Asx m06 Eac2 Solució 1516s2

Generalitat de Catalunya Departament d’EnsenyamentInstitut Obert de Catalunya

Proposta de solució

2251 CFGS Administració de Sistemes Informàtics i XarxesMòdul 6 – Administració de sistemes operatius

UF1 – Administració avançada de sistemes operatius U2 - Integració de sistemes operatius en xarxa lliures i

propietaris

EAC 2(Curs 2015–16 / 2on semestre)

Proposta de solució

Nota. Els materials del mòdul estan basats en el sistema operatiu Debian 6.0.7 (Squeeze) però en aquest EAC utilitzarem Debian 8.3, que és la darrera versió estable. És fonamental que utilitzeu aquesta versió i nouna altra, per tal d'assegurar que tots treballeu amb el mateix sistema i facilitar, tant la realització, com la correcció dels exercicis, així com la interacció entre vosaltres al fòrum.

Qüestionari de tipus test (1,5 punts)

• Realitzeu el qüestionari que teniu al campus• Tipus test amb 15 preguntes i 4 respostes possibles a cada pregunta. Marqueu la resposta correcta.

Cada resposta correcta val 0,1 punts. Cada resposta errònia resta 0,025 punts. Les respostes enblanc no puntuen. Puntuació màxima: 1,5 punts.

• Teniu temps il·limitat i 2 intents per fer-lo.

Activitat 1: Compartició bàsica d'arxius d'un sistema Windows amb un client Linux (1 punt)

L'objectiu d'aquesta activitat és preparar l'entorn necessari per dur a terme les successives activitatsd'aquest EAC. També es tracta de conèixer quines són les eines de les quals disposen les distribucions deLinux actuals per connectar-se a un recurs compartit de Windows.

Per realitzar aquesta part de l'EAC heu de disposar de la màquina virtual ioc-Server (creada a l'EAC1) ambel sistema operatiu Debian 8.3 instal·lat i les dues interfícies de xarxa de l'EAC1: una en mode NAT i l'altraen mode xarxa interna amb la IPv4: 192.168.56.10/24.

Creeu una màquina virtual amb el sistema operatiu Windows 7 Professional (descarregueu la ISO de l'auladel mòdul). Quan instal·leu el sistema doneu-li el nom de ioc-Win7 (màquina Windows), amb un únicadaptador de xarxa en mode intern.

Adreça IP per a l'adaptador de xarxa interna a Windows: 192.168.56.12/24Compartiu una carpeta a Windows: compartida. Accediu des de Linux a aquesta carpeta compartida.

Expliqueu el procediment seguit i adjunteu dues captures de pantalla representatives que demostrin que heuaconseguit connectar-vos des del client Linux al recurs compartit de Windows.

A la màquina ioc-Win7 creem la carpeta c:/compartida, botó dret, propietats,compartir, compartir un altre cop.

Codi: I71 Exercici d'avaluació contínua 2 Pàgina 1 de 15

Versió: 02 ASX_M06_EAC2_Solució_1516S2Lliurament:31/03/2016

Formació professionalProposta de solució

A la màquina ioc-Server, anem al gestor d'arxius, examinar red, cliquem a ioc-Win7, cliquem a compartida i apareix la finestra d'identificació:

Introduïm l'usuari i contrasenya amb els que hem entrat a la màquina ioc-Win7,cliquem a compartida i ja podem crear carpetes i arxius sobre aquest recurscompartit.

Activitat 2: Instal.lació de Samba a la màquina ioc-Server (0,5 punts)

Instal·leu el servei Samba a la màquina ioc-Server. Consultant els fitxers de log del servei, indiqueu quinaversió de Samba heu instal·lat. Establiu un nivell de logging adient per tal de fer un seguiment mésexhaustiu al servei. Justifiqueu la resposta. Torneu al nivell de logging anterior.

Per instal.lar el servei Samba a la màquina ioc-Server, cal executar:# apt-get install samba samba-doc

Per esbrinar la versió de Samba que hem instal·lat consultant els fitxers delog del servei:# tail -f /var/log/samba/log.smbd → versió 4.1.17

Samba estableix nivells de logging de 0 a 10 de menys a més detall. Esconsidera un nivell 3 com a adient per tal de fer un seguiment força exhaustiudel servei. Per modificar aquest nivell, cal editar el fitxer de configuracióde samba: gedit /etc/samba/smb.conf, i afegir i/o modificar la línia:

[global]...log level = 3...

A continuació es reinicia el servei:




service smbd restartservice nmbd restart

I així quedaria establert el nou nivell de logging.Per tal de tornar al nivell de logging anterior, caldria editar el fitxer deconfiguració de Samba i a la línia log level establir un valor de 0, o beesborrar aquesta línia i, reiniciar el servei per reflectir els canvis.

Activitat 3: Cas pràctic (7 punts)

EspaiBuc es un servei de buc d'assaig per músics, on poder llogar espais per poder assajar.

Es disposa d'un servidor Linux Debian i vàries màquines amb MS Windows 7 Professional. Es preténinstal·lar un servei de compartició de carpetes i impressores entre les diverses màquines.

Es detallen a continuació els requisits del servei:

1. Grups d'usuaris→ musics→ operadors→ gestors

2. Carpetes→ reserves: per reservar un espai un dia/hora determinat. Conté una aplicació que gestiona les reserves,per tant accés mode escriptura pels grups de musics, operadors i gestors. No és permès l'accés aconvidats.→ maquetes: lloc on desar els treballs per promoció dels músics, amb accés escriptura pels músics igestors i on només cada usuari pot crear/modificar els seus arxius. Accés en mode lectura pels operadors iconvidats.→ contacte: llistí telefònic, registre de telèfons, e-mails, dades de contacte dels diferents grups per podercontactar amb ells, ja sigui per temes relatius al buc d'assaig, ja sigui per contractacions pels representantsmusicals, pel que sigui. Accés a tothom en mode lectura, a excepció dels operadors i gestors que hi podenescriure. Permès l'accés als convidats.→ factures: factures generades com a conseqüència de cadascuna de les reserves. Accés restringit enmode lectura/escriptura només pel grup gestor. Per a la resta d'usuaris sense accés.

3. Impressora LaserPer imprimir una reserva feta. Per tenir constància d'una reserva feta per un determinat dia, hora i músic. Esdisposa de la impressora Epson AcuLaser CX29 NF. Enllaç a la pàgina de descàrrega de drivers (detecta elsistema operatiu): Drivers Epson Aculaser CX29

A) (2 punts) A l'equip ioc-Server creeu el domini Active directori anomenat espaibuc.lan el nom NetBIOS deldomini serà ESPAIBUC. Els comptes d’equip s’han d’afegir de manera automàtica. Detalleu els passos queheu fet per aconseguir el que demana l'enunciat. Adjunteu les captures de pantalla que obteniu al finalitzarles següents ordres (des d'un terminal com a root):

1. samba-tool domain provision --use-rfc2307 --interactive2. klist3. smbclient -L ioc-Server.espaibuc.lan -U%

Per realitzar aquest apartat podeu consultar la documentació del web: http://somebooks.es/?p=4787concretament els capítols 12.7. i 12.8, atès que el sistema operatiu Debian 8.3 porta la versió 4 de Samba iels materials didàctics que teniu a l'aula estan basats en la versió 3 de Samba. La nova versió de Sambapermet, entre d'altres, la creació d'un domini Active Directory i permet afegir els clients Windows sensemodificar el registre.



http://www.epson.es/es/es/viewcon/corporatesite/products/mainunits/support/10823?target=driver&languageId=8&driverId=372811&defaultOSId=12&DRV_CATEGORY_CODE=DRV#

http://somebooks.es/?p=4787


A l'equip ioc-Server (amb Samba prèviament instal·lat a l'Apartat 1):

1. Modifiqueu el fitxer /etc/hosts per afegir el nom del domini espaibuc.lan

127.0.0.1 localhost127.0.1.1 ioc-Server.espaibuc.lan ioc-Server

2. Modifiqueu la configuració de xarxa al fitxer /etc/network/interfaces

auto eth0 iface eth0 inet dhcp

auto eth1 iface eth1 inet static address 192.168.56.10 netmask 255.255.255.0 dns-nameservers 192.168.56.10 dns-search espaibuc.lan

Reinicieu el servei de xarxa per fer efectives les modificacions anteriorsservice networking restart

3. Instal·leu els paquets necessaris:

apt-get install smbclient attr build-essential libacl1-dev libattr1-devlibblkid-dev libgnutls28-dev libreadline-dev python-dev libpam0g-devpythondnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-devattr krb5-user docbook-xsl libcups2-dev acl ntp

Noteu que a Debian, el paquet libgnutls-dev es diu libgnutls28-dev a diferènciadel que diu la documentació web de l'enllaç.

4. Introduïu el nom del reialme de Kerberos: ESPAIBUC.LAN

5. Introduïu el nom del servidor de Kerberos: IOC-SERVER.ESPAIBUC.LAN

6. Introduïu el nom del servidor administratiu de Kerberos:IOC-SERVER.ESPAIBUC.LAN

7. Modifiqueu el nom del fitxer smb.conf perquè el sistema pugui crear-lo denou al promocionar el servidor a controlador de domini.

mv /etc/samba/smb.conf /etc/samba/smb.conf.old

8. Promoveu («promote») l'equip com a controlador de domini «Active Directory»amb la següent ordre:

samba-tool domain provision --use-rfc2307 –-interactive

Contesteu a tot amb «enter» (opcions per defecte) i escriviu una contrasenyacomplexa per a l'administrador, per exemple: Ebuc@ls1516



mailto:Alf@ls1516


9. Reinicieu l'equip. Per defecte, el sistema Debian amb networkmanager, haguardat el servidor DNS al fitxer /etc/resolv.conf amb la IP del que us hadonat Virtualbox, això farà que el domini no funcioni correctament, persolucionar-ho, una vegada reiniciat l'equip, heu d'editar el fitxer esmentatanteriorment i deixar només:

nameserver 192.168.56.10

10. Configuració de kerberos: Modifiqueu el nom del fitxer krb5.conf per podercopiar el que us ha creat samba al promocionar l'equip a controlador de domini:

mv /etc/krb5.conf /etc/krb5.conf.old

11. Creeu un enllaç simbòlic al fitxer de configuració de kerberos que ha creatSamba al crear el domini «Active Directory»

ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conf

12. Afegiu amb kinit les credencials de l'usuari administrator a kerberos:

kinit [email protected]




Heu d'introduir la contrasenya que heu fet servir al punt 8. (Promoure l'equipa controlador de domini). Us contestarà amb la data de caducitat de la vostracontrasenya.

12. Utilitzeu klist per consultar les autenticacions guardades al servidor:

13. Verifiqueu que els serveis que proporciona Samba funcionin correctament ambl'ordre smbclient -L ioc-Server.espaibuc.lan -U%

B) (0,5 punt) Creeu els tres grups i un usuari per grup. L'usuari admin serà l'usuari del grup gestors il'administrador del domini. Doneu els següents permisos als grups:

operadors: SeMachineAccountPrivilege,SeAddUsersPrivilege, SePrintOperatorPrivilege musics: SePrintOperatorPrivilege

Per crear els grups:#addgroup samba_usuaris#addgroup musics#addgroup operadors#addgroup gestors

Per crear els usuaris:#adduser music#adduser operador#adduser admin

Per associar cada usuari al seu grup:#usermod -G samba_usuaris,musics music#usermod -G samba_usuaris,operadors operador#usermod -G samba_usuaris,gestors admin

Per crear els usuaris a Samba(la opció -a afegeix els usuaris Linux a Samba):#smbpasswd -a music#smbpasswd -a operador




#smbpasswd -a admin

Per donar permisos:#samba-tool group addmembers "Domain Admins" admin#samba-tool group addmembers "Domain Computers" operadors#samba-tool group addmembers "Account Operators" operadors#samba-tool group addmembers "Print Operators" operadors#samba-tool group addmembers "Print Operators" musics

O bè:#net rpc rights grant operadors SeMachineAccountPrivilege SeAddUsersPrivilege SePrintOperatorPrivilege -U Administrator#net rpc rights grant musics SePrintOperatorPrivilege -U Administrator

C) (1 punt) Creeu les quatre carpetes compartides, considerant les restriccions esmentades a l'enunciat delcas pràctic: reserves, maquetes, contacte i factures.

En entorns Unix/Linux donar permisos 777 a les carpetes no és usual perqüestions de seguretat (independentment de què després els permisos de Sambasiguin més restrictius). Com que tots els usuaris que han de fer servir Sambapertanyen al grup «samba_usuaris», assignem a les carpetes permisos 770 (o quancalgui, 1770), propietari «root» i grup «samba_usuaris», amb això garantiml'accés correcte. Per tant:

#mkdir /home/compartit#cd /home/compartit

#mkdir contacte#chgrp samba_usuaris contacte#chmod 770 contacte

#mkdir maquetes#chgrp samba_usuaris maquetes#chmod 1770 maquetes -->important aquí l'sticky bit per assegurar que cadausuari modifica, esborra els seus arxius i/o directoris

#mkdir reserves#chgrp samba_usuaris reserves#chmod 770 reserves

#mkdir factures#chgrp samba_usuaris factures#chmod 770 factures

# gedit /etc/samba/smb.conf

[contacte]path = /home/compartit/contactebrowseable = yesguest ok = yesread only = novalid users = @operadors,@gestors,@musicswrite list = @operadors,@gestorsread list = @musics

[reserves]path = /home/compartit/reserves




browseable = yesguest ok = noread only = novalid users = @operadors,@gestors,@musicswrite list = @operadors,@gestors,@reserves

[maquetes]path = /home/compartit/maquetesbrowseable = yesguest ok = yesread only = novalid users = @operadors,@gestors,@musicswrite list = @gestors,@musicsread list = @operadors

[factures]path = /home/compartit/facturesbrowseable = noguest ok = noread only = novalid users = @gestorswrite list = @gestors

D) (1 punt) Afegiu l'equip Windows al domini creat anteriorment. Detalleu els passos que heu fet peraconseguir el que demana l'enunciat. Adjunteu una captura de pantalla del moment en el que feu la unió. Hade sortir una finestra amb el missatge: «Se unió correctamente al dominio espaibuc.lan»

1. Configuració del servidor DNS 192.168.56.10 a Windows: Feu clic al botó dretdel ratolí sobre la icona de xarxa a la safata de sistema, obriu el «Centro deredes i recursos compartidos», feu clic a «Cambiar configuración del adaptador»i clic al botó dret al damunt de «conexión de área local», propietats,desactiveu el protocol d'Internet versió 6, seleccioneu protocol d'Internetversió 4, propietats i empleneu el camp «Servidor DNS preferido» amb la IP:192.168.56.10

2. Afegir l'equip al domini espaibuc.lan: Aneu a «Panel de control» > «Sistemay seguridad» > «Mostrar el nombre de este equipo» > «Configuración avanzada delsistema». S'obre la finestra “Propiedades del sistema” i a la pestanya “Nombrede equipo”, feu clic al botó “Cambiar...”, seleccioneu «Dominio:», i escriviudintre: espaibuc.lan Utilitzeu les credencials de l'usuari administrator delvostre domini, en el meu cas:

Usuario: administratorPassword: la definida en el moment de promocionar la màquina ioc-Server




E) (1 punt) Creeu un perfil per defecte el qual s’hauran de descarregar els usuaris per primera vegada, ambun fons d'escriptori i un accés directe al recurs compartit contacte i a un navegador qualsevol.

Personalització d'escriptori a la màquina ioc-Win7:

Reanomenem el nom del directori c:/Usuaris/Usuari_conectat a c:/Usuaris/DefaultEl copiem al directori \\IOC-SERVER\netlogon\Default user.v2



smb://IOC-SERVER/netlogon/Default


A continuació, triem Perfil prederminat, Copiar a i escrivim la ruta on copiarel perfil:

F) (1 punt) Instal·leu la impressora al servei CUPS, com a impressora de xarxa, amb el nom Epson.Compartiu aquesta impressora al servei Samba que heu instal·lat, amb aquest mateix nom. Habiliteu ladescàrrega automàtica de controladors. Doneu permisos de lectura per tothom. Els gestors i operadorspoden modificar les preferències d'aquest recurs.

Comprovem que el servei CUPS està funcionant.#service cups status




Obrim el navegador, anem a la direcció localhost:631 per administrar via web elservei CUPS, cliquem Administrar, Afegir Impressora. Triem Impressora en xarxa,AppSocket.

Per fer la prova,introduïm una adreça inventada:




A continuació demana el nom de la impressora. No compartirem la impressora viaCUPS. Ho farem amb Samba. Per tant, no fem clic a compartir aquesta impressora.

El pas següent demana que especifiquem el model de la impressora o bé carreguemel controlador amb un arxiu ppd. Podeu carregar el controlador que us heudescarregat i feu clic a Añadir impresora.

Anem al menú Administració > Administrar impressores.

A continuació cal compartir aquesta impressora amb Samba. Per això, enl’apartat [global] del fitxer de configuració cal que indiqueu que el sistemad’impressió que feu servir és CUPS.

[global] … … printing = cups printcap name = cups …

Per últim afegim el recurs compartit com a Epson (igual que a CUPS). Calindicar a la configuració el paràmetre print ok = yes per dir que es tractad'una impressora.

[Epson]print ok = yespath = /var/spool/sambacups options = "raw"

Pel que fa a la descàrrega automàtica de controladors, haurem d'afegir elsegüent recurs.

[print$]comment = Printer Driverspath = /var/lib/samba/printersbrowseable = yes




read only = yesguest ok = nowrite list = @gestors

Visualitzem les impressores.

G) (0,5 punts) Quin és l'SID del domini que heu creat? I dels grups musics, operadors i gestors?

Per obtenir l'SID del domini cal executar l'ordre: net getdomainsid

Per obtenir l'SID dels grups musics, operadors i gestors cal executar:

pdbedit -Lv music (music es un usuari del grup musics)




pdbedit -Lv operador (operador es un usuari del grup operadors)

pdbedit -Lv admin (admin es un usuari del grup gestors)




Observeu que els RID de cada usuari van canviant, 1104,1105 i 1108respectivament. No així el del grup que es el 513 el qual correspon al codi delgrup d'Usuaris del Domini, grup per defecte pels usuaris creats al domini.



Asx m06 Eac2 Solució 1516s2

Documents

Transcript of Asx m06 Eac2 Solució 1516s2