SolutionsiT

Pomiary obciążenia serwerów Jakich narzędzi najlepiej użyć i jak interpretować wyniki

Wady i zalety szyfrowania dysków Dostępne rozwiązania dla różnych systemów operacyjnych. Wady i zalety oprogramowania typu open source.

Jak zbudować Active Directory z wykorzystaniem serwerów linuksowych – instrukcja krok po kroku Wady i zalety tego rozwiązania

Miesięcznik kierowników działów IT

Nr 1 (1) marzec 2015

Nr 12015

Technologia VOIPTechnologia VOIPCzy wdrażać ją, korzystając z klasycznych operatorów telekomunikacyjnych, czy lepiej skorzystać z takich usługodawców jak Skype? Jak wprowadzić rozwiązania wideokonferencyjne i służące do pracy grupowej w firmie o rozproszonej strukturze?

2 | 3

1. Wdrożenie Active Directory Kluczowym elementem każdej firmowej sieci komputerowej jest jej hierarchiczna konstrukcja. Elementy składowe tworzą usystematyzowany układ logiczny, dzięki któremu otrzymujemy pełną wiedzę na temat umiejscowienia obiektu w struk-turze, roli, jaką odgrywa w systemie, oraz relacji zachodzących między nimi. Taką idealną strukturę zapewnia usługa katalogowa Active Directory, dzięki któ-rej możemy uporządkować i wygodnie zarządzać wszystkimi obiektami znaj-dującymi się w obrębie firmowej sieci komputerowej. Usługa Active Directory stanowi bardzo ważny element w organi-zowaniu wszelkich usług w firmach. Daje ona możliwość przechowywania infor-macji zarówno o użytkownikach, jak i o komputerach i innych urządzeniach w ramach danej organizacji. Wdrożenie usług katalogowych Active Directory w firmach zawsze wiązało się z koniecz-nością zainwestowania w środowisko serwerowe Windows. Przez długie lata nie było żadnej alternatywy i byliśmy niejako skazani na kosztowne rozwiąza-nia giganta z Redmond.

Pojawienie się stabilnej wersji Samby 4 wprowadziło gotową, w pełni funkcjo-nalną, darmową alternatywę. Serwer Sam-ba 4 doskonale sprawdza się w roli kon-trolera domeny Active Directory w sys-temach wolnego oprogramowania i daje zupełnie nowe możliwości administrato-rom sieci oraz menedżerom działów IT. Teraz, niezależnie od wielkości przedsię-biorstwa, jesteśmy w stanie szybko i bez konieczności ponoszenia dodatkowych kosztów uporządkować infrastrukturę IT

firmy, ograniczyć koszty związane z jej obsługą czy ujednolicać procesy admini-stracyjne działami.

Sambę 4 możemy skonfigurować jako główny kontroler Active Directory lub jako dodatkowe kontrolery podłączone do funk-cjonujących już domen opartych zarówno na systemie Windows, jak i na Linuksie. Oprogramowanie Samba 4 wspiera więk-szość funkcjonalności, jakie udostępnia usługa Active Directory na systemach z ro-dziny Windows, w tym polityki grup GPO, zdalne uruchamianie procesów, szablony administracyjne, skrypty logowania, profi-le mobilne, łączenie się z usługą Exchange i wiele innych operacji na obiektach katalo-gu, udostępnianych przez usługę AD.

Oprogramowanie Samba 4 możemy zainstalować na większości dystrybucji Linuksa, instrukcje zawarte w tej publi-kacji wykonywane zostały na dystrybucji Debian Wheezy. Pełna dokumentacja ser-wera znajduje się na stronie [1]. Wszystkie testy przedstawione w tym artykule zo-stały przeprowadzone na maszynach wir-tualnych, konfigurowanych w środowisku Oracle VirtualBox: Debian Wheezy [2] jako maszyna pełniąca funkcję kontrolera domeny Active Directory, dwie maszyny z systemami Windows (Windows 7/8) jako członkowie domeny i system Ubun-tu 12.04.5 LTS (Precise Pangolin) [3] jako członek domeny Linux.

2. Samba 4 jako kontroler Active DirectoryW celu zapewnienia wszystkich możli-wości, jakie daje nam kontroler domeny Active Directory, Samba korzysta z szere-

gu wzajemnie współpracujących ze sobą usług systemowych. Do najważniejszych z nich należą:

» scentralizowana usługa katalogo-wa, realizowana za pośrednictwem OpenLDAP,

» domenowy system rozpoznawania nazw DNS – możemy wykorzystać zewnętrzne oprogramowanie DNS, np.: BIND9, lub wewnętrzną usługę DNS, dostarczoną razem z Sambą,

» usługa uwierzytelniania, wykorzystu-jąca mechanizm Kerberos – działa poprawnie, jeżeli wszystkie systemy mają zsynchronizowane zegary, a wy-stępujące między nimi opóźnienie nie jest większe niż pięć minut, dlatego wymagane jest jeszcze wykorzystanie NTP (ang. Network Time Protocol).

W testowym środowisku użyłem wbu-dowanego serwera DNS, który w wielu in-stalacjach okazuje się wystarczający.

3. Instalacja serwera Samba 4Podczas instalacji systemu operacyjnego wprowadzamy nazwę hosta oraz nazwę domeny, którą będziemy konfigurowali na potrzeby komunikacji z naszym kata-logiem (wszelkie zasady bezpieczeństwa czy inne aspekty konfiguracji systemu są pomijane, ponieważ nie są częścią poru-szanego tematu). Aby w pełni wykorzy-stać zaawansowane możliwości udostęp-niania zasobów, wykorzystując rozbu-dowany mechanizm uprawnień systemu Windows, należy sprawdzić, czy użyty system plików wspiera rozszerzone atry-buty plików oraz listy kontroli dostępu

iT soluTions M i r o s ł a w J ę d r a s i a k

Tworzymy Active Directory z wykorzystaniem serwerów linuksowychScentralizowane zarządzanie zasobami – ciekawa alternatywa dla Windows Servera w sieciach firmowych.

3

POSIX ACL. Do tego celu posłuży nam poniższa komenda, przy czym EXT4 za-stępujemy symbolem systemu plików, jaki wybraliśmy podczas instalacji – dla Debiana 7 domyślnie jest to EXT4:

# cat “/boot/config-`uname -r`” | less | grep ‘EXT4_FS_’

Wynik pozytywny będzie wyglądał jak na Listingu 1.

Listing: 1

CONFIG_EXT4_FS_XATTR=y

CONFIG_EXT4_FS_POSIX_ACL=y

CONFIG_EXT4_FS_SECURITY=y

Teraz możemy przystąpić do zmiany punktu montowania dysku w systemie plików. Aby tego dokonać, edytujemy /etc/fstab, odnajdujemy ścieżkę monto-wania, na której zamierzamy udostępniać zasoby, i zmieniamy wpis z:

/ ext4 errors=remount-ro 0 1

na:

/ ext4 errors=remount-ro,user_xattr,ac-l,barrier=1 1 1

Następnie montujemy ponownie partycję:

# mount -o remount /

W naszym przykładzie cały system zainstalowany jest na jednej partycji, dla-tego operacje wykonaliśmy na głównym punkcie montowania root – „ / ”.

WAŻNE: Podczas modyfikowania pli-ku /etc/fstab należy bardzo uważać – wprowadzenie błędnych wartości może uniemożliwiać uruchomienie systemu!

W przypadku systemów, które nie wspierają rozszerzonych atrybutów plików, oraz list POSIX ACL Samba 4 udostępnia możli-wość wykorzystania modułu do zapisywa-nia uprawnień atrybutów w pliku bazy da-nych, w którym mamy również opcję mo-dyfikacji list POSIX ACL. Aby skorzystać z tego rozwiązania, modyfikujemy plik /etc/samba/smb.conf, dodając do niego wpis:

posix:eadb = /usr/local/samba/private/eadb.tdb

Rozwiązanie oficjalnie nie jest zalecane w środowisku produkcyjnym, ponieważ nie skaluje się tak dobrze jak użycie roz-szerzonych atrybutów obsługiwanych bez-pośrednio przez system plików. Dostęp do bazy danych szybko może stać się bezpo-średnią przyczyną spadku stabilności i wy-dajności działania całego środowiska.

Po ponownym zamontowaniu partycji, na której będziemy współdzielić zasoby, za pomocą standardowego menedżera insta-lacji instalujemy pakiety attr oraz ACL. Na-stępnie sprawdzamy poprawność konfigu-racji, wpisując w powłoce na uprawnieniach konta root następujące polecenia:

# apt-get install attr acl # touch test.txt # setfattr -n user.test -v test test.txt # setfacl -m g:adm:rwx test.txt

Jeżeli wywołanie komend nie zakończyło się błędem lub komunikatem, to wszystko skonfigurowane jest poprawnie i możemy przejść dalej – w przeciwnym wypadku należy ponownie sprawdzić punkt mon-towania partycji.

Kolejnym etapem zbliżającym nas do właściwej instalacji serwera Samby 4 Active Directory jest ustawienie statycznego nume-ru IP i skonfigurowanie adresów serwerów DNS – w naszym przypadku użyliśmy do-myślnego adresu, pokrywającego się z bramą sieciową (klasyczna konfiguracja z małym routerem). Na koniec edytujemy plik /etc/hosts wskazując w nim pełną nazwę serwera oraz numer IP serwera (Listing 2):

Listing: 2

/etc/network/interfaces allow-hotplug eth0 iface eth0 inet static

address 192.168.10.180 netmask 255.255.255.0 network 192.168.10.0 broadcast 192.168.10.255 gateway 192.168.10.1 /etc/resolv.conf search ntsolution.local nameserver 192.168.10.1 domain NTSOLUTION.LOCAL /etc/hosts 127.0.0.1 localhost 192.168.10.180 dc. ntsolution.local dc

Instalujemy zestaw pakietów i biblioteki, zgodnie z oficjalnymi informacjami umiesz-czonymi w instrukcji instalacji Samba 4 [4], które są niezbędne do samodzielnej kompi-lacji źródeł Samby. Do tego celu używamy standardowego menedżera pakietów apt-get dla systemów z rodziny Debian/Ubuntu (na oficjalnej stronie Samba HOWTO [4] znajdziemy zestawy dla innych dystrybucji Linuksa). Następnie wprowadzamy w po-włoce systemu polecenie:

# apt-get install build-essential libacl1--dev libattr1-dev \ libblkid-dev libgnutls-dev libreadline-dev python-dev \ libpam0g-dev python-dnspython gdb pkg-config libpopt-dev \ libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl \ libcups2-dev acl

Jednym z instalowanych pakietów jest Kerberos, który do wstępnej konfigura-cji wymaga wprowadzenia kilku danych podczas instalacji. W pierwszej kolejności podajemy pełną nazwę domeny – powin-na być ona zgodna z tą, którą podaliśmy podczas instalacji systemu operacyjnego (rysunek 1).

N T S O L U T I O N S

Rysunek 1

4 | 5

W kolejnych dwóch oknach podajemy kompletną nazwę domenową serwera (nazwa_komputera.nazwa_domeny), na którym będzie zainstalowana usługa Ker-berosa, oraz serwera, który będzie admi-nistrował tę usługę (w naszym przypadku jest to ten sam system). Następnie dwa razy wprowadzamy:

dc.ntsolution.local

Po zakończeniu instalacji pobieramy najnowszą stabilną wersję Samby 4 [1] (w tym przypadku wykorzystana została Samba w wersji 4.1.16). Po wypakowaniu pobranego archiwum sprawdzamy inte-gralność źródeł i uruchamiamy proces kompilacji (Listing 3).

Listing 3

# cd /usr/src # wget https://download.samba.org/pub/samba/stable/samba-4.1.16.tar.gz # tar zxvf samba-4.1.16.tar.gz # cd samba-4.1.16 # ./configure --enable-selftest # make

Po zakończeniu procesu kompilacji insta-lujemy pakiet Samba 4 w systemie, wpisu-jąc komendę:

# make install

Na zakończenie aktualizujemy plik /etc/rc.local z lokalną listą usług uruchamianych automatycznie wraz ze startem systemu operacyjnego, w którym dodajemy ścieżkę do pliku wykonywalnego Samby. Możemy ręcznie edytować go w dowolnym edyto-rze powłoki lub wpisując w powłoce pole-cenie, które napisze istniejący plik:

# printf ‘#!/bin/sh -e\n/usr/local/samba/sbin/samba\nexit 0’ > /etc/rc.local

Dobrą praktyką jest dodanie ścieżki dostępu do katalogu narzędzi Samby w zmiennej PATH, dzięki czemu nie bę-dziemy musieli podawać kompletnej bez-względnej ścieżki dostępu podczas pracy z pakietem. W powłoce wprowadzamy następujące polecenie:

# echo ‘export PATH=/usr/local/sam-ba/bin:\ /usr/local/samba/sbin:$PATH’ >> /etc/profile

Pakiet Samba 4 został poprawnie zainsta-lowany. W ten sposób przygotowaliśmy serwer, który spełnia wszystkie wymaga-nia stawiane przez środowisko Samba 4. Skonfigurowanie samej roli kontrolera domeny Active Directory będzie już pro-stym zadaniem.

4. Konfiguracja Samby 4 jako kontrolera domeny Active DirectoryPrzygodę z linuksowym katalogiem Ac-tive Directory zaczynamy, wykonując tę samą czynność jak w przypadku sys-temów Windows Server. Cały proces zaczyna się od wypromowania serwera do pełnienia funkcji kontrolera domeny Active Directory. Mamy do wyboru dwie możliwości:

1) opcję szybszą, automatyczną, wyko-rzystującą polecenie samba-tool ze wstęp-nie skonfigurowanymi argumentami:

# samba-tool domain provision --realm=’NTSOLUTION.LOCAL’ \ --domain=’NTSOLUTION’ --adminpass=’TajneH@SLo’ \ --server-role=’dc’ --dns-backend= ’SAMBA_INTERNAL’

2) tryb interaktywny, w którym bę-dziemy udzielali odpowiedzi na pyta-nia kreatora dotyczące poszczególnych ustawień serwera (są to m.in.: nazwa domeny, hasło administratora, rola pro-mowanego serwera). W tym przypadku wpisujemy w powłoce polecenie sam-ba-tool bez argumentów:

# samba-tool domain provision

Podstawowym narzędziem admini-stracyjnym Samby 4 dla kontrolera domeny Active Directory w systemie Linuks jest narzędzie samba-tool. Je-żeli wszystkie elementy systemu skon-figurowaliśmy właściwie i użyjemy trybu interaktywnego, to większość argumentów zostanie skonfigurowana automatycznie, wystarczy potwierdzić wartość enterem. By zrozumieć sposób działania wykorzystanych opcji, przyj-rzyjmy się argumentom użytym w po-leceniu:

» domain provision – podstawowy argument, który aktywuje procesy

bezpośrednio oddziałujące na dome-nę: „domain” – zarządza domeną, „provision” – odpowiada za bezpo-średnią konfigurację domeny,

» --realm – pełna nazwa domeny (za-wsze musi być wprowadzona wielki-mi literami),

» --domain – nazwa domeny (również wprowadzana dużymi literami),

» --adminpass – hasło administra-tora. W usłudze Active Directory zastosowano politykę ściśle okre-ślającą stopień złożoności haseł używanych w środowisku domeno-wym (tzw. Windows Password Po-licies). Jeżeli użyjemy hasła, które nie spełnia wymogów tej polityki, system zgłosi błąd i polecenie trzeba będzie uruchomić ponownie. Jeżeli natomiast w ogóle nie zdefiniujemy hasła, to Samba zrobi to za nas, ge-nerując losowe hasło,

» --server-role – rola jaką będzie od-grywał serwer Samba, domyślnie jest to kontroler domeny ‘dc’, choć do-stępne są jeszcze inne opcje (mem-ber, standalone),

» --dns-backend – ta opcja ustawia serwer DNS, z którego będzie ko-rzystała Samba. Jeżeli zamierzamy użyć serwer DNS, dostarczany razem z Sambą, tak jak w naszym przypad-ku, to możemy całkowicie pominąć ten argument.

Oczywiście, nie są to wszystkie opcje, jakie oferuje samba-tool, których może-my użyć podczas promowania domeny. Dlatego zachęcam do zapoznania się z kompletną listą argumentów, używając systemowego podręcznika (man samba--tool) lub pomocy wyświetlanej bezpo-średnio w powłoce:

# samba-tool domain provision --help

Po zakończeniu wykonywania ww. pole-cenia, użytego do promowania serwera Samba 4 jako kontrolera usług Active Directory, sprawdzamy, czy nie pojawiły się błędy w trakcie przetwarzania pole-cenia i czy wszystkie wprowadzone dane są poprawne. Dane wyjściowe otrzymane po zakończeniu wykonywania polecenia będą zbliżone do tych przedstawionych dalej (Listing 4)

iT soluTions M i r o s ł a w J ę d r a s i a k

5

Listing 4

Looking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be assigned Setting up secrets.ldb Setting up the registry Setting up the privileges database Setting up idmap db Setting up SAM db Setting up sam.ldb partitions and settings Setting up sam.ldb rootDSE re-loading the Samba 4 and AD schema Adding DomainDN: DC=ntsolution,D-C=local Adding configuration container Setting up sam.ldb schema Setting up sam.ldb configuration data Setting up display specifiers Modifying display specifiers Adding users container Modifying users container Adding computers container Modifying computers container Setting up sam.ldb data Setting up well known security principals Setting up sam.ldb users and groups Setting up self join Adding DNS accounts Creating CN=MicrosoftDNS,C-N=System,DC=ntsolution,DC=local Creating DomainDnsZones and Fore-stDnsZones partitions Populating DomainDnsZones and Fore-stDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /usr/lo-cal/samba/private/krb5.conf Once the above files are installed, your Samba 4 server will be ready to use Server Role: active directory domain controller Hostname: dc NetBIOS Domain: NTSOLUTION DNS Domain: ntsolution.local DOMAIN SID: S-1-5-21-3891114598-798089130-2622606941

Jeżeli popełniliśmy błąd i chcemy ponow-nie użyć narzędzia samba-tool, musimy najpierw usunąć plik konfiguracyjny /usr/local/samba/etc/smb.conf, który został utworzony podczas wykonywania polecenia. W innym przypadku system zgłosi błąd i przerwie wykonywanie po-lecenia.

W wynikach wykonywania polecenia – poza podstawowymi informacjami na temat serwera – znajdziemy informację o wygenerowaniu pliku konfiguracyjnego usługi Kerberos. Musimy umieścić go w odpowiednim katalogu serwera – użyje-my do tego celu polecenia:

# cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Następnie sprawdzamy, czy plik został po-prawnie skopiowany:

#cat /etc/krb5.conf libdefaults] default_realm = NTSOLUTION.LOCAL dns_lookup_realm = false dns_lookup_kdc = true

Przed przystąpieniem do testów weryfi-kujących poprawność działania katalogu Active Directory warto podejrzeć plik konfiguracyjny Samby (/usr/local/sam-ba/etc/smb.conf). Sprawdzamy w nim, czy wszystkie wartości są zgodne z ocze-kiwanymi, a gdy używamy wewnętrzny serwer DNS Samby, zwracamy szczegól-ną uwagę na wartość opcji dns forwarder. Powinna ona wskazywać na poprawny adres serwera DNS, do którego będą kie-rowane wszystkie zapytania, jakich lokal-na usług DNS nie będzie stanie obsłużyć (rysunek 2).

Przed przystąpieniem do testów we-ryfikujących poprawność działania usługi Active Directory wykonujemy pełny re-start serwera (shutdown -r -now) w celu sprawdzenia reguły dodanej do /etc/rc.local, odpowiedzialnej za automatycz-ne uruchomienie Samby podczas startu systemu.

5. Weryfikacja konfiguracji serwera Samba 4Po zakończeniu konfiguracji Samby 4 bar-dzo ważnym etapem są testy weryfikujące poprawność działania szeregu usług, które są integralną częścią serwera Active Direc-tory. Przygotowane środowisko możemy zastosować w produkcji tylko wtedy, gdy wszystkie testy zakończą się pozytywnym wynikiem. Każde środowisko wymaga indywidualnego podejścia do procesu te-stowania, dlatego warto poświęcić temu procesowi trochę więcej czasu.

Poniżej przedstawię trzy podstawowe testy, jakie musi spełnić każda konfigu-racja, aby usługa Active Directory dzia-łała poprawnie:

1. Sprawdzamy, czy usługi serwera Samba 4 Active Directory są urucho-mione w systemie:

# netstat -tupl | grep samba

Poprawny wynik jest przedstawiony (rysunek 3) w formie listy aktywnie na-słuchujących procesów serwera Samba. W przeciwnym wypadku usługa Samby nie została uruchomiona.2. Sprawdzamy poprawność działania

serwera DNS, który odgrywa kluczo-wą rolę dla poprawnego działania śro-dowiska domenowego. Usługa Active Directory do zlokalizowania kontro-lerów domeny używa rekordu SRV, który służy do identyfikowania ser-werów oferujących określone usługi:

# host -t SRV _kerberos._udp.ntsolution.local _kerberos._udp.ntsolution.local has SRV record 0 100 88 dc.ntsolution.local.

N T S O L U T I O N S

Rysunek 2

6 | 7

Podczas testowania zapytań DNS spraw-dzamy również, czy serwer jest w stanie obsłużyć zapytania, które kierują na ze-wnętrzne usługi. W tym celu wpisujemy polecenie:

# host ntsolution.pl ntsolution.pl has address 87.98.239.19 ntsolution.pl mail is handled by 10 alt3.aspmx.l.google.com. ntsolution.pl mail is handled by 10 alt4.aspmx.l.google.com. ntsolution.pl mail is handled by 1 asp-mx.l.google.com. ntsolution.pl mail is handled by 5 alt1.aspmx.l.google.com. ntsolution.pl mail is handled by 5 alt2.aspmx.l.google.com.

Jeżeli system nie odnalazł rekordów, sprawdzamy poprawność ustawienia ser-werów DNS w /etc/resolv.conf oraz opcji ‘dns forwarder’ w pliku konfiguracyjnym Samby.

3. Sprawdzamy mechanizm uwierzy-telniania Kerberos:

# kinit administrator Password for administrator@NTSOLU-TION.LOCAL: Warning: Your password will expire in 41 days on Mon Mar 23 08:09:13 2015 # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@NT-SOLUTION.LOCAL Valid starting Expires Service principal 09.02.2015 08:35:56 09.02.2015 23:35:56 krbtgt/NTSOLUTION.LO-CAL@NTSOLUTION.LOCAL renew until 10.02.2015 08:35:38

Wynikiem oczekiwanym wykonania polecenia kinit jest informacja o dacie wygaśnięcia ważności hasła, z kolei klist potwierdza otrzymanie biletu uwierzy-telnienia, przydzielonego przez usługę Kerberos. W innym przypadku sprawdza-

my wszystkie pliki konfiguracyjne usługi Samba Active Directory.

6. Podłączanie członka domenyPodłączenie klienta Ubuntu, Windows 7 i 8.

7. Administrowanie katalogiem Active DirectorySamba-tools, narzędzia administracji zdalnej serwera dla systemu Windows.

8. Praktycznie przykładyUdostępnianie zasobów z wykorzystaniem za-wansowanych uprawnień systemu Windows.

Administrowanie stacjami roboczymi za pomocą polityk GPO.

Wykorzystanie profili mobilnych w przedsiębiorstwie.

Zastosowanie szablonów administra-cyjnych na podstawie wybranej aplikacji.

9. KorzyściOpis korzyści wynikających z prowadze-nia środowiska domenowego w przedsię-biorstwie, niezależnie od jego wielkości.

10. OgraniczeniaBrak wsparcia i gwarancji, niekompletna dokumentacja techniczna.

11. PodsumowanieWnioski1. https://www.samba.org.2. https://www.debian.org/distrib/.3. http://releases.ubuntu.com/12.04/.4. https://wiki.samba.org/index.php/OS_Requirements.

iT soluTions M i r o s ł a w J ę d r a s i a k

Rysunek 3