Lin08

290 views
191 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
290
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Lin08

  1. 1. Pr´cticas A.S.O./A.S.O.P. - Bolet´ L08 a ın NFS y NIS Notas: Esta pr´ctica se va a realizar por parejas de ordenadores, uno har´ de cliente y el otro de servidor. a a Recuerda que con la orden chkconfig se configura un demonio para que arranque en los niveles oportunos. Usa las p´ginas de manual para recordar la opci´n a usar. a oNFS Para configurar NFS, Network File System ten en cuenta que:En el servidor El demonio rpcbind1 tiene que estar lanzado. Por otro lado, los demonios rpc.mountd y rpc.nfsd har´n que NFS funcione. Para lanzarlos a se usa el script /etc/init.d/nfs. Para cada cambio que se haga en el fichero de configuraci´n o habr´ que reiniciarlos. a Aseg´rate que para los niveles de arranque 3 y 5 se activan dichos demonios. u En el fichero /etc/exports se indican qu´ directorios se exportan, a qu´ equipos y bajo e e qu´ condiciones. e Para relanzar los demonios se puede usar una de las siguientes alternativas: • /usr/sbin/exportfs que sirve para tal funci´n pero s´lo si los demonios ya est´n acti- o o a vos. Se pueden usar las opciones “-a” o “-r” • Otra opci´n ser´ ejecutar /etc/init.d/nfs restart o ıa Con /usr/sbin/exportfs -v comprobamos qu´ ficheros se est´n exportando y con qu´ con- e a e diciones, para saber si se ha configurado de forma correcta. Con /usr/sbin/showmount podemos ver qu´ directorios se est´n montando de forma remota. e a En la Fedora Core 11, el usuario nfsnodoby est´ creado con el identificador 4294967294. Sin a embargo, la aplicaci´n le asigna el identificador 65534. Cuando usemos el mapeo, el sistema o operativo no es capaz de traducir el usuario 65534 con su nombre correspondiente, porque no existe.En el cliente: De nuevo, el demonio rpcbind tiene que estar lanzado. Aseg´rate que para los niveles de u arranque 3 y 5 se activa dicho demonio. El montaje se puede hacer de dos formas: • Para que el montaje se haga cada vez que se reinicie el equipo, en el fichero /etc/fstab hay que introducir el directorio de la m´quina remota que se quiere montar y el punto de a montaje local. El tipo de sistema de fichero es nfs (3er campo del fichero). Las distintas opciones de montaje vistas en clase se configuran en el 4o campo. Los dos ultimos campos ´ del fichero /etc/fstab tienen que ser puestos a “0”. • Usando la orden mount para realizar un montaje s´lo temporal (al reiniciar el equipo el o montaje no se har´ de nuevo). Las opciones de montaje se indican usando la opci´n -o. a o 1 En sistemas donde a´n existe portmap, este demonio es el que tiene que estar lazado. u 1
  2. 2. Ejercicios Nota: Para que cada grupo trabaje tanto la importaci´n como la exportaci´n, cada grupo ha de o ohacer una vez de servidor y otra de cliente. A´n as´ es interesante que los ejercicios los hag´is de u ı, aforma conjunta, debido a que en cada ejercicio se usan opciones distintas. 1. En ambos equipos aseg´rate que el firewall est´ desactivado. Puedes usar las ´rdenes: u a o # /etc/init.d/iptables stop # chkconfig iptables off En un sistema real, tendr´ ıamos que abrir los puertos usados por NFS, y no deshabilitar el firewall. 2. Se necesitan los paquetes: nfs-utils y nfs-utils-lib. Comprueba con rpm si est´n, o no, a instalados. 3. Exportaci´n/Importaci´n del directorio /tmp: o o 3.1 En el servidor. Exporta el directorio /tmp en modo lectura y escritura, y realizando el mapeo del usuario root del ordenador cliente al usuario nfsnobody en el servidor. (Al importarlo, cuando el usuario root del ordenador cliente acceda a datos del equipo servidor tiene que ser el usuario nfsnobody y no el root). 3.2 En el servidor. Comprueba con exporfs si la exportaci´n se realiza de forma correcta. o 3.3 En el cliente. Monta “a mano”, v´ NFS, el directorio /tmp en el directorio /remoto tmp. ıa Indica las opciones de montaje que consideres necesarias teniendo en cuenta los permisos concedidos en el servidor sobre dicho directorio y lo estudiado en clase. 3.4 En el cliente. Como administrador crea un fichero en el directorio importado, touch ‘‘nombre fichero’’, y comprueba que el usuario propietario es nfsnobody (y no root). A continuaci´n, como un usuario normal (que no sea el root) crea otro fichero y observa o que en este caso no se hace el mapeo del usuario. 3.5 En el servidor. Comprueba con showmount qu´ directorio se est´ montando y desde e a qu´ equipo. e 3.6 En el servidor. Crea un usuario local llamado usutemp con identificador de usuario 200. Cambia la forma de exportar el directorio /tmp y mapea todos los usuarios de las m´quinas a cliente a dicho usuario. 3.7 En el cliente. Prepara el fichero /etc/fstab para que se monte en cada arranque dicho directorio autom´ticamente, de nuevo en /remoto tmp. A las opciones indicadas anterior- a mente a˜ade la que establece que el proceso de montaje contin´e en segundo plano en caso n u de que el servidor no responda. 3.8 En el cliente. Desmonta el directorio /remoto tmp y vuelve a montarlo usando el fichero /etc/fstab (recuerda mediante el formato corto de la orden mount). Comprueba que la nueva condici´n de mapeo fijada en el servidor se cumple. Crea dos o ficheros, uno usando el usuario root y otro con un usuario distinto. En ambos casos se ha tenido que hacer el mapeo y el propietario de los ficheros es usutemp, a pesar de que en la m´quina cliente ese usuario no existe. a 3.9 En el servidor. Comprueba con showmount qu´ directorio se est´ montando y desde e a qu´ equipo. e 4. Exportaci´n/Importaci´n del directorio /usr/share/doc: o o 4.1 En el servidor. Exporta el subdirectorio /usr/share/doc, permitiendo que el root de la m´quina que lo importe pueda actuar como root en esa m´quina y el acceso s´lo se pueda a a o realizar en modo de s´lo lectura. o 2
  3. 3. 4.2 En el servidor. Crea un fichero en el directorio /usr/share/doc llamado datos, con el siguiente contenido: “Si puedes leer esto est´s accediendo como usuario root”. Despu´s a e cambia los permisos del fichero para que s´lo pueda ser le´ por el usuario root (chmod o ıdo 600 /usr/share/doc/datos). 4.3 En el servidor. Comprueba con exporfs si la exportaci´n se realiza de forma correcta. o 4.4 En el cliente. Realiza el montaje del directorio importado en /documentos remotos usando la orden mount, con las opciones que consideres oportunas teniendo en cuenta las opciones de exportaci´n establecidas. o 4.5 En el cliente. Comprueba que el usuario root puede leer el fichero datos, pero que un usuario “normal” no puede leerlo. 4.6 En el servidor. Comprueba con showmount qu´ directorio se est´ montando y desde e a qu´ equipo. e 5. Tanto en el cliente como en el servidor, elimina las entradas creadas en los ficheros /etc/exports y /etc/fstab, y adem´s para los demonios lanzados, etc. aNIS Notas: Tanto en el servidor como en el cliente ser´ necesario habilitar NIS como modo de autenticaci´n, a o para ello habr´ que ejecutar la orden system-config-authentication. a En el servidor, los paquetes ypserv, ypbind e yp-tools deben estar instalados. Por el con- trario en el cliente s´lo se necesitan ypbind e yp-tools. oEn el servidor 6. En ambos equipos aseg´rate que el firewall est´ desactivado. u a 7. Crea un usuario para poder comprobar que las NIS han sido configuradas correctamente. 8. Habilita NIS como m´todo de autenticaci´n con: system-config-authentication. Con e o esta herramienta tambi´n es posible configurar las NIS, sin embargo nosotros lo vamos a confi- e gurar de forma manual, como vimos en clase. 9. Establece el dominio para NIS, llam´ndolo por ejemplo “mi nis” con la siguiente orden a nisdomainname mi nis. Como nombre de dominio puedes poner el que quieras, pero debes recordar que ha de ser el mismo en el cliente y en el servidor, y que no puede haber dos dominios NIS con el mismo nombre en la red. 10. Si se quiere que el dominio se active al reiniciar la m´quina, debemos editar /etc/sysconfig/network a y a˜adir (o modificar) la l´ n ınea: NISDOMAIN=mi_nis 11. En el fichero de configuraci´n del NIS, /etc/yp.conf, hay que indicar el nombre del dominio o y el servidor. Esto se realiza a˜adiendo la l´ n ınea: domain mi_nis server 155.54.225.X ypserver 155.54.225.X Siendo 155.54.225.X la direcci´n IP del servidor. o 12. NIS usa internamente RPC (Remote Procedure Call) para hacer la comunicaci´n cliente- o servidor. Se necesita que el demonio rpcbind est´ activo, encargado de este mecanismo. e Activa, si no est´ ya activo, el demonio rpcbind (/etc/init.d/rpcbind start) y confi- a gura el arranque para que se lance para los niveles oportunos. 3
  4. 4. 13. El siguiente paso es arrancar el demonio ypserv y activarlo para que se lance en el arranque para los niveles correspondientes. 14. Es el momento de crear las bases de datos que “distribuye” el servidor. Este paso hay que hacerlo cada vez que cambien los datos, por ejemplo cuando se a˜ade o modifica un usuario. Para crear n o actualizar las bases de datos: cd /var/yp make 15. Si se desea que los usuarios puedan cambiar su contrase˜a se necesita tener en ejecuci´n el n o demonio yppasswdd. Activa dicho demonio y haz que se lance para los niveles de arranque oportunos. 16. Para comprobar que el servidor funciona correctamente, puedes hacer que el servidor sea cliente de s´ mismo (lanzando el demonio ypbind) y ejecutar la orden ypcat passwd, que debe ı mostrar un listado de los usuarios que son “exportados” utilizando las NIS.En el cliente 14. En primer lugar habilita NIS como m´todo de autenticaci´n con: e o system-config-authentication. 15. Configura el dominio NIS con el mismo nombre especificado en el servidor con nisdomainname y a˜ade o modifica la variable NISDOMAIN en el fichero /etc/sysconfig/network. n 16. Indica en el fichero de configuraci´n /etc/yp.conf el nombre del dominio y la direcci´n IP o o del servidor. As´ si 155.54.225.X es la direcci´n del servidor, tendremos que indicar: ı, o domain mi_nis server 155.54.225.X 17. Lanza los demonios rpcbind y ypbind, y configura el sistema para que en tiempo de arranque se lancen de forma correcta y para los niveles oportunos. 18. Comprueba, utilizando ypcat passwd, que el servidor nos acepta como cliente. 19. Es el momento de comprobar si todo ha sido realizado de forma correcta. Para ello, intenta entrar en el ordenador cliente con el usuario creado en el servidor. 19.1 ¿En qu´ directorio “HOME” entra? e 19.2 ¿Qu´ habr´ que hacer para que pudiese utilizar su directorio “HOME”? e ıa 19.3 Si localmente hay definido otro usuario con el mismo UID, ¿son usuarios distintos o el mismo? ¿a qu´ usuario pertenecen los ficheros? e 20. Cambia la contrase˜a del usuario usando para ello la orden yppasswd. nDe nuevo en el servidor 20. Prueba a crear un nuevo usuario en el servidor pero no actualices las bases de datos de las NIS. A continuaci´n intenta entrar en el cliente con ese usuario. o 21. Actualiza las bases de datos del servidor. Comprueba que ahora s´ es posible entrar en el cliente ı con ese usuario. 4
  5. 5. Seguridad El principal m´todo para especificar la seguridad a trav´s de NIS es indicar la red o los ordenadores e eque tienen permiso para acceder al dominio NIS en el fichero /var/yp/securenets. Si dicho fichero est´ vac´ o no existe, cualquier ordenador que conozca el nombre del dominio NIS a ıoy la direcci´n IP del servidor podr´ conectarse al dominio. Por el contrario si se especifica una red o o ıabien un listado de ordenadores concretos, s´lo esos ordenadores podr´n acceder al dominio NIS. o a Un ejemplo del contenido de dicho fichero ser´ ıa:# Permitir conexi´n al host local ohost 127.0.0.1## Permitir conexiones a la subred 192.168.8.0255.255.255.0 192.168.8.0## Permitir al host 155.54.225.3host 155.54.225.3 22. Configura el dominio NIS para que s´lo el servidor pueda conectarse al dominio. Reinicia el o demonio del servidor. 23. En el cliente, comprueba si las peticiones que a partir de ese momento realiza son denegadas.Para finalizar 24. Tanto en el cliente como en el servidor, elimina las entradas creadas en los ficheros /etc/yp.conf, /etc/sysconfig/network y /var/yp/securenets, para los demonios lanzados, etc. 5

×