ICO wiki - User contributions [en]

Zypper

2012-12-15T15:32:44Z

Mkurs:

= Autor =
* Marko Kurs
= Sissejuhatus =
Zypper on SUSE peal asuv paketihaldus rakendus. Erinevalt samuti SUSE peal asuvast YaST rakendusest on zypperi abil võimalik kiire käsureaga pakke paigaldada ja eemaldada. Zypperi käsustiku struktuur on väga sarnane apt-get käsustikuga. Zypper on paketihaldusmootori ZYpp(libzypp) käsurea liides.

= Käsud mida kasutad igapäevaselt =
<pre>
zypper # Väljasta käskude ja valikute nimekiri
zypper help search # Käsu "search" abi
zypper lp # Väljasta vajalike uuenduste nimekiri
zypper patch # Paigalda vajalikud uuendused
zypper se sqlite # Otsi sqlite pakki
zypper rm sqlite2 # Eemalda sqlite2
zypper in sqlite3 # Paigalda sqlite3
zypper in yast* # Paigalda kõik pakid mis algavad tekstiga 'yast*'
zypper up # Uuenda kõik pakid uusimale versioonile kus võimalik
</pre>
= Hoidla käitlemine =

* Hoidlate nimekiri
<pre>
zypper lr
</pre>
<pre>
# | Alias | Name | Enabled | Refresh
--+-----------------------+-----------------------+---------+--------
1 | packman | Packman 11.1 | Yes | No
2 | fate | fate | No | No
3 | openSUSE-11.1-Updates | Updates for 11.1 | Yes | Yes
4 | repo-oss | openSUSE-11.1-Oss | Yes | No
5 | repo-non-oss | openSUSE-11.1-Non-Oss | Yes | No
6 | repo-debug | openSUSE-11.1-Debug | No | No
</pre>

* Lisa hoidla
<pre>
zypper ar [URL]
</pre>
<pre>
zypper ar http://download.videolan.org/pub/vlc/SuSE/11.1 vlc
</pre>
<pre>
Adding repository 'vlc' [done]
Repository 'vlc' successfully added
Enabled: Yes
Autorefresh: No
URI: http://download.videolan.org/pub/vlc/SuSE/11.1
</pre>

* Uuenda hoidlate nimekirja
<pre>
zypper ref
</pre>
<pre>
Downloading repository 'Packman 11.1' metadata [done]
Building repository 'Packman 11.1' cache [done]
Downloading repository 'Updates for 11.1' metadata [done]
Building repository 'Updates for 11.1' cache [done]
Repository 'openSUSE-11.1-Oss' is up to date.
All repositories have been refreshed.
</pre>

* Eemalda hoidla
<pre>
zypper rr [hoidla nimi]
</pre>
<pre>
Repository 23 not found by alias, number or URI.
Repository foo not found by alias, number or URI.
Removing repository 'repo-debug' [done]
Repository 'repo-debug' has been removed.
Removing repository 'vlc' [done]
Repository 'vlc' has been removed.
</pre>

* Hoidlate eksport/import
<pre>
zypper lr --export [Asukoht]
zypper ar [Asukoht]
</pre>

= Paketti haldus =
== Otsing ==
Vaikesättega otsitakse käsuga suvalist paki tüüpi, staatust või hoidlat kui nimes on otsitav tekst

<pre>
zypper se sqlite
</pre>
<pre>
Reading installed packages...

S | Name | Summary | Type
--+--------------------------+----------------------------------------------------------------+--------
| libapr-util1-dbd-sqlite3 | DBD driver for SQLite 3 | package
i | libgda-3_0-sqlite | Sqlite Provider for GNU Data Access (GDA) | package
| libqt4-sql-sqlite | Qt 4 sqlite plugin | package
i | libsqlite3-0 | Shared libraries for the Embeddable SQL Database Engine | package
| libsqlite3-0-32bit | Shared libraries for the Embeddable SQL Database Engine | package
| mediatomb-sqlite | UPnP AV MediaServer | package
i | mono-data-sqlite | Database connectivity for Mono | package
| pdns-backend-sqlite2 | SQLite 2 backend for pdns | package
| pdns-backend-sqlite3 | SQLite 3 backend for pdns | package
i | perl-DBD-SQLite | The DBD::SQLite is a self contained RDBMS in a DBI driver | package
i | php5-sqlite | PHP5 Extension Module | package
| python-sqlite2 | Python bindings for sqlite 2 | package
| qt3-sqlite | SQLite Database Plug-In for Qt | package
| rekall-sqlite | Rekall sqlite Database Backend | package
| rubygem-sqlite3 | A Ruby interface for the SQLite3 database engine | package
i | sqlite2 | Embeddable SQL Database Engine | package
| sqlite2-32bit | Embeddable SQL Database Engine | package
| sqlite2-devel | Embeddable SQL Database Engine | package
i | sqlite3 | Embeddable SQL Database Engine | package
| sqlite3-devel | Embeddable SQL Database Engine | package
| sqlite3-tcl | Tcl binding for SQLite | package
| tntdb1-sqlite | Tntdb is a c++-class-library for easy database-access - sqlite | package
| ulogd-sqlite | SQLite output plugin for ulogd | package
</pre>

I täht esimeses tulbas märgib, et pakk on juba paigaldatud kohalikku arvutisse. Kui soovid näha kõiki paki versioone kasuta <code>--details/-s</code> valikut:
<pre>
zypper search -s --match-exact virtualbox-ose
</pre>
<pre>
Reading installed packages...

S | Name | Type | Version | Arch | Repository
--+----------------+---------+------------+--------+------------------------------------
v | virtualbox-ose | package | 1.6.2-2.1 | x86_64 | VirtualBox OSE
i | virtualbox-ose | package | 1.5.6-33.1 | x86_64 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.5 | x86_64 | VirtualBox OSE (
v | virtualbox-ose | package | 1.6.2-2.1 | i586 | VirtualBox OSE
v | virtualbox-ose | package | 1.5.6-33.1 | i586 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.3 | i586 | VirtualBox OSE
</pre>

V täht esimeses tulbas märgib, et paki muud versioonid on juba paigaldatud kohalikku arvutisse.

== Paigaldus ==

Pakke saab paigaldada nime järgi:
<pre>
zypper install git
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
subversion-perl sqlite3 perl-DBD-SQLite git-svn git-cvs git

Overall download size: 1.1 M. After the operation, additional 4.6 M will be used.
Continue? [YES/no]:
Downloading package subversion-perl-1.5.0-96.1.x86_64 (1/6), 950.0 K (4.1 M unpacked)
Downloading: subversion-perl-1.5.0-96.1.x86_64.rpm [done]
Installing: subversion-perl-1.5.0-96.1 [done]
Downloading package sqlite3-3.5.7-17.1.x86_64 (2/6), 30.0 K (40.0 K unpacked)
Downloading: sqlite3-3.5.7-17.1.x86_64.rpm [done]
Installing: sqlite3-3.5.7-17.1 [done]
Downloading package perl-DBD-SQLite-1.14-41.1.x86_64 (3/6), 44.0 K (103.0 K unpacked)
Downloading: perl-DBD-SQLite-1.14-41.1.x86_64.rpm [done]
Installing: perl-DBD-SQLite-1.14-41.1 [done]
Downloading package git-svn-1.5.4.5-26.1.x86_64 (4/6), 66.0 K (195.0 K unpacked)
Downloading: git-svn-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-svn-1.5.4.5-26.1 [done]
Downloading package git-cvs-1.5.4.5-26.1.x86_64 (5/6), 63.0 K (205.0 K unpacked)
Downloading: git-cvs-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-cvs-1.5.4.5-26.1 [done]
Downloading package git-1.5.4.5-26.1.x86_64 (6/6), 10.0 K (3.0 K unpacked)
Downloading: git-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-1.5.4.5-26.1 [done]
</pre>

Võimaluste järgi mida nad pakuvad:
<pre>
zypper in MozillaFirefox \< 3
</pre>
<pre>
Reading installed packages...
'MozillaFirefox' providing 'MozillaFirefox<3' is already installed.
Nothing to do.
</pre>
<pre>
zypper in MozillaFirefox \>= 3
</pre>
<pre>
Reading installed packages...

The following packages are going to be upgraded:
mozilla-xulrunner190-translations MozillaFirefox mozilla-xulrunner190-gnomevfs
mozilla-xulrunner190 MozillaFirefox-translations

The following package is going to be REMOVED:
mozilla-xulrunner190-lang

Overall download size: 11.0 M. After the operation, 12.9 M will be freed.
Continue? [Y/n/p/?]:
</pre>
<pre>
zypper in 'libqtiff.so()(64bit)'
</pre>
<pre>
Reading installed packages...
'libqt4-x11' providing 'libqtiff.so()(64bit)' is already installed.
Nothing to do.
</pre>
Muud näited:
<pre>
zypper in yast* # Paigalda kõik yast moodulid
zypper in -t pattern lamp_server # Paigalda lamp_server pattern (Pakid mis on vajalikub LAMP serverile)
zypper in emacs pattern:lamp_server # Paigalda emacs pakk ja lamp_server pattern
zypper in vim -emacs # Paigalda vim ja eemalda emacs ühe käsuga
zypper in amarok packman:libxine1 # Paigalda libxine1 packman hoidlast ja amarok suvalisest hoidlast
zypper in bitchx-1.1-81.x86_64.rpm # Paigalda bitchx rpm kohalikult kettalt
zypper in -f subversion # subversion sund taaspaigaldus
</pre>

== Eemaldus ==
Eemaldus käsk on väga sarnane paigalduskäsuga

<pre>
zypper remove sqlite
</pre>
<pre>
Reading installed packages...

The following packages are going to be REMOVED:
sqlite3 perl-DBD-SQLite git-cvs git

After the operation, 351.0 K will be freed.
Continue? [YES/no]: n
</pre>

== Uuendus ==
<pre>
zypper up # Uuenda kõik paigaldatud pakid uusimale versioonile
zypper up libzypp zypper # Uuenda libzypp ja zypper
zypper in sqlite3 # Uuenda sqlite3 või paigalda see kui ei ole juba paigaldatud
</pre>

= Pakkide lukustus =
Pakkide lukustus võimaldab administraatoril keelata pakkide uuendamist, eemaldamist ja ka paigaldamist süsteemis.

* Lukusta pakk mis algab tekstiga "yast2"
<pre>
zypper al 'yast2*'
</pre>
<pre>
Reading installed packages...
Specified lock has been successfully added.
</pre>
* Loetle aktiivsed lukud
<pre>
#zypper ll
</pre>
<pre>
# | Name | Type | Repository
--+------------------+---------+-----------
1 | libpoppler3 | package | (any)
2 | libpoppler-glib3 | package | (any)
3 | yast* | package | (any)
</pre>
* Eemalda lukk
<pre>
zypper rl yast2-packager
</pre>
<pre>
Reading installed packages...
The following query locks some of the objects you want to unlock:

type: package
match_type: glob
case_sensitive: on
solvable_name: yast2*

Do you want remove this lock? [YES/no]: y
Lock count has been succesfully decreased by: 1
</pre>

= Muud tööriistad =
== Kontrolli sõltuvusi ==
* Kui süsteemiga on probleem ja vihjeks on puuduv komponent:
<pre>
zypper ve
</pre>
<pre>
Reading installed packages...
Some of the dependencies of installed packages are broken. In order to fix these dependencies, the following actions need to be taken:

The following NEW package is going to be installed:
mozilla-xulrunner190

Overall download size: 6.5 M. After the operation, additional 23.5 M will be used.
Continue? [YES/no]: y
</pre>
== Paigalda uued soovituslikud pakid ==
* Lihtne moodus kuidas paigaldatud pakkidele lisada keeleuuendusi või lisada ajureid riistvarale
<pre>
zypper inr
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
kdebase4-openSUSE-lang bundle-lang-common-cs

Overall download size: 534.0 K. After the operation, additional 1.9 M will be used.
Continue? [YES/no]:
</pre>

= Kokkuvõte =
Zypper on hetkel parim moodus SUSE baasil paki halduseks, YaST kasutab samuti zypperi mootorit.
Sarnased haldurid teistel süsteemidel on apt, yum, rpm. Lisainfot nende kohta allikates!
= Allikad =
http://en.opensuse.org/SDB:Zypper_usage_11.3
http://www.cyberciti.biz/ref/apt-dpkg-ref.html
http://docs.fedoraproject.org/en-US/Fedora_Draft_Documentation/0.1/html/RPM_Guide/ch-command-reference.html

Zypper

2012-12-15T14:29:51Z

Mkurs: /* Allikad */

= Autor =
* Marko Kurs
= Sissejuhatus =
Zypper on SUSE peal asuv paketihaldus rakendus. Erinevalt samuti SUSE peal asuvast YaST rakendusest on zypperi abil võimalik kiire käsureaga pakke paigaldada ja eemaldada. Zypperi käsustiku struktuur on väga sarnane apt-get käsustikuga. Zypper on paketihaldusmootori ZYpp(libzypp) käsurea liides.

= Käsud mida kasutad igapäevaselt =
<pre>
zypper # Väljasta käskude ja valikute nimekiri
zypper help search # Käsu "search" abi
zypper lp # Väljasta vajalike uuenduste nimekiri
zypper patch # Paigalda vajalikud uuendused
zypper se sqlite # Otsi sqlite pakki
zypper rm sqlite2 # Eemalda sqlite2
zypper in sqlite3 # Paigalda sqlite3
zypper in yast* # Paigalda kõik pakid mis algavad tekstiga 'yast*'
zypper up # Uuenda kõik pakid uusimale versioonile kus võimalik
</pre>
= Hoidla käitlemine =

* Hoidlate nimekiri
<pre>
zypper lr
</pre>
<pre>
# | Alias | Name | Enabled | Refresh
--+-----------------------+-----------------------+---------+--------
1 | packman | Packman 11.1 | Yes | No
2 | fate | fate | No | No
3 | openSUSE-11.1-Updates | Updates for 11.1 | Yes | Yes
4 | repo-oss | openSUSE-11.1-Oss | Yes | No
5 | repo-non-oss | openSUSE-11.1-Non-Oss | Yes | No
6 | repo-debug | openSUSE-11.1-Debug | No | No
</pre>

* Lisa hoidla
<pre>
zypper ar [URL]
</pre>
<pre>
zypper ar http://download.videolan.org/pub/vlc/SuSE/11.1 vlc
</pre>
<pre>
Adding repository 'vlc' [done]
Repository 'vlc' successfully added
Enabled: Yes
Autorefresh: No
URI: http://download.videolan.org/pub/vlc/SuSE/11.1
</pre>

* Uuenda hoidlate nimekirja
<pre>
zypper ref
</pre>
<pre>
Downloading repository 'Packman 11.1' metadata [done]
Building repository 'Packman 11.1' cache [done]
Downloading repository 'Updates for 11.1' metadata [done]
Building repository 'Updates for 11.1' cache [done]
Repository 'openSUSE-11.1-Oss' is up to date.
All repositories have been refreshed.
</pre>

* Eemalda hoidla
<pre>
zypper rr [hoidla nimi]
</pre>
<pre>
Repository 23 not found by alias, number or URI.
Repository foo not found by alias, number or URI.
Removing repository 'repo-debug' [done]
Repository 'repo-debug' has been removed.
Removing repository 'vlc' [done]
Repository 'vlc' has been removed.
</pre>

* Hoidlate eksport/import
<pre>
zypper lr --export [Asukoht]
zypper ar [Asukoht]
</pre>

= Paketti haldus =
== Otsing ==
Vaikesättega otsitakse käsuga suvalist paki tüüpi, staatust või hoidlat kui nimes on otsitav tekst

<pre>
zypper se sqlite
</pre>
<pre>
Reading installed packages...

S | Name | Summary | Type
--+--------------------------+----------------------------------------------------------------+--------
| libapr-util1-dbd-sqlite3 | DBD driver for SQLite 3 | package
i | libgda-3_0-sqlite | Sqlite Provider for GNU Data Access (GDA) | package
| libqt4-sql-sqlite | Qt 4 sqlite plugin | package
i | libsqlite3-0 | Shared libraries for the Embeddable SQL Database Engine | package
| libsqlite3-0-32bit | Shared libraries for the Embeddable SQL Database Engine | package
| mediatomb-sqlite | UPnP AV MediaServer | package
i | mono-data-sqlite | Database connectivity for Mono | package
| pdns-backend-sqlite2 | SQLite 2 backend for pdns | package
| pdns-backend-sqlite3 | SQLite 3 backend for pdns | package
i | perl-DBD-SQLite | The DBD::SQLite is a self contained RDBMS in a DBI driver | package
i | php5-sqlite | PHP5 Extension Module | package
| python-sqlite2 | Python bindings for sqlite 2 | package
| qt3-sqlite | SQLite Database Plug-In for Qt | package
| rekall-sqlite | Rekall sqlite Database Backend | package
| rubygem-sqlite3 | A Ruby interface for the SQLite3 database engine | package
i | sqlite2 | Embeddable SQL Database Engine | package
| sqlite2-32bit | Embeddable SQL Database Engine | package
| sqlite2-devel | Embeddable SQL Database Engine | package
i | sqlite3 | Embeddable SQL Database Engine | package
| sqlite3-devel | Embeddable SQL Database Engine | package
| sqlite3-tcl | Tcl binding for SQLite | package
| tntdb1-sqlite | Tntdb is a c++-class-library for easy database-access - sqlite | package
| ulogd-sqlite | SQLite output plugin for ulogd | package
</pre>

I täht esimeses tulbas märgib, et pakk on juba paigaldatud kohalikku arvutisse. Kui soovid näha kõiki paki versioone kasuta <code>--details/-s</code> valikut:
<pre>
zypper search -s --match-exact virtualbox-ose
</pre>
<pre>
Reading installed packages...

S | Name | Type | Version | Arch | Repository
--+----------------+---------+------------+--------+------------------------------------
v | virtualbox-ose | package | 1.6.2-2.1 | x86_64 | VirtualBox OSE
i | virtualbox-ose | package | 1.5.6-33.1 | x86_64 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.5 | x86_64 | VirtualBox OSE (
v | virtualbox-ose | package | 1.6.2-2.1 | i586 | VirtualBox OSE
v | virtualbox-ose | package | 1.5.6-33.1 | i586 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.3 | i586 | VirtualBox OSE
</pre>

V täht esimeses tulbas märgib, et paki muud versioonid on juba paigaldatud kohalikku arvutisse.

== Paigaldus ==

Pakke saab paigaldada nime järgi:
<pre>
zypper install git
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
subversion-perl sqlite3 perl-DBD-SQLite git-svn git-cvs git

Overall download size: 1.1 M. After the operation, additional 4.6 M will be used.
Continue? [YES/no]:
Downloading package subversion-perl-1.5.0-96.1.x86_64 (1/6), 950.0 K (4.1 M unpacked)
Downloading: subversion-perl-1.5.0-96.1.x86_64.rpm [done]
Installing: subversion-perl-1.5.0-96.1 [done]
Downloading package sqlite3-3.5.7-17.1.x86_64 (2/6), 30.0 K (40.0 K unpacked)
Downloading: sqlite3-3.5.7-17.1.x86_64.rpm [done]
Installing: sqlite3-3.5.7-17.1 [done]
Downloading package perl-DBD-SQLite-1.14-41.1.x86_64 (3/6), 44.0 K (103.0 K unpacked)
Downloading: perl-DBD-SQLite-1.14-41.1.x86_64.rpm [done]
Installing: perl-DBD-SQLite-1.14-41.1 [done]
Downloading package git-svn-1.5.4.5-26.1.x86_64 (4/6), 66.0 K (195.0 K unpacked)
Downloading: git-svn-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-svn-1.5.4.5-26.1 [done]
Downloading package git-cvs-1.5.4.5-26.1.x86_64 (5/6), 63.0 K (205.0 K unpacked)
Downloading: git-cvs-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-cvs-1.5.4.5-26.1 [done]
Downloading package git-1.5.4.5-26.1.x86_64 (6/6), 10.0 K (3.0 K unpacked)
Downloading: git-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-1.5.4.5-26.1 [done]
</pre>

Võimaluste järgi mida nad pakuvad:
<pre>
zypper in MozillaFirefox \< 3
</pre>
<pre>
Reading installed packages...
'MozillaFirefox' providing 'MozillaFirefox<3' is already installed.
Nothing to do.
</pre>
<pre>
zypper in MozillaFirefox \>= 3
</pre>
<pre>
Reading installed packages...

The following packages are going to be upgraded:
mozilla-xulrunner190-translations MozillaFirefox mozilla-xulrunner190-gnomevfs
mozilla-xulrunner190 MozillaFirefox-translations

The following package is going to be REMOVED:
mozilla-xulrunner190-lang

Overall download size: 11.0 M. After the operation, 12.9 M will be freed.
Continue? [Y/n/p/?]:
</pre>
<pre>
zypper in 'libqtiff.so()(64bit)'
</pre>
<pre>
Reading installed packages...
'libqt4-x11' providing 'libqtiff.so()(64bit)' is already installed.
Nothing to do.
</pre>
Muud näited:
<pre>
zypper in yast* # Paigalda kõik yast moodulid
zypper in -t pattern lamp_server # Paigalda lamp_server pattern (Pakid mis on vajalikub LAMP serverile)
zypper in emacs pattern:lamp_server # Paigalda emacs pakk ja lamp_server pattern
zypper in vim -emacs # Paigalda vim ja eemalda emacs ühe käsuga
zypper in amarok packman:libxine1 # Paigalda libxine1 packman hoidlast ja amarok suvalisest hoidlast
zypper in bitchx-1.1-81.x86_64.rpm # Paigalda bitchx rpm kohalikult kettalt
zypper in -f subversion # subversion sund taaspaigaldus
</pre>

== Eemaldus ==
Eemaldus käsk on väga sarnane paigalduskäsuga

<pre>
zypper remove sqlite
</pre>
<pre>
Reading installed packages...

The following packages are going to be REMOVED:
sqlite3 perl-DBD-SQLite git-cvs git

After the operation, 351.0 K will be freed.
Continue? [YES/no]: n
</pre>

== Uuendus ==
<pre>
zypper up # Uuenda kõik paigaldatud pakid uusimale versioonile
zypper up libzypp zypper # Uuenda libzypp ja zypper
zypper in sqlite3 # Uuenda sqlite3 või paigalda see kui ei ole juba paigaldatud
</pre>

= Pakkide lukustus =
Pakkide lukustus võimaldab administraatoril keelata pakkide uuendamist, eemaldamist ja ka paigaldamist süsteemis.

* Lukusta pakk mis algab tekstiga "yast2"
<pre>
zypper al 'yast2*'
</pre>
<pre>
Reading installed packages...
Specified lock has been successfully added.
</pre>
* Loetle aktiivsed lukud
<pre>
#zypper ll
</pre>
<pre>
# | Name | Type | Repository
--+------------------+---------+-----------
1 | libpoppler3 | package | (any)
2 | libpoppler-glib3 | package | (any)
3 | yast* | package | (any)
</pre>
* Eemalda lukk
<pre>
zypper rl yast2-packager
</pre>
<pre>
Reading installed packages...
The following query locks some of the objects you want to unlock:

type: package
match_type: glob
case_sensitive: on
solvable_name: yast2*

Do you want remove this lock? [YES/no]: y
Lock count has been succesfully decreased by: 1
</pre>

= Muud tööriistad =
== Kontrolli sõltuvusi ==
* Kui süsteemiga on probleem ja vihjeks on puuduv komponent:
<pre>
zypper ve
</pre>
<pre>
Reading installed packages...
Some of the dependencies of installed packages are broken. In order to fix these dependencies, the following actions need to be taken:

The following NEW package is going to be installed:
mozilla-xulrunner190

Overall download size: 6.5 M. After the operation, additional 23.5 M will be used.
Continue? [YES/no]: y
</pre>
== Paigalda uued soovituslikud pakid ==
* Lihtne moodus kuidas paigaldatud pakkidele lisada keeleuuendusi või lisada ajureid riistvarale
<pre>
zypper inr
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
kdebase4-openSUSE-lang bundle-lang-common-cs

Overall download size: 534.0 K. After the operation, additional 1.9 M will be used.
Continue? [YES/no]:
</pre>

= Allikad =
http://en.opensuse.org/SDB:Zypper_usage_11.3

Zypper

2012-12-15T13:43:42Z

Mkurs:

= Autor =
* Marko Kurs
= Sissejuhatus =
Zypper on SUSE peal asuv paketihaldus rakendus. Erinevalt samuti SUSE peal asuvast YaST rakendusest on zypperi abil võimalik kiire käsureaga pakke paigaldada ja eemaldada. Zypperi käsustiku struktuur on väga sarnane apt-get käsustikuga. Zypper on paketihaldusmootori ZYpp(libzypp) käsurea liides.

= Käsud mida kasutad igapäevaselt =
<pre>
zypper # Väljasta käskude ja valikute nimekiri
zypper help search # Käsu "search" abi
zypper lp # Väljasta vajalike uuenduste nimekiri
zypper patch # Paigalda vajalikud uuendused
zypper se sqlite # Otsi sqlite pakki
zypper rm sqlite2 # Eemalda sqlite2
zypper in sqlite3 # Paigalda sqlite3
zypper in yast* # Paigalda kõik pakid mis algavad tekstiga 'yast*'
zypper up # Uuenda kõik pakid uusimale versioonile kus võimalik
</pre>
= Hoidla käitlemine =

* Hoidlate nimekiri
<pre>
zypper lr
</pre>
<pre>
# | Alias | Name | Enabled | Refresh
--+-----------------------+-----------------------+---------+--------
1 | packman | Packman 11.1 | Yes | No
2 | fate | fate | No | No
3 | openSUSE-11.1-Updates | Updates for 11.1 | Yes | Yes
4 | repo-oss | openSUSE-11.1-Oss | Yes | No
5 | repo-non-oss | openSUSE-11.1-Non-Oss | Yes | No
6 | repo-debug | openSUSE-11.1-Debug | No | No
</pre>

* Lisa hoidla
<pre>
zypper ar [URL]
</pre>
<pre>
zypper ar http://download.videolan.org/pub/vlc/SuSE/11.1 vlc
</pre>
<pre>
Adding repository 'vlc' [done]
Repository 'vlc' successfully added
Enabled: Yes
Autorefresh: No
URI: http://download.videolan.org/pub/vlc/SuSE/11.1
</pre>

* Uuenda hoidlate nimekirja
<pre>
zypper ref
</pre>
<pre>
Downloading repository 'Packman 11.1' metadata [done]
Building repository 'Packman 11.1' cache [done]
Downloading repository 'Updates for 11.1' metadata [done]
Building repository 'Updates for 11.1' cache [done]
Repository 'openSUSE-11.1-Oss' is up to date.
All repositories have been refreshed.
</pre>

* Eemalda hoidla
<pre>
zypper rr [hoidla nimi]
</pre>
<pre>
Repository 23 not found by alias, number or URI.
Repository foo not found by alias, number or URI.
Removing repository 'repo-debug' [done]
Repository 'repo-debug' has been removed.
Removing repository 'vlc' [done]
Repository 'vlc' has been removed.
</pre>

* Hoidlate eksport/import
<pre>
zypper lr --export [Asukoht]
zypper ar [Asukoht]
</pre>

= Paketti haldus =
== Otsing ==
Vaikesättega otsitakse käsuga suvalist paki tüüpi, staatust või hoidlat kui nimes on otsitav tekst

<pre>
zypper se sqlite
</pre>
<pre>
Reading installed packages...

S | Name | Summary | Type
--+--------------------------+----------------------------------------------------------------+--------
| libapr-util1-dbd-sqlite3 | DBD driver for SQLite 3 | package
i | libgda-3_0-sqlite | Sqlite Provider for GNU Data Access (GDA) | package
| libqt4-sql-sqlite | Qt 4 sqlite plugin | package
i | libsqlite3-0 | Shared libraries for the Embeddable SQL Database Engine | package
| libsqlite3-0-32bit | Shared libraries for the Embeddable SQL Database Engine | package
| mediatomb-sqlite | UPnP AV MediaServer | package
i | mono-data-sqlite | Database connectivity for Mono | package
| pdns-backend-sqlite2 | SQLite 2 backend for pdns | package
| pdns-backend-sqlite3 | SQLite 3 backend for pdns | package
i | perl-DBD-SQLite | The DBD::SQLite is a self contained RDBMS in a DBI driver | package
i | php5-sqlite | PHP5 Extension Module | package
| python-sqlite2 | Python bindings for sqlite 2 | package
| qt3-sqlite | SQLite Database Plug-In for Qt | package
| rekall-sqlite | Rekall sqlite Database Backend | package
| rubygem-sqlite3 | A Ruby interface for the SQLite3 database engine | package
i | sqlite2 | Embeddable SQL Database Engine | package
| sqlite2-32bit | Embeddable SQL Database Engine | package
| sqlite2-devel | Embeddable SQL Database Engine | package
i | sqlite3 | Embeddable SQL Database Engine | package
| sqlite3-devel | Embeddable SQL Database Engine | package
| sqlite3-tcl | Tcl binding for SQLite | package
| tntdb1-sqlite | Tntdb is a c++-class-library for easy database-access - sqlite | package
| ulogd-sqlite | SQLite output plugin for ulogd | package
</pre>

I täht esimeses tulbas märgib, et pakk on juba paigaldatud kohalikku arvutisse. Kui soovid näha kõiki paki versioone kasuta <code>--details/-s</code> valikut:
<pre>
zypper search -s --match-exact virtualbox-ose
</pre>
<pre>
Reading installed packages...

S | Name | Type | Version | Arch | Repository
--+----------------+---------+------------+--------+------------------------------------
v | virtualbox-ose | package | 1.6.2-2.1 | x86_64 | VirtualBox OSE
i | virtualbox-ose | package | 1.5.6-33.1 | x86_64 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.5 | x86_64 | VirtualBox OSE (
v | virtualbox-ose | package | 1.6.2-2.1 | i586 | VirtualBox OSE
v | virtualbox-ose | package | 1.5.6-33.1 | i586 | openSUSE-11.1-Oss
v | virtualbox-ose | package | 1.5.6-20.3 | i586 | VirtualBox OSE
</pre>

V täht esimeses tulbas märgib, et paki muud versioonid on juba paigaldatud kohalikku arvutisse.

== Paigaldus ==

Pakke saab paigaldada nime järgi:
<pre>
zypper install git
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
subversion-perl sqlite3 perl-DBD-SQLite git-svn git-cvs git

Overall download size: 1.1 M. After the operation, additional 4.6 M will be used.
Continue? [YES/no]:
Downloading package subversion-perl-1.5.0-96.1.x86_64 (1/6), 950.0 K (4.1 M unpacked)
Downloading: subversion-perl-1.5.0-96.1.x86_64.rpm [done]
Installing: subversion-perl-1.5.0-96.1 [done]
Downloading package sqlite3-3.5.7-17.1.x86_64 (2/6), 30.0 K (40.0 K unpacked)
Downloading: sqlite3-3.5.7-17.1.x86_64.rpm [done]
Installing: sqlite3-3.5.7-17.1 [done]
Downloading package perl-DBD-SQLite-1.14-41.1.x86_64 (3/6), 44.0 K (103.0 K unpacked)
Downloading: perl-DBD-SQLite-1.14-41.1.x86_64.rpm [done]
Installing: perl-DBD-SQLite-1.14-41.1 [done]
Downloading package git-svn-1.5.4.5-26.1.x86_64 (4/6), 66.0 K (195.0 K unpacked)
Downloading: git-svn-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-svn-1.5.4.5-26.1 [done]
Downloading package git-cvs-1.5.4.5-26.1.x86_64 (5/6), 63.0 K (205.0 K unpacked)
Downloading: git-cvs-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-cvs-1.5.4.5-26.1 [done]
Downloading package git-1.5.4.5-26.1.x86_64 (6/6), 10.0 K (3.0 K unpacked)
Downloading: git-1.5.4.5-26.1.x86_64.rpm [done]
Installing: git-1.5.4.5-26.1 [done]
</pre>

Võimaluste järgi mida nad pakuvad:
<pre>
zypper in MozillaFirefox \< 3
</pre>
<pre>
Reading installed packages...
'MozillaFirefox' providing 'MozillaFirefox<3' is already installed.
Nothing to do.
</pre>
<pre>
zypper in MozillaFirefox \>= 3
</pre>
<pre>
Reading installed packages...

The following packages are going to be upgraded:
mozilla-xulrunner190-translations MozillaFirefox mozilla-xulrunner190-gnomevfs
mozilla-xulrunner190 MozillaFirefox-translations

The following package is going to be REMOVED:
mozilla-xulrunner190-lang

Overall download size: 11.0 M. After the operation, 12.9 M will be freed.
Continue? [Y/n/p/?]:
</pre>
<pre>
zypper in 'libqtiff.so()(64bit)'
</pre>
<pre>
Reading installed packages...
'libqt4-x11' providing 'libqtiff.so()(64bit)' is already installed.
Nothing to do.
</pre>
Muud näited:
<pre>
zypper in yast* # Paigalda kõik yast moodulid
zypper in -t pattern lamp_server # Paigalda lamp_server pattern (Pakid mis on vajalikub LAMP serverile)
zypper in emacs pattern:lamp_server # Paigalda emacs pakk ja lamp_server pattern
zypper in vim -emacs # Paigalda vim ja eemalda emacs ühe käsuga
zypper in amarok packman:libxine1 # Paigalda libxine1 packman hoidlast ja amarok suvalisest hoidlast
zypper in bitchx-1.1-81.x86_64.rpm # Paigalda bitchx rpm kohalikult kettalt
zypper in -f subversion # subversion sund taaspaigaldus
</pre>

== Eemaldus ==
Eemaldus käsk on väga sarnane paigalduskäsuga

<pre>
zypper remove sqlite
</pre>
<pre>
Reading installed packages...

The following packages are going to be REMOVED:
sqlite3 perl-DBD-SQLite git-cvs git

After the operation, 351.0 K will be freed.
Continue? [YES/no]: n
</pre>

== Uuendus ==
<pre>
zypper up # Uuenda kõik paigaldatud pakid uusimale versioonile
zypper up libzypp zypper # Uuenda libzypp ja zypper
zypper in sqlite3 # Uuenda sqlite3 või paigalda see kui ei ole juba paigaldatud
</pre>

= Pakkide lukustus =
Pakkide lukustus võimaldab administraatoril keelata pakkide uuendamist, eemaldamist ja ka paigaldamist süsteemis.

* Lukusta pakk mis algab tekstiga "yast2"
<pre>
zypper al 'yast2*'
</pre>
<pre>
Reading installed packages...
Specified lock has been successfully added.
</pre>
* Loetle aktiivsed lukud
<pre>
#zypper ll
</pre>
<pre>
# | Name | Type | Repository
--+------------------+---------+-----------
1 | libpoppler3 | package | (any)
2 | libpoppler-glib3 | package | (any)
3 | yast* | package | (any)
</pre>
* Eemalda lukk
<pre>
zypper rl yast2-packager
</pre>
<pre>
Reading installed packages...
The following query locks some of the objects you want to unlock:

type: package
match_type: glob
case_sensitive: on
solvable_name: yast2*

Do you want remove this lock? [YES/no]: y
Lock count has been succesfully decreased by: 1
</pre>

= Muud tööriistad =
== Kontrolli sõltuvusi ==
* Kui süsteemiga on probleem ja vihjeks on puuduv komponent:
<pre>
zypper ve
</pre>
<pre>
Reading installed packages...
Some of the dependencies of installed packages are broken. In order to fix these dependencies, the following actions need to be taken:

The following NEW package is going to be installed:
mozilla-xulrunner190

Overall download size: 6.5 M. After the operation, additional 23.5 M will be used.
Continue? [YES/no]: y
</pre>
== Paigalda uued soovituslikud pakid ==
* Lihtne moodus kuidas paigaldatud pakkidele lisada keeleuuendusi või lisada ajureid riistvarale
<pre>
zypper inr
</pre>
<pre>
Reading installed packages...

The following NEW packages are going to be installed:
kdebase4-openSUSE-lang bundle-lang-common-cs

Overall download size: 534.0 K. After the operation, additional 1.9 M will be used.
Continue? [YES/no]:
</pre>

= Allikad =
http://en.opensuse.org/SDB:Zypper_usage_11.3#Repository_management

Suse Linux

2012-12-15T08:40:23Z

Mkurs: /* Teenindatavad tsoonid */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

<b>TÄHELEPANU:</b> Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
type hint;
file "root.hint";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-15T08:40:03Z

Mkurs: /* Sissejuhatus */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

<b>TÄHELEPANU:</b> Koodinäited sisaldavad muutuvate osadega sisendeid, näiteks ServeriIP, ServeriFQDN!

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Linuxi administreerimine

2012-12-14T07:52:23Z

Mkurs: /* Esseede teemad 2012 */

=Üldinfo=
ECTS: 4
Hindamisviis: Eksam

==Õppejõud==
Margus Ernits

Katrin Loodus

=Eeldused ja sihtgrupp=

Operatsioonisüsteemide administreerimine ja sidumine (Rangelt soovituslik). Osadmin aines loetava oskamine on antud aine õppimise eelduseks. ÕISis on see eeldus märgitud soovituslikuks, kuna igal aastal on paar inimest, kes suudavad mõlemad ained korraga läbida ja on antud vallas väga pädevad.
Linuxi administraatori kursus on mõeldud tugeva infotehnoloogilise põhjaga arvuti-spetsialistile.
Kursuse rõhk on eelkõige võrguhalduril, kelle tööülesannete hulka kuulub igapäevane serverite, võrgu jms hooldus, konfigureerimine ja uute seadmete installatsioon.

=Eesmärk ja sisu=

Kursuse esimeses osas õpitakse tundma Linux süsteemi toimimist, antakse ülevaade administreerimistoimingute automatiseerimisest shelli skriptide abil ja omandatakse praktiline käsufailide koostamise kogemus.

Teises osas õpitakse paigaldama ja konfigureerima erinevaid võrguteenuseid. Kursuse teise osa alguses korratakse taseme ühtlustamiseks TCP/IP võrgu põhialuseid.

=Õpiväljundid=

=Loengud=
1. Sissejuhatav loeng eeldustest [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Loeng_1_Sissejuhatus.odp Sissejuhatus]

2. Kordamine Osadmin [http://elab.itcollege.ee:8000/Linux-Basics.mm]

=Praktikumid=

==Esimene praktikum - Ubuntu Server paigaldamine ja kordamistest==
* Paigaldage Ubuntu Linux Server süsteem VirtualBox abil
**RAM 512MB
**HDD dynamicly allocated 8GB
**2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
**Logige serverisse sisse ja seadistage võrk failis /etc/network/interfaces (liidese eth1 ip aadress 192.168.56.200).
***Abiinfo [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]]

<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.200
netmask 255.255.255.0
</source>

*Paigaldage openssh server, kui te seda installi käigus ei teinud (apt-get update && apt-get install ssh)

Ubuntu Server 12.04.1 LTS ISO (64bit) http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso

Eelduste kontrollimise test: http://goo.gl/73xBZ
Kes tunneb, et test on liiga keeruline, peab kaaluma aine deklareerimise asemel Osadmin aine (mis on soovituslik eeldus) läbimist.

==Teine praktikum==
*Desktop linux paigaldamine (Vali mitte deb pakihalduriga linux distro, näiteks fedora http://elab.itcollege.ee:8000/Fedora-17-x86_64-Live-Desktop.iso )
*Võib paigaldada ka Ubuntu Desktopi, kuid siis tuleb lisada rpm baasil server

*Memory 1024MB
*HDD 16GB (või 8GB) Dynamic disk
*Network
**NIC1 - eth0 - NAT
**NIC2 - eth1 - Host only - Seate ise aadressi 192.168.56.201
**Video Memory 64MB 3D acceleration sisse

===Praks 2 Ülesanne===
Teha key based autentimisega serverisse sisenemine. (tööjaamast saab serveris käske käivitada)

===Praks 3 kodutöö===
Teha apt - yum ja dpkg - rpm vastavustabel. dpkg ja apt korraldused leiab [http://elab.itcollege.ee:8000/Linux-Basics.mm Linux-Basics mindmapist]

Parim töö annab 7p, järgmised 5p (piisavalt põhjalikud ja erinevad)

Ebapiisavad vastavustabelid, mis sarnanevad üksteisele punkte ei saa.

Kui su tabel on ilma vigadeta, kuid mitte parimate sead siis saad 1-2p.

===Praks 4===

Nimeserveri BIND9 paigaldamine.

*Mõtle välja domeenimini
*Paigalda nimeserver bind9
*Seadista oma domeen
**www.domeen
**ns.domeen
**sales.domeen
**seadista oma kliendimasin kasutama uut nimeserverit

NB: enne kaitsmist lugeda läbi http://kuutorvaja.eenet.ee/wiki/DNS

Labori üks näide [[Nimeserveri seadistamine BIND9 näitel]]

Praktikumi salvestus http://echo360.e-uni.ee/ess/echo/presentation/a828b6af-8caf-4319-b594-5d6bfed04a70

===Praks 5===

Veebiserveri apache2 paigaldamine

*Loo veebisaidid www.domeen ja sales.domeen (ehk oma DNS labori nimedele vastavad veebisaidid)
*Seadist HTTPS nendele saitidele (vajadusel loo uus ip alias ja muuda nimeserveris olevat kirjet, et TLS nimed viitaks erinevatele IP aadressidele)
*Abiks on loeng: http://enos.itcollege.ee/~mernits/infrastruktuur/loeng04%20-%20Veebiserver.odp ja labor: https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2
*Paigalda WordPress vastavalt juhendile: http://goo.gl/6XQ0U

Praktikumi salvestus: http://echo360.e-uni.ee/ess/echo/presentation/0945a764-0305-48ec-8082-4e57a23cc536

=Labor 1=
*Veebiserver ja virtualhostid
*DNS
*e-post
*iptables

=Labor 2=
*LDAP või Samba4 - LDAP Teet Saar, Kullo-Kalev Aru
*Puppet või chef
*PAM
*Samba - Kristo Kapten
*[[Samba(windows domeenis fileserver)]] - Marko Kurs
*[[TLS termineerimine nginx abil]] - Sander Arnus, Sander Saveli

=Esseede teemad 2012=

Võib valida keerulisemaid teemasid ka [[Osadmin referaadi teemad]] lehelt.

[[zsh]] - pole algajale

Mida uurida

Prompt

http://zshwiki.org/home/config/prompt

http://stevelosh.com/blog/2010/02/my-extravagant-zsh-prompt/

.zshrc

for

if --- Kallas (A32)

while ---

jne

[[CentOS Server]] --- teeb Oliver Naaris

Paigaldamine

Teenuste DNS, apache2, samba, e-post seadistamine

[[Oracle Linux]]

Paigaldamine

Teenuste DNS, apache2, samba, e-post seadistamine

[[Suse Linux]]

Paigaldamine

Teenuste DNS, apache2, samba seadistamine

[[OpenLDAP Ubuntu Serveril]] - teeb Tarmo Suurmägi

[[Zentyal SAMBA4]] --- Lang & Lihten A31

Samba4 domeenikontrolleri seadistamine ja ubuntu/fedora/muu süsteem autentimise seadistamine kasutades uusi vahendeid

[[Apt-yum/dpkg-rpm käskude lühivõrdlus]] - Valmis retsenseerimiseks, Teet Saar A32

[[Ophcrack]] - teeb Kristo Kapten

[[rancid]] - Meelis Kurnikov, Aive Haavel AK31

==Kaugõppe Eksam Laupäeval 15.12.2012 ==

Tee ära labor 2 (oma valitud teemal + selle kohta wiki kirjatöö)
Eksamil ole valmis demoma labor 1 raames kaitstud asju.

Kirjatööd võib peale eksamit kuni järgmise reedeni parandada, kui hinne ei sobi.

Eksami käigus saab kaitsta ka labor 1 ja 2 asju.

Eksami käigus tõmbad loosi, mida labor 1 raames parandada. Õppejõud teeb teenuse katki ja tudeng teeb korda. (soovitatav on eelnevalt teha teenusest varukoopia).

Punkte saab selgituse eest, mis oli katki ja kuidas tegid korda.

Katki tegemisel võib arvestada näiteks, et algaja admin (õppejõud:) muutis ära parooli, rikkus võrguseaded ja kustutas täiesti süüdimatult mõne konfifaili.

Kes pole veel saatnud esimese testi vastuseid peavad seda tegema eksami päeval.

Suse Linux

2012-12-13T08:41:11Z

Mkurs: /* Failisüsteemi kaustad */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/salajane\ failid
chgrp "domeen\spetsiallgrupp" /home/salajane
chmod 770 /home/salajane\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-13T08:39:51Z

Mkurs: /* Tähtsad esmased seadistused */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, veendu, et tulemüür oleks maas, või port (22) avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-13T08:39:20Z

Mkurs: /* Alginstall */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-13T08:38:12Z

Mkurs: /* Sissejuhatus */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:26:33Z

Mkurs: /* HTTP Lehed */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:25:58Z

Mkurs: /* Tsoonide kirjeldused */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:25:32Z

Mkurs: /* Forwarderid */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:24:56Z

Mkurs: /* Kaustade jagamine */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga, millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid, mida tekitatakse alamkaustadesse, saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad, mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:24:28Z

Mkurs: /* Failisüsteemi kaustad */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla, kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele, kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta, kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed, siis võib tekkida olukord, kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:23:50Z

Mkurs: /* Serveri turvamine */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaikesättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:23:36Z

Mkurs: /* Serveri lisamine domeeni */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub, siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis, kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind, vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale, kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:22:50Z

Mkurs: /* HTTP Lehed */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:22:16Z

Mkurs: /* Samba seadistamine */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidata # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:21:28Z

Mkurs: /* Serveri lisamine domeeni */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni liituda
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:20:38Z

Mkurs: /* Apache seadistamine sertifikaati kasutama */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla, võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid, mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:20:34Z

Mkurs:

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* All olev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:20:10Z

Mkurs:

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taas käivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on olemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named taas käivitust kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaike seadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaike seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:20:06Z

Mkurs: /* HTTP Lehed */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määra veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:19:57Z

Mkurs: /* Sertifikaadi genereerimine */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:19:13Z

Mkurs: /* HTTP Lehed */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole, siis lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi, mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema

==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:17:38Z

Mkurs: /* Teenindatavad tsoonid */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid, mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata, siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle, kas tsoonide failid on OK, selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:17:30Z

Mkurs:

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paika regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sisestamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:17:12Z

Mkurs: /* Tsoonide kirjeldused */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üles rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles, et iga tsooni kohta, mida sa lood, pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:16:40Z

Mkurs: /* Forwarderid */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üles rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale, kuhu saadetakse kõik päringud, mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>

===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:16:04Z

Mkurs: /* Tähtsad esmased seadistused */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud, mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta, vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada, järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:15:25Z

Mkurs: /* Alginstall */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* desktop selectionilt võta other ja minimal server selection
* kui on soovi, võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisesta täisnimi ja parool, jäta peale ka "use this password for system admin", eemalda automatic login
* vajuta install, et installiga alustada
* peale installi avaneb YaST2 aken, sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy, kui tarvis
** vajuta next, kuni lõpuni server uuendatakse
** kui soovitakse restarti, tee seda
** kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:14:18Z

Mkurs:

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb vaikeseadeks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik vaikeseaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:12:29Z

Mkurs: /* Samba */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba 3.6=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>

=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:12:13Z

Mkurs: /* Sissejuhatus */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu, milleni olen laboritööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat kogemust unix-laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:02:14Z

Mkurs: /* Allikad */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev, faili nimi on minudomeen.int
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev, faili nimi on 12.12.177.zone:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

http://www.cyberciti.biz/faq/howto-linux-unix-zone-file-validity-checking/

Suse Linux

2012-12-12T16:01:33Z

Mkurs: /* Tsoonide kirjeldused */

Suse Linux

2012-12-12T16:00:17Z

Mkurs: /* Teenindatavad tsoonid */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>
* Enne named restarti kontrolli üle kas tsoonide failid on OK selleks kasuta järgnevat:
<pre>
named-checkzone minudomeen.int /var/named/minudomeen.int
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

Suse Linux

2012-12-12T15:59:01Z

Mkurs: /* Allikad */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine

http://linux.die.net/

https://wiki.itcollege.ee/index.php/Zypper

http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

Suse Linux

2012-12-12T15:58:52Z

Mkurs: /* Allikad */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
http://www.cyberciti.biz/tips/howto-linux-unix-check-dns-file-errors.html

Suse Linux

2012-12-12T15:58:41Z

Mkurs: /* Tsoonide kirjeldused */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>

===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:57:38Z

Mkurs: /* DNS(Bind9) */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eelduste install==
* Paigaldame bind9 DNS serveri
<pre>
zypper in bind
</pre>
* Käivitame nimeserveri, yast system services runlevel all "named"
==Konfiguratsioon==
===Forwarderid===
* Esimese asjana vaja seadistada forwarderid, ava:
<pre>
/etc/named.conf
</pre>
* Otsi üless rida:
<pre>
<------>#forwarders { 192.0.2.1; 192.0.2.2; };
</pre>
* Eemalda # ja muuda IP'd järgmise sisemise või välise DNS serveri peale kuhu saadetakse kõik päringud mida ei lahendata sinu DNS serveris
* Salvesta muudatused ja taaskäivita named
<pre>
rcnamed restart
</pre>
===Tsoonide kirjeldused===
* Kõik tsooni failid asuvad
<pre>
/var/lib/named
</pre>
* Pea meeles et iga tsooni kohta mida sa lood pead ka seadistama reverse tsooni!
* Iga tsooni kohta loo 2 faili, A kirjete fail ja reverse fail.
* A kirjete fail näeb välja järgnev
<pre>
$TTL 1W
minudomeen.int. IN SOA ns.minudomeen.int. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns
ns IN A 177.12.12.205
www IN A 177.12.12.205
sales IN A 177.12.12.50

</pre>
* Vastava tsooni revers kirjete fail näeb välja järgnev:
<pre>
$TTL 1W
12.12.177.in-addr.arpa. IN SOA ns.minudomeen.int. root.markodomeen.int. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS ns.minudomeen.int.
205 IN PTR www.minudomeen.int.
50 IN PTR sales.minudomeen.int

</pre>
===Teenindatavad tsoonid===
* Ava fail
<pre>
/etc/named.conf
</pre>
* Faili lõpus on kirjeldatud tsoonid mida server teenindab, värske installi puhul järgnev:
<pre>
zone "." in {
<------>type hint;
<------>file "root.hint";
};

zone "localhost" in {
<------>type master;
<------>file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
<------>type master;
<------>file "127.0.0.zone";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "127.0.0.zone";
};
</pre>

* Lisame enda domeeni kirjeldused:
** Veendu, et file parameetris defineeritud tsooni fail on ilemas kataloogis /var/lib/named
<pre>

zone "minudomeen.int" IN {
type master;
file "minudomeen.int";
};
zone "12.12.177.in-addr.arpa" IN {
type master;
file "12.12.177.zone";
};
</pre>
* Seadistuse testimiseks jooksuta:
** Kui vigu ei tagastata siis OK
<pre>
named-checkconf /etc/named.conf
</pre>

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:35:05Z

Mkurs: /* DNS(Bind9) */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
==Eeldused==
==Konfiguratsioon==

=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:34:33Z

Mkurs: /* Apache 2.2 */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
=Apache 2.2=
==Eelduste install==
* Paigaldame apache ja yast-http-server
<pre>
zypper in apache2
zypper in yast-http-server
</pre>
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:30:19Z

Mkurs: /* OpenSuSE 12.2 install */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General

=DNS(Bind9)=
=Apache 2.2=
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:28:36Z

Mkurs: /* OpenSuSE 12.2 install */

=Autor=
* Marko Kurs
=Sissejuhatus=
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

=OpenSuSE 12.2 install=
==Alginstall==
* Arvutit plaadilt / isolt buutides vali installation
* vali keel ja klaviatuuri layout vajuta
* eemalda linnuke use automatic configuration eest
* pane paikka regionaalsätted
* Desktop selectionilt võta other ja minimal server selection
* kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
* sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
* Vajuta install et installiga alustada
* peale installi avaneb YaST2 aken sisesta hostname ja domain name
* network configuration ajal vali change
** general alt IPv6 maha
** firewall alt disable automatic starting
** seadista proxy kui tarvis
** vajuta next kuni lõpuni server uuendatakse
** kui soovitakse restarti tee seda
** Kliki OK kuni lõpuni
* Suse ongi peal

==Tähtsad esmased seadistused==
* Paigaldame tarvikud mis hõlbustavad tööd
<pre>
zypper in mc
zypper in yast2-runlevel
</pre>
* YaST alt system -> System services enable SSHD
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud

=DNS(Bind9)=
=Apache 2.2=
==Konfiguratsioon==
===HTTP Lehed===
* Käivita yast ja mine Network Services -> HTTP Server
** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
** Server Modules alt SSL enabled
** Main Host jääb defaultiks
** Hosts all vali Add
*** Server name pane nimi mille peale soovid pöörduda browseris
*** Server content root määr veebilehe failide asukoht
*** Määra virtualhost
*** Vali Determine Requests by Server IP Adress
* Nüüd peaks soovitud HTTP lehed näha olema
==SSL Konfiguratsioon==
===Sertifikaadi genereerimine===
* Esimese sammuna genereeri endale võti
<pre>
ssh-keygen -t rsa -b 1024
</pre>
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
* Tekitame nüüd CSRi soovitud veebilehe jaoks
<pre>
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
</pre>
* Täida väljad, veendu, et common name on õige!
* Request täida oma CA peal (siin puhul windows CA)
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
===Apache seadistamine sertifikaati kasutama===
* Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
* Seadista ära nagu tavaline HTTP leht
* Allolev on lisaks standard HTTP lehe seadetele
** Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<pre>
<VirtualHost ServeriIP:80>
ServerName serveriFQDN
ErrorLog /var/log/apache2/FQDN
CustomLog /var/log/apache2/FQDN_log combined

redirect / https://FQDN/

</VirtualHost>
</pre>

* Muuda ära lehe seaded nii, et kuulataks porti 443
<pre>
<VirtualHost IP:443>
</pre>

* Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
<pre>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
</pre>

=Samba=
* Koos active directory vastu autentimisega
==Eelduste Install==
* Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
* Kasutades [[zypper]] haldurit käivita järgnev:
<pre>
zypper in samba
</pre>
* Veendu, et yast2-samba-client on installitud:
<pre>
zypper in yast2-samba-client
</pre>

==Serveri lisamine domeeni==

* Käivita yast2 root õigustes
* Mine network services -> Windows Domain Membership
** Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
* Domain or workgroup alla sisesta oma domeeni nimi
* Pane linnuke "Use SMB Information for Linux Authentication"
** Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
* Pane linnuke "Create Home Directory on Login"
** Luuakse domeeni kontole automaatselt kodukaust
* Pane linnuke "Offline Authentication"
** Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
* Käivita "NTP Configuration"
* Seadista "Start NTP Daemon" seadega "Now and on Boot"
* "Synchronization Type Adress" alt eemalda kõik default seaded
* Lisa domeenikontroller kasutades "Add"
** "Type" vali server
*** "Adress" pane domeenikontrolleri FQDN
* 2x OK
* Pakutakse installida samba-winbind vali OK
* Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
* Jäta vaikimisi OU
* Server on nüüd domeenis

===Serveri turvamine===
* Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
* Kasutajate ringi piiramiseks käitu järgnevalt:
* ava /etc/security/pam_winbind.conf
** Lisa [global] alla require_membership_of = domeen\grupinimi
* Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

==Samba seadistamine==
* Käivita teenused:
<pre>
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
</pre>
* Ava /etc/samba/smb.conf
* Veendu järgnevas:
** Workgroup = Sinudomeen
** security = ADS
** realm = domeeni fqdn
* Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

===Failisüsteemi kaustad===
* TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
* Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
<pre>
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
</pre>
* Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

===Kaustade jagamine===
* valid users = @domeen\\grupp
** Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
* force create mode = 770
** Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
* force directory mode = 770
** Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.

* Ava /etc/samba/smb.conf
* Lisa faili lõppu järgnev:
<pre>
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
</pre>

* Taaskäivita smb teenus
<pre>
rcsmb restart
</pre>
=Allikad=
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine
http://linux.die.net/
https://wiki.itcollege.ee/index.php/Zypper
http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Suse Linux

2012-12-12T15:22:00Z

Mkurs: /* Alginstall */

Suse Linux

2012-12-12T15:12:10Z

Mkurs:

Suse Linux

2012-12-12T14:59:23Z

Mkurs: /* Alginstall */

Suse Linux

2012-12-12T14:59:03Z

Mkurs: