Suse Linux: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Mkurs (talk | contribs)
Mkurs (talk | contribs)
Line 33: Line 33:
* Nüüd saad puttyga kaugelt serverisse logida
* Nüüd saad puttyga kaugelt serverisse logida
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui ei tööta vaata kas tulemüür on maas või port avatud
** kui soovid linux baasil tööjaamast ilma parooli pidevalt sistamata serverisse saada järgi seda juhendit: http://en.opensuse.org/SDB:OpenSSH_public_key_authentication#General


=DNS(Bind9)=
=DNS(Bind9)=

Revision as of 17:30, 12 December 2012

Autor

  • Marko Kurs

Sissejuhatus

Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.

OpenSuSE 12.2 install

Alginstall

  • Arvutit plaadilt / isolt buutides vali installation
  • vali keel ja klaviatuuri layout vajuta
  • eemalda linnuke use automatic configuration eest
  • pane paikka regionaalsätted
  • Desktop selectionilt võta other ja minimal server selection
  • kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
  • sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
  • Vajuta install et installiga alustada
  • peale installi avaneb YaST2 aken sisesta hostname ja domain name
  • network configuration ajal vali change
    • general alt IPv6 maha
    • firewall alt disable automatic starting
    • seadista proxy kui tarvis
    • vajuta next kuni lõpuni server uuendatakse
    • kui soovitakse restarti tee seda
    • Kliki OK kuni lõpuni
  • Suse ongi peal

Tähtsad esmased seadistused

  • Paigaldame tarvikud mis hõlbustavad tööd
zypper in mc
zypper in yast2-runlevel

DNS(Bind9)

Apache 2.2

Konfiguratsioon

HTTP Lehed

  • Käivita yast ja mine Network Services -> HTTP Server
    • Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
    • Server Modules alt SSL enabled
    • Main Host jääb defaultiks
    • Hosts all vali Add
      • Server name pane nimi mille peale soovid pöörduda browseris
      • Server content root määr veebilehe failide asukoht
      • Määra virtualhost
      • Vali Determine Requests by Server IP Adress
  • Nüüd peaks soovitud HTTP lehed näha olema

SSL Konfiguratsioon

Sertifikaadi genereerimine

  • Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
  • Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
  • Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
  • Täida väljad, veendu, et common name on õige!
  • Request täida oma CA peal (siin puhul windows CA)
  • Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla

Apache seadistamine sertifikaati kasutama

  • Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
  • Seadista ära nagu tavaline HTTP leht
  • Allolev on lisaks standard HTTP lehe seadetele
    • Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80>
 ServerName serveriFQDN
 ErrorLog /var/log/apache2/FQDN
 CustomLog /var/log/apache2/FQDN_log combined

 redirect / https://FQDN/

</VirtualHost>
  • Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
  • Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer
SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key
SSLOptions +StdEnvVars
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

Samba

  • Koos active directory vastu autentimisega

Eelduste Install

  • Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
  • Kasutades zypper haldurit käivita järgnev:
zypper in samba
  • Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client

Serveri lisamine domeeni

  • Käivita yast2 root õigustes
  • Mine network services -> Windows Domain Membership
    • Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
  • Domain or workgroup alla sisesta oma domeeni nimi
  • Pane linnuke "Use SMB Information for Linux Authentication"
    • Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
  • Pane linnuke "Create Home Directory on Login"
    • Luuakse domeeni kontole automaatselt kodukaust
  • Pane linnuke "Offline Authentication"
    • Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
  • Käivita "NTP Configuration"
  • Seadista "Start NTP Daemon" seadega "Now and on Boot"
  • "Synchronization Type Adress" alt eemalda kõik default seaded
  • Lisa domeenikontroller kasutades "Add"
    • "Type" vali server
      • "Adress" pane domeenikontrolleri FQDN
  • 2x OK
  • Pakutakse installida samba-winbind vali OK
  • Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
  • Jäta vaikimisi OU
  • Server on nüüd domeenis

Serveri turvamine

  • Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
  • Kasutajate ringi piiramiseks käitu järgnevalt:
  • ava /etc/security/pam_winbind.conf
    • Lisa [global] alla require_membership_of = domeen\grupinimi
  • Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi

Samba seadistamine

  • Käivita teenused:
/etc/init.d/smb start
/etc/init.d/nmb start
/etc/init.d/winbind start
  • Ava /etc/samba/smb.conf
  • Veendu järgnevas:
    • Workgroup = Sinudomeen
    • security = ADS
    • realm = domeeni fqdn
  • Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!

Failisüsteemi kaustad

  • TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
  • Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
  • Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/Kasutajate\ failid
chgrp "domeen\domain users" /home/Kasutajate\ failid
chmod 770 /home/Kasutajate\ failid
  • Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.

Kaustade jagamine

  • valid users = @domeen\\grupp
    • Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
  • force create mode = 770
    • Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • force directory mode = 770
    • Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
  • Ava /etc/samba/smb.conf
  • Lisa faili lõppu järgnev:
[Yhised Failid]
comment = Paneme faile
writable = Yes
Browseable = Yes
force create mode = 770
force directory mode = 770
path = /home//Kasutajate failid
read only = No

[Salajane]
comment = Top Secret
valid users = @domeen\\grupp
force create mode = 770
force directory mode = 770
path = /home/Salajane
read only = No
  • Taaskäivita smb teenus
rcsmb restart

Allikad

https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine http://linux.die.net/ https://wiki.itcollege.ee/index.php/Zypper http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html