7.jpg" />

Рисунок 2.4.1

Имя "cn=admin,dc=example,dc=com" , учетную запись и доменную зону LDAP берем соответственно из файла frontend.example.com . При удачной авторизации можно увидеть примерно следующее :

2.5 DHCP-сервер

классический клиент-серверный протокол. Клиентами выступают компьютеры сети, пытающиеся получить IP-адрес, адрес сетевого шлюза, имя хоста и другие параметры. Сервер DHCP выдает в ответ на запрос клиентов назначаемые им сетевые параметры (IP-адрес, адрес шлюза), контролирует использование IP-адресов, поддерживает пул свободных адресов и ведет собственную базу клиентов.

Установка и настройка DHCP сервера.

Приступаем к установке. Для начала установим сам сервер:get install dhcp3-server

Чтобы узнать какие интерфейсы у нас есть , можно воспользоваться утилитой ifconfig , как показано на рисунке 2.5 .

Рисунок 2.5

Сразу определим интерфейс на котором он будет работать. Для этого нужно в файле /etc/default/dhcp3-server подправить параметр INTERFACES:="eth0"

Для настройки DHCP-сервера редактируем файл /etc/dhcp3/dhcpd.conf:

option domain-name "ubuntu.kurswork.ru";

option domain-name-servers 192.168.0.2;

Эти параметры указывают домен и адрес DNS .

Добавим в конце файла секцию для нашей сети:

192.168.0.0 netmask 255.255.255.0 {netbios-name-servers 192.168.0.253;domain-name-servers 192.168.0.2;domain-name "ubuntu.kurswork.ru";broadcast-address 192.168.168.255;routers 192.168.0.1;192.168.0.100 192.168.0.250;

Здесь range - это диапазон из которого будут выдаваться IP-адреса, domain-name-server - это DNS-сервера. Вообще-то, если этот параметр не указан, то будет использован глобальный, но указать тут всё равно не помешает, routers - маршрут по умолчанию. Также указан широковещательный адрес и шлюз по умолчанию.

Секция subnet используется для предоставления серверу DHCP дополнительной информации - принадлежит ли данный IP адрес указанной подсети. Еще эта секция используется для предоставления клиентам специфичных для подсети параметров и для указания диапазонов динамически распределяемых адресов.

Параметр subnet-number должен быть IP адресом или доменным именем которое резолвится в номер подсети которую он описывает. Параметр netmask должен быть IP адресом или доменным именем которое резолвится в значение соответствующее маске описываемой подсети. Параметры subnet-number и netmask однозначно определяют подсеть и принадлежность IP адреса к этой подсети. Если вам нужно привязать IP-адрес к MAC-адресу карточки, т.е. если какому-то компьютеру нужно постоянно выдавать один и тот же адрес, то нужно добавить примерно такую секцию в конфиг:

leha{ethernet 00:13:77:AF:87:B7;address 192.168.0.111;}

}

sudo /etc/init.d/dhcp3-server restart

2.6 Iptables

- утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux версий 2.4 и 2.6. Вопреки очень распространённому мнению, ни iptables, ни netfilter не производят маршрутизацию пакетов и никак ей не управляют. Netfilter только фильтрует и модифицирует (в том числе, для NAT) пакеты по правилам, заданным администратором через утилиту iptables. Для использования утилиты iptables требуются привилегии суперпользователя (root).

Ключевыми понятиями iptables являются:

Критерий/Условие - логическое выражение, анализирующее свойства пакета и/или соединения и определяющее, подпадает ли данный конкретный пакет под действие текущего правила.

Действие - описание действия, которое нужно проделать с пакетом и/или соединением в том случае, если они подпадают под действие этого правила. О действиях более подробно будет рассказано ниже.

Счетчик - компонент правила, обеспечивающий учет количества пакетов, которые попали под критерий данного правила. Также счетчик учитывает суммарный объем таких пакетов в байтах. Правило - состоит из критерия, действия и счетчика. Если пакет соответствует критерию, к нему применяется действие, и он учитывается счетчиком. Критерия может и не быть - тогда неявно предполагается критерий «все пакеты». Указывать действие тоже не обязательно - в отсутствие действия правило будет работать только как счетчик.

Цепочка - упорядоченная последовательность правил. Цепочки можно разделить на пользовательские и базовые.

Базовая цепочка - цепочка, создаваемая по умолчанию при инициализации таблицы. Каждый пакет, в зависимости от того, предназначен ли он самому хосту, сгенерирован им или является транзитным, должен пройти положенный ему набор базовых цепочек различных таблиц. Схема следования пакетов приведена на рисунке. Кроме того, базовая цепочка отличается от пользовательской наличием «действия по умолчанию» (default policy). Это действие применяется к тем пакетам, которые не были обработаны другими правилами этой цепочки и вызванных из нее цепочек. Имена базовых цепочек всегда записываются в верхнем регистре (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).

Пользовательская цепочка - цепочка, созданная пользователем. Может использоваться только в пределах своей таблицы. Рекомендуется не использовать для таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми цепочками и встроенными действиями.

Таблица - совокупность базовых и пользовательских цепочек, объединенных общим функциональным назначением. Имена таблиц (как и модулей критериев) записываются в нижнем регистре, так как в принципе не могут конфликтовать с именами пользовательских цепочек. При вызове команды iptables таблица указывается в формате -t имя_таблицы. При отсутствии явного указания, используется таблица filter [5].

Добавление правил в таблицу filter

Данное правило пропускает все пакеты приложению http-сервер, проходящие через цепочку INPUT, по протоколу tcp и порту 8180 , говоря проще , можно открывать html-страницы .

Пример блокировки пакетов по порту и протоколу:-I INPUT -p tcp --dport 8180 -j REJECT

Аналогичная ситуация будет если написать DROP .

Открытие порта для машины с адресом 192.168.1.2 например:-I INPUT -p tcp --dport 8180 --source 192.168.1.2 -j ACCEPT

Открытие порта для подсети с адресами 192.168.1.0/24 (255.255.255.0):-I INPUT -p tcp --dport 8180 --source 192.168.1.0/24 -j ACCEPT

Это правило приведет к тому , что http - страница апача например , будет открывается на устройствах данной подсети.

Закрытие порта 80 , результат представлен на рисунке 2.6 :-I OUTPUT -p tcp --dport 80 -j REJECT

Рисунок 2.6

Пропускание пакетов, по установленным соединениям:-I INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Такое правило целесообразно, если есть фильтрация на пакеты, которые устанавливают соединение.

Очистка таблицы правил filter: iptables -F

3. Аудит созданной системы

Несмотря на то, что специфика системного администрирования может разниться от платформы к платформе, суть самой работы от этого не меняется. Вот общие идеи:

3.1 Автоматизация

В подавляющем большинстве случаев, количество систем и пользователей превосходит число поддерживающих их системных администраторов. Зачастую, лишь автоматизация может позволить справиться со всеми задачами. Любое задание, возникающее более одного раза должно быть автоматизировано.

Вот некоторые типы задач, которые обычно автоматизируются:

• Проверка свободного дискового пространства и отчётность по нём
• Резервное копирование
• Сбор информации о производительности системы
• Поддержка учётных записей (создание, удаление и т.п.)
• Функции, связанные с деятельностью компании (загрузка новых данных на веб-сервер, выполнение ежемесячных, квартальных, кодовых отчётов и пр.)

Автоматизация также повышает предсказуемость и устойчивость обслуживания пользователей.

3.2 Документация

При существующем выборе между установкой совершенно нового сервера и составлением процедурного документа по выполнению резервного копирования, средний системный администратор будет всегда выбирать установку сервера. И хотя в этом нет ничего необычного, вы должны документировать то, что вы делаете. Например может возникнуть аварийная ситуации или другие непредвиденные обстоятельства. Вы можете оказаться не на месте; ваша документация могла бы сберечь день работы, давая возможность разрешить проблему в ваше отсутствие. Список вещей которые нужно документировать:

Правила пишутся для стандартизации и формализации ваших отношений с пользователями. Они проясняют пользователям как обрабатываются их просьбы о помощи и запросы ресурсов. Характер, стиль и способ доведения правил до сведения пользователей варьируются от организации к организации.

Процедуры - это любые последовательности действий, которые должны быть выполнены для решения какой-либо задачи. Примерами процедур, которые должны быть задокументированы, могут служить проведение резервного копирования, управление учётными записями, отчёт о проблеме, и т.д. Большая часть работы системного администратора состоит во внесении изменений - конфигурировании систем для максимальной производительности, доводке скриптов, модифицировании конфигурационных файлов и пр. Все эти изменения должны быть каким-то образом задокументированы.

Некоторые организации используют сложные схемы учёта изменений, но в большинстве случаев всё что нужно - это простая история изменений в начале модифицируемого файла. Как минимум, каждая запись в истории изменений должна содержать такие поля:

• Имя или инициалы человека, внёсшего изменения
• Дата внесения изменений
• Причина по которой были внесены изменений

В результате получаются короткие и полезные записи:, 12-June-2002 - Обновил запись для принтера в бухгалтерии

3.3 Поддерживать общение с пользователями

Что касается общения с пользователями, то его надо всегда поддерживать. Иногда даже маленькие изменения в системе, которые кажутся практически незаметными, могут совершенно сбить с толку работника из отдела кадров.

Методы общения с пользователями могут разниться в зависимости от организации. В некоторых используют электронную почту; в других - внутренний веб-сайт. Могут также применяться группы новостей или IRC. Где-то будет достаточно листка, прикреплённого к доске объявлений в комнате отдыха.

Как минимум должно быть описано:

• Суть изменений
• Когда они произойдут
• Почему это происходит
• Приблизительно сколько этой займёт времени
• Изменения (если есть), с которыми столкнутся пользователи
• Контактная информация для вопросов и предложений

.4 Контролировать ресурсы

Системное администрирование главным образом заключается в сопоставлении доступных ресурсов с программами и людьми их использующими. Потому, работа в качестве системного администратора, трудна, пока не поймёте, какие ресурсы находятся в нашем распоряжении.

Ниже приведен список некоторых из них:

• Системные ресурсы, такие как вычислительная мощность, память и дисковое пространство
• Имеющиеся в вашем бюджете средства
• Задачи технического персонала, других системных администраторов и даже других офисных работников
• Время (часто критической важности, когда оно включает в себя такие параметры, как время резервного копирования системы)
• Знания (не зависимо от того, хранятся ли они в книгах, системной документации или голове человека, проработавшего в компании последние двадцать лет)

.5 Знать потребности пользователей

Пользователи, это те люди, которые используют системы и ресурсы, за которые мы отвечаем - ни больше, ни меньше. Таким образом, они являются ключевым звеном успешного администрирования наших систем.

Например, возьмем банковского служащего. Он использует чётко определённый набор приложений и требует относительно небольшого количества системных ресурсов. Теперь возьмем программиста: он использует множество разнообразных приложений и всегда рад дополнительным ресурсам (для ускорения компиляции). Два совершенно разных пользователя с совершенно разными потребностями.

3.6. Знать деятельность предприятия

Работает ли администратор в большой, транснациональной корпорации, или в маленьком училище, он должен понимать чем занимается его организация. Это можно свести к одному вопросу:

Каково назначение систем, которую он администрирует?

Здесь важно понимать назначение системы в более глобальном смысле:

• Приложения, которые должны запускаться в определённые периоды, например в конце месяца, квартала или года;
• Время, когда можно выполнять техническое обслуживание систем;
• Новые технологии, которые могут помочь в решении существующих коммерческих задач.

.7 Безопасность

Вне зависимости от того, что думает администратор о среде, в которой работают его системы, он не может считать её безопасной. Поэтому очень важно учитывать, какие последствия будут иметь любые ваши действия для безопасности. Нижеследующий список демонстрирует различные вопросы, на которые следует обратить внимание:

• Характер возможных уязвимостей каждой из ваших систем
• Расположение, тип и значение данных на этих системах
• Тип и частота авторизованного доступа к системам

Рассматривая вопросы безопасности, опасность исходит не только лишь извне вашей компании. Часто злоумышленником является кто-то внутри компании. Это не означает, что он должен относиться к своим сотрудникам как к злоумышленникам. Это только означает, что он должен понять, чем занимается каждый человек и определить, какие типы атак на безопасность системы при желании можно организовать с данной должности.

Когда речь заходит о безопасности, большинство системных администраторов замыкаются на технических вопросах, забывая о других угрозах. Очень часто, брешь в системе защиты берёт своё начало не в технических средствах, а в человеческой натуре.

Особы, заинтересованные во взломе системы защиты, часто используют человеческий характер для того, чтобы вообще обойти технические средства защиты. Это называется социальной инженерией.

Может помочь обучение пользователей; помогайте пользователям быть в курсе вопросов безопасности и социальной инженерии. Проводите базовый инструктаж по безопасности. Публикуйте ссылки на статьи по вопросам безопасности в вашей внутренней почтовой рассылке. Реагируйте однозначно и без промедления на вопросы пользователей о вещах, которые кажутся вам опасными [6].

Заключение

Результатом выполнения курсового проекта является прототип рабочей станции для тестовых конфигураций узлов сети предприятия . Она способна выполнять все функции, определенные в требованиях к курсовому проекту.

Недостатком данной системы является, то, что службы и сервисы настроены на базовом уровне, что бы удовлетворять минимальным требованиям сети, для более точной и гибкой настройки системы, необходимо отредактировать соответствующие конфигурационные файлы.

В перспективе возможна доработка рабочей станции: добавление пользователей и групп в соответствии требованиям организации, установка почтового сервера, прокси-сервера, настройка систем безопасности сети.

В ходе работы над проектом были получены навыки работы с ОС Linux Ubuntu 10.04 , так же настройки основных сетевых сервисов, в чем и заключается работа администратора.

Список использованных источников

1. Адельштайн Т., Любанович Б. Системное администрирование в Linux. - СПб.: Питер, 2010. - 288 с.: ил.
2. Далхаймер К., Уэлш М. Запускаем Linux, 5-е издание. - Пер. с англ. - СПб.: Символ-Плюс, 2008. - 992 с.:ил.
3. Колисниченко Д.Н. Linux-сервер своими руками. - СПб: Наука и Техника, 2002. - 576 с.:ил.
4. Стахнов А.А. Linux: 3-е изд., перераб. и доп. - СПб.:БХВ-Петербург, 2009. - 1056 с.:ил.

Интернет

1. ru.wikipedia.org

Философия системного администрирования. И. Песин. : <http://ipesin.linux.kiev.ua/translations/rh-phy/ch-philosophy.html>for Ubuntu 10.04 LTS : <http://help.ubuntu.com/10.04/>

Многочисленные форумы посвященные системе Ubuntu : <http://forum.ubuntu.ru/>

Содержание Введение . Создание платформы 1.1 Анализ ТЗ .2 Установка ОС и ее первоначальная настройка . Администрирование сервисов рабочей ста

Больше работ по теме: