Artículos Etiquetados "configurar"

Linux corporativo III

Escrito por Dario Fernandez el 25 jun, 2011 en Linux | 0 comentarios

Este es el tercer capitulo de la serie donde explicamos como tener un equipo con GNU/Linux en un entorno corporativo. Si quieres revisar el articulo anterior puedes hacerlo aqui: Linux Corporativo II.

Para esta entrega vamos a cubrir los pasos necesarios para poder unir el equipo al dominio y hacer pruebas de inicio de sesión (login) con varios usuarios.

1 – Lo primero que haremos será instalar SAMBA, LDAP, WINBIND, KERBEROS y PAM.
El comando que sigue lo hace todo de un solo tirón:

apt-get install krb5-user krb5-admin-server krb5-auth-dialog krb5-clients krb5-config krb5-kdc-ldap krb5-pkinit krb5-rsh-server winbind samba samba-common samba-common-bin smbclient smbfs

2 – Luego comenzaremos a editar cada uno de los archivos correspondientes, poniéndolos en el destino que se describe mas abajo, para ahorrarte un poco de tiempo puedes bajarlos desde aqui: Recursos Linux Corporativo y reconfigurarlos acorde a las necesidades de cada uno.

A continuación les describo que hace cada uno de los archivos, y como puede cada uno configurarlo para que represente mejor su entorno.

Detalle: /etc/Krb5.conf

Este archivo contiene la información de nuestro repositorio de tikets, que kerberos lo llama realm, aquí podemos indicar la vida de cada tiket, el tipo, y los archivos de log, entre otras cosas. Un detalle a tener en cuenta es que al momento de poner la entrada de nuestra entidad emisora de tiket “Por lo general es el controlador de dominio”, lo hagamos en mayúsculas para que funcione.

Detalle: /etc/nsswich.conf

Este archivo se encarga de decirle al sistema operativo cual es el orden en el que debe buscar las formas para hacer el login al  equipo, en este caso primero busca en la base de datos local, luego sigue con la red. Hay que tener en cuenta que si la red no esta activa y se invierte el orden puede tardar mucho en conectarse o si se omite la búsqueda local no ingresara jamas a la maquina si la red se cae.

Detalle: /etc/hosts

Este archivo contiene información de equipos de la red a los que podemos acceder directamente poniendo su IP, lo que se hace aquí es poner un listado de numero IP, nombre del equipo y/o alias, también es bueno poner aquí los nombres de los servidores u equipos importantes que estén en la red, ya que no usa el DNS para encontrarlos, sino que va directo al equipo. Como el PC va a formar parte de una red con dominio queda mas claro si se ponen los datos con la forma IP     nombre.dominio       nombre, de esa forma sabemos que tipo de equipo es al que estamos apuntando. Es importante decir que aquí se puede indicar cualquier nombre, pero la idea es que quede claro o nos podamos acordar de cual equipo estamos haciendo referencia.

Detalle: /etc/resolv.conf

Aquí se indica cuales son los DNS de la red. Este archivo contiene el orden en que se busca en los dominios que hallamos predeterminado y las direcciones de los servidores, cada vez que se haga una consulta de nombres se van a respetar los ordenes que le pongamos en este archivo.

Detalle: /etc/ldap.conf

En este archivo se configuran los parámetros generales del ldap, como el puerto, la versión, la base y el uri que usará por defecto, y los módulos que utiliza.

- La base debe tener la forma:  dc=dominio,dc=com,dc=uy

- La uri tiene que tener la forma:  ldapi://servidorldap.dominio.com.uy

Detalle: /etc/ldap/ldap.conf

En este archivo también hay que poner los datos anteriores de base y uri.

Detalle: /etc/samba/smb.conf

Este archivo es muy importante, ya que se encarga de compartir los recursos entre linux y windows, aquí tenemos que agregar el nombre de nuestro equipo, también información del equipo que es realm “Por lo general el controlador de dominio tiene es rol”, el tipo de seguridad que le pondremos al sistema, esta puede ser de tipo usuario, invitado o dominio, cada uno de ellos proporciona diferentes niveles de acceso a los recursos que se comparten, y los idmaps que indican que id de grupo y usuario que tendrán los usuarios que inicien sesión en el dominio. Al final del archivo se ponen los recursos compartidos que va a tener el PC.

Detalle: /etc/pam.d

Esta carpeta es la que contiene los archivos responsables de hacer que los permisos que ya están activos para el equipo, con la configuraron de ldap, winbind, kerberos y samba, sean utilizados por todas las aplicaciones del sistema, tales como el login, permisos sobre el sistema, identificación, etc. Se trata de una carpeta que contiene un archivo por cada aplicación que requiera hacer uso de estos permisos, y un set de cuatro archivos responsables de cada aspecto de la seguridad, sesión, autorización, contraseña y cuentas. Estos funcionan como plantillas con información que se exporta a los demás archivos.

En los sucesivos artículos se explica paso a paso donde poner los archivos y que modificaciones hacerles para que el sistema quede funcionado.

Linux corporativo I

Escrito por Dario Fernandez el 3 jun, 2011 en Linux | 0 comentarios

Este es el primero de una serie de artículos que explicarán como se puede implementar, instalar y configurar, en un ambiente corporativo, un sistema operativo basado en software libre (en nuestro caso lo haremos con GNU/Linux), para nuestros ejemplos tomamos como referencia una institución ficticia con miles de equipos, que actualmente está basada en servidores y servicios Microsoft. La idea es integrar un cliente Linux a la red Microsoft.

Eligiendo una distribución – Ubuntu

Teniendo en cuenta que hoy en día existe una gran variedad de distribuciones GNU/Linux que permiten al usuario hogareño instalar y tener su sistema corriendo con todas las aplicaciones que pueda necesitar, sin tener que hacer demasiadas configuraciones; pero al momento de dar una solución corporativa no se deben perder de vista algunos detalles que no son menores, y que pueden ser un obstáculo al momento de realizar la implementación.

Debemos tener en cuenta que el equipo que tenga instalado GNU/Linux va a formar parte de una red que cuenta de antemano con varios servicios, como por ejemplo: dominio de Active Directory, correo Exchange Server 2008, servidores de impresión centralizada, intranet con aplicaciones web, que deben soportar flash, javascript, deben poder visualizar pdf, reproducir multimedia, y acceder a las carpetas publicas compartidas.

Por lo tanto, debemos configurar el equipo de manera que pueda formar parte del dominio, permitiendo a cualquier usuario hacer login con su identificador de red en cualquiera de los equipos, accediendo de forma transparente a todos los recursos sobre los cuales posea permisos.

Además, debería tener disponible todo el software que el usuario usa diariamente y que hacen al entorno corporativo; como el correo, el acceso a los recursos compartidos, aplicaciones de Mainframe, aplicaciones web de la Intranet corporativa, software de ofimática y multimedia, entre una larga lista de software y utilidades.

Continua leyendo la segunda parte de la serie: Linux corportativo II.

Linux corporativo II

Escrito por Dario Fernandez el 28 may, 2011 en Linux | 0 comentarios

Esta es la segunda entrega de una serie de documentos que explicarán como tener un equipo con sistema operativo GNU/Linux como parte de un entorno corporativo. Puedes revisar el articulo anterior aqui: Linux Corporativo I.

Como habíamos mencionado en el articulo previo, hoy en día, tenemos a nuestra disposición una gran cantidad de distribuciones Linux en la red y la mayoría cumple con los requerimientos básicos para nuestro fin.

En este caso se vamos a utilizar Ubuntu, por ser fácil de instalar, por contar con soporte a largo plazo, y por disponer de gran cantidad de documentos y software requerido para la implementación.
Configuración Linux, primeros pasos

1 – Lo primero que haremos será instalar el sistema operativo, (Instalar Ubuntu)

2 – Luego se pone el nombre al equipo, en este caso lo proporciona el administrador de la red, y nosotros debemos editar el archivo hostname (poner el link al archivo)y agregarle el que corresponda.

vi /etc/hostname

3 – La dirección IP también debe ser configurada, en nuestro caso usaremos DHCP, ya que suponemos que la red cuenta con servidores que brindan este servicio, luego de la instalación el servicio queda instalado y configurado automáticamente.

4 – Luego debemos editar el archivo /etc/resolv.conf para agregarle los nombres de los servidores de nombre de nuestra LAN, este es un ejemplo de como debería quedar el archivo. (link al archivo)

5 – Lo que sigue es actualizar el sistema con:

apt-get update

Una vez que tenemos nuestro equipo actualizado ya podemos comenzar a instalar las aplicaciones necesarias para poder acceder a los recursos de la red.

En este caso haremos uso de SAMBA, LDAP, WINBIND, KERBEROS y PAM, que nos permitirán iniciar sesión en la red, compartir y acceder a recursos compartidos, y extender los permisos heredados de la red a las aplicaciones que estén corriendo en nuestro sistema.

Continua leyendo la tercera parte de la serie: Linux Corporativo III

Virtual Host y DNS

Escrito por Dario Fernandez el 10 jun, 2009 en Linux | 2 comentarios

Esta guía pretende mostrar la forma en que podemos agregarle funcionalidad al servidor de nombres que instalamos y configuramos en el anterior tutorial de DNS. Veremos algunos ejemplos para poder agregar a nuestra servidor con la misma IP, otros nombres diferentes, o en el caso de contar con un servidor web con dominios virtuales, poder resolver esos nombres para que las consultas que sean dirigidas a esas páginas puedan llegar a su destino.

Lo primero que haremos será agregar un poco de seguridad a nuestro servidor, para que solo atienda peticiones de nuestra lan. Para eso debemos modificar el archivo de configuración para reflejar esta realidad:

vi /var/named/chroot/etc/named.conf

y le agregamos una regla ACL para permitir únicamente hacer consultas a nuestra red y a localhost

acl "lan" {
127.0.0.1;
192.168.1.1/24;
};
options {
directory "/var/named/";
};
allow-query {
lan;
};

Luego de haberle agregado este detalle debemos comenzar a introducir las entradas para cada dominio virtual que se desee resolver, como lo hicimos con el dominio principal, por lo tanto al final tendremos algo como esto:

vi /var/named/chroot/etc/named.conf

zone "prueba.com.uy" IN {
 
type master;
 
file "zona.prueba.com.uy";
 
allow-query {lan};
 
};
 
zone "reversa.prueba.com.uy" IN {
 
type master;
 
file "1.168.192.in-addr.arpa";
 
allow-query {lan};
 
};
 
zone "intranet.com.uy" IN {
 
type master;
 
file "zona.intranet.com.uy";
 
allow-query {lan};
 
};
 
zone "webmail.com.uy" IN {
 
type master;
 
file "zona.webmail.com.uy";
 
allow-query {lan};
 
};

Para que estas entradas tengan sentido debemos tener creados esos archivo con las definiciones de cada dominio, y cada uno de ellos debe tener al menos esto:

$TTL 172800
 
@      IN      SOA       intranet.com.uy.     root.localhost. (
 
3
 
10800
 
7200
 
1296000
 
172800             )
 
;
 
IN      NS          web.prueba.com.uy.
 
www.intranet.com.uy.            IN        A          192.168.1.10
 
$TTL 172800
 
@      IN      SOA       webmail.com.uy.     root.localhost. (
 
3
 
10800
 
7200
 
1296000
 
172800             )
 
;
 
IN      NS          web.prueba.com.uy.
 
webmail.com.uy.            IN        A          192.168.1.10

Este puede ser perfectamente el caso de un servidor web con apache y dominios virtuales bajo la misma dirección IP, en el que por ejemplo podría estar una intranet y un webmail.

Instalar Servidor de Nombres de Dominio DNS en Linux

Escrito por Dario Fernandez el 5 jun, 2009 en Linux | 10 comentarios

Este tutorial pretende mostrar la forma de instalar y configurar un sencillo servidor de nombres de dominio o DNS por sus siglas en inglés. Puede servir para una implementación de tamaño medio o pequeño. Se trata de seguir las instrucciones, copiar y modificar algunos archivos, sin tener que profundizar en el vasto mundo de los servidores de nombres.

Instalación

El proceso de instalación es bastante sencillo, simplemente deben digitar el siguiente comando y en pocos segundos estará listo, luego deben hacerse algunas modificaciones a los archivos de configuración.

yum -y install bind bind-chroot bind-utils caching-nameserver

Configuración

En Red Hat Linux y sus derivados,  por cuestiones de seguridad la instalación automáticamente crea una jaula chroot para los archivos del servicio named (DNS), es decir, que todos los archivos se encuentran en el directorio /var/named/chroot, y no en /etc, por este motivo la implementación se hace en esta distribución.

El primer paso es renombrar el archivo /var/named/chroot/named.rfc1912.zones

mv var/named/chroot/named.rfc1912.zones  var/named/chroot/named.conf

Luego debemos editarlo y agregarle los parámetros para nuestro servidor.

options {
directory "/var/named";				(nuevo directorio de trabajo)
forwarders {200.40.30.245; 200.40.220.245;}; 	(dirección de nuestro ISP)
};

Esto significa que usará el directorio /var/named que está dentro de /etc/namded/chroot como raíz, y las direcciones ip del ISP que aparecen son las que consultará cuando no sea capaz de resolver por sí mismo. En este caso son los DNS de Antel (es el proveedor de servicios en Uruguay).

zone "prueba.com.uy" IN {
type master;
file "zona.prueba.com.uy";
allow-query {any;};
};
zone "rversa.prueba.com.uy" IN {
type master;
file "1.168.192.in-addr.arpa";
allow-query {any;};
};

Estas son las definiciones de zonas que tendremos en nuestro DNS, por cada dominio que administramos o que deseamos resolver, debemos agregar la doble entrada. En cada una de estas definiciones indicamos el nombre de la zona, de qué tipo es, en este caso una zona maestra, y el nombre del archivo que tiene los parámetros de ese dominio.
Una vez que tengamos funcionado el archivo principal debemos comenzar a crear los archivos correspondientes a los dominios que necesitemos resolver.

Ejemplo del archivo zona.prueba.com.uy

$TTL 604800
@       IN       SOA    prueba.com.uy.        root.localhost. (
2009041001; serie 10-04-09
10800 ; tiempo de refresco
7200 ; reintentos de consulta
129600 ; tiempo tras el cual expira la zona
172800 ; tiempo total de vida
)
@          IN      NS                 server.prueba.com.uy
@           IN      MX      10     server.prueba.com.uy
@           IN      A      	 192.168.1.1
www     IN      A       192.168.1.1
correo  IN      A       192.168.1.1
PC-1        IN      A       192.168.1.3

En este archivo lo importante es el nombre del dominio en el registro primario SOA, y luego las definiciones de nombre del servidor NS, MX para el correo, y A que indica la dirección IP.

Este es el ejemplo el archivo de resolución inversa, que sera utilizado para responder a un pedido de dirección IP, en este caso cuando el usuario solicita por la 192.168.1.1, le saldrá la respuesta prueba.com.uy

Aqui un ejemplo del archivo

$TTL 3600
@       IN      SOA     prueba.com.uy.         root.localhost. (
2009041001 ; serie 10-04-09
28800 ; refresco
7200 ; tiempo entre reintentos
604800 ; expira la zona
86400 ; tiempo total de vida
)
@       IN      NS      server.prueba.com.uy.
1       IN      PTR     server.prueba.com.uy.
3       IN      PTR     PC-1

En este archivo lo importante es el SOA, NS, IN, y los números que se observan son los que corresponden a final de la dirección IP de los servidores o equipos que tengamos en la subred, en la que estamos resolviendo ese dominio.

Con estos parámetros básicos debería estar pronto para funcionar nuestro servidor de nombres. Luego configuramos el servicio para que inicie con el sistema y lo ponemos en funcionamiento.

chkconfig --levels 345 named on
service named start

En este momento podemos hacer una prueba desde algún equipo de la red que tenga nuestro servidor como DNS o desde el mismo servidor, este debe ser el resultado.

nslookup prueba.com.uy
 
Server:        prueba.com.uy
Address:    192.168.1.1#53
 
Non-authoritative answer:
Name:    prueba.com.uy
 
address: 192.168.1.1

Para finalizar, unas últimas configuraciones en el archivo /etc/hosts, debe tener esta linea:

127.0.0.1                 localhost.localdomain          localhost
 
192.168.1.1             server.prueba.com.uy          server

y en el archivo /etc/resolv.conf :

nameserver 192.168.1.1

Espero que el tutorial les sea de utilidad y si tienen consultas no duden en enviármelas.

Más información:

DNS en wikipedia