Výber hardvéru pre školský server

To aké "železo budeme potrebovať" závisí predovšetkým od toho, koľko serverových služieb budeme chcieť na serveri prevádzkovať. Ak ste malá škola s desiatimi počítačmi pravdepodobne nebude chcieť používať služieb veľa. V takomto prípade neplatí, že server musí byť najvýkonnejším počítačom. A v prípade Linuxu to, v porovnaní s Windows, neplatí vôbec. Ale, ako som spomínal, všetko závisí od toho, aké úlohy má server v sieti plniť.

Na gymnáziu v Kremnici sme ako server použili pentium2 600 MHz, len sme do neho dokúpili disk s veľkosťou 250GB. Pri starších počítačoch si musíte dať pozor aby Bios počítača umožňoval taký veľký disk vôbec pripojiť.

Ak ste veľká škola pravdepodobne ste už server mali a pravdepodobne uvažujete nad zakúpením nového servera. Väčšinou nie je problém presvedčiť vedenie školy nad nutnosťou zakúpenia nového PC. Tu odporúčam na hardvéri nešetriť. Server by mal obsahovať dva disky zapojené ako RAID typu 1 - ak sa jeden disk pokazí na druhom je to isté. Ďalej by mal obsahovať dve sieťové karty pre preklad adries NAT - jedna z nich sa zapojí do smerovača a druhá do sieťového prepínača - server potom bude fungovať ako stanica v Čiernej nad Tisou, všetky vagóny prichádzajúce a odchádzajúce sa budú prekladať do iného vlaku a podozrivé vagóny neprejdú.

Výber vhodnej distribúcie pre školský server

Distribúcií linuxu je ako húb po daždi - Slackware, Fedora, OpenSuse, Mandriva, Debian, Ubuntu, Knoppix. Len podotýkam, že tento zoznam ani z ďaleka nie je kompletný a poradie distribúcií je čisto náhodné. Ak dávate prednosť komerčnej podpore, môžete využiť služby spomínaného Mandrake alebo Red Hat Enterprise Linux.

My sme si vybrali Ubuntu server z nasledujúcich dôvodov:

• je to od roku 2005 najobľúbenejšia distribúcia (podľa stránky distrowatch.com),
• je založená na Debiane. Niektoré školy dostali od projektu Infovek predkonfigurovaný server s Debianom, takže v prípade problémov sa dá obrátiť na správcov na ostatných školách cez konferenciu Spravca v projekte Infovek,
• má veľmi dobrú podporu: na českej domovskej stránke, či na jej Wikipédii, ale hlavne na jej fóre
  a existujú dokonca i chaty, či už česko-slovenský Jabber chat, alebo konferenčná miestnosť IRC, navštíviť môžete aj neoficiálnu príručku s vychytávkami a niečo sa nájde aj v slovenčine na domovskej stránke Ubuntu, alebo pre jednotlivé verzie 6.10 a 6.06
• Ďalšie výhody, ktoré sľubuje Ubuntu:
  • Ubuntu chce byť vždy zadarmo a nikdy nebude žiadna "enterprise verzia" za špeciálny poplatok: "Chceme, aby mali všetci to najlepšie za rovnakých a slobodných podmienok."
  • Ubuntu tím sľubuje pravidelné vydávanie nových verzií (každých 6 mesiacov). Môžete používať súčasnú stabilnú verziu, no nič vám nebráni pomáhať vylepšovať vývojársku verziu. Každá verzia je naďalej podporovaná aspoň 18 mesiacov. Je ale tiež možné vybrať si verziu s dlhodobou podpodou tzv. LTS.

Keďže sme mali k dispozícii dvojjadrový 64 bitový procesor, rozhodli sme sa použiť 64-bitovú distribúciu.

Okrem týchto faktov dávame do pozornosti aj to, že na našej stránke sa nachádza aj kompletne preložená príručka k tomuto systému - Príručka Ubuntu servera. V našom návode sa na ňu budeme niekoľkokrát odvolávať.

Inštalácia základného systému školského servera

I napriek tomu že je táto strana návodu pomerne dlhá, je inštalácia Ubuntu servera veľmi jednoduchá a nezaberie ani veľa času. Návod je doplnený obrázkami, ktoré sa dajú zväčšiť tak, že na ne kliknete.

Pozor!!! Táto kniha je ešte v skorom štádiu, všetky doterajšie časti boli otestované a mali by fungovať, ak však chcete nainštalovať Ubuntu server na server, ktorý práve používate v škole, vytvorte si pre každý prípad zálohu vášho súčasného systému, aby ste mali možnosť vrátiť sa k pôvodnému systému (je tiež možné nainštalovať ubuntu server ako tzv. dual boot). Návod píšeme tak, že každý týždeň pribudne jedna strana, preto vás zatiaľ prosíme o trpezlivosť.

1. Najskôr je potrebné stiahnuť CD zo stránky Ubuntu: http://www.ubuntu.com/getubuntu/download
2. Obraz tohto CD napálime na CD.
3. Nájdeme údaje o našej sieti - Protokol o odovzdaní asymetrického prístupu k službe EDU.SK#NET
4. Ak máme počítač s dvoma sieťovými kartami, kábel z karty, ktorá je na doske, strčíme do routra Cisco (alebo iného zariadenia, cez ktoré sa pripájate na internet) a druhý kábel do switchu. Ak máte len jednu sieťovú kartu, tak kábel strčte do switchu.
5. odriekame fungujúcu modlitbu, zapneme PC a vložíme napálené CD do mechaniky
6. ak po chvíli nabehne táto obrazovka:

   

   tak je všetko v poriadku a môžeme pokračovať, ak nenabehne, pravdepodobne nie je nastavené bootovanie z CD rom. V takomto prípade je potrebné toto bootovanie nastaviť v BIOSe.

Výber jazyka

1. nastavte si jazyk stlačením klávesy F2

   

2. zvoľte Kontrola CD média na chyby - zabijete tak síce trochu času, no v prípade, že je CD zle napálené alebo bol zle stiahnutý obraz CD, vyhnete sa zbytočným nepríjemnostiam.
3. zvoľte inštaláciu na pevný disk

   

Nastavenie siete

1. Spustí sa inštalácia a prebehne niekoľko obrazoviek (rozpoznávanie zariadení, načítavanie súčastí a rozpoznávanie sieťových zariadení). Potom sa inštalačný program spýta na základné sieťové rozhranie (iba ak máte dve sieťové karty). Ak ste zapojili sieťovú kartu na doske do routra Cisco, zvoľte eth0.

   

2. Ak nemáme v sieti iný server, mala by sa sieťovej karte prideliť IP adresa prostredníctvom DHCP (dynamické prideľovanie IP adries), ktoré zabezpečuje CISCO router. Ak však chceme na náš server umiestniť Web stránku, musíme nastaviť sieť ručne. Preto na obrazovke, kde sa inštalačný program pýta na názov počítača, zvolíme Naspäť:

   

3. Zvolíme manuálne nastavenie siete

   

4. Každá škola by mala mať pridelenú adresu v rámci siete EDU v tvare 10.X.Y.0. Pričom adresa 10.X.Y.1 je adresa Gateway (brána LAN) a 10.X.Y.10 je tlačiareň IBM 1312. Konkrétne X a Y si musíte nájsť v dokumente spomínanom v bode 3. Pre server je možné zvoliť ľubovoľnú adresu zo statického rozsahu tj 10.X.Y.1-99. Odporúčame použiť adresu 10.X.Y.2 (pravdaže, ak ste ju už v minulosti nepriradili inému počítaču).

   

5. Masku siete môžeme ponechať takú ako nám inštalačný program ponúkne

   

6. Ako bránu opäť ponecháme ponúknutú IP adresu v tvare 10.X.Y.1, kde X a Y zodpovedajú číslam vašej adresy

   

7. Adresy DNS nastavte podľa údajov EDU.SK#NET alebo nastavte tie, ktoré vidíte na nasledujúcom obrázku:

   

8. Ako meno počítača zadajte ľubovoľné meno napríklad Server1

   

Rozdelenie disku

1. Ak máte v počítači len jeden disk, zvoľte si Sprievodca - použiť celý disk (predpoklad je, že inštalujete na čistý disk, resp. že chcete to, čo bolo povodne na disku, vymazať). Ak však máte dva disky ako my, pokračujte podkapitolou Vytvorenie softvérového diskového poľa Raid 1 školského servera

   

Nastavenie hodín

1. Ak počítač inštalujte na čistý systém (čo predpokladá tento návod) a nemáte dual boot, tak zvoľte áno

   

Nastavenie používateľa

1. Ubuntu nemá správcovský účet, aj preto je potrebné vytvoriť jeden účet, cez ktorý sa bude dať k systému pristúpiť. Je možné vytvoriť ľubovoľný účet a neskôr cez neho vytvoriť účet správcu systému. My sme sa však rozhodli použiť na správu systému bežný účet, preto sme prvého užívateľa pomenovali správca. Takýto účet sa oproti bežnému účtu líši v tom, že pred každým zásahom do systému je potrebné zadať znova heslo. Pozor nie však každý používateľ má takéto oprávnenia! Používatelia, ktorých neskôr vytvoríme nebudú mať oprávnenie prepnúť sa do režimu správcu, ak nebudú zaradený v skupine admin.

   

2. Tu zadajte prihlasovacie meno, pomocou ktorého sa budete k serveru prihlasovať.

   

3. Zvoľte heslo, čím dlhšie, tým lepšie, vhodné je používať kombináciu veľkých a malých písmen, čísla a netradičné znaky, nie však znaky s diakritikou. Heslo je veľmi dôležité si zapamätať.

   

4. Zadajte heslo znova pre potvrdenie

   

Výber súčastí systému

1. Tu si popíšeme na čo slúžia jednotlivé ponúkané súčasti
   DNS Server slúži na prevod doménových mien na IP adresy a naopak. Nainštalovaním tohto servera urýchlite zisťovanie IP adries, čiže sa o niečo málo zrýchli prístup k webovým stránkam. Okrem toho však môžete nastaviť DNS záznamy, to znamená, že môžete povedať, ktorý počítač bude mať meno napríklad mail.gymkremnica.edu.sk. Viac o DNS sa dozviete tu.
   LAMP Server, ktorý obsahuje Apache2 - webový server umožňujúci publikovanie na webe, MySQL databázu a PHP. Viac sa dozviete na formax.sk.
   Poštový Server je server umožňujúci prijímanie a odosielanie elektronickej pošty. Viac o jednotlivých službách mailového servera sa dozviete vo Vixovej príručke.
   SSH Server OpenSSH je server umožňujúci pripojiť sa na náš server pomocou šifrovaného spojenia, ktoré sa používa na vzdialenú správu servera. Viac o SSH sa dozviete vo Vixovej príručke.
   Databázový Server PostgreSQL je alternatívnou databázou k MySQL
   Print Server je server na zdieľanie tlačiarní v sieti a správu dokumentov určených na tlač.
   Súborový server Samba je server, ktorý dokáže zdieľať súbory s operačným systémom MS Windows. Dokáže tiež riadiť sieťovú doménu M$ Windows.
   
   My sme zvolili všetky súčasti okrem alternatívnej databázy PostgreSQL. Nevravím však, že je to nutnosť. Napríklad nebude potrebné inštalovať tlačový server, ak na škole máte iba jednu tlačiareň dodanú Infovekom (IBM 1312), ktorá je sama tlačovým serverom. Naopak OpenSSh odporúčame určite nainštalovať, pretože vzdialená správa je výborná vec. Ostatné služby odporúčame nainštalovať tiež.

   

Nastavenie súčastí systému

1. Zadáme heslo pre používateľa "root" k databáze MySQL

   

2. Zvolíme typ poštového servera, ak neviete ktorý, ponechajte predvolené Internet site

   

3. Zadajte systémové poštové meno v tvare vasadomena.sk v našom prípade gymkremnica.edu.sk

   

4. Teraz je hotová inštalácia základného systému, spolu s niektorými servermi. Vyberte CD z mechaniky a dajte pokračovať.

   

Doinštalovanie programov pre správu školského servera

Po reštarte počítača sa na obrazovke objaví niečo takéto:

Kto by čakal dajaký grafický systém podobný MS Windows bohužiaľ alebo skôr vďaka bohu sa nedočká. Keďže my sme boli tiež odporcovia textového režimu, nainštalovali sme si grafické prostredie, no vzápätí sme to oľutovali pretože veľmi vzrástla spotreba pamäte. Potom sme hľadali iné riešenie - neinštalovať celé desktop prostredie ale iba manažéra okien alebo súborového manažéra. Podarilo sa nám sprevádzkovať prostredie Fluxbox, na ktoré sa vďaka x11vnc dá pripojiť pomocou VNC klienta - čo je program na prenos obrazu, takže je možné sa na server pripojiť i v grafike zo vzdialeného počítača.

Teraz z odstupom času (asi 2 mesiace) sa nám zdá i toto riešenie ako zbytočné, pretože ho nepoužívame. Ak vás ešte stále odpudzuje textový režim nebojte sa, o chvíľu vám porozprávame o výborných programoch na správu PC, ktoré sú v grafike. Tieto programy sa však nespúšťajú priamo na serveri ale fungujú ako webové rozhrania. Vlastne ani nebudete potrebovať mať k serveru pripojený monitor.

Prihlásenie sa ku školskému serveru

Aby sme však mohli niečo robiť musíme sa prihlásiť:

1. Stlačte Enter - Malo by sa zjaviť "Server1 login:" (ak ste ako meno počítača zadali Server1)
2. zadajte "spravca" (alebo svoj login, ktorý ste pri inštalácii vytvorili)
3. zadajte svoje heslo

    

   

Midnight commander

Ľudia, ktorý v minulosti ešte pracovali v operačnom systéme MS DOS, určite poznajú program Norton Commander alebo Volcov Commander. Niektorí, tiež používajú v operačnom systéme MS Windows Total Commander alebo iný klon Norton Commandera. Všetkých týchto ľudí určite poteší Midnight Commander, ktorý nainštalujeme takto:

sudo apt-get install mc

Teraz je znova potrebné znova zadať heslo. Počítač vypíše, ktoré balíčky sa budú okrem mc inštalovať a spýta sa, či to naozaj chcete. Zadajte teda "Y" (ako áno) Midnight commander teraz môžeme spustiť príkazom

mc

teraz by ste mali vidieť spustený Midnight Commander:

Inštalácia programov

Program Midnight Commander sme nainštalovali pomocou príkazov, ktoré su možno pre vás cudzie preto ich teraz trochu vysvetlíme. Začneme príkazom sudo. Tento príkaz budeme potrebovať veľmi často. Slúži na to aby ste získali oprávnenie správcu. Ak by sme tento príkaz nezadali, operačný systém by tvrdil, že na vykonanie zadaného príkazu nemáme dostatočné oprávnenie. Vždy po zadaní príkazu sudo sa systém spýta na vaše heslo, preto to od teraz budeme brať za samozrejmé a nebudeme uvádzať do postupov aby ste zadali svoje heslo.

Ďalším príkazom je príkaz apt-get. Tento príkaz je určený na prácu s balíčkami. Balíčky sú súbory s príponou .deb - ide o veľmi vzdialené ekvivalenty súborov install.exe či setup.exe známych z MS Windows. Tieto balíčky sú sústredené tzv. repozitároch. To sú akési úložištia balíčkov. Takže všetky balíčky sú uložené "pod jednou strechou" (resp pod niekoľkymi) a nie je ich potrebné hľadať na internete. Je však tiež možné nájsť balíčky, ktoré v týchto repozitároch nie sú, stiahnuť a nainštalovať ručne alebo nájsť ďalšie repozitáre, ktoré a dopísať ich do systému. Na inštalovanie nového programu použijeme príkaz

sudo apt-get install meno_balíčka  

Ak chceme program odinštalovať napíšeme

sudo apt-get remove meno_balíčka

V prípade, že chceme program odinštalovať a chceme i zmazať jeho inštalačný balíček, napíšeme

sudo apt-get purge meno_balíčka

Pomocník (help) k príkazom

Ku každému príkazu v Linuxe môžeme získať pomoc (väčšinou v angličtine) viacerými spôsobmi:

väčšina príkazov na integrovanú stručnú pomocou, ktorú nám program vypíše po zadaní prepínača --help alebo jeho skrátenej verzie -h, napríklad:

apt-get -h

alebo

apt-get --help  

podrobnejšiu pomoc poskytujú manuálové stránky. Ich rozsiahlosť a aktuálnosť je rôzna, ale jedno majú spoločné, pre zobrazenie používajú príkaz man a názov príkazu napríklad:

man apt-get  

Manuálovú stránku zatvoríme stlačením klávesy "q"!!! Najaktuálnejšiu dokumentáciu získate príkazom info, ktorého použitie (a často aj výsledok) je rovnaké ako pri príkaze man, napríklad:

info apt-get

Odstránenie inštalačného CD z repozitárov

V prípade, že máte neobmedzené pripojenie na internet (všetky školy by mali mať), je výhodné systém nastaviť tak, aby nehľadal balíčky na inštalačnom CD, ale iba na internete. Ukončite Midnight Comander (ďalej len MC) sltačením klávesy "F10". Potom ho znova spustite s právami roota (správcu):

sudo mc   

Od tohto okamihu je MC spustený s právami správcu systému. Dávajte si dobrý pozor čo robíte!!!

Teraz pomocou MC vyjdite až do hlavného priečinka. nastavíte kurzor (tyrkysový pásik) na "/.." tak ako je to na nasledujúcom obrázku a stlačíte enter:

Teraz sa nachádzate v priečinku "/home" (môžete ho vidieť v hornej časti obrazovky), to je priečinok v ktorom sú uložené profily používateľov. Ak ste postupovali podľa nášho návodu a vytvorili ste pri inštalácii používateľa s názvom "spravca" tak teraz máte kurzor na priečinku s takýmto názvom.

Teraz znova posuňte kurzor na "/.." a stlačte enter. Ste v koreňovom priečinku systému. Toto je niečo ako c: v operačnom systéme MS Windows.

Teraz presuňte kurzor na adresár "/etc" a stlačte enter. V tomto priečinku sa nachádzajú všetky konfiguračné súbory - veľmi vzdialené ekvivalenty súborov s príponou ini, ktoré používa MS Windows. Toto bude priečinok, ktorý budeme veľmi často otvárať.

Teraz vojdite do adresár "/apt" v hornej časti by mala byť zobrazená cesta "/etc/apt".

Teraz sa prepneme do druhého okna pomocou klávesy "TAB" na klávesnici a rovnakým postupom nastavíme tú istú cestu aj do druhého panelu.

Teraz si vytvoríme zálohu súboru ktorý chceme upravovať. Vytváranie záloh konfiguračných súborov je veľmi dôležité!!! V prípade že niečo pokašleme, môžeme to vrátiť.

Nastavme kurzor na súbor s názvom "sources.list" a stlačte na klávesnici "F5" (kopírovať) a za zobrazovanu cestu "/etc/apt" dopíšte "/sources.list.bak1" a stlačte enter, čím vytvoríte kópiu súboru s takýmto názvom.

Teraz, keď máme zálohu, môžeme editovať súbor. nastavíme kurzor na súbor "sources.list" a stlačíme klávesu "F4" (editovať). Uvidíme pred sebou rôznofarebný text, pričom sa nejedná len o grafický efekt, ale farebne je zvýraznená syntax tohoto súboru. To čo je potrebné urobiť, je vložiť pred riadok začínajúci

deb cdrom... 

znak "#" ten sa na slovenskej klávesnici píše pomocou kombinácie kláves AltGR+x (AltGR je pravý alt). Po doplnení znaku "#" by súbor mal vyzerať takto:

Zmeny v súbore uložíme stlačením klávesy "F2" (Uložiť) a potvrdíme uloženie.

Teraz môžeme opustiť editor klávesou "Esc".

Aktualizácia systému

Teraz môžeme vykonať aktualizáciu systému. Tento krok je veľmi dôležitý, pretože aktualizácie neprinášajú iba nové funkcie ale i odstraňujú chyby. V programe MC je možné skryť panely kombináciou kláves Ctrl+o. Ak tento povel vykonáte uvidíte iba príkazový riadok. Keďže máte MC spustený príkazom sudo, už ho nemusíte pred príkazy písať. Zadajte teda príkaz:

apt-get update  

Tento príkaz načíta z úložiska distribúcie zoznam najnovších balíčkov. Tento príkaz je vhodné zadať pred každou inštaláciou, ktoréhokoľvek balíčka z úložiska. Samotnú aktualizáciu vykonáte príkazom

apt-get upgrade

Systém zobrazí zoznam programov ktoré bude aktualizovať. Opäť je potrebné potvrdiť aktulaizáciu zadaním "Y". Po aktualizácii môžete zapnúť panely MC (Ctrl+o).

Inštalácia programu Webmin

Program je veľmi užitočné grafické web rozhranie, slúžiace na správu serverov. Jeho inštalácia je veľmi jednoduchá:

1. Otvorte súbor /etc/apt/sources.list (vyššie opísaným spôsobom), ktorý obsahuje zoznam zdrojov softvéru
2. Na koniec pridajte nový zdroj dopísaním riadka deb http://download.webmin.com/download/repository sarge contrib
3. Uložte súbor(F2) a opustite editor(ESC)
4. Vypnite panely v MC (CTRL+o)
5. Stiahnite a nainštalujte Kľúč k zdroju softvéru zadaním príkazov (znak ~ napíšete pomocou Alt Gr + a):
   

   cd ~
   wget http://www.webmin.com/jcameron-key.asc
   sudo apt-key add jcameron-key.asc 
   

6. Zaktualizujte zoznam balíčkov zadaním apt-get update
7. Nainštalujte Webmin príkazom apt-get install webmin
8. Zapnite zobrazenie panelov

Ak máte v počítači iba jednu sieťovú kartu, môžete sa k programu Webmin pripojiť z iného počítača tak, že zadáte do internetového prehliadača IP adresu počítača, ktorú ste priradili sieťovej karte na začiatku inštalácie a zadaním portu 10000. Teda http://10.x.y.2:10000 kde x a y sú čísla IP adresy vašej školy v sieti EDU#Net.

AK máte dve sieťové karty budete si musieť najskôr nastaviť druhú kartu, podľa postupu v ďalšej kapitole.

Nastavenie druhej sieťovej karty v školskom serveri

Ak máme v počítači dve sieťové karty, musíme nastaviť i druhú sieťovú kartu. Môžeme náš server použiť ako firewall. Túto možnosť odporúčame najmä vtedy ak chcete aby bol server dostupný verejne z internetu. Podstatne tak zvýšite bezpečnosť vašej siete.

Ak má byť vaša sieť bezpečná tak jednu sieťovú kartu zapojíte do Cisco routera, cez ktorý sa pripájate na internet a druhú do switchu do ktorého sú pripojené ostatné počítače siete.

Od Cisco routeru musí byť switch rozvádzajúci sieť odpojený. Server bude fungovať nasledovne:
Internet --> vonkajšia sieťova karta servera --> firewall s prekladom adries --> vnútorná sieťová karta servera -->switch --> ostatné počítače

Najprv pomocou postupu opísaného v predchádzajúcej kapitole, otvoríme súbor /etc/network/interfaces. Po jeho otvorení by ste mali vidieť takýto súbor:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.x.y.2
netmask 255.255.255.0
network 10.x.y.0
broadcast 10.x.y.255
gateway 10.x.y.1
#dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 195.146.128.60 195.146.132.59
dns-search vasadomena.edu.sk

kde miesto x a y sú čísla z vašej IP adresy v sieti EDU#Net.

Druhej sieťovej adrese môžeme priradiť adresu, ktorá bude patriť iba v lokálnej školskej sieti. Pre túto sieť je možné vyhradiť adresy napríklad 192.168.1.x.

Prejdeme teda na koniec súboru a nastavíme druhú sieťovú kartu nasledovne:

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255    

teraz vypnite panlely MC a zadajte príkaz, ktorým sa reštartuje nastavenie siete starým osvedčeným spôsobom:

 invoke-rc.d networking restart

Teraz sa i vy môžete pripojiť na server z hociktorej stanice v sieti, je však potrebné zmeniť jej sieťové nastavenia.

# The loopback network interface
auto lo
iface lo inet loopback

# Primárne sieťové rozhranie
auto eth0
iface eth0 inet static
    hwaddress ether a1:b2:c3:d4:e5:f6
    address 192.168.0.1
    netmask 255.255.255.0
    network 192.168.0.0
    broadcast 192.168.0.255
    gateway 192.168.0.253
    # dns-* options are implemented by the resolvconf package, if installed
    dns-nameservers 192.168.0.254
    dns-search domov.skk

# druhé sieťové rozhranie
auto eth1
iface eth1 inet dhcp

iface lo inet loopback

iface eth1 inet dhcp

iface eth0 inet static

invoke-rc.d networking restart

ifconfig
eth1          Zapouzdření:Ethernet  HWadr 00:0C:29:95:03:FF
              inet adr:192.168.0.10  Všesměr:192.168.0.255 Maska:255.255.255.0
              inet6-adr: fe80::20c:29ff:fe95:3ff/64 Rozsah:Linka
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:98 errors:0 dropped:0 overruns:0 frame:0
              TX packets:129 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:1000
              RX bytes:10403 (10.1 KiB)  TX bytes:10254 (10.0 KiB)
              Vstupně/Výstupní port:0x2040 Paměť:e8920000-e8940000

lo            Zapouzdření:Místní smyčka
              inet adr:127.0.0.1 Maska:255.0.0.0
              inet6-adr: ::1/128 Rozsah:Počítač
              AKTIVOVÁNO SMYČKA BĚŽÍ  MTU:16436  Metrika:1
              RX packets:27 errors:0 dropped:0 overruns:0 frame:0
              TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0
              RX bytes:1332 (1.3 KiB)  TX bytes:1332 (1.3 KiB)

ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up

ifconfig eth1 down

ip help

ip addr help

ip address show
1: lo: <LOOPBACK,UP,10000> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
    valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0c:29:95:03:ff brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.10/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::20c:29ff:fe95:3ff/64 scope link
    valid_lft forever preferred_lft forever

ip -s link show eth1
2: eth1: <BROADCAST,MULTICAST,UP,10000> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0c:29:95:03:ff brd ff:ff:ff:ff:ff:ff
    RX: bytes  packets  errors  dropped overrun mcast
    11857      108      0       0       0       0
    TX: bytes  packets  errors  dropped carrier collsns
    10490      133      0       0       0       0

ip address add 192.168.0.1/24 brd + dev eth1

ip address del 192.168.0.1 dev eth1

ifup eth1

ifdown eth1

search skk
nameserver 192.168.0.253

ip route add 192.168.55.0/24 via 192.168.0.253 dev eth1

route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253 dev eth1

ip route show

auto eth1
iface eth1 inet static
    ...
    up route add -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253
    down route del -net 192.168.55.0 netmask 255.255.255.0 gw 192.168.0.253

Ako sa prvýkrát pripojiť ku školskému serveru z lokálneho počítača

Na to aby sme sa mohli pripojiť k novonainštalovanému serveru, je potrebné vykonať niekoľko zmien v sieťovom nastavení.

Nastavenie ak je v serveri jedna sieťová karta

Na lokálnej stanici nastavte

IP Adresa : 10.x.y.3 (kde x a y sú čísla ip adresy v siete EDU#Net)
Maska : 255.255.255.0
Brána : 10.x.y.2 (IP adresa novo nainštalovaného servera)
DNS : 10.x.y.2 (IP adresa novo nainštalovaného servera) 

Nastavenie ak sú v serveri dve sieťové karty

Na lokálnej stanici nastavte

IP Adresa : 192.168.1.2
Maska : 255.255.255.0
Brána : 192.168.1.1 (IP adresa novo nainštalovaného servera)
DNS : 192.168.1.1 (IP adresa novo nainštalovaného servera) 

Nastavenie v MS Windows XP

Otvoríme ponuku štart a zvolíme ovládací panel.

Kliknite na sieťové a internetové nastavenia.

Vyberte sieťové pripojenia.

Kliknite na lokálne pripojenie a vyberte Zmeniť nastavenie pripojenia.

Vyberte Internet protocol a tuknite na tlačítko Vlastnosti.

Nastavte parametre siete podla tabuľky vyššie.

Ako sa pripojiť do rozhrania Webmin na školskom serveri

Sadnime si k stanici, ktorú sme už nastavili (Ako sa prvýkrát pripojiť ku školskému serveru z lokálneho počítača) a otvorme webový prehliadač. Ako adresu zadajte (v prípade že ste postupovali podľa predchádzajúcich častí návodu) v prípade, že máte jednu sieťovú kartu (x a y sú čísla z vašej IP adresy v sieti EDU#Net):

https://10.x.y.2:10000 

v prípade, že máte dve sieťové karty

https://192.168.1.1:10000  

v prehliadači by ste mali uvidieť takúto stránku

Pomocou tohto formulára sa môžete prihlásiť k serveru pomocou vášho loginu (ak ste postupovali podľa nášho návodu tak je username "spravca") a hesla. Po zadaní údajov stačí stlačiť tlačidlo Login. Po prihlásení uvidíme takúto obrazovku:

Zmena jazyka rozhrania Webmin na slovenský

Ako prvý krok môžeme rozhranie prepnúť do slovenského jazyka. Po vykonaní tohto kroku bude rozhranie čiastočne preložené do slovenčiny (aspoň v čase písania článku bolo len čiastočne). Rozbaľte teda položku Webmin ťuknite na odkaz Change Language and Theme. Prepnite prepínač do polohy Perosnal choice, v rozbalovacej ponuke vyberte slovenský jazyk a potvrďte tlačidlom Make changes (viď obrázok).

Po vykonaní tohto kroku, už len obnovíme stránku pomocou klávesy F5 na klávesnici.

Ako sa pripojiť ku školskému serveru cez ssh

SSH je skratkou od Secure Shell - zabezpečený príkazový riadok. Je to sieťový protokol, ktorý umožňuje bezpečnú komunikáciu medzi dvoma počítačmi. Tento protokol bol navrhnutý na to, aby odstránil nedostatky nezabezpečených protokolov rlogin, telnet, rsh či ftp. Umožňuje vzdialené pripojenie sa na server a vykonávanie príkazov cez príkazový riadok ale tiež prenos súborov pomocou Secure FTP (ftp cez ssh).

Pripojenie z Linuxového klienta

Ak sa pripájate na server z linuxu, tak pravdepodobne už máte v systéme nainštalovaný klientsky program na pripojenie k SSH.

Ak máte na serveri len jednu sieťovú kartu, stačí otvoriť príkazový riadok a napísať

ssh spravca@10.x.y.2

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

ssh spravca@192.168.1.1

V prípade, že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu) záznam môžete použiť

ssh spravca@www.domena_skoly.edu.sk

Ak sa pripájate prvý krát, budete vyzvaní, aby ste potvrdili bezpečnostný certifikát servera. Po jeho potvrdení už zadáte len svoje heslo a pripojenie k serveru sa nadviaže.

Pripojenie z prostredia Windows

Na pripojenie k SSH je možné použiť viacero programov, no my si ukážeme pripojenie pomocou najznámejšieho z nich, ktorý sa nazýva PuTTY. Stiahnuť si ho môžete zo stránky http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html a to buď ako samostatný program alebo ako inštalátor.

Po jeho stiahnutí (v prípade inštalátora i nainštalovaní) stačí vyplniť údaj Host name(or IP address).

Ak máte na serveri len jednu sieťovú, kartu zadáte

spravca@10.x.y.2

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

spravca@192.168.1.1

V prípade, že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu) záznam, môžete použiť

spravca@www.domena_skoly.edu.sk

Nastavenie môžeme uložiť zadaním názvu spojenia do poľa Saved Sessions a stlačením tlačidla Save.

Potom otvoríme spojenie tlačidlom Open.

Ak sa pripájate prvý krát, bude potrebné potvrdiť bezpečnostný kľúč servera.

A potom už len zadáte svoje heslo a pripojenie sa nadviaže.

Klient pre SFTP na prenos úborov

Programov na prenos súborov cez protokol SFTP je niekoľko. Najznámejšími z nich sú WinSCP a FileZilla. Nastavenie je podobné ako pri programe PuTTY a práca s nimi je podobná ako s Windows Explorerom.

WinSCP si môžete stiahnuť zo stránky http://winscp.net/eng/download.php a FlieZilla zase zo stránky http://filezilla-project.org/download.php?type=client.

Ukážka programov:

SSH klient priamo vo vašom internetovom prehliadači

Ak ste postupovali podľa nášho návodu, tak máte na serveri i webserver. Môžete teda integrovať Java aplikáciu ako applet do webovej stránky a potom stránku otvoriť priamo cez internetový prehliadač na lokálnom počítači.

Jedným z Java programov je MindTerm, ktorý si môžete stiahnuť zo stránky http://www.appgate.com/index/products/mindterm. Tento program je zadarmo pre osobné použitie a pre komerčné použite je limitovaný 25 pripojeniami.

Na tejto stránke sa zaregistrujte kliknutím na odkaz contact form a po zaregistrovaní vám príde email s odkazom na stiahnutie.

Po stiahnutí programu môžete zip súbor rozbaliť a nakopírovať na server napríklad pomocou WinSCP alebo FileZilla do priečinka /var/www.

Potom vytvoríte súbor ssh.html s nasledujúcim obsahom, pričom prispôsobte hrubo vytlačené údaje svojím potrebám

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="sk" lang="sk" dir="ltr">

  <head>
    <title>ssh</title>   
  </head>

<body>
 <p>
  <applet code="com.mindbright.application.MindTerm.class" archive="/mindterm-X.Y/mindterm.jar" height="600" width="620">
  <param name="cabinets" value="mindterm.cab" />
  <param name="sepframe" value="false" />
  <param name="server" value="www.vasa_domena.edu.sk" />
  <param name="username" value="spravca" />
  <param name="debug" value="true" /> 
 </applet>
</p>
</body>

</html>

a uložte ju do priečinka /var/www na serveri. Po jej uložení môžete do prehliadača na klientskom počítači zadať adresu:

Ak máte na serveri len jednu sieťovú kartu, stačí otvoriť príkazový riadok a napísať

http://10.x.y.2/ssh.html

Kde X a Y sú čísla vašej IP adresy v rámci siete #EDU.NET

Ak sa pripájate z vnútornej siete na server s dvoma sieťovými kartami, napíšte

http://192.168.1.1/ssh.html

V prípade že už máte definovaný DNS (ako zabezpečiť aby bol školský server viditeľný z internetu), záznam môžete použiť

http://www.domena_skoly.edu.sk/ssh.html

Ako vytvoriť firewall na školskom serveri

Firewall je sieťové zariadenie a/alebo softvér, ktorý kontroluje tok dát, ktoré cez neho prechádzajú. Táto kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port či rozhranie, a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia napríklad povolenie alebo zamietnutie komunikácie (ale sú aj iné akcie).

Existujú tri základné typy firewallov:

• paketový filter - filtruje dáta v tzv packetoch na základe ich vlastností (IP, rozhranie, port...)
• stavový - filtruje pakety na základe ich stavu (vytvárajúce spojenie, odpovede na požiadavky, ...)
• aplikačný - filtruje pakety na základe zdrojovej/cieľovej aplikácie, obsahu stránok a podobne

Linuxový firewall aplikuje len prvé dva typy.

Brána firewall je integrovaná do jadra linuxu, preto ju netreba inštalovať. Na jej nastavenie slúži nástroj iptables, pomocou ktorého sa definujú pravidlá. Prechádzajúce dáta sú zaraďované do troch zabudovaných tzv. reťazí:

• INPUT - pravidlá pre packety prichádzajúce do počítača
• OUTPUT - pravidlá pre packety odchádzajúce z počítača počítača
• FORWARD - pravidlá pre packety prechádzajúce z jednej sieťovej karty na druhú

Ak je v počítači iba jedna sieťová karta firewall filtruje iba prichádzajúce a odchádzajúce dáta. V prípade dvoch sieťových kariet sa z počítača stáva smerovač, ktorý môže filtrovať komunikáciu medzi dvoma sieťovými kartami, a teda medzi dvoma sieťami. Najčastejšie sa takýto spôsob filtrovania používa na riadenie komunikácie medzi vnútornou sieťou, ktorej dôverujeme, a vonkajšou sieťou napr. Internetom.

Nastavenie brány firewal však už nemusíme vykonávať priamo na serveri, ale môžeme využiť nainštalované rozhranie Webmin.

Vytvorenie firewallu pomocou rozhrania Webmin

Otvoríme ponuku Sieť v nej ťukneme na Linux Firewall pomocou prepínača na stavíme Block all except SSH, IDENT, ping and high ports - týmto prepínačom sa zablokuje všetko okrem spomínaných služieb, zafajkneme políčko Enable firewall at boot time a stlačíme tlačidlo Setup Firewall (viď obrázok).

Po vykonaní tohto kroku sa na webstránke zjaví tabuľka s pravidlami:

Teraz môžeme do firewallu doplniť porty služieb, ktoré by mal server dovoľovať. Odporúčame doplniť ešte nasledujúce službywww, https, pop3, smtp, imap, imaps, pop3s, a ak chceme mať prístup k správe servera prostredníctvom rozhrania Webmin doplňme i port 10000 (ak máme v počítači dve sieťové karty a chceme aby sa dalo server spravovať iba z vnätornej siete tak port 10000 nezadáme). Urobíme to tak, že pri pravidle If protocol is TCP and destination port is SSH klikneme na Accept (viď obrázok vyššie). Porty je potrebné napísať bez medzier.

 www,https,pop3,smtp,imap,imaps,pop3s,10000

Na stránke, ktorá sa následne otvorí doplníme všetky spomínané porty a oddelíme čiarkou. Potom už len stlačíme tlačidlo Uložiť.

Vytvorenie NAT pomocou rozhrania Webmin

Ak máme v počítači dve sieťové karty, musíme nastaviť i druhú sieťovú kartu. Môžeme náš server použiť ako firewall s prekladom adries. Ak má byť vaša sieť bezpečná tak jednu sieťovú kartu zapojíte do Cisco routera, cez ktorý sa pripájate na internet a druhú do switchu, do ktorého sú pripojené ostatné počítače siete.

Od Cisco routeru musí byť switch rozvádzajúci sieť odpojený. Server bude fungovať nasledovne:
Internet --> vonkajšia sieťova karta servera --> firewall s prekladom adries --> vnútorná sieťová karta servera -->switch --> ostatné počítače

Firewall je sieťové zariadenie a/alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Internet a Intranet) a kontrolovať tok dát medzi týmito sieťami.

AK máte v počítači len jednu sieťovú kartu, kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia napríklad povolenie alebo zamietnutie komunikácie (ale suú aj iné akcie).

Ak máte v počítači dve sieťové karty je možné obe siete navzájom oddeliť. Server v takomto prípade bude fungovať tak, že bude rozhodovať o tom, ktoré požiadavky z vonkajšej siete pustí do vnútornej a naopak.

Ak máte v počítači dve sieťové karty, je potrebné pridať ešte jedno pravidlo, ktoré bude vykonávať preklad adries. V hornej časti nastavíme do rozbaľovacieho poľa Network address translation (nat) a stlačíme tlačidlo Showing IPtable. Po jeho stlačení sa zmení obsah stránky, na ktorej klikneme na tlačidlo Add Rule v časti Packet after routing (viď obrázok).

Na stránke s definíciou pravidla nastavíme prepínač do polohy Source NAT, nastavenie IPs and ports for SNAT prepnite do polohy IP range a v riadku, zapíšeme IP adresu vonkajšej siete 10.x.y.2 a nastavíme, že výstupné zariadenie má byť eth0 vybraním hodnoty Equals v riadku Outgoing interface. Potom stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Teraz vytvoríme tri pravidlá v časti v časti Packet before routing.

Na otvorenej stránke prepneme prepínač do polohy Accept a a nastavíme, že výstupné zariadenie má byť eth1 vybraním hodnoty Equals v riadku Incoming interface. Potom stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Rovnaké pravidlo vytvoríme i pre zariadenie lo.

Pri vytváraní posledného pravidla prepneme prepínač do polohy Accept a a nastavíme, že výstupné zariadenie má byť eth0 vybraním hodnoty Equals v riadku Incoming interface. Teraz vyberieme v časti Conection states z ponuky Equals a vyberieme hodnoty Existing Conections a Related to conected (pri označovaní týchto hodnôt myšou, držte na klávesnici kláves CTRL). Nakoniec stlačíme tlačidlo Vytvoriť v spodnej časti stránky.

Teraz už stačí len novú zmenu aplikovať stlačením tlačidla Apply Configuration.

Po aplikovaní zmeny sa konfigurácia uluží do súboru iptables.up.rules. Tento súbor je potrebné ešte načítať pri štarte systému.

Vytvorenie spúšťacieho skriptu na zavedenie firewallu

Otvoríme položku Systém a klikneme na Štart a vypnutie. Na stránke ktorá sa otvorí klikneme na odkaz Create a new bootup and shutdown action.

Otvorí sa stránka na vytváranie skriptov, do ktorej zadáme názov nového skriptu webmin-ipt a do poľa Bootup commands napíšeme:

/bin/echo 1 > /proc/sys/net/ipv4/ip_forward 
/sbin/iptables-restore /etc/iptables.up.rules  

a klikneme na tlačítko Vytvor.

Aby sme nemuseli teraz reštartovať server načítame pravidlá ručne. Zo zoznamu skriptov vyberieme Webmin-ipt a spustíme ho pomocou tlačidla Start selected.

Nastavenú konfiguráciu môžeme overiť tak že sa pokúsime na stanici na ktorej práve teraz sme otvoriť ľubovolnú stránku z internetu (napr. www.google.sk). Mala by sa otvoriť.

Ako nastaviť ukladanie doménových mien na školskom serveri

Domenové mená sú mená počítačov, ktoré sú priradené k číselným adresám počítačov. Doménové mená boli počítačom pridelené kvôli ľuďom, pretože IP adresy sú iste ťažšie zapamätateľné, ako adresa napr. www.google.sk. Pre činnosť Internetu sú však potrebné číselné IP adresy (či už verzie 4 alebo 6), preto musí byť každé meno počítača prevedené na jeho číselnú podobu a na to slúžia menné servery (DNS servery).

Ak do prehliadača zadáme sk.openacademy.eu musí služba DNS nájsť číselnú adresu počítača s takouto mennou adresou poslaním požiadavky na iný menný server. Toto hľadanie trvá určitý čas, no dá sa urýchliť tak, pomocou takzvaného kešovania adries. DNS server si do svojej vyrovnávacej pamäti ukladá jednotlivé doménové mená a k nim prislúchajúce číselné adresy a pri nasledujúcej požiadavke na preklad mena sa už nepýta ostatných DNS serverov, ale poskytne odpoveď zo svojej pamäte.

Toto správanie v konečnom dôsledku zrýchli načítavanie stránok, pretože Váš počítač dostane IP adresu cieľa rýchlejšie a teda skôr začne načítať stránku.

Príklad

Pri zisťovaní záznamu pre adresu "www.wikipedia.org" je postup takýto:

1. používateľ zadá meno www.wikipedia.org, počítač sa obráti na lokálny menný server s požiadavkou o IP adresu www.wikipedia.org,
2. lokálny menný server túto informáciu nemá, pozná však adresy koreňových serverov. Na jeden z nich sa obráti (napr. na 193.0.14.129) a požiadavku mu prepošle,
3. ani koreňový server nepozná odpoveď, vie však, že existuje doména najvyššej úrovne org a poskytne žiadateľovi adresy jej autoritatívnych serverov,
4. lokálny server jeden z nich vyberie (napr. tld1.ultradns.net s IP adresou 204.74.112.1) a pošle mu požiadavok na IP adresu mena www.wikipedia.org,
5. ani tento server informáciu nepozná, ale poskytne IP adresy autoritativních serverov domény wikipedia.org,
6. lokálny server si opäť jeden vyberie a pošle mu požiadavok na IP adresu mena www.wikipedia.org
7. keďže toto meno už je v doméne wikipedia.org, dostane od jej servera autoritatívnu odpoveď, že hľadaná IP adresa je 145.97.39.155
8. lokálny menný server túto odpoveď odovzdá žiadajúcemu počítaču.

Toto je kompletný postup riešenia daného požiadavku. Môže se však stať, že niektorý z menných serverev (napríklad aj Váš) má hľadanú informáciu vo svojej vyrovnávacej pamäti, pretože príslušnú požiadavku nedávno riešil. V takom prípade poskytne neautoritatívnu odpoveď z vyrovnávacej pamäte a ďalšie požiadavky odpadávajú.

Zmena v nastaveniach siete

Najprv otvorte vetvu Sieť a ťuknite na odkaz Network Configuration. Na stránk, ktorá sa zobrazí ťuknite na Hosname and DNS Client.

Do polí DNS server pridajte adresu 127.0.0.1 na prvé miesto a potom stlačte tlačidlo Uložiť. Týmto nastavením zabezpečíte aby server pozrel najskor svoje záznamy až potom hľadal u nadradených počítačov.

Potom aplikujte nastavenia pomocou tlačidla Apply Configuration.

V ďalšom kroku otvorte vetvu Servery a ťuknite na odkaz BIND DNS Server. Na stránke, ktorá sa otvorí vyberte Forwarding and Transfer.

Nastavenie DNS servera

Do polí Servers to forward queries to zadajte IP adresy nadradených DNS serverov a stlačte tlačidlo Uložiť.

Nakoniec aplikujte nastavenia pomocou tlačidla Apply Changes.

Ako nastaviť ukladanie webových stránok na školský server

Jednou s ďalších služieb, ktoré je možné nainštalovať na školský server je Proxy server. Proxy server je niečo ako prostredník v komunikácii medzi klientmi a servermi. Pre klientov sa tvári ako server a pre server ako klient.

Situácia bez použitia proxy servera:

+-------------+   požiadavka                           +--------+
| klient      |--------------------------------------> | server |
| (lok. sieť) |<-------------------------------------- |        |
+-------------+                             odpoveď    +--------+

Situácia s použitím proxy servera:

+-------------+ požiadavka  +--------+ požiadavka      +--------+
| klient      |-----------> | proxy  |---------------> | server |
| (lok. sieť) |<----------- | server |<--------------- |        |
+-------------+   odpoveď   +--------+      odpoveď    +--------+

Výhodou takéhoto prístupu je niekoľko:

1. Oddelenie sietí - bezpečnosť
2. Ukladanie obsahu (WWW) - zrýchlenie komunikácie
3. Filtrovanie požiadaviek

O konfigurácii proxy servera Squid priamo v konfiguračnom súbore sa dozviete vo Vixovej príručke Systémového administrátora, tu sa zameriam na popis nastavenia pomocou webového rozhrania Webmin.

Inštalácia proxy servera Squid

Najskôr musíme Proxy server nainštalovať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes squid 

a stlačte tlačidlo Vykonaj príkaz. Potom ešte treba chvíľu počkať kým sa proxy server Squid nainštaluje. Potom ako bude inštalácia hotová, zjaví sa priebeh inštalácie.

Nastavenie proxy servera Squid

Po nainštalovaní treba prispôsobiť nastavenieproxy servera Squid podmienkam našej siete:

Načúvací port

Najprv je potrebnénastaviť číslo portu, na ktorom bude Squid očakávať pripojenia od klientov. Štandardné nastavenie je port číslo 3128 a nie je potrebné to meniť - iba ak by ste port 3128 chceli využiť na niečo iné. V rozhraní Webmin otvoríme vetvu Servery a kliknúť na odkaz Squid Proxy Server. Na stránke ktorá sa zobrazí potom klikneme na Ports and Networking. Na stránke ktorá sa otvorí uvidíte prepínač v polohe Default (usually 3128).

Po nastavení príslušného čísla portu, je samozrejme potrebné nastaviť firewall tak, aby požiadavky klientov prepúšťal nášmu proxy serveru - toto už nemusíte nastavovať ak ste sa riadili podľa predchádzajúcich častí návodu.

Nastavenie vyrovnávacej pamäte

Predvolená inštalácia Squid má nastavenú cestu aj veľkosť vyrovnávacej pamäte, ale to nemusí vyhovovať všetkým, preto pomocou webmin zmeňte nastavenia podľa svojich potrieb. Pri nastavovaní veľkosti dajte pozor na to, že čím väčšia vyrovnávacia pamäť, tým viac súborov je v nej uchovaných, čo môže urýchliť zobrazovanie stránok, ale zároveň to zvyšuje počet prístupov na disk, čo zase zobrazovanie stránok môže spomaliť.

Ak chcete zmeniť tieto nastavenia klknite na odkaz Cache Options

V nastaveniach môžete nastaviť umiestnienie vyrovnávacej pamäte jej veľkosť, a ďalšie nastavenia. Nezabudnite prepnúť prepínač do polohy Listed.. a nakoniec nastavenia uložiť kliknutím na tlačítko Save.

Nastavenie parametrov vlastnej siete

Squid používa prepracovaný systém riadenia prístupu, ktorý umožňuje precízne nastavenie, ktroré stanice môžu jeho služby využívať, a ktorým bude prístup do vonkajšej siete zamietnutý. V predvolenej konfigurácii po inštalácii však umožňuje prístup všetkým klientom lokálnej siete, jemu však potrebné nastaviť parametre lokálnej siete, a to IP adresu a masku siete. Aj toto nastavenie je potrebné urobiť cez Riadenie prístupu (Access control), takže ťukneme teda na Access Control.

Pod zoznamom pravidiel prístupu v rozbaľovacom poli vyberieme Client Address a ťukneme na tlačidlo Create new ACL.

Na stránke, ktorá sa zobrazí, zadajte do poľa ACL Name názov pravidla (napr. vnutorna_siet) a zadefinujte rozsah IP adries, ktoré budú mocť k proxy serveru pristupovať. Ako som už spomínal, nastavujeme povolenie pre všeky stanice v našej sieti, takže do poľa From IP zadáme IP adresu našej siete (napríklad 192.168.1.0) a do poľa Netmask zadáme hodnotu 24 (čo zodpovdá sieťovej maske 255.255.255.0).

Teraz sa hore prepneme na záložku Proxy restriction a pod zoznamom pravidiel ťukneme na odkaz Add proxy restrictions

V ľavom stĺpci vyberieme pravidlo vnutorna_siet, ktoré sme si pred chvílou vytvorili, prepínač prepneme do polohy Allow a uložíme stlačením tlačidla Save.

Teraz pomocou šipky naše pravidlo posunieme nad pravidlo Denny All.

Na koniec ešte reštartujeme Squid.

Nastavenie klientov

Na začiatku sme si nastavili číslo portu, na ktorom proxy server očakáva požiadavky na webové stránky, a to port číslo 3128. Webový klienti však používajú pre komunikáciu iné (štandardné) porty:

• http komunikácia - 80
• https komunikácia - 443
• ftp komunikácia - 21

Všetky tieto služby dokáže Squid obslúžiť, ale je potrebné aby boli posielané na port číslo 3128, to je nutné nastaviť individuálne na každom klientovi. Klientov však ešte nenastavujte, ak chcete používať filtrovanie obsahu stránok, ktorému sa venuje ďalšia kapitola (museli by ste ich potom nastaviť znova).

Napríklad:

Nastavenie v prehliadači Internet Explorer

V hornej ponuke vyberte Nástroje > Možnosti siete internet

Prepnite sa na kartu Pirpojenia a stlačte tlačítko Nastavenie siete LAN.

V časti Server proxy zaškrtnite pole a vyplnte príslušné údaje. 

Nastavenie v prehliadači Firefox

V hornej ponuke vyberte Nástroje > Možnosti (MS Windows) alebo Upraviť > Možnosti (Linux)

Prepnite sa na kartu Sieť a ťuknite na tlačítko Nastavenia.

Prepínač prepnite do polohy Ručné nastavenie parametrov a do okienok vyplnte príslušné údaje:

Nastavenie v prehliadači Opera

V hornej ponuke vyberte Nástroje > Nastavenia. Prepnite sa na kartu Pokročilé voľby, v ľavej časti ťuknite na Pripojenie a potom ťuknite na tlačítko Proxy servery.

V okne, ktoré sa otvorí nastavte príslušné hodnoty:

Nastavenie transparentného proxy servera

Nastavenie, ktoré sme si zatiaľ vytvorili funguje a je pripravené na ďalšie vylepšenia, ako riadenie prístupu, či filtrovanie prevádzky. Ale určite sa zhodneme, že je veľmi pracné nastavoavť všetky klienty samostatne. Riešenie (hoci len čiastočné) tohoto problému je využitie tzv. transparentného proxy servera.

Transparentný proxy server nie je priehľadný, ako by to mohlo navádzať slovo transparent, ale taký proxy server, o ktorom klienti ani nevedia. Naďalej posielajú svoje požiadavky na štandardný port číslo 80 a o zvyšok sa postará server. Pozornejší si určite všimli malú drobnosť, a to že protokoly HTTPS a FTP nemožno týmto spôsobom obslúžiť, preto pre nichplatia naďalej nastavenia predchádzajúcich odsekov.

Pre funkčné nastavenie tohoto riešenia proxy servera je potrebné zmeniť nastavenia na dvoch miestach:

1. nastaviť samotný proxy server
2. nastaviť preklad portov vo firewalle

Začneme natavením proxy - vo Webmin otvoríme vetvu Servery a kliknúť na odkaz Squid Proxy Server. Na stránke ktorá sa zobrazí potom klikneme na Ports and Networking.

Na stránke ktorá sa otvorí prepneme prepínač Proxy addresses and ports do polohy Listed below.., do poľa Port zadáme 3128 a do poľa Options for port napíšeme transparent. Nakoniec nastavenia uložte ťuknutím na tlačidlo Save.

Pokračovať budeme nastavením firewallu - v ľavej časti otvoríme vetvu Sieť a ťukneme na odkaz Linux Firewall. V rozbaľovacom poli vyberieme Network address translation (nat) a ťukneme na tlačidlo Show IPtable. Na stránke, ktorá sa zobrazí v časti PREROUTING ťuknite na modrú šipku v stĺpci Add aby sa nové pravidlo pridalo pred prvé pravidlo.

Teraz zadefinujeme pravidlo, ktoré požiadavky presmeruje:

1. prepneme prepinač Action to take do polohy Redirect,
2. do poľa Source address or network nastavíme Equals 192.168.1.0/24,
3. Incoming interface nastavíme na Equals eth1,
4. Network protocol na Equals TCP a
5. Destination TCP or UDP na Equals Port(s) 80.
6. do poľa Additional parameters zadáme --to-port 3128

a nakoniec nastavenie uložíme ťuknutím na tlačidlo Uložiť.

Teraz je ešte potrebné na stánke firewallu Aplikovať nastavenia

a spustiť script webmin-ipt, aby sa nové pravidlo pre firewall načítalo. Otvoríme položku Systém a klikneme na Štart a vypnutie. Zaškrtneme políčko webmin-ipt a ťukneme na tlačítko Start Selected.

Riadenie prístupu klientov a filtrovanie prevádzky

O tejto možnosti sa dozviete viac v podkapitole

Ako blokovať určité webové stránky v jednotlivých učebniach počas vyučovania

ACL name : ucebna_studenti
From IP : 192.168.1.11
To IP : 192.168.1.20
Netmask :24

ACL name : vyucovanie
Days of weak : pomocou klávesy CTRL+ kliknutie myšou označíme všetky položky od monday po friday (pondelok až piatok)
Hours of the Day : zadáme začiatok a koniec vyučovania napr.: 7:00 to 15:00

ACL Name : problemove_stranky
Domains : .youtube.com

Ako nastaviť školský server, aby dynamicky nastavoval sieťové karty ostatných počítačov

Nastavenie sieťových nastavení na lokálnych počítačoch v sieti je možné pomocu DHCP servera. Tento sa stará o to, aby klient na základe vyslanej požiadavky do siete a následného overenia obdržal IP adresu potrebnú pre fungovanie. Klient v sieti obdrží odpoveď od servera a sám nakonfiguruje sieťové zariadenie, sieťovú kartu. Server prenajme klientovi IP adresu na určitý čas. Ten je závislý od nastavenia. Niekedy však potrebujeme, aby server pridelil klientom vždy tú istú IP adresu. No aj to sa dá ukážeme si to v podkapitole Ako nastaviť školský server, aby prideloval IP adresy na základe MAC adries.

Na nastavenie DHCP nám opäť bude stačiť rozhranie Webmin. Konfigurácia DHCP servera nájdeme pod položku Servery a v nej klikneme na odkaz DHCP. Ak tak urobíme, zistíme, že server DHCP nie je ešte nainštalovaný. V texte sa dozviete, že sa DHCP server nainštalovať aj z tejto stránky. NEROBTE TO!!! Je tu zrejme malá chyba, ktorá spôsobuje, že webmin počas inštalácie so serverom prestane komunikovať. Našťastie sa dá server nainštalovať i iným spôsobom.

Inštalácia DHCP servera pomocou rozhrania Webmin

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes dhcp3-server

(prepínače -f -y a --force-yes zabezpečia , že sa inštalácia vykoná automaticky bez nutnosti odpovedať na otázky)

a stlačte tlačidlo Vykonaj príkaz

Vytvorenie podsiete pre DHCP

Tento krok nie je až taký potrebný ale ukážeme ho, pre prípad že by ste chceli vytvoriť dve podsiete napríklad pre každú školskú budovu jednu. Po nainštalovaní DHCP servera môžete otvoriť Servery a klinúť na odkaz DHCP Server. V novootvorenom okne pridáme novú podsieť kliknutím na odkaz Pridať novú subnet.

Teraz je potrebné zadefinovať rozsah adries, ktoré bude server automaticky prideľovať ostatným počítačom v sieti. Nastavenie sa opäť líši podľa toho, či máte v počítači jednu alebo dve sieťové karty.

Nastavenie, ktoré sme urobili, hovorí, že má server pridelovať počítačom IP adresy s koncovými číslami 100-254. Je samozrejme možné nastaviť celý rozsah napríklad 1-254, no my sme chceli mať možnosť na niektorých počítačoch IP adresu nastaviť ručne. Na ručné nastavenie nám zostal rozsah adries 2-100 resp 3-100 (v prípade jednej sieťovej karty je 1 router a 2 server).

Po zadaní všetkých parametrov stlačíme tlačidlo Vytvor.

Nastavenie údajov pre klientov DHCP servera

Na hlavnej stránke DHCP servera sa v spodnej časti nachádza tlačidlo Edit Client Options. V prípade že ste definovali podsieť, nemusíte klientské nastavenia definovať globálne ale iba pre konkrétnu podsieť (alebo môžete časť zadefinovať globálne a časť pre podsieť).

Na stránke DHCP Servera pribudne nová podsieť. Kliknutím na obrázok znova otvorte jej nastavenia.

V spodnej časti pribudli ďalšie tlačítka. Stlačte tlačítko Edit Client Options.

Do okienok nastavte nasledujúce údaje v závislosti od počtu sieťových kariet na serveri:

NEZABUDNITE PREPNÚŤ PREPÍNAČE DO POLOHY VEDĽA ZADANÝCH ÚDAJOV!!! Nakoniec stlačte tlačidlo Uložiť a na ďalšej strane zovu stlačte tlačidlo Uložiť.

Spustenie DHCP servera

Teraz stačí spustiť DHCP server kliknutím na tlačidlo Spustiť server.

Po spustení môžeme funkčnosť otestovať tak, že na klientskej stanici nastavíme v sieťových nastaveniach "Získať IP adresu automaticky" a "Získať adresu DNS automaticky" (Platí pre Windows XP, v ostatných systémoch sú tieto nastavenia podobné). Po reštarte počítača by si počítač mal sám zistiť sieťové nastavenia od DHCP servera. To znamená, že po reštarte by mal fungovať i internet - stačí teda otvoriť internetový prehliadač a ten by mal načítať internetovú stránku (ak v ňom nemáte nastavený iný počítač ako proxy server).

Problém môže nastať v prípade, že máte iba jednu sieťovú kartu. V tom prípade je v sieti ešte jeden DHCP server - Router CISCO. Občas sa teda môže stať, že klienstská stanica získa nastavenia od Routra CISCO miesto od Nášho servera. Preto je potrebné požiadať o vypnutie DHCP servera na Routri Cisco. POZRI ako-zabezpecit-aby-bol-skolsky-server-viditelny-z-internetu

V prípade dvoch sieťových kariet by malo byť všetko v poriadku ak je jedna sieťová karta pripojená do routra a druhá do switchu, pričom router a switch nesmú byť navzájom prepojené.

ipconfig /all

Konfigurace IP systému Windows 2000

        Název hostitele . . . . . . . . . : nazovpc
        Primární přípona DNS. . . . . . . :
        Typ uzlu. . . . . . . . . . . . . : Vysílání
        Používá směrování IP. . . . . . . : Ne
        Používá server proxy WINS . . . . : Ne
        Seznam vyhledávání přípon DNS . . : vasadomena.edu.sk

        Názov hostiteľa. . . . . . . . . . . . . : nazovpc
        Primárna prípona názvu DNS . . . . . . . :
        Typ uzla . . . . . . . . . . . . . . . . : Neznámy
        Smerovanie protokolu IP povolené . . . . : Nie
        WINS Proxy Enabled . . . . . . . . . . . : No

Adaptér siete Ethernet Local Area Connection:

        Prípona DNS špecifická pre pripojenie  . :
        Popis. . . . . . . . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
        Fyzická adresa . . . . . . . . . . . . . : 08-00-27-49-EB-DC
        DHCP zapnuté . . . . . . . . . . . . . . : Áno
        Automatická konfigurácia zapnutá . . . . : Áno
        Adresa IP. . . . . . . . . . . . . . . . : 192.168.1.151
        Maska podsiete . . . . . . . . . . . . . : 255.255.255.0
        Predvolená brána . . . . . . . . . . . . : 192.168.1.1
        Server DHCP. . . . . . . . . . . . . . . : 192.168.1.1
        DNS Servers. . . . . . . . . . . . . . . : 192.168.1.1
        Prenájom získaný . . . . . . . . . . . . : 1. februára 2009 10:38:56
        Prenájom uplynie . . . . . . . . . . . . : 2. februára 2009 10:38:56

ifconfig -a

eth0      Link encap:Ethernet  HWaddr 00:0e:2e:9e:58:7e  
          inet addr:192.168.1.151  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe9e:587e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7653 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8581 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:4679283 (4.6 MB)  TX bytes:1459824 (1.4 MB)
          Interrupt:18 Base address:0xf400 

Ako nastaviť na školskom serveri filtrovanie webových stránok podľa obsahu

Ak ste sa rozhodli, že chcete obmedziť žiakom prístup na stánky, na ktorých je nevhodný obsah, môžete využiť tzv. Content filter - filter obsahu. Jedným z takýchto filtrov je DansGuardian. Na rozdiel od bežných webových filtrov, ktoré udržiavajú obrovské zoznamy zakázaných URL adries, tento filter funguje ako skutočný filter obsahu t.j. vážením výrazov určí či je stránka vhodná alebo nevhodná, dokonca dokáže filtrovať aj obrázky a tiež dokáže filtrovať i URL adresy ako bežné filtre.

Inštalácia

Najskôr musíme DansGuardian nainštalovať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes dansguardian

a stlačte tlačidlo Vykonaj príkaz. Potom ešte treba chvíľu počkať kým sa proxy server Squid nainštaluje. Potom ako bude inštalácia hotová, zjaví sa priebeh inštalácie.

Úprava konfiguračného súboru

Aby bol konfiguračný súbor funkčný je potrebné odstrániť riadok 'UNCONFIGURED' (nekonfigurované)

Tento krok je potrebné vykonať priamo na serveri alebo cez SSH prístup (ako sa pripojiť ku školskému serveru cez ssh).

• Spustíme Midnight commander príkazom

sudo mc 

• Prejdeme k súboru

/etc/dansguardian.conf

• Stlačíme F4
• Pred slovo UNCONFIGURED (tretí riadok) dopíšeme # (pravý alt+x)
• Uložíme F2
• Ukončíme editáciu ESC
• Ukončíme Midnight Commander F10

Pridanie modulu do rozhrania Webmin

Aby sa dali zmeniť niektoré nastavenia DansGuardianu, je potrebné do rozhrania Webmin doinštalovať nový modul. Do rozhrania webmin ho vložíme tak, že najskôr ťukneme na vetvu Webmin, potom na odkaz Konfigurácia Webminu a na stránke ktorá sa otvorí, ťukneme na Moduly Webminu.

Na stránke, ktorá sa zobrazí, prepneme prepínač do polohy Moduly tretích strán z a ťukneme na tlačítko Vyber.

V ponuke, ktorá sa otvorí vyberte Dansguardian.

Do okienka sa načítala adresa s miestom, kde je modul uložený, takže už stačí ťuknúť iba na Inštaluj modul.

Nakoniec ešte obnovíme stránku pomocu tlačidla v prehliadači aby sa nám zobrazil odkaz na práve nainštalovaný modul.

Nastavenie predávania dát s proxy serverom Squid

Aby DansGuardian správne fungoval, je potrebné zmeniť načúvací port pre Squid a nastaviť Dansguardian aby svoje požiadavky posielal Squidu. To môžeme urobiť keď ťukneme na vetvu Servery, v nej ťukneme na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťukneme na View/Edit Config.

V tomto nastavení sa dozviete, že DansGuardian načúva na porte 8080 a svoje požiadavky posiela na port 3128, na ktorom načúva proxy server Squid.

Presmerovanie požiadaviek klientov na port dansguardianu

Toto nastavenie vykonáme pomocou nastavení firewallu. V ľavej časti otvoríme vetvu Sieť a ťukneme na odkaz Linux Firewall. V rozbaľovacom poli vyberieme Network address translation (nat) a ťukneme na tlačidlo Show IPtable. Na stránke, ktorá sa zobrazí v časti PREROUTING ťuknite na pravidlo Redirect, ktoré sme vytvorili v minulej časti.

Do poľa Additional parameters zadáme miesto --to-port 3128 novú hodnotu --to-port 8080

a nakoniec nastavenie uložíme ťuknutím na tlačidlo Uložiť.

Teraz je ešte potrebné na stánke firewallu Aplikovať nastavenia

a spustiť script webmin-ipt, aby sa nové pravidlo pre firewall načítalo. Otvoríme položku Systém a klikneme na Štart a vypnutie. Zaškrtneme políčko webmin-ipt a ťukneme na tlačítko Start Selected.

Nastavenie filtrov DansGuardianu

Filtre DansGuardianu sú veľmi agresívn, takže sa vám spočiatku bude stávať, že dansguardian občas zablokuje i to, čo by nemal. Je v ňom tiež prednastavené, blokovanie sťahovania súborov s určitými príponami. Z tohto dôvodu by na staniciach s operačným systémom nefungovali aktualizácie.

Zlé nastavenie tohto nástroja môže mať za následok, že sa stránky nebudú korektne načítavať!!! Ak zistíte, že vám niečo nefunguje pravdepodobne bude príčina práve v zlom nastavení tohto servera!!!

Ťuknime teda na vetvu Servery, v nej ťukneme na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťuknime na View/Edit Groups.

Otvorí sa nám zoznam pravideil skupiny. Pravidlá sú rozdelené podľa významu takto:

• bannedphraselist - zoznam zakázaných fráz
• exceptionphraselist - zoznam povolených fráz
• weightedphraselist - zoznam vážených fráz
• bannedsitelist - zoznam zakázaných stránok
• greysitelist - zoznam stránok, ktorým nemá byť kontrolovaná adresa ale iba obsah
• exceptionsitelist - zoznam stránok, ktoré vôbec nemajú byť kontrolované
• bannedurllist - zoznam zakázaných adries URL
• greyurllist - zoznam URL adries, ktorým nemá byť kontrolovaná adresa ale iba obsah
• exceptionurllist - zoznam URL adries, ktoré vôbec nemajú byť kontrolované
• bannedregexpurllist - zoznam zakázaných výrazov v adresách URL
• bannedextensionlist - zoznam zakázaných prípon súborov
• bannedmimetypelist - zoznam zakázaných MIME typov
• pics - pravidlá načítavania obrázkov
• contentregexplist - zoznam cenzurovaných výrazov

Zakázané prípony

Spomedzi pravidiel najskôr vyberieme do zoznamu zakázaných prípon bannedextensionlist.

Prípony v súbore sú rozdelené na štyri časti:

1. Súbory so spustiteľným kódom (exe, com, bat, dll...) - to sú súbory v ktorých sa môže nachádzať škodlivý kód ako napr. vírusy
2. Súbory ktoré síce nie sú spustiteľné, ale môžu obsahovať tzv. makrá, ktoré škodlivý kód obsahovať môžu (doc, xls).
3. Ostatné súbory, ktoré môžu obsahovať spustiteľný kód (zip, rar)
4. Súbory, ktoré zahlcujú šírku prenosového pásma (videá, mp3, ...).

Spočiatku sú zakázané takmer všetky prípony. Odporúčame teda veľmi starostlivo zvážiť, ktoré prípony zakážete, a ktoré necháte povolené. minimálne odporúčame povoliť súbory cab, dll a msi, bez ktorých nefunguje automatická aktualizácia MS Windows (samozrejme môžete aktualizáciu na klientoch vykonávať i ručne ak v prehliadač dočasne zmeníte nastavenie proxy servera na port 3128). Povolíte ich tak, že pred príponu dopíšete znak # (na slovenskej klávesnici AltGR + x).

Zakázané MIME typy

Súbor bannedmimetypelist obsahuje MIME typy, ktoré určujú aký typ obsahu sa môže prehrať v prehliadači priamo zo stránky. Povolené sú všetky typy ale ak chcete kvôli zrýchleniu komunikácie žiakom zakázať prehrávanie niektorého typu (napr. videa), stačí vymazať znak # pred daným typom.

Zakázané výrazy v adresách URL

V súbore bannedregexpurllist sa nachádzajú pravidlá, ktoré zablokujú URL adresy, ktoré obsahujú určitý výraz. Pri nastavení pravidiel buďte opatrní, pretože ak napríklad vložíte výraz "sex" nezablokujete len sex.com ale tiež middleesex.com.

Zakázané adresy URL

V súbore bannedurllist sa nachádza zoznam zakázaných URL adries. Uožňuje zakázať adresy ako napríklad http://www.domena.com/porno

Zakázané stránky

V súbore bannedsitelist sa nachádza zoznam zakázaných URL adries. Uožňuje zakázať adresy ako napríklad porno.com

Zakázané frázy

V súbore bannedphraselist môžeme zadefinovať slová alebo výrazy, ktoré spôsobia zablokovanie stránky.

V súbore sa už nachádzajú tri zoznamy

.Include</etc/dansguardian/phraselists/pornography/banned> - pornografia
.Include</etc/dansguardian/phraselists/illegaldrugs/banned> - nelegálne drogy
.Include</etc/dansguardian/phraselists/gambling/banned> - hazard, stávkovanie

Tu odporúčame posledný zoznam zrušiť, pretože je málo pravdepodobné, že žiaci budú vyhľadávať stávkovanie v cudzom jazyku.

Ak chcete zadefinovať nové pravidlá tak sa to robí takto:

• Každý výraz či slovo je potrebné vložiť do zátvoriek < >
• < test> bude platiť pre každé slovo začínajúce "test"
• <test > bude platiť pre každé slovo končiace "test"
• <test> bude platiť pre každé slovo obsahujúce "test"
• < test > bude platiť iba pre slovo "test"
• <presná fráza> bude platiť iba pre presnú frázu
• <test>,<druhytest> bude platiť iba ak sa na stránke nájdu obe slová
• samozrejme je možné pravidlá kombinovať napr.:< test>,<druhytest>

Napríklad môžete zadefinovať takéto pravidlá:

<Videa>,<Bradavky>
<Fotky>,<Prsia>

Zoznamy s výnimkami

Veľmi užitočné je definovať výnimky spomedzi stránok URL adries a fráz, ktoré Dansguardian nemá blokovať.

Napríklad v súbore so stránkami exceptionsitelist môžete zadefinovať takéto výnimky:

dansguardian.org
windowsupdate.microsoft.com
windowsupdate.com
post.sk
pobox.sk
forum.ubuntu.cz
edu.sk

Šedé zoznamy

Zoznamy greyurllist a greysitelist umožňujú pre určité stránky vypnúť hľadanie zakázaných výrazov v adrese URL ale ponechávajú zapnuté filtrovanie obsahu.

Zoznam vážených výrazov

V súbore weightedphraselist je možné definovať zlé a dobré výrazy tak, že každemu výrazu sa priradí hodnota. Napríklad výrazom sex a tvrdý priradíme kladnú - zlú hodnotu <sex><20> <tvrdý><10> a výrazu výchova priradíme zápornú - dobrú hodnotu <výchova><-100>. Výsledok bude ten, že ak sa na stránke bude nachádzať "tvrdý sex" tak sa stránka zablokuje ale ak tam bude "sexuálna výchova" spolu s "tvrdý penis" stránka sa povolí. Jediný háčik je diakritika - je potrebné použiť iba slová alebo časti slov bez diakritiky.

Aby sa stránky tak často neblokovali je potrebné práve do tohto súboru definovať niektoré slovenské výrazy a naopak cudzojazyčné zoznamy slov odstránte.

Príklad niekoľkých dobrých slov.

<enstvo><-10>
<kolstvo><-10>
<vzdel><-10>
<chova><-10>
<veda><-10>
<politika><-10>
<zdravie><-10>

Zoznam cenzurovaných slov

V súbore contentregexplist môžeme zadefinovať slová, ktoré sa majú nahradiť napríklad slovom "cenzurované". S touto funkciou však narábajte veľmi opatrne, pretože môže spôsobiť že sa nahradia aj HTML značky a ich parametre, čo bude mať za následok nefunkčnosť niektorých stránok.

Tu je príklad ako súbor môže vyzerať (ospravedlňujeme sa za vulgarizmy, ktore sme použili ako ukážku):

" kokot | kokoty | kokot "->" **cenzurované** " 

Vypnutie filtra pre určité počítače a používateľov

Samozrejme je možné zadefinovať používateľou ale IP adresy počítačov, ktorým sa stránky nebudú filtrovať. Ale je tiež možné zadefinovať zoznam používateľov a IP adresy počítačov, ktorým sa má uplne zablokovať prístup na internet.

Stačí ťuknúť na odkaz Dansguardian a na stránke, ktorá sa otvorí, ťuknime na View/Edit Files.

Aplikovanie nových nastavení

Po tom ako zmeníte pravidlá filtrovania je potrebné reštartovať DansGuardian.

Ochrana Dansguardianu pred neoprávneným prístupom z vonkanšej siete

Dansguardian bohužiaľ nemá možnosť ochrany proti prístupu z vonkajšej siete. Toto je možné zabezpečiť dvoma sôsobmi. Jeden je autentifikácia prebraná od proxyservera Squid a druhým je ochrana pomocou firewallu. Prvý spôsob by vyžadoval aby sa pri každom pokuse pripojiť na internet používateľ zadal svoje heslo, čo je dosť obmedzujúce, preto sme zvolily druhý spôsob.

Otvorte vetvu Sieť a ťuknite na odkaz Linux Firewall. Na stránke ktorá sa otvorí vytvoríme nové pravidlo nad prvé pravidlo Drop (predpokladáme že už máte vytvorené pravidlá firewallu), ťuknutím na modrú šípku smerujúcu nahor.

Nastavíme takéto vlastnosti:

Prepínač Action to take prepneme do polohy Drop
Network Protocol nastavíme na Equals TCP
Destination TCP or UDP port nastavíme na Equals port 8080

Ťukneme na tlačidlo Uložiť.

Na stránke s pravidlami ťukneme na tlačidlo Apply Configuration

Nakoniec ešte musíme znova načítať pravidlá firewallu.

Otvoríme vetvu Systém a ťukneme na odkaz Štart a vypnutie. Zaškrtneme pravidlo webmin-ipt a ťukneme na tlačítko Start.

Ako vytvoriť nových používateľov školského servera

Novým používateľom, ktorých vytvoríme na serveri sa automaticky vytvorí ich domovský priečinok, v ktorom budú mať mimo iného i priečinok kam sa bude ukladať pošta.

Otvoríme vetvu Systém a klikneme na Users and Groups. Na otvorenej stránke ťukneme na odkaz Create a new user.

Teraz zadáme pre používateľa prihlasovacie meno do políčka Username, jeho skutočné meno do poľa Real name, do poľa Normal password zadáme pre neho rovnaké heslo ako je jeho prihlasovacie meno. Ak sa jedná o žiaka zaradíme ho do novej skupiny, ktorú nazveme podľa jeho triedy. Nakonies stlačíme tlačidlo Vytvor

Pri vytváraní ďalšieho používateľa z rovnakej skupiny už skupinu stačí do poľa Existing group uviesť už existujúcu skupinu alebo vybrať zo zoznamu pomocou tlačidla za týmto poľom.

Ako preberať poštu z doménového koša na vzdialenom serveri na školský server

Teraz, keď už máte vytvorených používateľov, môžeme nastaviť odosielanie a prijímanie pošty. Všetky školy zapojené do projektu Infovek mali zriadený doménový kôš na ST Online. Do doménového koša prichádza všetka pošta určená pre školu. Z tohto koša ho potom školský server môže preberať a triediť svojím používateľom. Školy mali tiež možnosť požiadať miesto doménového koša o tri emailové adresy. Ak je to váš prípad, je možné opätovne požiadať o obnovu doménového koša, no lepšou možnosťou je požiadať o zmenu DNS záznamu aby sa pošta doručovala priamo na váš server. Túto možnosť si ukážeme v nasledujúcej kapitole

Preberanie pošty z doménového koša

Najskôr musíme nainštalovať program, ktorý bude poštu preberať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes fetchmail

Otvorte vetvu Servery a ťuknite na odkaz Fetchmail Mail Retrieval. Do poľa zadajte meno používateľa, u ktorého sa bude pošta triediť a nakoniec stlačnte tlačidlo Add Fetchmail server for user.

Na stránke ktorá sa otvorí nastavte nasledujúce parametre:

• Server name: mail.stonline.sk
• Protocol: Pop3
• Authentication method: PASSWORD
• Remote user: - login k doménovému košu na ST Online
• Remote password: - heslo k doménovému košu na ST Online
  
• Local user(s): *
• Leave messages on server? Nie
• Always fetch all messages? Ano

Nakoniec údaje uložte kliknutím na tlačidlo Vytvor.

Teraz si môžete overiť funkčnosť kliknutím na odkaz Check All Servers. Mala by sa prevziať pošta aroztriediť medzi používateľov.

Nastavenie triedenia pošty používateľom

Bohužiaľ cez rozhranie Webmin sa nedá urobiť všetko (aspoň zatiaľ nie). Niektoré veci bude potrebné urobiť ručne. Prihlásime sa teda na server pomocou SSH prístupu (Ako sa pripojiť ku školskému serveru cez ssh) a spustíme Midnight commander (zadaním sudo mc). V domovskom priečinku sa nachádza súbor .fetchmailrc, ktorý otvoríme (F4) a doplníme hrubovyznačené riadky.

poll mail.stonline.sk with

proto POP3

auth password
localdomains <domena.edu.sk>
envelope 'Original-recipient:' qvirtual 'rfc822;'
user <login>
pass <heslo> 
is *
nokeep
fetchall

Samozrejme výrazy v zátvorkách <> je potrebné nahradiť vašimi hodnotami.

Okrem týchto dvoch riadkov odporúčame na začiato dopísať tieto tri nastavenia:

Nastaviť komu majú byť doručované nedoručiteľné správy.

set postmaster <spravca@domena.edu.sk> 

Zakázanie posielania chabových správ

set no bouncemail

a nastavit aby sa neupravovali hlavičky emailov.

set invisible 

Nakoniec súbor uložíme (F2).

Nastavenie pravidelnej kontroly novej pošty v doménovom koši

Ako nastaviť doménové mená školskému serveru.

O doménovom serveri sme už hovorili v časti o ukladaní doménových mien. V tejto časti si povieme ako priradiť doménové mená nášmu serveru.

Ak správne nastavíme DNS, potom môžeme k serveru pristupovať miesto IP adresy iba pomocou jeho mena. Rovnako môžeme serveru nastaviť i viacero mien napríklad mail.nasadomena.edu.sk.

Domenové mená sa definujú do zón. Jeden zónový súbor by mal obsahovať údaje o jednej doméne, adresách v rámci tejto domény a umožňuje preklad doménového mena servera na jeho IP adresu. Na opačný preklad slúžia reverzné zónové súbory, ktoré definujú záznamy v špeciálnej doméne "in.addr-arpa". Reverzné DNS záznamy nie sú vo všeobecnosti povinné, mnoho služieb ich však vyžaduje (napr. niektoré konfigurácie mailových serverov neprijímajú maily od serverov bez reverzného záznamu) a preto by ste ich mali používať minimálne pre vaše servery, ktoré komunikujú s Internetom.

Viac informácií nájdete na http://deja-vix.sk/sysadmin/dns.html

Vytvorenie hlavnej zóny

Otvorte vetvu Servery a ťuknite na odkaz BIND DNS Server. Na stránke, ktorá sa otvorí, ťuknite na odkaz Create master zone.

• Do poľa Domain name / Network zadajte vasadomena.edu.sk
• do poľa Master server zadajte ns.vasadomena.edu.sk
• do poľa Email address zadajte email spravca@vasadomena.edu.sk

Miesto vasadomena zadajte vašu doménu vašej školy (my sme zadali gymkremnica).

Vytvorenie hlavnej reverznej zóny

Vrátime sa späť nastránku BIND DNS Server a znova ťukneme na odkaz Create master zone.

Tento raz však prepínač Zone type prepneme do polohy Reverse (Addresses to Names). Ostatné parametre nastavíme takto

• Do poľa Domain name / Network zadajte začiatok vašej IP adresy v sieti EDU#Net v tvare 10.x.y (bez koncovej bodky)
• do poľa Master server zadajte ns.vasadomena.edu.sk
• do poľa Email address zadajte email spravca@vasadomena.edu.sk

Definovanie adries

Po vytvorení zón, na stránke zóny vasadomena.edu.sk ťuknite na Adress.

Teraz zadefinujeme všetky mená, ktoré chceme priradiť serveru. Meno definujem vždy aj s doménou a na jeho konci vždy dáme bodku. Mená sa automaticky vytvoria i v reverznej zóne.

Zadefinujme teda nasledujúce mená:

Name: Server1.vasadomena.edu.sk.
Address: 10.x.y.2

Name: vasadomena.edu.sk.
Address: 10.x.y.2

Name: mail.vasadomena.edu.sk.
Address: 10.x.y.2

Name: ns.vasadomena.edu.sk.
Address: 10.x.y.2 

Kde Server1 je meno servera a x a y sú čísla z IP adresy vašej školy v rámci siete EDU#Net.

Zadefinovanie menného aliasu pre službu WWW

Menný alias pre www službu zadefinujeme kliknutím na Name Alias.

Zadajte nasledujúce údaje:

Name: www.vasadomena.edu.sk.
Real Name: Server1

Nezabudnite na konci bodku.

Zadefinovanie mena poštového servara

Na stránke Zéony ťuknite na odkaz Mail Server.

Zadajte nasledujúce údaje:

Name: vasadomena.edu.sk.
Mail Name: mail.vasadomena.edu.sk.
Priority: 10 

Nezabudnite na bodku na konci záznamov.

Vytvorenie reverznej zóny

Nakoniec ešte aplikujte nastavenia kliknutím na tlačidlo Apply Changes.

Týmto sme vytvorili všetky potrebné záznamy pre server. Neskôr však ale ešte pridáme záznamy o ďalších počítačoch v našej sieti. 

Ako vytvoriť Maildir pre IMAP/POP server "Courier IMAP"

    * dokumentácia k adduser 

man adduser

    * pohľadajte zmienku o súbore adduser.local
    * nájdete, že mal by sa mal nacházať v 

/usr/local/sbin/adduser.local

    * ak tam nie je, tak ho vytvorte, argumenty do tohto súboru: username uid gid home-directory
    * to je vlastne nejaký post-adduser skript. Keď vytvoríte usera, adduser na konci zavolá adduser.local (musí byť spusiteľný) a v ňom možete vykonať ďalšie operácie 

V podstate, potrebujete tam dať niečo ako:

maildirmake ${4}/Maildir
chown -R ${2}:${3} ${4}/Maildir

ak

${2} je uid
${3} je gid
${4} je homedir

    * skúste pridať tie dva riadky uvedené vyššie, do adduser.local, potom 

chmod 700 adduser.local

a pridajte nejakého usera. Malo by to vytvoriť aj Maildir v jeho domácom adresári.

ls -la ~peter/Maildir ? 

drwx------  7 peter peter 4096 Dec 22 11:17 .
drwxr-xr-x  3 peter peter 4096 Dec 22 10:48 ..
drwx------  6 peter peter 4096 Dec 22 11:17 .Trash
drwx------  2 peter peter 4096 Dec 22 10:48 courierimapkeywords
-rw-r--r--  1 peter peter   12 Dec 22 11:17 courierimapsubscribed
-rw-r--r--  1 peter peter   15 Dec 22 10:49 courierimapuiddb
drwx------  2 peter peter 4096 Dec 22 10:48 cur
drwx------  2 peter peter 4096 Dec 22 10:48 new
drwx------  2 peter peter 4096 Dec 22 11:19 tmp

TEX v Moodle

Dobry den,

Nainstaloval Moodle na
skolsky server UBUNTU. Funguje az na jednu malickost: neviem pisat
matematicke vzorce. V Moodle som v nastaveniach povolil v Moduloch
Filter TEX, ktory to umoznuje. Ked som to spravil cvicne doma na
pocitaci kde mam XAMPP, vsetko bolo OK. Nahral som to na skolsky
server a tam sa vzorec nepodarilo zobrazit. Ine obrazky, vlozene sa
daju zobrazit. Myslim si, ze chyba bude niekde v nastaveniach servera.
V prilohe pripajam obr.

Dakujem za radu.

Navoy.

Ako nastaviť poštový server na školskom serveri

V predchádzajúcej časti sme hovorili ako prevziať poštu z doménového koša. Doménový kôš však nie je najšťastnejšie riešenie, najmä kvôli tomu, že do nej môže prísť aj mail pre neexistujúceho používateľa. Napríklad ak niekto pošle mail abrakadabra@vasadomena.edu.sk tak príde do doménového koša. Navyše niektoré školy si už požiadali o nahradenie doménového koša tromi mailovými adresami. Rozhodne je teda lepšie, požiadať o zmenu DNS záznamov aby sa pošta doručovala priamo na váš server.

Poštový server však potrebujete i v prípade, že používate doménový kôš. Odosiela sa cez neho pošta.

Hlavné nastavenia poštového servera Postfix

Otvorte vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz General Options.

Nasledujúce parametre nastavte takto:

• What domain to use in outbound mail: Use domainname
Otvorte vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz
• What domains to receive mail for: edunet-static-c.87-a-b.telecom.sk, domenaskoly.edu.sk, Server1.domenaskoly.edu.sk, localhost.domenaskoly.edu.sk, Server1.localdomain localhost.localdomain, localhost
• Internet hostname of this mail system: domenaskoly.edu.sk
• Local networks: 127.0.0.0/8, 192.168.1.0/24, 87.a.b.c

Kde domenaskoly je názov vašej domény v rámci siete EDU#net a a,b,c sú čísla IP adres, ktorú vám pridelí T-com. Server1 je názov vášho servera, ktorý ste mu dali pri inštalácii.

Nastavenie SMTP servera

Tu do poľa Restrictions on recipient nastavte obmedzenia permit_mynetworks reject_unauth_destination.

Toto nastavenie je veľmi dôležité, ak ho neurobíte, bude môcť ktokoľvek prostredníctvom vašeho servera odoslať poštu, takže sa stanete rozosielateľmi nevyžiadanej pošty - spamu, čo bude viesť k zápisu vašej adresy do tzv. Blacklistov a ostatné serveri prestanú prijímať od vás poštu.

Nakoniec stlačte tlačidlo Save and Apply.

Vytvorenie Open SSL certifikátu

Prihláste sa pomocou SSH k serveru (Ako sa pripojiť ku školskému serveru cez ssh). Zadajte príkaz, ktorý vygeneruje certifikáty.

openssl req -new -outform PEM -out ssl-cert-snakeoil.pem -newkey rsa:2048 -nodes -keyout ssl-cert-snakeoil.key -keyform PEM -days 3650 -x509 

V tomto riadku je pre vás užitočné vedieť, že hodnota 3650 je dĺžka platnosti certifikátu. Takže takto nastavenou hodnotou vygenerujeme certifikát, ktorý bude platný približne 10 rokov. Samozrejme ak sa vám zdá, že je to z hľadiska bezpečnosti príliž dlhá doba, tak môžete zvoliť menšiu hodnotu.

Na otázky odpovedajte takto:

Country name: SK
State or Provicne Name: Slovak Republic
Locality Name: Vaše mesto (v našom prípade Kremnica)
Organization Name: Názov vašej školy (v našom prípade Gymnázium)
Organization Unit Name: nechať nevyplnené (iba stlačiť enter)
Comon Nam: mail.vasadomena.edu.sk (v našom prípade mail.gymkremnica.edu.sk)
Email Address: spravca@vasadomena.edu.sk

Súbory s certifikátmi presuňte do správnych priečinkov.

sudo mv ssl-cert-snakeoil.key /etc/ssl/private/
sudo mv ssl-cert-snakeoil.pem /etc/ssl/certs/

Teraz sa znova vrátime do rozhrania Webmin otvoríme vetvu Servery a ťuknite na odkaz Postfix Mail Server. Na stránke, ktorá sa otvorí ťukneme na odkaz SMTP Authentication And Encryption.

Na nej skontrolujeme správnu cestu k certifikátom.

Nakoniec je ešte potrebné zastaviť a znova spustiť Postfix.

Rovnako skontrolujeme nastavenia certifikátov v nastaveniach Dovecot IMAP/POP3 Servera.

Nastavenie poštového klienta

Pravdepodobne najvhodnejším klientom pre poštu je Mozilla Thunderbird. Funguje rovnako dobre v operačných systémoch MS Windows i Linux.

Po inštalácii na klientskom počítači zvolíme vytvorenie nového poštového účtu.

Zadáme celé meno používateľa a jeho emailovú adresu (predpokladáme, že ste používateľské kontá na serveri už vytvorili).

Zvolíme Imap prístup a server pre príjem i odosielanie pošty nastavte ako mail.vasadomena.edu.sk (v našom prípade mail.gymkremnica.edu.sk).

Ako používateľksé meno pre príjem pošty zadajte login používateľa.

Nazov účtu môžeme nechať nezmenený.

Na ďalšej obrazovke môžeme skontrolovať správnosť údajov.

Teraz je potrebné nastaviť šifrované spojenie so serverom. Zvolte Nástroje > Nastavenie účtov (MS Windows) alebo Úpravy < Nastavenie účtov.

V ľavej časti ťukneme na Nastavenie servera a prepínač prepneme do polohy TLS, ak je k dispozícii.

Teraz v ľavej časti ťukneme na Server pre odosielanie pošty a ťukneme na tlačidlo Upraviť.

V dialógovom okne opäť prepínač nastavte do polohy TLS, ak je k dispozícii a stlačte tlačidlo OK.

Nakoniec ešte môžeme nastaviť aby Thunderbird dôveroval označenie spamu SpamAssassinom.

Po potvrdení tlačidlom OK Vás Thunderbird upozorní na certifikát a spýta sa či ho chcete akceptovať. Zvolte trvalé akceptovanie.

Pred pripojením na server sa vás Thunderbird spýta na heslo používateľa. Ak sa pripája používateľ z domáceho počítača, môžu zvoliť uloženie hesla. AK sa však pripájajú na verejnom mieste tak je potrebné používateľov poučiť aby túto možnosť nepoužili.

Ako presunuť webovú stránku z webhostingu na školský server

Každá škola má od T-comu pridelený webový priestor s veľkosťou 30MB. Niektorým školám takýto priestor nestačil, a preto si niektoré požiadali o rozšírenie webového priestoru na 100 MB. Tiež je možnosť u T-comu požiadať o dynamicky web s podporou PHP a MySQL, ich server však beží na Windows, preto o každú zmenu nastavení treba žiadať, čo je dosť nepraktické. V prípade, že ste sa rozhodli nainštalovať školský server podľa nášho návodu je celkom dobré premiestniť naň aj webovú stránku.

Pred tým, ako požiadate o zmenu DNS záznamu v T-come aby vasmu serveru pridelil verejnu IP adresu a nastavil preklad adries, je potrebné aby ste celý obsah webu presunuli z webhostingu v T-come na váš server. Je to možné urobiť tak že sa prihlásite na server (pomocou prgramu Putty alebo priamo) a spustíte Midnight Commander (dalej MC).

sudo mc 

V ľavom okne sa nastavte do priečinka /var/www.  Potom sa stlačením F9 sa dostanete do hornej ponuky, v ktorom sa nastavte na vpRavo a stlačte  kláves Enter. Zjaví sa ponuka, v ktorej vyberte FTP pripojenie.

Do okna zadajte:

login:heslo@www.vasadomena.edu.sk 

Po pripojeni oznacte vsetky priečinky a súbory vo vašom webpriestore pomocou klávesy Ins (prefarbia sa na žlto) a zvolte kopírovať stlačením F5.

Po prekopírovaní je ešte potrebné zmeniť oprávnenia na súbory aby ich mohli všetci pozerať z internetu. Vypnite panely stlačením Ctrl+o a zadajte príkaz:

chown -R www-data.www-data /var/www 

Teraz môžete otestovať či sa stránka zobrazí, ak na ľubovoľnom klientskom počítači do prehliadača zapíšete ako adresu IP adresu servera 192.168.1.1 (dve sieťové karty) alebo 10.x.y.2 (jedna sieťova karta). 

Ako zabezpečiť aby bol školský server viditeľný z internetu?

Aby bol server viditeľný z internetu, je potrebné požiadať o zmenu DNS záznamov.

Môžete tak urobiť pomocou kontaktného formuláru na stránke

http://skoly.infovek.sk

1. Na tejto stránke sa prihláste pomocou čísla školy prideleným projektom Infovek a príslušným heslom.
2. Kliknite na Formulár
3. Vyberte Žiadosť o zmenu DNS záznamu domény pod EDU.SK
4. Napíšte žiadosť takéhoto znenia:

IC: vase cislo infoveku
DOMENA: vasa doména
DNS: Presmerovanie záznamov na náš server

Pred požiadaním sa uistite, že ste vykonali všetky potrebné kroky:

• skopírovali ste svoju web stránku z webhostingu na svoj server
• definovali ste pravidlá firewallu
• vytvorili ste používateľov pre príjem pošty
• nastavili ste dns server
   
• nastavili ste poštový server

prosíme o

• pridelenie verejnej IP adresy z rozsahu 87.a.b.c
• preklad adresy z adresy 87.a.b.c na 10.x.y.2 tak aby sa web otváral priamo z nášho servera - kde x a y sú čísla vašej IP adresy v sieti internet a posledné číslo je číslo počítača vo vašej sieti (ak ste postupovali podľa nášho návodu je to 2)
• vytvorenie resp. zmenu zaznamu, tak aby www.vasadomena.edu.sk smerovala na vas server.
• vytvorenie nového záznamu mail.vasadomena.edu.sk, ktorý bude ukazovať na adresu nášho servera t.j. s 87.a.b.c pre vonkajší svet a 10.x.y.2 pre vnútornú sieť medzi školami v sieti EDUNET
• zmenu MX záznamu pre našu doménu tak, aby ukazoval na DNS meno mail.vasadomena.edu.sk (miesto vasadomena zadáte vašu doménu napr. pre nás by bola adresa mail.gymkremnica.edu.sk)
• Vypnutie DHCP na routeri CISCO
• Povolenie portov pre sužby www, https, pop3, smtp, imap, imaps, pop3s, a port 10000 (nemusíte žiadať všetky, len tie ktoré budete používať. môžete tiež žiadať i ďalšie porty, alebo ak máte server s dvoma kartami tak môžete požiadať o full trafic - v prípade iba jednej karty full trafic nie je bezpečný)

Infolinka Infoveku

tel: 0800/123369

email: infovek@telecom.sk

Ako nainštalovať webmail na školskom serveri

V prípade, že požiadate o otvorenie portov pop3, imap a smtp, používatelia si môžu nastaviť svojich emailových klientov i doma. Menej skúsený používatelia však túto možnosť nebudú využívať. Aby sme umožnili používanie mailových schránok používateľom i z domu, je potrebné použiť oveľa bežnejšiu službu internetu - WWW. Služba, ktorá umožňuje používateľom prístup ku svojim emailovým schránkam prostredníctvom služby www sa volá Webmail.

Na výber je niekoľko rozhraní. Najviac rozšírenými su tieto:

• Squirrelmail
• Open WebMail
• Horde
• RoundCube

Všetky štyri rozhrania majú i podporu slovenského jazyka. Čo sa týka ostatných parametrov tu je stručný prehľad funkcií.

Squirrelmail

Je rozhranie s dlhou tradíciou, jeho výhodou je dostupnosť veľkého množstva rozšírení. Nevýhodou je veľmi jednoducho vyzerajúce grafické rozhranie. Pri inštalácii v Ubntu sme tiež mali problém so slovenským rozhraním.

Open WebMail

Je ďalší populárne rozhranie, kvoli závažným problémom s bezpečnosťou však bolo z repozitárov Ubuntu 7.10 odstránené.

Horde

Je ďalšie z obľubených rozhraní pod Ubuntu však je jeho inštalácia dosť obtiažna.

Roundcube

Je pomerne mladé rozhranie, ktorého najväčšou výhodu je prístup cez AJAX a veľmi jednoduchá inštalácia.

Z toho čo bolo povedané je jasné, že sme si vybrali Roundcube. Tu by sme uvítali keby ste nám napísali viac i ostatných rozhraniach.

Inštalácia Roundcube

V rozhraní Webmin otvorte vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes roundcube php5-mcrypt

Počas inštalácie sa vás inštalátor spýta s akou databázou bude rouncube pracovať, tu vyberte MySQL. Potom zadajte heslo používateľa root tejto databázy a nakoniec zadajte dvakrát heslo pre novú databázu Roundcube. Spolu s Roundcube je potrebné nainľtalovaťi i modul mcrypt pre PHP, ktorý sa stará o bezpečnú komunikáciu.

Definovanie aliasu

Aby bol webmail prístupný z internetu je potrebné určiť miesto vo vašom vebe - URL adresu webmailu.

O tvorte teda vetvu Servery a ťuknite na odkaz Apache Webserver. Na stránke, ktorá sa otvorí, potom vyberte Default Server.

Na ďalšej stránke vyberte Aliases and Redirects.

Zadefinujte alias. Do prvého poľa zadajte napríklad /roundcube (alebo lubovolný iný napr /posta) a do druhého políčka zadajte skutočnú cestu k roundcube - /var/lib/roundcube/. Po vyplnení oboch polí ťuknite na tlačidlo Uložiť.

Nakoniec ešte aplikujeme nastavenia ťuknutím na na odkaz Apply Changes v pravom hornom rohu.

Teraz je možné pristúpiť k webamilu pomocu adresy http://www.vasadomena.edu.sk/roundcube/.

Definovanie predvoleného poštového servera

Ako ste si iste všimli, na stránke sa nachádzajú tri polia. Tretie pole slúži na zadanie servera. V našom prípade však je tento údaj úplne zrejmý preto upravíme konfiguráciu Roundcube.

Pomocou programu Putty sa teda prihlásime na server (alebo sa prihlásime rovno na server) spustíme MC (sudo mc) a upravíme súbor /etc/roundcube/main.inc.php (v MC stlačíme F4) a nastavíme

$rcmail_config['default_host']='vasadomena.edu.sk'

Súbor potom uložíme (F2).

Ako odfiltrovať nevyžiadanú poštu na školskom serveri

Na filtrovanie nevyžiadanej pošty alebo ak chcete SPAMu slúži program s názvom SpamAssassin.

Inštalácia

Program inštalujeme tak ako vždy. V rozhraní Webmin otvoríme vetvu Others a ťukneme na odkaz Príkazový riadok, do poľa zadáme príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadáme

sudo apt-get install -f -y --force-yes spamassassin

Klasifikácia nevyžiadanej pošty

Program SpamAssassin podľa určitých kritérií hodnotí každý email. Ak hodnotenie prekročí istú hranicu, je správa vyhodnotená ako nevyžiadaná. Štandardne je program nastavený tak, aby za nevyžiadanú poštu považoval každý mail, ktorý má známku väčšiu ako 5. Táto známka je príliš vysoká a umožňuje sem tam niektorej nevyžiadanej pošte prekĺznuť. Niektorí správcovia preto znižujú hodnotu na 2,5 no z našich skúseností - aby prešli všetky maily z konferencií "Udrzba" a "Garanti" je potrebná hodnota 3,4.

Otvoríme preto vetvu Servery a ťukneme na odkaz SpamAssassin Mail Filter. Na stránke, ktorá sa otvorí potom ťukneme na odkaz Spam Classification.

V nastaveniach prepnite prepínač Hits above which a message is considered spam a do okienka vedľa neho napíšte 3.4 (s desatinnou bodkou) a potom ťuknite na tlačidlo uložiť.

Kam s nevyžiadanou poštou?

Aby používatelia alebo postmaster mali možnosť prezrieť či SpamAssassin medzi spam náhodou nezaradil aj dajaký užitočný mail máme možnosť nastaviť aby sa nevyžiadaná pošta niekam presunula. Keďže nepredpokladáme, že máte na škole človeka, ktorý je platený za správu pošty - postmastera, odporúčame aby ste nastavili presúvanie spamu do priečinkov používateľov.

Na stránke SpamAssasina ťuknite na odkaz Procmail Spam Delivery.

Na stránke s nastaveniami potom prepneme prepínač do polohy Append to mbox-format mail file a do poľa zadáme $HOME/mail/spam.

Ak používatelia chcú mať možnosť pozrieť si spam stačí aby si vytvorili v emailovom klientovi priečinok s názvom "spam" (s malým s). Alebo to môžete urobiť za nich tak, že slovo spam dopíšete do súboru .subsriptions na serveri (napríklad pomocou MC), ktorý sa nachádza v priečinku /home/pouzivatel/mail/.

Ako nastaviť zdieľanie priečinkov na školskom serveri

Priečinky na serveri môžete zdieľať v sieti Linuxových staníc pomocou NFS a v sieti staníc MS Windows pomocou Samby.

Nastavenie zdieľania priečinkov pre stanice s operačným systémom MS Windows.

Zdieľanie priečinkov a tlačiarní v sieti so stanicami MS Windows zabezpečuje server, ktorý sa nazýva Samba.

Konverzia používateľov Linuxu do Samby

Za predpokladu, že sme už na serveri vytvorili používateľov, môžeme naimportovať používateľov do Samba servera.

Otvoríme vetvu Servery a ťukneme na odkaz Samba Windows File Sharing. Na stránke, ktorá sa otvorí ťuknite na odkaz Convert Unix users to Samba users.

V dialógu, ktorý sa otvorí môžete prepínač prepnúť do polohy Use this password a do okienka vedľa neho zadať heslo pre všetkých používateľov alebo môžete prepínač ponechať v pôvodnej polohe a heslo nastavíte neskôr pre každého používateľa zvlášť. Nakoniec stlačte tlačidlo Convert Users.

Heslá pre jednotlivých používateľov môžete nastaviť kliknutím na odkaz Edit Samba users and passwords.

Vytvorenie nového zdieľania

Na stránke ťuknite na odkaz Create a new file share.

Môžete napríklad vytvoriť zdieľanie priečinka, v ktorom je umiestnená webová stránka (ale cez rozhranie Webmin môžete vytvoriť i nový priečinok).

Na stránke nastavíme meno zdieľaného priečinka Share name - v našom prípade www. V druhom poli môžete nastaviť cestu k priečinku ktorý sa má zdielať Directory to share - v našom prípade nastavíme /var/www. Do tretieho poľa zadáme vlastníka zdieľaného priečinka Create with owner - nastavíme spravca.

Nastavenie oprávnení na zdieľaný priečinok

Najskôr ťukneme na novovytvorený priečinok.

Na stránke, ktorá sa otvorí, ťukneme na odkaz Security and Access Control.

Na stránke zabezpečenia nastavíme možnosť zápisu do priečinka Writable? na Áno. Do poľa Valid Users vložte všetkých používateľov, ktorý budú mať prístup k zdieľanému priečinku (môžete využiť tlačidlo s troma bodkami "..."). Do poľa Valid groups zasa môžete zadať skupiny používateľov. Je tiež možné určiť, ktorý používatelia a skupiny budú mať právo iba právo na čítanie (Read only users, Read only groups) a ktorí budú mať právo aj na zápis (Read/write users, Read/write groups).

Nastavenie Samby pre sieť MS Windows

Na stránke Samba Windows File Sharing klikneme na odkaz Windows Networking.

Na stránke nastavení nastavíme najskôr pracovnú skupinu Workgroup - my sme nastavili GYMKREMNICA ale vy môžete nastaviť ľubovoľnú inú, v ktorej sú počítače zoskupené, alebo do ktorej ich chcete zoskupiť. Prepínač WINS mode prepnite do polohy Be WINS server. WINS server je server prekladajúci Netbios mená na ip adresy. Inak povedané toto nastavenie zabezpečí, že server bude udržiavať zoznam dostupných počítačov v sieti, vďaka ktorému počítače uvidíte v MS Windows cez Miesta v sieti. Posledný parameter, ktorý je potrebný nastaviť je meno servera Server name - tu nastavte rovnaké meno ako pri inštalácii - v našom prípade Server1. Nezabudnite nastavenia uložiť.

Nakoniec ešte reštartujeme Samba server.

Pozor, aby boli súbory prístupné, musí sa používateľ nastaviť do MS Windows s rovnakým menom a heslom ako je nastavené v sambe.

Nastavenie zdieľania priečinkou pre stanice s operačným systémom Linux.

Pomocou samby je možné súbory zdieľať i v sieti Linux, no pomocou NFS (Network File System) si môžeme pripojiť zdieľaný priečinok ako linuxový disk napríklad pomocou tabuľky súborových systémov fstab. Takto pripojený priečinok sa potom správa ako keby bol súčasťou súborového systému lokálneho počítača.

Inštalácia NFS na serveri

Najskôr už nám dobre známym spôsobom nainštalujeme NFS.

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

apt-get install -f -y --force-yes nfs-common nfs-kernel-server

Export priečinka pre zdieľanie

Otvorte vetvu Sieť a kliknite na odkaz NFS exports. Na stránke, ktorá sa otvorí kliknite na odkaz Add a new export.

Po otvorení stránky do poľa Directory to export zadajte adresár ktorý chcete zdielať (môžete ho nalistovať pomocou tlačítka s troma bodkami). Prepínač prepnite do polohy IPv4 Network a zadajte IP adresu počítača (počítačov), ktoré budú mať k zdielanému priečinku prístup. Prepínač Read-only, ktorý obmedzuje pístup iba na čítanie môžeme ešte prepnúť od polohy Nie.

Inštalácia NFS na strane klienta

Otvoríme terminál a napíšeme:

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadáme

apt-get install -f -y --force-yes nfs-common nfs-client

Import do súborového na Linuxovej stanici.

Na počítači, na ktorom chcete naimportovať zdieľaný priečinok, otvorte súbor /etc/fstab ako používateľ root pomocou ľubovoľného - v prípade že máte Ubuntu môžete do terminálu zapísať príkaz:

sudo nano /etc/fstab

Na koniec súboru dopíšte riadok a na konci riadka stlačte enter

Server1:/programy    /home/Pouzivatel/Plocha/programy   nfs    rsize=8192,wsize=8192,timeo=14,intr 

Pozor na konci súboru musí byť jeden prázdny riadok.

Súbor uložte stlačením CTRL+o a editor ukončíte CTRL+x.

Priečinok do ktorého sa zdielaný priečinok napojí je potrebné vytvoriť - my sme ho vytvorili na ploche /home/Pouzivatel/Plocha/programy

Po reštarte počítača by mal byť priečinok namapovaný. Je ho možné namapovať i pred reštartom pomocou príkazu

 sudo mount /home/Pouzivatel/Plocha/programy 

Synchronizovanie času so školským serverom

Nastavovanie času na všetkých počítačoch na škole by asi bolo časovo dosť naročné, MS Windows má síce nastavenú internetovú adresu servera s ktorej MS windows získava čas, ale s týmto serverom je problém nadviazať spojenie. Je však možné nastaviť školský server aby poskytoval informácie o čase cez protokol NTP.

Inštalácia NTP servera

Otvorte položku Ostatné a vyberte Príkazový riadok. Do okna zadajte

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

apt-get install -f -y --force-yes ntp ntpdate

Nastavenie na klientských počítačoch

V linuxe sa čas získa automaticky. V operačnom systéme MS Windows ťukneme pravým tlačítkom myši na hodiny v oznamovacej oblasti a z kontextovej ponuky vyberieme Upraviť dátum a čas.

Klikneme na záložku Internetový čas a do poľa Server zadajte názov (ak máte nastavené DNS) alebo IP adresu nášho servera. Potom ešte môžme funkčnosť otestovať kliknutím na tlačítko aktualizovať.

Ako nainštalovať LDAP na školský server

Pozor toto nie je hotový článok. Článok dokončíme neskôr.

LDAP je - TO DO

Inštalácia LDAP na server

Najskôr musíme nainštalovať program, ktorý bude poštu preberať. Otvorte preto v rozhraní Webmin vetvu Others a ťuknite na odkaz Príkazový riadok, do poľa zadajte príkaz

sudo apt-get update

aby sa zaktualizovali informácie o dostupných balíkoch a potom zadajte

sudo apt-get install -f -y --force-yes slapd libnet-ldap-perl

Inštalácia nástroja na správu LDAP

sudo apt-get install -f -y --force-yes phpldapadmin

Prihlásenie sa do phpLDAPadmin

Ako login zadajte nasledovné

 cn=admin,dc=domenaskoly,dc=edu,dc=sk

miesto domenaskoly samozrejme zadate vasu doménu vrámci siete EDUnet.

Ako heslo zadate vase heslo, ktore ste nastavili pri instalacii LDAP a stlacíte tlacidlo Authenticate.

Vytvorenie nových záznamov v LDAP

TO DO

Inštalácia na klientoch s os linux (ubuntu, debian)

sudo apt-get install libpam-ldap libnss-ldap nss-updatedb 

Balík libpam-ldap umožňuje autentifikáciu cez LDAP, libnss-ldap umožňuje získať z LDAP informácie o sedení a nss-updatedb umožňuje dočasné lokálne ukladanie databázy aby sa nezahlcovala sieť.

Počas inštalácie dostanete niekoľko otázok:

Shold debconf manage LDAP configuration? Odpovedzete Nie

URI adresa LDAP servera: Zadajte server1.domenaskoly.edu.sk kde domenaskoly je meno vasej domeny v rámci #EDUnet

Distinguishe name of the search base: Zadajte dc=domenaskoly, dc=edu, dc=sk

Verzia LDAP: ponechajte 3

Make local root databaze admin? (Urobiť lokálneho správcu správcom databázy?) Odpovedzte Nie

Does LDAP database require login? (Potrebuje databáza login?) Odpvedzte Nie

Konfigurácia klientov

Konfigurácia spočíva v troch krokoch

1. Konfigurácia Name Service,
2. konfigurácia PAM,
3. nastavenie dočasného ukladania pričinkov Name Service (voliteľné).

Ubuntu 7.10 má nástroj, ktorým sa dajú prvé dva kroky urobiť zadaním takéhoto príkazu:

sudo auth-client-config -a -p lac_ldap 

Tu sa o nástroji dozviete viac https://wiki.ubuntu.com/AuthClientConfig

Pre staršie verzie Ubuntu a Debianu platí toto:

Konfigurácia Name Service

Pozor tento súbor needitujte ako sudo

V súbore /etc/nsswitch.conf nahraďte compat s files ldap tak aby oba riadky vyzerali takto:

passwd:         files ldap
group:          files ldap

To znamená:

• Najskôr pozri lokálne uložené loginy (/etc/passwd a /etc/group),

• ak nenájdeš zodpovedajúci login, použi LDAP.

Pozor BUG: Presvedčte sa či je v súbore /etc/libnss-ldap.conf alebo v novšej verzii ldapu v súbore /etc.ldap.conf nastavený parameter: bind_policy soft. Ak tam nie je spôsobí to zamrznutie pri štarte systému, tak ho tam dopíšte.

Konfigurácia PAM

PAM používa na kontrolu LDAP štyri centrálne súbory: common-account, common-auth, common-password a common-session. Všetky sa nachádzajú v priečinku /etc/pam.d.

Upravte súbor /etc/pam.d/common-account aby vyzeral takto:

account sufficient      pam_ldap.so
account required        pam_unix.so

Upravte súbor /etc/pam.d/common-auth aby vyzeral takto:

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure use_first_pass

Upravte /etc/pam.d/common-password aby vyzeral takto:

password        sufficient      pam_ldap.so
password        required        pam_unix.so nullok obscure min=4 max=8 md5

Nastavenie dočasného ukladania pričinkov Name Service.

Tento krok je voliteľný a odporúčame ho robiť iba pri pomalej sieti alebo pri veľkom počte počítačov.

Aby sme predišli spomaleniu siete a urýchlili prihlásenie, môžeme použiť balíček nss-updatedb na vytvorenie lokálnej databázy používateľských mien. Najskôr teda vytvoríme lokálnu databázu a potom nastavíme intervali v akýc sa bude aktualizovať.

Takže zadajte

sudo nss_updatedb ldap

Týmto sa vytvorí databáza v priečinku /var/lib/misc/.

Teraz vytvoríme script, ktorý bude databázu automaticky aktualizovat.

Vytvoríme script nssupdate.sh v priečinku /etc/cron.hourly/ a natavíme ho spustiteľným. Mal by obsahovať toto:

#!/bin/bash
LOCK=/var/run/auth-update.cron
[ "$1" != "0" ] && [ -f $LOCK ] && [ -d /proc/"$(cat $LOCK)" ] && exit 0
echo $$ > $LOCK
RANGE=3600
[ "$1" != "" ] && RANGE=$1
SLEEP=$RANDOM
[ "$RANGE" != "0" ] && let "SLEEP %= $RANGE" || SLEEP=0
sleep $SLEEP
go=true
while $go; do
/usr/sbin/nss_updatedb ldap
[ $? -eq 0 ] && go=false
[ "$go" == "true" ] && sleep 10
done
rm $LOCK
exit 0

Aby sa dočasne uložené dáta začali používať upravme súbor edit /etc/nsswitch.conf, aby vyzeral takto:

passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db

To znamená:

• Najskôr pozri lokálne uložené loginy (/etc/passwd a /etc/group),

• ak nenájdeš zodpovedajúci login, použi LDAP,

• ak nie je zodpovedajúci login v LDAP, skonči a neurob nič ([NOTFOUND=return]),

• ak nie je LDAP dostupný, použi dočasnú databázu.

Konfigurácia Samby a klientov Windows

TO DO

Podpora

Existuje niekoľko rôznych druhov podpory edície Ubuntu Server. Komerčná podpora a podpora komunity. Hlavná komerčná podpora (a platený vývoj) je k dispozícii od spoločnosti Canonical Ltd. Spoločnosť poskytuje zmluvnú komerčnú podporu pre každý desktop alebo na server. Viac informácií získate na adrese Canonical Services.

Podpora komunity je poskytovaná zanietenými spoločnosťami a jednotlivcami, ktorí chcú urobiť z Ubuntu najlepšiu možnú distribúciu. Podpora je poskytovaná prostredníctvom rôznych emailových konferencií, IRC kanalov, fór, wiki stránok, atď. Veľké množstvo dostupných informácií môže byť spracované vyhľadávačmi, ktoré zvyčajne poskytnú správne odpovede na vaše otázky. Viac informácii sa nachádza na stránke Podpora Ubuntu.

Príprava na inštaláciu

Táto časť hovorí o rôznych aspektoch, ktoré je potrebné zvážiť pred začatím inštalácie.

Rozdiely medzi vydaniami Server a Desktop

Existuje niekoľko rozdielov medzi vydaniami Ubuntu Server Edition (vydanie určené pre servery) a Ubuntu Desktop Edition (vydanie určené stolné počítače). Je potrebné poznamenať, že obe verzie používajú rovnaké apt zdroje softvéru. Takže je rovnako jednoduché nainštalovať serverové aplikácie vo vydaní Desktop Edition, ako aj vo vydaní Server Edition.

Rozdiely medzi oboma vydaniami je ten, že vo vydaní Server Edition nie je grafické prostredie X window, ďalej v inštalačnom procese a v tom, že používajú rozdielne jadrá Kernel.

Rozdiely v jadrách:

• Vydanie Server Edition používa V/V plánovač Deadline miesto plánovača CFQ, ktorý používa vydanie Desktop Edition.
• Vo vydaní Server Edition je vypnutá Preempcia.
• Frekvencia prerušení časovača je vo vydaní Server Edition 100Hz a vo vydaní Desktop Edition 250Hz.

	Ak ste sa rozhodli použiť 64-bitovú verziu Ubuntu pre 64-bitové procesory, nebudete obmedzený adresným priestorom pamäte.

Ak chceme vidieť všetky nastavenia jadra, môžeme ich nájsť v súbore /boot/config-2.6.31-server. Stránka v anglickom jazyku Linux Kernel in a Nutshell je tiež výborným zdrojom, kde sa dá dozvedieť viac o nastaveniach jadra.

Inštalácia z CD

Základné kroky inštalácie vydania Ubuntu Server Edition z CD sú rovnaké ako pri inštalovaní ktoréhokoľvek iného operačného systému z CD. Na rozdiel od vydania Desktop Edition, vydanie Server Edition neobsahuje grafický inštalačný program. Vydanie Server Edition miesto neho používa textový režim.

	Ak nie ste v akomkoľvek bode inštalácie spokojný s predvoleným nastavením, použite "Vrátiť späť" a získate detailnú inštalačnú ponuku, ktorá Vám umožní upraviť predvolené nastavenia.

Na niektorých miestach v inštalačnom procese si môžeme vyvolať pomocníka poskytovaného inštalačným systémom. Ak tak chceme urobiť, stlačíme F1.

Znovu zdôrazňujeme, že detailnejšie inštrukcie sa nachádzajú na stránke Inštalačná príručka Ubuntu.

Súčasti systému

Počas inštalácie vydania Server Edition sa nám zobrazí možnosť nainštalovať ďalšie súčasti z CD. Balíky súčastí sú zoskupené podľa typu služby, ktoré poskytujú.

• Cloud computing: Walrus storage service  - služba poskytujúca úložisko

• Cloud computing: all-in-one cluster - klaster typu všetko v jednom

• Cloud computing: Cluster controller - Správca klastra

• Cloud computing: Node controller - Správca uzla

• Cloud computing: Storage controller - Správca úložiska

• Cloud computing: top-level cloud controller - Hlavný správca mraku

• DNS server: Vyberie BIND DNS server a jeho dokumentáciu.  

• LAMP server: Vyberie zostavu Linux/Apache/MySQL/PHP server. 

• Mail server: Táto súčasť vyberie rôzne užitočné balíčky pre bežne používaný poštový server. 

• OpenSSH server: Vyberie balíčky potrebné pre OpenSSH server. 

• PostgreSQL databáza: Táto súčasť vyberie balíčky klienta a servera databázy PostgreSQL. 

• Print server: Táto súčasť nastaví systém ako tlačový server. 

• Samba File server: Táto súčasť nastaví váš systém tak, aby sa stal súborovým serverom Samba, čo je užitočné najmä v sieťach s kombináciou systémov Windows a Linux. 

• Tomcat server: Nainštaluje Apache Tomcat a ďalšie potrebné súčasti Java, gcj, atď. 

• Virtual machine host: Obsahuje balíčky potrebné pre spustenie virtuálnych počítačov KVM.

• Ručný výber balíčkov: Spustí nástroj apptitude umožňujúci vybrať balíčky jednotlivo.

Inštalovanie skupín balíčkov je vykonávané pomocou nástroja tasksel. Jeden z najvýznamnejších rozdielov medzi Ubuntu (alebo Debianom) a ostatnými GNU/Linux distribúciami je to, že inštalované balíky sa zároveň nakonfigurujú pomocou rozumných predvolených hodnôt, poprípade si vyžiadajú potrebné informácie. Preto, keď inštalujeme súčasť, balíky sa nielen nainštalujú, ale i nakonfigurujú tak, aby poskytovali ucelenú službu.

Viac informácií o Výpočtovom mraku (Cloud Computing) sa nachádza v časti UEC.

Po ukončení inštalačného procesu môžeme zobraziť zoznam dostupných súčastí zadaním nasledujúceho príkazu do príkazového riadka:

tasksel --list-tasks

	Výstup zobrazí zoznam súčastí z iných distribúcií založených na Ubuntu ako napríklad Kubuntu a Edubuntu. Príkaz tasksel môžete spustiť aj bez parametrov, čím sa otvorí ponuka rôznych dostupných súčastí.

Zoznam balíčkov, ktoré boli nainštalované danou súčasťou môžeme zobraziť zadaním parametra --task-packages. Napríklad, ak chceme zobraziť zoznam balíčkov nainštalovaných súčasťou DNS Server, zadáme toto:

tasksel --task-packages dns-server

Výstupom príkazu by mal byť zoznam:

bind9-doc
bind9

Takže ak sme nenainštalovali niektorú zo súčastí počas inštalácie systému, a neskôr sme zistili, že pre nový LAMP server potrebujeme aj DNS server, jednoducho vložíme CD a zadáme príkaz:

sudo tasksel install dns-server

Prechod na novú verziu

Existuje niekoľko spôsobov ako prejsť zo staršej verzie Ubuntu na novšiu. Táto časť poskytuje prehľad odporúčaných metód.

Odporúčaným spôsobom, ako prejsť na novšiu verziu vydania Server Edition, je použite nástroja do-release-upgrade. Je to časť balíka update-manager-core, ktorá nemá žiadne grafické závislosti a je súčasťou základnej inštalácie.

Systémy založené na Debiane môžu byť tiež aktualizované pomocou príkazu apt-get dist-upgrade. Avšak je odporučené použiť príkaz do-release-upgrade, pretože dokáže vykonať zmenu konfigurácie systému, ktorá je niekedy potrebná pri prechode na novšiu verziu.

Ak chceme prejsť na novú verziu, do príkazového riadka zadáme príkaz:

do-release-upgrade

Pomocou príkazu do-release-upgrade je tiež možné prejsť na vývojovú verziu Ubuntu. Ak to chceme urobiť, použijeme prepínač -d:

do-release-upgrade -d

	Prechod na vývojovú verziu nie je odporúčaný pri ostrej prevádzke.

Pokročilá inštalácia

Softvérový RAID

RAID je metóda, akou sa nastavuje viacero pevných diskov tak, aby sa správali ako jeden, pričom sa redukuje pravdepodobnosť katastrofickej straty dát pri zlyhaní disku. RAID je implementovaný buď ako softvérový (keď operačný systém vie o oboch diskoch a aktívne oba spravuje) alebo hardvérový (keď špeciálny radič vytvorí dojem, že v systéme je iba jeden disk a jednotlivé disky spravuje bez toho, aby o tom vedel operačný systém).

Softvérový RAID zahrnutý v aktuálnych verziách Linuxu (a Ubuntu) je založený na ovládači 'mdadm'  a pracuje veľmi dobre, lepšie ako niektoré takzvané 'hardverové' RAID radiče. Táto časť vás prevedie inštaláciou vydania Ubuntu Server s použitím dvoch diskových oddielov RAID1 na dvoch fyzických diskoch, jedného oddielu pre / a druhého pre swap. 

cat /proc/mdstat

Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10] 
md0 : active raid1 sda1[0] sdb1[1]
      10016384 blocks [2/2] [UU]
      
unused devices: <none>

watch -n1 cat /proc/mdstat

sudo grub-install /dev/md0

Úvod

Systém správy balíkov Ubuntu je odvodený od rovnakého, ako používa GNU/Linux distribúcia Debian. Súbory balíkov obsahujú všetky potrebné súbory, metadáta a inštrukcie pre implementáciu jednotlivých funkcionalít alebo softvérových aplikácií pre náš počítač. 

Súbory balíkov Debianu majú väčšinou príponu '.deb' a sú väčšinou uložené v Zdrojoch softvéru (repozitároch), ktoré predstavujú zbierku balíkov nachádzajúcich sa na rôznych médiách ako napríklad disky CD-ROM alebo Internet. Balíky sú väčšinou prekompilované do binárneho tvaru, preto je ich inštalácia rýchla a nevyžadujú ďalší softvér pre kompilovanie softvéru.

Mnoho komplexnejších balíkov používa koncept závislostí. Závislosti sú prídavné baliky, ktoré sú požadované hlavným balíkom k tomu, aby správne fungoval. Napríklad balík pre syntézu hlasu Festival závisí od balíka libasound2, čo je balík obsahujúci zvukovú knižnicu ALSA, ktorá je potrebná na prehrávanie zvuku. Aby Festival správne fungoval, musí byť tento balík a ostatné závislé balíky nainštalované. Systém správy balíkov Ubuntu to urobí automaticky.

dpkg

dpkg je správca balíkov pre systémy postavené na Debiane. Umožňuje inštalovať, odstraňovať a zostavovať balíky, ale na rozdiel od ostatných systémov na správu balíkov nemôže automaticky sťahovať a nainštalovať balíky a ich závislosti. Táto časť príručky hovorí o tom, ako sa dá dpkg využiť na správu lokálne nainštalovaných balíkov:

Viac o možnostiach dpkg sa dozvieme na stránkach man: man dpkg.

Apt-Get

Príkaz apt-get je mocný nástroj príkazového riadka, ktorý pracuje s Advanced Packaging Tool (APT) - rozšíreným balíkovacím nástrojom a vykonáva také funkcie ako inštalovanie nových softvérových balíkov, aktualizáciu existujúcich softvérových balíkov, aktualizáciu zoznamu balíkov a dokonca aj prechod na novú verziu celého systému Ubuntu.

Vďaka tomu, že sa jedná o jednoduchý nástroj príkazového riadka, apt-get poskytuje správcom servera mnoho výhod oproti ostatným nástrojom na správu balíkov. Niektoré z výhod sú napríklad jednoduché použitie pri terminálovom (SSH) pripojení a možnosť použitia v skriptoch, čo umožňuje jeho automatické naplánované spúšťanie pomocou nástroja cron.

Príklady najčastejšieho použitia nástroja apt-get:

Akcie príkazu apt-get ako inštalovanie a odstraňovanie balíkov súzaznamenávané do súboru /var/log/dpkg.log.

Ďalšie informácie o používaní APT sa dozvieme v anglickom jazyku na stránke Debian APT User Manual alebo zadaním:

apt-get help

Aptitude

Aptitude je nadstavba systému Advanced Packaging Tool (APT) s textovým rozhraním. Poskytuje mnoho funkcií na správu balíkov, ako inštalovanie, odstraňovanie a aktualizovanie, ktoré sa väčšinou vykonávajú stlačením jedného malého písmena.

Nástroj Aptitude je prispôsobený na použitie v textovom prostredí terminálu, aby správne fungovali všetky kľúčové príkazy. Aptitude môžeme spustiť zadaním nasledujúceho príkazu do príkazového riadka:

sudo aptitude

Po spustení Aptitude uvidíme ponuku v hornej časti obrazovky a dve ďalšie časti okna pod ním. Horná časť obsahuje kategórie balíkov ako napríklad Nové balíky alebo Nenainštalované balíky. Dolná časť obsahuje informácie, ktoré sa vzťahujú na balíky a kategórie balíkov.

Používanie Aptitude na správu balíkov je relatívne jednoduché, pretože používateľské rozhranie umožňuje jednoducho vykonať bežné úlohy.  Nasledujúce príklady demonštrujú, ako sa tieto bežné úlohy spojené so správou balíkov dajú urobiť pomocou Aptitude:

Pri prezeraní zoznamu balíkov vo vrchnej časti okna je v prvom stĺpci zobrazený aktuálny stav balíka, ktorý môže obsahovať tieto skratky opisujúce stav balíka:

Ak chceme ukončť Aptitude, jednoducho stlačíme na klávesnici q a potvrdíme, že chceme skončiť. V ponuke Aptitude sa nachádza mnoho ďalších funkcií, vyvoláme ju stlačením F10 na klávesnici.

Automatická aktualizácia

Balík unattended-upgrades môžeme použiť na automatickú inštaláciu aktualizovaných balíkov. Môžeme ho nastaviť tak, aby aktualizoval všetky balíky alebo iba inštaloval bezpečnostné aktualizácie. Nainštalujeme ho zadaním príkazu do príkazového riadka:

sudo apt-get install unattended-upgrades

Nástroj unattended-upgrades sa konfiguruje pomocou súboru /etc/apt/apt.conf.d/50unattended-upgrades. Otvoríme ho a upravíme nasledujúce nastavenia tak, ako potrebujeme:

Unattended-Upgrade::Allowed-Origins {
        "Ubuntu jaunty-security";
//      "Ubuntu jaunty-updates";
};

Niektoré balíky môžeme dať na čiernu listinu, aby sa neaktualizovali automaticky. Ak chceme zakázať automatickú aktualizáciu niektorého balíka, dopíšeme ho do zoznamu:

Unattended-Upgrade::Package-Blacklist {
//      "vim";
//      "libc6";
//      "libc6-dev";
//      "libc6-i686";
};

	Dve lomítka “//” znamenajú poznámku, čokoľvek za "//" sa nebude spracovávať.

Keď chceme povoliť automatické aktualizácie, otvoríme súbor /etc/apt/apt.conf.d/10periodic a nastavíme príslušné konfiguračné voľby apt:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Predchádzajúca konfigurácia aktualizácii zoznamu balíkov určuje, že sa dostupné aktualizácie stiahnu a nainštalujú každý deň. Lokálne stiahnuté archívy sa vymažú každý týždeň.

Viac informácií o konfigurácii periodických volieb apt sa nachádza v hlavičke sktiptu /etc/cron.daily/apt.

Výstupy unattended-upgrades budú zaznamenávané do súboru /var/log/unattended-upgrades.

sudo apt-get install apticron

EMAIL="spravca@nieco.sk"

Nastavenie zdrojov softvéru

Konfigurácia zdrojov softvéru systému Advanced Packaging Tool (APT) je uložená v súbore /etc/apt/sources.list. V tejto časti si ukážeme, ako sa do tohto súboru pridávajú a odstraňujú zdroje softvéru.

Jednoduchý príklad súboru /etc/apt/sources.list nájdete na tejto stránke príklad konfiguračného súboru APT.

Súbor môžeme otvoriť a pridať alebo odobrať zdroje softvéru. Napríklad, ak chceme vypnúť požiadavku na vloženie Ubuntu CD-ROM disku, ktorá sa zjavuje pri operáciách s balíkmi, jednoducho zapoznámkujeme príslušný riadok pre CD-ROM, ktorý sa nachádza hneď na začiatku tohto súboru:

# no more prompting for CD-ROM please
# deb cdrom:[Ubuntu 10.04_Lucid_Lynx - Release i386 (20070419.1)]/ lucid main restricted

Ako dodatok ku oficiálnym zdrojom podporovaných balíkov pre Ubuntu existujú prídavné, komunitami spravované zdroje softvéru, ktoré môžu pridať tisíce ďalších balíkov. Dva najpopulárnejšie zdroje softvéru sú Universe a Multiverse. Tieto zdroje nie sú oficiálne podporované Ubuntu, ale pretože sú spravované komunitou, poskytujú balíky, ktoré môžeme bezpečne používať na našom počítači.

	Balíky v zdroji Multiverse majú často licenčné obmedzenia, ktoré bránia v ich distribúcii spolu so slobodným operačným systémom, a ich použitie je v niektorých krajinách nelegálne.

	Upozorňujeme, že ani jeden zo zdrojov Universe a Multiverse neobsahujú oficiálne podporované balíky. Preto pre tieto balíky nemusia byť dostupné bezpečnostné aktualizácie.

Existuje ešte mnoho ďalších dostupných zdrojov, z ktorých niektoré obsahujú len jeden balík, napríklad ak ho poskytuje vývojár vyvýjajúci iba jednu aplikáciu. Pred použitím takéhoto neštandardného zdroja by sme mali byť vždy veľmi opatrní. Pred použitím takéhoto zdroja je potrebné dôkladne preskúmať zdrojové kódy jeho balíkov, pretože takéto balíky môžu spôsobiť nestabilitu alebo nefunkčnosť nášho systému.

V základnom stave sú zdroje softvéru Universe a Multiverse zapnuté, ale ak ich chcete vypnúť, zakomentujte v súbore /etc/apt/sources.list tieto riadky:

deb http://archive.ubuntu.com/ubuntu lucid universe multiverse
deb-src http://archive.ubuntu.com/ubuntu lucid universe multiverse

deb http://sk.archive.ubuntu.com/ubuntu/ lucid universe
deb-src http://sk.archive.ubuntu.com/ubuntu/ lucid universe
deb http://sk.archive.ubuntu.com/ubuntu/ lucid-updates universe
deb-src http://sk.archive.ubuntu.com/ubuntu/ lucid-updates universe

deb http://sk.archive.ubuntu.com/ubuntu/ lucid multiverse
deb-src http://sk.archive.ubuntu.com/ubuntu/ lucid multiverse
deb http://sk.archive.ubuntu.com/ubuntu/ lucid-updates multiverse
deb-src http://sk.archive.ubuntu.com/ubuntu/ lucid-updates multiverse

deb http://security.ubuntu.com/ubuntu lucid-security universe
deb-src http://security.ubuntu.com/ubuntu lucid-security universe
deb http://security.ubuntu.com/ubuntu lucid-security multiverse
deb-src http://security.ubuntu.com/ubuntu lucid-security multiverse

Zdroje

Väčšina informácií, ktoré sme použili v tejto kapitole, je dostupná na stránkach man a veľa je tiež dostupných online.

Sieťové nastavenia

Ubuntu sa dodáva s množstvom grafických nástrojov, ktoré konfigurujú sieťové zariadenia. Tento dokument je určený pre správcov servera a zameriava sa na správu siete cez príkazový riadok.

Ethernetové rozhrania

Ethernetové rozhrania systém rozlišuje podľa dohodnutého označovania ethX, kde X predstavuje číselnú hodnotu. Prvé ethernetové rozhranie sa zvyčajne označuje eth0, druhé eth1 a ďalšie by mali mať nasledujúcu hodnotu v poradí.

Rozpoznanie ethernetových rozhraní

Na rýchle rozpoznanie všetkých dostupný ethernetových rozhraní môžeme použiť príkaz ifconfig.

ifconfig -a | grep eth
eth0      Link encap:Ethernet  HWaddr 00:15:c5:4a:16:5a

Ďalšou aplikáciou, ktorá nám môže pomôcť rozpoznať všetky dostupné sieťové rozhrania, je lshw. V nasledujúcom príklade príkaz lshw zobrazil jedno ethernetové rozhranie s logickým názvom eth0 spolu s informáciami o zbernici, podrobnosťami o ovládači a všetkých podporovaných funkciách.

sudo lshw -class network

 *-network
       description: Ethernet interface
       product: BCM4401-B0 100Base-TX
       vendor: Broadcom Corporation
       physical id: 0
       bus info: pci@0000:03:00.0
       logical name: eth0
       version: 02
       serial: 00:15:c5:4a:16:5a
       size: 10MB/s
       capacity: 100MB/s
       width: 32 bits
       clock: 33MHz
       capabilities: (snipped for brevity)
       configuration: (snipped for brevity)
       resources: irq:17 memory:ef9fe000-ef9fffff

Logické názvy ethernetových rozhraní

Názvy logických rozhraní sú nastavené v súbore /etc/udev/rules.d/70-persistent-net.rules. Keď chceme určiť, ktoré zariadenie dostane určitý logický názov, nájdeme zodpovedajúce rozhranie podľa fyzickej MAC adresy a upravíme hodnotu NAME=ethX na požadované logické meno. Aby sa zmeny prejavili, reštartujeme systém.

SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:15:c5:4a:16:5a", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:15:c5:4a:16:5b", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*", NAME="eth1"

Nastavenia ethernetového rozhrania

ethtool je program, ktroý zobrazuje zmeny v nastaveniach ethernetovej karty ako napríklad automatické zladenie (auto-negotiation), rýchlosť portu, duplexný režim a zapnutie cez sieť (Wake-on-LAN). Program v predvolenom stave nie je nainštalovaný, ale dá sa doinštalovať z úložísk.

sudo apt-get install ethtool

V nasledujúcej ukážke môžeme vidieť, ako si môžeme na ethernetovom rozhraní pozrieť podporované funkcie a nakonfigurované nastavenia.

sudo ethtool eth0
Settings for eth0:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full 
                                100baseT/Half 100baseT/Full 
                                1000baseT/Half 1000baseT/Full 
        Supports auto-negotiation: Yes
        Advertised link modes:  10baseT/Half 10baseT/Full 
                                100baseT/Half 100baseT/Full 
                                1000baseT/Half 1000baseT/Full 
        Advertised auto-negotiation: Yes
        Speed: 1000Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 1
        Transceiver: internal
        Auto-negotiation: on
        Supports Wake-on: g
        Wake-on: d
        Current message level: 0x000000ff (255)
        Link detected: yes

Zmeny, ktoré vykonáme pomocou príkazu ethtool sú dočasné a po reštarte počítača sa stratia. Ak chceme zmeny zachovať, stačí ak do konfiguračného súboru rozhraní /etc/network/interfaces pridáme požadovaný príkaz ethtool za príkaz pre-up.

Nasledujúci príklad hovorí, ako môžeme rozhranie identifikované ako eth0 trvalo nastaviť tak, aby rýchlosť jeho portu bola 1000Mb/s a aby pracovalo v režime full duplex.

auto eth0
iface eth0 inet static
pre-up /usr/sbin/ethtool -s eth0 speed 1000 duplex full

	Aj keď sme v predchádzajúcom príklade použili rozhranie staticky nastavené rozhranie, tento príkaz funguje aj s inak nastaveným rozhraním, ako napríklad DHCP. Príklad iba demonštruje správne umiestnenie príkazu pre-up vzhľadom na zvyšok konfigurácie rozhrania.

Nastavenie IP adries

Nasledujúca časť opisuje proces konfigurácie IP adresy a predvolenej brány v systéme, čo sú nastavenia potrebné na komunikáciu s lokálnou sieťou a Internetom.

Dočasné nastavenie IP adresy

Na dočasnú konfiguráciu siete, môžeme použiť bežné príkazy ako ip, ifconfig a route, ktoré sa nachádzajú vo väčšine operačných systémov GNU/Linux. Tieto príkazy umožňujú konfigurovať nastavenia, ktoré sa prejavia okamžite, avšak nepretrvajú navždy a po reštartovaní počítača sa stratia.

Keď chceme IP adresu nastaviť iba dočasne, môžeme použiť príkaz ifconfig nasledujúcim spôsobom. Zmeníme iba IP adresu a masku podsiete aby súhlasila s požiadavkami siete.

sudo ifconfig eth0 10.0.0.100 netmask 255.255.255.0

Aby sme preverili správnosť nastavenia IP adresy na eth0, môžeme opäť použiť príkaz ifconfig nasledujúcim spôsobom.

ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:15:c5:4a:16:5a  
          inet addr:10.0.0.100  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::215:c5ff:fe4a:165a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:466475604 errors:0 dropped:0 overruns:0 frame:0
          TX packets:403172654 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2574778386 (2.5 GB)  TX bytes:1618367329 (1.6 GB)
          Interrupt:16 

Keď chceme zmeniť predvolenú bránu, použijeme príkaz route nasledujúcim spôsobom. Upravíme adresu predvolenej brány tak, aby súhlasila s požiadavkami siete.

sudo route add default gw 10.0.0.1 eth0

Aby sme overili nastavenie predvolenej brány, opäť použijeme príkaz route nasledujúcim spôsobom.

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     1      0        0 eth0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0

Ak kvôli dočasnému nastaveniu siete potrebujeme zmeniť aj DNS servery, môžeme IP adresy DNS serverov pridať do súboru /etc/resolv.conf. Nasledujúci príklad zobrazuje, ako môžeme do súboru /etc/resolv.conf zadať adresy dvoch DNS serverov, kroté si môžeme zmeniť na adresy serverov potrebných pre našu sieť. Detailnejší popis nastavení DNS klienta sa nachádza v nasledujúcej časti.

nameserver 8.8.8.8
nameserver 8.8.4.4

Ak už naďalej nepotrebujeme túto konfiguráciu a chceme ju z rozhrania odstrániť, môžeme použiť príkaz ip s voľbou flush tak, ako sme to uviedli nižšie.

ip addr flush eth0

	Odstránenie IP konfigurácie pomocou príkazu ip nezmaže obsah súboru /etc/resolv.conf. Záznamy v tomto súbore musíte odstrániť alebo zmeniť ručne.

Pridelenie dynamickej IP adresy (DHCP klient)

Keď chceme nastaviť server tak, aby využil DHCP na dynamické nastavenie adresy, pridáme dhcp za príkaz intet na príslušnom rozhraní v súbore /etc/network/interfaces. Nasledujúci príklad predpokladá, že prvé ethernetové rozhranie sa volá eth0.

auto eth0
iface eth0 inet dhcp

Po pridaní predchádzajúcej konfigurácie rozhrania, môžeme ručne zapnúť rozhranie pomocou príkazu ifup, ktorý inicializuje DHCP proces prostredníctvom príkazu dhclient.

sudo ifup eth0

Ak chceme rozhranie ručne vypnúť, použijeme príkaz ifdown, ktorý následne inicializuje uvoľňovací DHCP proces a vypne rozhranie.

sudo ifdown eth0

Pridelenie statickej IP adresy

Keď chceme nastaviť v našom systéme statickú IP adresu, pridáme za príkaz inet zápis static na príslušnom rozhraní v súbore /etc/network/interfaces. Nasledujúcim príkazom nastavíme naše prvé ethernetové rozhranie s názvom eth0. Adresu, sieťovú masku a bránu zmeníme na hodnoty, ktoré potrebujeme v našej sieti.

auto eth0
iface eth0 inet static
address 10.0.0.100
netmask 255.255.255.0
gateway 10.0.0.1

Po pridaní predchádzajúcej konfigurácie môžeme rozhranie ručne zapnúť pomocou príkazu ifup.

sudo ifup eth0

Keď chceme rozhranie ručne vypnúť, použijeme príkaz ifdown.

sudo ifdown eth0

Rozhranie spätnej väzby - Loopback

Rozhranie spätnej väzby sa v systéme volá lo a v predvolenom stave má pridelenú IP adresu 127.0.0.1. Môžeme si ho prezrieť pomocou príkazu ifconfig.

ifconfig lo

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2718 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2718 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:183308 (183.3 KB)  TX bytes:183308 (183.3 KB)

V predvolenom stave sú v súbore /etc/network/interfaces dva riadky, ktoré rozhranie spätnej väzby automaticky nastavia. Odporúča sa, aby sme tieto riadky ponechali, pokiaľ nemáme konkrétny dôvod toto nastavenie zmeniť. Spomínané dva riadky sa nachádzajú v nasledujúcom príklade.

auto lo
iface lo inet loopback

Preklad názvov

Preklad názvov týkajúci sa internetových sietí je proces priradenia číselných IP adries k menným adresám hostiteľských staníc, aby bolo pre človeka jednoduchšie určiť sieťový zdroj. Nasledujúca časť hovorí o tom, ako správne nakonfigurovať systém tak, aby prekladal adresy pomocou systému DNS a statických záznamov o hostiteľských staniciach.

Konfigurácia DNS klienta

Keď chceme nakonfigurovať systém tak, aby na preklad adries použil systém DNS, pridáme IP adresy DNS serverov vhodných pre našu sieť, do súboru /etc/resolv.conf. Môžeme tiež voliteľne za príkaz search pridať DNS príponu, ktorá sa bude automaticky pridávať ku skráteným názvom staníc našej siete.

Nasledujúci príklad predstavuje typickú konfiguráciu v súbore /etc/resolv.conf pre server v doméne "nieco.sk", ktorý používa na preklad adries dva verejné DNS servery.

search nieco.sk
nameserver 8.8.8.8
nameserver 8.8.4.4

Voľba search sa dá použiť aj pre viacero domén, ktoré sa budú postupne pridávať k DNS požiadavkám v tom poradí, v akom sú zadané. Napríklad môže mať naša doména niekoľko poddomén - hlavná doména bude nieco.sk, a dve poddomény budú predaj.nieco.sk a vyvoj.nieco.sk.

Pri viacerých doménach naša konfiguráciu môžeme zapísať nasledujúcim spôsobom.

search nieco.sk predaj.nieco.sk vyvoj.nieco.sk
nameserver 8.8.8.8
nameserver 8.8.4.4

Ak sa pokúsime cez sieť osloviť hostiteľskú stanicu s názvom server1, systém DNS požiadavku bude automaticky doplňovať na tzv. Fully Qualified Domain Name (FQDN) - úplnú doménovú adresu v nasledujúcom poradí:

1. server1.nieco.sk

2. server1.predaj.nieco.sk

3. server1.vyvoj.nieco.sk

Ak DNS server nenájde ani jednu z týchto adries, na DNS požiadavku odpovie chybovým hlásením.

Statické záznamy o hostiteľských staniciach

Statické záznamy o hostiteľských staniciach sú je lokálne uložený zoznam priradení menných adries k číselným IP adresám, ktorý je uložený v súbore /etc/hosts. Záznamy v súbore hosts majú v predvolenom stave prednosť pred DNS. To znamená, že ak sa systém pokúša preložiť mennú adresu a nájde záznam v súbore /etc/hosts, nebude sa ďalej pokúšať nájsť záznam v systéme DNS. V niektorých prípadoch (najmä ak nie je nutné pripojenie na Internet) sa servery, ktoré komunikujú s obmedzeným počtom staníc, zvyčajne nastavujú pomocou statických záznamov a nie pomocou DNS.

V nasledujúcom príklade súboru hosts je niekoľko adries lokálnych serverov, pre ktoré sú v súbore definované jednoduché názvy spolu s aliasmi a ich úplnými doménovými adresami (FQDN).

127.0.0.1	localhost
127.0.1.1	ubuntu-server
10.0.0.11	server1 vpn server1.nieco.sk
10.0.0.12	server2 mail server2.nieco.sk
10.0.0.13	server3 www server3.nieco.sk
10.0.0.14	server4 file server4.nieco.sk

	Všimnite si, že v predchádzajúcom príklade má každý server alias aj príslušnú doménovú adresu FQDN. Server1 má priradený aj názov vpn, server2 sa dá adresovať pomocou názvu mail, server3 ako www a server4 ako file.

Konfigurácia prepínania služieb pre preklad názvov

Poradie v akom si systém vyberá spôsob, akým preloží mennú adresu hostiteľskej stanice na číselnú IP adresu, je určený pomocou Name Service Switch (NSS) v konfiguračnom súbore /etc/nsswitch.conf. Tak ako sme to už, spomenuli v predchádzajúcej časti, statické záznamy definované v súbore /etc/hosts majú zvyčajne prednosť pred DNS. Nasledujúci príklad predstavuje poradie v súbore /etc/nsswitch.conf v akom sa budú hľadať menné adresy.

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4

• files najskôr sa systém pokúsi nájsť adresu v súbore /etc/hosts.

• mdns4_minimal pokúsi sa preložiť meno pomocou Multicast DNS.

• [NOTFOUND=return] znamená, že každá odpoveď procesu mdns4_minimal o nenájdení záznamu sa vyhodnotí ako neautorizovaná aby sa systém nepokúšal ďalej pátrať po odpovedi.

• dns reprezentuje pravú unicast požiadavku DNS.

• mdns4 reprezentuje požiadavku Multicast DNS.

Keď chceme zmeniť poradie spomínaných spôsobov prekladu názvov, stačí jednoducho zameniť reťazce za slovom hosts: podľa toho, ako nám to vyhovuje. Napríklad ak chceme použiť pravý Unicast DNS skôr ako Multicast DNS, zmeníme poradie reťazcov v súbore /etc/nsswitch.conf nasledujúcim spôsobom.

hosts:          files dns [NOTFOUND=return] mdns4_minimal mdns4

Premostenie

Premostenie (Bridging) viacerých rozhraní patrí k pokročilej konfigurácii, ale je v mnohých prípadoch veľmi užitočné. Jedno z využití je premostenie viacerých sieťových rozhraní a následné použitie firewallu na filtrovanie dvoch sieťových segmentov. Iné využitie je použitie premostenia v systémoch s jedným rozhraním, aby virtuálne počítače mali priamy prístup do siete. Nasledujúci príklad predvedie práve tento druhý spôsob využitia.

Pred tým, ako budeme môcť nastaviť premostenie, je potrebné nainštalovať balík bridge-utils. Ak ho chceme nainštalovať, zadáme:

sudo apt-get install bridge-utils

Potom nastavíme premosťujúce rozhranie (br0) v súbore /etc/network/interfaces:

auto lo
iface lo inet loopback

auto br0
iface br0 inet static
        address 192.168.0.10
        network 192.168.0.0
        netmask 255.255.255.0
        broadcast 192.168.0.255
        gateway 192.168.0.1
        bridge_ports eth0
        bridge_fd 9
        bridge_hello 2
        bridge_maxage 12
        bridge_stp off

	Ďalej zadajte príslušné hodnoty vášho fyzického rozhrania (eth0) a siete.

Teraz reštartujte sieť a aktivujte premosťujúce rozhranie:

sudo /etc/init.d/networking restart

Nové premostené rozhranie je teraz aktivované a funkčné. Nástroj brctl nám poskytne užitočné informácie o stave premostenia, umožňuje riadiť, ktoré rozhrania budú súčasťou premostenia, atď. Viac informácií získame po zadaní príkazu man brctl.

Sieťový protokol TCP/IP

Transmission Control Protocol and Internet Protocol (TCP/IP) je štandardná sada protokolov (dohovorov o komunikácii), ktorá bola vyvinutá koncom sedemdesiatych rokov armádnou agentúrou Defense Advanced Research Projects Agency (DARPA) ako prostriedok na komunikáciu medzi rôznymi typmi počítačov a počítačových sietí. TCP / IP je hnacou silou Internetu, a preto je najpopulárnejším súborom sieťových protokolov na Zemi.

Protokol dynamickej konfigurácie staníc DHCP

Dynamic Host Configuration Protocol (DHCP) je sieťová služba, ktorá umožňuje, aby klientom siete boli automaticky pridelené nastavenia zo servera, miesto ručného nastavovania každej stanice samostatne. Počítače, ktoré sú nastavené ako DHCP klienti nepotrebujú žiadne ďalšie nastavenia. Získajú ich od DHCP servera a tieto nastavenia sú neviditeľné pre bežného používateľa.

Najčastejšími nastaveniami, ktoré poskytuje DHCP server DHCP klientom sú:

Avšak DHCP server môže poskytovať aj nastavenia, akými sú:

Výhodou použitia DHCP je to, že mení nastavenia v celej sieti. Ak chceme napríklad zmeniť DNS server, stačí ho zmeniť iba na DHCP serveri a všetci klienti siete zmenia nastavenie hneď po tom, ako sa ich DHCP klient spojí s DHCP serverom. Ďalšou výhodou je tiež ľahšie začlenenie nového počítača do siete, pretože nepotrebujeme zisťovať, ktorá IP adresa je voľná. Vylúči sa tiež riziko priradenia rovnakej IP adresy dvom počítačom.

DHCP server môže byť nastavený dvoma spôsobmi:

Ubuntu sa dodáva s DHCP serverom aj klientom. Serverom je dhcpd (dynamic host configuration protocol daemon). Klient, ktorý je súčasťou Ubuntu, je dhclient a mal by byť nainštalovaný na každom počítači, ktorý chceme automaticky nakonfigurovať. Oba programy sa dajú jednoducho nainštalovať a sú nastavené tak, aby sa spúšťali pri zavádzaní systému.

sudo apt-get install dhcp3-server

# Príklad /etc/dhcpd.conf
# (sem pridajte váš komentár) 
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
option domain-name-servers 192.168.1.1, 192.168.1.2;
option domain-name "mojadomena.nieco";

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
range 192.168.1.150 192.168.1.200;
} 

option netbios-name-servers 192.168.1.1; 

Synchronizácia času pomocou NTP

Táto stránka hovorí o tom, ako na počítači udržať presný čas. Presný čas je pri serveroch dôležitý, ale na bežných počítačoch na ňom až tak nezáleží.

NTP je súčasťou TCP/IP protokolu a slúži na synchronizáciu času cez sieť. V princípe si klient vyžiada od servera a použije ho na nastavenie svojich hodín.

Za týmto jednoduchým opisom sa však nachádza dosť komplikovaný systém: Existuje niekoľko úrovní NTP serverov, pričom NTP servery prvej úrovne sú pripojené k atómovým hodinám (často prostredníctvom GPS) a servery na úrovniach dva a tri slúžia na rozloženie záťaže a spracovávajú požiadavky prichádzajúce z celého Internetu. Tiež softvér na strane klienta je o niečo zložitejší, ako sa na prvý pohľad javí - je tu problém oneskorenia komunikácie a nastavenia času tak, aby sa to neprejavilo na chode ostatných procesov, ktoré sú na serveri spustené. Všetky tieto komplikované veci sú však našťastie skryté pred naším zrakom!

Ubuntu umožňuje automaticky nastavovať čas dvoma spôsobmi: pomocou ntpdate a ntpd.

ntpdate ntp.ubuntu.com

sudo chmod 755 /etc/cron.daily/ntpdate

sudo apt-get install ntp

ntpdate ntp.ubuntu.com pool.ntp.org 

server ntp.ubuntu.com
server pool.ntp.org

OpenSSH server

Úvod

Táto časť príručky Ubuntu servera hovorí o mocnej kolekcii nástrojov, určených na vzdialenú správu počítačov v sieti a na prenos dát medzi počítačmi, ktorá sa nazýva OpenSSH. V tejto časti sa tiež naučíme, ako sa dá prispôsobiť konfigurácia aplikácií OpenSSH servera a ako ju môžeme zmeniť v systéme Ubuntu.

OpenSSH je voľne dostupná verzia Secure Shell (SSH) protokola obsahujúceho nástroje pre vzdialenú správu počítača a prenos súborov. Tradičné nástroje, ktoré sa často používajú na tento účel, ako napríklad telnet alebo rcp, nie sú bezpečné a prenášajú heslo používateľa ako bežný text. OpenSSH poskytuje serverového démona a klientské nástroje, ktoré umožňujú bezpečnú šifrovanú vzdialenú správu a prenos súborov, a ktoré dokážu efektívne nahradiť bežné nástroje.

Súčasť OpenSSH servera - sshd, nepretržite čaká na spojenie niektorého z klientských nástrojov. Keď nastane požiadavka na spojenie, sshd nastaví správny typ spojenia v závislosti od toho, ktorý z nástrojov sa chce pripojiť. Napríklad. ak sa vzdialený počítač snaží pripojiť pomocou klientskej aplikácie ssh, OpenSSH server pripraví po autentifikácii reláciu so vzdialenou správou. Ak sa vzdialený používateľ pokúša pripojiť k OpenSSH serveru pomocou scp, démon OpenSSH servera sa po autentifikácii pripraví na bezpečný prenos súborov medzi serverom a klientom. OpenSSH môže použiť mnoho spôsobov autentifikácie, vrátane bežného hesla, verejného kľúča, či tzv. vstupeniek systému Kerberos.

sudo apt-get install openssh-client

sudo apt-get install openssh-server

Konfigurácia

Predvolené správanie serverovej aplikácie OpenSSH - sshd môžeme zmeniť v konfiguračnom súbore /etc/ssh/sshd_config. Informácie o direktívach použitých v tomto konfiguračnom súbore získame na stránkach man-u zadaním nasledujúceho príkazu:

man sshd_config

Konfiguračný súbor sshd obsahuje mnoho direktív, ktoré riadia také veci ako je komunikácia či autentifikácia. Ukážeme si niekoľko príkladov nastavenia direktív, ktoré môžeme vykonať v súbore /etc/ssh/sshd_config.

	Pred tým, ako začnete meniť akýkoľvek konfiguračný súbor, mali by ste si vytvoriť kópiu pôvodného súboru a nastaviť ho iba na čítanie, aby ste mohli pôvodné nastavenia použiť kvôli porovnaniu a v prípade potreby sa ku nim vrátiť. Vytvorte kópiu súboru /etc/ssh/sshd_config a nastavte ju iba na čítanie zadaním nasledujúcich príkazov:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.original
sudo chmod a-w /etc/ssh/sshd_config.original

Tu sú sľúbené konfiguračné direktívy, ktoré môžeme zmeniť:

• Ak chceme zmeniť, aby OpenSSH démon načúval na TCP porte 2222 miesto štandardného TCP portu 22, zmeníme direktívu Port takto:
  Port 2222
• Ak chceme sshd povoliť prihlásenie pomocou verejného kľúča, jednoducho pridáme alebo zmeníme riadok:
  PubkeyAuthentication yes
  Ak riadok v súbore /etc/ssh/sshd_config už existuje, uistíme sa, že nie je zapoznámkovaný.
• Ak chceme, aby náš OpenSSH server zobrazil pri prihlásení obsah súboru /etc/issue.net, jednoducho pridáme alebo upravíme riadok:
  Banner /etc/issue.net
  v súbore /etc/ssh/sshd_config.

Po vykonaní zmien v súbore /etc/ssh/sshd_config, súbor uložíme a reštartujeme serverovú aplikáciu sshd, aby sa zmeny prejavili. Urobíme to zadaním nasledujúceho príkazu do príkazového riadka:

sudo /etc/init.d/ssh restart

Pre sshd existuje mnoho ďalších nastavení, ktoré zmenia správanie serverovej aplikácie podľa vašich potrieb. Mali by ste však vedieť, že ak je ssh jediný spôsob, akým sa viete dostať na server a urobíte chybu pri nastavovaní sshd pomocou konfiguračného súboru /etc/ssh/sshd_config, po reštarte serverovej aplikácie sa môže stať, že sa nebudete vedieť prihlásiť alebo že sa serverová aplikácia sshd kvôli chybe v konfiguračnom súbore ani nespustí. Pri úprave nastavení na vzdialenom serveri buďte preto obzvlášť opatrní.

ssh-keygen -t dsa

ssh-copy-id pouzivatel@vzdialena_stanica

chmod 644 .ssh/authorized_keys

eBox

eBox je webové rozhranie, ktoré sa používa na vzdialenú správu a konfiguráciu serverových aplikácií. Modulárne zostavenie eBoxu umožňuje vybrať a nainštalovať iba tie moduly, ktorými budeme systém spravovať pomocou eBoxu.

apt-cache rdepends ebox | uniq

sudo apt-get install ebox

Konfigurácia

Dôležitá vec, ktorú je si potrebné pamätať pri používaní systému eBox je to, že keď zmeníme konfiguráciu, vo väčšine modulov je tlačítko Change, ktoré zmenenú konfiguráciu implementuje. Po kliknutí na tlačítko Change väčšinu modulov (nie všetky), je potrebné uložiť. Ak chceme novú konfiguráciu uložiť, klikneme na odkaz v pravom hornom rohu s nápisom “Save changes”.

	Ak vykonáte zmenu, ktorú je potrebné uložiť, odkaz zmení farbu zo zelenej na červenú.

OpenLDAP Server

LDAP je skratka pre Lightweight Directory Access Protocol (protokol odľahčeného prístupu k adresárom), ktorý je zjednodušenou verziou protokolu X.500. Nastavenie adresárov v tejto časti použijeme na autentifikáciu. LDAP sa však dá použiť aj na rôzne ďalšie účely, ako napríklad zdielaný adresár (pre mailových klientov), adresár kontaktov, atď.

Ak by sme chceli zjednodušene povedať, čo je LDAP, povedali by sme, že sú to informácie usporiadané do stromovej štruktúry (označuje sa cn=nazov_stromu). V  OpenLDAP môžeme slobodne určiť rozvetvenie adresárov (tzv. DIT – Directory Information Tree). My začneme vytvorením dvoch organizačných jednotiek (označuje sa ou=nazov_jednotky) na najvyššej úrovni:

Pred tým, ako začneme, mali by sme zistiť, ako sa volá uzol najvyššej úrovne LDAP adresára. Za normálnych okolností je meno stromu určené tzv. Fully Qualified Domain Name (FQDN) – úplným menom domény (označuje sa dc=nazov_domeny). Ak je vaša doména nieco.sk (ktorú budeme v tomto príklade používať), názov hlavného uzla bude dc=nieco,dc=sk.

Inštalácia

Najskôr nainštalujeme démon OpenLDAP servera slapd a balík ldap-utils, ktorý obsahuje nástroje pre správu LDAP:

sudo apt-get install slapd ldap-utils

V predvolenom stave je slapd nastavený s minimálnymi voľbami potrebnými na beh démona slapd.

Príklad konfigurácie v nasledujúcich častiach sa zhoduje s doménovým názvom servera. Napríklad počítač s FQDN adresou ldap.nieco.sk bude mať príponu dc=nieco,dc=sk.

Naplnenie LDAP

Adresár na pozadí cn=config má len minimálnu konfiguráciu a bude potrebné nastaviť ďalšie voľby, aby bolo možné naplniť adresár v popredí. Adresár v popredí napliníme pomocou schémy "classical", ktorá je kompatibilná s adresármi v aplikáciách a s kontami Unix Posix. Kontá Posix umožňujú autentifikáciu do rôznych aplikácií, vrátane webových aplikácií, emailových aplikácií Mail Transfer Agent (MTA), atď.

	Ak chcete, aby externé aplikácie používali LDAP pri autentifikácii, je potrebné každú z nich nastaviť osobitne. Viac informácii získate v dokumentácii konkrétnej aplikácie. Nezabudnite zmeniť dc=nieco,dc=sk v nasledujúcich príkladoch, na zodpovedajúce vašej konfigurácii LDAP.

Najskôr je potrebné načítať niektoré prídavné schémy. Do príkazového riadka zadáme:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif

Teraz niekde v systéme vytvoríme súbor s názvom pozadie.nieco.sk.ldif a skopírujeme do neho nasledujúci ukážkový obsah LDIF súboru:

# Načítanie dynamických modulov pozadia
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb

# Nastavenia databázy
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=nieco,dc=sk
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=nieco,dc=sk
olcRootPW: tajne
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword,shadowLastChange by dn=\"cn=admin,dc=nieco,dc=sk\" write by anonymous auth by self write by * none
olcAccess: to dn.base=\"\" by * read
olcAccess: to * by dn=\"cn=admin,dc=nieco,dc=sk\" write by * read

	Zmeňte olcRootPW: tajne na vami vybrané heslo.

Teraz pridáme LDIF do adresára:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f pozadie.nieco.sk.ldif

Teraz môžeme naplniť adresár v popredí. Vytvoríme súbor popredie.nieco.sk.ldif s nasledujúcim obsahom:

# Vytvorenie najvrchnejšieho objektu v doméne
dn: dc=nieco,dc=sk
objectClass: top
objectClass: dcObject
objectclass: organization
o: Organizácia Nieco
dc: Nieco
description: Ukážka LDAP

# Používateľ Admin.
dn: cn=admin,dc=nieco,dc=sk
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: tajne

dn: ou=ludia,dc=nieco,dc=sk
objectClass: organizationalUnit
ou: ludia

dn: ou=skupiny,dc=nieco,dc=sk
objectClass: organizationalUnit
ou: skupiny

dn: uid=jozef,ou=ludia,dc=nieco,dc=sk
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: jozef
sn: Mrkva
givenName: Jozef
cn: Jozef Mrkva
displayName: Jozef Mrkva
uidNumber: 1000
gidNumber: 10000
userPassword: heslo
gecos: Jozef Mrkva
loginShell: /bin/bash
homeDirectory: /home/jozef
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: jozef.mrkva@nieco.sk
postalCode: 81100
l: Bratislava
o: Nieco
mobile: +421 (0)9xx xx xx xx
homePhone: +421 (0)2 xx xx xx xx
title: Systemový administrátor
postalAddress: 
initials: JM

dn: cn=priklad,ou=skupiny,dc=nieco,dc=sk
objectClass: posixGroup
cn: priklad
gidNumber: 10000

V tomto príklade je nastavená štruktúra adresára, používateľ a skupina. V iných príkladoch konfigurácie môžeme naraziť na nastavenie objectClass: top, ktoré býva pridané ku každému záznamu. Toto nastavenie však nemusíme pridávať explicitne, pretože je predvolené.

Pridáme záznamy do LDAP adresára :

sudo ldapadd -x -D cn=admin,dc=nieco,dc=sk -W -f popredie.nieco.sk.ldif

Pomocou nástroja ldapsearch môžeme overiť, či bol obsah správne pridaný. Spustíme vyhľadávanie v LDAP adresári:

ldapsearch -xLLL -b "dc=nieco,dc=sk" uid=jozef sn givenName cn
dn: uid=jozef,ou=ludia,dc=nieco,dc=sk
cn: Jozef Mrkva
sn: Mrkva
givenName: Jozef

Rýchle vysvetlenie:

• -x: nepoužije SASL metódu autentifikácie, ktorá je predvolená.
• -LLL: zabráni vypísaniu informácií o LDIF schéme.

Ďalšie nastavenia

Strom cn=config sa dá upravovať pomocou nástrojov z balíka ldap-utils. Napríklad takto:

• Ak chceme strom zobraziť, použijeme príkaz ldapsearch a zadáme heslo správcu, ktoré sme zadali pri inštalácii:

  sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
  

  
  SASL/EXTERNAL authentication started
  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
  SASL SSF: 0
  dn: cn=config
  
  dn: cn=module{0},cn=config
  
  dn: cn=schema,cn=config
  
  dn: cn={0}core,cn=schema,cn=config
  
  dn: cn={1}cosine,cn=schema,cn=config
  
  dn: cn={2}nis,cn=schema,cn=config
  
  dn: cn={3}inetorgperson,cn=schema,cn=config
  
  dn: olcDatabase={-1}frontend,cn=config
  
  dn: olcDatabase={0}config,cn=config
  
  dn: olcDatabase={1}hdb,cn=config

  Výpis, ktorý sa nám zobrazil, predstavuje aktuálnu konfiguráciu databázy na pozadí cn=config. Výpis sa môže líšiť.
• Aby sme ukázali, ako sa strom cn=config upravuje, pridáme pomocou ldapmodify ďalší atribút do zoznamu indexov: 

  sudo ldapmodify -Y EXTERNAL -H ldapi:///
  

  
  SASL/EXTERNAL authentication started
  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
  SASL SSF: 0
  dn: olcDatabase={1}hdb,cn=config
  add: olcDbIndex
  olcDbIndex: entryUUID eq
  
  modifying entry "olcDatabase={1}hdb,cn=config"
  

  Po ukončení pridávania nástroj ukončíme stlačením Ctrl+D. 
• ldapmodify môže zmeny prečítať aj zo súboru. Nasledujúci text skopírujeme do súboru s názvom uid_index.ldif:

  dn: olcDatabase={1}hdb,cn=config
  add: olcDbIndex
  olcDbIndex: uid eq,pres,sub
  

  Potom spustíme ldapmodify:

  sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f uid_index.ldif
  

  SASL/EXTERNAL authentication started
  SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
  SASL SSF: 0
  modifying entry "olcDatabase={1}hdb,cn=config"

  Tento spôsob s nastavením v súbore sa používa najmä pri rozsiahlych zmenách.
• Ak chceme pridať do slapd ďalšiu schému (definíciu atribútov pre organizačnú jednotku), je potrebné ju prekonvertovať do LDIF formátu. Priečinok /etc/ldap/schema obsahuje niektoré schémami v súboroch, ktoré sú už skonvertované do LDIF formátu podobne ako sme to demonštrovali v predchádzajúcej časti. Našťastie sa program slapd dá použiť na zautomatizovanie konverzie. V nasledujúcom príklade pridáme schému dyngoup.schema:
  1. Najskôr vytvoríme konverzný súbor schema_convert.conf a uložíme do neho nasledujúce riadky:

     include /etc/ldap/schema/core.schema
     include /etc/ldap/schema/collective.schema
     include /etc/ldap/schema/corba.schema
     include /etc/ldap/schema/cosine.schema
     include /etc/ldap/schema/duaconf.schema
     include /etc/ldap/schema/dyngroup.schema
     include /etc/ldap/schema/inetorgperson.schema
     include /etc/ldap/schema/java.schema
     include /etc/ldap/schema/misc.schema
     include /etc/ldap/schema/nis.schema
     include /etc/ldap/schema/openldap.schema
     include /etc/ldap/schema/ppolicy.schema

  2. V ďalšom kroku vytvoríme dočasný priečinok pre ukladanie výstupov:

     mkdir /tmp/ldif_output
     

  3. Teraz pomocou slapcat skonvertujeme súbor schémy do LDIF formátu:

     slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={5}dyngroup,cn=schema,cn=config" > /tmp/cn=dyngroup.ldif
     
     

     Ak by sme použili iný názov konfiguračného súboru a priečinka, bolo by potrebné prispôsobiť aj príkaz. Priečinok ldif_output nemusíme mazať, môžeme ho využiť neskôr, keď budeme pridávať ďalšie schémy.
  4. Otvoríme súbor /tmp/cn\=dyngroup.ldif, zmeníme nasledujúce atribúty:

     dn: cn=dyngroup,cn=schema,cn=config
     ...
     cn: dyngroup
     

     a odstránime nasledujúce riadky z konca súboru:

     structuralObjectClass: olcSchemaConfig
     entryUUID: 10dae0ea-0760-102d-80d3-f9366b7f7757
     creatorsName: cn=config
     createTimestamp: 20080826021140Z
     entryCSN: 20080826021140.791425Z#000000#000#000000
     modifiersName: cn=config
     modifyTimestamp: 20080826021140Z
     

     	Hodnoty atribútov môžu byť iné, preto si pri mazaní dajte pozor, aby ste zmazali všetky uvedené atribúty.

  5. Nakoniec pomocou nástroja ldapadd pridáme novú schému do adresára:

     sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=dyngroup.ldif
     

Teraz by sme v strome cn=config mali mať záznam dn: cn={4}misc,cn=schema,cn=config.

Replikácia LDAP

LDAP sa veľmi rýchlo stane kľúčovou službou v našej sieti. Viaceré systémy budú závislé od LDAP autentifikácie, autorizácie, konfigurácie, atď. Z tohto dôvodu je dobré systém nastaviť tak, aby bol redundantný.

Replikácia sa vykonáva pomocou Syncrepl. Syncrepl umožňuje synchronizáciu adresára buď pomocou modelu výrobca - spotrebiteľ. Výrobca poskytuje zmeny v adresári spotrebiteľovi

Konfigurácia výrobcu

My použijeme tzv. Single-Master konfiguráciu. V našom príklade bude jeden OpenLDAP server výrobca a druhý spotrebiteľ. 

1. Najskôr nastavíme server výrobcu. Skopírujeme nasledujúce riadky do súboru s názvom provider_sync.ldif:

   # Pridá indexy do databázy popredia.
   dn: olcDatabase={1}hdb,cn=config
   changetype: modify
   add: olcDbIndex
   olcDbIndex: entryCSN eq
   -
   add: olcDbIndex
   olcDbIndex: entryUUID eq
   
   #Načíta moduly syncprov a accesslog.
   dn: cn=module{0},cn=config
   changetype: modify
   add: olcModuleLoad
   olcModuleLoad: syncprov
   -
   add: olcModuleLoad
   olcModuleLoad: accesslog
   
   # Definície databázy accesslog
   dn: olcDatabase={2}hdb,cn=config
   objectClass: olcDatabaseConfig
   objectClass: olcHdbConfig
   olcDatabase: {2}hdb
   olcDbDirectory: /var/lib/ldap/accesslog
   olcSuffix: cn=accesslog
   olcRootDN: cn=admin,dc=nieco,dc=sk
   olcDbIndex: default eq
   olcDbIndex: entryCSN,objectClass,reqEnd,reqResult,reqStart
   
   # Accesslog db syncprov.
   dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
   changetype: add
   objectClass: olcOverlayConfig
   objectClass: olcSyncProvConfig
   olcOverlay: syncprov
   olcSpNoPresent: TRUE
   olcSpReloadHint: TRUE
   
   # syncrepl Výrobcu pre primárnu db
   dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
   changetype: add
   objectClass: olcOverlayConfig
   objectClass: olcSyncProvConfig
   olcOverlay: syncprov
   olcSpNoPresent: TRUE
   
   # Prekryje definície accesslog pre primárnu db
   dn: olcOverlay=accesslog,olcDatabase={1}hdb,cn=config
   objectClass: olcOverlayConfig
   objectClass: olcAccessLogConfig
   olcOverlay: accesslog
   olcAccessLogDB: cn=accesslog
   olcAccessLogOps: writes
   olcAccessLogSuccess: TRUE
   # Prehľadá accesslog DB každý deň a odstráni záznamy staršie ako 7 dní
   olcAccessLogPurge: 07+00:00 01+00:00

2. Teraz je potrebné upraviť profil AppArmor pre slapd a zadať do neho umiestnenie databázy accesslog. Otvoríme súbor /etc/apparmor.d/usr.sbin.slapd a pridáme:

     /var/lib/ldap/accesslog/ r,
     /var/lib/ldap/accesslog/** rwk,
   

   Potom vytvoríme priečinok, znova načítame profil apparmor a skopírujeme súbor DB_CONFIG:

   sudo -u openldap mkdir /var/lib/ldap/accesslog
   sudo -u openldap cp /var/lib/ldap/DB_CONFIG /var/lib/ldap/accesslog/
   sudo /etc/init.d/apparmor reload
   

   	Pomocou voľby -u openldap za príkazom sudo odstránime potrebu nastavovania práv pre novovytvorený priečinok.

3. Otvoríme súbor a zmeníme nastavenie olcRootDN tak, aby sa zhodoval s naším adresárom:
   

   olcRootDN: cn=admin,dc=nieco,dc=sk
   

4. Potom LDIF súbor pridáme pomocou nástroja ldapadd utility:

   sudo ldapadd -Y EXTERNAL -H ldapi:/// -f provider_sync.ldif

5. Reštartujeme slapd:

   sudo /etc/init.d/slapd restart
   

Server v úlohe výrobcu je teraz nakonfigurovaný a teraz je čas nakonfigurovať server v úlohe spotrebiteľa.

Konfigurácia spotrebiteľa

1. Na serveri v úlohe spotrebiteľa nastavíme to isté ako na serveri v úlohe výrobcu s výnimkou konfiguračných krokov pre Syncrepl.

   Pridáme dodatočné súbory schém:

   sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
   sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
   sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif

   Tiež vytvoríme alebo z výrobcu skopírujeme súbor pozadie.nieco.sk.ldif

   # Načítanie dynamických modulov pozadia
   dn: cn=module,cn=config
   objectClass: olcModuleList
   cn: module
   olcModulepath: /usr/lib/ldap
   olcModuleload: back_hdb
   
   # Nastavenia databázy
   dn: olcDatabase=hdb,cn=config
   objectClass: olcDatabaseConfig
   objectClass: olcHdbConfig
   olcDatabase: {1}hdb
   olcSuffix: dc=nieco,dc=sk
   olcDbDirectory: /var/lib/ldap
   olcRootDN: cn=admin,dc=nieco,dc=sk
   olcRootPW: tajne
   olcDbConfig: set_cachesize 0 2097152 0
   olcDbConfig: set_lk_max_objects 1500
   olcDbConfig: set_lk_max_locks 1500
   olcDbConfig: set_lk_max_lockers 1500
   olcDbIndex: objectClass eq
   olcLastMod: TRUE
   olcDbCheckpoint: 512 30
   olcAccess: to attrs=userPassword,shadowLastChange by dn=\"cn=admin,dc=nieco,dc=sk\" write by anonymous auth by self write by * none
   olcAccess: to dn.base=\"\" by * read
   olcAccess: to * by dn=\"cn=admin,dc=nieco,dc=sk\" write by * read

   a pridáme LDIF zadaním príkazu:

   sudo ldapadd -Y EXTERNAL -H ldapi:/// -f backend.nieco.sk.ldif

2. To isté urobíme so súborom popredie.nieco.sk.ldif zobrazeným vyššie a tiež ho pridáme:

   sudo ldapadd -x -D cn=admin,dc=nieco,dc=sk -W -f frontend.nieco.sk.ldif

   Oba servery by teraz mali mať rovnakú konfiguráciu až na voľby Syncrepl.

3. Teraz vytvoríme súbor s názvom consumer_sync.ldif obsahujúci:

   #Načítanie modulu syncprov.
   dn: cn=module{0},cn=config
   changetype: modify
   add: olcModuleLoad
   olcModuleLoad: syncprov
   
   # Ukazovatele špecifické pre syncrepl
   dn: olcDatabase={1}hdb,cn=config
   changetype: modify
   add: olcDbIndex
   olcDbIndex: entryUUID eq
   -
   add: olcSyncRepl
   olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=admin,dc=nieco,dc=sk" 
    credentials=tajne searchbase="dc=nieco,dc=sk" logbase="cn=accesslog" 
    logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on 
    type=refreshAndPersist retry="60 +" syncdata=accesslog
   -
   add: olcUpdateRef
   olcUpdateRef: ldap://ldap01.nieco.sk
   

   Bude pravdepodobne potrebné zmeniť tieto atribúty:

   • ldap01.nieco.sk na adresu nášho servera.

   • binddn

   • credentials

   • searchbase

   • olcUpdateRef:

4. Pridáme LDIF súbor do konfiguračného stromu:

   sudo ldapadd -c -Y EXTERNAL -H ldapi:/// -f consumer_sync.ldif

Databáza popredia by teraz mala byť synchronizovaná medzi oboma servermi. Podľa predchádzajúcich krokov môžeme v prípade potreby pridať aj ďalšie servery.

Démon slapd bude v predvolenom stave odosielať záznamy do súboru /var/log/syslog. Takže ak niečo neprebehne tak, ako má, nájdeme v ňom zapísané zaznamy o chybách a ďalšie informácie potrebné pre vyriešenie problému. Je potrebné sa tiež uistiť, či sú všetky servery známe pod úplnou doménovou adresou - Fully Qualified Domain Name (FQDN). V súbore /etc/hosts by malo byť zapísané niečo podbné tomuto: 127.0.0.1 ldap01.nieco.sk ldap01 .

ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase=hdb olcAccess

Enter LDAP Password: 
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=nieco
 ,dc=sk" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=nieco,dc=sk" write by * read

TLS a SSL

Ak sa prihlasujeme k OpenLDAP serveru, je vhodné to robiť pomocou šifrovaného pripojenia. Toto je možné zabezpečiť pomocou použitia Transport Layer Security (TLS) a/alebo Secure Sockets Layer (SSL).

Prvý krok, ktorý je potrebné vykonať, je získanie alebo vytvorenie certifikátu. Pretože démon slapd je kompilovaný pomocou knižnice gnutls, na vytvorenie certifikátu je potrebné použiť nástroj certtool.

1. Najskôr nainštalujeme balík gnutls-bin zadaním nasledujúceho príkazu:

   sudo apt-get install gnutls-bin
   

2. Potom vytvoríme súkromný kľúč pre Certifikačnú autoritu (CA):

   sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
   

3. Vytvoríme súbor /etc/ssl/ca.info s podrobnosťami pre sebou podpísaný certifikát CA obsahujúci:

   cn = Spoločnosť Niečo
   ca
   cert_signing_key
   

4. Teraz vytvoríme sebou podpísaný certifíkát CA:

   sudo certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem \ 
    --template  /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem
   

5. Vytvoríme súkromný kľúč pre server:

   sudo sh -c "certtool --generate-privkey > /etc/ssl/private/ldap01_slapd_key.pem"
   

   	V názve súboru nahraďte ldap01 vami používaným názvom hostiteľskej stanice. Správne pomenovanie certifikátu a kľúča pre stanicu a službu, ktorú používame, je dôležité kvôli poriadku.

6. Keď chceme podpísať serverový certifikát pomocou CA, vytvoríme súbor /etc/ssl/ldap01.info obsahujúci:

   organization = Spoločnosť Niečo
   cn = ldap01.nieco.sk
   tls_www_server
   encryption_key
   signing_key
   

7. Vytvoríme serverový certifikát:

   sudo certtool --generate-certificate --load-privkey /etc/ssl/private/x01-test_slapd_key.pem \
    --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem \
    --template /etc/ssl/x01-test.info --outfile /etc/ssl/certs/x01-test_slapd_cert.pem
   

Keď máme nainštalovaný certifikát, kľúč a certifikát CA, pomocou nástroja ldapmodify pridáme nové voľby konfigurácie:

sudo ldapmodify -Y EXTERNAL -H ldapi:///

Enter LDAP Password:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

modifying entry "cn=config"

Zmeňte názvy ldap01_slapd_cert.pem, ldap01_slapd_key.pem a cacert.pem ak ste použili iné.

Teraz otvoríme súbor /etc/default/slapd a odpoznámkujeme voľbu SLAPD_SERVICES:

SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"

 

Teraz povolíme používateľovi menom openldap prístup k certifikátu:

sudo adduser openldap ssl-cert
sudo chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem
sudo chmod g+r /etc/ssl/private/ldap01_slapd_key.pem

	Ak /etc/ssl/private a /etc/ssl/private/server.key majú rozdielne nastavené práva, prispôsobte podľa toho príkazy.

Nakoniec reštartujeme slapd:

sudo /etc/init.d/slapd restart

Odteraz démon slapd bude akceptovať aj šifrované LDAPS pripojenia a bude môcť použiť STARTTLS počas autentifikácie.

	Ak nastane problém a server sa nedá naštartovať, skontrolujeme /var/log/syslog. Ak zbadáme chybu podobnú: TLS init def ctx failed: -1, je pravdepodobné, že sme urobili chybu v konfigurácii. Skontrolujeme, či je certifikát podpísaný autoritou aká je nastavená v konfiguračných súboroch, a či má skupina ssl-cert právo na čítanie súkromného kľúča.

 

TLS Replikácia

Ak sme medzi servermi nastavili Syncrepl, je rozumné zašifrovať replikačnú komunikáciu pomocou Transport Layer Security (TLS). Viac informácii o replíkácii nájdeme v časti “Replikácia LDAP”.

Za predpokladu, že sme sa pomocou predchádzajúcich inštrukcií dostali až sem, vytvorili sme certifikát CA  a certifikát pre server v úlohe výrobcu. Pomocou nasledujúcich krokov teraz vytvoríme certifikát a kľuč pre server v úlohe spotrebiteľa.

1. Vytvoríme nový kľúč pre server v úlohe spotrebiteľa:

   mkdir ldap02-ssl
   cd ldap02-ssl
   certtool --generate-privkey > ldap02_slapd_key.pem
   

   	Vytvorenie nového priečinka nie je nevyhnutne potrebné, ale pomôže nám to udržať poriadok a budú sa nám ľahšie kopírovať súbory na server v úlohe spotrebiteľa.

2. Teraz vytvoríme súbor ldap02.info s informáciami pre server v úlohe spotrebiteľa, pričom zmeníme parametre aby súhlasili s našou lokalitou a serverom:

   country = SK
   state = Slovakia
   locality = Bratislava
   organization = Spoločnosť Niečo
   cn = ldap02.filialka.sk
   tls_www_client
   encryption_key
   signing_key
   

3. Vytvoríme certifikát:

   sudo certtool --generate-certificate --load-privkey ldap02_slapd_key.pem \
    --load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem \
    --template ldap02.info --outfile ldap02_slapd_cert.pem
   

4. Skopírujeme cacert.pem do priečinka:

   cp /etc/ssl/certs/cacert.pem .
   

5. Poslednú vec, ktorú musíme urobiť, je skopírovať priečinok ldap02-ssl dna server v úlohe spotrebiteľa, potom skopírovať súbory ldap02_slapd_cert.pem a cacert.pem do priečinka /etc/ssl/certs a súbor ldap02_slapd_key.pem do priečinka /etc/ssl/private.

6. Keď sú súbory na správnom mieste, uprevíme vetvu cn=config zadaním:

   sudo ldapmodify -Y EXTERNAL -H ldapi:///
   

   Enter LDAP Password:
   dn: cn=config
   add: olcTLSCACertificateFile
   olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
   -
   add: olcTLSCertificateFile
   olcTLSCertificateFile: /etc/ssl/certs/ldap02_slapd_cert.pem
   -
   add: olcTLSCertificateKeyFile
   olcTLSCertificateKeyFile: /etc/ssl/private/ldap02_slapd_key.pem
   
   modifying entry "cn=config"
   
   

7. Tak, ako pri výrobcovi, teraz môžeme otvoriť súbor /etc/default/slapd a pridať parameter ldaps:/// do voľby SLAPD_SERVICES.

Teraz, keď je TLS nastavené na každom serveri, ešte raz upravíme vetvu cn=config na spotrebiteľovi zadaním:

sudo ldapmodify -Y EXTERNAL -H ldapi:///

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
 
dn: olcDatabase={1}hdb,cn=config
replace: olcSyncrepl
olcSyncrepl: {0}rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=ad
 min,dc=example,dc=com" credentials=secret searchbase="dc=example,dc=com" logbas
 e="cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" s
 chemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog starttls=yes 

modifying entry "olcDatabase={1}hdb,cn=config"

 

Ak adresa stanice LDAP servera nesúhlasí s FQDN v certifikáte, mali by sme otvoriť súbor /etc/ldap/ldap.conf a pridať nasledujúce TLS nastavenia:

TLS_CERT /etc/ssl/certs/ldap02_slapd_cert.pem
TLS_KEY /etc/ssl/private/ldap02_slapd_key.pem
TLS_CACERT /etc/ssl/certs/cacert.pem

Nakoniec reštartujeme slapd na každom serveri:

sudo /etc/init.d/slapd restart

LDAP autentifikácia

Keď máme funkčný LDAP server, balíky auth-client-config a libnss-ldap nám pomôžu prekonať ťažkosti pri nastavovaní Ubuntu klientov tak, aby sa prihlasovali pomocou LDAP. Ak chceme balíky nainštalovať, zadáme:

sudo apt-get install libnss-ldap

Počas inštalácie bude potrebné zadať parametre pripojenia k LDAP serveru.

Ak sa pomýlime pri zadávaní informácií, môžeme dialóg vyvolať znova pomocou príkazu:

sudo dpkg-reconfigure ldap-auth-config

Hodnoty, ktoré zadáme do dialógu, môžeme vidieť v súbore /etc/ldap.conf. Ak náš server vyžaduje nastavenie, ktoré sa nenachádza v dialógu, môžeme ho v tomto súbore doplniť.

Teraz, keď je libnss-ldap nakonfigurované, zapneme pomocou auth-client-config LDAP profil:

sudo auth-client-config -t nss -p lac_ldap

• -t: zmení iba /etc/nsswitch.conf.
• -p: meno profilu, ktoré sa má zapnúť alebo vypnúť.
• lac_ldap: profil auth-client-config, ktorý je časťou balíka ldap-auth-config.

Použitím nástroja pam-auth-update nastavíme systém tak, aby používal na autentifikáciu LDAP:

sudo pam-auth-update

Z ponuky pam-auth-update vyberieme LDAP a ktorékoľvek ďalšie autentifikačné mechanizmy, ktoré ešte potrebujeme.

Teraz by sme mali byť schopný prihlásiť používateľa, ktorý je uložený v LDAP adresáre.

	Ak sa chystáte použiť LDAP na uloženie používateľov systému Samba, bude potrebné nastaviť server tak, aby na autentifikáciu využíval LDAP. Viac informácii sa dozviete v časti “Samba a LDAP”.

Správa používateľov a skupín

Balík ldap-utils obsahuje viacero nástrojov na správu adresára, ale pri potrebe nastavenia dlhších reťazcov môže byť ich použitie ťažkopádne. Balík ldapscripts obsahuje konfiguračné skripty na správu LDAP používateľov a skupín.

Ak tento balíček chceme nainštalovať, zadáme:

sudo apt-get install ldapscripts

Potom otvoríme konfiguračný súbor /etc/ldapscripts/ldapscripts.conf a odkomentujeme a zmeníme nasledujúce riadky tak, aby zodpovedali nášmu prostrediu:

SERVER=localhost
BINDDN='cn=admin,dc=nieco,dc=sk'
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
SUFFIX='dc=nieco,dc=sk'
GSUFFIX='ou=Skupiny'
USUFFIX='ou=Ludia'
MSUFFIX='ou=Pocitace'
GIDSTART=10000
UIDSTART=10000
MIDSTART=10000

Teraz vytvoríme súbor ldapscripts.passwd, aby sme umožnili autentifikovaný prístup k adresáru:

sudo sh -c "echo -n 'tajne' > /etc/ldapscripts/ldapscripts.passwd"
sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd

	Slovo “tajne” nahraďte aktuálnym heslom LDAP administrátora.

Odteraz sú skripty ldapscripts pripravené pomôcť nám pri správe adresára. Nasledujúce príklady hovoria o tom, ako sa skripty používajú:

• Vytvorenie nového používateľa:

  sudo ldapadduser juro pokus
  

  Tento príkaz vytvorí používateľa s uid juro a nastaví jeho hlavnú skupinu (gid) na pokus
• Zmena hesla:

  sudo ldapsetpasswd juro
  Changing password for user uid=juro,ou=Ludia,dc=nieco,dc=sk
  New Password: 
  New Password (verify):
  

• Odstránenie používateľa:

  sudo ldapdeleteuser juro
  

• Pridanie skupiny:

  sudo ldapaddgroup qa
  

• Odstránenie skupiny:

  sudo ldapdeletegroup qa
  

• Pridanie používateľa do skupiny:

  sudo ldapaddusertogroup juro qa
  

  Teraz sa môžeme presvedčiť, že atribút memberUid skupiny qa bude obsahovať hodnotu juro.
• Odstránenie používateľa zo skupiny:

  sudo ldapdeleteuserfromgroup juro qa
  

  Z atribútu memberUid skupiny qa by mal byť juro teraz odstránený.
• Skript ldapmodifyuser umožňuje pridať, odstrániť alebo nahradiť atribúty používateľa. Skript používa rovnakú syntax ako nástroj ldapmodify. Napríklad:

  sudo ldapmodifyuser juro
  
  # About to modify the following entry :
  dn: uid=juro,ou=Ludia,dc=nieco,dc=sk
  objectClass: account
  objectClass: posixAccount
  cn: juro
  uid: juro
  uidNumber: 1001
  gidNumber: 1001
  homeDirectory: /home/juro
  loginShell: /bin/bash
  gecos: juro
  description: User account
  userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=
  
  # Enter your modifications here, end with CTRL-D.
  dn: uid=juro,ou=Ludia,dc=nieco,dc=sk
  
  replace: gecos
  gecos: Juraj Jánošík
  

  Atribút gecos by mal mať teraz hodnotu “Juraj Jánošík”.
• Ďalšou obrovskou výhodou balíka ldapscripts je využívanie systémových šablón. Šablóny umožňujú prispôsobiť atribúty používateľa, skupiny a počítača. Ak chceme napríklad použiť šablónu user, otvoríme súbor /etc/ldapscripts/ldapscripts.conf a pridáme riadok:

  UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
  

  Vzorové šablóny sa nachádzajú v priečinku /etc/ldapscripts. Skopírujeme súbor  ldapadduser.template.sample do /etc/ldapscripts/ldapadduser.template:

  sudo cp /etc/ldapscripts/ldapadduser.template.sample /etc/ldapscripts/ldapadduser.template
  

  Otvoríme novú šablónu a upravíme príslušné atribúty. Nasledujúca šablóna slúži na vytváranie nových používateľov s prednastaveným atribútom objectClass na hodnotu inetOrgPerson:

  dn: uid=<user>,<usuffix>,<suffix>
  objectClass: inetOrgPerson
  objectClass: posixAccount
  cn: <user>
  sn: <ask>
  uid: <user>
  uidNumber: <uid>
  gidNumber: <gid>
  homeDirectory: <home>
  loginShell: <shell>
  gecos: <user>
  description: User account
  title: Employee
  

  Všimnime si použitie <otázky> pre cn hodnoty. Použitím <otázky> prinútime nástroj ldapadduser aby sa opýtal na hodnotu atribútu pri vytváraní používateľa.

Existuje viac užitočných skriptov. Ak chceme zobraziť ich zoznam, zadáme príkaz: dpkg -L ldapscripts | grep bin

OpenLDAP Server starý návod

LDAP je skratka pre Lightweight Directory Access Protocol (protokol odľahčeného prístupu k adresárom), ktorý je zjednodušenou verziou protokolu X.500. Nastavenie adresárov v tejto časti použijeme na autentifikáciu. LDAP sa však dá použiť aj na rôzne ďalšie účely, ako napríklad zdielaný adresár (pre mailových klientov), adresár kontaktov, atď.

Ak by sme chceli zjednodušene povedať, čo je LDAP, povedali by sme, že sú to informácie usporiadané do stromovej štruktúry (označuje sa cn=nazov_stromu). V OpenLDAP môžeme slobodne určiť rozvetvenie adresárov (tzv. DIT - Directory Information Tree). My začneme vytvorením dvoch organizačných jednotiek (označuje sa ou=nazov_jednotky) na najvyššej úrovni:

Pred tým, ako začneme, mali by sme zistiť, ako sa volá uzol najvyššej úrovne LDAP adresára. Za normálnych okolností je meno stromu určené tzv. Fully Qualified Domain Name (FQDN) - úplným menom domény (označuje sa dc=nazov_domeny). Ak je vaša doména nieco.sk (ktorú budeme v tomto príklade používať), názov hlavného uzla bude dc=nieco,dc=sk.

sudo apt-get install slapd ldap-utils

sudo dpkg-reconfigure slapd

Naplnenie LDAP

Adresár sme už vytvorili a nakonfigurovali a teraz je čas ho naplniť. Naplníme ho pomocou schémy "classical", ktorá je kompatibilná s adresármi v aplikáciách a s kontami Unix Posix. Kontá Posix umožňujú autentifikáciu do rôznych aplikácií, vrátane webových aplikácií, emailových aplikácií Mail Transfer Agent (MTA), atď.

	Ak chcete, aby externé aplikácie používali LDAP pri autentifikácii, je potrebné každú z nich nastaviť osobitne. Viac informácii získate v dokumentácii konkrétnej aplikácie.

Adresáre LDAP môžeme naplniť pomocou súborov vo formáte LDIF (LDAP Directory Interchange Format). Vytvoríme niekde v systéme nový súbor s názvom nieco.sk.ldif a nakopírujeme do neho nasledujúcu vzorovú konfiguráciu:

dn: ou=ludia,dc=nieco,dc=sk
objectClass: organizationalUnit
ou: ludia

dn: ou=skupiny,dc=nieco,dc=sk
objectClass: organizationalUnit
ou: skupiny

dn: uid=jozef,ou=ludia,dc=nieco,dc=sk
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: jozef
sn: Mrkva
givenName: Jozef
cn: Jozef Mrkva
displayName: Jozef Mrkva
uidNumber: 1000
gidNumber: 10000
userPassword: heslo
gecos: Jozef Mrkva
loginShell: /bin/bash
homeDirectory: /home/jozef
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: jozef.mrkva@nieco.sk
postalCode: 81100
l: Bratislava
o: Firma
mobile: +421 (0)90x xxx xxx
homePhone: +421 (0)2 xxxx xxx
title: Systemový administrátor
postalAddress: 
initials: JM

dn: cn=priklad,ou=skupiny,dc=nieco,dc=sk
objectClass: posixGroup
cn: priklad
gidNumber: 10000

V tomto príklade je nastavená štruktúra adresára, používateľ a skupina. V iných príkladoch konfigurácie môžeme naraziť na nastavenie objectClass: top, ktoré býva pridané ku každému záznamu. Toto nastavenie však nemusíme pridávať explicitne, pretože je predvolené.

Ak chceme pridať záznamy do LDAP adresára, použijeme na to nástroj ldapadd:

ldapadd -x -D cn=admin,dc=nieco,dc=sk -W -f nieco.sk.ldif

Ak chceme overiť, či obsah bol správne pridaný, urobíme to jedným z nástrojov balíka ldap-utils. Spustíme vyhľadávanie v LDAP adresáre:

ldapsearch -xLLL -b "dc=nieco,dc=sk" uid=jozef sn givenName cn
dn: uid=jozef,ou=ludia,dc=nieco,dc=sk
cn: Jozef Mrkva
sn: Mrkva
givenName: Jozef

Rýchle vysvetlenie:

• -x: nepoužije SASL metódu autentifikácie, ktorá je predvolená.
• -LLL: zabráni vypísaniu informácií o LDIF schéme.