Sprint 3: Administració de Dominis i Seguretat

1. Usuaris, Grups i Recursos Són els objectes bàsics que conté el directori: Usuaris: Comptes individuals per a persones (com el meu usuari ferranbernis). Grups: Conjunts d'usuaris (ex: grup "professors", grup "alumnes") per gestionar permisos de cop. Recursos: Impressores, carpetes compartides o servidors que estan registrats a la xarxa.

2. Unitats Organitzatives (OU) Pensa en les OU com a carpetes o contenidors dins del servidor. Serveixen per organitzar els objectes segons la lògica de l'empresa o centre: Exemple: Una OU anomenada Sistemes i una altra Administració. Permeten aplicar polítiques (GPOs) diferents a cada grup.

3. L'Arbre (Tree) Un Arbre és un conjunt d'un o més dominis que comparteixen un espai de noms continu (un nom arrel). Si el teu domini principal és fje.edu, un subdomini anomenat clot.fje.edu formaria part del mateix arbre. Tots comparteixen una relació de confiança i una base de dades comuna.

4. El Bosc (Forest) El Bosc és el nivell més alt del disseny. És un conjunt d'un o més arbres que no necessàriament comparteixen el mateix nom, però sí que comparteixen el mateix esquema (les regles de què pot contenir el directori) i configuració. Exemple: Si l'escola fje.edu compra una empresa anomenada empresa.com, podrien unir els dos arbres en un mateix bosc per poder compartir recursos entre ells.

Servidor LDAP

Primer de tot canviarem de DHCP a IP manual

Despres canviarem el Hostname

Ara instalarem LDAP en apt install slapd ldap-utils

Amb la comanda slapcat comprovarem que es ha instalat correctament

Descarregarem el arxiu de el moodle i el descomprimirem

Ara introduirem dpkg-reconfigure slap que serveix per reconfigurar el LDAP

Respondrem que no volem omitir la configuracio de el servidor LDAP perque el volem configurar

Introduirem el Nom de domini per exemple gina.cat

Introduirem el Nom de la organizacio

Direm que no es purgui la base de dades quan es purgui el paquet slapd

Direm que si que mogue la base de dades antigua per a que no intefereixi en la nova

Tornarem a executar slapcat per a veure que es ha aplicat tota la configuracio

Entrarem a uo.ldif que estava al archiu comprimit i veurem que es un arxiu que crea una Unitat Organizativa anomenada users

Entrarem a group.ldif que estava al archiu comprimit i veurem que es un arxiu que crea un grup anomenat alumnes i afegeix al usuari alu1 al grup

Entrarem a usu.ldif i veurem que el axiu crea un usuari anomenat alu1 amb la contrasenya alu1 tambe especifcat la seva shell (bin/bsh) i la home (home/alu1) i el uid (1001)

Executarem el primer arxiu ou.ldif que creara la unitat organizativa users despres el usu.ldif que creara el usuari alu1 i per ultim el grup.ldif que creara el grup alumnes i introduira al usuari alum1 per aixo el hem executat abans

Comprovacio amb Slapcat

Ara pasarem a el client i instalarem els paquets neccesaris. libnss-ldap: Perquè el sistema pugui consultar noms d'usuari i grups al servidor i libpam-ldap: Perquè el sistema pugui gestionar l'autenticació (contrasenyes) contra el servidor

Ens apareixera la pantalla de configuracio de ldap a el client i primer de tot introduirem la ip de el servidor

Ara introduirem el domini gina.cat

La versio de LDAP que es la 3

Pregunta si volem que el usuari local sigui adminsitrador de la base de dades i que el arxiu de les contrasenyes sol sera accesible per root

I si volem que la base de dades de ldap requereixque login

Ara ens detmanara que introdueixim un usuari administrador de LDAP i la contrasenya

I ara el usuari que iniciarem sessio a la base de dades LDAP

Si ens hem equivocat en algun pas podem reconfiguraro amb dpkg-reconfigure ldap-auth-config

Hi hauran unes pantalles que es afegiran de mes com aquesta que diu permetràs que les futures actualitzacions del sistema utilitzin aquesta configuració que estàs posant ara

Tambe sortira aquesta pantalla sobre el metode de xifratge de la contrasenya cuan dexideixes canviarla desde el client i te preguntara el metode natros triarem md5

Modificarem el arxiu nsswitch i a passwd i group introduirem ldap compact files systemd això vol dir que quan el sistema busqui un usuari per fer login, primer preguntarà a la base de dades LDAP.

Tambe modificarem el arxiu common-session que es molt important perque crea la carpeta home de els usuaris LDAP quan iniciesim sessio i tambe indica en crear la carpeta nova, ha de copiar els fitxers de configuració bàsics (com el .bashrc) des de la carpeta "esquelet" del sistema i tambe defineix els permisos per defecte de la nova carpeta (l'usuari pot fer-ho tot, la resta només llegir).

Tambe modificarem el arxiu common password afegint la 4 linea blanca de password que fa:

pam_pwquality.so: Primer es comprova que la contrasenya nova sigui prou segura (complexitat).

pam_unix.so: S'encarrega dels usuaris locals.

pam_ldap.so: És la línia clau que s'ha afegit. El paràmetre try_first_pass fa que el sistema intenti fer servir la contrasenya que ja has escrit abans de tornar-te-la a demanar.

[success=1 user_unknown=ignore default=die]: Aquest és un codi de control. Diu que si el mòdul de LDAP té èxit, se saltarà el següent pas (que sol ser un missatge d'error).

Per finalizar els arxiu modificarem es e 50-ubuntu.conf afegint la ultima linea que mostra una llista amb els usuaris locals que ja existeixen a la màquina. Com que els teus usuaris de l'Arbre LDAP són remots i encara no han entrat mai, no apareixerien a la llista.

Tancarem sessio de el usuari actual i clicarem no esta en la llista i introduirem el nom de usuari alu1 i la contrasenya i es creara la carpeta home per a alu1 i comprovarem el la terminal que som el usuari alu1 i que te carpeta home

Interfice Grafica LDAP

Primer de tot instalarem el programa jxplorer que es un progarama amb interfice grafica que es un navegador de fitxers per al servidor LDAP.

El podem executar posant jxplorer a la terminal o desde la llista de aplicacions

Al entar al progarma anirem a file i a connect

Introduirem la ip de el servidor a host despres a base DN introduirem el domini gina.cat i a security selecionarem la opcio user+password i introduirem el usuari admin mes el domini i la contrasenya i apretarem OK

Desde aqui podem gestionar el servidor LDAP graficament com crear usuaris,grups i unitats organizatives

Comandes LDAP (Exercici al moodle)

Farem un sudo dpkg reconfigure slapd per a deixar la base de dades buida intoduirem el nom de domini (ferran.cat) i tot el que ens detmani

Amb slapcat comprovarem que es hagui creat tot el domini correctament

Descaregarem el arxiu de el moodle dades_pt10_V2.ldif

Obrirem el arxiu i remplacarem vesper per ferran

Inserirem el arxiu amb ldapadd -D el usuari admin i el domini i -W que es que detmani la contrasenya al final el nom de el arxiu -F

Farem un altre slapcat per comprovar que tot es ha importat correctament

Crearem una nou usuari ferran i el executarem i comprovarem amb slapcat

Crearem una nova OU anomenada nomines a un arxiu ldif i el executarem i comprovarem amb slapcat

Per a afegir a el usuari ferran a nomines modificarem el arxiu usuari.ldif i detras de el uid afegirem ou=nomines i tornarem a executar i slapcat

Hi han dos grups informatica i administracio

Afegirem a el usuari ferran a el grup de informatica afegin el seu member uid a el arxiu ldif de el grup

Volem canviar el apellit de sergui i afegir una descipcio crearem el arxiu ldif i direm que es un arxiu de modificacio remplace el sn per pallares i que afegeixque la descripcio

Ha afegit la descripcio pero algo ha pasat en el cognom sn LDAP el ha xifrat en base64 perque pallarés porta accent i es un caracter especial al no sapiguer interpretarho o xifra per a no guardarho malament

Aqui la prova en un descodificador de base 64

Dintre de la UO rrh esta xavier,enric i sergi

Selecionarem el grup informatica i eliminarem el gidNumer amb ldapmodify

Dona error perque tots els grups han de tenir gudNumber

Hi ha dos UO rrhh i departaments

Canviarem el nom de xavier a fransesc xavier el changetype que es el tipus es de modificar i remplacarem el cn per el correcte

Buscarem els usuaris que estan a la ou rrhh

No hi ha cap usuari que te el numero 1003

Mostra quins són els usuaris on el seu cognom comenci per R i el seu uidNumber sigui més gran que 1003

Mostra quins usuaris formen part del grup informàtica o aquells usuaris que tinguis de cognom Pallarés

Servidor Samba

Samba serveix per compartir fitxers, impressores i carpetes en una xarxa local. La seva gran característica, és que permet gestionar l'accés mitjançant una autenticació a nivell d'usuari. Això significa que el servidor no només comparteix el recurs, sinó que verifica qui ets abans de deixar-te entrar, permetent que cada usuari tingui els seus propis permisos i carpetes privades.

Primer de tot instalarem SAMBA

Ara crearem una carpeta anomenada proves donarem tots els permisos a tothom amb chmod 777 i canviarem el propietari amb chown indicant que no volem propietari a la carpeta i tampoc volem grup i comprovarem que es hagui creat correctament

Crearem els usuaris blau,roig i groc amb els parametres -M que no creí carpeta home per a els usuaris i que no es pugin logeigar i un grup anomenat color que afegirem a groc i roig despres farem un tail de les ultimes 5 lines de el arxiu passwd per veure que els tres usuaris es haguin creat correctament i un tail de la ultima linea de el arxiu group per veure que el grup color es ha creat correctament

Amb els usuaris ja creats els afegirem a samba amb smbpasswd introduirem una contrasenya dos vegades i els tres usuaris es afegiran a samba

Entarem a el arxiu etc/samba/smb.conf que es el arxiu de configuracio de samba i afegirem vaix de tot proves que sera la carpeta que compartirem amb samba a path introduirem la ruta de la carpeta a guest ok direm si volem usuaris anonims o no a directory mask i a create mask introduirem la mascara que son els permisos que asseguren que els fitxers nous siguin llegibles per tothom però només modificables pel propietari i a browseable posarem yes per a que els gestors de arxius vegin la carpeta ara pasarem a els permisos de la carpeta posarem que blau i tot el grup color pugin llegir els arxius i que blau pugui escriure i que roig sigui usuari invalid que no pugi accedir i read only no

Reinciarem el servei de samba

Passarem a el client i instalarem smbclient (Samba Client)

Comprovarem desde el client que tinguesim connexio amb el servidor amb ping i la ip de el servidor

Desde el client obrirem fitxers i anirem a el apartat altres ubicacions i vaix a connectar a un servidor introduirem smb://IP DE EL SERVIDOR/

Provarem amb el usuari roig pero no ens deixara perque es usuari prohibit i ens tornara a saltar la mateixa pantalla

Provarem en anonim i com abans hem configurat que guest ok yes si funcionara

Servidor NFS

NFS es un protcol que permet compartir fitxers directoris (no impresores) amb linux a traves de una xarxa local la autentificacio es fa a nivell de host no de usuari, a diferencia de samba i poden accedir tant clients windows com linux

NFS SENSE LDAP

Primer de tot instalarem el paquet nfs-kernel server (Servidor NFS)

Ara crearem la carpeta 1exercici donerem privlegis totals a tohom amb chmod 777 i canviarem el propietari a ningu i el grup tambe amb chown nobody:nogroup i comprovarem els permisos i el propietari amb ls -l i filtrarem per el 1 i veurem que tindra tots els permisos correctes

Entarem al arxiu exports que esta a /etc/exports

Configurarem els permisos que compartirem la carpeta intoduirem la ruta de la carpeta i un asterisc es que qualsevol equip de la xarxa pot intentar connectar-se a aquesta carpeta

rw que es podran llegir i escriure

sync obliga al servidor a respondre a les peticions només quan els canvis s'han guardat realment al disc

no_subtree_check Millora el rendiment i evita problemes quan es canvien els noms dels fitxers o s'exporten només subdirectoris

Reinciarem el servei NFS amb systemctl restart i amb systemctl status comprovarem el estat de el servei que es active

Dintre de la carpeta 1exercici crearem un arxiu anomenat hola per a que la carpeta no estigui buida

Passarem al client i instalarem el paquet nsf-common (Client NFS) i el paquet rpcbind (servei que ajuda a gestionar les connexions entre el client i el servidor)

Al client crearem la carpeta prova i li donarem privlegis totals a tohom amb chmod 777 i canviarem el propietari a ningu i el grup tambe amb chown nobody:nogroup i tambe farem ping a el servidor per comprovar la conectivitat

Entarem al fitxer fstab que esta a /etc/fstab

En aquesta línia de configuració del fitxer /etc/fstab, he definit el muntatge automàtic del recurs compartit que prové del servidor amb la IP 10.0.2.15 i el directori d'origen /1exercici. Aquest recurs es muntarà localment a la carpeta /prova utilitzant el sistema de fitxers nfs. He aplicat un seguit d'opcions específiques per optimitzar la connexió: auto permet que el muntatge es realitzi sol en arrencar el sistema, noatime millora el rendiment en evitar actualitzar la data d'accés als fitxers, i nolock desactiva el bloqueig de fitxers per simplificar la compatibilitat. A més, he forçat l'ús de la versió 3 del protocol amb nfsvers=3, he habilitat el protocol de transport tcp per garantir la fiabilitat de les dades, i he permès la interrupció d'operacions penjades amb intr. Finalment, amb actimeo=1800 he fixat el temps de memòria cau dels atributs en 1800 segons, mentre que els valors finals 0 0 indiquen que no es realitzaran còpies de seguretat (dump) ni comprovacions de disc (fsck) sobre aquest punt de xarxa.

Farem un ls a la carpeta prova i hens sortira el arxiu hola que hem creat a el servidor a la carpeta exercici1 que esta monatada a la carpeta prova al client

NFS AMB LDAP

Al servidor crearem la carpeta homes i donerem privlegis totals a tohom amb chmod 777 i canviarem el propietari a ningu i el grup tambe amb chown nobody:nogroup i crearem la carpeta marcel tambe donarem privlegis totals a tohom

Copiarem i pegarem la linea de la carpeta 1exercici baix i canviarem el nom a homes (Explicacio de permisos feta anteriorment)

Tornarem a el Client i tambe crearem a carpeta homes i donerem privlegis totals a tohom

Entrarem a el arxiu /etc/fstab i copiarem la linea de la carpeta 1exercici i la pegarem canviarem el nom de les carpetes a les corresponents al servidor i al client que es /homes al servidor i /homes al client (Explicacio de la resta de la linea feta anteriorment)

Anirem a el Servidor i crearem el usuari marcel a el LDAP introduint que la carpeta home seria /homes/marcel que son les carpetes compartides

Veurem que la carpeta de el usuari marcel esta buida i cuan iniciesim sessio al client es afegira tota la home

NFS AMB WINDOWS

Primer anirem a programes i caracteristiques i instalarem el paquet client per a NFS

Despres obrirem una terminal de powershell i intoduirem mount.exe per a montar la ip de el servidor la ruta de la carpeta al servidor i per ultim el punt de muntatge on es munatara a windows per exeple la unitat F

Ja se haura montat com una ubicacio en red

Mostarem el configut de la carpeta i veurem que esta el arxiu hola creat anteriorment a el NFS sense ldap

Carpeta al Servidor