cau hinh he thong mang trong fedora
TRANSCRIPT
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 1
MỤC LỤC:I. Cấu hình DNS: .................................................................................................. 2II. Web server:........................................................................................................ 3III. Webalizer:.......................................................................................................... 4IV. Mail server:........................................................................................................ 4V. Cấu hình VPN Lan – to - Lan.......................................................................... 6VI. Cấu hình NIS (Network Information Service):.............................................. 7
1) Cấu hình Nis Server: .................................................................................................................... 72) Cấu hình Nis Client...................................................................................................................... 7
VII. Cấu hình NTP (Network Time Protocol): ................................................ 91) Cấu hình ntp client ....................................................................................................................... 92) Cấu hình ntp server .................................................................................................................... 10
VIII. Squid: ......................................................................................................... 101) Thư mục mặc định: .................................................................................................................... 102) Tập tin cấu hình.......................................................................................................................... 103) Những option cơ bản.................................................................................................................. 114) Định nghĩa Access List dùng tag acl .......................................................................................... 115) Tag điều khiển truy xuất HTTP.................................................................................................. 126) Tag điều khiển truy xuất cache_peer.......................................................................................... 127) Khởi động squid ......................................................................................................................... 14
IX. Kiểm chứng Sudo:........................................................................................... 14X. Cấu hình LDAP: ............................................................................................. 15
1) Cấu hình trên Server:.................................................................................................................. 152) Cấu hình trên Client: .................................................................................................................. 153) Cấu hình trên server: .................................................................................................................. 154) Cấu hình trên LDAP Client:....................................................................................................... 16
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 2
II.. CCấấuu hhììnnhh DDNNSS::
Cấu hình IP cho Server:IP: 10.0.0.123SM: 255.0.0.0GW: 10.0.0.123DNS: 10.0.0.123
Cấu hình IP cho Client:IP: 10.0.0.122SM: 255.0.0.0GW: 10.0.0.123DNS: 10.0.0.123
Kiểm tra các gói cài đặt:bind, bind-chroot, caching-nameserver, system-config-bind.# rpm –qa | grep blind.# rpm –qa | grep caching.
Thêm vào cuối file /var/named/chroot/etc/named.rfc1912.zones
zone "bntk.com" IN {type master;file "xuoi.zone";allow-update { none; };
};zone "0.0.10.in-addr.arpa" IN {
type master;file "nguoc.zone";allow-update { none; };
};
Sửa lại file /var/named/chroot/etc/named.caching-nameserver
options {listen-on port 53 { 10.0.0.123; }; //sửa dòng
này theo ip của server.listen-on-v6 port 53 { ::1; };directory "/var/named";dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;query-source-v6 port 53;allow-query { 0.0.0.0/0; };
};logging { channel default_debug { file "data/named.run"; severity dynamic; };};
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 3
view localhost_resolver {match-clients { 0.0.0.0/0; };match-destinations { 0.0.0.0/0; };recursion yes;include "/etc/named.rfc1912.zones";
};
Vào đường dẫn /var/named/chroot/var/named tạo thêm 2 file xuoi.zone, nguoc.zone:Tạo file xuoi.zone như sau:
$TTL 100bntk.com. IN SOA www.bntk.com. dnsmaster.bntk.com. ( 2007071200 600 600 600 100 )bntk.com. IN A 10.0.0.123bntk.com. IN NS www.bntk.com.www.bntk.com. IN A 10.0.0.123
Tạo file nguoc.zone như sau:
$TTL 86400@ IN SOA www.bntk.com. root.localhost. ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum
IN NS www.bntk.com.123 IN PTR 10.0.0.123
IIII.. WWeebb sseerrvveerr::Cấu hình DNS như trênTạo thư mục chứa trang Web:
# mkdir /myweb#cd /mywweb#vi index.html
Mở file /etc/httpd/conf/httpd.conf và sửa lại:
Tại dòng 280: DocumentRoot “/myweb”<VirtualHost www.bntk.com>
DocumentRoot /mywebServerName www.bntk.com
</VirtualHost>
# service httpd restart
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 4
Mở trình duyệt web để kiểm tra, trên thanh địa chỉ nhập vào www.bntk.com . Nếu hiện lên nội dung trang web index.html thì đã cấu hình đúng.
IIIIII.. WWeebbaalliizzeerr::Mở file /etc/webalizer.conf và sửa lại thông số sau:
OutPutDir /myweb
Các thông số còn lại ko đổi.
Mở file /etc/httpd/conf/httpd.conf và sửa lại:
DocumentRoot “ /myweb”
Khởi tạo lại các dịch vụ:# service named restart# service httpd restart# /usr/bin/webalizer //phải thực hiện trên thư mục gốc nên phải “cd /”
Mở trình duyệt web lên kiểm tra.
IIVV.. MMaaiill sseerrvveerr::Vẫn cấu hình DNS tương tự như trên nhưng có một vài thay đổi.Nội dung file xuoi.zone lúc này sẽ là:
$TTL 86400bntk.com. IN SOA mail.bntk.com. mail.bntk.com. ( 2007071200 600 600 600 100 )bntk.com. IN A 10.0.0.123bntk.com. IN NS mail.bntk.com.mail.bntk.com. IN MX 10 mail.bntk.com.mail.bntk.com. IN A 10.0.0.123
Và nội dung file nguoc.zone lúc này sẽ là:
$TTL 86400@ IN SOA mail.bntk.com. mail.bntk.com. ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum
IN NS mail.bntk.com.123 IN PTR mail.bntk.com.123 IN MX 10 mail.bntk.com
Cấu hình mail postfix:
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 5
Vì senmail cùng được cài mặc định trên Linux và được ràng buộc iptables, do đó trước khi cài đặt và cấu hình mail postfix nên phải stop 2 dịch vụ này.
# service sendmail stop # service iptables stopThêm một vài thông số sau vào file /etc/postfix/main.cf
Dòng 70: myhostname = mail.bntk.com Dòng 77: mydomain =bntk.comDòng 93: myorigin = $mydomain Dòng 107: inet_interfaces = all Dòng 110: thêm vào dấu #Dòng 157: xóa dấu #Dòng 199: xóa dấu #
# service postfix restartTạo ra các username, group và password để gửi và nhận mail:
# useradd bntk# passwd bntk# groupadd admin
Chuyển nhóm cho user # usermod –g admin bntk
Sửa lại thông tin trong tập tin /etc/httpd/conf/httpd.conf
<VirtualHost mail.bntk.com>DocumentRoot /mywebServerName mail.bntk.com
</VirtualHost>
Cấu hình Squirrelmail:# chown -R bntk webmail# cd webmail# chgrp -R admin config data
File cấu hình chình là /etc/squirrelmail.config.php
$org_name = 'mail.bntk.com';$org_title = 'mail.bntk.com $version';$domain = 'bntk.com';$smtpServerAddress = 10.0.0.123;$imapServerAddress = 10.0.0.123;
Vào file /etc/dovecot.conf tại dòng 16: xóa dấu ## service dovecot start# service dovecot restart
Cách lấy mail từ Webmail:Mở trình duyệt web lên nhập vào địa chỉ: http://mail.bntk.com/webmail.
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 6
VV.. CCấấuu hhììnnhh VVPPNN LLaann –– ttoo -- LLaann
Cài đặt gói phần mềm Openswan và tiến hành cấu hình:Trên cả 2 server cùng bật “net.ipv4.ip_forward=1” trong file “/etc/sysctl.conf”Khởi tạo lại dịch vụ:
# service network restartHay: # sysctl –p
Cấu hình VPN (dùng RSA keys) /etc/ipsec.confTạo ra private key bằng lệnh :
# ipsec rsasigkey --verbose 2048 > /tmp/privatekey.tmpCopy nội dung trong /tmp/privatekey.tmp vừa tạo vào file /etc/ipsec.secrets (thay thế ở phần
RSA)* Tạo publickey trên hai máy server.
vào máy Server 1 gõ lệnh : #ipsec showhostkey --left > /tmp/publicleft.pub
vào máy Server 2 gõ lệnh : #ipsec showhostkey --right > /tmp/publicright.pub
Trên server máy Server 1 :#vi /etc/ipsec.conf
Sửa lại như sau:
Conn net-to-netLeft=10.0.0.1Leftsubnet=172.16.1.0/16Leftnexthop=10.0.0.2Leftrsasigkey=nội dung publicleft.pubRight=10.0.0.2Rightsubnet=192.168.1.0/24Rightnexthop=10.0.0.1Rightrsasigkey=publicright.pub
Lưu lại
Trên server máy Server 2 : Làm lại tương tự như trên
Thiết lập kết nối VPN:
PCServer
1 PCServer
2
172.16.1.1
172.16.1.2
192.168.1.1
10.0.0.1 10.0.0.2 192.168.1.2
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 7
Trên cả 2 server gõ lệnh sau :#service ipsec restart#ipsec auto --add net-to-net#ipsec auto --up net-to-net
Kiểm tra kết nối VPN Trên 2 PC ở mỗi nhánh thử ping nhau, nếu 2 máy này thấy nhau thì đã cấu hình đúng.
VVII.. CCấấuu hhììnnhh NNIISS ((NNeettwwoorrkk IInnffoorrmmaattiioonn SSeerrvviiccee))::IP của Nis Server: 10.0.0.123IP của Nis Client: 10.0.0.122
1) Cấu hình Nis Server:# domainname bntk.com# vi /etc/hosts
10.0.0.123 nis.bntk.com nis //tạo host Nis Server10.0.0.122 client.bntk.com client //tạo host Nis Client
# vi /etc/yp.conf //thêm vàoDomain bntk.com server nis.bntk.com
# vi /etc/ypserv.conf //thêm vào10.0.0.0/8 :bntk.com :*:none //*=share tất cả
# vi /var/yp/Makefiletại dòng
all: passwd group host \ server muốn share gì thì ghi vào dòng trên nhưng kết thúc phải bằng dấu \# service network restart // để cập nhập những dữ liệu mới# /usr/lib/yp/ypinit -m // xây dựng cơ sở dữ liệu cho nis# service ypserv start# service ypserv restart
2) Cấu hình Nis Client# domainname clientk.com# vi /etc/hostsBỏ đi dòng 127.0.0.1# vi /etc/host.conf //Tại dòng order thêm nis vào:
Order nis, …,…# vi /etc/yp.conf //thêm vào
Domain bntk.com server nis.bntk.com# vi /etc/nsswitch.confTại dòng passwd, group, hos t muốn share file nào thì ta thêm nis vào phía trước để share
Passwd nis fileGroup nis fileHost nis file
# service network restart
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 8
# service ypbind start# service ypbind restart
Kiểm tra sự share host, passwd:Nếu dòng lệnh bắt đầu trên Server và Client lần lượt như sau thì đã cấu hình đúng:
[root@nis root]#[root@client root]#
Trên Nis Server :[root@nis root]# useradd user1 [root@nis root]# passwd user1
Nhập vào: 123456Trên Nis Client:
[root@client root]# ypcat paswdLúc này sẽ xuất hiện Username và Password của user1 mà Nis Server chia sẻ, mặc định thì
user và pass tạo ra sẽ nằm trong file /etc/passwd nhưng user1 ko có trong file /etc/passwd chứng tỏusername và password này là đc Nis Server chia sẻ cho Client.
Kiểm chứng:[root@client root]# su user1
Báo lỗi khi tạo useradd thì mặc định nó sẽ nằm trong thư mục /home/useradd, nó báo lỗi là ko tìm
được thư mục home của user1 vì nis chỉ chia sẻ host, passwd không chia sẻ thư mục /home nên khi tạo user1 nó nó sẽ nằm trong thư mục /home/user1 của nis server mà không nằm trong thư mục /home/user1 của nis client để có thể su – user1 ta làm như sau:
o Trên Nis Server :[root@nis root]# vi /etc/exports //thêm vào
/home bntk.com (rw) //share /home của ní server cho tất cả các host trên domain bntk.com có quyền đọc và viết.
[root@nis root]# useradd user2 [root@nis root]# passwd user2
Pass nhập vào: 123465o Trên Nis Client
[root@client root]# mount –t nfs 10.0.0.123:/home /home[root@client root]# su –user1[user1@client user1]#su –user2
Ko báo lỗi vì Nis Server đã tạo nfs để chia sẻ thư mục /home cho Nis Client.Dòng lệnh lúc này sẽ là:
[user2@client user2]#Để mỗi lần khởi động lại Nis Client mặc định nó sẽ mount thư mục chia sẻ của Nis
Server ta sẽ làm như sau:[root@client root]# vi /etc/rc.local //thêm vào các thông tin sau:
Domain bntk.comservice network restartservice ypbind startservice ypbind restartmount -t 10.0.0.25:/home /home
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 9
VVIIII.. CCấấuu hhììnnhh NNTTPP ((NNeettwwoorrkk TTiimmee PPrroottooccooll))::
1) Cấu hình ntp client
Cài đặt (install) ntp theo các cách như : cài từ gói rpm, hay từ những file source nén. File cấu hình sẽ là /etc/ntp.conf.
Chọn một ntp server nào đó gần máy bạn nhất (gần được hiểu là theo topology mạng, nếu không biết topology thì hiểu là vị trí địa lý).
Xem tham khảo "danh sách những public ntp server". Nếu bạn chỉ làm cho 1 vài máy, hoặc không cần độ chính xác cao, thì chỉ nên chọn những NTP server ở stratum 2.
Giả sử chọn được hai ntp server là ntp.nasa.gov (của NASA) và tick.mit.com (của MIT). Soạn file /etc/ntp.conf có nội dung như sau ###------------------------------------------------------
### restrict default ignorerestrict 127.0.0.1
### ghi 1 hay vài ntp server ở đây# dng chính hardware clock của máy bạn làm serverserver 127.127.1.0 # local clockrestrict 127.0.0.0 mask 255.0.0.0fudge 127.127.1.0 stratum 10
# chú ý: đây chỉ là ví dụ, bạn không nên chọn# những ntp server ở stratum 1 như sau đây!# của cơ quan Hàng không Vũ trụ Mỹ NASA (stratum 1)server 198.123.30.132 # ntp.nasa.govrestrict 198.123.30.132 noquery
# của viện MIT (stratum 1)server 18.145.0.30 # tick.mit.comrestrict 18.145.0.30 noquery
### những dòng sau không cần để ýdriftfile /etc/ntp/driftbroadcastdelay 0.008#authenticate yes#keys /etc/ntp/keys
###------------------------------------------------------------
Khởi động ntp
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 10
# ntpdate –u ntp.nasa.gov# /etc/init.d/ntpd start
Cho ntp khởi động mỗi lúc bật máy:
# /sbin/chkconfig --level 3 ntpd on
Kiểm tra: với cấu hình như trên, khi gõ lệnh "ntpq -p" sẽ thấy
## output của "ntpq -p"remote refid st t when poll reach delay offset jitter=========================================================================LOCAL(0) LOCAL(0) 10 l 38 64 377 0.000 0.000 0.001*ntp-nasa.arc.na .GPS. 1 u 108 512 37 144.438 556.028 3.925+NAVOBS1.MIT.COM .PSC. 1 u 97 512 37 193.320 558.237 4.106
2) Cấu hình ntp server
Nếu bạn có quản lý một mạng máy tính (2, 3 máy hay nhiều hơn, 100, 1000, 10000 máy), hãy dựng riêng cho mình một NTP server.Cách làm ntp server đơn giản và rẻ tiền nhất: cấu hình một ntp server stratum 2 bằng cách tham khảo đồng hồ của một public ntp server stratum 1.
Cấu hình ntp server stratum 2 rất đơn giản. Giả sử muốn máy 10.0.0.123 làm ntp server phục vụ mạng 10.0.0.0/8, Chỉ cần thêm vào file ntp.conf của my 10.0.0.123 (xem ví dụ ntp.conf của client ở phía trên) vài dòng như sau:
### ntp server cho 10.0.0.0/12### update for ntp-4.2.0+: delete notrustrestrict 10.0.0.0 mask 255.240.0.0 nomodify notrapỞ những máy client khác, chọn ntp server là 10.0.0.123 thay cho ntp.nasa.gov trong ví dụ trên.Chú ý: có thể chỉ định ntp server cho DHCP client
VVIIIIII.. SSqquuiidd::
1) Thư mục mặc định:/usr/local/squid: thư mục cài đặt Squid/usr/local/squid/bin: thư mục lưu trữ binary squid và những tool đc hỗ trợ/usr/local/squid/cache: thư mục lưu những dữ liệu được cache. Đây là thư mục mặc định, bạn có thể thay đổi vị trí thư mục này./usr/local/squid/etc: những file cấu hình squid nằm trong thư mục này. /usr/local/squid/src: thư mục lưu source code squid được download từ net
2) Tập tin cấu hìnhTất cả những file cấu hình được lưu trong thư mục /usr/local/squid/etc (Linux: /etc/squid ).
Một file cấu hình quan trọng nhất mà người quản trị cần nắm bắt là squid.conf.Trong file cấu
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 11
hình này có 125 tag option, nhưng chỉ có một số option được cấu hình, và những dòng chú
thích bắt đầu bằng dấu “ # ”. Bạn chỉ cần thay đổi 8 option cơ bản để cấu hình squid và khởi
động nó. Những option còn lại bạn có thể tìm hiểu thêm để hiểu rõ những tính năng mà squid
hỗ trợ.
3) Những option cơ bảnBạn cần phải thay đổi một số option cơ bản để squid hoạt động. Mặc định squid cấm tất cả
browser truy cập.
http_port: cấu hình HTTP port mà squid sẽ lắng nghe những yêu cầu được gửi đến.
o Cú pháp:
o http_port <port>
o Mặc định : http_port 3128
o Ta thường thay đổi port này là 8080.
o http_port 8080
cache_dir: cấu hình thư mục lưu trữ dữ liệu được cache.
Mặc định: cache_dir /usr/local/squid/cache 100 16 256
Thư mục cache có kích thước mặc định là 100Mbps, bạn có thể thay đổi kích thước này.
Cache_effective_user, cache_effective_group: user và group có thể thay đổi squid.
Ví dụ :
cache_effective_user squid
cache_effective_group squid
Access Control List và Access Control Operators:
Ta có thể dùng Access Control List và Access Control Operators để ngăn chặn,
giới hạn việc truy xuất dựa vào destination domain, IP address của máy hoặc mạng. Mặc
định squid sẽ từ chối phục vụ tất cả vì vậy ta phải cấu hình lại tham số này.
4) Định nghĩa Access List dùng tag acl Cú pháp:
acl aclname acltype string1 ..
acl aclname acltype "file" ...
acl aclname src ip-address/netmask ... (clients IP address)
addr1-addr2/netmask ... (range of addresses)
acl aclname dstdomain .foo.com ... # reverse lookup, client IP
acl aclname dst ip-address/netmask ... (URL host's IP address)
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 12
acl aclname dstdomain .foo.com ... # Destination server from URL
acl aclname time [day-abbrevs] [h1:m1-h2:m2]
# day-abbrevs:
# S - Sunday
# M - Monday
# T - Tuesday
# W - Wednesday
# H - Thursday
# F - Friday
# A - Saturday
# h1:m1 must be less than h2:m2
acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL
acl aclname port 80 70 21 ...
0-1024 ... # ranges allowed
acl aclname proto HTTP FTP ...
acl aclname method GET POST ...
acl cam src 192.168.1.1
http_access deny cam
Sử dụng access list vào các tag điều khiển truy cập.
5) Tag điều khiển truy xuất HTTPhttp_access allow|deny [!]aclname ...
6) Tag điều khiển truy xuất cache_peercache_peer_access cache-host allow|deny [!]aclname ...
Ví Dụ: Ta chỉ cho phép mạng 172.16.1.0/24 được dùng proxy server bằng từ khóa src
trong acl
acl MyNetwork src 172.16.1.0/255.255.255.0
http_access allow MyNetwork.
http_access deny all
Ta cũng có thể cấm các máy truy xuất đến những site không được phép (những site có nội
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 13
dung phù hợp) bằng từ khóa dstdomain trong acl, ví dụ:
Cấm clients truy cập trang yahoo.com
acl BadDomain dstdomain yahoo.com
http_access deny BadDomain
Nếu danh sách cấm truy xuất đến các site dài quá ta có thể lưu vào 1 file text, trong file đó là
danh sách các địa chỉ. Như sau:
acl BadDomain dstdomain “/etc/squid/danhsachcam”
http_access deny BadDomain
Theo cấu hình trên thì file /etc/squid/danhsachcam là file văn bản lưu các địa chỉ không được
phép truy xuất được ghi lần lược theo từng dòng.
Ta có thể có nhiều acl, ứng với mỗi acl phải có một http_access, như sau:
acl MyNetwork src 172.16.1.0/255.255.255.0
acl BadDomain dstdomain www.yahoo.com
http_access deny BadDomain
http_access allow MyNetwork.
http_access deny all
Như vậy cấu hình trên cho ta thấy proxy cấm các máy truy xuất đến site www.yahoo.com và
chỉ có mạng 172.16.1.0/32 là được phép dùng proxy. “http_access deny all” : cấm tất cả
ngoài những acl đã được khai báo.
Cache_peer:
Nếu proxy không thể kết nối trực tiếp với internet vì không có real IP address hoặc proxy
nằm sau 1 firewall thì ta phải cho proxy query đến proxy khác có thể dùng internet bằng
tham số: cache_peer.
Cú pháp của tag cache_peer
cache_peer hostname type http_port icp_port
type = 'parent','sibling' hoặc multicast
Ví dụ các trường thành viên trong ĐHQG khai báo như sau:
cache_peer vnuserv.vnuhcm.com.vn parent 8080 8082
Cấu hình trên cho thấy proxy sẽ query lên proxy “cha” vnuserv.vnuhcm.com.vn với tham số
parent thông qua http_port là 8080 và icp_port là 8082.
Ngoài ra trong cùng một mạng nếu có nhiều proxy thì ta có thể cho các proxy này query lẫn
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 14
nhau như sau:
cache_peer proxy2.vnuhcm.com.vn sibling 8080 8082
cache_peer proxy3.vnuhcm.com.vn sibling 8080 8082
sibling: dùng cho các proxy ngang hàng với nhau.
7) Khởi động squidSau khi đã cài đặt và cấu hình lại squid ta phải tạo cache trước khi chạy squid bằng lệnh:
squid -z
Nếu trong quá trình tạo cache bị lỗi ta chú ý đến các quyền trong thư mục cache được khai báo
trong tham số cache_dir. Có thể thư mục đó không được phép ghi. nếu có ta phải thay đổi
bằng:
chown squid:squid /var/spool/squid
chmod 770 /var/spool/squid
Sau khi tạo xong thư mục cache ta khởi động squid bằng lệnh :
/usr/local/squid/squid –D&
Trong môi trường Linux bạn không cần phải tạo cache. Khi khởi động bằng script sau nó sẽ tự
động tạo cache:
/etc/init.d/squid start
Để ngưng squid ta cũng có thể dùng script như sau:
/etc/init.d/squid stop
IIXX.. KKiiểểmm cchhứứnngg SSuuddoo::Đăng nhập vào hệ thống với user root. Tạo ra 2 user mới làn User1 và User2 Thêm vào file /etc/sudoers bằng lệnh: # visudo hay # visudo –f /etc/sudoers
Tại vùng User Alias:User_Alias ADMIN=USER1Cmnd_Alias PW=/usr/bin/passwd [A-z]* !/usr/bin/passwd root
Dòng này định nghĩa 1 User Alias có tên là ADMIN, dùng để đại diện cho User1. Nếu muốn thêm 1 user vào danh sách này thì : User_Alias ADMIN=USER1,USER2,…,USERn
Tại vùng User Specification: ADMINS ALL=PW (phía trên dòng root ALL=(ALL) ALL)Lưu và kết thúc visudo Đăng nhập vào bằng User1, sau đó thử đổi mật khẩu cho User2
# sudo passwd user2
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 15
XX.. CCấấuu hhììnnhh LLDDAAPP::Mục đích là để chia sẻ thư mục /home cho user LDAP, khi user LDAP đăng nhập vào hệ thốn
thì nó sẽ sd thư mục này làm thư mục /home của chính user đó.
1) Cấu hình trên Server:# vi /etc/exports
/home 10.0.0.0/8(rw,sync,no_root_squash) Chia sẻ thư mục /home cho các user trong mạng 10.0.0.0/8 kể cả user root# service portmap restart # service nfs restart # exportfs –va# exportfs –rSau đó ta dùng lệnh showmount để xem thư mục đó đã đc export chưa# showmount –e localhost# service iptables stop Nếu ko tắt đi thì client sẽ ko mount vào thư mục chia sẻ trên server đc.
2) Cấu hình trên Client:#showmount –e 10.0.0.123 // xem server export ~ thư mục nào#mkdir /mnt/pub# vi /etc/rc.local //thêm thông tin sau
Mount –t nfs 10.0.0.123:/home /mnt/pubThử xem có mount đc ko:# mount –t nfs 10.0.0.123:/home /mnt/pub
3) Cấu hình trên server:# vi /etc/openldap/slapd.conf //thêm vào
by dn="cn=Admin,dc=bntk,dc=com" write by read
database ldbmsuffix "dc=bntk,dc=com"rootdn "cn=Admin,dc=bntk,dc=com"
# service ldap restart #vi /etc/hosts
10.0.0.123 bntk.com localdomain# vi /tmp/test.ldif
dn: dc=bntk,dc=comobjectclass: dcObjectobjectclass: organizationdc: bntko: bntk
dn: ou=people,dc=bntk,dc=comobjectclass: organizationalUnit
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 16
ou: people
dn: ou=group,dc=bntk,dc=comobjectclass: organizationalUnitou: group
dn: cn=kien,ou=people,dc=bntk,dc=comobjectclass: organizationalPersonsn: bntrungcn: kien
Dùng lệnh ldapadd để add vào CSDL của LDAP:# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/test.ldif –W
389: port hoạt động của LDAP# vi /usr/share/openldap/migration/migrate_common.php
$DEFAUL_MAIL_DOMAIN = “bntk.com”;$DEFAUL_BASE = “dc=bntk,dc=com”;$EXTENDED_SCHEMA = 1;
Dùng công cụ Migration tools để migrate file /etc/passwd và /etc/group thành file có đuôi .ldif#cd /usr/share/openldap/migration/# ./migrate_passwd.pl /etc/passwd > /tmp/passwdldap.ldif# ./migrate_group.pl /etc/group > /tmp/groupldap.ldif# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/passwdldap.ldif -W# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/groupldap.ldif -W# useradd user1# useradd user2# tail -2 /etc/passwd > /tmp/user# tail -2 /etc/group > /tmp/groupTrong đó 2 là số user vừa mới đc tạo ra, nếu chỉ tạo 1 user thì sửa lại là “tail -1…”
Tiếp tục migrate 2 file /tmp/user và /tmp/group thành file có đuôi là .ldif và add vào CSDL#cd /usr/share/openldap/migration# ./migrate_passwd.pl /tmp/user > /tmp/userldap.ldif# ./migrate_group.pl /tmp/group > /tmp/group2ldap.ldif# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/userldap.ldif
-W# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/group2ldap.ldif -WKhởi động lại dịch vụ: #service ldap restart
4) Cấu hình trên LDAP Client:# vi /etc/hosts
10.0.0.123 bntk.com localhost# authconfig //cấu hình bằng giao diện đồ họa
CẤU HÌNH MẠNG TRONG FEDORA CORE
BNTK 17
Chọn LDAPChọn Use Shadow PasswdChọn Use MD5 Password Chon LDAP Authentication
OK Ta có thể truy vấn từ client bằng lệnh ldapsearch, nếu truy vấn đc thì hệ thống LDAP giữa
server và client đã hoạt động đc. LDAP server: phải khởi động trước tiên, phải đảm bảo nfs service hoạt động tốt, tắt
iptables và khởi động các dịch vụ:portmap, nfs, ldap. LDAP client: cấu hình nfs và LDAP chính xác, đảm bảo mount vào đc thư mục export trên
LDAP server. Đăng nhập vào bằng user LDAP, nếu đc thì chứng tỏ hệ thống LDAP hoạt động tốt.