PDF de programación - Sistema de cuentas centralizado

Imágen de pdf Sistema de cuentas centralizado

Sistema de cuentas centralizadográfica de visualizaciones

Publicado el 25 de Junio del 2017
334 visualizaciones desde el 25 de Junio del 2017
203,1 KB
20 paginas
Creado hace 9a (27/06/2011)
Sistema de cuentas centralizado

IES Gonzalo Nazareno

Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI

Índice

1. Introducción
2. Objetivos
3. Servicios empleados
4. Esquema Red de Prueba
5. Paquetes Servidor
6. Paquetes Cliente
7. Librerías
8. Kerberos
9. NFS
10.Paquete nfs-krb-gn_0.1_all.deb
11.Demo

Introducción

El proyecto que trataré, consiste en montar
un sistema de cuentas centralizado
empleando LDAP con autenticación
Kerberos y además NFS para el montaje de
directorios por red.

Índice

Objetivos

Realizar las pruebas necesarias para el
correcto funcionamiento de los servicios
para su posterior implementación en el
servidor y máquinas clientes del IES
Gonzalo Nazareno.

Índice

Servicios empleados

Los servicios empleados son los siguientes:

 DNS
 NTP
 LDAP
 KRB
 NFS

Índice

Esquema Red de Prueba

Índice

Paquetes Servidor

Los paquetes que se requerirán instalar en
el servidor para cada uno de los servicios
expuestos anteriormente son:

 NTP: ntp
 DNS: bind9
 LDAP: slapd
 KRB: krb5-admin-server, krb5-kdc
 NFS: nfs-kernel-server, nfs-common

Índice

Paquetes Cliente

Y para el cliente son los siguientes:

 LDAP: ldaputils
 NTP: ntp
 KRB: krb5-user, krb5-config
 NFS: nfs-common

Índice

Librerías

Y estas son las librerías que tendrán en
común tanto servidor como cliente:

 libnss-ldap
 libsasl2-modules-gssapi-mit: Requerido para la

autenticación LDAP-Kerberos.

 libpam-krb5

Índice

Kerberos

Los principales que tendrá nuestro servidor
Kerberos serán los siguientes:

 ldap/papion.gonzalonazareno.org
 nfs/papion.gonzalonazareno.org
 sandracm: Usuario de prueba.

Índice

Kerberos

Para la configuración de nuestra keytab, emplearemos
los siguientes tipos de encriptación:

 LDAP: aes-256-cts:normal
 NFS: des-cbc-crc:normal

Índice

Kerberos

Y por último, en la versión actual de Kerberos no
habilita por si sólo el tipo de encriptación DES, el
cual es necesario para NFS.

Para habilitarlo, debemos acceder al fichero
/etc/krb5.conf y añadimos la opción
allow_weak_crypto = true en la sección
[libdefaults]

Índice

NFS

Sistema de distribución de ficheros por red. Para su funcionamiento emplea
procesos rpc.

Los que utilizaremos serán los siguientes:

 rpc.gssd: Proporciona al cliente los mecanismos necesarios para la

autenticación de Kerberos con NFS.

 rpc.idmapd: Proporciona tanto al servidor como al cliente NFS
llamadas ascendentes o upcalls que hacen corresponder los usuarios
tipo:

 usuario@dominio.
 UID’s y GID’s locales.

 rpc.svcgssd: Proporciona al servidor los mecanismos necesarios para

el proceso de autenticación de Kerberos con NFS.

 rpc.nfsd: Ejecuta el servidor NFS.
 rpc.mountd: Recibe peticiones de montaje de las máquinas clientes.
 rpc.lockd: Un proceso opcional que permite a los clientes de NFS

bloquear archivos en el servidor.

Índice

NFS

Otro aspecto a tener en cuenta en NFS son las opciones de
montaje de nuestro directorio para Kerberos. Son las
siguientes:

 krb5: Utiliza la autenticación de Kerberos en lugar de

UID’s y GID’s locales.

 krb5i: Utiliza la autenticación de Kerberos y realiza la
verificación de integridad, para así prevenir el daño de
los datos.

 krb5p: Unión de los dos métodos anteriores más
encriptar el tráfico para evitar el “sniffer” del mismo. Su
desventaja es que consume bastantes recursos.

Índice

Paquete nfs-krb-gn_0.1_all.deb

Para realizar la configuración automatizada de los clientes
KRB-NFS, se ha realizado un paquete .deb.

Este paquete contiene los siguientes ficheros:

 control.tar.gz:

Ficheros de control necesarios para la
definición del paquete y proceso de instalación o configuración.

 data.tar.gz: Contiene los ficheros de configuración necesarios
para el cliente KRB-NFS y un script, el cual es el encargado de
automatizar toda la configuración.

 debian-binary: Binarios de Debian. Tan sólo es un fichero en

texto plano que contiene la versión del formato DEB (2.0).

Índice

Paquete nfs-krb-gn_0.1_all.deb

Índice

Paquete nfs-krb-gn_0.1_all.deb

Con esto tendremos la configuración realizada para el cliente KRB-
NFS pero ¿y la instalación de los paquetes?

Pues en este paso se me presentaron los siguientes problemas:

 Si creamos el paquete .deb incluyendo las dependencias (ntp,
krb5-config, etc) y subimos dicho paquete al repositorio para
instalarlo con aptitude, éste último no es capaz de ejecutar el
script postinst. Quien lo puede ejecutar es dpkg.

 Si por el contrario, no incluimos las dependencias ya que dpkg
no resuelve dependencias e incluimos los comandos de aptitude
para instalar los paquetes, durante el proceso de instalación
nos devolverá un error de que no se puede estar ejecutando
dos instancias apt a la vez. Es decir, o ejecutas aptitude o
dpkg.

Índice

Paquete nfs-krb-gn_0.1_all.deb

La solución que he optado ha sido crear otro script llamado
install.sh el cual incluye:

 Los comandos de aptitude para la instalación previa de los

paquetes.

 La instalación del paquete nfs-krb-gn_0.1_all.deb

 La eliminación del script de configuración.

Índice

Demo

Demostración del funcionamiento del paquete y de
toda la configuración realizada en la
implementación.

Índice

FIN

Sandra Castillo Mena
IES Gonzalo Nazareno - 2 ASI
  • Links de descarga
http://lwp-l.com/pdf4658

Comentarios de: Sistema de cuentas centralizado (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad