CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

1

MỤC LỤC:

I. Cấu hình DNS: ............................................................................................... 2

II. Web server: .................................................................................................... 3

III. Webalizer: ...................................................................................................... 4

IV. Mail server: .................................................................................................... 4

V. Cấu hình VPN Lan – to - Lan ........................................................................ 6

VI. Cấu hình NIS (Network Information Service): ............................................ 7

1) Cấu hình Nis Server: ............................................................................................................... 7

2) Cấu hình Nis Client ................................................................................................................. 7

VII. Cấu hình NTP (Network Time Protocol): ............................................... 9

1) Cấu hình ntp client .................................................................................................................. 9

2) Cấu hình ntp server................................................................................................................ 10

VIII. Squid: ...................................................................................................... 10

1) Thư mục mặc định:................................................................................................................ 10

2) Tập tin cấu hình ..................................................................................................................... 11

3) Những option cơ bản ............................................................................................................. 11

4) Định nghĩa Access List dùng tag acl ...................................................................................... 11

5) Tag điều khiển truy xuất HTTP ............................................................................................. 12

6) Tag điều khiển truy xuất cache_peer ...................................................................................... 12

7) Khởi động squid .................................................................................................................... 14

IX. Kiểm chứng Sudo: ........................................................................................ 14

X. Cấu hình LDAP: .......................................................................................... 15

1) Cấu hình trên Server: ............................................................................................................. 15

2) Cấu hình trên Client: ............................................................................................................. 15

3) Cấu hình trên server: ............................................................................................................. 15

4) Cấu hình trên LDAP Client: .................................................................................................. 16

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

2

II.. CCấấuu hhììnnhh DDNNSS::

Cấu hình IP cho Server:

IP: 10.0.0.123

SM: 255.0.0.0

GW: 10.0.0.123

DNS: 10.0.0.123

Cấu hình IP cho Client:

IP: 10.0.0.122

SM: 255.0.0.0

GW: 10.0.0.123

DNS: 10.0.0.123

Kiểm tra các gói cài đặt:bind, bind-chroot, caching-nameserver, system-config-bind.

# rpm –qa | grep blind.

# rpm –qa | grep caching.

Thêm vào cuối file /var/named/chroot/etc/named.rfc1912.zones

zone "bntk.com" IN {

type master;

file "xuoi.zone";

allow-update { none; };

};

zone "0.0.10.in-addr.arpa" IN {

type master;

file "nguoc.zone";

allow-update { none; };

};

Sửa lại file /var/named/chroot/etc/named.caching-nameserver

options {

listen-on port 53 { 10.0.0.123; }; //sửa dòng

này theo ip của server.

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file

"/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file

"/var/named/data/named_mem_stats.txt";

query-source port 53;

query-source-v6 port 53;

allow-query { 0.0.0.0/0; };

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

3

};

};

view localhost_resolver {

match-clients { 0.0.0.0/0; };

match-destinations { 0.0.0.0/0; };

recursion yes;

include "/etc/named.rfc1912.zones";

};

Vào đường dẫn /var/named/chroot/var/named tạo thêm 2 file xuoi.zone, nguoc.zone:

Tạo file xuoi.zone như sau:

$TTL 100

bntk.com. IN SOA www.bntk.com. dnsmaster.bntk.com. (

2007071200

600

600

600

100 )

bntk.com. IN A 10.0.0.123

bntk.com. IN NS www.bntk.com.

www.bntk.com. IN A 10.0.0.123

Tạo file nguoc.zone như sau:

$TTL 86400

@ IN SOA www.bntk.com. root.localhost. (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS www.bntk.com.

123 IN PTR 10.0.0.123

IIII.. WWeebb sseerrvveerr::

Cấu hình DNS như trên

Tạo thư mục chứa trang Web:

# mkdir /myweb

#cd /mywweb

#vi index.html

Mở file /etc/httpd/conf/httpd.conf và sửa lại:

Tại dòng 280: DocumentRoot “/myweb”

<VirtualHost www.bntk.com>

DocumentRoot /myweb

ServerName www.bntk.com

</VirtualHost>

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

4

# service httpd restart

Mở trình duyệt web để kiểm tra, trên thanh địa chỉ nhập vào www.bntk.com . Nếu hiện lên nội dung

trang web index.html thì đã cấu hình đúng.

IIIIII.. WWeebbaalliizzeerr::

Mở file /etc/webalizer.conf và sửa lại thông số sau:

OutPutDir /myweb

Các thông số còn lại ko đổi.

Mở file /etc/httpd/conf/httpd.conf và sửa lại:

DocumentRoot “ /myweb”

Khởi tạo lại các dịch vụ:

# service named restart

# service httpd restart

# /usr/bin/webalizer //phải thực hiện trên thư mục gốc nên phải “cd /”

Mở trình duyệt web lên kiểm tra.

IIVV.. MMaaiill sseerrvveerr::

Vẫn cấu hình DNS tương tự như trên nhưng có một vài thay đổi.

Nội dung file xuoi.zone lúc này sẽ là:

$TTL 86400

bntk.com. IN SOA mail.bntk.com. mail.bntk.com. (

2007071200

600

600

600

100 )

bntk.com. IN A 10.0.0.123

bntk.com. IN NS mail.bntk.com.

mail.bntk.com. IN MX 10 mail.bntk.com.

mail.bntk.com. IN A 10.0.0.123

Và nội dung file nguoc.zone lúc này sẽ là:

$TTL 86400

@ IN SOA mail.bntk.com. mail.bntk.com. (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS mail.bntk.com.

123 IN PTR mail.bntk.com.

123 IN MX 10 mail.bntk.com

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

5

Cấu hình mail postfix:

Vì senmail cùng được cài mặc định trên Linux và được ràng buộc iptables, do đó trước khi cài

đặt và cấu hình mail postfix nên phải stop 2 dịch vụ này.

# service sendmail stop

# service iptables stop Thêm một vài thông số sau vào file /etc/postfix/main.cf

Dòng 70: myhostname = mail.bntk.com

Dòng 77: mydomain =bntk.com

Dòng 93: myorigin = $mydomain Dòng 107: inet_interfaces = all

Dòng 110: thêm vào dấu #

Dòng 157: xóa dấu # Dòng 199: xóa dấu #

# service postfix restart

Tạo ra các username, group và password để gửi và nhận mail:

# useradd bntk

# passwd bntk

# groupadd admin

Chuyển nhóm cho user

# usermod –g admin bntk

Sửa lại thông tin trong tập tin /etc/httpd/conf/httpd.conf

<VirtualHost mail.bntk.com>

DocumentRoot /myweb

ServerName mail.bntk.com

</VirtualHost>

Cấu hình Squirrelmail:

# chown -R bntk webmail

# cd webmail

# chgrp -R admin config data

File cấu hình chình là /etc/squirrelmail.config.php

$org_name = 'mail.bntk.com';

$org_title = 'mail.bntk.com $version'; $domain = 'bntk.com';

$smtpServerAddress = 10.0.0.123;

$imapServerAddress = 10.0.0.123;

Vào file /etc/dovecot.conf tại dòng 16: xóa dấu #

# service dovecot start

# service dovecot restart

Cách lấy mail từ Webmail:

Mở trình duyệt web lên nhập vào địa chỉ: http://mail.bntk.com/webmail.

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

6

VV.. CCấấuu hhììnnhh VVPPNN LLaann –– ttoo -- LLaann

Cài đặt gói phần mềm Openswan và tiến hành cấu hình:

Trên cả 2 server cùng bật “net.ipv4.ip_forward=1” trong file “/etc/sysctl.conf”

Khởi tạo lại dịch vụ:

# service network restart

Hay: # sysctl –p

Cấu hình VPN (dùng RSA keys) /etc/ipsec.conf

Tạo ra private key bằng lệnh :

# ipsec rsasigkey --verbose 2048 > /tmp/privatekey.tmp

Copy nội dung trong /tmp/privatekey.tmp vừa tạo vào file /etc/ipsec.secrets (thay thế ở phần

RSA)

* Tạo publickey trên hai máy server.

vào máy Server 1 gõ lệnh :

#ipsec showhostkey --left > /tmp/publicleft.pub

vào máy Server 2 gõ lệnh :

#ipsec showhostkey --right > /tmp/publicright.pub

Trên server máy Server 1 :

#vi /etc/ipsec.conf Sửa lại như sau:

Conn net-to-net

Left=10.0.0.1

Leftsubnet=172.16.1.0/16

Leftnexthop=10.0.0.2

Leftrsasigkey=nội dung publicleft.pub

Right=10.0.0.2

Rightsubnet=192.168.1.0/24

Rightnexthop=10.0.0.1

Rightrsasigkey=publicright.pub

Lưu lại

Trên server máy Server 2 : Làm lại tương tự như trên

PC

Server

1 PC

Server

2

172.16.1.1

172.16.1.2

192.168.1.1

10.0.0.1 10.0.0.2 192.168.1.2

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

7

Thiết lập kết nối VPN:

Trên cả 2 server gõ lệnh sau :

#service ipsec restart

#ipsec auto --add net-to-net

#ipsec auto --up net-to-net

Kiểm tra kết nối VPN

Trên 2 PC ở mỗi nhánh thử ping nhau, nếu 2 máy này thấy nhau thì đã cấu hình đúng.

VVII.. CCấấuu hhììnnhh NNIISS ((NNeettwwoorrkk IInnffoorrmmaattiioonn SSeerrvviiccee))::

IP của Nis Server: 10.0.0.123

IP của Nis Client: 10.0.0.122

1) Cấu hình Nis Server:

# domainname bntk.com

# vi /etc/hosts

10.0.0.123 nis.bntk.com nis //tạo host Nis Server

10.0.0.122 client.bntk.com client //tạo host Nis Client

# vi /etc/yp.conf //thêm vào

Domain bntk.com server nis.bntk.com

# vi /etc/ypserv.conf //thêm vào

10.0.0.0/8 :bntk.com :*:none //*=share tất cả

# vi /var/yp/Makefile

tại dòng

all: passwd group host \

server muốn share gì thì ghi vào dòng trên nhưng kết thúc phải bằng dấu \

# service network restart // để cập nhập những dữ liệu mới

# /usr/lib/yp/ypinit -m // xây dựng cơ sở dữ liệu cho nis

# service ypserv start

# service ypserv restart

2) Cấu hình Nis Client

# domainname clientk.com

# vi /etc/hosts

Bỏ đi dòng 127.0.0.1

# vi /etc/host.conf //Tại dòng order thêm nis vào:

Order nis, …,…

# vi /etc/yp.conf //thêm vào

Domain bntk.com server nis.bntk.com

# vi /etc/nsswitch.conf

Tại dòng passwd, group, hos t muốn share file nào thì ta thêm nis vào phía trước để share

Passwd nis file

Group nis file

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

8

Host nis file

# service network restart

# service ypbind start

# service ypbind restart

Kiểm tra sự share host, passwd:

Nếu dòng lệnh bắt đầu trên Server và Client lần lượt như sau thì đã cấu hình đúng:

[root@nis root]#

[root@client root]#

Trên Nis Server :

[root@nis root]# useradd user1

[root@nis root]# passwd user1

Nhập vào: 123456

Trên Nis Client:

[root@client root]# ypcat paswd

Lúc này sẽ xuất hiện Username và Password của user1 mà Nis Server chia sẻ, mặc định thì

user và pass tạo ra sẽ nằm trong file /etc/passwd nhưng user1 ko có trong file /etc/passwd chứng tỏ

username và password này là đc Nis Server chia sẻ cho Client.

Kiểm chứng:

[root@client root]# su user1

Báo lỗi

khi tạo useradd thì mặc định nó sẽ nằm trong thư mục /home/useradd, nó báo lỗi là ko tìm

được thư mục home của user1 vì nis chỉ chia sẻ host, passwd không chia sẻ thư mục

/home nên khi tạo user1 nó nó sẽ nằm trong thư mục /home/user1 của nis server mà

không nằm trong thư mục /home/user1 của nis client để có thể su – user1 ta làm như sau:

o Trên Nis Server :

[root@nis root]# vi /etc/exports //thêm vào

/home bntk.com (rw) //share /home của ní server cho tất cả các host

trên domain bntk.com có quyền đọc và viết.

[root@nis root]# useradd user2

[root@nis root]# passwd user2

Pass nhập vào: 123465

o Trên Nis Client

[root@client root]# mount –t nfs 10.0.0.123:/home /home

[root@client root]# su –user1

[user1@client user1]#su –user2

Ko báo lỗi vì Nis Server đã tạo nfs để chia sẻ thư mục /home cho Nis Client.

Dòng lệnh lúc này sẽ là:

[user2@client user2]#

Để mỗi lần khởi động lại Nis Client mặc định nó sẽ mount thư mục chia sẻ của Nis

Server ta sẽ làm như sau:

[root@client root]# vi /etc/rc.local //thêm vào các thông tin sau:

Domain bntk.com

service network restart

service ypbind start

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

9

service ypbind restart

mount -t 10.0.0.25:/home /home

VVIIII.. CCấấuu hhììnnhh NNTTPP ((NNeettwwoorrkk TTiimmee PPrroottooccooll))::

1) Cấu hình ntp client

Cài đặt (install) ntp theo các cách như : cài từ gói rpm, hay từ những file source nén. File cấu

hình sẽ là /etc/ntp.conf.

Chọn một ntp server nào đó gần máy bạn nhất (gần được hiểu là theo topology mạng, nếu

không biết topology thì hiểu là vị trí địa lý).

Xem tham khảo "danh sách những public ntp server". Nếu bạn chỉ làm cho 1 vài máy, hoặc

không cần độ chính xác cao, thì chỉ nên chọn những NTP server ở stratum 2.

Giả sử chọn được hai ntp server là ntp.nasa.gov (của NASA) và tick.mit.com (của MIT). Soạn

file /etc/ntp.conf có nội dung như sau

###------------------------------------------------------

###

restrict default ignore

restrict 127.0.0.1

### ghi 1 hay vài ntp server ở đây

# dng chính hardware clock của máy bạn làm server

server 127.127.1.0 # local clock

restrict 127.0.0.0 mask 255.0.0.0

fudge 127.127.1.0 stratum 10

# chú ý: đây chỉ là ví dụ, bạn không nên chọn

# những ntp server ở stratum 1 như sau đây!

# của cơ quan Hàng không Vũ trụ Mỹ NASA (stratum 1)

server 198.123.30.132 # ntp.nasa.gov

restrict 198.123.30.132 noquery

# của viện MIT (stratum 1)

server 18.145.0.30 # tick.mit.com

restrict 18.145.0.30 noquery

### những dòng sau không cần để ý

driftfile /etc/ntp/drift

broadcastdelay 0.008

#authenticate yes

#keys /etc/ntp/keys

###------------------------------------------------------------

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

10

Khởi động ntp

# ntpdate –u ntp.nasa.gov

# /etc/init.d/ntpd start

Cho ntp khởi động mỗi lúc bật máy:

# /sbin/chkconfig --level 3 ntpd on

Kiểm tra: với cấu hình như trên, khi gõ lệnh "ntpq -p" sẽ thấy

## output của "ntpq -p"

remote refid st t when poll reach delay offset jitter

========================================================================= LOCAL(0) LOCAL(0) 10 l 38 64 377 0.000 0.000 0.001

*ntp-nasa.arc.na .GPS. 1 u 108 512 37 144.438 556.028 3.925

+NAVOBS1.MIT.COM .PSC. 1 u 97 512 37 193.320 558.237 4.106

2) Cấu hình ntp server

Nếu bạn có quản lý một mạng máy tính (2, 3 máy hay nhiều hơn, 100, 1000, 10000 máy), hãy

dựng riêng cho mình một NTP server.

Cách làm ntp server đơn giản và rẻ tiền nhất: cấu hình một ntp server stratum 2 bằng cách

tham khảo đồng hồ của một public ntp server stratum 1.

Cấu hình ntp server stratum 2 rất đơn giản. Giả sử muốn máy 10.0.0.123 làm ntp server phục

vụ mạng 10.0.0.0/8, Chỉ cần thêm vào file ntp.conf của my 10.0.0.123 (xem ví dụ ntp.conf

của client ở phía trên) vài dòng như sau:

### ntp server cho 10.0.0.0/12

### update for ntp-4.2.0+: delete notrust

restrict 10.0.0.0 mask 255.240.0.0 nomodify notrap

Ở những máy client khác, chọn ntp server là 10.0.0.123 thay cho ntp.nasa.gov trong ví dụ trên.

Chú ý: có thể chỉ định ntp server cho DHCP client

VVIIIIII.. SSqquuiidd::

1) Thư mục mặc định:

/usr/local/squid: thư mục cài đặt Squid

/usr/local/squid/bin: thư mục lưu trữ binary squid và những tool đc hỗ trợ

/usr/local/squid/cache: thư mục lưu những dữ liệu được cache. Đây là thư mục mặc định, bạn

có thể thay đổi vị trí thư mục này.

/usr/local/squid/etc: những file cấu hình squid nằm trong thư mục này.

/usr/local/squid/src: thư mục lưu source code squid được download từ net

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

11

2) Tập tin cấu hình

Tất cả những file cấu hình được lưu trong thư mục /usr/local/squid/etc (Linux: /etc/squid ).

Một file cấu hình quan trọng nhất mà người quản trị cần nắm bắt là squid.conf.Trong file cấu

hình này có 125 tag option, nhưng chỉ có một số option được cấu hình, và những dòng chú

thích bắt đầu bằng dấu “ # ”. Bạn chỉ cần thay đổi 8 option cơ bản để cấu hình squid và khởi

động nó. Những option còn lại bạn có thể tìm hiểu thêm để hiểu rõ những tính năng mà squid

hỗ trợ.

3) Những option cơ bản

Bạn cần phải thay đổi một số option cơ bản để squid hoạt động. Mặc định squid cấm tất cả

browser truy cập.

http_port: cấu hình HTTP port mà squid sẽ lắng nghe những yêu cầu được gửi đến.

o Cú pháp:

o http_port <port>

o Mặc định : http_port 3128

o Ta thường thay đổi port này là 8080.

o http_port 8080

cache_dir: cấu hình thư mục lưu trữ dữ liệu được cache.

Mặc định: cache_dir /usr/local/squid/cache 100 16 256

Thư mục cache có kích thước mặc định là 100Mbps, bạn có thể thay đổi kích thước này.

Cache_effective_user, cache_effective_group: user và group có thể thay đổi squid.

Ví dụ :

cache_effective_user squid

cache_effective_group squid

Access Control List và Access Control Operators:

Ta có thể dùng Access Control List và Access Control Operators để ngăn chặn,

giới hạn việc truy xuất dựa vào destination domain, IP address của máy hoặc mạng. Mặc

định squid sẽ từ chối phục vụ tất cả vì vậy ta phải cấu hình lại tham số này.

4) Định nghĩa Access List dùng tag acl

Cú pháp:

acl aclname acltype string1 ..

acl aclname acltype "file" ...

acl aclname src ip-address/netmask ... (clients IP address)

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

12

addr1-addr2/netmask ... (range of addresses)

acl aclname dstdomain .foo.com ... # reverse lookup, client IP

acl aclname dst ip-address/netmask ... (URL host's IP address)

acl aclname dstdomain .foo.com ... # Destination server from URL

acl aclname time [day-abbrevs] [h1:m1-h2:m2]

# day-abbrevs:

# S - Sunday

# M - Monday

# T - Tuesday

# W - Wednesday

# H - Thursday

# F - Friday

# A - Saturday

# h1:m1 must be less than h2:m2

acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL

acl aclname port 80 70 21 ...

0-1024 ... # ranges allowed

acl aclname proto HTTP FTP ...

acl aclname method GET POST ...

acl cam src 192.168.1.1

http_access deny cam

Sử dụng access list vào các tag điều khiển truy cập.

5) Tag điều khiển truy xuất HTTP

http_access allow|deny [!]aclname ...

6) Tag điều khiển truy xuất cache_peer

cache_peer_access cache-host allow|deny [!]aclname ...

Ví Dụ: Ta chỉ cho phép mạng 172.16.1.0/24 được dùng proxy server bằng từ khóa src

trong acl

acl MyNetwork src 172.16.1.0/255.255.255.0

http_access allow MyNetwork.

http_access deny all

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

13

Ta cũng có thể cấm các máy truy xuất đến những site không được phép (những site có nội

dung phù hợp) bằng từ khóa dstdomain trong acl, ví dụ:

Cấm clients truy cập trang yahoo.com

acl BadDomain dstdomain yahoo.com

http_access deny BadDomain

Nếu danh sách cấm truy xuất đến các site dài quá ta có thể lưu vào 1 file text, trong file đó là

danh sách các địa chỉ. Như sau:

acl BadDomain dstdomain “/etc/squid/danhsachcam”

http_access deny BadDomain

Theo cấu hình trên thì file /etc/squid/danhsachcam là file văn bản lưu các địa chỉ không được

phép truy xuất được ghi lần lược theo từng dòng.

Ta có thể có nhiều acl, ứng với mỗi acl phải có một http_access, như sau:

acl MyNetwork src 172.16.1.0/255.255.255.0

acl BadDomain dstdomain www.yahoo.com

http_access deny BadDomain

http_access allow MyNetwork.

http_access deny all

Như vậy cấu hình trên cho ta thấy proxy cấm các máy truy xuất đến site www.yahoo.com và

chỉ có mạng 172.16.1.0/32 là được phép dùng proxy. “http_access deny all” : cấm tất cả

ngoài những acl đã được khai báo.

Cache_peer:

Nếu proxy không thể kết nối trực tiếp với internet vì không có real IP address hoặc proxy

nằm sau 1 firewall thì ta phải cho proxy query đến proxy khác có thể dùng internet bằng

tham số: cache_peer.

Cú pháp của tag cache_peer

cache_peer hostname type http_port icp_port

type = 'parent','sibling' hoặc multicast

Ví dụ các trường thành viên trong ĐHQG khai báo như sau:

cache_peer vnuserv.vnuhcm.com.vn parent 8080 8082

Cấu hình trên cho thấy proxy sẽ query lên proxy “cha” vnuserv.vnuhcm.com.vn với tham số

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

14

parent thông qua http_port là 8080 và icp_port là 8082.

Ngoài ra trong cùng một mạng nếu có nhiều proxy thì ta có thể cho các proxy này query lẫn

nhau như sau:

cache_peer proxy2.vnuhcm.com.vn sibling 8080 8082

cache_peer proxy3.vnuhcm.com.vn sibling 8080 8082

sibling: dùng cho các proxy ngang hàng với nhau.

7) Khởi động squid

Sau khi đã cài đặt và cấu hình lại squid ta phải tạo cache trước khi chạy squid bằng lệnh:

squid -z

Nếu trong quá trình tạo cache bị lỗi ta chú ý đến các quyền trong thư mục cache được khai báo

trong tham số cache_dir. Có thể thư mục đó không được phép ghi. nếu có ta phải thay đổi

bằng:

chown squid:squid /var/spool/squid

chmod 770 /var/spool/squid

Sau khi tạo xong thư mục cache ta khởi động squid bằng lệnh :

/usr/local/squid/squid –D&

Trong môi trường Linux bạn không cần phải tạo cache. Khi khởi động bằng script sau nó sẽ tự

động tạo cache:

/etc/init.d/squid start

Để ngưng squid ta cũng có thể dùng script như sau:

/etc/init.d/squid stop

IIXX.. KKiiểểmm cchhứứnngg SSuuddoo::

Đăng nhập vào hệ thống với user root. Tạo ra 2 user mới làn User1 và User2

Thêm vào file /etc/sudoers bằng lệnh: # visudo hay # visudo –f /etc/sudoers

Tại vùng User Alias:

User_Alias ADMIN=USER1

Cmnd_Alias PW=/usr/bin/passwd [A-z]* !/usr/bin/passwd root

Dòng này định nghĩa 1 User Alias có tên là ADMIN, dùng để đại diện cho User1. Nếu muốn

thêm 1 user vào danh sách này thì : User_Alias ADMIN=USER1,USER2,…,USERn

Tại vùng User Specification: ADMINS ALL=PW (phía trên dòng root ALL=(ALL) ALL)

Lưu và kết thúc visudo

Đăng nhập vào bằng User1, sau đó thử đổi mật khẩu cho User2

# sudo passwd user2

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

15

XX.. CCấấuu hhììnnhh LLDDAAPP::

Mục đích là để chia sẻ thư mục /home cho user LDAP, khi user LDAP đăng nhập vào hệ thốn

thì nó sẽ sd thư mục này làm thư mục /home của chính user đó.

1) Cấu hình trên Server:

# vi /etc/exports

/home 10.0.0.0/8(rw,sync,no_root_squash)

Chia sẻ thư mục /home cho các user trong mạng 10.0.0.0/8 kể cả user root

# service portmap restart

# service nfs restart

# exportfs –va

# exportfs –r

Sau đó ta dùng lệnh showmount để xem thư mục đó đã đc export chưa

# showmount –e localhost

# service iptables stop

Nếu ko tắt đi thì client sẽ ko mount vào thư mục chia sẻ trên server đc.

2) Cấu hình trên Client:

#showmount –e 10.0.0.123 // xem server export ~ thư mục nào

#mkdir /mnt/pub

# vi /etc/rc.local //thêm thông tin sau

Mount –t nfs 10.0.0.123:/home /mnt/pub

Thử xem có mount đc ko:

# mount –t nfs 10.0.0.123:/home /mnt/pub

3) Cấu hình trên server:

# vi /etc/openldap/slapd.conf //thêm vào

by dn="cn=Admin,dc=bntk,dc=com" write

by read

database ldbm

suffix "dc=bntk,dc=com"

rootdn "cn=Admin,dc=bntk,dc=com"

# service ldap restart

#vi /etc/hosts

10.0.0.123 bntk.com localdomain

# vi /tmp/test.ldif

dn: dc=bntk,dc=com

objectclass: dcObject

objectclass: organization

dc: bntk

o: bntk

dn: ou=people,dc=bntk,dc=com

objectclass: organizationalUnit

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

16

ou: people

dn: ou=group,dc=bntk,dc=com

objectclass: organizationalUnit

ou: group

dn: cn=kien,ou=people,dc=bntk,dc=com

objectclass: organizationalPerson

sn: bntrung

cn: kien

Dùng lệnh ldapadd để add vào CSDL của LDAP:

# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/test.ldif –W

389: port hoạt động của LDAP

# vi /usr/share/openldap/migration/migrate_common.php

$DEFAUL_MAIL_DOMAIN = “bntk.com”;

$DEFAUL_BASE = “dc=bntk,dc=com”;

$EXTENDED_SCHEMA = 1;

Dùng công cụ Migration tools để migrate file /etc/passwd và /etc/group thành file có đuôi .ldif

#cd /usr/share/openldap/migration/

# ./migrate_passwd.pl /etc/passwd > /tmp/passwdldap.ldif

# ./migrate_group.pl /etc/group > /tmp/groupldap.ldif

# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f

/tmp/passwdldap.ldif -W

# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f

/tmp/groupldap.ldif -W

# useradd user1

# useradd user2

# tail -2 /etc/passwd > /tmp/user

# tail -2 /etc/group > /tmp/group

Trong đó 2 là số user vừa mới đc tạo ra, nếu chỉ tạo 1 user thì sửa lại là “tail -1…”

Tiếp tục migrate 2 file /tmp/user và /tmp/group thành file có đuôi là .ldif và add vào CSDL

#cd /usr/share/openldap/migration

# ./migrate_passwd.pl /tmp/user > /tmp/userldap.ldif

# ./migrate_group.pl /tmp/group > /tmp/group2ldap.ldif

# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/userldap.ldif

-W

# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f

/tmp/group2ldap.ldif -W

Khởi động lại dịch vụ: #service ldap restart

4) Cấu hình trên LDAP Client:

# vi /etc/hosts

10.0.0.123 bntk.com localhost

# authconfig //cấu hình bằng giao diện đồ họa

CẤU HÌNH MẠNG TRONG FEDORA CORE

BNTK

17

Chọn LDAP

Chọn Use Shadow Passwd

Chọn Use MD5 Password

Chon LDAP Authentication

OK

Ta có thể truy vấn từ client bằng lệnh ldapsearch, nếu truy vấn đc thì hệ thống LDAP giữa

server và client đã hoạt động đc.

LDAP server: phải khởi động trước tiên, phải đảm bảo nfs service hoạt động tốt, tắt

iptables và khởi động các dịch vụ:portmap, nfs, ldap.

LDAP client: cấu hình nfs và LDAP chính xác, đảm bảo mount vào đc thư mục export trên

LDAP server. Đăng nhập vào bằng user LDAP, nếu đc thì chứng tỏ hệ thống LDAP hoạt

động tốt.

---The End---