Suse Linux
From ICO wiki
Autor
- Marko Kurs
Sissejuhatus
Artikkel mõeldud taastama seisu milleni olen labori tööde käigus jõudnud. Kõik sammud on detailselt kirjeldatud ning väga lihtsalt teostatavad, ei pea omama suurt eelnevat oskust unix laadsete süsteemidega.
OpenSuSE 12.2 install
Alginstall
- Arvutit plaadilt / isolt buutides vali installation
- vali keel ja klaviatuuri layout vajuta next
- eemalda linnuke use automatic configuration eest
- pane paikka regionaalsätted
- Desktop selectionilt võta other ja minimal server selection
- kui on soovi võid ketta partitsioneerimist muuta, mina jätsin vaike sätted
- sisest täisnimi ja parool, jäta peale ka "use this password for system admin" eemalda automatic login
- Vajuta install et installiga alustada
Võrkude Seadistamine
Soovituslikud tööriistad
- Paigaldame tarvikud mis hõlbustavad tööd
zypper in mc zypper in yast2-runlevel
DNS(Bind9)
Apache 2.2
Konfiguratsioon
HTTP Lehed
- Käivita yast ja mine Network Services -> HTTP Server
- Kuulatavad pordid peaks olema serveri IP ja port, kui ei ole lisa
- Server Modules alt SSL enabled
- Main Host jääb defaultiks
- Hosts all vali Add
- Server name pane nimi mille peale soovid pöörduda browseris
- Server content root määr veebilehe failide asukoht
- Määra virtualhost
- Vali Determine Requests by Server IP Adress
- Nüüd peaks soovitud HTTP lehed näha olema
SSL Konfiguratsioon
Sertifikaadi genereerimine
- Esimese sammuna genereeri endale võti
ssh-keygen -t rsa -b 1024
- Genereeritakse 2 võtit priv ja pub. vaja läheb priv võtit
- Tekitame nüüd CSRi soovitud veebilehe jaoks
openssl req -new -key /etc/apache2/PRIV.key -out /etc/apache2/veebileht.csr
- Täida väljad, veendu, et common name on õige!
- Request täida oma CA peal (siin puhul windows CA)
- Salvesta CA poolt saadud cer fail /etc/apache2/ssl.crt alla
Apache seadistamine sertifikaati kasutama
- Tekita soovitud veebileht /etc/apache2/vhosts.d alla võib olla tavalise template koopia
- Seadista ära nagu tavaline HTTP leht
- Allolev on lisaks standard HTTP lehe seadetele
- Esimese asjana lisame järgneva, et port 80 teeb redirecti https peale:
<VirtualHost ServeriIP:80> ServerName serveriFQDN ErrorLog /var/log/apache2/FQDN CustomLog /var/log/apache2/FQDN_log combined redirect / https://FQDN/ </VirtualHost>
- Muuda ära lehe seaded nii, et kuulataks porti 443
<VirtualHost IP:443>
- Seadistame SSL sertifikaadid ja võtmed ning šifrid mida kasutada
SSLEngine on SSLCertificateFile /etc/apache2/ssl.crt/CApooltSaadudVastus.cer SSLCertificateKeyFile /etc/apache2/ssl.key/PRIV.key SSLOptions +StdEnvVars SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
Samba
- Koos active directory vastu autentimisega
Eelduste Install
- Esialgu tuleb paigaldada samba server (vaikimisi paigaldatakse ka samba client)
- Kasutades zypper haldurit käivita järgnev:
zypper in samba
- Veendu, et yast2-samba-client on installitud:
zypper in yast2-samba-client
Serveri lisamine domeeni
- Käivita yast2 root õigustes
- Mine network services -> Windows Domain Membership
- Kui see valik puudub siis ei ole sul paigaldatud yast2-samba-client
- Domain or workgroup alla sisesta oma domeeni nimi
- Pane linnuke "Use SMB Information for Linux Authentication"
- Selle abil saad kasutada windows domeeni kontor serverisse logimiseks
- Pane linnuke "Create Home Directory on Login"
- Luuakse domeeni kontole automaatselt kodukaust
- Pane linnuke "Offline Authentication"
- Salvestatakse logimis info, et saaks kasutada domeeni kontot ka siis kui ei ole võrku
- Käivita "NTP Configuration"
- Seadista "Start NTP Daemon" seadega "Now and on Boot"
- "Synchronization Type Adress" alt eemalda kõik default seaded
- Lisa domeenikontroller kasutades "Add"
- "Type" vali server
- "Adress" pane domeenikontrolleri FQDN
- "Type" vali server
- 2x OK
- Pakutakse installida samba-winbind vali OK
- Küsimisel sisesta kasutajanimi ja parool domeeni kasutajale kellel on õigus arvuteid domeeni joinida
- Jäta vaikimisi OU
- Server on nüüd domeenis
Serveri turvamine
- Vaike sättes on kõigil domeeni kasutajatel õigus domeeni logida!
- Kasutajate ringi piiramiseks käitu järgnevalt:
- ava /etc/security/pam_winbind.conf
- Lisa [global] alla require_membership_of = domeen\grupinimi
- Nüüd saavad seadistatud grupi liikmed ainukesena serverile ligi
Samba seadistamine
- Käivita teenused:
/etc/init.d/smb start /etc/init.d/nmb start /etc/init.d/winbind start
- Ava /etc/samba/smb.conf
- Veendu järgnevas:
- Workgroup = Sinudomeen
- security = ADS
- realm = domeeni fqdn
- Kõigile sharedele mida ei soovi näidada # ette! Vaikesätete puhul ilmselt enamus!
Failisüsteemi kaustad
- TÄHELEPANU: Tekitan kaustad /home/ alla kuna seal on kõige rohkem kettaruumi, reaalsuses võiks kasutada eraldi partitsiooni.
- Loome kausta kasutajate ühistele failidele kuhu pääsevad ligi kõik domain users grupis olevad kasutajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Loome kausta kuhu pääsevad ligi vaid spetsiifilised kaustajad
mkdir /home/Kasutajate\ failid chgrp "domeen\domain users" /home/Kasutajate\ failid chmod 770 /home/Kasutajate\ failid
- Veenduma peab faili süsteemis antud õigustes, kui need on puudulikud või valed siis võib tekkida olukord kus kasutajad ei saa jagatud kausta kirjutada vms probleem.
Kaustade jagamine
- valid users = @domeen\\grupp
- Asenda @domeen\\grupp enda vastava grupiga millele soovid anda piiratud ligipääsu jagatud kaustale
- force create mode = 770
- Kõik failid mida tekitatakse alamkaustadesse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- force directory mode = 770
- Kõik kaustad mida tekitatakse saavad endale õiguse 770, see võti väldib võimalike probleeme katkiste õigustega.
- Ava /etc/samba/smb.conf
- Lisa faili lõppu järgnev:
[Yhised Failid] comment = Paneme faile writable = Yes Browseable = Yes force create mode = 770 force directory mode = 770 path = /home//Kasutajate failid read only = No [Salajane] comment = Top Secret valid users = @domeen\\grupp force create mode = 770 force directory mode = 770 path = /home/Salajane read only = No
- Taaskäivita smb teenus
rcsmb restart
Allikad
https://wiki.itcollege.ee/index.php/Veebiserveri_labor_v.2#SSL_keskkonna_loomine http://linux.die.net/ https://wiki.itcollege.ee/index.php/Zypper http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html