CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

viernes, 29 de agosto de 2008

AUNTENTICACION DE UN USUARIO LINUX CONTRA FDS (Fedora Directory Server)

Fedora Directory Server nació en 1999 como Netscape Directory Server. En 2004, Red Hat compró Nestcape Directory Server con un compromiso: mantenerlo como proyecto Open Source. En la actualidad existen Red Hat Directory Server como versión empresarial y Fedora Directory Server como versión libre.

Algunas carácteristicas clave del FDS(Fedora Directory Server) son:
-Usa el Manejador de Bases de Datos Berkeley para almacenar sus datos.
-Replicación Multimaestro (MMR), dando una alta disponibilidad al Servicio de Directorio.
-Escalabilidad: Miles de operaciones por segundo, miles de clientes concurrentes, millones de entradas y cientos de gygabytes de datos.
-Autentificación de usuarios y transporte de datos de forma segura(SSL v3, TLS y SASL).
-Sincronización de usuarios y grupos con el Microsoft Active Directory.

Para instalar el Fedora Directory Server siga este corto manual
Despúes de tener instalado el Servicio de Directorio, ingresemos a la consola de Administración ejecutando:

cd /opt/fedora-ds;
./startconsole -u admin -a http://siona.localhost.localdomain:26492/

En la consola se pueden ver 2 pestañas, una denominanada Servers and Applications y la otra Users and Groups. La primera provee funciones de gestión para los Servidores de Directorio y Administración, y la segunda para Usuarios y Grupos.

Empezemos por crear un usuario ingresando sus datos y prestando especial atención a los atributos NT User y Posix User, pues ambos permiten que FDS actúe como un Servidor de login centralizado para entornos Windows y Linux.

Ahora, creemos un usuario llamado Pepe Perez cuyo nombre de usuario sea peperez, despúes de hacer esto, vamos al atributo Posix User y definimos el user ID, el group ID, el home Directory y el shell del usuario con los valores 333, 333, /home/peperez y /bin/bash respectivamente. Antes de configurar estos valores, aseguremonos de que user ID y group ID no estén ya en uso.

Esta es toda la configuración necesaria para que FDS actùe como un Servidor de login centralizado.


El siguiente paso es configurar el Cliente para acceder al Servidor, para ello necesitamos hacer 4 cosas:

1- Instalar los modulos nss_ldap y pam_ldap.
2- Modificar el NS cambiando el archivo de configuración /etc/nsswitch.conf para permitir LDAP.
3- Modificar /etc/ldap.conf para adaptar el entorno.
4- Modificar la configuración de PAM para permitir autentificación en LDAP con SSH.

Probablemente los modulos nss y pam ya estén instalados, visualizemos los sus archivos de configuración /lib/libnss_ldap.so.2 y /lib/security/pam_ldap.so; en caso de que no los encontremos, entonces habrá que instalar los paquetes.

El cliente que vamos a usar para hacer el logín es Debian etch 4.0 ,al cual hay que ínstalarle los paquetes con el manejador apt-get:

apt-get install libnss-ldap
apt-get install libpam-ldap


Al instalar los paquetes seguimos el asistente de configuración de los mismos.

Modifiquemos el archivo /etc/nsswitch.conf para permitir LDAP como opción. Cambiar las directivas password, group y shadow:

passwd: files ldap
group: files ldap
shadow: files ldap

Luego, editemos el archivo /etc/ldap.conf incluyendo lo siguiente:

base dc=localhost, dc=localdomain
host IP del host

Donde la directiva localhost es el nombre del servidor FDS, localdomain es el dominio LDAP seleccionado durante la instalación y host es la dirección IP del servidor.

Finalmente, configuramos SSH para permitir autenticación desde la fuente LDAP. Para ello agregamos 3 líneas al archivo /etc/pam.d/sshd

auth sufficient /lib/security/pam_ldap.so
account sufficient /lib/security/pam_ldap.so
password sufficient /lib/security/pam_ldap.so

Eso es todo lo necesario para una configuración básica.

Ahora podemos acceder remotamente como peperez usando SSH, tipeando en la consola: ssh -l peperez 10.0.0.1, donde 10.0.0.1 hace referencia a la ip del servidor FDS.

El FDS no es un servidor de archivos, por lo tanto habría que crear la ruta /home/peperez en cada máquina en la que él se loguee, pues de lo contrario sería dejado en / y esto lo inhabilita para hacer muchas cosas; una forma de solucionar esto es crear un servidor de archivos para almacenar los directorios home.

Para mas información a cerca del tema explorar la documentación oficial.

Bibliografía
http://www.linux.com/feature/58731

miércoles, 27 de agosto de 2008

Manual de instalación de FDS (Fedora Directory Server)


Algunas definiciones previas:
Fedora Directory Server es un servidor LDAP (Lightweight Directory Access Protocol) para Linux desarrollado por Red Hat y la comunidad de Fedora, permite un completo sistema de identidades y una plat
aforma integral para múltiples servicios de servidor.
Enfocado principalmente a instituciones y empresas corporativas, cuenta con múltiples características que lo hacen el favorito para implementaciones del mundo real.

Se destacan su capacidad de replicación Multimaster(MMR), compatibilidad con Microsoft Active Directory, Soporte SNMP, Integridad Referencial, Grupos estáticos y dinámicos, Roles, Clases de Servicios, vistas, Editor Gráfico de Esquema y todo un conjunto de herramientas para un control operacional más granulado. En la actualidad esta trabajando en una amplia variedad de empresas e instituciones a nivel mundial, principalmente por su alto rendimiento y fácil administración.
Prerequisitos de Hardware:
Para instalarlo se requiere un procesador superior a un Intel 500MHz Pentium III, es recomendable tambien como mínimo 256MB de RAM y 300 MB de espacio en disco. En entornos de producción el valor mínimo podria ser 2 GB de RAM con 2 GB de espacio en disco en plataforma servidor de 32 o 64 bit.
Prerequisitos de Software:
1. Servidor Web Apache
2. Un Java JRE (únicamente para Fedora Directory Console)

Componentes de Fedora Directory Server
La suite Fedora Directory Server constá principalmente de 4 sub-sistemas:

Fedora Directory Core
Fedora Directory Administration
Fedora Directoty Console
Fedora Org Chart

Instalación de FDS via RPM
Debido a que la instalación del FDS la hicimos sobre la versión 9 de Fedora, no es necesario instalar los paquetes apache y JRE, pues ambos se agregan por defecto en el sistema.

El JRE es requerido para poder usar la consola de Administración de FDS, una forma de saber si está instalado en el sistema es ejecutando en la consola el comando java -version el cuál se encarga de mostrar la versión de java, si al ejecutarlo la salida contiene algo como gcj o GCJ(Gnome Compiler Java) hay que actualizar el JRE pues la instalación del FDS requiere las versiones openjdk o icedtea que se pueden instalar via yum usando el comando yum install java-1.7.0-icedtea o yum install java-1.6.0-openjdk, o vía rpm descargando el paquete desde el sitio oficial http://icedtea.classpath.org/download/fedora/.

El Servidor HTTP Apache modelo worker, se encuentra instalado como un demonio del Sistema. Para ver el estado del servicio ejecutar desde la consola /etc/init.d/httpd status, para correrlo ejecutar /etc/init.d/httpd start y para pararlo /etc/init.d/httpd stop.
De acuerdo con la Guia de instalación oficial, el método de instalación vía RPM no está soportado para FDS 1.1 y superiores, para esas plataformas hay que hacer uso de yum.

Descargamos el archivo fedora-ds-1.0.4-1.PLATFORM.

ARCH.opt.rpm desde http://directory.fedoraproject.org/wiki/Download. donde PLATFORM es reemplazado por RHEL3, RHEL4, FC4, FC5, o FC6 y ARCH es i386 or x86_64, es decir PLATFORM hace referencia a la plataforma sobre la que se va a instalar el FDS y ARCH hace referencia a la arquitectura del procesador.

Para instalar entonces desde la línea de comandos ejecutar:
rpm -Uvh fedora-ds-1.0.4-1.PLATFORM.ARCH.opt.rpm

FDS tiene una pequeña aplicación capaz de verificar el estado del sistema y algunos parámetros del kernel necesarios para que el servicio de directorio funcione adecuadamente, está aplicación la podemos encontrar en /opt/fedora-ds/bin/slapd/server/dsktune, su función es ofrecernos información sobre lo que debemos ajustar y cambiar en Linux, algunos de estos cambios comúnes debemos hacerlos en los archivos /etc/security/limits.conf y /etc/sysctl.conf.

Si no hay problemas en la instalación, la consola nos mostrará:
Install finished. Please run /opt/fedora-ds/setup/setup to complete installation and set up the servers.

Para ejecutar el asistente de instalación FDS vamos al directorio de instalación tipeando en la consola:
cd /opt/fedora-ds;

Antes de continuar, debemos asegurarnos que el hostname este apropiadamente registrado en el servidor DNS o en el archivo /etc/hosts, para ello ejecutamos el comando ping siona.localhost.localdomain en una consola, reemplazando siona.localhost.localdomain por el nombre del equipo; si al ejecutar retorna 127.0.0.1 o unknown host esto significa que el hostname no esta registrado correctamente.

Despues de haber comprobado el hostname creamos un usuario y un grupo llamados fds para correr el servicio.

Ahora tipeamos ./setup/setup para instalar Fedora Directory Server, esto nos mostrará un asistente que nos desplegará una serie de preguntas para ir configurando el servicio, como sigue:

1. LICENSE AGREEMENT AND LIMITED PRODUCT WARRANTY
FEDORA(TM) DIRECTORY SERVER
This agreement governs the use of Fedora Directory...

En este apartado el asistente nos pide leer la licencia del FDS, al final de la misma debemos tipear yes si estamos de acuerdo y queremos continuar.

2. Your system has been scanned for potential problems, missing patches, etc. The following output is a report of the items found that need to be addressed before running this software in a production environment...

El asistente nos muestra advertencias de problemas que tengamos en el sistema para que sean resueltas antes de iniciar la instalacion, en caso de que la puedan ser pasadas por alto debemos tipear yes para continuar.

3. Choose a setup type:

1. Express: Allows you to quickly set up the servers using the most common options and pre-defined defaults. Useful for quick evaluation of the products.
2. Typical: Allows you to specify common defaults and options.
3. Custom: Allows you to specify more advanced options. This is recommended for experienced server administrators only.

Tenemos 3 modos de instalacion:
1-Express: El mas útil para evaluar el producto.
2-Typical: Permite especificar los parámetros comunes y las opciones principales.
3-Custom: Permite especificar opciones más avanzadas.

Por defecto, seleccionamos 2 y continuamos.

4. hostname to use (default: localhost.localdomain)...

Computer name [siona.localhost.localdomain]:
System User [nobody]: fds
System Group [nobody]: fds

Dejamos el hostname que habíamos configurado con anterioridad, y especificamos el usuario y el grupo que creamos para la administración del servicio.

En caso de que aparezca el error:
./ns-config: error while loading shared libraries: libtermcap.so.2: cannot open shared object file: No such file or directory
ERROR Exiting . . .
Log file is /tmp/lognIfjhl

Resolverlo de la siguiente manera:
-Descargar los paquetes libtermcap-2.0.8-47.i386 y termcap-5.5-1.20060701.1.noarch.rpm desde aqu
-Instalarlos con el comando:
rpm -Uvh termcap-5.5-1.20060701.1.noarch.rpm libtermcap-2.0.8-47.i386
-Despues de instalar correctamente, la consola arrojará lo siguiente:
Preparando... ################################# [100%]
1:termcap ################################### [ 50%]
2:libtermcap ################################# [100%]
-Ahora hay que volver al paso 1 de la instalación.

5. Server information is stored in the configuration directory server...
Do you want to register this software with an existing configuration directory server? [no]: ↵

Como se trata de la primera instalación del Servicio de Directorio, tipeamos no para continuar.

6. If you already have a directory server you want to use to store your data...
Do you want to use another directory to store your data? [No]

Al igual que en la pregunta anterior, tipeamos no para continuar, pues no se tiene otro Servicio de Directorio instalado.

7. The standard directory server network port number is 389...
Directory server network port [389]: ↵

Dejamos el puerto por defecto.

8. Each instance of a directory server requires a unique identifier...
Directory server identifier:[siona] ↵

El asistente nos reconoció el Identificador del equipo, enter para continuar.

9. Please enter the administrator ID for the Fedora configuration...
administrator ID [admin]:
Password:
Password (again):

El usuario por defecto admin será quien administre desde la consola del FDS, ingresamos su Password y continuamos.

10. The suffix is the root of your directory tree. You may have more than one suffix.
Suffix [dc=localhost, dc=localdomain]: ↵

El sufijo es usado para almacenar nuestros datos, es la parte del FQDN siona.localhost.localdomain en la forma dc=localhost, dc=localdomain; siendo dc el acrónimo de Domain Controller.

11. Certain directory server operations require an administrative user. This user is referred...
Directory Manager DN [cn=Directory Manager]:
Password:
Password (again):

El usuario Directory Manager será usado para ciertas operaciones de administración, siendo su uso muy similar al usuario root bajo entornos Unix.
Presionamos enter e ingresamos el password 2 veces, teniendo en cuenta que no debe ser inferior a 8 caracteres.

12. The information stored in the configuration directory server can be separated...
Administration Domain [localhost.localdomain]: ↵

La información de configuración puede ser almacenada en diferentes Dominios Administrativos, en cuyo caso se ingresan los identificadores de los mismos, esto puede ser útil para algunas empresas con sedes diferentes; por ejemplo la empresa Colanta con sus sedes lácteos y carnicos.
Pero como nosotros estamos instalando el FDS para un sólo dominio de adminitración presionamos enter para continuar.

13. The Administration Server is separate from any of your web or application servers since it listens to a different port...
Administration port [9830]: 26492

Cambiamos el puerto de administración HTTP por defecto, el cúal es usado por FDS para escuchar el servicio de Administración que monta sobre Apache.

14. The Administration Server program runs as a certain user on your system...
Run Administration Server as [root]: ↵

Presionamos enter para continuar, debido a que utilizaremos el usuario root para escribir los archivos de configuración y arrancar el servicio.

15. The Administration Server runs on the Apache web server. Please provide the directory...
Apache Directory [/usr/sbin/]:

Pulsamos enter ya que el binario del demonio de Apache, httpd, se encuentra en la ubicación especificada.

La instalación ha sido finalizada satisfactoriamente. Para ejecutar la consola de Administración tipeamos:

cd /opt/fedora-ds; ./startconsole -u admin -a http://siona.localhost.localdomain:26492/

Si no hay problemas obtendremos la ventana de login:


Ingresamos el password y damos click en OK, con esto accedemos a la consola de administración.



Comandos Útiles:

Servicio Fedora Directory Core

Iniciar:
/opt/fedora-ds/slapd-/start-slapd
Parada:
/opt/fedora-ds/slapd-/stop-slapd
Reiniciar:
/opt/fedora-ds/slapd-/restart-slapd

Servicio Fedora Directory Administrator

Iniciar:
/opt/fedora-ds/start-admin
Parada:
/opt/fedora-ds/stop-admin
Reiniciar:
/opt/fedora-ds/restart-admin

Por
Katherine Garìa Rìos
Raul Chavarria
Estudiantes de Administracion de Redes
SENA-Regional Antioquìa

2008

AUTENTICACION DE USUARIOS LINUX CONTRA ACTIVE DIRECTOEY

Para hacer posible la autenticación de un cliente Linux es necesario:
1. Descargar el paquete para Linux (Ubuntu, Debian) Likewise-open.
Para hacer posible la instalación del paquete se la debe dar permsisos de ejecuación de la siguinte forma: chmod a+x /ruta/nombre del paquete.

2. Despues de esto vamos a la consola, abrimos y editamos los archivos necesarios, tales archivos son:

nsswitch.conf

vim /etc/nsswitch.conf
en la linea hosts el valor por defecto se le cambia por files dns
guardamos y salimos del editor

resolv.conf

vim /etc/resolv.conf
domain
nameserver
guardamos y salimos

3. Seguiamente ejecutamos el siguiente comando
#domainjoin-cli join administrador

Este nos permitira unirnos la dominio y nos pedira que ingresemos la contraseña del administrador (Controlador de dominio)

4. Para comprobar si estamos en el dominio ejecutamos el siguiente comando:
#lwiinfo -i redes.local\\administrador.


UBUNTU
winfo -i GrupoLocal //Admins

DEBIAN
/usr/centeris/bin/lwinfo -i GrupoLocal //Admin

miércoles, 6 de agosto de 2008

GPO (Group Policy Object)

Las GPO´s son un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta especificamente.

Hace referencia a la política que está configurado en el nivel de Active Directory y es heredado por el
miembro de dominio ordenadores. Puede configurar un GP
O en el sitio, dominio o nivel de OU. Esta es una de las herramientas más útiles encontradas en el Windows 2000/2003 Active Directory infraestructura. Las políticas de grupo puede ayudarle a hacer lo siguiente:

  1. Configurar el escritorio del usuario

  2. Configurar la seguridad local en los ordenadores

  3. Instalar aplicaciones

  4. Ejecutar start-up/shut-down o logon / logoff scripts

  5. configurar los ajustes de Internet Explorer

  6. Redirigir carpetas especiales

De hecho, puede configurar cualquier aspecto del ordenador y el comportamiento del mismo. Aunque se trata de un fresco juguete; que tratandolo sin la debida atención puede causar un comportamiento inesperado.

Creando GPO


Editando GPO

Aplicando GPO

ESTRATEGIAS DE UTILIZACION DE GRUPO

Las estrategias de grupo son utilizadas principalmente para manejar con facilidad las extensas propiedades que provee el Active Directory, entre las que esta el manejo y asigancion de permisos a usuarios del dominio, esta permite agrupar de manera facìl y entendible al administrador usuarios para asì asignarles politicas y demas herramientas necesarias para llevar a cabo la buena administraciòn del Directorio Activo.

Las estrategias estan compuestas por:
A-Cuentas de usuario.
G-Grupos globales.
DL-Grupos locales de dominio.
P-Permisos.
U-Grupos universales.

Las estrategias mas utilizadas son las siguientes:

AGP-En esta se colocan cuentas de usuarios en grupos globales y se aplican permisos.
Su utilizacion es basicamente en bosques con un unico dominio y pocos usuarios. Este presenta una desventaja y al no almacenar los grupos en cachè cada que un usuario se autentica el AD verifica su pertenencia al grupo global.
AGDLP-Aqui se agrupan cuentas de usuario en grupos globales y a su vez en grupos locales de dominio; otorgandoles permisos a los grupos locales de dominio. Su utilizaciòn es en bosques formados por varios dominios.
AGUDLP-Se agrupan cuantas de usuario en grupos globales, a su vez en grupos universales, igualmente en grupos de dominio locales de dominio, asi se daran los permisos sobre los grupos locales de dominio; su utilizacion es un bosuqe con mas de un dominio.
AGPL-Asigna permisos a un recurso o equipo especifico desde el mismo equipo.


En caso de que un usuario pertenezca a varios grupos y deba tener permisos especificos se debe utilizar la herramienta "Permisos Efectivos".