PDF de programación - Sistema de cuentas centralizado

Sistema de cuentas centralizado

IES Gonzalo Nazareno

Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI

Índice

1. Introducción
2. Objetivos
3. Servicios empleados
4. Esquema Red de Prueba
5. Paquetes Servidor
6. Paquetes Cliente
7. Librerías
8. Kerberos
9. NFS
10.Paquete nfs-krb-gn_0.1_all.deb
11.Demo

Introducción

El proyecto que trataré, consiste en montar
un sistema de cuentas centralizado
empleando LDAP con autenticación
Kerberos y además NFS para el montaje de
directorios por red.

Índice

Objetivos

Realizar las pruebas necesarias para el
correcto funcionamiento de los servicios
para su posterior implementación en el
servidor y máquinas clientes del IES
Gonzalo Nazareno.

Índice

Servicios empleados

Los servicios empleados son los siguientes:

 DNS
 NTP
 LDAP
 KRB
 NFS

Índice

Esquema Red de Prueba

Índice

Paquetes Servidor

Los paquetes que se requerirán instalar en
el servidor para cada uno de los servicios
expuestos anteriormente son:

 NTP: ntp
 DNS: bind9
 LDAP: slapd
 KRB: krb5-admin-server, krb5-kdc
 NFS: nfs-kernel-server, nfs-common

Índice

Paquetes Cliente

Y para el cliente son los siguientes:

 LDAP: ldaputils
 NTP: ntp
 KRB: krb5-user, krb5-config
 NFS: nfs-common

Índice

Librerías

Y estas son las librerías que tendrán en
común tanto servidor como cliente:

 libnss-ldap
 libsasl2-modules-gssapi-mit: Requerido para la

autenticación LDAP-Kerberos.

 libpam-krb5

Índice

Kerberos

Los principales que tendrá nuestro servidor
Kerberos serán los siguientes:

 ldap/papion.gonzalonazareno.org
 nfs/papion.gonzalonazareno.org
 sandracm: Usuario de prueba.

Índice

Kerberos

Para la configuración de nuestra keytab, emplearemos
los siguientes tipos de encriptación:

 LDAP: aes-256-cts:normal
 NFS: des-cbc-crc:normal

Índice

Kerberos

Y por último, en la versión actual de Kerberos no
habilita por si sólo el tipo de encriptación DES, el
cual es necesario para NFS.

Para habilitarlo, debemos acceder al fichero
/etc/krb5.conf y añadimos la opción
allow_weak_crypto = true en la sección
[libdefaults]

Índice

NFS

Sistema de distribución de ficheros por red. Para su funcionamiento emplea
procesos rpc.

Los que utilizaremos serán los siguientes:

 rpc.gssd: Proporciona al cliente los mecanismos necesarios para la

autenticación de Kerberos con NFS.

 rpc.idmapd: Proporciona tanto al servidor como al cliente NFS
llamadas ascendentes o upcalls que hacen corresponder los usuarios
tipo:

 usuario@dominio.
 UID’s y GID’s locales.

 rpc.svcgssd: Proporciona al servidor los mecanismos necesarios para

el proceso de autenticación de Kerberos con NFS.

 rpc.nfsd: Ejecuta el servidor NFS.
 rpc.mountd: Recibe peticiones de montaje de las máquinas clientes.
 rpc.lockd: Un proceso opcional que permite a los clientes de NFS

bloquear archivos en el servidor.

Índice

NFS

Otro aspecto a tener en cuenta en NFS son las opciones de
montaje de nuestro directorio para Kerberos. Son las
siguientes:

 krb5: Utiliza la autenticación de Kerberos en lugar de

UID’s y GID’s locales.

 krb5i: Utiliza la autenticación de Kerberos y realiza la
verificación de integridad, para así prevenir el daño de
los datos.

 krb5p: Unión de los dos métodos anteriores más
encriptar el tráfico para evitar el “sniffer” del mismo. Su
desventaja es que consume bastantes recursos.

Índice

Paquete nfs-krb-gn_0.1_all.deb

Para realizar la configuración automatizada de los clientes
KRB-NFS, se ha realizado un paquete .deb.

Este paquete contiene los siguientes ficheros:

 control.tar.gz:

Ficheros de control necesarios para la
definición del paquete y proceso de instalación o configuración.

 data.tar.gz: Contiene los ficheros de configuración necesarios
para el cliente KRB-NFS y un script, el cual es el encargado de
automatizar toda la configuración.

 debian-binary: Binarios de Debian. Tan sólo es un fichero en

texto plano que contiene la versión del formato DEB (2.0).

Índice

Paquete nfs-krb-gn_0.1_all.deb

Índice

Paquete nfs-krb-gn_0.1_all.deb

Con esto tendremos la configuración realizada para el cliente KRB-
NFS pero ¿y la instalación de los paquetes?

Pues en este paso se me presentaron los siguientes problemas:

 Si creamos el paquete .deb incluyendo las dependencias (ntp,
krb5-config, etc) y subimos dicho paquete al repositorio para
instalarlo con aptitude, éste último no es capaz de ejecutar el
script postinst. Quien lo puede ejecutar es dpkg.

 Si por el contrario, no incluimos las dependencias ya que dpkg
no resuelve dependencias e incluimos los comandos de aptitude
para instalar los paquetes, durante el proceso de instalación
nos devolverá un error de que no se puede estar ejecutando
dos instancias apt a la vez. Es decir, o ejecutas aptitude o
dpkg.

Índice

Paquete nfs-krb-gn_0.1_all.deb

La solución que he optado ha sido crear otro script llamado
install.sh el cual incluye:

 Los comandos de aptitude para la instalación previa de los

paquetes.

 La instalación del paquete nfs-krb-gn_0.1_all.deb

 La eliminación del script de configuración.

Índice

Demo

Demostración del funcionamiento del paquete y de
toda la configuración realizada en la
implementación.

Índice

FIN

Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI