Suse Linux: Difference between revisions
From ICO wiki
Jump to navigationJump to search
| Line 5: | Line 5: | ||
=OpenSuSE 12.2 install= | =OpenSuSE 12.2 install= | ||
=DNS(Bind9)= | =DNS(Bind9)= | ||
==Konfiguratsioon== | ==Konfiguratsioon== | ||
===HTTP Lehed=== | |||
* Käivita yast ja mine Network Services -> HTTP Server | * Käivita yast ja mine Network Services -> HTTP Server | ||
** Kuulatavad pordid peaks olema | ** Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa | ||
** Server Modules alt SSL enabled | ** Server Modules alt SSL enabled | ||
** Main Host jääb defaultiks | ** Main Host jääb defaultiks | ||
| Line 35: | Line 16: | ||
*** Määra virtualhost | *** Määra virtualhost | ||
*** Vali Determine Requests by Server IP Adress | *** Vali Determine Requests by Server IP Adress | ||
* Nüüd peaks soovitud HTTP lehed näha olema | |||
==SSL Konfiguratsioon== | |||
===Sertifikaadi genereerimine=== | |||
* Esimese sammuna genereeri endale võti | |||
<pre> | |||
ssh-keygen -t rsa -b 1024 | |||
</pre> | |||
* Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit | |||
* Tekitame nüüd CSRi soovitud veebilehe jaoks | |||
<pre> | |||
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr | |||
</pre> | |||
* Täida väljad, veendu, et common name on õige! | |||
* Request täida oma CA peal (siin puhul windows CA) | |||
* Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla | |||
===Apache seadistamine sertifikaati kasutama=== | |||
* | |||
=Samba= | =Samba= | ||
Revision as of 15:56, 12 December 2012
Autor
- Marko Kurs
Teenuste DNS, apache2, samba, e-post seadistamine
OpenSuSE 12.2 install
DNS(Bind9)
Konfiguratsioon
HTTP Lehed
- Käivita yast ja mine Network Services -> HTTP Server
- Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
- Server Modules alt SSL enabled
- Main Host jääb defaultiks
- Hosts all vali Add
- Server name pane nimi mille peale soovid pöörduda browseris
- Server content root määr veebilehe failide asukoht
- Määra virtualhost
- Vali Determine Requests by Server IP Adress
- Nüüd peaks soovitud HTTP lehed näha olema
SSL Konfiguratsioon
Sertifikaadi genereerimine
- Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
- Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
- Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
- Täida väljad, veendu, et common name on õige!
- Request täida oma CA peal (siin puhul windows CA)
- Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
Apache seadistamine sertifikaati kasutama
Samba
- Koos active directory vastu autentimisega
Eelduste Install
- Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
- Kasutades zypper haldurit käivita järgnev:
zypper in samba
- Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client
Serveri lisamine domeeni
- Käivita yast2 root õigustes
- Mine network services -> Windows Domain Membership
- Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
- Domain or workgroup alla sisesta oma domeeni nimi
- Pane linnuke "Use SMB Information for Linux Authentication"
- Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
- Pane linnuke "Create Home Directory on Login"
- Luuakse domeeni kontole automaatselt kodukaust
- Pane linnuke "Offline Authentication"
- Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
- Käivita "NTP Configuration"
- Seadista "Start NTP Daemon" seadega "Now and on Boot"
- "Synchronization Type Adress" alt eemalda kõik default seaded
- Lisa domeenikontroller kasutades "Add"
- "Type" vali server
- "Adress" pane domeenikontrolleri FQDN
- "Type" vali server
- 2x OK
- Pakutakse installida samba-winbind vali OK
- Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
- Jäta vaikimisi OU
- Server on nüüd domeenis
Serveri turvamine
- Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
- Kasutajate ringi piiramiseks käitu järgnevalt:
- ava /etc/security/pam_winbind.conf
- Lisa [global] alla require_membership_of = domeen\grupinimi
- Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi
Samba seadistamine
- Käivita teenused:
/etc/init.d/smb start /etc/init.d/nmb start /etc/init.d/winbind start
- Ava /etc/samba/smb.conf
- Veendu järgnevas:
- Workgroup = Sinudomeen
- security = ADS
- realm = domeeni fqdn
- Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!
Failisüsteemi kaustad
- TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
- Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
Kaustade jagamine
- valid users = @domeen\\grupp
- Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
- force create mode = 770
- Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- force directory mode = 770
- Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- Ava /etc/samba/smb.conf
- Lisa faili lõppu järgnev:
[Yhised Failid] comment = Paneme faile writable = Yes Browseable = Yes force create mode = 770 force directory mode = 770 path = /home//Kasutajate failid read only = No [Salajane] comment = Top Secret valid users = @domeen\\grupp force create mode = 770 force directory mode = 770 path = /home/Salajane read only = No
- Taaskäivita smb teenus
rcsmb restart
