Publicado el 25 de Junio del 2017
624 visualizaciones desde el 25 de Junio del 2017
203,1 KB
20 paginas
Creado hace 13a (27/06/2011)
Sistema de cuentas centralizado
IES Gonzalo Nazareno
Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI
�Índice
1. Introducción
2. Objetivos
3. Servicios empleados
4. Esquema Red de Prueba
5. Paquetes Servidor
6. Paquetes Cliente
7. Librerías
8. Kerberos
9. NFS
10.Paquete nfs-krb-gn_0.1_all.deb
11.Demo
�Introducción
El proyecto que trataré, consiste en montar
un sistema de cuentas centralizado
empleando LDAP con autenticación
Kerberos y además NFS para el montaje de
directorios por red.
Índice
�Objetivos
Realizar las pruebas necesarias para el
correcto funcionamiento de los servicios
para su posterior implementación en el
servidor y máquinas clientes del IES
Gonzalo Nazareno.
Índice
�Servicios empleados
Los servicios empleados son los siguientes:
DNS
NTP
LDAP
KRB
NFS
Índice
�Esquema Red de Prueba
Índice
�Paquetes Servidor
Los paquetes que se requerirán instalar en
el servidor para cada uno de los servicios
expuestos anteriormente son:
NTP: ntp
DNS: bind9
LDAP: slapd
KRB: krb5-admin-server, krb5-kdc
NFS: nfs-kernel-server, nfs-common
Índice
�Paquetes Cliente
Y para el cliente son los siguientes:
LDAP: ldaputils
NTP: ntp
KRB: krb5-user, krb5-config
NFS: nfs-common
Índice
�Librerías
Y estas son las librerías que tendrán en
común tanto servidor como cliente:
libnss-ldap
libsasl2-modules-gssapi-mit: Requerido para la
autenticación LDAP-Kerberos.
libpam-krb5
Índice
�Kerberos
Los principales que tendrá nuestro servidor
Kerberos serán los siguientes:
ldap/papion.gonzalonazareno.org
nfs/papion.gonzalonazareno.org
sandracm: Usuario de prueba.
Índice
�Kerberos
Para la configuración de nuestra keytab, emplearemos
los siguientes tipos de encriptación:
LDAP: aes-256-cts:normal
NFS: des-cbc-crc:normal
Índice
�Kerberos
Y por último, en la versión actual de Kerberos no
habilita por si sólo el tipo de encriptación DES, el
cual es necesario para NFS.
Para habilitarlo, debemos acceder al fichero
/etc/krb5.conf y añadimos la opción
allow_weak_crypto = true en la sección
[libdefaults]
Índice
�NFS
Sistema de distribución de ficheros por red. Para su funcionamiento emplea
procesos rpc.
Los que utilizaremos serán los siguientes:
rpc.gssd: Proporciona al cliente los mecanismos necesarios para la
autenticación de Kerberos con NFS.
rpc.idmapd: Proporciona tanto al servidor como al cliente NFS
llamadas ascendentes o upcalls que hacen corresponder los usuarios
tipo:
usuario@dominio.
UID’s y GID’s locales.
rpc.svcgssd: Proporciona al servidor los mecanismos necesarios para
el proceso de autenticación de Kerberos con NFS.
rpc.nfsd: Ejecuta el servidor NFS.
rpc.mountd: Recibe peticiones de montaje de las máquinas clientes.
rpc.lockd: Un proceso opcional que permite a los clientes de NFS
bloquear archivos en el servidor.
Índice
�NFS
Otro aspecto a tener en cuenta en NFS son las opciones de
montaje de nuestro directorio para Kerberos. Son las
siguientes:
krb5: Utiliza la autenticación de Kerberos en lugar de
UID’s y GID’s locales.
krb5i: Utiliza la autenticación de Kerberos y realiza la
verificación de integridad, para así prevenir el daño de
los datos.
krb5p: Unión de los dos métodos anteriores más
encriptar el tráfico para evitar el “sniffer” del mismo. Su
desventaja es que consume bastantes recursos.
Índice
�Paquete nfs-krb-gn_0.1_all.deb
Para realizar la configuración automatizada de los clientes
KRB-NFS, se ha realizado un paquete .deb.
Este paquete contiene los siguientes ficheros:
control.tar.gz:
Ficheros de control necesarios para la
definición del paquete y proceso de instalación o configuración.
data.tar.gz: Contiene los ficheros de configuración necesarios
para el cliente KRB-NFS y un script, el cual es el encargado de
automatizar toda la configuración.
debian-binary: Binarios de Debian. Tan sólo es un fichero en
texto plano que contiene la versión del formato DEB (2.0).
Índice
�Paquete nfs-krb-gn_0.1_all.deb
Índice
�Paquete nfs-krb-gn_0.1_all.deb
Con esto tendremos la configuración realizada para el cliente KRB-
NFS pero ¿y la instalación de los paquetes?
Pues en este paso se me presentaron los siguientes problemas:
Si creamos el paquete .deb incluyendo las dependencias (ntp,
krb5-config, etc) y subimos dicho paquete al repositorio para
instalarlo con aptitude, éste último no es capaz de ejecutar el
script postinst. Quien lo puede ejecutar es dpkg.
Si por el contrario, no incluimos las dependencias ya que dpkg
no resuelve dependencias e incluimos los comandos de aptitude
para instalar los paquetes, durante el proceso de instalación
nos devolverá un error de que no se puede estar ejecutando
dos instancias apt a la vez. Es decir, o ejecutas aptitude o
dpkg.
Índice
�Paquete nfs-krb-gn_0.1_all.deb
La solución que he optado ha sido crear otro script llamado
install.sh el cual incluye:
Los comandos de aptitude para la instalación previa de los
paquetes.
La instalación del paquete nfs-krb-gn_0.1_all.deb
La eliminación del script de configuración.
Índice
�Demo
Demostración del funcionamiento del paquete y de
toda la configuración realizada en la
implementación.
Índice
�FIN
Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI
Crear cuenta
Comentarios de: Sistema de cuentas centralizado (0)
No hay comentarios