🌀 Sprint 3: Administració de Dominis i Seguretat
INSTAL·LACIÓ DOMINI LDAP I UNIR CLIENT AL DOMINI —
- 1. El Servidor:
- Un servidor és un ordinador configurat per oferir recursos, dades o serveis a altres ordinadors (anomenats clients) a través d’una xarxa.
- FunciĂł principal: Centralitzar la gestiĂł de fitxers, bases de dades o usuaris.
- Diferència clau: A diferència d’un PC normal, està optimitzat per a la fiabilitat i el treball multiusuari.
-
2. La clau de la IP Fixa:
- Perquè un servidor funcioni correctament en una infraestructura de domini, necessita obligatòriament una IP fixa.
- Si el servidor canviés de direcció IP (IP dinà mica), els clients no podrien trobar-lo per iniciar sessió o demanar serveis, provocant la caiguda de tota la xarxa.
-
3. L’Analogia de l’Estructura Lògica:
- En sistemes com Active Directory, l’organització es divideix de forma jerà rquica utilitzant conceptes de la natura:
- 4. El Bosc:
- És el contenidor de nivell més alt.
- Inclou tots els dominis de l’organització.
- Tots els elements del bosc comparteixen el mateix esquema (les regles del joc).
L’Arbre (Tree) És un conjunt de dominis que comparteixen un espai de noms continu. Exemple: Si el domini arrel és escola.com, un subdomini anomenat alumnes.escola.com formaria part del mateix arbre.
Les Branques (Unitats Organitzatives - OU)
- Són divisions dins d’un domini.
- S’utilitzen per organitzar els objectes de manera lògica (per departaments, per plantes d’un edifici, etc.).
- Permeten aplicar polĂtiques de seguretat especĂfiques a cada grup.
SERVER
Creem la ip fixa mitjançant interficie
Fem un ping a google.es i a 8.8.8.8 per a comprovar que tenim conexio
Entrem al /etc/hostname i el canviem
Entrarem al /etc/hosts i canviarem el hostname i afegirem una linea amb el domini aaron.cat
Instal·larem el slapd i el ldap-utils
Farem un slapcat per veure el que tenim al domini
Anirem a la carpeta de Baixades, farem un ls, i descomprimirem el zip arxius, que hem descarregat previament del moodle
Seguidament farem un dpkg-reconfigure slapd per a reconfigurar la base de dades
</br>
| ExplicaciĂł | Captura Base de dades |
|---|---|
| Ometrem la configuraciĂł que ens dona predeterminada per a inserir el que volem | |
| Ficarem el nom del domini que hem ficat abans al /etc/hosts | |
| Posem el nom de la nostra organitzaciĂł | |
| I la contrasenya del directori | |
| Eliminem la base de dades | |
| Finalment moure la base de dades |
</br>
Farem un slapcat altra vegada per veure que s’ha guardat la informació que hem introduit
| Canvi del domini | Captura Fitxers |
|---|---|
| Fitxer uo.ldif | |
| Fitxer grup.ldif | |
| Fitxer usu.ldif |
Per alimentar i estructurar el nostre directori, utilitzem l’eina ldapadd per carregar fitxers de dades en format LDIF. En aquesta fase, s’executa la comanda de forma seqüencial per crear la jerarquia del domini dc=aaron,dc=cat. Primer, s’insereix la Unitat Organitzativa (ou=users) mitjançant el fitxer uo.ldif per definir la “branca” on viuran els objectes. Seguidament, es dona d’alta l’usuari alu1 amb el fitxer usu.ldif i, finalment, es crea el grup d’alumnes amb grup.ldif. Durant tot el procés, s’utilitza el parà metre -D per autenticar-nos com a administrador (cn=admin), el parà metre -W perquè el sistema ens demani la contrasenya de forma segura, i -x per utilitzar autenticació simple, assegurant aixà que tota l’estructura d’objectes quedi correctament integrada en la base de dades del servidor.
</br>
CLIENT
- Instal·lació de paquets necessaris El primer pas és instal·lar les llibreries i serveis que permeten la comunicació amb el servidor LDAP i la memòria cau de noms:
apt install libnss-ldap libpam-ldap nscd -y
- libnss-ldap: Permet que el sistema busqui usuaris i grups a la base de dades LDAP.
- libpam-ldap: Proporciona el mòdul d’autenticació PAM per a LDAP.
- nscd: Servei de memòria cau per accelerar les consultes de noms.
- Configuració del paquet ldap-auth-config Durant la instal·lació (o executant dpkg-reconfigure ldap-auth-config), apareixerà un assistent per configurar la connexió:
URI del servidor LDAP: Indiquem l’adreça IP o el nom de domini del servidor. En el meu cas, utilitzo l’adreça IP per evitar problemes amb la resolució de noms: ldap://10.0.2.15.
Base de cerca (Search Base): Definim el nom distingit (DN) on es faran les cerques d’usuaris: dc=aaron,dc=cat.
Versió del protocol: Seleccionem la versió 3, que és l’està ndard actual i més segur.
- Gestió de permisos i comptes d’administrador Continuant amb l’assistent, configurem com el sistema local interactuarà amb la base de dades LDAP:
Base de dades local com a admin: Marquem que SĂ per permetre que les utilitats de contrasenyes es comportin de manera similar a les locals.
Requerir login per a la base de dades: En aquest cas, he marcat que SĂ, ja que el meu servidor no permet consultes anònimes.
Compte de root per a LDAP: Definim el compte amb privilegis per fer canvis (com modificar contrasenyes): cn=admin,dc=aaron,dc=cat.
Contrasenya de l’administrador: Introduïm la credencial corresponent que es guardarà de forma segura a /etc/ldap.secret.
- Verificació i reconfiguració Si en qualsevol moment ens equivoquem o necessitem canviar algun parà metre de la configuració guiada, podem tornar a llançar l’assistent amb la següent comanda:
dpkg-reconfigure ldap-auth-config
| Pas | Captura Base |
|---|---|
| Marcarem que si per a que el sistema configure automáticament la conexió a un servidor de usuaris (LDAP) | |
| Utilitzarem md5 |
Establirem l’ordre de prioritat que seguirĂ el sistema operatiu per a la cerca i resoluciĂł de noms d’usuaris, grups i contrasenyes. En afegir el parĂ metre ldap al principi de les lĂnies passwd, group, shadow i gshadow, s’estĂ indicant al sistema que consulti primer el servidor LDAP abans de buscar en els fitxers locals del propi equip (files)
Modificarem el fitxer /etc/pam.d/common-session per habilitar la creaciĂł automĂ tica de directoris de treball. Mitjançant la lĂnia pam_mkhomedir.so, el sistema genera la carpeta personal de l’usuari a /home en el moment del seu primer inici de sessiĂł, utilitzant /etc/skel com a plantilla. Això Ă©s imprescindible en entorns LDAP, ja que garanteix que els usuaris de xarxa tinguin un espai local on desar els seus fitxers sense necessitat de crear-lo manualment per a cada persona
Seguidament borrarem tots els use_authok del archiu common-password
Habilitarem l’inici de sessiĂł manual a la pantalla de benvinguda de Linux. En afegir la lĂnia greeter-show-manual-login=true, es permet que qualsevol usuari del servidor LDAP pugui escriure el seu nom i contrasenya directament, ja que aquests usuaris de xarxa no apareixen automĂ ticament al llistat d’usuaris locals del sistema
| L’execució de getent passwd | grep alu1 confirma que el sistema reconeix correctament l’usuari de xarxa i les seves dades, mentre que l’ordre su alu1 demostra que l’accés és funcional i que l’usuari pot iniciar sessió al sistema amb èxit. Aquest pas final valida que la integració entre el servidor i el client s’ha completat correctament |
Finalment farem un whoami per saber qui som, i ens mourem a la carpeta home per veure la carpeta alu1
Interficie GrĂ fica LDAP
Instal·larem el jxplorer
L’iniciarem per la terminal
Anirem a file –> Connect
Introduirem la ip de el servidor a host despres a base DN introduirem el domini gina.cat i a security selecionarem la opcio user+password i introduirem el usuari admin mes el domini i la contrasenya i apretarem OK
Servidor Samba
Server
Instal·larem samba
1. PreparaciĂł del Sistema de Fitxers
S’ha creat la infraestructura de carpetes al directori arrel i s’han ajustat els permisos de Linux per evitar conflictes amb el servei de xarxa.
2. Gestió d’Usuaris i Grups
- S’han definit les identitats que tindran accés al servei Samba.
- Creació d’usuaris del sistema: S’han creat els usuaris blau, roig i groc amb el parà metre -s /sbin/nologin. Això garanteix que no puguin entrar a la terminal del servidor, augmentant la seguretat.
- Configuració de grups: S’ha creat el grup color i s’hi han afegit els usuaris groc i roig.
- Alta a Samba: S’ha utilitzat smbpasswd -a per a cada usuari. Aquest pas és imprescindible perquè Samba utilitza la seva pròpia base de dades de contrasenyes, independent de la del sistema.
3. ConfiguraciĂł del Recurs Compartit (Samba)
S’ha editat el fitxer /etc/samba/smb.conf per definir les regles del recurs anomenat [proves].
ParĂ metres configurats:
- path = /proves: Ruta de la carpeta al servidor.
- guest ok = yes: Permet que usuaris sense compte es connectin com a convidats.
- read list: Llista d’usuaris que només poden llegir (blau, el grup @color i guest).
- write list: Usuaris amb permĂs d’escriptura (blau i guest).
- invalid users = roig: ProhibiciĂł explĂcita d’accĂ©s per a l’usuari roig, que invalida qualsevol altre permĂs que poguĂ©s tenir.
4. AplicaciĂł i Reinici del Servei
Finalment, per tal que els canvis a la configuració siguin efectius, s’ha procedit a reiniciar els serveis:
- Comanda: systemctl restart smbd nmbd.
Això reinicia tant el servei de transferència de fitxers (smbd) com el de resolució de noms en xarxa de Windows (nmbd).
Client
1. Instal·lacio smbclient
Instal·larem el smbclient a la nostra maquina client
Farem un ip a per veure la ip del client, i farem un ping al servidor el meu te la ip 10.0.2.15
Anirem als archius i farem un smb://10.0.2.15 la ip del server /proves/, amb aixo en podrem connectar
Servidor NFS
Client
Instal·larem el nfs-common i el rpcbind
Crearem la carpeta de prova i donarem permisos
Configurarem el muntatge automĂ tic d’una unitat de xarxa en el meu sistema Linux mitjançant l’ediciĂł del fitxer /etc/fstab. Amb la lĂnia que he afegit, estic indicant al sistema que connecti permanentment la carpeta remota 1exercici (ubicada a la IP 10.0.2.15) amb el meu directori local /prova utilitzant el protocol NFS. He aplicat parĂ metres especĂfics com bg i nfsvers=3 per assegurar que, si el servidor no estĂ disponible en engegar l’equip, el sistema no es bloquegi i l’arrencada continuĂŻ amb normalitat en segon pla
Farem un ls de prova i veurem l’archiu hola
Servidor
Instal·larem el nfs-kernel-server
Crearem la carpeta 1exercici i donarem permisos
Estic compartint una carpeta del meu equip perquè altres usuaris de la xarxa hi puguin accedir. He editat el fitxer /etc/exports per exportar el directori /1exercici. Amb el sĂmbol *, estic donant permĂs a qualsevol equip de la xarxa per connectar-s’hi, i amb els parĂ metres (rw,sync,no_subtree_check) els permeto llegir i escriure dades de manera segura
Fem un status del servei
I crearem l’archiu hola
NFS AMB LDAP
Creem la carpeta homes i dins d’ella creem la de marcel
En aquest pas, estic ampliant els directoris compartits del meu servidor NFS. He afegit una segona lĂnia al fitxer /etc/exports per exportar tambĂ© la carpeta /homes. Igual que amb la carpeta anterior, he configurat el permĂs per a qualsevol equip de la xarxa (*) amb capacitats de lectura i escriptura (rw). Això em permet centralitzar els directoris d’usuari o dades comunes en aquest servidor perquè siguin accessibles des de diferents clients simultĂ niament
He configurat un entorn servidor-client NFS per compartir fitxers en xarxa de manera permanent. En el servidor, he editat el fitxer /etc/exports per compartir els directoris /1exercici i /homes amb permisos de lectura/escriptura per a qualsevol equip de la xarxa. Paral·lelament, en l’equip client, he configurat el muntatge automà tic en el fitxer /etc/fstab perquè aquests recursos remots (IP 10.0.2.15) s’enllacin amb els directoris locals /prova i /homes en iniciar el sistema. Per optimitzar el funcionament, he utilitzat parà metres com bg i nfsvers=3, assegurant aixà que el client no es bloquegi si el servidor no està disponible i garantint la mà xima compatibilitat entre ambdues mà quines
Entrarem dins de l’archiu usu.ldif i canviarem el uid a marcel, el uid number, i la contrasenya
Muntarem amb el ldap add a marcel
Entrarem al client i desde el server fareem un ls de la carpeta marcel i veurem que tenim les carpetes predeterminades
Desde el client fem un whoami per veure qui som i un ls per llistar el directoris
NFS AMB WINDOWS
Instal·larem el servei nfs
Anirem a archius i a red, alli ficarem, connectarse a unidad de red
Ficarem la ip i la ruta de la carpeta
Verifiquem