Aquest apartat us guiarà en el procés d'instal·lació del perfil de Servidor de Comunicacions de la Linkat4.
Explicarem el procés d'instal·lació dividint-lo en diferents parts, la implantació a dins de la topología de xarxa, la instal·lació del sistema base i la instal·lació del perfil de Servidor de Comunicacions.
Per realitzar la instal·lació cal tenir la imatge ISO de instal·lació de la Linkat4 gravada en un medi (DVD per exemple) que la màquina física pugui llegir i des d'on pugui engegar.

Per instal·lar una Linkat4 adequada per aquest perfil cal obtenir la versió d'instal·lació, que inclou els perfils de servidors de Linkat4. La podreu trobar aquí, baixeu la ultima versió del DVD d'instal·lació i graveu-lo en un medi que es pugui utilitzar per engegar el sistema (típicament un DVD).
Cal instal·lar i configurar la Linkat4 tal com s'indica a instal·lació bàsica.

Aquest apartat explica les configuracions de xarxa a nivell IP que han de tenir els diferents elements de la infraestructura on s'implanta el servidor de comunicacions. També s'explica com configurar-ho i es donen recomanacions per al bon ús del servidor.
Per crear una configuració de xarxa cal tenir clar quins equips hi estan implicats, tenir nocions de xarxes de comunicacions i nocions del protocol IP. Recomanem fer un esquema general de la infraestructura implicada, amb totes les màquines, les xarxes que hi han, els routers i les adreces IP de cada targeta de xarxa.

Abans de configurar les interfícies de xarxa del Servidor de Comunicacions es recomana desactivar el NetworkManager i configurar les interfícies implicades sense IP. Per fer-ho es pot executar la següent comanda (com a root), no és la única forma, també es pot fer amb el sysconfig o, gràficament, amb el YaST2:

yast lan

Desactivar NetworkManager.

Desconfigurar IP.

Topologia senzilla d'exemple.

• Un Router, és el que ens dona sortida cap a Internet, te una interfície de xarxa externa i una altra interna. Només ens interessa la interna.
• El servidor de comunicacions, té dugues interfícies de xarxa, una per els routers i l'altra per la xarxa interna.
• Un client, és una màquina que ha de poder sortir a Internet, té una interfície de xarxa.

Veiem que existeixen les següents xarxes:

• Xarxa A, és la xarxa composada per la interfície interna del router i la interfície de sortida del Servidor de Comunicacions.
• Xarxa B, és la xarxa composada pels clients, en aquest cas hi ha la interfície interna del Servidor de Comunicacions i la interfície del client.

Amb aquest mapa general podem plantejar-nos quines adreces IP volem posar a cada màquina. Generalment les adreces IP de les màquines ja estaran configurades així que el que caldrà fer és adaptar la configuració existent al Servidor de Comunicacions.
Suposem que la Xarxa A té el rang d'adreces IP 192.168.1.0/24 i la Xarxa B té el rang 192.168.0.0/24, a continuació hi ha una taula on indica una configuració correcta de les adreces de les màquines segons l'exemple.

Accés al mòdul del Lustitia.

Mòdul de configuració del Lustitia.

• La IP que té el Router (192.168.1.1).
• Una IP per monitorar el router (192.168.1.4), ha de ser una IP lliure a la Xarxa A que estarà configurada com a IP alias de la interfície eth0 del servidor.
• La màscara de xarxa del la IP del router (255.255.255.0).
• L'ample de banda del router, aquí cal posar l'ample de banda efectiu que ofereix el router, és la velocitat que teniu contractada, si no la sabeu podeu fer un test de velocitat d'Internet.
• Ample de banda generat al servidor de comunicacions, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per les connexions que far el Servidor de Comunicacions.
• Ample de banda generat per serveis prioritaris de la LAN, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per els serveis que es consideren prioritaris de la Xarxa B.
• Resta del tràfic de la LAN, millor no tocar aquest paràmetres si no hi teniu bones raons, és l'ample de banda generat per la resta de connexions que passen pel servidor.
• Pes aritmètic, serveix per balancejar la càrrega entre routers, millor no canviar-lo si no hi teniu bones raons.

Configuració del router.

Mòdul de configuració del Lustitia.

Configuració de les interfícies.

Aplicar la configuració.

Per configurar una màquina client segons l'exemple anterior cal fer que tingui la següent configuració de xarxa:

• Adreça IP: 192.168.0.40
• Màscara de xarxa: 255.255.255.0
• Porta d'enllaç per defecte (default gateway): 192.168.0.1
• Servidor DNS: 192.168.0.1 o podeu posar-hi altres.

Per habilitar el DNS caching cal executar les següents comandes, des de una consola amb l'usuari root:

rcnamed start

Per fer que el servidor de DNS s'engegui sempre a l'inici executeu:

insserv named

Per configurar servidors DNS (el 8.8.8.8 i el 192.168.2.3 per exemple) com a forwarders del nostre servidor DNS cal seguir els següents passos:

• Editar el fitxer /etc/sysconfig/network/config i canviar el valor de les següents variables tal com s'indica, a la variable NETCONFIG_DNS_STATIC_SERVERS hi podríeu posar una llista d'adreces de servidors separades per espais:

NETCONFIG_DNS_FORWARDER="bind"
NETCONFIG_DNS_STATIC_SERVERS="8.8.8.8 192.168.2.3"

• Editar el fitxer /etc/named.conf per a que tingui les següents línies:

forward first;
include "/etc/named.d/forwarders.conf";

• Executar com a root el següent:

netconfig update
rcnamed reload
echo nameserver 127.0.0.1 > /etc/resolv.conf

Mòdul de configuració del servidor LDAP.

Error del servidor LDAP.

Correcció de l' error del servidor LDAP.

Apartat de configuració del servidor LDAP.

Configuració del servidor LDAP.

Iniciar el servidor LDAP.

Crear el DN arrel.

Tornar a l'índex.

Exploració de la Base de Bades.

Objectes fills.

Creació de root.

Afegir el grup people.

Configuració del grup people.

Creació de l'usuari tux.

Configuració de l'usuari tux.

ldappasswd -D cn=Administrator,dc=intracentre -x -w noladiguis -s nova_contrasenya_del_tux uid=tux,ou=people,dc=intracentre

I finalment afegim el servei a l'inici del sistema amb la següent comanda (en un terminal, com a usuari root):

chkconfig --add ldap

Squidguard és un redirector d'URLs per Squid, ens permet implementar llistes blanques i negres per a les connexions que passen per l'Squid i, en general, controlar l'accés a llocs web.
Per configurar les llistes hi ha dues formes:

Mòdul d'Squidguard.

Configuració de l'usuari amb que s'executa Squidguard.

Configurar Squid.

Llistes negres.

Nota: Descarregarem les llistes negres des de la URL següent: http://squidguard.mesd.k12.or.us/blacklists.tgz

Baixar llistes negres.

Introduir la URL d'una llista negra.

Tornar a les llistes negres.

Una llista negre.

Apartat d'ACLs.

Configuració de l'ACL.

Aplicar.

Per fer possible que el tràfic HTTPS estigui controlat per l'Squid i quedi subjecte a totes les configuracions de control que hem explicat cal que TOTS els clients configurin el seu navegador per utilitzar l'Squid com a proxy SSL. Si un client no fa això, quedaria lliure de les restriccions que vulguem posar-li i per evitar-ho cal inhabilitar l'accés al port 443 (HTTPS).
El Servidor de Comunicacions té una configuració per defecte que deshabilita l'ús del port 443 (HTTPS) redireccionant-lo cap a l'Squid, això fa que els clients que intentin accedir a pàgines web segures pel port 443 no puguin i els hi sorti un error d'SSL. Ara bé això fa que l'Squid treballi una mica més del que caldria.
Hi ha una altra opció per deshabilitar el port 443, és configurar el Servidor de Comunicacions per que no accepti tràfic d'aquest port. D'aquesta forma alliberem l'Squid d'aquest treball.
Per fer-ho cal editar el fitxer /usr/share/lustitia/nat i comentar la línia 20 de forma que quedi així:

#iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 443 -j REDIRECT --to-port 3128

Després cal afegir a sota el següent:

iptables -A FORWARD -i ${ETH_IN}+ -p tcp --dport 443 -j DROP

Un cop aplicada aquesta configuració cal reiniciar el lustitia fent:

/etc/init.d/lustitia_rc restart

Propietats de xarxa.

Configuració del proxy SSL.

Per utilitzar una autenticació comuna dels clients WiFi contra l'LDAP del centre tenim una molt bona eina, és el servidor d'autenticació freeRADIUS.
El servidor està preconfigurat per acceptar encriptacions PEAP+GTC i TTLS+PAP però no pas PEAP+MSCHAPv2 (la que utilitza windows), això vol dir que els clients Windows necessitaran canvis al seu sistema de connexió per poder-se connectar (compatiblitat amb els sistemes d'encriptació oferits).
Per configurar un Access Point de forma que utilitzi el nostre freeRADIUS cal que tingui la capacitat d'autenticació anomenada "Enterprise RADIUS", també cal tenir clara la forma de connectar-lo a la xarxa. Típicament l'AP estarà a la Xarxa B però realment l'única cosa que es necessita és que l'AP pugui accedir a la interfície eth1 del Servidor de Comunicacions.
A continuació explicarem com connectar un AP i després com configurar el freeRADIUS i l'AP.

Connexió d'un Access Point (topologia)

Per implantar un Access Point a la infraestructura d'un centre amb Servidor de Comunicacions cal tenir en compte com estaran situats dins de la topologia de xarxa, l'AP pot estar a qualsevol lloc de la xarxa sempre que tingui accés a la interfície eth1 del Servidor de Comunicacions tal com es veu al següent exemple senzill: Exemple senzill de la topologia del Servidor de Comunicacions amb un AP i un client WiFi. Segons aquest esquema podem definir una taula amb una configuració de xarxa d'exemple de cadascun dels elements: Màqina Interfície IP Gateway Servidor de Comunicacions eth0 - - eth1 192.168.0.1/24 - Access Point eth0 192.168.0.20/24 192.168.0.1 WiFi 192.168.2.1/24 - Client WiFi 192.168.2.123/24 192.168.2.1

Configuració del freeRADIUS i de l'Access Point

Seguint els exemples anteriors, tant de connexió de l'AP com de configuració del servidor LDAP, explicarem com cal configurar el servidor freeRADIUS i l'AP. Primerament anem al mòdul de webmin del freeRADIUS que es diu Linkat Freeradius Config. Mòdul de configuració del freeRADIUS. Anem a l'apartat de configuració de l'LDAP. Apartat de l'LDAP. Configurem els paràmetres relatius a la connexió del freeADIUS amb l'LDAP i premem Salvar. El DN d'accés és l'usuari amb que el freeRADIUS farà les consultes a l'LDAP. La contrasenya és la d'aquest usuari i el DN base és la ruta d'LDAP on estan els usuaris que volem permetre a la WiFi. Configuració de l'LDAP. Anem a l'apartat de configuració de l'AP. Apartat de l'AP. Configurem els paràmetres relatius a l'AP, el nom no importa i la contrasenya és per que l'AP es pugui autenticar com a tal al freeRADIUS, després premem Salvar. Configuració de l'AP. Ara premem el botó que diu Aplicar la configuració actual. Aplicar la configuració. I Finalment afegim el servei freeradius a l'inici del sistema amb la següent comanda (des de un terminal, com a usuari root): chkconfig --add freeradius Es poden consultar en qualsevol moment els logs d'autenticació del freeRADIUS per veure qui s'ha loguejat o quins intents hi ha hagut. Es fa a l'apartat Llistar els clients acceptats i només cal prémer el botó Refresca. Visualització dels logs del freeRADIUS. L'Access point s'ha de configurar perquè validi els usuaris contra el freeRADIUS, això es fa anant a la configuració del AP i habilitant l'autenticació per "Enterprise RADIUS", cal posar-li els següents paràmetres: Servidor RADIUS: 192.168.0.1 (adreça de la interfície eth1 del Servidor de Comunicacions). Contrasenya: mailadiguis (És la contrasenya que hem configurat al mòdul de webmin del freeRADIUS, a l'apartat de l'AP.).

Preguntes freqüents