Elektronika a počítače > Software

Základní konfigurace síťových služeb

(1/1)

Jane Irulan:
Nedalo mi to rozhodl jsem se začít s nějakým seriálem, řekněme Linuxnet občasníkem. Občas řeším nějaké serverové služby, a píšu nějaké základní úkony na naší firemní wiki, tak je mi líto nenapostovat je i sem. Jedná se o základní informace, které mohou uživatelům pomoci. Jedná se o síťové služby. V případě dotazů se nezdráhejte psát přímo do topicu nebo posílejte PM. Ale v topicu je to lepší, protože stejný problém, jako vy může mít i někdo jiný. A když budu vědět, tak zkusím odpovědět :) Jen prosím dávejte dotazy týkající se věcí o kterých se zde bude psát. Budete-li mít jiný dotaz (př. netýkající se sítí) založte nové téma! Díky.

To trochu na úvod :)

Dnes bych začal úvodem do Freeradiusu.

Freeradius

 :potlesk:Co je to Freeradius?

Jedná se o open source RADIUS (Remote Authentication Dial In User Service) server. RADIUS protokol je AAA (authentication, authorization, accounting) protokol, který umožňuje ověřování uživatele, který se připojuje k síti, síťovým prvkům apod. Představte si, že máte v práci pět Access Pointů pro WiFi připojení. Na RADIUSu si nastavíte jedno uživatelské jméno, heslo a přístupová práva. A pak se na všechna AP můžete přihlásit právě pod tímto účtem a s danými oprávněními. Nemusíte je nastavovat na všech AP zvlášť :)

 :potlesk:Více viz:

--- Kód: ---http://wiki.freeradius.org/Main_Page
http://cs.wikipedia.org/wiki/RADIUS
--- Konec kódu ---

 :potlesk:A teď k věci:

V Debianích systémech je třeba nejprve nainstalovat potřebné balíky

sudo aptitude update
sudo aptitude install freeradius

Po instalaci se server konfiguruje pomocí několika .conf souborů. Tedy následuje základní přehled jednotlivých konfiguračních souborů

 :potlesk:clients.conf

V tomto souboru se nastavuje síťový rozsah pro který bude RADIUS poskytovat své služby. Příklad nastavení:

client 192.168.100.0/24 {
   secret    = key
   shortname = mistake
}

Přičemž do proměnné secret je uložen klíč, který musí mít stejný i klient, který se pokouší o autentifikaci

 :potlesk:radiusd.conf

Toto je hlavní konfigurační soubor pro vlastní RADIUS server. Jednotlivé konfigurovatelné atributy jsou děleny do několika sekcí. První sekce je věnována základním atributům. Další se pak věnují autentizaci, autorizaci a účtování. Podstatné je nastavení modulů, které bude RADIUS používat. Zde však záleží na použité metodě (př. PAP, CHAP, EAP, ...).

Všechny nastavitelné atributy jsou okomentovány a je nutno prokousat se jednotlivými sekcemi, které vás zajímají. Pro základní funkce je server schopný provozu bez úpravy tohoto souboru. Jediný problém, který se vyskytl na mém stroji byla absence EAP certifikátů, které si buď musíte stáhnout nebo vygenerovat. Pro generování se používá OpenSSL. Postup napíšu příště. Nemáte-li certifikáty, zaremujte moduly EAP. Server by pak měl chodit v pohodě.

 :potlesk:users

Tento soubor je využíván v případě, že jednotlivé uživatelské účty nejsou uložené v LDAP či MySQL databázi. Základní konfigurace je velmi snadná. Stačí přidat např:

"jouda" User-password == "heslo"

V případě, že potřebujete přidat autentizaci do ENABLE MODU u CISCO zařízení přidejte tento řádek:

"$enab15$" User-password == "enaheslo"

Toť vše pro naprosto jednoduchou, ale funkční konfiguraci :)

 :potlesk:Debug mód

Server můžete spustit v debug módu, který je bezvadný na odladění. Výpis je krapet nepřehledný, ale funkční. Normálně se spouští server přes skript,

/etc/init.d/freeradius start

ale při tomto spuštění se nezobrazují chybové hlášení. Proto je pro začátek lepší spouštět server

radiusd -X

Otestovat můžete nastavení accountu též pomocí utilitky radtest

radtest jouda heslo 192.168.100.1 10 key

kde "jouda" je jméno uživatele, "heslo" jeho heslo, "192.168.100.1" adresa RADIUS serveru, "10" NAS port a "key" je secret pro klientskou síť

Janina I

Jane Irulan:
Dneska přidám další službu. Protože jsem minule začal docela z ostra, tak dnes zvolním krok. Dnešní díl seriálu o síťových službách bude věnován DHCP serveru a jeho nastavení. Toto je služba, kterou můžete sami velmi dobře využít i na domácí síti. A valná většina z nás ji již využívá :) Právě ISP (Internet Service Provider) pomocí ní umožnuje přidělování IP adres účastníkům sítě.

DHCP

:potlesk: Co je to DHCP?

DHCP (Dynamic Host Configuration Protocol) je protokol, jež umožňuje přidělovat IP adresy hostům, kteří se přihlásí k síti. Ve zkratce funguje tak, že na hostu je nakonfigurován DHCP klient, který požádá server o adresu a ten mu ji přidělí. Tedy uživatel se nestará o nic, jen o zapnutí klienta. Pro uživatele linuxu, je možností několik. Já nejčastěji používám skript ifdown a ifup nebo třeba dhclient (používám Debian). Pro uživatele okeních systémů, stačí nastavit Start-Ovládací panely-Síťová připojení-Připojení k místní síti, zde odkliknout vlastnosti, ve skrolovacím menu sjet až na spodek a vybrat protokol sítě internet (TCP/IP) a znovu vlastnosti. V novém okně zaškrtnout políčko získat adresu z DHCP automaticky a potvrdit OK. (sami vidíte, že okna to mají mnohem složitější :D).

A protože DHCP je chytrý protokol nešíří se pouze informace o IP adrese, ale dále třeba i informace o výchozí bráně (tedy routeru, který směruje požadavky do internetu nebo dalších částí sítě), DNS jmeném serveru, jež se stará o překlad IP adres na jména (př. www.maxiforum.cz) a obráceně a dále třeba informace o síťové masce. Tento protokol je opravdu dosti mazaný a robusní. Každá síť, která obsahuje více než pět hostů by mohla mít svůj DHCP server, protože konfigurace je snadná a už se nemusíte starat o adresní prostor.

:potlesk: Více zde

--- Kód: ---http://en.wikipedia.org/wiki/Dhcp
--- Konec kódu ---

:potlesk: Instalace

Opět jak toto funguje v Debianích systémech

sudo aptitude install dhcp3-server

Jak už to u linxu bývá zvykem, máte možnost nainstalovat více možných serverů. Já používám DHCP3, který je v defaultních repozitářích Debianu. Myslím ale, že je velmi často používán :)

:potlesk: /etc/dhcp3/dhcpd.conf

Toto je konfigurační soubor celého serveru, zde se provádí veškeré úpravy. Jestliže ve své síti máte pouze jeden DHCP server a nepočítáte, že jich bude více odkomentujte násleudjící řádek

#authoritative

Tím zajistíte, že pro vaší síť bude server autoritativní (směrodatný).

Nejzajímavější část souboru je sekce subnet, ve které definujete rozsah adres, které budete přidělovat.

subnet 10.5.5.0 netmask 255.255.255.224 {
  range 10.5.5.26 10.5.5.30;
  option domain-name-servers ns1.internal.example.org;
  option domain-name "internal.example.org";
  option routers 10.5.5.1;
  option broadcast-address 10.5.5.31;
  default-lease-time 600;
  max-lease-time 7200;
}

V tomto případě, který jsem si vypůjčil přímo z dhcpd.conf definuji, že budu poskytovat adresy z rozpětí 10.5.5.26 až 10.5.5.30. DNS server je ns1.internal.example.org, doménové jméno internal.example.org, výchozí brána 10.5.5.1, broadcastová (všesměrová) adresa je 10.5.5.31 (protože používáme beztřídní masku - hned první řádek) a doba na jakou server vypůjčuje adresu hostům. Poslední dva řádky bych vůbec nepoužíval, pouze máte-li speciální požadavky na vypůjčení adres.

host tajfun {
  hardware ethernet 0a:00:07:26:c0:a5;
  fixed-address 10.5.5.2;
}

V této sekci přiděluji napevno IP adresu hostu s MAC adresou 0a:00:07:26:c0:a5. Čímž zajistíte, že počítač bude mít vždy stejnou adresu :) To oceníte v případě, že je to stroj, který musí být vzdáleně konfigurovatelný, takže to třeba může být Váš linux s běžícím DHCP serverem.

:potlesk: /etc/default/dhcp3-server

V tomto souboru jen přiřadíte interface na kterém bude DHCP server naslouchat žádostem o přidělení adresy. Takže vyplňte pouze následující (používáte-li jiný interface, musíte změnit eth0)

INTERFACES="eth0"

:potlesk: Spuštění

Server spustíte, jak už bývá v Debianu zvykem skriptem

sudo /etc/int.d/dhcp3-server start

:potlesk: Troubleshooting

Tento DHCP server nemá vlastní logovací soubor, proto veškeré události spojené s během najdete ve

sudo tail /var/log/syslog

Tak a to je pro dnešek vše :) Příště se jukneme na NAT (Network Addresse Translation).

Janina I

MorpheuS:
muzu rejpat?  :-D

DHCP schvaluju, freeradius se mi zda docela palka pro normalni lidi (a to ze se nepouziva jen na overovani na AP a obecne systemech ale spis pro WPA-EAP nejak tajis), a NAT je vec na dva (ano, opravdu dva, "iptables -A POSTROUTING -t nat -j MASQUERADE; echo 1 > /proc/sys/net/ipv4/ip_forward") prikazy...ale jinak musim moc pochvalit za snahu, snad budes mit uspech

Jane Irulan:
Jé, MorpheuS ve své rodné sekci :) Máš pravdu, že tajím kupu věcí. S radiusem jsem to poslal, protože jsem psal podobný návod na firemní wiki. Pak mě napadlo, že z běžných uživatelů fóra asi nikdo radius nevyužije, tak jsem šel do toho DHCPka. NAT je snadná záležitost a už jsi jej vymákl sám :) Tak si najdu jiné téma :)

A když už jsem v tom, tak se tě zeptám zda nemáš praktickou zkušenost s Heimdalem (Kerberos)? Zajímala by mě interoperabilita s MS Win a jejich aplikacemi.

Díky JI

Navigace

[0] Seznam témat

Přejít na plnou verzi