Практическая работа 2. Сетевое администрирование ОС Linux

Задания

Описание действий

1. Установить и настроить сервис каталогов LDAP на вирутальной машине srv.

linux.lab.

• 1. Выполнить вход в систему на виртуальной машине srv.linux.lab под учетной записью пользователя root.
• 2. Установить пакеты openldap, openldap-servers, openldap-clients и db4-utils, используя менеджер пакетов yum.
• 3. Настроить основные параметры катлога LDAP в конфигурационном файле /etc/openldap/slapd.conf:

database bdb

suffix "dc=example,dc=com"

rootdn "cn=administrator,dc=example,dc=com"

rootpw {MD5}abqlJ7dhLu4BQFHl9y7Alg==

directory /var/lib/ldap

Пароль учетной записи administrator записан в виде хеша MD5, который необходимо получить при помощи команды slappasswd. В данном случае для хранения данных каталога используется база данных Berkeley (bdb), корневым каталогом в данной структуре катлогов является каталог example.com, в котором содержатся все остальные каталоги, включая каталог с учетными записями пользователей. Административной учетной записью данного каталога явялется пользователь administrator. С помощью данной записи возможно будет выполнять операции поиска и изменения данных в каталоге LDAP.

Файлы базы данных LDAP каталога располагаются в каталоге /var/lib/ldap.

4. Создать в катлоге /var/lib/ldap файл DB_CONFIG, содержащий системные параметры базы данных каталога LDAP.

Задания

Описание действий

2. Добавить тестовую учетную запись пользователя и группы в каталог LDAP и выполнить проверку их доступности.

1. Создать файл в формате LDIF (data.Idif), содержащий описание корневого каталога, организационных единиц (users и groups), в которых будут храниться учетные записи пользователей и групп. Пароли пользователя и группы необходимо предварительно создать, используя команду slappasswd. Для создания файла использовать образец data.Idif, доступный по FTP с виртуальной машины преподавателя.

dn: dc=example,dc=com de: example objectclass: top objectclass: domain objectclass: domainRelatedObject associatedDomain: example.com dn: ou=users,dc=example,dc=com ou: users objectclass: top objectclass: organizationalUnit objectclass: domainRelatedObject associatedDomain: example.com dn: ou=group, dc=example, dc=com ou: group objectclass: top objectclass: organizationalUnit objectclass: domainRelatedObject associatedDomain: example.com dn: uid=petrov,ou=users,dc=example,dc=com uid: petrov cn: petrov sn: petrov mail: Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: posixAccount objectclass: top objectclass: shadowAccount userPassword: {MD5}I2VYp+wz4yI9tEcQJIMwEw== shadowLastChange: 14291 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 700 gidNumber: 701 homeDirectory: /home/petrov

dn: cn=petrov,ou=group,dc=example,dc=com objectclass: posixGroup objectclass: top cn: petrov userPassword: {MD5}I2VYp+wz4yI9tEcQJIMwEw== gidNumber: 701

Задания

Описание действий

В данном случае пользователь petrov будет иметь идентификатор равный 700, а соответствующая ему группа (petrov) будет иметь идентификатор равный 701. Следует также отметить, что пароли пользователя и группы заданы в формате MD5. Для задания пароля используется команда slappasswd -h {md5}.

2. Экспортировать созданный LDIF файл (data.ldif) в каталог LDAP, используя команду slapadd.

В выводе данной команды записи, начинающиеся со слова added:, свидетельствуют об удачном добавлении данных в каталог LDAP.

• 3. Сделать системного пользоваетля Idap владельцем всех файлов базы данных каталога LDAP. Изменить атрибут группы для всех файлов базы данных каталога LDAP на группу Idap.
• 4. Выполнить проверку конфигурационного файла slapd.conf, используя команду slaptest.

В случае корректности всех сделанных ранее действий на терминале будет выведено сообщение, содержащее слово succeeded.

5. Запустить демон slapd и настроить его автозапуск на 3 и 5 уровнях выполнения, используя команду chkconfig.

3. Настроить клиент ау-тентфикации на виртуальной машине client.linux. lab и выполнить проверку аутентификации.

• 1. Установить на виртуальной машине client.linux.lab пакеты openldap-clients, openldap и nss-ldap.
• 2. Отредактировать конфигурационный файл /etc/

Idap.conf, добавив в него следующие строки:

host srv.linux.lab

base dc=example,dc=com

scope sub

suffix "dc=example,dc=com"

ssl no

timelimit 120

bind_timelimit 120

idle_timelimit 3600

pam_fіIter objectclass=posixAccount

pam_login_attribute uid

pam_password md5

nss_base_passwd ou=users,dc=example,dc=com

nss_base_shadow ou=users,dc=example,dc=com

nss_base_group ou=group,dc=example,dc=com

3. Отредактировать конфигурационный файл /etc/

openldap/ldap.conf, добавив в него следующие строки:

URI ldap://172.16.0.2

BASE dc=example,dc=com

Задания Описание действий

• 4. Отредактировать конфигурационный файл /etc/ nsswitch.conf, в котором указать сервис Idap как второстепенный источник получения информации по учетным данным.
• 5. Выполнить проверку возможности получения информации об учетных данных из катлога LDAP, используя команду getent.
• 6. Проверить доступность учетной записи тестового пользователя в созданном катлоге LDAP, используя утилиту Idapsearch.

В результате выполнения команды Idapsearch должна отобразиться запись созданного пользователя.

• 7. Проверить доступность учетной записи тестового пользователя в созданном катлоге LDAP, используя утилиты id и finger.
• 8. Заменить конфигурационный файл /etc/pam.d/ system-auth аналогичным файлом с машины преподавателя (доступ по FTP).
• 9. Выполнить вход (в графический и текстовый режимы) в систему под учетной записью пользовтаеля petrov и убедиться, что пользователь успешно аутентифицировался в системе, просмотрев журнальный файл /var/log/secure.