Wielo-serwerowe środowisko linux (OpenLDAP + NFS)

written by archi | 17 stycznia 2022

Laboratoria mają na celu uruchomienie współdzielenia zasobów sieciowych pomiędzy serwerami Linux z wykorzystaniem protokołu NFS oraz stworzenie jednorodnego środowiska użytkownika tej sieci z wykorzystaniem usługi katalogowej OpenLDAP.

Wymagania laboratorium:

  • dwa serwery linux
  • zainstalowanie na jednym z nich usługi OpenLDAP
  • przygotowanie udostępnienia NFS Share dla drugiego serwera

Przygotowanie nowego serwera Ubuntu – klient usługi.

Bazując na wcześniejszych laboratoriach ( lab 4 i lab 1) przygotuj nową maszynę wirtualną Ubuntu 22.04 LTS o podanych poniżej parametrach wraz z zainstalowanym systemem operacyjnym Ubuntu.

  • CPU: 2 wirtualny procesor
  • RAM: 2 GB pamięci
  • DYSK: 10 GB jako urządzenie SCSI

Po zakończonej instalacji systemu proszę w pierwszej kolejności zaktualizować system  i następnie doinstalować na kliencie pakiet nfs-common. Będzie on niezbędny do wykonania montowania (przyłączenia) udziału udostępnionego po NFS.

 





Przygotowanie serwera NFS


Na maszynie wirtualnej którą aktualnie używasz (poprzednie laboratoria) po aktualizacji systemu ( apt update; apt upgrade) zainstaluj pakiet nfs-kernel-server. Jest to usługa dystrybucji folderów i plików na zdalną maszynę (klienta) z wykorzystaniem protokołu NFS


Po zainstalowaniu pakietu należy skonfigurować udostępnienia. W tym celu edytuj plik /etc/exports i wewnątrz dodaj na końcu wpis udostępnienia folderu /home.


odpowiednio należy wskazać w konfiguracji:


    

  • ścieżka do udostępnienia
    • 

  • adres IP klienta dla którego udostępniamy
    • 

  • parametry udostępnienia: rw – odczyt/zapis; sync – tryb natychmiastowej synchronizacji; no_subtree_check – brak sprawdzania struktury folderów; no_root_squash – nie odejmowanie uprawnień użytkownika root = na każdym serwerze tj. kliencie i serwerze NFS root ma te same prawa do udostępnienia
    • 





Na obrazku jest przykładowy adres IP – Ty będziesz miał inny adres IP 😉


Zapisz konfigurację i zrestartuj usługę nfs-kernet-server




Na serwerze klienta możesz sprawdzić czy udział jest dla ciebie dostępny poprzez polecenia showmount




Przetestuj możliwość podłączenia do swojego systemu udostępnienia przy pomocy polecenia


mount -t nfs adres_ip_maszyny_serwera_nfs:/home /mnt


Wykonując polecenie mount zobaczysz przypięte systemy plików w tym podłączony udział




lub używając polecenia df -h także możesz potwierdzić poprawność przyłączenia




po stronie klienta możesz zobaczyć zawartość folderu home z serwera NFS który został podłączony do folderu /mnt




Zauważyć możesz również że nie poprawnie wyświetlane są dane o właścicielach i grupach. Powodem problemu jest niezgodność baz danych o użytkownikach i grupach.




Aby to wyeliminować i doprowadzić do integralności danych należy uruchomić usługę integrującą w postaci usług katalogowych OpenLDAP


 








Podpięcie systemu do usługi OpenLDAP – operacja dla klienta




Uruchamiamy integrację systemu operacyjnego z LDAP. W tym celu musimy zainstalować dodatek rozszerzający możliwości systemu operacyjnego:


    

  • „libnss-ldap”
    • 



2. W trakcie instalacji system poprosi o podanie danych pozwalających na przyłączenie się do LDAP (podaj wyłącznie w tej linii !!!!! : adres IP serwera OpenLDAP serwera):




UWAGA! : zmieniona domena LDAP na: dc=lab,dc=pl




LDAP version: 3




Ustawiamy konto root jako admina LDAP




Włączamy wymaganie logowania do dostępu do bazy LDAP




LDAP account for root: cn=admin,dc=lab,dc=pl




Podać właściwe hasło dla użytkownika ADMIN (podane w poprzednim laboratorium)




Wskazać jako użytkownika uprzywilejowanego na: cn=admin,dc=lab,dc=pl




Podać właściwe hasło (jak było wcześniej)




3. Zmieniamy ustawienia w pliku „/etc/ldap.conf”


    

  • Przestawiamy SCOPE na „SUB”
    • 





    

  • Włączamy obsługę przesyłania jawnych haseł
    • 





    

  • Zapisujemy modyfikacje w pliku…
    • 



4. Dopisujemy obsługę LDAP do „/etc/nsswitch.conf”


    

  • Dopisujemy wykorzystanie bazy LDAP
    • 





    

  • Zapisujemy modyfikacje…
    • 



5. Jeżeli wykonaliśmy wszystko poprawnie powinni być widoczni użytkownicy z bazy LDAP. Można to sprawdzić przy pomocy polecenia „id” ze wskazaniem nazwy użytkownika np.:


id user1


W wyniku otrzymamy informacje o użytkowniku user1 (jego UID i GID)


uid=10000(user1) gid=100(users) grupy=100(users)





 




Umożliwienie uwierzytelnienia do usługi OpenLDAP – operacja dla klienta




1. Zainstaluj pakiet „libpam-ldap”. Prawdopodobnie otrzymasz komunikat, że pakiet jest już zainstalowany. Został dołączony przy poprzednim laboratorium.


2. Następujące polecenia powinny być rozpoznawane prawidłowo w systemie:


id user1
cd ~user1    (tylko po ponownym zalogowaniu się do putty)


3. System PAM wykorzystuje ten sam plik konfiguracji („/etc/ldap.conf”) jak libnss-LDAP. System automatycznie również skonfiguruje dostęp w systemie PAM wewnątrz katalogu /etc/pam.d należy jedynie sprawdzić poprawność wpisów. 

NIE WOLNO NIC ZMIENIAĆ – tylko sprawdzić !!!!!!!!!!!!! czy występują w każdym pliku pozycje na czerwono !!! Jeśli tak o wszystko OK.




4. Prawidłowa postać wszystkich wpisów:


common-account:






common-auth:






common-password:






common-session:






common-session-noninteractive:






5. Prawidłowo wykonane wpisy po zrestartowaniu usługi SSH powinny pozwolić na zalogowanie się przy pomocy użytkownika z LDAP do systemu.


restart: service ssh restart


6. Połączenie wykonujemy przez kolejną sesję SSH (nowa sesja) i logowaniu się użytkownikiem i hasłem z LDAP


7. Sprawdź folder z zamontowanym udziałem NFS, gdzie teraz powinny być widoczne nazwy obiektów a nie ich identyfikatory cyfrowe