mopdf.com

CHƯƠNG 3TRIỂN KHAI QUAN TRỊ MẠNG TRÊN UBUNTU SERVERXÂY DỰNG KỊCH BẢNGiới thiệu mô hìnhINTERNETFIREWALLMAIL SERVERDNS SERVERIP: 192.168.239.101/24LDAP SERVERSAMBA SERVERFILE SERVERIP: 192.168.239.100/24Client CompuerWEB SERVERDHCP SERVERIP: 192.168.239.102/24Client CompuerClient CompuerHình 3.1. Mô hình mạngCho hệ thống mạng (hình 3.1) được kết nối internet gồm có nhiều máy tínhclient được quản lý bởi hệ thống server sử dụng hệ điều hành Ubuntu Server.3.1.1 Yêu cầu- Quản trị cấu hình, tài nguyên mạng- Quản trị người dùng, dịch vụ mạng

- Quản trị hiệu năng, hoạt động mạng- Quản trị an ninh, an toàn mạng3.2 PHÂN TÍCH3.2.1 Phân tích yêu cầuQuản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soátcấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau.Quản trị người dùng, dịch vụ mạng: bao gồm các công tác quản lý người sửdụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượngđảm bảo theo đúng các chỉ tiêu đã đề ra.Quản trị hiệu năng, hoạt động mạng: bao gồm các công tác quản lý, giám sáthoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định.Quản trị an ninh, an toàn mạng: bao gồm các công tác quản lý, giám sát mạnglưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc phòngchống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức tấn côngnhư Dos làm tê liệt hoạt động của mạng cũng là một phần rất quan trọng trongcông tác quản trị, an ninh, an toàn mạng.3.2.2 Giải pháp- Cài đặt hệ điều hành Ubuntu Server 10.04- Cài đặt và cấu hình LDAP- Triển khai hệ thống Firewall- Cấu hình DNS, DHCP- Cài đặt và triển khai Web Server3.3 THỰC HIỆN3.3.1 Chuẩn bị- Cài đặt ubuntu server 10.04 32bit hay 64bit- Đặt địa chỉ IP tỉnh và máy có thể kết nối internet- Update ubuntu server băng lệnh sau : apt-get update apt-get dist-upgrade

reboot.3.3.2 Cài đặt và cấu hình3.3.2.1 Cài đặt và cấu hỉnh LDAP Bước 1: mở termiunal và lấy quyền root bằng lệnh sudo -i và đánhpassword của hệ thốngHình 3.2: Đăng nhập hệ thống Ubuntu Server Bước 2 : install LDAP server bằng lệnh apt-get install slapd ldap-utilsHình 3.3: Cài đặt LDAP Server (1) Bước 3 : ta add các schema cần thiết cho LDAP bằng các lệnh sau :ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldifldapadd -YEXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldifldapadd -Y EXTERNAL -H ldapi:/// -f/etc/ldap/schema/inetorgperson.ldif

Bước 4: ta tạo 1 file backend.minhtuan.net.ldif Bước 5: Ở bước này ta sẽ thực hiên add file ldif vừa mới tạo ở trên vàohệ thông LDAP bằng lệnh sau :ldapadd -Y EXTERNAL -H ldapi:/// -f backend.example.com.ldif Bước 6: cài đặt SAMBA và các gói cần thiết bằng lệnh sau :apt-get install samba samba-doc libpam-smbpass smbclient smbldaptoolsHình 3.4: Cài đặt SAMBA Server (2) Bước 7 : cấu hình SAMBA. Ta cấu hình file /etc/samba/smb.conf nhưsau :-workgroup VT071Anetbios name PDC-SAMBAobey pam restrictions Yespassdb backend ldapsam:ldap://localhostpam password change Yessyslog 0log file /var/log/samba/log.%mmax log size 1000 server signing auto server schannel Autoprintcap name cupsadd user script /usr/sbin/smbldap-useradd -m '%u'delete user script /usr/sbin/smbldap-userdel %uadd group script /usr/sbin/smbldap-groupadd -p '%g'delete group script /usr/sbin/smbldap-groupdel '%g'

-add user to group script /usr/sbin/smbldap-groupmod -m'%u' '%g'delete user from group script /usr/sbin/smbldap-groupmod-x '%u''%g'set primary group script /usr/sbin/smbldap-usermod -g'%g' '%u'add machine script /usr/sbin/smbldap-useradd -w '%u'logon script allusers.bat logon path logon home domainlogons Yesos level 35domain master Yesdns proxy Nowins support Yesldap admin dn cn admin,dc hoasen,dc localldap group suffix ou Groupsldap idmap suffix ou Idmapldap machine suffix ou Computersunix password sync no ldappasswd sync yesldap suffix dc minhtuan,dc localldap ssl noldap user suffix ou Userspanic action /usr/share/samba/panic-action %d[homes]comment Home Directoriesvalid users %Sread only No browseable No browsable No[netlogon]comment Network Logon Service path /var/lib/samba/netlogonadmin users rootguest ok Yes browseable Nobrowsable No[Profiles]comment Roaming Profile Sharepath /var/lib/samba/profilesread only No profile acls Yes browseable Nobrowsable No[printers]comment All Printerspath /var/spool/sambaadmin users rootwrite list rootread only No create mask 0600 guest ok Yes printable Yesuse client driver Yesbrowseable No browsable No

-[print ]comment Printer Drivers Sharepath /var/lib/samba/printers admin users rootwrite list root create mask 0664 directory mask 0775[shared]path /var/lib/samba/sharedread only Noguest ok YesLưu ý : Ở phần cấu hình trên ta nên quan tầm một số biến quan trong sau :-workgroup VT071Anetbios name PDC-SAMBApassdb backend ldapsam:ldap://localhostldap admin dn cn admin,dc hoasen,dc local ldap group suffix ou Groupsldap idmap suffix ou Idmapldap machine suffix ou Computersunix password sync noldap passwd sync yesldap suffix dc minhtuan,dc local3.3.2.2 Cài đặt và cấu hình DNS Server Cài đặtTa dùng lệnh sau để cài đặt DNS server (BIND9)apt-get install bind9 Cấu hình DNS server :Ta cấu hình file /etc/bind/name.conf.local để khai báo các zone cónội dung như sau :

Hình 3.5: Cấu hình DNS Server (1)Vì ta hai file như đã khai báo ở trên với nội dung như 2 hình ớ dưới :-File /etc/bind/db.minhtuan.net được cấu hình như sau:Hình 3.6: Cấu hình DNS Server (2)-File /etc/bind/db.192 được cấu hình như sau:Hình 3.7: Cấu hình DNS Server (3)3.3.2.3 Cài đặt và cấu hình DHCP Server (in nghiêng) Chuẩn bị các thông tin :- ethernet device : eth0- Ip range : 192.168.239.100 – 192.168.239.200- Subnet address : 192.168.239.0- Netmask : 255.255.255.0- DNS server 192.168.239.1

- Domain : minhtuan.net- Default Gateway Address : 192.168.239.1- Broadcast Address : 192.168.239.255 Cài đặtsudo apt-get install dhcp3-server Cấu hình DHCP Server-Cấu hình file /etc/default/dhcp3-serversudo gedit /etc/default/dhcp3-serverTìm dòng INTERFACES ”” và thay bằng INTERFACES ”eth0”Hình 3.8. Cấu hình DHCP ServerSau đó Save và thoát-Cấu hình file pool:Mở file /etc/dhcp3/dhcpd.confTìm đến dòng 16. Có đoạn thông tin sau :#option definitions common to all supportednetworks. option domain-name "example.org";option domain-name-servers ns1.example.org, ns2.example.org;default-lease-time 600;

max-lease-time 7200;Sửa thành :Hình 3.9. Cấu hình file pool (a)Tiếp tục, tìm đến dòng 53. Có đoạn như sau :# A slightly different configuration for an internal subnet.# subnet 10.5.5.0 netmask 255.255.255.224 {# range 10.5.5.26 10.5.5.30;# option domain-name-servers ns1.internal.example.org;# option domain-name "internal.example.org";# option routers 10.5.5.1;# option broadcast-address 10.5.5.31;# default-lease-time 600;# max-lease-time 7200;#}Sửa thành :

Hình 3.10: Cấu hình file pool (b) Khởi động lại dịch vụ DHCP Server:sudo /etc/init.d/dhcp3-server restart3.3.2.4 Cài đặt và triển khai Web Server Cài Đặt :Ta dùng lệnh sau để cài đặt:sudo apt-get install apache2Hình 3.11: Cài đặt Web Server

Cấu hình APACHE với LDAP :Ta cấu hình file /etc/apache2/apache2.configHình 3.12: Cấu hình APACHE với LDAPTại cuối file này ta comment dòng Include “/etc/apache2/sites-enabled/” thành“#Include /etc/apache2/sites-enabled/”Cũng trong file này ta thêm vào những dòng sau minhtuan.net Directory /home/ubuntuserver Order deny,allowAllow from all /Directory Ta save lại và restart apache bằng lệnhService apache2 restartHình 3.13: Restart apache

3.3.2.5 Thiết lập Firewall Giới thiệu:Iptables trong ubuntu không phải là 1 server và đã được tích hợp sẳn trongkernel của ubutu nên ta không cần thực hiện cài đặt. Cấu hình NAT:Trước khi cấu hình NAT, ta nên cấu hình địa chỉ IP tĩnh chó các interface Bước 1: ta thực hiện dòng lệnh sau: sudo sh -c "echo 1 /proc/sys/net/ipv4/ip forward"Dòng lệnh trên sẻ gán giá trị 1 trong file ip forward, cho phép chuyển tiếpcác gói trong các interface của hệ thống. Bước 2 : ta edit file /etc/sysctl.conf và chuyển các dòng sau : net.ipv4.ip forward 1Điều này giúp cho giá trị của file ip forward trong bước luôn có giá trị bằng 1khi hệ thống khởi động. Bước 3: ta cấu hình NAT bằng các dòng lệnh sau : - iptables -A FORWARD -o eth1 -i eth2 -s 192.168.193.0/24 -mconntrack --ctstate NEW -j ACCEPT- iptables -A FORWARD -m conntrack –ctstateESTABLISHED,RELATED -j ACCEPT- iptables -A POSTROUTING -t nat -j MASQUERADE Bước 4: vì iptables sẻ bị xóa hết sau khi hệ thống khởi động lạinên ta phải sử dụng một scripts để có thể phục hổi cấu hình củaiptales. NAT inbound cho web server :Để người dùng bên ngoài có thể truy cập đến web server ta cấu hìnhiptables như sau :iptables -t nat -A PREROUTING -d 192.168.0.110 -i eth1 -p tcp - m tcp -dport 80 -j DNAT --to-destination 192.168.239.102:80

Dòng lệnh trên có ý nghĩa là tất cả kết nối nào có địa chỉ đích là 192.168.0.110đến từ interface mặt ngoài của firewall với protocol la TCP và port đích là 80 thìsẽ nat vào cho địa chỉ 192.168.239.102(địa chỉ web server ) với port 80.3.4 TEST DEMO